GDPR 第五章(Chapter V)規範歐盟個人資料流向第三國的合法條件,是全球企業跨境資料傳輸的核心合規關卡。違反者最高可處全球年營業額 4% 或 2,000 萬歐元罰鍰。
適當性認定、SCCs 與 BCRs 三大傳輸機制
第三國若獲歐盟執委會適當性認定(Adequacy Decision),資料可自由流入,目前包含日本、英國、以色列等 15 個國家或地區。未獲認定的國家(含美國大多數情境),企業須採用標準合約條款(SCCs, Standard Contractual Clauses),將 2021 年版模組化 SCCs 嵌入資料處理協議,涵蓋「控管者對控管者」與「控管者對處理者」等四種模組。對於跨國集團內部資料流動,則可申請拘束性公司規則(BCRs, Binding Corporate Rules),由主管監管機關審核後,作為集團內全球傳輸的長期合規基礎。
傳輸影響評估(TIA):Schrems II 後的必要步驟
2020 年歐盟法院 Schrems II 判決廢止 Privacy Shield,並要求企業在採用 SCCs 前,須執行傳輸影響評估(Transfer Impact Assessment, TIA)。TIA 需評估:目的地國家法律是否侵蝕 SCCs 保障、當地政府存取資料的可能性,以及是否需附加技術性補充措施(如端對端加密、假名化)。歐洲資料保護委員會(EDPB)在 Recommendations 01/2020 中提出六步驟評估框架,企業應逐步記錄並留存完整評估文件,以備監管機關查驗。
💡 合規重點整理
- 確認目的地國家是否具備適當性認定,優先採用此路徑。
- 無適當性認定時,導入 2021 年版模組化 SCCs 並依情境選擇正確模組。
- SCCs 生效前,必須完成並留存書面 TIA 評估文件。
- 集團內部跨境傳輸規模龐大者,評估申請 BCRs 以降低長期合規成本。
GDPR 跨境傳輸合規並非一次性任務,需隨目的地國家法律變化持續更新 TIA。建立定期審查機制與完整文件留存,是應對監管查核的根本之道。
📚 參考文獻
- EUR-Lex — GDPR 官方全文(Regulation (EU) 2016/679)
- EDPB Recommendations 01/2020 — 傳輸補充措施六步驟框架
- 歐盟執委會 — SCCs 官方模板與使用說明
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言