跳转到主要内容

《一般数据保护条例》于2018年5月生效,对个人数据的处理引入了更严格的规则,并将其领土复盖范围扩大到欧盟境外。本指南概述了GDPR对从欧盟国家向非欧盟国家跨境传输个人数据的要求,以及贵组织为遵守GDPR应采取的步骤。

向非欧盟国家传输数据的法律框架继续发展。由于数据的跨境传输对于出口数据的公司和进口数据的公司(例如在阿尔巴尼亚成立的组织)都同样重要,因此,关于这些传输的可行方案的简要指南非常重要。

欧盟内部的转移

如果在欧盟境内传输个人数据,GDPR不会对GDPR的直接适用性提出任何额外要求。然而,当控制者与处理者合作时,数据控制者和数据处理者之间的关系需要由协议管理,并在这些情况下符合GDPR规定的最低标准。《控制者与处理者协议》(GDPR第28条)规定了处理的主题和持续时间、处理的性质和目的、个人数据的类型和数据主体的类别以及控制者的义务和权利。

非欧盟数据传输:符合GDPR的步骤

在非欧盟数据传输的情况下,GDPR预测了可能进行此类传输的具体情况。特别是,从事非欧盟个人数据传输的组织需要验证是否存在充分性

欧盟委员会的决定,如果没有,则通过合同协议提供额外担保。

第一步:欧盟委员会是否有适当的决定?

欧盟委员会可以发布关于非欧盟国家(如欧盟-美国隐私保护)数据保护水平的决定。这些决定是基于对第三国是否拥有与欧盟相同的数据保护适当法律保障的彻底评估。充分性决定的效果是消除从欧盟(以及挪威、列支敦士登和冰岛)向第三国传输数据的任何障碍,而无需任何进一步的数据保护要求。

第二步:受适当保障的转让

如果第三国不在适当性决定的范围内,欧盟组织应考虑以下备选方案之一:

标准合同条款

欧盟委员会还可以采用标准合同条款,以便于欧盟控制者在向非欧盟控制者或处理者传输个人数据时提供充分的数据保护保障。迄今为止,欧盟委员会发布了两套标准合同条款:从欧盟控制者到非欧盟或欧洲经济区控制者的数据传输,以及从欧盟控制者向非欧盟或欧盟经济区处理者的数据传输。数据保护当局也可以采用示范条款。然而,这些条款需要委员会的批准。最后但并非最不重要的一点是,跨境转移也可以根据数据出口方和数据进口方之间谈判的特殊合同条款进行,这些条款须经主管DPA批准。

具有约束力的公司规则(BCR)

如果个人数据从一家公司实体转移到另一家公司的实体(无论地域如何),数据转移将根据具有约束力的企业规则(BRC)进行。具有约束力的公司规则是经主管监管机构批准的具有法律约束力的规则,用于规范从事联合经济活动的企业集团或企业集团成员及其员工(包括位于欧盟领土以外的员工)的个人数据传输和处理。与标准合同条款相比,BCR的优势在于,一旦获得数据保护机构的批准,就可以在无需任何额外要求的情况下,实现所有未来的集团内部传输,而不受地域限制。

除上述选项外,GDPR还引入了两种数据传输的替代充分性工具:经批准的认证机制和经批准的行为准则。这两种机制都允许数据传输,前提是数据导入方做出具有约束力和可执行的承诺,以适用适当的数据保护保障措施


数据传输豁免

在没有上述转移机制的情况下,可以进行个人数据转移的情况下有一些豁免。这些是有限的情况,包括以下情况:

  • 数据主体明确同意;
  • 传输是签订或履行合同所必需的;
  • 有公共利益的重要原因;
  • 有必要确立、行使或捍卫法律主张;
  • 为数据主体或其他人的切身利益所必需;
  • 它涉及公共登记数据;

此外,GDPR对涉及有限数量数据主体的非重复传输引入了新的有限减损。在没有其他合法依据的情况下,如果出于强制数据输出方的合法利益(不受数据主体的合法利益凌驾)以及数据输出方对所传输的数据提出了充分的保障措施,则允许进行数据传输。在这些情况下,出口商必须将转让情况通知相关数据保护机构和数据主体。

结论

对于商业活动涉及在第三个非欧盟国家传输个人数据的组织而言,数据传输合规性仍然是一个重要问题。鉴于违反数据保护规则的制裁的严重性(高达2000万欧元或全球年营业额的4%),为采用正确的转移机制做好准备至关重要。因此,作为第一步,有必要确定涉及非欧盟数据传输的流程。在缺乏充分性决策的情况下,组织需要考虑并提供适当的保障措施(标准合同条款或BCR)。不应低估认证制度和行为守则作为可能的转让机制的便利性。同时,只有在适当的保障措施到位的情况下,例外情况下才有可能减损。

本文:https://cioctocdo.com/guide-cross-border-transfer-personal-data-gdpr