《通用数据保护条例》(GDPR)系列解读三:欧洲子公司如何向国内母公司回传数据?

本文主要是介绍《通用数据保护条例》(GDPR)系列解读三:欧洲子公司如何向国内母公司回传数据?,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

对国际贸易和国际合作而言,与欧盟以外的国家之间的数据流动是不可或缺的,但日益增多的数据跨境流动也给个人数据保护带来了新的挑战与顾虑。当数据在欧盟与非欧盟国家间流动时,也应接受欧盟内同等力度的保护。GDPR规定,在任何情况下,向第三国或国际组织传输数据必须要满足相关规定。

01 跨境传输的定义

GDPR专设第五章,对个人数据向第三国或者国际组织的传输规则展开了细致的描述,即大家所熟知的数据跨境传输(一般认为“第三国third countries”指非欧盟条约缔约国的国家)。

2021年11月,欧盟数据保护机构EDPB还通过了《Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR》,通过具体的案例分析帮助各成员国更好地理解GDPR的跨境传输规则,解决执法过程中的实际适用问题。

来源:EDPB

总的来说,数据传输行为需同时满足以下三个条件才可认定为GDPR中所说的“数据跨境传输”,缺一不可:

(1)数据输出方(控制者或处理者)的处理活动受GDPR管辖。是否适用GDPR可参照GDPR系列解读一——适用范围篇判断。

(2)数据输出方通过传输等方式将该数据处理活动项下的个人数据提供给数据接收方。数据接收方包括控制者、联合控制者、处理者等,他们的角色视在数据处理活动中的分工而定。

(3)“数据接收方”位于第三国或是国际组织,无论该境外接收方是否域外适用GDPR。

例如,意大利用户A在新加坡购物网站B上购物,在提交订单时提交了自己的电话、地址、银行账户等个人数据。在此种情况下,由于A的个人信息是自己自愿提交给新加坡公司B,而没有通过任何数据输出方,因此该数据传输行为不属于跨境传输,此类数据传输行为无需通过任何额外的审核认定。

来源:数据法盟

那么位于欧盟境内的子公司将数据分享给位于第三国的母公司,是否属于跨境传输呢?在此种情形下,子公司被认为是位于欧盟境内的数据控制者,接收数据的母公司则被视为数据处理者,此类数据共享行为也被认为符合数据跨境传输的规定,适用GDPR第五章的情形。

有一种数据传输场景对中国企业也较为常见。中国企业A未在欧盟境内设立经营实体,其收集的个人数据均为非欧盟居民,因此A并不受GDPR的管辖。但在经营活动中,中国企业A将其数据交给欧盟企业B进行处理,欧盟企业B再将处理完毕的数据传输给中国企业A。在此种情况下,由于欧盟企业B的数据处理活动受GDPR管辖,因此将数据回传给中国企业A仍属于数据跨境传输。

02 数据跨境传输需要满足哪些条件?

GDPR规定,向非欧盟国家传输个人数据应在以下两个特定条件下进行:传输目的地获得欧盟委员会的充分性认定(transfers on the basis of an adequacy decision),或者,该数据传输行为得到了适当的保障。

1. 充分性认定

当传输目的地已通过欧盟委员会的充分性认定后,欧盟国家向其传输数据无需获取额外授权,遵守GDPR对数据传输的普通规定即可。充分性认定要求第三国或国际组织具备以下条件:

(1)法治,尊重人权和基本自由,相关立法和执法情况;

(2)第三国或国际组织所在国是否拥有负责数据保护的独立监管机构;

(3)第三国或国际组织缔结的国际承诺、有法律效力的公约或文书、加入的与数据保护相关的多边关系或区域体系。

欧盟委员会将按照以上标准进行充分性认定,且每四年进行一次审查,得到充分性认定的国家会在《欧盟官方公报》和欧盟委员会网站上公布。目前达到充分性认定标准的国家有:安道尔、根西岛、泽西岛、阿根廷、以色列、新西兰、加拿大、马恩岛、瑞士、法罗群岛、日本以及乌拉圭。

来源:Privacy Study Groups

2. 保障措施

获得欧盟充分性认定的国家毕竟是少数。当传输目的地没有获得充分性认定,但能够提供适当的措施来保护数据主体的权利和自由,且数据主体可以申请法律救济,那么向其传输数据也是被允许的。这些保障措施包括以下八项:

(1)公共当局或机构之间有具备法律约束力和执行力的文书。

(2)约束性企业规则。

(3)欧盟委员会通过的标准数据保护条款。

(4)监管机构通过并经欧盟委员会核准的标准数据保护条款。

(5)经核准的行为守则,以及具有约束力和执行力的由第三国控制者/处理者给出的采取适当保障措施和保护数据主体权利的承诺。

(6)经核准的认证机制,以及具有约束力和执行力的由第三国控制者/处理者给出的采取适当保障措施和保护数据主体权利的承诺。

(7)控制者/处理者与第三国或国际组织的控制者/处理者/接收者之间的合同条款。

(8)在公共当局或机构间的行政安排中加入的规定中,包括可执行和有效的数据主体权利。

目前企业传输数据较为常见的保障措施是约束性企业规则(BCR)和标准合同条款(SCC)。

约束性企业规则主要适用多组织或跨国企业在其体系内传输个人数据。标准合同条款被认为是欧盟个人数据出境的主要路径,是经欧盟委员会核准的条款,企业不得随意更改。大多数中国企业都会选择签署SCC作为跨境传输数据的有效保障。

03 跨境传输的特殊情况

如果传输目的地既未通过欧盟委员会的充分性认定,也无法采取以上提到的保障措施,只有在满足以下条件时,才可向第三国或国际组织传输个人数据:

(1)传输不是重复性的。

(2)只涉及有限数量的数据主体。

(3)对于控制者实现其所诉求的令人信服的合法利益确属必要,且这些利益不会因数据主体的权益或权力与自由而否决。

(4)控制者已评估与数据传输有关的所有情况,并根据该评估为个人数据的保护提供了适当的保障。

也就是说,当数据传输行为是偶发的、必要的,涉及的数据主体较少,并且数据控制者或处理者也采取了适当的保护措施来保障数据安全,此类跨境数据传输无需获得额外的许可。

04合规建议

考虑到实际跨国业务的复杂程度,出海企业应对数据全生命周期中涉及到欧盟的环节格外注意,明确其是否受GDPR的跨境传输规则约束。对于确实符合GDPR跨境传输定义的业务,跨国公司可考虑采用约束性企业规则、普通的企业可采用标准合同条款,确保数据传输双方都应遵守。

2020年7月,欧盟法院做出Schrems II案裁决后,对标准合同条款(SCC)的法律效力又作了进一步说明,明确数据输送双方除了应遵守标准合同条款外,还应核实传输目的地所在国家是否有相应的立法,是否能为传输到该国的个人数据提供GDPR所要求的保护力度。这一裁决也使得美国和欧盟之间的隐私盾协议被判无效,多家美国互联网企业与欧盟之间的数据传输业务受到了极大的干扰。GDPR执法案例的不断更新也迫使企业应持续关注其最新进展。

这篇关于《通用数据保护条例》(GDPR)系列解读三:欧洲子公司如何向国内母公司回传数据?的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/236957

相关文章

Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密》 《Spring-Security-入门(四):自定义-Filter》 《Spring-Security-入门(五):在 Sprin

大模型研发全揭秘:客服工单数据标注的完整攻略

在人工智能(AI)领域,数据标注是模型训练过程中至关重要的一步。无论你是新手还是有经验的从业者,掌握数据标注的技术细节和常见问题的解决方案都能为你的AI项目增添不少价值。在电信运营商的客服系统中,工单数据是客户问题和解决方案的重要记录。通过对这些工单数据进行有效标注,不仅能够帮助提升客服自动化系统的智能化水平,还能优化客户服务流程,提高客户满意度。本文将详细介绍如何在电信运营商客服工单的背景下进行

基于MySQL Binlog的Elasticsearch数据同步实践

一、为什么要做 随着马蜂窝的逐渐发展,我们的业务数据越来越多,单纯使用 MySQL 已经不能满足我们的数据查询需求,例如对于商品、订单等数据的多维度检索。 使用 Elasticsearch 存储业务数据可以很好的解决我们业务中的搜索需求。而数据进行异构存储后,随之而来的就是数据同步的问题。 二、现有方法及问题 对于数据同步,我们目前的解决方案是建立数据中间表。把需要检索的业务数据,统一放到一张M

关于数据埋点,你需要了解这些基本知识

产品汪每天都在和数据打交道,你知道数据来自哪里吗? 移动app端内的用户行为数据大多来自埋点,了解一些埋点知识,能和数据分析师、技术侃大山,参与到前期的数据采集,更重要是让最终的埋点数据能为我所用,否则可怜巴巴等上几个月是常有的事。   埋点类型 根据埋点方式,可以区分为: 手动埋点半自动埋点全自动埋点 秉承“任何事物都有两面性”的道理:自动程度高的,能解决通用统计,便于统一化管理,但个性化定

使用SecondaryNameNode恢复NameNode的数据

1)需求: NameNode进程挂了并且存储的数据也丢失了,如何恢复NameNode 此种方式恢复的数据可能存在小部分数据的丢失。 2)故障模拟 (1)kill -9 NameNode进程 [lytfly@hadoop102 current]$ kill -9 19886 (2)删除NameNode存储的数据(/opt/module/hadoop-3.1.4/data/tmp/dfs/na

异构存储(冷热数据分离)

异构存储主要解决不同的数据,存储在不同类型的硬盘中,达到最佳性能的问题。 异构存储Shell操作 (1)查看当前有哪些存储策略可以用 [lytfly@hadoop102 hadoop-3.1.4]$ hdfs storagepolicies -listPolicies (2)为指定路径(数据存储目录)设置指定的存储策略 hdfs storagepolicies -setStoragePo

Hadoop集群数据均衡之磁盘间数据均衡

生产环境,由于硬盘空间不足,往往需要增加一块硬盘。刚加载的硬盘没有数据时,可以执行磁盘数据均衡命令。(Hadoop3.x新特性) plan后面带的节点的名字必须是已经存在的,并且是需要均衡的节点。 如果节点不存在,会报如下错误: 如果节点只有一个硬盘的话,不会创建均衡计划: (1)生成均衡计划 hdfs diskbalancer -plan hadoop102 (2)执行均衡计划 hd

【Prometheus】PromQL向量匹配实现不同标签的向量数据进行运算

✨✨ 欢迎大家来到景天科技苑✨✨ 🎈🎈 养成好习惯,先赞后看哦~🎈🎈 🏆 作者简介:景天科技苑 🏆《头衔》:大厂架构师,华为云开发者社区专家博主,阿里云开发者社区专家博主,CSDN全栈领域优质创作者,掘金优秀博主,51CTO博客专家等。 🏆《博客》:Python全栈,前后端开发,小程序开发,人工智能,js逆向,App逆向,网络系统安全,数据分析,Django,fastapi

科研绘图系列:R语言扩展物种堆积图(Extended Stacked Barplot)

介绍 R语言的扩展物种堆积图是一种数据可视化工具,它不仅展示了物种的堆积结果,还整合了不同样本分组之间的差异性分析结果。这种图形表示方法能够直观地比较不同物种在各个分组中的显著性差异,为研究者提供了一种有效的数据解读方式。 加载R包 knitr::opts_chunk$set(warning = F, message = F)library(tidyverse)library(phyl

烟火目标检测数据集 7800张 烟火检测 带标注 voc yolo

一个包含7800张带标注图像的数据集,专门用于烟火目标检测,是一个非常有价值的资源,尤其对于那些致力于公共安全、事件管理和烟花表演监控等领域的人士而言。下面是对此数据集的一个详细介绍: 数据集名称:烟火目标检测数据集 数据集规模: 图片数量:7800张类别:主要包含烟火类目标,可能还包括其他相关类别,如烟火发射装置、背景等。格式:图像文件通常为JPEG或PNG格式;标注文件可能为X