USA Database

EmailLabs 所屬的 Vercom 是一家歐洲公司，完全符合 GDPR 的規定，並且僅基於位於中東歐的自有伺服器。我們根據我們的專業知識和技術提供服務。資訊安全的關注是根據 ISO/IEC 27001:2013 標準成功完成資訊安全管理系統的認證審核和監督審核，其範圍涉及「電子通訊解決方案的創建、維護和開發、包括簡訊電子郵件、CPaaS 模型中的推送」。我們也準備進行 ISO 27018 雲端資料安全領域的審核。

使用國外（尤其是美國）的解決方案（例如 smtp、電子郵件 api）是否安全？您是否會將客戶的電子郵件地址等個人資料傳輸到歐洲經濟區之外？ – 請務必閱讀我們的研究。

公司總部和伺服器位於歐洲經濟區。
在 EEA 之外處理個人資料受到 GDPR 更嚴格的處理，並且需要遵守與在 EEA 內處理相關的附加要求。
因此，在歐洲經濟區之外進行處理會增加違反 GDPR 規定並招致罰款的額外風險。澳洲消費者電子郵件列表 將資料傳輸到 EEA 內的不適當實體所受到的處罰比將資料非法傳輸到 EEA 以外的處罰要輕。
將資料處理委託給在歐洲經濟區擁有註冊辦公室和伺服器的實體限制了資料控制者必須執行的與委託相關的活動範圍。
將個人資料傳輸至歐洲經濟區以外
就歐洲經濟區以外的傳輸而言，國家可以分為兩個基本組：歐盟委員會已發布決定建立適當資料保護水準的國家，以及尚未發布此類決定的國家。對於已發布歐盟委員會決定的國家，原則上可以將向其傳輸資料視為等同於歐洲經濟區內部傳輸。然而，美國並不屬於這一組國家。 2020 年 7 月 16 日，歐盟法院在資料保護專員訴 Facebook Ireland Ltd 和 Maximillian Schrems 案（即所謂的 Schrems II 案）中裁定，歐盟委員會對美國（即所謂的“美國”）的決定：稱為“隱私權盾”，不符合充分性要求，也不符合GDPR。



這意味著必須滿足其他先決條件才能將資料傳輸到美國，特別是：

所謂的標準合約條款可以用在與美國處理者的協議中，此外，可以審查該國的立法，確定其是否提供了足夠的保護水平（如引用的 Shrems II 判決所示） 。 Shrems II 判決確定美國立法不提供此類保護。

因此，根據歐洲資料保護委員會的指導方針，在向美國傳輸資料時，不僅應要求服務提供者根據標準合約條款簽訂處理委託協議，還應提供額外的保障措施（其中包括：採用並記錄技術措施，透過使資料更難以存取來確保更充分的保護，例如加密、假名化、進一步監控第三國立法的變化）。

如果不符合上述條件，則極有可能援引資料主體的額外、具體同意，將資料傳輸到歐洲經濟區之外，或以同意以外的理由，但在實務上並未廣泛使用（第 49 條） GDPR ）。

如果不符合這些條件，與美國供應商分享個人資料應被視為非法，並可能面臨處罰風險。

從資料控制者的角度來看，將資料委託給歐洲經濟區和非歐洲經濟區實體的差異。正如您所看到的，在計劃使用國外解決方案來處理客戶資料時，需要考慮很多方面。值得注意的是這些差異，以避免造成不愉快的後果，並在程序和法律方面做好適當的準備。

這些資料是在 Media 律師事務所合夥人律師 Maciej Jankowski 的協助下準備的。該律師的專業領域包括新技術法，包括智慧財產權法、個人資料保護法和電信法的具體方面。