GDPR没有规定“向第三国或国际组织转移个人数据”这一概念的法律定义,相关案例法也比较有限。本文主要基于EDPB相关指南解释适用于数据跨境转移的情况,并提供相关示例分析。
根据EDPB指南,需同时满足以下三个标准,则可适用GDPR第五章的个人数据跨境转移:
一、控制者或处理者(“传输方”)在特定的处理行为中受GDPR管辖。
这一标准要求相关处理必须符合GDPR第3条的要求(如下图),是否适用GDPR需针对某个具体处理操作进行评估,不可针对某个特定实体。
二、出口方通过传输或其他方式将受此处理的个人数据提供给另一个控制者、联合控制者或处理者(“接收方”)。
这就意味着传输方和接收方需要是两个不同的实体,且双方均为控制者、处理者或联合控制者。如果数据没有通过传输或其他方式提供给另一个控制者/处理者,即使数据转移到其他国家,也不适用GDPR第五章的数据跨境转移。
属于同一公司集团下的不同实体之间的数据披露也有可能构成个人数据跨境转移。
此外,值得注意的是,关于标准二中的“提供个人数据”,也包含从第三国进行远程跨境访问以及欧盟控制者将数据存储在由服务商提供的位于EEA之外的云中的场景。
三、接收方位于第三国,无论该接收方是否按照GDPR第3条的规定而导致的特定的数据处理行为受GDPR管辖,或者接收方本身是一个国际组织。
第三条标准旨在确保当个人数据不在EEA的法律框架内处理时,GDPR所保障的自然人的数据保护水平不会受到损害。
当欧盟的控制者使用受第三国立法约束的处理者时,处理者有可能会收到政府的访问请求,此时处理者若对这种访问请求进行响应,就会发生个人数据的转移。这种情况下,控制者只能使用那些能充分保证采取符合GDPR要求的技术和组织措施的处理者,确保处理者不会因为第三国立法而妨碍作为处理者的义务。
总结:
如果符合以上三个标准,就存在数据转移,也就意味着转移只能在GDPR第五章的要求下进行,如根据充分性决定进行传输、通过提供适当的保障措施传输,确保个人数据被转移到第三国或国际组织后继续得到保护。反之,如果不符合以上三个标准,则不存在转移,但只要数据处理行为适用于GDPR,就仍需根据GDPR的其他规定对相关数据处理活动承担责任。
参考:
[1] https://edpb.europa.eu/system/files/2023-02/edpb_guidelines_05-2021_interplay_between_the_application_of_art3-chapter_v_of_the_gdpr_v2_en_0.pdf
如有侵权请联系:admin#unsafe.sh