根据一个 新闻稿 巴伐利亚数据保护局的日期为2016年11月3日(“新闻稿”),德国10个数据保护机构(“DPA”)已开始对国际数据传输(即向非欧盟国家的传输)进行协调的书面审核和评估。将要求500家德国公司完成全面 问卷调查 其中涵盖了公司向欧盟以外的国家/地区进行国际个人数据传输的详细信息。

动机

巴伐利亚DPA对其解释 网站 进行审核的动机如下:

“近年来,私人部门中国际个人数据传输的数量大大增加。这种发展的原因之一是经济全球化以及所谓的云计算的服务和产品的不断传播。即使是德国的中小型企业,也使用许多此类外部服务来传输个人数据(例如客户,雇员或申请人的个人数据)。

“但是,其中许多服务是由美国公司提供的–因此通常需要将个人数据传输到美国和/或其他非欧盟国家。到目前为止,德国数据保护机构(DPA)的经验表明,公司并不总是意识到使用此类产品会将个人数据转移到非欧盟国家这一事实。”

此外,巴伐利亚DPA在其新闻稿中指出,打算将个人数据转移到欧盟以外国家的公司必须评估是否可以确保足够水平的数据保护;否则,将不会进行任何转移。巴伐利亚DPA认为,至关重要的是,必须提高公司对数据处理活动是否以及在何种情况下将个人数据传输到欧盟以外国家/地区的认识。如果发生此类转移,则公司必须考虑是否有足够的法律依据来进行此类转移。

影响力

巴伐利亚州数据保护专员Thomas Kranig说:

“即使对于中型公司来说,将个人数据传输到欧盟以外的国家也是日常业务的一部分,尤其是考虑到云计算解决方案在市场中的占有率不断提高。但是,公司需要意识到在这方面需要遵守与数据保护相关的特定要求。目前由10家德国DPA进行的协调审核的目的之一是提高公司在这一领域的意识。根据对问卷的答复,巴伐利亚DPA将在必要时进行更深入的评估。”

从巴伐利亚数据保护专员的声明中可以看出,收到调查表的公司应认真对待调查表。错误的答案可能会导致DPA进行更全面和彻底的调查。违反德国数据保护法(Bundesdatenschutzgesetz – BDSG)被DPA检测到,可能会导致最高300,000欧元的行政罚款。

问卷范围

在接下来的几周内,DPA将向500家公司随机发送调查表。但是,这是DPA’旨在确保将涵盖不同部门的不同规模的公司纳入协调审核中。

问卷涵盖了有关公司国际数据传输的许多细节。公司应回答以下问题:

  1. 将个人数据转移到美利坚合众国
    1.1您是否将个人数据传输到美国?
    1.2如果是,此类转移是否包含客户数据和/或员工数据和/或其他类别的个人数据?
    1.3此类转移至美利坚合众国的法律依据是什么(安全港,欧盟-美国隐私盾,示范条款,附带附加条款/修正案的示范条款,个人协议,具有约束力的公司规则,同意书)?
    1.4如果是基于EU-U.S。的转让隐私盾:您如何确定收件人是经过隐私盾认证的? (隐私Shield list 美国商务部的声明,由收件人声明。)
  2. 个人数据转移到其他第三国
    2.1您是否将个人数据转移到欧盟和欧洲经济区以外的其他国家(美国除外)?
    2.2如果是,覆盖哪些国家?
    2.3这样的转移是否包含客户数据和/或员工数据和/或其他类别的个人数据?
    2.4此类转移使用了什么法律依据(欧盟委员会的充分决定,示范条款,带有附加条款/修正案的示范条款,个人协议,具有约束力的公司规则,同意)?
  3. 转移至第三国(包括美国)的类型
    3.1您是否将个人数据转移到欧盟和欧洲经济区以外的国家,转移到“控制者”和/或“数据处理者”?
    3.2您是否将个人数据转移到欧盟和欧洲经济区以外的国家或地区转移给属于您的成员的公司 自己公司的小组 (例如,母公司和/或子公司和/或关联公司)?
    3.3您是否利用了 远程维护服务 来自欧盟和欧洲经济区以外的国家/地区,服务提供商可能会在此期间访问个人数据(例如客户数据或员工数据)?
    3.4您是否利用了 支持服务 来自欧盟和欧洲经济区以外的国家/地区,服务提供商可能会在此期间访问个人数据(例如客户数据或员工数据)?
    3.5您是否为欧盟和欧洲经济区以外的国家/地区的员工提供旅行管理服务,并为此目的将个人数据传输给受托方?如果使用了第三方服务(例如云服务),请指明这些服务。
    3.6您是否利用以下领域的服务 客户关系管理 要么 行销 在欧盟和欧洲经济区以外的国家?为此,您是否将个人数据传输给委托方?如果使用了第三方服务(例如云服务),请指明这些服务。
    3.7您是否利用了以下方面的服务 个人招聘/候选人管理/技能数据库 在欧盟和欧洲经济区以外的国家?为此,您是否将个人数据传输给委托方?如果使用了第三方服务(例如云),请指明这些服务。
    3.8您使用 云存储解决方案 第三方提供商,在此过程中哪些个人数据被转移到欧盟和欧洲经济区以外的国家?如果是,将使用哪些解决方案?
    3.9您使用 通讯服务 第三方提供商,在此过程中,哪些个人数据被转移到欧盟和欧洲经济区以外的国家?如果是,将使用哪些服务?
    3.10您使用 云办公解决方案 第三方提供商,在此过程中哪些个人数据被转移到欧盟和欧洲经济区以外的国家?如果是,将使用哪些解决方案?
    3.11您使用 协作平台 (例如聊天或消息系统,视频会议系统,文档交换系统,Wiki解决方案)的第三方提供商,在此过程中,个人数据(例如员工数据)被转移到欧盟和欧洲以外的国家/地区经济区?如果是,将使用哪些平台?
    3.12您使用 票务或支持系统 第三方提供商处理您的客户查询,在此过程中,哪些员工数据和/或客户数据被转移到欧盟和欧洲经济区以外的国家/地区?如果是,将使用哪些系统?
    3.13在以下字段中 质量管理,风险管理和合规,您是否在将员工数据和/或客户数据转移到欧盟和欧洲经济区以外的国家(例如道德热线或投诉热线)的过程中使用产品?如果是,将使用哪些产品?
    3.14您是否使用问题3.3至3.13所未涵盖的第三方提供商的其他服务,在此过程中将个人数据传输到欧盟和欧洲经济区以外的国家?如果是这样,请简述服务类型。使用哪些服务?
  4. 数据保护官
    4.1贵公司是否任命了数据保护官?
    4.2如果是这样,到目前为止,您的数据保护官是否参与了国际数据传输的评估?
    4.3如果没有,为什么您的公司不让您的数据保护官参与此类评估?