Baden-Württemberg(LFDI BW)联邦州的德国数据保护机构已在国际数据转移发出的详细指导(指导) 八月九月。这是欧盟司法法院(C-311/18的欧盟(CJEU)法院决定后的数据保护机关的第一个正式指导 数据保护专员v。Facebook Ireland Limited,Maximillian Schrems)包含一些实体的指导和下一步的建议。

指导摘要:(i)清单加(ii)行动项目

LFDI BW迭代国际数据转移应受充分的评估,必要时,必须实施补充转让机制的补充额外保障措施。对于此评估,LFDI BW提出了解决SCC的修正案和特定行动项目,并潜在其他数据转移机制。

(i)清单

LFDI BW的清单列出了每个数据出口商应在欧盟/ EEA之外转移个人数据时检查和评估的项目:

(一种) 确定个人数据转移到第三国的案件 (包括例如私人和政府远程访问);

(b) 联系服务提供商和第三国的合同合作伙伴 并告知他们关于CJEU的判断及其影响;

(C) 如果需要,评估和更新隐私声明,特别是提供有关国际数据转移的信息,例如依赖于依赖的转移机制(第13(1)升)GDPR);

(d) 如果需要,评估和修改加工活动的记录;

(e) 请求基于隐私盾构框架转移个人数据的数据处理器,立即停止此类传输 直到服务提供商(或部署子处理器)确保与欧盟内部对应的数据保护级别;

(F) 评估第三国的法律状况 (隐私法,政府访问请求,数据主体权利,法律补救措施等)及 第三国是否存在充足的决定 (艺术45 GDPR);

(G) 重新思考转移到第三国,并评估是否可以避免转移,例如,通过使用不需要将个人数据转移到第三国或提供个人数据的加密的服务提供商,而不为任何其他方提供关键;

(H) 评估SCC是否可以依赖各自的第三国 如果是这样, 是否需要额外的保障措施,例如, SCC的修订(见下文)或加密或匿名化等技术措施);

(一世) 评估是否有限制的公司规则(BCR) 可以依赖(第47 Gdpr),如果是的话, 是否需要额外的保障措施;

(j) 评估是否 - 作为ULTIMA比率 - 可以依赖特殊情况的任何损失,例如,用于组内数据转移(第49 GDPR);

(k) 评估每项评估和后续步骤是否足够有资料,并可证明给当局 (第5(2)GDPR)。

(ii)行动项目– Amendment of SCCs

如果数据传输依赖于个人案例中数据出口商的SCC和风险评估表明需要额外的保障措施,LFDI BW建议至少接触到数据进口商,并建议对SCC的以下修订:

(一种) 包括数据进口商的义务通知数据受试者将个人数据转移到第三国;

(b) 包括数据导入器不仅通知数据出口商但是– as far as known –还有关于披露任何法律约束力请求的数据 执法权限的个人数据;如果后者通知是禁止的,例如,在刑法下,数据进口商必须有义务通知数据出口商,他们应联系当地数据保护机构以评估如何进行;在这种情况下,数据进口商应有义务经常提供有关当局(至少有关请求,请求数据,权限)到数据出口商的披露请求的一般信息;

(C) 包括数据进口商采取任何法律行动的义务,根据披露要求提供任何法律行动,并避免披露任何个人数据, 直到主管法院(持久)已确认请求;

(d) 包括数据进口商向数据主题通知子处理器的任何参与的义务;

(e) 包括数据导入者赔偿数据主题的义务, 无论任何故障,来自数据主体的所有损坏,由数据进口商州的当局访问个人数据;

(F) 包括赔偿条款,涵盖可能损害赔偿金的责任导致数据进口商不遵守其义务。

根据LFDI BW,这些修正案应包括在单独的协议或协议本身中。

对于对美国的个人数据转移,但是,在大多数情况下,LFDI BW考虑了其他保障措施,例如加密和个人数据的匿名化。

评论

这一指导是第一个,因为它包含一些特定的想法和步骤,尽管Schrems II决定尽可能使数据转移成为可能。它专门地解决了SCC,但也转换为其他数据传输机制(例如BCR)。到目前为止,欧盟数据保护当局仅对Schrems II决定进行了云。 LFDI BW的权威仅限于巴登 - 符腾堡州的联邦州。然而,它仍有待观察到其他德国或欧洲数据保护当局是否遵循LFDI BW的解释。

欧盟委员会正在为国际数据转移进行一组新的标准合同条款,这是较高预期的,并希望今年仍然更加清晰。

数据出口商应继续评估其国际个人数据转移,并在必要时实施其他保障/行动项目。然而,额外的合同条款应该是灵活的,并且可以采用更改,例如新的SCC。

资源:

链接到八月指导: //www.baden-wuerttemberg.datenschutz.de/verunsicherung-nach-schrems-ii-urteil-lfdi-baden-wuerttemberg-bietet-hilfestellung-an/

链接到9月的指导意见: //www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/Orientierungshilfe-Was-jetzt-in-Sachen-internationaler-Datentransfer.pdf

我们在CJEU的Schrems II判决中可以查看我们的博客 这里.