本文介绍了《通用数据保护条例》(GDPR)关于跨境数据传输的规定,包括定义、传输条件和特殊情况。企业需满足充分性认定或采取保障措施,如约束性企业规则和标准合同条款,以确保数据传输符合GDPR要求。对于欧盟子公司的数据回传,即使母公司在非欧盟地区,仍需遵循这些规定。
对国际贸易和国际合作而言,与欧盟以外的国家之间的数据流动是不可或缺的,但日益增多的数据跨境流动也给个人数据保护带来了新的挑战与顾虑。当数据在欧盟与非欧盟国家间流动时,也应接受欧盟内同等力度的保护。GDPR规定,在任何情况下,向第三国或国际组织传输数据必须要满足相关规定。
01 跨境传输的定义
GDPR专设第五章,对个人数据向第三国或者国际组织的传输规则展开了细致的描述,即大家所熟知的数据跨境传输(一般认为“第三国third countries”指非欧盟条约缔约国的国家)。
2021年11月,欧盟数据保护机构EDPB还通过了《Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR》,通过具体的案例分析帮助各成员国更好地理解GDPR的跨境传输规则,解决执法过程中的实际适用问题。
来源:EDPB
总的来说,数据传输行为需同时满足以下三个条件才可认定为GDPR中所说的“数据跨境传输”,缺一不可:
(1)数据输出方(控制者或处理者)的处理活动受GDPR管辖。是否适用GDPR可参照GDPR系列解读一——适用范围篇判断。
(2)数据输出方通过传输等方式将该数据处理活动项下的个人数据提供给数据接收方。数据接收方包括控制者、联合控制者、处理者等,他们的角色视在数据处理活动中的分工而定。
(3)“数据接收方”位于第三国或是国际组织,无论该境外接收方是否域外
最低0.47元/天 解锁文章
扫一扫
877
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
