欧盟数据保护

2020年7月16日，欧洲法院发布了Schrems II判决，对美国云服务的使用产生了重大影响。美国云服务提供商的客户现在必须自己验证接受国的数据保护法律，记录其风险评估，并与其客户进行协商。本文将解释Schrems II的判决对您的业务意味着什么。为您的转移影响评估更新了新资源。

欧盟的数据战略旨在建立一个单一的数据市场，使其能够在欧盟内部和跨部门自由流动，造福于企业、研究人员和公共管理部门。数据的自由流动被定义为欧洲市场的“五大自由”。

获得个人数据处理许可的第三步是检查数据传输许可，即确保数据发送公司和数据接收公司在传输个人数据时具有相同目的的许可，并且每个目的的许可符合相同的法律依据（即同意或合法利益）。

获得个人数据处理许可的第二步是通过（1）请求许可和（2）存储许可来处理许可。公司在这些行动中面临着几个挑战（表8）。TCF提供了缓解挑战的工具，我们将在本节中介绍。

2018年4月25日，IAB Europe推出了TCF，作为应对第7.1节中讨论的挑战的一种手段。它于2019年8月推出了更新版本的TCF，即TCF 2.0。TCF是一项行业倡议，旨在提供一种通过指南和工具获得用户许可的解决方案。

在本节中，我们将进一步探讨广告行业公司在为其数据处理活动提供符合GDPR的法律基础方面面临的实际挑战。本节特别阐述了透明度和同意框架（TCF），这是IAB Europe发起的一项行业倡议，旨在帮助企业应对获得用户许可的挑战。

代表组织数据处理活动的数据源的异质性在完成ROPA时带来了重大挑战。我们的研究旨在确定基于DCAT-AP和DPV的可互操作和机器可读数据处理目录的DPCat规范能够在多大程度上克服源的异质性，以便于编制ROPA。

尽管对GDPR合规性进行了充分研究，但缺乏专门针对ROPA的学术研究。Labadie和Legner[11]将“处理活动记录的维护”确定为组织GDPR数据管理（子）的核心能力。DPCat通过扩展Labadie和Legner的模型将其转化为IT系统能力。此外，DPCat还增加了聚合各种责任数据、与利益相关者交换机器可读ROPA信息、生成DPA特定合规记录以及ROPA数据质量保证机制的子功能（图[图：能力模型gdpr]）

演示了DPCat在表示由欧洲数据保护主管（EDPS）[41]（EDPS）发布的真实世界ROPA文档中的应用，使用SHACL对其进行验证，使用SPARQL查询检索相关信息，并将其导出为RDF图以及符合DPA模板的电子表格。我们为DPCat的实用性和可行性及其在ROPA信息管理过程中的优势提供了证据。

在本节中，我们将介绍同样在线发布的数据处理目录（DPCat）规范(https://w3id.org/dpcat)，解决了已确定的需求，并促进了组织内和组织间异构源信息的管理，以实现以机器可读和互操作的方式表示ROPA。