GDPR解读(7):合法的跨境转移机制

U2      2020-02-05 22:10      2138     

GDPR规定个人数据可以在欧盟或欧洲经济区内部可以自由流动,而流出欧洲经济区则需要合法的跨境转移机制,主要包括:

  • 基于充分性保护决策
  • 基于适当的保护水平
  • 基于数据主体的明确同意或履行合同所必需等特殊情况

1.充分性保护决策

欧盟委员会决策的国家和地区清单,目前包括:安道尔、阿根廷、加拿大(商业组织)、法罗群岛、根西岛、以色列、曼岛、日本、泽西岛、新西兰、瑞士、乌拉圭、美国(限于“隐私盾”框架,2020年7月16日被欧盟法院判定失效)。欧洲经济区内的个人数据可以流向这些国家或地区。

2.适当的保护水平

适当的保护水平包括以下几种场景:

  1. 公共机构之间具有法律约束力和可执行力的文书
  2. BCR(Binding Corporate Rules,约束性企业规则)
  3. 欧盟委员会发布的标准数据保护条款(标准合同条款)
  4. 数据保护监管机构发布的标准数据保护条款(标准合同条款)
  5. 采用欧盟委员会认可的行为准则(备注:目前还没有被欧盟认可可用的行为准则)
  6. 通过欧盟委员会认可的隐私保护认证(备注:目前还没有被欧盟认可可用的隐私保护认证)

对于国际企业集团来说,如果基于适当的保护水平,主要采用的是上述第二项(BCR)或第三项(标准合同条款)。

BCR主要针对总部或者子公司在欧盟的跨国企业而制定,保障跨国集团的各子公司在个人数据处理方面都达到欧盟的标准,从而可以在集团内部自由传输个人数据。该规则免除了集团各子公司间个人数据传输时每次都要订立“标准合同条款”的麻烦,但BCR有严格的申请和审批程序(需要业务所在的每一个国家的数据保护监管机构审核)、投诉和约束机制,往往申请周期比较漫长。对于总部在中国的企业来说,往往需要采用标准合同条款(Standard Contractual Clauses,简记为SCC),该合同文本已在欧盟官方发布,内容不可修改,但是可以添加补充条款或补充协议。

3.基于数据主体的明确同意或履行合同所必需等特殊情况

在既没有“充分性决策”,也没有“适当保护水平”的情况下,如果满足如下条件之一,则可以适当放宽:

  • 数据主体在被告知由于缺乏“充分性决策”及“适当的保护水平”可能导致的风险后,仍给出明示同意。
  • 履行合同所必需,或应数据主体的要求而采取的合同前措施。
  • 其他场景较为少见,此处省略
跨境转移

最后,如果上述条件都不具备,GDPR还有一条放宽的情形,当只有一次性传输(不重复)极少量的个人数据时,可以获得豁免,不过通常应该避免使用该条款。

本文地址: https://www.janusec.com/articles/privacy/1580911802.html (转载请注明出处)


评论区(共0条评论)
Copyright ©2020 金汤智库(JANUSEC) All rights reserved.