11月11日2020年11月11日,欧洲数据保护委员会(EDPB)发布了关于国际转移的补充措施的建议(这里)关于监督措施的欧洲基本担保的建议(这里),遵循Schrems II决定(见我们以前的博客 这里)。

由于Schrems II决定,在案例基础上,需要在国际转移期间使用某些转移机制作为个人数据的适当保障,例如标准合同条款(SCC),以评估是否为第三国的法律提供了一定程度的保护水平,基本上相当于欧洲经济区(EEA)的保证。如果这种保护不等同,则数据出口商应考虑是否可以实施任何补充措施以填补保护差距。

补充转移措施

EDP​​B关于补充转移措施的建议旨在协助控制人员和处理器作为数据出口国的作用,旨在在适当的情况下识别和实施适当的补充措施。 edpb已经制定了一个‘roadmap’由六个步骤组成,在确定是否必须为某些数据传输提供补充措施时应由数据出口商拍摄:

  1. 知道你的转移;
  2. 验证传输依赖的转移工具;
  3. 在您的特定转移的背景下评估第三国的法律或实践;
  4. 如有必要,确定并采纳必要的补充措施;
  5. 采取任何正式的程序步骤,以通过确定必要的补充措施;和
  6. 以适当的间隔重新评估数据传输的保护水平。

EDP​​B的建议还包括补充措施的例子(技术措施,组织措施,合同措施)和因素,必须在与每项措施相关的情况下,以确保其有效和适当。

但是数据出口国将如何评估第三国法律? EDP​​B的视图是数据导入器应该能够提供数据出口商“具有与建立的第三国相关的相关来源和信息以及适用于其的法律”。此外,数据出口商还应指额外的材料,例如欧洲联盟判例法的法院,充足的决定,国家案件法或学术直觉的报告。

直到2020年11月30日,建议开放咨询。

欧洲基本保证

艾普布还发布了关于欧洲基本担保对监督措施的建议,这与补充措施的建议互补。这些提供了数据出口商,其中包含框架,以确定数据的第三国的监督规律是否会使欧洲联盟标准合理的方式干扰隐私权。 eDPB提到四个欧洲基本保证:

  1. 处理应基于明确,准确和可访问的规则;
  2. 对数据主体的基本权利和自由的任何限制必须受必然和相称原则;
  3. 对数据受试者的数据保护权的任何干扰应受到独立监督机制的影响;和
  4. 有效的补救措施需要提供给数据主题。

这些‘core elements’在评估监督法的干扰水平时,必须考虑数据出口商,以第三国的隐私权和数据保护的基本权利。 EDP​​B还强调,这些元素不应单独审查,但在一起。在实践中的这种方式仍有待确定。

结论

艾普布希望其建议将有助于确保在Schrems II决定的背景下在GDPR下的国际转移义务中持续存在于欧洲截核方面的一致性。但是,对第三国的监督法进行评估,并确定可以采取任何补充措施,以确保基本上相当于EEA中的保护水平并非卑鄙,需要使用合适的资源来接近。