考虑到国际贸易与合作,如今还必须能够向第三国传输数据。审查这种转移的合法性分两个阶段进行。
首先,数据传输本身必须合法。禁止对个人数据进行任何处理,但有可能获得授权。除同意外,《一般数据保护条例》(GDPR)第6条规定了进一步的授权理由,如履行合同或保护重要利益。对于需要更高级别保护的特殊个人数据,《全球数据保护条例》第9条规定了单独的法律要求。
如果预期的数据传输符合一般要求,则必须在第二步中检查是否允许传输到第三国。必须区分安全的和不安全的第三国。安全第三国是指欧盟委员会根据充分性决定确定了适当数据保护水平的国家。在这些国家,国家法律为个人数据提供的保护水平与欧盟法律相当。确保充分保护的第三国是:安道尔、阿根廷、加拿大(仅限商业组织)、法罗群岛、根西岛、以色列、马恩岛、泽西岛、新西兰、瑞士、乌拉圭、日本、联合王国和韩国。明确允许向这些国家传输数据。
根据2020年7月16日的判决“Schrems II”(在案例C-311/18中),欧洲法院根据欧洲议会和理事会关于欧盟-美国数据保护盾(隐私盾)充分性的指令95/46/EC,宣布2016年7月12日委员会的执行决定(欧盟)2016/1250立即无效。因此,到美国的数据传输不能基于隐私保护。根据第44条及以下规定,向美国传输数据需要其他担保。GDPR,以创建适当级别的数据保护。
如果一个国家没有适当性决策,这不一定阻止向该国传输任何数据。相反,控制者必须以另一种方式确保接收者充分保护个人数据。对于集团内的数据传输,可以使用标准合同条款,通过所谓的“具有约束力的公司规则”,通过承诺遵守欧盟委员会宣布为普遍适用的行为准则,或通过数据处理程序认证,来确保这一点。
此外,还有一些例外情况,使向第三国传输数据合法化,即使个人数据的保护无法得到充分保证。通常情况下,数据主体的同意与此相关。同时,必须特别注意自由给予这种同意的要求。其他例外情况,如为履行合同而转让、公共利益的重要原因和法律权利的主张,在实践中通常不太相关。
Suitable GDPR articles
- Art. 40 GDPR Codes of conduct
- Art. 42 GDPR Certification
- Art. 44 GDPR General principle for transfers
- Art. 45 GDPR Transfers on the basis of an adequacy decision
- Art. 46 GDPR Transfers subject to appropriate safeguards
- Art. 47 GDPR Binding corporate rules
- Art. 48 GDPR Transfers or disclosures not authorised by Union law
- Art. 49 GDPR Derogations for specific situations
- Art. 63 GDPR Consistency mechanism
Suitable Recitals
- (101) General Principles for International Data Transfers
- (102) International Agreements for an Appropriate Level of Data Protection
- (103) Appropriate Level of Data Protection Based on an Adequacy Decision
- (104) Criteria for an Adequacy Decision
- (105) Consideration of International Agreements for an Adequacy Decision
- (106) Monitoring and Periodic Review of the Level of Data Protection
- (107) Amendment, Revocation and Suspension of Adequacy Decisions
- (108) Appropriate Safeguards
- (109) Standard Data Protection Clauses
- (110) Binding Corporate Rules
- (111) Exceptions for Certain Cases of International Transfers
- (112) Data Transfers due to Important Reasons of Public Interest
- (113) Transfers Qualified as Not Repetitive and that Only Concern a Limited Number of Data Subjects
- (114) Safeguarding of Enforceability of Rights and Obligations in the Absence of an Adequacy Decision
- (115) Rules in Third Countries Contrary to the Regulation
External Links
Authorities
- Data Protection Authority UK ► International transfers (Link)
- Data Protection Authority Ireland ► Cross-border processing and the one stop shop (Link)
- Data Protection Authority Isle of Man ► Transfers to third countries (Link)
- Article 29 Data Protection Working Party ► WP244 – Guidelines on the Lead Supervisory Authority (Link)
- Article 29 Data Protection Working Party ► WP245 – EU-US Privacy Shield F.A.Q. for European Businesses (Link)
- European Commission ► Data transfers outside the EU (Link)
- European Commission ► Withdrawal of the United Kingdom from the Union and EU – Rules in the field of data protection (Link)
- EU publications ► Handbook on European data protection law – Personal data transfers to third countries/non-parties or to international organisations, page 253 (Link)
- European Data Protection Board ► FAQs on the judgment of the CJEU in Case C-311/18 (Link)
Expert contribution
- IAPP ► Top 10 operational impacts of the GDPR: Part 4 – Cross-border data transfers (Link)
- A&L Goodbody ► The GDPR: A Guide for Businesses – International Data Transfers, Page 29 (Link)
本文:
- 登录 发表评论