的 欧洲法院在Schrems II案中的裁决 今年早些时候,跨大西洋数据传输的大部分法律结构陷入了困境,这使数据控制人员头疼不已。现在欧洲数据保护委员会已经 通过的建议 帮助组织处理国际数据传输。这里没有简单的答案-如EDPB所述:
这些建议包含一份路线图,说明了数据出口商必须采取的步骤,以找出他们是否需要采取补充措施,以便能够根据欧盟法律将数据传输到EEA之外,并帮助他们确定可能有效的措施。为了帮助数据输出者,建议中还列出了补充措施的例子,并列举了一些有效的条件,这些清单并不详尽。
但是最后 数据出口商有责任在转让,第三国法律及其所依赖的转让工具的背景下进行具体评估。数据出口商必须进行尽职调查并彻底记录其流程,因为他们将根据GDPR的问责制原则对在此基础上做出的决定负责。此外,数据出口商应该知道,不可能在每种情况下都采取足够的补充措施。
有关补充措施的建议将提交公众咨询。它们将在发布后立即适用。
的 关于补充传输工具以确保符合欧盟对个人数据保护水平的措施的建议01/2020 至少提供了一种结构来帮助组织思考问题。总而言之,这为数据导出器设定了以下步骤:
- 知道你的转账
- 验证您的转移所依赖的转移工具
- 评估在您的特定转让范围内,第三国的法律或实践中是否有任何事情可能影响您所依赖的转让工具的适当保障措施的有效性
- 确定并采取必要的补充措施,以使传输的数据的保护级别达到欧盟的基本等同标准。仅当您的评估显示第三国法律影响您所依赖的或打算在转让时依赖的GDPR第46条转让工具的有效性时,才需要执行此步骤
- 采取任何正式的程序步骤,可能需要采取补充措施,具体取决于您所依赖的GDPR第46条转移工具
- 在适当的时间间隔重新评估对您传输到第三国的数据的保护水平,并监视是否有可能会影响到它的发展。问责制原则要求对个人数据的保护级别不断保持警惕。
对的评论 建议01/2020 可以在整个2020年11月之前提交。