第44 條 GDPR. 移轉之一般原則

Any transfer of personal data which are undergoing processing or are intended ... 28 of the GDPR, the connection of the sub-processor is carried out with ... 导航 第一章總則(1-4)第1條.主旨與立法目的第2條.實體適用範圍第3條.領土適用範圍第4條.定義第二章原則(5-11)第5條.個人資料處理原則第6條.處理之合法性第七條.同意條件第8條.涉及資訊社會服務適用兒童同意之條件第9條.特殊類型之個人資料處理第10條.涉及前科及犯罪之個人資料處理第11條.不須識別之處理第三章資料主體之權利(12-23)第12條.資料主體為行使其權利之透明資訊、溝通及管道第13條.蒐集資料主體之個人資料時所提供之資訊第14條.尚未自資料主體取得個人資料時所應提供之資訊第15條.資料主體之接近使用權第16條.更正權第17條.刪除權（「被遺忘權」）第18條.限制處理權第19條.關於更正或刪除個人資料或限制處理之通知義務第20條.資料可攜性權利第21條.拒絕權第22條.個人化之自動決策，包括建檔第23條.限制第四章控管者及處理者(24-43)第24條.主旨與立法目的第25條.設計及預設之資料保護第26條.共同控管者第27條.非設立於歐盟境內控管者或處理者之代表第28條.處理者第29條.控管者或處理者之處理權限第30條.處理活動之紀錄第31條.與監管機關之合作第32條.處理之安全第33條.向監管機關進行個人資料侵害之通報第34條.向資料主體為個人資料侵害之溝通第35條.資料保護影響評估第36條.事前諮詢第37條.資料保護員之指定第38條.資料保護員之職位第39條.資料保護員之職務第40條.行為守則第41條.經核准之行為守則之監管第42條.認證第43條.認證機構第五章個人資料移轉至第三國或國際組織(44-50)第44條.移轉之一般原則第45條.基於充足程度保護決定之移轉第46條.須遵守適當保護措施之移轉第47條.有拘束力之企業守則第48條.未獲歐盟法授權之移轉或揭露第49條.特定情形下之例外第50條.個人資料保護之國際合作第六章獨立監管機關(51-59)第51條.監管機關第52條.獨立第53條.監管機關成員之一般條款第54條.監管機關設立之規則第55條.權限第56條.領導監管機關之權限第57條.職務第58條.權力第59條.活動報告第七章合作及一致性(60-70)第60條.領導監管機關與其他相關監管機關間之合作第61條.互助第62條.監管機關之聯合作業第63條.一致性機制第64條.委員會之意見第65條.委員會之爭議解決第66條.緊急程序第67條.資訊交換第68條.歐洲資料保護委員會第69條.獨立性第70條.委員會之任務第71條.報告第72條.程序第73條.主席第74條.主席之任務第75條.秘書處第76條.保密性第8章救濟、義務及處罰(77-84)第77條.向監管機關提出申訴之權利第78條.對監管機關提起有效司法救濟之權利第79條.對於控管者或處理者提出有效司法救濟之權利第80條.資料主體之代表第81條.停止訴訟程序第82條.賠償請求權及義務第83條.裁處行政罰鍰之一般要件第84條.罰則第九章特殊處理情況之規範(85-91)第85條.處理與言論及資訊自由第86條.官方文件之處理與公眾接近使用第87條.國民身分證字號之處理第88條.僱傭關係下之處理第89條.為實現公共利益、科學或歷史研究目的或統計目的所為處理之保護措施及例外規定第90條.保密義務第91條.教會及宗教組織現存之資料保護規定第十章授權法及施行法(92-93)第92條.授權之行使第93條.執委會之程序第十一章最終條款(94-95)第94條.歐盟指令第95/46/EU號之廢止第95條.與歐盟指令第2002/58/EC號之關係第96條.與已締結之協議之關係第97條.執委會報告第98條.對其他資料保護歐盟法案之審查第99條.生效及適用 第1條.主旨與立法目的第2條.實體適用範圍第3條.領土適用範圍第4條.定義第5條.個人資料處理原則第6條.處理之合法性第七條.同意條件第9條.特殊類型之個人資料處理第10條.涉及前科及犯罪之個人資料處理第11條.不須識別之處理第12條.資料主體為行使其權利之透明資訊、溝通及管道第13條.蒐集資料主體之個人資料時所提供之資訊第14條.尚未自資料主體取得個人資料時所應提供之資訊第15條.資料主體之接近使用權第16條.更正權第17條.刪除權（「被遺忘權」）第18條.限制處理權第19條.關於更正或刪除個人資料或限制處理之通知義務第20條.資料可攜性權利第21條.拒絕權第22條.個人化之自動決策，包括建檔第23條.限制第24條.主旨與立法目的第25條.設計及預設之資料保護第26條.共同控管者第27條.非設立於歐盟境內控管者或處理者之代表第28條.處理者第29條.控管者或處理者之處理權限第30條.處理活動之紀錄第31條.與監管機關之合作第32條.處理之安全第33條.向監管機關進行個人資料侵害之通報第34條.向資料主體為個人資料侵害之溝通第35條.資料保護影響評估第36條.事前諮詢第37條.資料保護員之指定第38條.資料保護員之職位第39條.資料保護員之職務第40條.行為守則第41條.經核准之行為守則之監管第42條.認證第43條.認證機構第44條.移轉之一般原則第45條.基於充足程度保護決定之移轉第46條.須遵守適當保護措施之移轉第47條.有拘束力之企業守則第48條.未獲歐盟法授權之移轉或揭露第49條.特定情形下之例外第50條.個人資料保護之國際合作第51條.監管機關第52條.獨立第53條.監管機關成員之一般條款第54條.監管機關設立之規則第55條.權限第56條.領導監管機關之權限第57條.職務第58條.權力第59條.活動報告第60條.領導監管機關與其他相關監管機關間之合作第61條.互助第62條.監管機關之聯合作業第63條.一致性機制第64條.委員會之意見第65條.委員會之爭議解決第66條.緊急程序第67條.資訊交換第68條.歐洲資料保護委員會第69條.獨立性第70條.委員會之任務第71條.報告第72條.程序第73條.主席第74條.主席之任務第75條.秘書處第76條.保密性第77條.向監管機關提出申訴之權利第78條.對監管機關提起有效司法救濟之權利第79條.對於控管者或處理者提出有效司法救濟之權利第80條.資料主體之代表第81條.停止訴訟程序第82條.賠償請求權及義務第83條.裁處行政罰鍰之一般要件第84條.罰則第85條.處理與言論及資訊自由第86條.官方文件之處理與公眾接近使用第87條.國民身分證字號之處理第88條.僱傭關係下之處理第89條.為實現公共利益、科學或歷史研究目的或統計目的所為處理之保護措施及例外規定第90條.保密義務第91條.教會及宗教組織現存之資料保護規定第92條.授權之行使第93條.執委會之程序第94條.歐盟指令第95/46/EU號之廢止第95條.與歐盟指令第2002/58/EC號之關係第96條.與已締結之協議之關係第97條.執委會報告第98條.對其他資料保護歐盟法案之審查第99條.生效及適用Recital1Recital2Recital3Recital4Recital5Recital6Recital7Recital8Recital9Recital10Recital11Recital12Recital13Recital14Recital15Recital16Recital17Recital18Recital19Recital20Recital21Recital22Recital23Recital24Recital25Recital26Recital27Recital28Recital29Recital30Recital31Recital32Recital33Recital34Recital35Recital36Recital37Recital38Recital39Recital40Recital41Recital42Recital43Recital44Recital45Recital46Recital47Recital48Recital49Recital50Recital51Recital52Recital53Recital54Recital55Recital56Recital57Recital58Recital59Recital60Recital61Recital62Recital63Recital64Recital65Recital66Recital67Recital68Recital69Recital70Recital71Recital72Recital73Recital74Recital75Recital76Recital77Recital78Recital79Recital80Recital81Recital82Recital83Recital84Recital85Recital86Recital87Recital88Recital89Recital90Recital91Recital92Recital93Recital94Recital95Recital96Recital97Recital98Recital99Recital100Recital101Recital102Recital103Recital104Recital105Recital106Recital107Recital108Recital109Recital110Recital111Recital112Recital113Recital114Recital115Recital116Recital117Recital118Recital119Recital126Recital127Recital128Recital129Recital130Recital131Recital132Recital133Recital134Recital135Recital136Recital137Recital138Recital139Recital140Recital141Recital142Recital120Recital121Recital122Recital123Recital124Recital125Recital143Recital144Recital145Recital146Recital147Recital148Recital149Recital150Recital151Recital152Recital153Recital154Recital155Recital156Recital157Recital158Recital159Recital160Recital161Recital162Recital163Recital164Recital165Recital166Recital167Recital168Recital169Recital170Recital171Recital172Recital173第8條.涉及資訊社會服務適用兒童同意之條件 * search GDPR > 第44條.移轉之一般原則 以前的下一个 一种语言 两种语言 三种语言 下载PDF 文本 献技 指南和案例法 專家評論 登记|登入 български(bg)Čeština(cs)Dansk(da)Deutsch(de)ελληνικά(el)English(en)Español(es)Eestikeel(et)Suomi(fi)Français(fr)Gaeilge(ga)Hrvatski(hr)Magyar(hu)Italiano(it)한국어(ko)Lietuviųkalba(lt)Latviešuvaloda(lv)Malti(mt)Nederlands(nl)Norsk(no)Polski(pl)Português(pt)Română(ro)Русский(ru)Slovenčina(sk)Slovenščina(sl)Svenska(sv)Українська(uk)漢語(zh) български(bg)Čeština(cs)Dansk(da)Deutsch(de)ελληνικά(el)English(en)Español(es)Eestikeel(et)Suomi(fi)Français(fr)Gaeilge(ga)Hrvatski(hr)Magyar(hu)Italiano(it)한국어(ko)Lietuviųkalba(lt)Latviešuvaloda(lv)Malti(mt)Nederlands(nl)Norsk(no)Polski(pl)Português(pt)Română(ro)Русский(ru)Slovenčina(sk)Slovenščina(sl)Svenska(sv)Українська(uk)漢語(zh) български(bg)Čeština(cs)Dansk(da)Deutsch(de)ελληνικά(el)English(en)Español(es)Eestikeel(et)Suomi(fi)Français(fr)Gaeilge(ga)Hrvatski(hr)Magyar(hu)Italiano(it)한국어(ko)Lietuviųkalba(lt)Latviešuvaloda(lv)Malti(mt)Nederlands(nl)Norsk(no)Polski(pl)Português(pt)Română(ro)Русский(ru)Slovenčina(sk)Slovenščina(sl)Svenska(sv)Українська(uk)漢語(zh) 第44條GDPR.移轉之一般原則 Article44GDPR.Generalprinciplefortransfers 任何經處理或於移轉至第三國或國際組織後將欲處理之個人資料之移轉，僅得於控管者及處理者遵循本章之條件下進行，並符合本規則其他條文，包括從第三國或國際組織所為之進一步移轉。

為確保本規則保證之當事人保護程度不受減損，本章所有條文應受適用。

Anytransferofpersonaldatawhichareundergoingprocessingorareintendedforprocessingaftertransfertoathirdcountryortoaninternationalorganisationshalltakeplaceonlyif,subjecttotheotherprovisionsofthisRegulation,theconditionslaiddowninthisChapterarecompliedwithbythecontrollerandprocessor,includingforonwardtransfersofpersonaldatafromthethirdcountryoraninternationalorganisationtoanotherthirdcountryortoanotherinternationalorganisation.AllprovisionsinthisChaptershallbeappliedinordertoensurethatthelevelofprotectionofnaturalpersonsguaranteedbythisRegulationisnotundermined. 通用数据保护条例(EUGDPR)Source:https://www.ndc.gov.tw/Content_List.aspx?n=F98A8C27A0F54C30 GeneralDataProtectionRegulation(EUGDPR) ThelatestconsolidatedversionoftheRegulationwithcorrectionsbyCorrigendum,OJL127,23.5.2018,p.2((EU)2016/679).Source:EUR-lex. 專家評論 ISO27701 献技 指南和案例法 发表评论 專家評論 (EN) Attention!ThiscommentaryistobeupdatedsoonduetoachangeinthepositionofEUregulators   IntheGeneralDataProtectionRegulation(GDPR),theEuropeanUnion(hereinafterreferredtoastheEU)establishedarestrictionontheexportofpersonaldataoutsidetheEU.Cross-borderdatatransfertothirdcountriesispossibleonlyifsuchtransfercomplieswithChapterVoftheRegulation.ChapterVcontainsalimitednumberofmechanismsaimedatensuringthatthetransfertothirdcountriesdoesnotweakenthelevelofpersonaldataprotectionguaranteedbytheRegulation. Beforeanalyzingthemechanismsofcross-bordertransferunderGDPR,itisnecessarytoclarifythedefinitionofcross-bordertransferandtofindoutwhatitdoesnotinclude. Thesis1.Datacollectionisnotadatatransfer Inpractice,thereisacommonmisconceptionthatreceivingdatafromadatasubjectintheEU,byanon-Europeancontrollerisacross-bordertransfer.ThisleadstotheerroneousconclusionthatitisnecessarytocomplywiththerequirementsofChapterVoftheGDPR“Transfersofpersonaldatatothirdcountriesorinternationalorganizations”.However,receivingdatafromthesubjectisnotacross-bordertransferofdataandrepresentsnothingbut adatacollection.  TheBritishsupervisoryauthorityICO defines datatransferas“intentionalsendingofpersonaldata,ormakingitaccessible”[1]. Datatransferisanintentionalsendingofpersonaldatatoanotherpartyormakingthedataaccessiblebyit,whereneithersendernorrecipientisadatasubject. Atthesametime,itisalsoobviousthatthedatatransferisnotdatacollection.Thisisalsoprovedbythefactthatboththeseoperationsarelistedseparatelyfromeachotherinthedefinitionof“personaldataprocessing”in art.4(2) oftheGDPR. Thesis2.Cross-bordercollectionshouldnotbetreatedasdatatransfer. Accordingto Art.44 oftheGDPRandrelatedRecital101therulesofChapterVoftheGDPRapplyto thetransferofpersonaldata.Consequently,inthe“cross-bordercollection”ofdatafromdatasubjectsfromtheEUbyacompanyoutsidetheUnion,thecompanyisnotboundbytherequirementsofChapterVoftheGDPR“Transferofpersonaldatatothirdcountriesorinternationalorganizations”. Thesis3.OnlytransfersoutsidetheEUmustcomplywiththerulesofChapterV Ifthedataaretransferredtothecompanyandnotcollectedbythiscompany,(forexample,itreceivespersonalinformationfromtheEUthroughitspartnerorcustomer)ChapterVbecomesbindingdueto Art.44 oftheGDPR,whichreferstothetransfertoathirdcountryorinternationalorganization. Attentionshouldbepaidtothedirectionofthetransfer: fromtheEUtoathirdcountryorinternationalorganization,thatis,whenthedataareexportedacrosstheexternalborderoftheEuropeanUnion.Onceactivated,ChapterVwillcontinuetoapplytosubsequenttransferswithouttakingintoaccountthedirection:“thelevelofprotectionofnaturalpersonsensuredintheUnionbythisRegulationshouldnotbeundermined,includingincasesofonwardtransfersofpersonaldatafromthethirdcountryorinternationalorganisationtocontrollers,processorsinthesameoranotherthirdcountryorinternationalorganisation”(Recital101GDPR). If,onthecontrary,dataaretransferred totheEU,therequirementsofthischapteroftheRegulationdonotapply,althoughtherequirementsofotherchaptersoftheGDPRwillcontinuetoapplytotheimporter. AnalysisofChapterVfunctioningonspecificexamples  1.ThedatasubjectandthecontrollerareintheEU.Datafromthesubjectaredirectlytransferredtothecontroller,forexample,throughaquestionnairefilledinbythesubjectonthecontroller’swebsite.ThereisnodatatransferwithinthemeaningofChapterVoftheGDPRbecausethedataflowshownintheexampleisadatacollection.Consequently,ChapterVisnotapplicable. 2.ThedatasubjectprovidesthedatatothecontrollerwhoisoutsidetheEU.Asinthepreviousexample,thereisnocross-borderdatatransferbutaso-called“cross-borderdatacollection”.Consequently,ChapterVisalsonotapplicable.  3.AftercollectingdatafromEuropeandatasubjects,adatacontroller“C”outsidetheEUtransmitsdatatoaLevel1processor“P1”,whichisalsooutsidetheEU.Thereisadatatransfer,butthedataarenottransferredacrosstheEUborder.Consequently,ChapterVwillalsonotapplytothisdatatransfer [2]. 4.Let’sassumethattheP1processorfromtheexampleaboveusestheEuropeancloudserviceP2.Similartothepreviousexample,thereisdatatransfer,butthistimeitcrossestheEUborder.However,thedirectioninwhichthedataaretransmittedisfromathirdcountrytotheEU.Inotherwords,aEuropeancompanyisanimporter,notanexporterofdata.Consequently,ChapterVagaindoesnotapplybecauseitregulatestransferswheretheEuropeancompanyactsasadataexporter [3]. 5.ThesecondlevelprocessorP2(subprocessor)decidedtousetheservicesofthethirdlevelprocessorP3(sub-sub-processor),whichislocatedinthethirdcountry[4]. ThedataaretransmittedfromP2toP3,i.e.fromtheterritoryoftheEUoutsideitsborders.Therefore,fortheP2processor,therulesofdatatransferoutsidetheEUfromChapterVoftheGDPRbegintoapply. Inparticular, Art.46oftheGDPR,accordingtowhichtheP2processormustfindamechanismsuitableforsuchtransfer.Mostlikely,thiswillbetheStandardContractualClauses(hereinafter–SCC),althoughthereareothermechanismsforcross-bordertransfer,whichwillbediscussedinotherpartsofthisarticle. Fromnowon,allfurtherdatatransfers,wherevertheyoccur,aresubjecttotherequirementssetbyChapterVoftheGDPR.Accordingly,evenafterthetransferofdatafromtheEUtothe3rdcountrytheinformationwillbetransferredwithinthat3rdcountry,oneofthecross-borderdatatransfermechanismsfromthe art.46 oftheGDPRmustbeimplemented.   Notes: [1] AccordingtotheICOguidelines,datatransfershouldalsobedistinguishedfromdatatransit,wheredataissentthroughanintermediary(e.g.anInternethost)withouttheintentionofgivingtheintermediaryaccessandopportunitytoperformactionsonthedataduringthetransfer. [2] However,accordingto art.3(2a) theapplicableGDPRruleswillstillapplytothisprocessing,including art.28 oftheGDPR,whichobligesthecontrollerandprocessortosigntheDataProcessingAgreement(hereinafter–DPA). [3] Asinthepreviouscase,thisdoesnotprecludetheapplicationoftheGDPR,Inparticular,itwillbenecessarytocomplywith Art.28 oftheGDPR,accordingtowhichaDPAconclusionisrequired. [4] Incompliancewiththerulesof art.28 oftheGDPR,theconnectionofthesub-processoriscarriedoutwithpre-authorizationorpostauthorization,i.e.theprocessorrequests“permission”fromthecontrollerforsuchatransfereachtime. (EN)Author (EN)NastassiaParkhimovich(EN)LLM,CIPP/E,GDPRDPP (EN)GDPRConsultant(EN)More (EN)SiarheiVarankevichCIPP/E,CIPM,CIPT,MBA,FIP (EN)Co-Founder&CEOofDataPrivacyOfficeLLC.DataProtectionTrainerandPrincipalConsultant(EN)Askaquestion ISO27701 (EN)ISO/IEC27701,adoptedin2019,addedadditionalISO/IEC27002guidanceforPIIcontrollers. Hereistherelevantparagraphtoarticle44GDPR: 7.5.1IdentifybasisforPIItransferbetweenjurisdictions Control TheorganizationshouldidentifyanddocumenttherelevantbasisfortransfersofPIIbetweenjurisdictions. Implementationguidance PIItransfercanbesubjecttolegislationand/orregulationdependingonthejurisdictionorinternationalorganizationtowhichdataistobetransferred(andfromwhereitoriginates). … 登入 访问全文 献技 (101)為了國際貿易與國際合作，進出非歐盟國及國際組織之個人資料流通是有必要的。

該等流通之增加已然帶來了新挑戰與有關個人資料保護之問題。

然而，當個人資料從歐盟移轉至第三國境內之控管者、處理者或其他接收者或國際組織時，在歐盟內依本規則對當事人保護之程度不得降低，此包括在從第三國或國際組織再移轉個人資料予在相同或其他第三國之控管者、處理者或再移轉至國際組織之情形。

在任何情況下，向第三國和國際組織之移轉僅得於完全遵循本規則之前提下執行。

唯有當控管者或處理者已遵守本規則所定關於個人資料移轉至第三國或國際組織之規範，且受本規則所定其他條款之拘束者，個人資料之移轉始得為之。

(101)FlowsofpersonaldatatoandfromcountriesoutsidetheUnionandinternationalorganisationsarenecessaryfortheexpansionofinternationaltradeandinternationalcooperation.Theincreaseinsuchflowshasraisednewchallengesandconcernswithregardtotheprotectionofpersonaldata.However,whenpersonaldataaretransferredfromtheUniontocontrollers,processorsorotherrecipientsinthirdcountriesortointernationalorganisations,thelevelofprotectionofnaturalpersonsensuredintheUnionbythisRegulationshouldnotbeundermined,includingincasesofonwardtransfersofpersonaldatafromthethirdcountryorinternationalorganisationtocontrollers,processorsinthesameoranotherthirdcountryorinternationalorganisation.Inanyevent,transferstothirdcountriesandinternationalorganisationsmayonlybecarriedoutinfullcompliancewiththisRegulation.Atransfercouldtakeplaceonlyif,subjecttotheotherprovisionsofthisRegulation,theconditionslaiddownintheprovisionsofthisRegulationrelatingtothetransferofpersonaldatatothirdcountriesorinternationalorganisationsarecompliedwithbythecontrollerorprocessor.(102)本規則不妨害歐盟與第三國間所締結用以規範包括對資料主體適當保障之個人資料移轉的國際協定。

只要國際協定不影響本規則或歐盟法所定任何其他規範且包括對資料主體之基本權之適當程度的保障，會員國得締結涉及個人資料移轉至第三國或國際組織之國際協定。

(102)ThisRegulationiswithoutprejudicetointernationalagreementsconcludedbetweentheUnionandthirdcountriesregulatingthetransferofpersonaldataincludingappropriatesafeguardsforthedatasubjects.MemberStatesmayconcludeinternationalagreementswhichinvolvethetransferofpersonaldatatothirdcountriesorinternationalorganisations,asfarassuchagreementsdonotaffectthisRegulationoranyotherprovisionsofUnionlawandincludeanappropriatelevelofprotectionforthefundamentalrightsofthedatasubjects. 指南和案例法 (EN) Documents EDPB,Guidelines2/2020onarticles46(2)(a)and46(3)(b)ofRegulation2016/679fortransfersofpersonaldatabetweenEEAandnon-EEApublicauthoritiesandbodies(2020). EDPB,Guidelines05/2021ontheInterplaybetweentheapplicationofArticle3andtheprovisionsoninternationaltransfersasperChapterVoftheGDPR(2021). 发表评论 [js-disqus] 第43條.認證機構第45條.基於充足程度保護決定之移轉 Signin Newaccount Rememberme 输入特殊内容： Login Forgotyourpassword? (EN)Subscribetoupdatedtexts,invitationstoGDPReventsandnewsbyDataPrivacyOffice Createaccount Lostyourpassword?Pleaseenteryouremailaddress.Youwillreceivemailwithlinktosetnewpassword. Resetpassword Backtologin * 文章网址已复制到剪贴板 PDF准备