关于传输将个人数据从英国传至境外接收者,您的企业是否符合英国数据保护法关于合法传输方式的要求?
对于国际数据传输,(企业)要考虑的法律包括保留的欧盟版的GDPR和2018年数据保护法(DPA 2018),在本文中统称为“英国GDPR”。
就本文而言,接收者是指个人数据传输方的独立组织或个人。
本文不涵盖属于公共当局或机构的转让者,也不涵盖与公共利益或保护个人切身利益有关的法规。
为了转移个人数据,转让方必须确保其有法律支持,以避免可能的后果的风险,如下所述。此类法律依据可能包括:英国的充分性决定、适当的保障措施,或减损(豁免)。有关这三个概念的更多详细信息,请参阅下文。
企业是否可以依据与(数据)转让相关的英国充分性决定?
首先,企业应考虑将个人数据(受英国 GDPR 约束)传输给另一个国家/地区的接收者是否受英国充分性决定的约束。
英国充分性决定是相关英国国务大臣的调查结果,即认定某个国家、地区、部门或国际组织提供的数据保护水平与英国相当。英国充分性决定意味着个人数据可以自由传输(根据该决定条款),无需监管机构的进一步授权。
英国政府发布的已认定的国家(领土、部门或组织)的名单请点击此处查看。自本名单发布以来,英国还认定了韩国的数据自由传输资格,更多详细信息请点击此处查阅。
如果企业未通过充分性决定认证,是否可以使用适当的保证措施(作为法律依据)?
在企业未通过充分性决定认证的情况下,转让人应考虑其是否能够制定适当的保障措施作为合法转让的(法律)依据。
充分保障措施的示例包括以下内容(此列表并非详尽无遗):
- 使用信息专员办公室 (ICO) 的模板填写的标准数据保护条款
- 具有法律效力的公司规定(公司之间达成的协议)
- 遵守ICO标准(英国信息专员办公室)的行为准则
- ICO授权的合同条款
- 在法定机构授权的证书
转让方只有在能够确定接收方所在地提供可执行的数据主体权利和有效的数据主体法律补救措施时,才能依据充分保障措施(这一法律根据进行数据转送)。英国信息专员办公室(ICO)建议在采取充分保障措施时也进行信息转移风险评估。
针对特定情况的豁免(或称为减损)呢?
转让人应确定自己是否可以依据法定豁免传输数据(只在特定条件下生效)。此类豁免可能包括以下任何一项(此列表并非详尽无遗):
- 数据主体在被告知可能出现的风险后,已明确同意进行特定传输。
- 数据转让是履行合同的必需步骤,也是达到商业目标的必要方式。此例外仅适用于特定条件。如果企业可以通过其他方式合理地,同样达到商业目标,则不适用。
- 诉讼过程中需要传送数据以提供证据。
未能建立合法的数据转移依据后果是什么?
在没有合法数据传输依据的情况下将个人数据从英国转移到英国境外的接收者可能会导致ICO采取执法行动。ICO有权对此进行调查并处以最高1750万英镑的罚款(或最高为上一财政年度全球年营业额的4%,以较高者为准)。
数据主体还可能提出投诉或民事索赔,可能导致不良公关、赔偿支出和成本。
将个人数据从英国传输到其他国家/地区的企业。应该采取什么措施?
- 企业应确定其是否正在(或想要将)任何个人数据转移到英国境外。
- 如果国际传输是(与上述三种法律依据)相关的,企业应确定其正在使用(或将要使用的)合法传输该数据的法律依据是那一条。
- 如果使用该类依据需要相关文件,转让人应确保在启动转让之前已准备好文件。这将包括完成转移风险评估(如适用)。企业应及时了解所需文件的法定格式,特别是考虑到ICO在这方面提供的模板文档的最新变化。
- 通常,企业还应确保遵守英国 GDPR。(本文未涵盖全部英国 GDPR 规则的相关信息)。
3CS 如何提供帮助
有关国际数据传输或任何其他公司或商业法律事务的进一步帮助和建议,请联系您常用的 3CS 联系人。
