資料隱私框架:常見問題

歐盟-美國資資 料隱私框架 料隱私框架 (EU-US DPF)、歐盟-美國 DPF 的英國擴展以及瑞士-美國資料隱私框架 (Swiss-US DPF) 均作為資料隱私框架 (DPF) 計劃進行管理由美國商務部國際貿易管理局製定。成功地對這些框架進行自我認證可能是一個令人畏懼且令人困惑的過程。本指南旨在為有興趣利用 DPF 將資料從歐洲經濟區傳輸到美國的組織解決常見問題和實際注意事項

常見問題:

什麼是資料隱私框架?
我的組織如何根據資料隱私框架進行認證?
DPF 自我認證的相關費用是多少?
我的組織擁有有效的隱私權盾認證,我需要做什麼?
現有隱私權護盾參與者需要繳納 DPF 費用嗎?
我的年度重新認證到期日會改變嗎?
DPF 自我認證是否代表我的企業符合 GDPR?
我還需要使用標準合約條款 (SCC) 嗎?
我還需要與我的客戶或供應商簽署資料處理協議嗎?
我是否需要使用有關 DPF 的語言更新客戶或供應商合約?
我可以使用 DPF 從歐盟的臨床中心傳輸密鑰編碼的患者資料嗎?
VeraSafe 可以幫助我的組織進行 DPF 自我認證嗎?
VeraSafe 的認證和保證計劃是否與 DPF 一致?
VeraSafe本身是否獲得了DPF認證?

什麼是資料隱私框架?

我們在部落格文章《解碼歐盟-美國資料隱私框架》中更詳細地解決了這個問題。

回到頂部

我的組織如何根據資料隱私框架進行認證?

該框架以自我認證為基礎,這意味著每個組織都必須填寫並提交線上申請,並聲明其遵守 DPF 原則。監管或政府機構不會審查申請的實質優點或驗證申請人是否遵守 DPF 原則。每個參與組織都有責任確保其遵守 DPF 原則,如果未能做到這一點,美國聯邦貿易委員會和美國聯邦政府的其他執法機構可能會強制執行。

要加入 DPF,組織必須先驗證是否符合 DPF 原則,以便做出合規聲明。驗證可以透過自我評估或外部合規審查來實現。 VeraSafe 為以下任一認證途徑提供全面支援:

  • 外部合規性審查: VeraSafe 可以對您的組織遵守 DPF 原則的情況進行客觀的第三方審查。我們將確認您的隱私實務符合原則,並提出所需的第三方證明,證明外部合規審查已成功完成。
  • 自我評估協助:如果您選擇自我評估,VeraSafe 可以指導和支持您,確保您的審查徹底、準確,並滿足 DPF 驗證要求。

無論哪種情況,我們的目標都是簡化您的組織的認證流程並簡化 DPF 合規性。此外,我們還可以幫助您完成自我認證申請。

回到頂部

DPF 自我認證的相關費用是多少?

為了維持 DPF 計劃的管理和監督,參與組織需要向美國商務部國際貿易管理局 (ITA) 繳納年費。費用從每年 250 美元起,根據您組織的年收入和您希望認證的框架數量進行分級。

此外,所有DPF參與者必須指定獨立的DPF爭議解決服務提供者。 VeraSafe爭議解決計畫的費用起價為每年 750 美元,並根據您組織的年收入分級。

如果您選擇將您自己的企業集團的人力資源資料納入您的DPF 認證,則您將需要配合並遵守歐洲資料保護機構針對此類資料設立的爭議解決小組的規定,以調查和解決根據相關規定提出的投訴。在這種情況下,您將需要支付 50 美元的年費,以支付面板的營運成本。英國或瑞士資料保護機構無需繳納此類費用。

首次認證的組織(而不是延續現有隱私護盾認證的組織)也需要一次性向仲裁基金捐款,該基金用於支付仲裁費用,例如仲裁員費用。參與機構須繳納的金額將依照分層結構計算。國際爭議解決中心-美國仲裁協會已被指定負責管理仲裁並管理仲裁基金。個人可以援引這些仲裁來確定參與組織是否違反了 DPF 原則對該個人的義務,以及該違規行為是否仍然全部或部分未得到糾正。

回到頂部

我的組織擁有有效的隱私權盾認證,我需要做什麼?

如果您的組織在現有隱私權護盾框架(歐盟-美國、瑞士-美國或兩者)下擁有有效認證,則無需根據新的資料隱私框架 (DPF) 重新申請。這意味著您的美國組織可以​​根據歐盟委員會最近的充分性決定,依賴 DPF 從 EEA 接收個人資料。

此外,組織現在可以對歐盟-美國 DPF 的英國 英國華人 擴展進行自我認證,並可以依賴它從 2023 年 10 月 12 日相關法規生效後從英國進行轉帳。為了獲得歐盟-美國 DPF 的英國擴展認證,組織必須先獲得歐盟-美國 DPF 認證。

如果某個組織已獲得瑞士-美國隱私權護盾認證,那麼一旦瑞士聯邦政府認可瑞士-美國 DPF 的充分性,就可以從瑞士傳輸個人資料。

在上述所有框架下,組織都必須遵守 DPF 原則,該原則與隱私權護盾原則幾乎相同。此外,組織必須更新其隱私權聲明(也稱為隱私權政策)以承諾遵守 DPF 原則。對於歐盟-美國 DPF,現有參與者必須在 2023 年 10 月 10 日之前完成此操作;對於瑞士-美國 DPF,現有參與者必須在 2023 年 10 月 17 日之前完成此操作。

英國華人

現有隱私權護盾參與者需要繳納 DPF 費用嗎?

不會。但是,當重新認證時間到來時,需要支付重新認證費用(見下文)。

回到頂部

我的年度重新認證到期日會改變嗎?

不可以。此年度重新認證要求保持不變,並且過渡到 DPF 不會改變組織現有的重新認證到期日。重新認證流程將與先前的流程類似,但自我認證將遵循新的 DPF 原則並透過提交。

回到頂部

DPF 自我認證是否代表我的企業符合 GDPR?

不會。該認證並不意味著您的企業總體上符合 GDPR 的要求。

回到頂部

我還需要使用標準合約條款 (SCC) 嗎?

雖然仍然可以使用 SCC,但當歐洲的組 資料隱私自動化工具:優點、缺點與陷阱 織希望將個人資料傳輸到經過 DPF 認證的美國組織時,則不需要使用 SCC。現在可以根據歐盟委員會對 DPF 的充分性決定無縫傳輸個人資料。因此,DPF 是此類轉移的最簡單基礎。相較之下,要使用SCC,組織需要完成複雜的轉移影響評估,協商SCC的條款,並評估是否需要實施補充措施。

回到頂部

我還需要與我的客戶或供應商簽署資料處理協議嗎?

是的。 DPF 僅實現從歐盟到美國 DPF 認證組織的無縫個人資料傳輸。此要求並非 GDPR 所獨有。許多其他資料保護法(例如《加州消費者隱私法》)要求企業與其服務提供者制定 DPA。

回到頂部

我是否需要使用有關 DPF 的語言更新客戶或供應商合約?

一般來說,最好的做法是在客戶和供應商合約中插入您組織的 DPF 認證的引用。典型的條款將承認資料導入方參與 DPF、DPF 在向資料導入方傳輸個人資料時的應用,以及其遵守 DPF 原則的承諾。 DPF 參與者必須確保其與其他控制者接收者以及所有處理者或分處理者簽訂的合約規定,如果他們不再能夠提供 DPF 所要求的相同級別的資料保護,則必須通知 DPF 參與者。

當您的組織獲得 DPF 認證時,經過此認證並進一步共享的任何個人資料都必須滿足後續轉移責任原則的要求,這一點非常重要。在某些情況下,這也意味著確保更新您的第三方合約以符合這些要求。

VeraSafe 可以幫助您的組織確定是否有必要更新您的客戶和供應商合約以及應使用什麼特定語言。

回到頂部

我可以使用 DPF 從歐盟的臨床中心傳輸密鑰編碼的患者資料嗎?  

是的。密鑰編碼的患者數據,例如在臨床 印度數據 試驗中從患者收集的個人數據,不能根據隱私護盾框架進行轉讓,但可以根據新的 DPF 進行轉讓。 DPF 特別指出,關鍵編碼研究資料「即歐盟法律規定的歐盟個人資料將受到 DPF 的保護」。這對贊助臨床研究的製藥公司來說是個好消息,因為輕鬆傳輸關鍵編碼資料對於科學研究以及藥物、治療方法和醫療設備的開發至關重要。

回到頂部

VeraSafe 可以幫助我的組織進行 DPF 自我認證嗎?

是的。 VeraSafe 配備齊全,可引導您的組織完成 DPF 自我認證流程。作為先前歐盟-美國資料傳輸框架合規計畫的主要提供者,我們擁有十多年的經驗。我們透過提供DPF 快速通道認證計劃DPF 驗證 + 認證計劃來延續這項傳統。

回到頂部

VeraSafe 的認證和保證計劃是否與 DPF 一致?

是的。 VeraSafe 對於新的 DPF、先前的隱私權盾原則以及相應的自我認證流程擁有深入的知識和實務經驗。我們一直在密切關注事態發展,並投入大量精力來開發我們的綜合服務產品。因此,我們可以協助客戶滿足 DPF 下自我認證合規性和相關要求的所有需求,包括英國對歐盟-美國 DPF 的擴展以及瑞士-美國 DPF。我們的計劃經過精心設計,旨在在簡單性和穩健性之間取得平衡,以確保您的合規性。

返回頂端