GDPR下的集团公司数据内部跨境输出规则(BCRs)|互联网法律观察
欧盟数据保护法对于欧盟境内个人数据向欧盟以外国家地区传输有着严格的管控。 个人数据传输到欧盟境外有几个标准和条件,其中最重要的是充分性认定条件。 对于满足充分性认定的国家,会出现在欧盟委员会的充分性认定国家清单中。目前该等清单仅有十几个国家和地区。
针对向未列入充分性认定清单的国家出口数据的行为,欧盟规定了若干替代性方案,替代方案可行性的衡量标准是关注个人在面临个人数据问题不是孤立无援的,而是通过该等方案可以协助覆盖解决。目前欧盟明示替代方案包括约束性企业规则、标准合同条款、经批准的行为准则以及认证机制等。
约束性企业规则(binding corporate rules)或称“BCRs”最早是第29条工作组基于95号令中的向国际数据传输的”code of conduct ”标准,始于第29条工作组2003年颁布的74号工作文件(后在第29条工作小组103、170、108、133、153-155等文件中均有涉及)。跨国公司、集团公司如果具备欧盟成员国数据管理机构认可的约束性企业规则,则可以直接进行集团内部的数据跨境传输,而无需在另行批准。
2018年5月23日即将生效的《一般数据保护条例》(GDPR)将BCRs明确上升到欧盟法层面,同时将之前集团公司内的使用范围拓展到“从事联合经济活动的企业团体”,其中可以包括经济联盟实体、特许经营组织以及共同从事经济活动的商业伙伴。
BCRs是个人数据从欧盟出口到其他没有被欧盟确认满足充分性保护的国家,而提供的对个人数据足够保护的法律手段。
因此集团或联合经济体处理的其他非欧盟境内数据不用强制遵守BCRs。
但是欧盟数据监管机构仍然强烈建议跨国集团拥有一套统一的BCRS全球政策或规则,以保护他们所有的个人数据处理。一套统一规则将创造一个更简单、更有效的制度,将更容易供员工实施和数据主体理解。
BCRs无论对使用企业还是监管机构都会产生很多便利和收益,包括:
有利于公司统一数据管理和处理规则
协助成本节约以及建立数据保护意识
协助新产品在早期阶段就进行合规防范
防止数据传输风险
避免每份转让都需要标准合同的麻烦
有助于公司数据保护政策的沟通
约束性企业规则制定出后需经主导性的欧盟成员国内的数据保护机构批准授权方可实施。同时,BCRs中应确保所有集团成员同意接受数据保护机构的审计,并遵守数据保护机构的建议。
欧盟委员会以及各成员国的数据保护机构会公示已经授权的BCRs的企业清单,目前进入清单的企业包括Intel、花旗集团、E-bay、安永、GE、爱马仕等数十家跨国集团公司。欧盟委员会以及各成员国的数据保护机构也表态GDPR实施后对于约束性企业规则授权批准将更为灵活和便利,鼓励中大型企业集团申请。
BCRs的任何重大修改或者对于适用成员清单的任何重大修改应向数据保护机构进行汇报,除非:
(1 )有专门人员确保持有全部成员更新列表,以及对于规则的任何更新记录,并经要求就能提供给数据主体或数据保护机构所需信息。
(2) 新成员在发生信息传输前有效遵守BCRs以及有合规证明。
(3) BCRs 或成员清单的变更应每年向数据保护机构报告。 BCRs中还应承诺对于规则的实质修改应该告知数据主体。
(1)申请表(WP133)
(2)BCRs中承诺信息的支持文件,包括:
数据处理隐私政策(例如用户隐私政策,HR隐私政策), 向数据主体(例如用户、雇员)告知公司对于个人数据的保护方式
可获知个人数据的雇员行为指南,指南应简单易懂,并使用 BCRs中的规则(例如: 如何回应数据主体投诉指南,如何向数据主体提供信息指南以及安全保密措施遵守指南)
数据保护审计计划和方案
培训项目实例及解释
证明成员代表的赔偿能力文件
内部申诉制度的描述
BCRs 适用成员名单
IT系统的安全防护
与数据处理者的全部标准合同
DPO职务描述
集团应该解释BCRs如何适用和遵守,包括提供:
(1) 集团内部公司/组织之间: 内部协议,单方声明,内部管理规则,集团政策;
(2)员工之间: 单独合同/声明,雇佣协议,内部政策或集团合同规定的处罚条款,以及高级雇员承诺;
(3) 与分包商协议条款,其中体现分包商的义务,以及违约后果。
BCRs实施时应确保三方主体的遵守:
- 集团或组织内的成员公司应共同遵守;
- 集团或组织内的成员公司的员工共同遵守;
- 集团或组织委托的分包商也应该遵守BCRs的规则。
基于此,欧盟要求BCRs中要明确员工和分包商的培训机制。
必须指定欧盟境内的一个集团成员,承担集团内其他非欧盟成员的违反BCRs的责任后果。多数情况下应指定为欧盟境内的总部,如果总部不在欧盟境内,允许集团指定一个欧盟境内的其他代表实体。 若针对特殊的架构,无法指派欧盟境内责任实体的,可以在有效证明的前提下申请其他机构来承担以及其他替代方案。 成员国数据保护机构将根据个案确认是否同意可替代方案。
针对数据主体的投诉,欧盟境内的责任承担实体负责承担举证责任。
根据GDPR的规定,BCRs应包括:
集团或者联合经济活动的团体以及每个成员的结构和联系方式;
数据转移所涉及的类别、目的、受影响的数据主体的类型以及第三国或其他国家的名称;
规则的法律约束力的性质;
GDPR的应用;
数据主体的权利;
责任承担;
有关公司约束规则的内容;
数据保护专员或相关负责人的联系方式、任务以及培训情况等;
投诉的程序;
审计制度;
报告和记录规则;
与监管机构合作;
应对国内法冲突,尤其是本国法很有可能会对BCRs履行产生不利的影响时;
对员工和分包商的数据保护培训。
BCRs中要求对于数据主体应赋予第三方受益权,可通过单方承诺或合同条款的方式包括以下权益:
(1)如果传输涉及特殊类型数据,数据主体有权被告知,或者在向非充分保护的第三国传输前被事先告知
(2)获得BCRs副本的权利
(3)针对欧盟境外的数据处理疑问,应有权在合理时间内获得答复
(4)告发未能与数据保护机构合同或遵守数据保护机构建议的成员
(5)告发欧盟境外成员因为境外立法阻止履行BCRs的行为
(6)告发未能遵守BCRs的规定进行个人数据处理的成员
(7)根据BCRs 索要赔偿
访问文末左下角点击“阅读原文”获取更多相关内容
或点击以下二维码1秒解锁更多独家法律知识问答。
长按二维码
了解更多知识!
关于享法
享法互联网法律团队主要创始人均来自国内著名互联网公司的法务部,致力于为高科技创新型公司提供贴心实用的一站式法律管家服务。自成立至今,我们已为近百家中小高科技创新公司提供了多样化服务。
享法的主要业务模块包括融资并购、合规管理、新三板等更具互联网思维创新的特色法律服务,同时也针对初创企业的内部股权安排、劳动人事以及员工激励等开发了更实用优惠的专项打包法律服务。
“GDPR”相关文章
GDPR实施倒计时:欧盟委员会发布直接适用指南| 互联网法律观察
往期好文回顾
水滴轻松无意联姻,一文助你辨别爱心互助的真与伪| 互联网法律观察
长点心吧!中国企业应该从Facebook数据泄露事件中吸取教训 | 互联网法律观察
B站上市,告诉你一个互联网娱乐世界的合规全貌| 互联网法律观察
GDPR实施倒计时:欧盟委员会发布直接适用指南| 互联网法律观察
从“信息安全”到“网络安全”,等级保护制度有哪些值得关注的变化?
让我们为您保驾护航
微信:享法互联网JoyLegal
微博:享法互联网法律
电话:010-81050766
邮箱:info@joy-legal.com
24小时内答复咨询
关注和分享,总有一个在路上~