個人隱私保護GDPR後跨境數據的處理
公司A 在什麼情況下才可以數據(跨境)移轉至三方單位公司B?
基本原則: 跨境數據移轉必須符合隱私保護原則, 並且符合國家法律規定
當下列條件滿足並且也確認第三方也同時滿足的情況下, 才可以進行個人隱私數據的移轉, 分為下列幾種情況:
1. 第三方單位(公司B)為公司A處理數據或是代表公司A處理數據
- 這種情況下, A公司應對於三方單位善盡調查義務, 評估該B公司對於隱私數據保護的風險評估
- 取得第三方單位的風險控制聲明書, 內容個人隱私數據保護原則, 保護政策與程序, 合規與風險響應與通知
- 三方單位也允許公司A對於隱私數據保護進行相關的風險評估
2. 三方單位 (公司B) 提供數據給公司A
- Transparency 確定數據取得的來源方也符合 “Transparency” 用戶隱私數據充分揭露原則
- 取得公司B聲明書, 聲明該數據來源未違反相關法律政策
3. 三方單位 (公司B) 為公司 A 數據接受者
- 數據匿名化處理
- 取得三方單位聲明書, 宣稱該數據僅為協議商業範圍內的處理用途
4. 三方單位 (公司B)重大利益關係子公司或是即將被購併公司
- 公司A在購併公司B之前, 善盡調查公司B隱私保護數據處理
- 定義個人隱私數據保護處理協議
5. 三方單位公司B即將購併公司A
- 定義數據移轉處理協議, 申明個人數據可能會揭露與購買方, 以及該數據使用的限制與合規的要求
- (2) review all data elements about people prior to sharing to evaluate the requirements for sharing,
- (3) obtain consent to share Personal Information or Sensitive Information in accordance with the Transparency and Purpose Limitation principles of this Policy, and
- (4) require the third party to notify our company promptly of any applicable Privacy Incident, including any inability to comply with standards set forth in this Policy and applicable Laws, and cooperate to promptly remediate any substantiated Incident or cease Processing relevant Personal Information.