域外观察|EDPB新发指南澄清域外适用与数据跨境传输条款间的相互作用
欢迎点击上方 TMT法律论坛 关注我们
EDPB新发指南澄清域外适用与数据跨境传输条款间的相互作用
2021年11月18日,EDPB通过了关于GDPR第三条适用与第五章数据跨境传输条款间的相互作用的指南(以下简称“《指南》”)。该《指南》澄清了:
向欧盟境外第三方进行数据传输,若该第三方依据Art.3(2) 域外适用GDPR,是否仍需根据GDPR第五章采取包含签署标准合同条款(“SCCs“)在内的保障措施?
GDPR项下“跨境传输”的定义,即三标准。
01
向欧盟境外第三方进行数据传输,若该第三方依据Art.3(2)域外适用GDPR,是否仍需根据GDPR第五章采取包含签署标准合同条款(“SCCs“)在内的保障措施?
是。
EDPB指出,数据跨境传输场景下,即便欧盟境外接收方依据Art.3(2)域外适用GDPR,该跨境传输活动项下的个人数据仍面临第三国国内法律,政府访问以及难以获取或执行数据保护救济等风险。GDPR第五章的跨境传输条款旨在确保数据在跨境传输下获得GDPR同等的数据保护水平,在上述场景下,GDPR第五章对第3(2)的域外适用条款为补充与补足的关系而非互斥关系,数据输出方与数据接收方之间仍应当采取包括签署SCCs在内的保障措施。EDPB同时指出,考虑到境外接收方域外适用GDPR的场景下跨境传输的保护程度相对安全,可能后续发布专门针对数据接收方因Art.3(2)域外适用GDPR场景下的SCCs等其他传输工具。
02
GDPR项下“跨境传输”的定义(“三标准”)
数据输出方(“控制者”或“处理者”)因某一数据处理活动适用GDPR;
数据输出方通过传输等方式将该数据处理活动项下的个人数据提供给数据接收方;且
数据接收方(“控制者”、“共同控制者”或“处理者”)在第三国或为国际组织,无论该境外接收方是否依据Art.3(2)域外适用GDPR。
GDPR第五章项下的数据跨境传输须同时满足上述三个条件,缺一不可。
示例
示例一:境外直接收集行为不构成跨境传输
欧盟境内自然人直接向境外电商网站提交个人数据下单的行为,不构成跨境传输。因个人数据主体因个人意愿直接向境外运营商提供个人信息,不满足上述“由数据输出方向接收方传输个人数据的条件”,故不构成跨境传输。但应当考虑该境外电商可能因Art.3(2)域外适用GDPR。
示例二:欧盟境内处理者向位于第三国控制者回传数据的情形
公司A位于中国,因向欧盟境内自然人提供产品及服务因Art.3(2)域外适用GDPR。公司A委托的处理者即公司B位于欧盟境内。公司B向公司A回传数据的行为构成跨境传输,即便公司A因Art.3(2)域外适用GDPR,GDPR第五章同时适用。
EDPB指南原文
点击“阅读原文”可下载EDPB指南原文。
本期编辑:韦龙杰 邱腾岳
TMT法律论坛
大数据时代的TMT insight