議題觀點

GDPR對個資國際傳輸限制與因應之道

德勤商務法律事務所 / 張憲瑋資深律師

據報載,國發會已在2018年6月初向歐盟表達取得GDPR(一般資料保護規則)適足性認定的意願,使得我國與歐盟資料即可依法傳輸。而在此之前,個別企業必須透過與歐盟往來企業簽署契約才能讓資料傳輸如常的運行。其實相關規範係依GDPR第44條以下之要求,自歐盟境內移轉個資至第三國或國際組織,須符合特定條件方能為之,包括從第三國或國際組織所為之進一步移轉。過往1995年歐盟指令亦有類似的規範架構,但GDPR擴大了現有機制,且違反者仍屬GDPR第83條所規定者,最高得處以2,000萬歐元或其年度總營收4%之罰鍰。從而有進行歐盟跨境傳輸之業者,包括傳輸給非歐盟境內的子公司、母公司或其他關係企業,抑或受委託處理歐盟業者之個人資料,包括物流業者、資訊廠商等,都可能受到國際傳輸限制的影響。

所謂的適足性並非要求法規必須全然地模仿歐盟法,而是應「實質等同」於歐盟法之保護相關權利、義務設計必須得執行,而確實被運用在實務,執行機制之效率是評斷項目之一,日本與韓國等鄰近國家也在積極爭取獲得歐盟適足性認定,參考日本的經驗成立獨立監管機關、基礎法規修正、發佈相關指令及仰賴與歐盟執委會間多次對話。其中企業提供個資予第三人,或企業取得第三人之個資,均需留存提供紀錄,並遵守相關程序規範,另對於再轉輸至第三國時,亦設有應遵循之程序規範。

但是由國家層面取得適足性認定,仍需要相當之努力與時間,在適足性認定取得之前,企業一般較可能會採取的是標準個資保護契約條款(Standard contractual clause),亦即個資控制者與控制者間,或控制者與處理者間,透過標準個資保護契約條款,約定跨境傳輸時彼此之權利義務與個資保護措施。而個資接受方必須採取與歐盟法令相當的保護水準,包括採取適當的技術和組織措施,以保護個資免遭意外或非法破壞或意外遺失、修改,未經授權的揭露或存取,並提供適合於所代表的風險和性質的安全級別。而個資傳輸方應證明已經做出合理的努力來確定個資接受方是否能夠履行這些條款規定的法律義務。因GDPR大幅提高違反的罰鍰,可以想見,歐盟個資傳輸方將大力強化對個資接受方對個資保護的稽核或評鑑,且標準個資保護契約條款的準據法原則上係適用歐盟法令的情況下,有簽署標準個資保護契約條款的台灣公司就必須考量遵循GDPR的必要性,並且評估取得個資保護國際認證標準的效益。

關於除標準個資保護契約條款外,尚有拘束性企業規則(Binding Corporate Rules)、行為守則(Codes of conduct)可作為GDPR個資境外傳輸的依據,本文介紹的主要是目前我國主管機關及跨國金融機構擬採取的解決途徑,鑑於目前我國尚未取得適足性認定,故對於標準個資保護契約條款之簽訂,台灣企業宜注意GDPR及個資保護的法令遵循風險。

是否找到您要的資訊?