了解数据保护——转移影响评估如何发挥作用。
简介:转移影响评估(Transfer Impact Assessment,简称TIA)在数据保护领域相对较新,是当前个人数据向第三国国际转移领域发展的结果。最迟随着欧洲法院的 Schrems II 裁决,欧盟委员会感到有必要修改标准数据保护条款(SCC),并使其适应 GDPR 的要求。其中还包括,根据新《合同法》第 14 条的规定,未来必须对向第三国的转移进行评估。您将在下一篇文章中了解这一切是如何运作的以及在进行评估时需要注意什么。
内容:
什么是转移影响评估?
标准数据保护条款和转移影响评估
TIA 的程序
数据传输的最终评估
我们的数据保护电子书
立即从 Keyed 获取免费、实用的电子书,以实施数据保护。
什么是转移影响评估?
转移影响评估最初被视为对向不安全的第三国转移数据的另一种风险评估形式。进行转移影响评估的义务直接源自标准数据保护条款。该风险评估不是对处理活动风险评估甚至数据保护影响评估的补充,而是对数据将要传输到的第三国的安全级别的独立分析。该分析区分了两个角色:数据出口者和数据进口者。数据输出者是 GDPR 第 4 条第 7 款所定义的控制者,其将个人数据传输至第三国,例如在使用托管在第三国的软件服务时。数据导入者通常是处理器,例如向欧洲控制者提供其解决方案的软件提供商。
转移影响评估
信任越多,风险越小。
通过严密的数据保护让您的客户信服,减少审计工作量并降低您的责任。立即计算您的定制价格。
标准数据保护条款和转移影响评估
标准数据保护条款为创建进行转移影响评估时需要考虑的因素的模板提供了初步指导。基本上,根据新《SCC》第 14 条 a) 款规定,其内容如下:
“双方承诺,他们没有理由相信,适用于数据输入方在第三国处理个人数据的法律和惯例,包括披露个人数据的要求或允许公共当局访问此类数据的措施,会阻碍数据输入方履行本条款规定的义务。”
随后,第 14(b) 条规定的数据出口方和进口方承诺考虑 i) - iii) 项下列出的方面,并评估第 14(a) 条规定的保证是否也能实现。 SCC规定了以下几个方面:
根据 i):
转移的具体情况,[…]处理链的长度,使 尼泊尔号码数据 用的[…]参与者的数量,预期的传输渠道,接收者的类型,处理的目的,转移的个人数据的类别和格式,转移发生的经济部门,转移数据的位置,
根据ii):
[…]目的地第三国的相关法律和惯例(包括要求向公共当局披露数据或允许公共当局访问此类数据的法律和惯例)以及适用的限制和保障措施,
根据iii):
为补充保障措施而制定的任何相关合同、技术或组织保障措施[…],包括在转移过程中和在目的地国处理个人数据期间采取的措施。
此外,根据第 14(d)条的规定,双方还须履行文件义务,即所谓的转让影响评估的形式来履行。否则,这将构成数据保护违法行为,并可能根据转移给自然人权利和自由的风险导致高额罚款。因此有充分的理由说明应该进行此类 TIA。