【欧盟数据保护】GDPR转移影响评估（TIA）

如果您是一个将个人数据转移出欧盟的组织，您可能需要进行“转移影响评估”，这是GDPR规定的强制性国际数据转移风险评估。

在本指南中，我们将解释什么是转移影响评估，以及进行转移影响评估所涉及的关键步骤。

这是一个复杂的话题，根据GDPR（欧盟数据保护法）还是英国GDPR的适用，有不同的方法，因此，如果您想了解有关这一点以及您的个人数据具体传输的建议，请联系我们的团队。

跳转到：

• GDPR下的转移影响评估是什么？
• GDPR下的个人数据“限制性传输”是什么？为什么它很重要？
• 如果我采取了适当的保障措施，例如使用SCC，为什么我需要进行转移影响评估？
• 我如何根据GDPR进行转移影响评估？
• 为什么转移影响评估很重要？
• 根据英国GDPR，在英国境外转移个人数据的情况如何？
• 英国GDPR下的转移风险评估
• ICO的转移风险评估提出了6个问题：

 

GDPR下的转移影响评估是什么？

“转移影响评估”是一种风险评估，用于将个人数据从欧盟转移到某些非欧盟国家。

需要进行转移影响评估，以确保当欧盟个人的个人数据转移到欧盟以外时，它仍然受到GDPR保护的方式的保护。

将个人数据出口到欧盟以外的组织需要进行此评估，以检查个人数据的相关传输是否安全。

作为转移影响评估的一部分，出口个人数据的组织需要考虑一系列问题，以检查个人数据是否得到充分保护。下文将进一步介绍这些内容。

GDPR下的个人数据“限制性传输”是什么？为什么它很重要？

当您对个人数据进行“限制性传输”时，您需要考虑传输影响评估。

当欧盟（或英国）的个人数据被转移到其他“第三国”时，就会发生限制性转移，而GDPR和英国GDPR将禁止此类数据转移。

出于GDPR的目的，要确定受限制的传输，您需要查看您是否在欧盟以外发送个人数据，并考虑：

1. 您将个人数据发送到哪个国家/地区？
2. 您发送个人数据的国家是否被认为对个人数据提供了足够的保护？如果你将个人数据发送到的国家需要做出适当的决定，这意味着你可以自由向他们发送个人数据。
3. 如果这些国家不受充分性决定的约束，您是否制定了适当的保障措施，如有约束力的公司规则（BCR）或常用的标准合同条款（SCC）？
4. GDPR是否适用任何其他豁免或减损，允许您向这些国家发送个人数据？
5. 如果您确定需要适当的保障措施，如SCC，来管理欧盟以外的个人数据传输，那么您需要考虑进行传输影响评估。

如果我采取了适当的保障措施，例如使用SCC，为什么我需要进行转移影响评估？

Schrems II的裁决以废除隐私保护盾而闻名，自该裁决以来，明确规定，在欧盟和英国以外转移个人数据的组织必须进行转移影响评估，以逐案核实个人数据发送到的第三国的法律是否对SCC的效率有任何影响。仅仅因为你签署了SCC，并不意味着你已经确保了与GDPR所保障的保护、可执行的权利和法律补救措施“基本等同”。

现在，只有出口组织进行了逐案记录的转移影响评估，以确保个人数据（和数据主体）仍然受到GDPR要求标准的保护，才可以依赖使用GDPR第46条工具（例如SCC）进行的转移。

总之，数据出口商（控制者或处理者）与在第三国接收数据的组织（数据进口商）合作，评估个人数据发送目的地国家的法律，并采取措施确保个人数据在发送到这些国家时受到保护，这一点至关重要，与GDPR下的水平相同。

我如何根据GDPR进行转移影响评估？

欧洲数据保护委员会（EDPB）就转移影响评估需要涵盖的内容提出了各种建议，如下所述。

评估过程中的某些步骤在实践中很难处理，但至关重要的是，你要做好这一点，并确保考虑到欧洲数据保护委员会的建议。

EDPB建议采取以下6个步骤来评估与转账相关的风险：

步骤1 个人数据映射	作为第一步，您需要了解您的国际数据传输，您的数据将流向何处以及原因。 请注意，数据“传输”还包括从第三国访问个人数据。
步骤2 验证传输机制	根据《通用数据保护条例》，有一条禁止在欧盟和欧洲经济区以外转移个人数据的一般规则——除非数据被转移到欧盟委员会认为足够的国家（如英国），或受到BCR或SCC等适当保障，或因特定情况而受益于减损（但很少使用）。参见《通用数据保护条例》第46条中列出的转移工具指南。
步骤3 评估您发送个人数据的国家的当地法律	您需要确保进口国的保护水平与《通用数据保护条例》规定的保护水平相当。在这一步骤中，您需要评估第三国的法律和实践，并检查它们是否会对您的适当保障或转移工具（例如SCC）的价值产生影响。您应该考虑第三国公共当局访问数据的可能性，包括数据主体可获得的权利和补救措施。在实践中，这是一个非常困难的步骤，你可能需要听取当地法律的建议，例如，检查公共当局在多大程度上可以访问这些国家的个人数据，有哪些监控权力，以及有哪些保障措施来限制这些权力。
步骤4 确定并采取补充措施	您需要确定哪些额外措施是必要的，以使传输数据的保护级别（根据第46条工具）达到保护您发送到第三国的个人数据所需的标准。补充措施的例子包括个人数据的匿名化或假名化以及加密。这在实践中同样很难解决。
步骤5 采取任何正式的程序步骤	您需要采取采取补充措施可能需要的任何正式程序步骤——这取决于您所依赖的GDPR第46条转移工具。
步骤6 重新评估	您需要在适当的时间间隔内重新评估转移到第三国的个人数据的保护级别，并监控是否已经或将要发生任何可能影响其的事态发展。您需要密切关注您的数据传输，并确保在必要时更新您的评估——您还需要了解是否有任何当地法律更新与您的评估相关，当地律师可以提供帮助。

• 根据要传输的个人数据类型，您可能需要在每个国家/地区进行一次以上的传输影响评估。
• 在处理个人数据的后续转移时，您也应该小心——虽然您可能已经确信进口国已经采取了足够的措施来进行限制性转移，但您也需要确保同样的措施在链上流动（例如，如果个人数据从进口国进一步转移到其他国家）。这是一个复杂的问题，所以如果你想得到建议，请联系我们。
• 如果你的评估揭示了一个潜在的问题，那么你需要评估是否可以使用补充措施，然后重复评估，看看问题是否可以解决。如果转让影响评估表明，即使在考虑了所有补充措施后，也没有提供所需的保护水平，则您不应继续进行转让。因此，在最坏的情况下，你可能不得不暂停在欧盟之外传输个人数据。
• 无论做出何种决定，您都应确保将您所遵循的所有步骤记录为评估的一部分，并注意数据保护机构可能会要求查看您的文档以及您认为是该过程的一部分的内容。

为什么转移影响评估很重要？

转移影响评估是至关重要的，如果你弄错了，可能会出很多问题。举个典型的例子，Meta（Facebook的所有者）被爱尔兰数据保护监管机构处以破纪录的12亿欧元罚款，这是GDPR有史以来开出的最大罚款。

罚款是因为这家科技巨头将个人数据从欧盟和欧洲经济区转移到美国被发现违反了GDPR。尽管该公司已经制定了SCC，但监管机构发现，它没有通过适当的“补充措施”妥善解决个人数据转移到美国的风险。请参阅我们的文章。

有关数据保护法律合规性出错时会发生什么的更多信息，请参阅我们的文章。

根据英国GDPR，在英国境外转移个人数据的情况如何？

我们上面的指导重点是GDPR（欧盟数据保护法）下的法律规则。在英国，公司需要遵守英国GDPR和英国数据保护法。

作为在英国境外转移个人数据的适当保障，各组织可以将《英国国际数据转移协议》（IDTA）或欧盟委员会国际数据转移SCC的附录（英国附录）与欧盟委员会SCC一起使用。

如果你想了解更多关于限制转会的信息，以及最好采用哪种方法；IDTA或英国附录，然后请阅读我们解释英国数据传输的指南。

英国GDPR下的转移风险评估

在英国，组织可以使用“转移风险评估”。转移风险评估允许组织通过确保适当的保障措施来解决限制性转移的情况，从而从英国进行限制性转移。转让风险评估必须始终在实施第46条适当的保障措施之前进行，可以说是英国相当于欧盟GDPR下的转让影响评估。

英国ICO发布了转让风险评估工具和指南。此工具仅适用于非复杂的转账，不应用于高风险的处理活动。ICO的工具仅适用于英国GDPR合规性，因此，如果欧盟GDPR适用于国际数据传输，则需要遵循EDPB指南（如上）。

传输风险评估将使数据出口商能够确定他们打算用于受限数据传输的传输机制是否为该传输提供了足够的保护。ICO的方法侧重于个人数据的转移是否会增加个人隐私的风险，而不是他们的数据留在英国。如果存在重大风险，则不应进行转移。ICO的方法着眼于目的地国家的人权，并试图提出一种有利于商业和实用的方法。

ICO还就什么是限制性转让以及谁负责进行评估制定了指导意见——如果您想就这些问题提供建议，请联系我们。

ICO的转移风险评估提出了6个问题：

问题1 限制性转让的具体情况是什么？	在这里，组织需要考虑有关限制性传输的详细信息，例如，哪些个人数据正在传输，为什么传输，以及采取的任何措施来保护正在传输的数据。
问题2 您正在传输的个人信息对用户的风险程度是多少？	在这里，组织需要评估个人数据传输所涉及的风险水平，即低、中或高风险。
问题3 考虑到个人信息的总体风险水平和组织的性质，什么是合理和相称的调查水平？	在这里，组织应该评估需要对传输的数据进行何种程度的调查。
问题4 转移是否大大增加了目的地国人民遭受侵犯人权行为的风险？	在这里，组织需要评估个人数据的传输是否会增加数据主体在发送个人数据的国家遭受侵犯人权的风险。
问题5 （a） 您是否确信您和信息所涉及的人员都能够对英国的进口商执行第46条转让机制？（b） 如果可能需要在英国以外采取执法行动：您是否对您和信息所涉及的人能够在目的地国家（或其他地方）执行第46条转移机制感到满意？	这个问题要求组织评估自己和相关数据主体是否能够在英国、第三国或其他地方执行第46条规定的权利（例如SCC规定的权利）。
问题6 限制性转移规则的任何例外情况是否适用于“重大风险数据”？	最后一个问题是，是否有任何豁免适用于“重要数据”，例如，该组织是否已获得数据主体的明确同意，允许将其个人数据转移到相关的第三国。

组织可以使用ICO的工具和问题来决定是否进行个人数据的国际传输。如果确定该组织的第46条机制无法提供有效的保障和保护数据主体的权利，那么限制性传输就无法进行。

欧盟通用数据保护条例下的转移影响评估和英国通用数据保护规定下的转移风险评估之间存在各种差异，ICO允许组织使用EDPB的指导或其自己的工具——请参阅我们的文章。

尽管ICO的转移风险评估工具可能更容易使用，但根据您的国际数据转移的性质，它可能不合适。如果您需要这方面的建议，请联系我们。

如何提供帮助

把这件事做好是很重要的。我们的数据保护和GDPR法律专家可以帮助您进行用于欧盟和非欧盟国家之间数据传输的传输影响评估。我们还可以协助进行转移风险评估，以将数据从英国转移到英国“充足性法规”未涵盖的国家。

有很多复杂的因素需要考虑，包括不同国家的法律。另一个国家的法律和实践在互联网上找不到，也不一定是正确的，但我们的律师可以帮助您识别和解释法律。

如果作为评估的一部分提出了补充措施，则组织的信息安全团队需要对这些措施进行评估，以检查它们是否确保了个人数据的安全。我们可以通过分析您的信息安全团队需要考虑的进口组织的信息来帮助他们，以确保他们的评估符合目的。

正如本指南所解释的，这是一个详细而复杂的练习。如果您想在所涵盖的主题的任何方面提供帮助，请与我们友好且知识渊博的专家联系，他们很乐意提供帮助。