新闻动态

GDPR中个人数据的跨境传输指南

通用数据保护条例于2018年5月生效,为处理个人数据引入了更严格的规则,并将其领土范围大大扩展到了欧盟边界之外。本指南概述了GDPR对于将个人数据从欧盟国家跨境转移到非欧盟国家的要求,以及您的组织应采取的符合GDPR的步骤。

向非欧盟国家转移数据的法律框架在不断发展。由于数据的跨境传输对于出口数据的公司和导入数据的公司(例如,在阿尔巴尼亚成立的组织)同等重要,因此,有关这些传输的可行选择的简要指南非常受关注。

GDPR中个人数据的跨境传输指南

欧盟内部转移 在欧盟内部传输个人数据的情况下,GDPR不会对GDPR的直接适用性施加任何其他要求。但是,当控制器聘请处理器时,数据控制器与数据处理器之间的关系需要通过协议来控制,并且要遵守在这些情况下GDPR规定的最低标准。处理者与处理者之间的协议(GDPR第28条)规定了处理的主题和持续时间,处理的性质和目的,个人数据的类型和数据主体的类别以及控制者的义务和权利。

非欧盟数据传输:遵从GDPR的步骤 对于非欧盟数据传输,GDPR预见了可以进行此类传输的特定情况。尤其是,从事非欧盟个人数据传输的组织将需要验证 欧盟委员会是否有充分的决定,如果没有,则通过合同协议提供额外的保证。

第一步:欧盟委员会是否有充分的决定?

欧盟委员会可以发布有关非欧盟国家/地区数据保护级别的决定(例如,欧盟-美国隐私保护盾)。这些决定基于对第三国是否具有与欧盟等同的适当数据保护法律保障的全面评估。充分性决定的结果是消除了从欧盟(以及挪威,列支敦士登和冰岛)到该第三国的数据传输的任何障碍,而无需任何进一步的数据保护要求。

第二步:转移必须遵守适当的保障措施

如果第三国不属于适当性决定的范围,则欧盟组织应考虑以下替代方法之一:

标准合同条款欧盟委员会还可以采用标准合同条款,以方便欧盟控制者在将个人数据传输到非欧盟控制者或处理者时提供足够的数据保护保护措施。到目前为止,欧盟委员会已经发布了两套标准合同条款:数据从欧盟控制方转移到非欧盟或EEA控制方,而欧盟控制方转移到非欧盟或EEA处理方。数据保护机构也可以采用示范条款。但是,这些条款需要得到委员会的批准。最后但并非最不重要的一点是,跨境转移也可以根据数据导出者和数据导入者之间商定的临时合同条款进行,这些条款 必须得到主管DPA的批准。

具有约束力的公司规则(BCR)如果将个人数据从一个公司实体转移到另一个公司实体(不考虑地区),则数据的传输将根据具有约束力的公司规则(BRC)进行。具有约束力的公司规则是经主管监管机构批准的具有法律约束力的规则,该规则规范从事联合经济活动的企业集团或企业集团的成员及其雇员(包括位于欧盟以外的企业)内部的个人数据的传输和处理领土。与标准合同条款相比,BCR的优势在于,一旦获得了数据保护机构的批准,便可以在不考虑地区的情况下进行所有将来的集团内部转移,而无需任何其他要求。 附加保障措施除了上述选择之外,GDPR还为数据传输引入了两种替代性充分性工具:批准的认证机制和批准的行为准则。两种机制都允许数据传输,前提是数据导入者做出有约束力的和可强制执行的承诺,以为数据保护应用适当的保护措施。

数据传输豁免 在许多情况下,在没有上述传输机制的情况下可以进行个人数据传输。这些情况有限,包括以下情况:

数据主体明确同意; 转让对于订立或履行合同是必要的;
有公共利益的重要原因;
有必要建立,行使或捍卫法律主张;
对于数据主体或其他人的切身利益是必要的;
它涉及公共登记数据; 此外,GDPR对涉及数量有限的数据主体的非重复传输引入了新的限制,即减损。在没有其他合法依据的情况下,当出于强制数据出口者的合法利益的目的而没有被数据主体的合法利益以及出口者为转移的数据提供足够的保障的情况下允许转移。在这种情况下,出口商必须将有关转移的情况告知相关的数据保护局和数据主体。

结论 数据传输合规性仍然是组织的重要问题,这些组织的业务活动涉及在非欧盟第三国转移个人数据。鉴于在违反数据保护规则的情况下制裁的严厉性(高达2000万欧元或占全球年营业额的4%),为采用正确的转让机制做好准备至关重要。因此,作为第一步,有必要确定那些涉及非欧盟数据传输的过程。如果没有适当的决定,组织将需要考虑并提供适当的保护措施(标准合同条款或BCR)。不应低估认证计划和行为准则作为可能的转移机制的便利性。同时,在特殊情况下,克减是可能的,

上一篇:跨境数据传输:障碍在哪里,它们的成本是多少?

下一篇:中国的跨境数据传输新措施草案

关注云语科技

wechat qrcode

微信扫一扫,获取最新资讯