新的 2018/1807关于欧盟非个人数据的自由流动框架的规定(欧盟)2018/1807 (非个人数据规则的自由流动),我们在以前讨论过 博客,从2019年5月28日开始适用。与一般数据保护条例(欧盟)2016/679(GDPR)一起,这两项法规现在提供了一个 “欧洲共同数据空间和自由流动的全面框架 全部 欧盟内部的数据“。欧盟委员会已发表 实用指导 帮助用户了解这两个法规之间的互动。

个人,非个人或混合数据?

委员会的指导涉及每个规定所涵盖的个人和非个人数据的概念。虽然个人数据在GDPR中定义,但非个人数据是在非个人数据监管的自由流动中定义反对的,如 “除了第4条第1点中定义的个人数据之外的数据 GDPR。非个人数据由原点分类为:(1)最初没有与已识别或可识别的自然人(或(2)最初个人数据的数据相关的数据,但后来是匿名的。注意,个人数据的匿名与假匿语言不同,后者正在处理最终归因于使用附加信息的人的数据。

在大多数日常情况下,数据集可能是由个人和非个人数据组成的混合数据集。该指导提供了混合数据集的示例,例如公司的税务记录,提及公司董事总经理的姓名和电话号码。在混合数据集的情况下,指南设置方法如下:

  1. 非个人数据规则的自由流程适用于该集合的非个人数据部分;
  2. GDPR适用于该集合的个人数据部分;
  3. 如果非个人数据和个人数据是“有着千丝万缕的联系“,即使个人数据代表集合的一小部分,GDPR下出现的数据保护权和义务也将完全适用于整个混合数据集。

虽然这个词“有着千丝万缕的联系“在任何条例中没有定义,指导是指分离个人和非个人数据的情况”如果控制器是不可能的或考虑在经济上低效或没有技术上可行的“。例如,在某些情况下,分离数据集可能需要公司促使重复成本(例如,通过必须购买单独的软件来处理两种类型的数据),或者它可以显着降低数据集的值。在其他情况下,它可能证明是不可能指向不同类别的数据之间的分界线,因为这与新的技术发展变得更模糊。因此,任何监管都不需要企业将他们流程的数据集分开。

没有数据本地化要求

非个人数据监管的自由流程规定了一般禁止数据本地化要求 - 无论这些都是直接的(例如,在特定地理位置中的服务器上存储数据)或间接(例如,使用技术设施的义务具有阻碍特定位置之外的数据处理的效果)。在公共安全的理由下可能出现例外,但这必须与需要实现的目的成正比。

自我调节支持数据的自由流动

符合非个人数据监管的自由流动,委员会鼓励行业参与者在欧盟级别开发自我监管的行为守则,以促进竞争数据经济。此类行为守则应解决数据的移植,以避免用户无法在服务提供商之间切换的供应商锁定实践,因为它们的数据被“锁定在”提供商的系统中。欧洲数据保护委员会已发布 行为和监测机构守则指导方针 如我们以前所讨论的那样咨询 博客.

评论

该指南向企业提供有关关于GDPR与非个人数据监管的自由流程之间的业务的有用信息。这两个规则旨在实现数据的自由流动,通过消除数据本地化要求,维护数据便携性要求和鼓励行业制定行为准则,以促进数据的自由流动。这应该使中小型企业更轻松,特别是跨越边界扩展并开发新的创新服务。