EDPB公布了作为数据传输工具的行为准则的指南定稿
欧洲数据保护委员会(EDPB)于2022年3月4日宣布,在2021年7月启动公众咨询后,于2022年2月22日公布了作为传输工具的行为准则指南的最终版本。本指南是对EDPB指南1/2019的补充,该指南根据条例2016/679建立了采用行为准则的总体框架。
如需《关于行为准则作为数据传输工具的04/2021号指南(定稿)》原文,请关注本公众号“出海互联网法律观察”,并在后台回复关键词“行为准则指南”,即可下载。
文:宋佳凯 程旭阳
来源:EDPB官网
行为准则指南的目的是什么?
该指南强调,根据GDPR第46条,控制者和处理者应制定适当的保障措施,将个人数据传输到第三国或国际组织,为此,GDPR通过引入行为准则作为新的传输机制,使第46条规定的组织在向第三国进行框架性传输时使用的适当保障措施多样化。
在这方面,指南的目的是澄清不同行为者在制定作为传输工具的准则方面的作用,并通过流程图说明采用过程。此外,考虑到Schrems II案,并旨在根据GDPR第46条提供符合替代保障措施的保护水平,该指南列出了一份用于传输的行为准则所应涵盖的要素清单。
行为准则指南规定了什么?
数据控制者/处理者在进行数据处理时要遵守GDPR规定的基本原则,保障GDPR规定的数据主体的权利,履行好GDPR规定的义务。
要求数据输入者保证输入地不存在法律冲突。
使用行为准则去建立向第三国数据传输框架能够提供高信任度,因为准则必须是数据保机构通过评估程序之后才能确定使用。
遵守守则是由独立的监管机构监督执行,这些措施使行为准则比其他自律机制更有可信度。
《指南》中提到,最初制定行为准则的目的可能只是为了根据GDPR第40-2条指定GDPR的适用,或者也可以根据GDPR第40-3条进行转让。
GDPR相关规定
GDPR第40-2条规定了行为守则适用内容:
合理与透明处理;
在特定情境下控制者所追求的正当利益;
收集个人数据;
个人数据的匿名化处理;
向公众与数据主体提供信息;
数据主体行使权利
向儿童提供或者获取儿童信息,以及获取儿童监护人同意所采取的措施;
第24条和第25条所规定的措施和程序,以及第32条规定的处理安全保障措施;
个人数据泄露时,通报监管机构以及告知数据主体;
将个人数据传输到第三国或国际组织;
GDPR第40-3条的规定,行为准则的适用对象不仅包括GDPR管辖内的数据控制者/处理者,还包括第3条不受本条例约束的控制者或处理者。此类控制者或处理者应通过合同或其他具有法律约束力的文书做出具有约束力和可执行的承诺,以适用这些适当的保障措施。
行为准则流程图
跨境传输准则的修订:
行为准则将会产生哪些影响?
可以针对特定的数据场景,不同行业数据处理的内容进行具体适用。
参与相同或类似领域数据处理的企业可以组织在一起,以准则的形式共同制定一套规则。
这种形式的共同监督,有利于减轻小企业在进行全面数据保护分析的负担,可以选择遵守符合其需求的准则。
主编介绍
王捷
执业律师,垦丁W&W国际法律团队创始人,联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学研究会理事,荷兰RuG国际经济法与商法硕士,专注于网络法领域的研究和实务,特别是互联网产品合规、出海合规以及全球数据保护与个人信息保护合规,已为多家知名互联网公司及大中型外资企业提供专业法律服务,覆盖智能终端制造、IOT、人工智能、云计算与服务、社交网络平台、移动互联网、电子商务及平台、短视频视听直播、网络游戏、以及个人信息保护、数据安全等行业领域。
王捷律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作,拥有10年的科技型公司实务经验与中外律所从业背景,深耕海内外多条业务线。专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求,快速响应并提供基础到战略的有效支持,并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。
王捷律师关于《中国与海外多国/地区数据保护及企业合规要点对比》的论文,在全球最高分的六篇论文中,荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖,该文章同时被评为年度隐私政策制定者 “必读” 文章。与此同时,她还是出海互联网法律观察公众号主理人,输出了多篇专业互联网与数据合规文章,部分刊登于国际知名专业数据库。
联系方式:
欢迎扫码加入全球数据合规讨论群
(敬请备注:姓名 + 单位 + 专业领域 + 沟通意向)
资讯编写
程旭阳
垦丁律师事务所W&W国际法律团队实习生。
协助全球数据合规资讯周刊编写,追踪各国数据合规执法状况。
互联网出海法律实务群
为您提供独家出海资讯、最新信息动态
与同行们一起交流时事热点、分享经典案例
尽享互联网出海法律干货
快添加主理人微信(jie-72)加入我们吧!
【实务分享 | 丰巢&垦丁】物流及多元化营销模式下数据合规与跨境传输&DPIA实务
【实务分享】大快消企业个人信息处理合规以及企业常见DPIA与跨境传输合规实务
Meta年报指出Facebook和Instagram因受到欧盟的数据传输规则影响,或妨碍其在欧洲继续提供服务
快讯 | 欧盟议会通过数字服务法案DSA-旨在明确平台服务提供商责任
垦丁律所发布《中国个人信息保护法与海外多国/地区数据合规保护 企业合规要点比较报告》
冬至重磅 |《个人信息保护与数据合规法律汇编》发布(附下载)
重磅蓝皮书 | 《中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告》发布
致敬个人信息保护法正式生效| 全方位解读个人信息保护十大合规要点及十国/地区大比对
重磅原创 | 个人信息保护法(草案)与多国数据保护法要点对比
个人信息保护:
十国/地区数据保护法十大合规要点对比 | #10 数据保护监管机构与违反数据保护法的处罚规定
十国/地区数据保护法十大合规要点对比 | #9个人信息处理者的主要义务
十国/地区数据保护法十大合规要点对比 | #8 数据保护官(DPO/个人信息保护负责人)任命要求
十国/地区数据保护法十大合规要点对比 | #7 发生安全事件时数据泄露通知的要求
十国/地区数据保护法十大合规要点对比 | #6 数据影响评估(DPIA/PIA)要求
十国/地区数据保护法十大合规要点对比 | #5 数据主体在个人信息处理活动中的权利
十国/地区数据保护法十大合规要点对比 | #4 数据跨境传输规则与要求
十国/地区数据保护法十大合规要点对比 | #3 数据本地化存储要求
十国/地区数据保护法十大合规要点对比 | #2 个人信息处理规则与特别注意事项
十国/地区数据保护法十大合规要点对比 | #1 法律适用范围与域外适用效力
精品解读:
美国封杀Tiktok事件法律依据、起诉可行性简要分析及出海应对方程式
【如何做一块安全的饼干】之cookies的用户告知与法律基础
民法典专题系列 | 对比:《民法典》隐私权&个人信息与GDPR视角下的隐私权&个人数据权利
从印度“删除中国APPs”被Google Play下架谈谈平台合规
游戏出海:
干货|Google移动游戏东南亚出海策略
【游戏出海】国产手游厂商如何应对韩国游戏分级?
网络法沙龙 | 垦丁网络法广州站第十一期:游戏作品IP化过程中的风控管理与游戏直播背景下著作权法律关系的再思考
跨境电商:
「大咖观点」卓志科技合规管理中心副总监黄颖|跨境电商零售进口实务分享
你真的读懂社交电商吗?——社交电商生态架构的合规设计(含海外社交电商专题)