GDPR-数据跨境流通应对方案
GDPR原文解读
原文:Chapter V, Transfer of personal data to third countries or international
以下是该章节的主要要点:
合法性要求:在将个人数据传输到第三国家或国际组织之前,必须确保已获得相关个人的明确同意,并告知他们个人数据将被用于何种目的以及接收方的身份和位置。
需要采取适当安全措施:如果组织需要将个人数据传输到欧洲经济区(EEA)以外的国家或地区,必须采取适当的安全措施来保护个人数据的隐私和安全。具体措施包括加密、数据掩码化等。
合规评估:组织必须对其传输数据的行为进行评估,以确保其符合GDPR的规定。如果评估发现不符合规定,则必须采取纠正措施。可参考使用个人数据保护影响评估(DPIA)这个模板,在项目开发前进行评估和证据收集。
通知义务:如果组织需要将个人数据传输到第三国家或国际组织,必须事先通知相关个人,并提供详细的信息,包括传输的目的、接收方的身份和位置、个人权利等。
总之,GDPR第5章规定了个人数据在向第三国家或国际组织传输时的相关要求,旨在保护个人数据的安全和隐私。组织必须遵守这些规定,否则可能会面临罚款和其他法律后果。
欧盟要求
欧盟《数据保护通用条例》(以下简称GDPR)对欧盟境内个人数据向欧盟境外传输有着严格的管控,但也提供多种途径实现个人数据的跨境传输,主要分为三种机制:第一种是基于充分性认定机制(又称白名单);第二种是采取适当保障措施的机制,包括签订标准合同(Standard Contractual Clause 或者SCC)、通过约束性企业规则(Binding Corporate Rules或者BCR)、认证机制、行为准则(CoC)等;第三种为获得数据主体同意。
从欧盟出境别国的个人数据传输只要能满足下述措施中的一项,就可以被欧盟监管机构认为是合规的:
数据输出方与数据接收方签订数据传输协议,并使用欧盟委员会给出的标准数据保护条款;
如果是跨国集团内部的数据传输,可以在集团内部制定一套所谓的具有约束力的公司规则 (Binding Corporate Rules),保证集团内部严格遵守,并经欧盟委员会批准;
某个行业的协会拟定一套数据保护行为规则,作为数据接收方的行业协会成员声明遵守这套行为规则,该规则要经过欧盟委员会的事先认可;也就是需要拿到一个官方认证:Europrivacy(欧洲隐私),后面的章节会有介绍。
对数据接收方的数据处理流程进行认证,该认证需要每三年更新一次。
即便上述四项措施都没有,如果数据处理者能征求到数据主体的同意,也可以将其个人数据传输到别国,但是《欧盟通用数据保护条例》对同意的流程提出了很高的要求。
欧盟有其认可的数据安全国度名单,在这个名单里的国家被认为有至少跟欧盟同级别的个人数据保护水平,所以从欧盟向这些国家传输个人数据并没有特殊的合规要求,就像在欧盟境内传输数据一样简单。
欧盟白名单国家
安道尔、阿根廷、加拿大(商业组织)、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、大韩民国、瑞士、英国。
欧盟委员会推出首个欧盟GDPR认证机制
原文:Europrivacy: the first certification mechanism to ensure compliance with GDPR
2022年,欧盟委员会推出了首个获批的欧盟通用数据保护条例(GDPR)认证体系——Europrivacy(欧洲隐私)。这一数据保护标记最近还获得了欧洲数据保护委员会的批准,象征着欧盟在推动隐私保护规则上又向前迈进了一大步。
Europrivacy作为第一个符合GDPR规定的官方认证机制,是一项由欧洲研究项目(ERP),根据ISO/IEC 17065 和GDPR第 42 条的基础而研究开发的认证计划,用于评估、记录、认证和评价企业对GDPR等数据保护法规的合规情况。经评估后符合这一标准的认证对象,证书中可以获得欧洲数据保护印章。
Europrivacy认证成为目前所有欧盟成员国唯一正式认可的GDPR认证机制。
更多信息请访问:
Europrivacy网站:https://europrivacy.info 和https://europrivacy.com/
欧洲数据保护委员会:https://edpb.europa.eu
最后更新于
