美国隐私护盾是一项基于美国保证的协议,它反过来使欧盟委员会能够做出充分性决定。 《隐私护盾》自 2016 年 7 月 12 日起生效,为欧洲公司将个人数据传输到美国提供了依据。
公司如何加入隐私保护?
每家美国公司都必须通过自我认证获得资格,并确保遵守数据隐私保护原则。要获得根据隐私保护进行自我认证的资格,美国公司必须接受联邦贸易委员会(“FTC”)或运输部(“DoT”)的调查和执法权力。
有关将欧洲公司的美国子公司注册到“欧盟-美国隐私保护盾”名单的信息,您必须在美国商务部注册。
例如,这些原则的保证在于在处理欧洲公民的个人数据时遵守数据最小化和目的限制。如果成功完成自我认证,该公司将被添加到美国商务部的名单中。此外,该美国公司还致力于与美国商务部在数据保护领域开展合作。欧盟公民也可以主张其作为数据主体的权利。美国公司必须在 45 天内做出答复。
在 GDPR 下应如何评估欧盟-美国隐私护盾?
欧盟委员会已经对隐私护盾协议进行了两次审查,以确定隐私护盾是否能够继续确保对个人数据的充分保护,尤其是考虑到GDPR。欧盟委员会最近于2019年9月12日对欧盟-美国隐私护盾进行了第三次年度审查。隐私盾已通过本次审查。
如果没有欧盟-美国隐私护盾,美国供应商就无法再进行符合 GDPR 的数据处理。除了适当的法律基础外,确保适当水平的数据保护保障措施也非常重要。此保证由TOM记录在订单处理的附件中。
第29条工作组已于2016年12月13日给出了恰当的答复。原则上,在将个人数据传输给声称获得隐私护盾认证的美国公司之前,欧洲公司还必须确保该美国公司持有有效的认证(认证必须每年更新)并且该认证适用于相关数据(员工数据或非员工数据)。
要检查认证是否有效,欧洲公司必须查阅美国商务部网站上公布的隐私保护列表。所有美国公司在成功完成自我认证过程后都将被列入名单。隐私保护名单还包括有关美国公司已认证的个人数据 台湾号码资料 类型的信息,以及有关其提供的服务的详细信息。
美国商务部还保存着一份不再是隐私护盾成员的公司名单。这些公司在参与结束后可能不会根据隐私保护盾收到欧盟公民的个人数据,但他们必须继续将隐私保护盾原则应用于其有效会员资格期间传输的数据。
对于将个人数据传输给不是或不再是隐私护盾成员的公司,可以使用欧盟批准的其他工具,用于将个人的个人数据从欧盟转移到位于美国的公司。
原则上,有法律许可将数据传输到第三国,包括美国。 GDPR 第 46 条中的许多法律许可基础必须由监管机构、委员会和美国政府进行协商,以便欧洲公司能够使用这些许可基础。通常采用以下原则:
根据 GDPR 第 40 条批准的行为准则
数据主体的同意
委员会根据审查程序通过的标准数据保护条款
欧盟委员会的充分性决定
其他保证:有约束力的公司规则
请注意,根据 GDPR,国家数据保护法可能会施加额外要求,例如,欧盟的公司可能需要在其数据处理合同中包含额外内容。您所在国家的数据保护机构可以为您提供进一步的指导。