關於傳輸將個人數據從英國傳至境外接收者,您的企業是否符合英國數據保護法關於合法傳輸方式的要求?
對於國際數據傳輸,(企業)要考慮的法律包括保留的歐盟版的GDPR和2018年數據保護法(DPA 2018),在本文中統稱為“英國GDPR”。
就本文而言,接收者是指個人數據傳輸方的獨立組織或個人。
本文不涵蓋屬於公共當局或機構的轉讓者,也不涵蓋與公共利益或保護個人切身利益有關的法規。
為了轉移個人數據,轉讓方必須確保其有法律支援,以避免可能的後果的風險,如下所述。此類法律依據可能包括:英國的充分性決定、適當的保障措施,或減損(豁免)。有關這三個概念的更多詳細資訊,請參閱下文。
企業是否可以依據與(數據)轉讓相關的英國充分性決定?
首先,企業應考慮將個人數據(受英國GDPR約束)傳輸給另一個國家/地區的接收者是否受英國充分性決定的約束。
英國充分性決定是相關英國國務大臣的調查結果,即認定某個國家、地區、部門或國際組織提供的數據保護水準與英國相當。英國充分性決定意味著個人數據可以自由傳輸(根據該決定條款),無需監管機構的進一步授權。
英國政府發佈的已認定的國家(領土、部門或組織)的名單請點擊此處查看。自本名單發佈以來,英國還認定了韓國的數據自由傳輸資格,更多詳細資訊請點擊此處查閱。
如果企業未通過充分性決定認證,是否可以使用適當的保證措施(作為法律依據)?
在企業未通過充分性決定認證的情況下,轉讓人應考慮其是否能夠制定適當的保障措施作為合法轉讓的(法律)依據。
充分保障措施的範例包括以下內容(此列表並非詳盡無遺):
- 使用資訊專員辦公室(ICO) 的範本填寫的標準數據保護條款
- 具有法律效力的公司規定(公司之間達成的協定)
- 遵守ICO標準(英國資訊專員辦公室)的行為準則
- ICO授權的合同條款
- 在法定機構授權的證書
轉讓方只有在能夠確定接收方所在地提供可執行的數據主體權利和有效的數據主體法律補救措施時,才能依據充分保障措施(這一法律根據進行數據轉送)。英國資訊專員辦公室(ICO)建議在採取充分保障措施時也進行資訊轉移風險評估。
針對特定情況的豁免(或稱為減損)呢?
轉讓人應確定自己是否可以依據法定豁免傳輸數據(只在特定條件下生效)。此類豁免可能包括以下任何一項(此列表並非詳盡無遺):
- 數據主體在被告知可能出現的風險后,已明確同意進行特定傳輸。
- 數據轉讓是履行合同的必需步驟,也是達到商業目標的必要方式。此例外僅適用於特定條件。如果企業可以通過其他方式合理地,同樣達到商業目標,則不適用。
- 訴訟過程中需要傳送數據以提供證據。
未能建立合法的數據轉移依據後果是什麼?
在沒有合法數據傳輸依據的情況下將個人數據從英國轉移到英國境外的接收者可能會導致ICO採取執法行動。ICO有權對此進行調查並處以最高1750萬英鎊的罰款(或最高為上一財政年度全球年營業額的4%,以較高者為準)。
數據主體還可能提出投訴或民事索賠,可能導致不良公關、賠償支出和成本。
將個人數據從英國傳輸到其他國家/地區的企業。 應該採取什麼措施?
- 企業應確定其是否正在( 或想要將 )任何個人數據轉移到英國境外。
- 如果國際傳輸是(與上述三種法律依據)相關的,企業應確定其正在使用(或將要使用的)合法傳輸該數據的法律依據是那一條。
- 如果使用該類依據需要相關文件,轉讓人應確保在啟動轉讓之前已準備好檔。這將包括完成轉移風險評估(如適用)。企業應及時瞭解所需檔的法定格式,特別是考慮到ICO在這方面提供的範本文檔的最新變化。
- 通常,企業還應確保遵守英國GDPR。(本文未涵蓋全部英國 GDPR 規則的相關信息)。
3CS 如何提供幫助
有關國際數據傳輸或任何其他公司或商業法律事務的進一步幫助和建議,請聯繫您常用的 3CS 聯繫人。
