文章分类
一目了然
- 英国GDPR主要适用于位于英国的控制器和处理器,但有一些例外。
- 如果个人数据在英国境外传输,人们可能会失去英国数据保护法的保护。
- 在此基础上,英国GDPR包含有关向英国境外接收者传输个人数据的规则。人们对个人数据的权利必须受到保护,或者必须适用有限数量的例外情况之一。
- 传输规则适用于接收方是独立的控制器或处理器并且在法律上与发送方不同的情况。接收方可以是单独的个体经营者、合伙企业、公司、公共机构或其他组织,包括同一集团中的单独公司。
- 如果接收方是发送方的员工,或者发送方和接收方是同一法律实体(如公司)的一部分,则转移规则不适用。
- 我们将向这些位于英国境外的接收方传输个人数据称为“受限传输”。
清单
1.我们是否计划在英国境外传输个人数据?
如果没有,您可以进行传输。如果是,请转到Q2。
2.为了达到我们的目的,我们是否需要对个人数据进行限制性传输?
如果没有,您可以在没有任何个人数据的情况下进行传输。如果是,请转到第3季度。
3.英国是否有关于接收方所在国家或地区或涵盖接收方的行业的“充分性法规”?
如果是,您可以进行传输。如果没有,请转到第4季度。
4.我们是否制定了英国GDPR中提到的“适当保障措施”,如IDTA或约束性公司规则?
如果是,转到Q5。如果不是,转到Q6。
5.在进行了风险评估后,我们是否确信对于传输数据的数据主体,英国数据保护制度下的相关保护不会受到损害?
如果是,您可以进行传输。如果没有,请转到Q6。
6.英国GDPR中规定的例外情况是否适用?
如果是,您可以进行传输。如果没有,您不能根据英国GDPR进行传输。
如果您未找到允许限制转让的条款,则无法根据英国GDPR进行限制转让。
简言之
- 个人数据国际传输的规则是什么?
- 我们是否限制个人数据的传输?
- 我们需要进行限制性转移吗?
- 我们如何根据英国GDPR进行受限转让?
- 问题1:限制转让是否包含在“充分性法规”中?
- 问题2:限制转让是否有适当的保障措施?
- 问题3:限制转让是否包含在例外情况中?
个人数据国际传输的规则是什么?
英国GDPR包含向位于英国境外的接收方传输个人数据的规则,这些接收方是独立的控制者或处理者,在法律上与您不同。这些规则适用于所有转移,无论转移的大小或执行的频率。
我们将向这些位于英国境外的接收方传输个人数据称为“受限传输”。
进一步阅读
- 英国GDPR中的相关规定——见第44条和序言101-102
外部链接
我们是否限制个人数据的传输?
如果:
首先:英国GDPR适用于您处理您正在传输的个人数据。
英国数据保护制度的范围载于英国GDPR第2条和第3条以及2018年DPA第207节。英国数据保护机制对个人数据的处理进行了规范。(有关详细信息,请参阅《数据保护指南》中的个人数据。)
如果英国GDPR适用于位于英国境外的控制者或处理者,则有关限制转让的规则也适用于他们在英国境外进行的任何转让。
实例
一家澳大利亚零售商通过其网站向英国人宣传和销售鞋子。其数据处理受英国GDPR管辖。它使用澳大利亚处理器运行网站,并使用英国物流公司运送鞋子。
在英国购买鞋子的消费者向澳大利亚公司发送个人数据时,不受限制,因为这些消费者不受英国GDPR的限制。
即使数据直接来自英国客户,这家澳大利亚鞋业公司向其澳大利亚处理器的传输也受到限制。数据传输已由澳大利亚鞋业公司发起并同意,其数据处理受英国GDPR管辖。
与英国的情况一样,向英国物流公司的转让不受限制。
第二:您正在发起并同意向位于英国以外国家的接收方发送个人数据,或使其可访问
只有发起并同意转让的控制者或处理者才负责遵守英国GDPR关于限制转让的规则。他们不需要同时遵守这些特定的英国GDPR限制转让规则。当然,根据英国GDPR的其他部分,他们可能有义务。
这与控制器授权处理器指定子处理器不同。如果您是向位于英国境外的子处理器进行受限传输的处理器,则必须遵守传输规则。您将启动并同意将数据发送给子处理器,通常在子处理器协议中。根据英国GDPR,控制者可能对该数据流负有其他义务,但不负责遵守传输规则。
通常你会知道你必须遵守传输规则,因为你将与接收者签订合同。
如果您根据与英国服务公司签订的合同共享个人数据,即使数据从您自己流向位于英国境外的服务公司的处理器,也不属于限制性传输。在这种情况下,英国服务公司与其位于英国境外的处理器之间可能会发生受限转让。
如果转移规则不适用于您,您仍有英国GDPR规定的其他义务。您需要对与您共享个人数据的任何公司进行一些检查,特别是如果它是您的处理者。这些检查的范围应合理,并与您与该公司共享个人数据所带来的风险相称。
实例
一家英国医疗保健公司与一家英国处理器签订协议,为其患者数据提供数据分析服务。分析由位于英国境外的子处理器执行。数据直接从英国公司流向海外子处理器。
英国医疗保健公司无需遵守转移规则,因为受限制的转移发生在英国处理器及其子处理器之间。
作为对英国处理器尽职调查的一部分,这家英国医疗保健公司要求了解英国处理器如何遵守转移规则的详细信息。由于正在传输健康数据,这家英国医疗保健公司确保了解全球数据流和已实施的保护措施。
英国处理器正在向其海外子处理器进行受限传输,必须遵守传输规则。如果其子处理方是英国处理方的分支机构,因此不是一个独立的法律实体,则不会有限制转让。这是因为该分支机构是英国法律实体的一部分。
如果数据从英国处理器流向海外控制器或处理器(不是其子处理器),通常英国处理器的控制器负责受限传输,并与接收方签订合同。
实例
英国控制器有两个处理器,第一个位于英国,提供一般人力资源服务,另一个位于墨西哥,提供人力资源分析。英国控制器与每个处理器有单独的合同。
英国控制器指示其英国处理器向墨西哥处理器发送某些数据文件。
受限制的传输是在英国控制器和墨西哥处理器之间进行的。
国际传输与全球业务的复杂性相匹配。您可能会发现自己处于这样一种情况:处理器已安排并启动了传输,但未向其子处理器进行传输。在这种情况下,处理者可能负责遵守限制转让规则。您需要考虑这些复杂传输的特殊情况。
实例
一家国际集团通过一家英国零售公司(UK retail Ltd)经营其英国业务,其员工受雇于其英国服务公司(UK services Ltd)。其集中人力资源服务由英国零售有限公司的美国分公司提供(他们是同一法律实体的一部分)。
根据具体情况,英国服务有限公司可能是英国零售有限公司的联合控制方或处理方。
英国服务有限公司决定通过(英国零售有限公司的)美国分公司经营其人力资源服务。如果合同是由英国服务有限公司和英国零售有限公司美国分公司签订的,则这是一项受限制的转让。
如果该合同是由英国服务有限公司和英国零售有限公司签订的,则该转让不受限制。在这种情况下,英国零售有限公司仍然需要考虑如何根据英国GDPR的其他部分,管理因数据流向其美国分行而导致的个人数据风险。
转移与中转并不相同。如果个人数据只是通过非英国国家以电子方式传输,但实际上是从一个英国组织传输到另一个,那么这不是一个受限制的传输。
实例
个人数据从一个英国控制器传输到英国的另一个控制器,但碰巧通过其他几个国家传输。在其他国家,个人数据不会被访问或操纵。因此,没有限制转让。
如果您在纸质上收集有关人员的信息,而这些信息不是以任何方式订购或结构化的,并且您将此信息发送给位于英国以外的服务公司,则您也可以进行限制性传输:
- 数字化;或
- 加入一个高度结构化的个人手动归档系统。
实例
一位英国保险经纪人向英国以外的公司发送一组关于个人客户的说明。这些笔记是手写的,不存储在计算机上或以任何特定的顺序。这家非英国公司将注释添加到计算机客户管理系统中。这是一个受限的传输。
让位于英国境外的独立控制器或处理器访问数据将导致受限传输。这可以通过允许远程访问您的系统或将个人数据放在网站上实现。当英国境外的某人(合法独立的控制者或处理者的一部分)在您的系统上或通过网站访问该个人数据时,就会发生受限传输。
实例
一家英国企业与一家印度公司签订了IT支持合同。这些数据保留在英国业务的服务器上(在英国),但由位于印度的IT支持团队访问。
印度公司对该数据的访问是受限制的传输。
第三:接收者是一个独立的控制器或处理器,在法律上与你不同。
它可能是一个单独的个体经营者、合伙企业、公司、公共机构或其他组织。这包括转移到同一企业集团内的另一家公司。
但是,如果您将个人数据发送给您或与您同一雇主(因此在同一法律实体内)雇用的人,则这不是限制性的传输。
实例
一家英国公司使用其美国母公司在美国提供的集中人力资源服务。这家英国公司向其美国母公司传递与人力资源服务相关的员工信息。这是一个受限的传输。
实例
一家英国公司在澳大利亚销售度假产品。它将购买假日的客户的个人数据发送到他们选择的澳大利亚酒店,以确保他们的预订。这是一个受限的传输。
如果我是一名处理器,但我的控制器在英国以外的地方,该怎么办?
如果您是处理器,则当您向控制器发送或返回数据时(前提是它是相同数据的控制器),它永远不会是受限传输。
此数据流由控制器负责,因为它必须始终由他们发起并同意,可能是在您的处理器协议中。这意味着它不能是限制性转让,因为它将是同一法律实体内的转让(即从控制方转回同一控制方)。
如果您已启动并同意数据流(通常是传输给您的子处理器),则您有责任遵守传输规则。
如果您的控制者已发起并同意转让,则控制者应负责遵守转让规则。当数据流从您发送到另一个控制器或单独的处理器时,通常会发生这种情况。如果英国GDPR不适用于控制人,则英国GDPR转让规则根本不适用。
实例
玻利维亚一家公司使用英国处理器存储和管理其客户数据库。根据其处理器协议,英国处理器被指示将包含个人数据的报告直接发送给玻利维亚公司在阿根廷的母公司。这不是限制性转让,因为它是由玻利维亚公司发起并同意的。
如果玻利维亚公司指示英国处理器将所有个人数据返还给它,则不存在限制性传输。
如果玻利维亚公司指示英国处理器将所有个人数据转发给同样位于玻利维亚的新替换处理器,则英国处理器的传输不受限制。
但是,如果英国GDPR向玻利维亚公司申请处理其客户数据库,则玻利维亚公司与其阿根廷母公司之间以及玻利维亚公司与其位于玻利维亚的新替代处理器之间存在限制性转让。
进一步阅读
立法中的相关规定-见英国GDPR第44条和序言101
外部链接
进一步阅读-ICO指南
数据保护与欧盟
我们需要进行限制性转移吗?
在进行受限传输之前,您应该考虑是否可以在不实际发送个人数据的情况下实现目标。
如果您使数据匿名,从而永远无法识别个人,则它不是个人数据。如果是这种情况,则限制不适用,您可以在英国境外自由传输匿名数据。
进一步阅读
匿名化简介
- 进一步阅读
- 立法中的相关规定——见英国GDPR第44条和序言26
- 外部链接
我们如何根据英国GDPR进行受限转让?
你必须按顺序解决以下问题。
如果根据最后一个问题,您仍然无法进行限制性转让,那么如果您继续,您将违反英国GDPR。
问题1:限制转让是否包含在“充分性法规”中?
如果接收人位于第三国或地区,或者是国际组织,或者在英国“充分性法规”所涵盖的国家或地区的特定部门,您可以进行受限转让。
英国充分性法规在法律中规定,该国家、地区或国际组织的法律框架,或某个国家或地区的特定部门的法律框架已被评估为为人们的个人数据权利和自由提供“充分”保护。
有临时安排,以便英国充分性法规包括欧洲经济区和欧盟委员会充分性决定涵盖的所有国家、地区和国际组织,有效期至2020年12月31日。英国打算随时间审查这些充分性法规。
1) 充足性法规涵盖哪些国家或地区?
英国对以下国家和地区有充分的规定:
- 欧洲经济区(EEA)国家。
这些是欧盟成员国和欧洲自由贸易联盟成员国。
欧盟成员国包括奥地利、比利时、保加利亚、克罗地亚、塞浦路斯、捷克共和国、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、匈牙利、爱尔兰、意大利、拉脱维亚、立陶宛、卢森堡、马耳他、荷兰、波兰、葡萄牙、罗马尼亚、斯洛伐克、斯洛文尼亚、西班牙、瑞典。
- 欧洲自由贸易联盟成员国是冰岛、挪威和列支敦士登。
- 欧盟或EEA机构、团体、办公室或机构。
- 直布罗陀。
- 欧盟委员会充分性决定(2020年12月31日生效)涵盖的国家、地区和部门。
- 其中包括对以下国家和地区的充分调查:
- 安道尔、阿根廷、根西岛、马恩岛、以色列、泽西岛、新西兰、瑞士和乌拉圭。
- 此外,充分性的部分调查结果如下:
- 日本–仅涵盖私营部门组织。
- 加拿大–仅涵盖受加拿大《个人信息保护和电子文件法》(PIPEDA)约束的数据。并非所有数据都受PIPEDA的约束。有关更多详细信息,请参阅欧盟委员会关于加拿大PIPEDA充分性调查结果的常见问题解答。
- 其中包括对以下国家和地区的充分调查:
2021 8月,英国政府宣布,它正在与若干优先目的地合作,这些目的地将来可能会受到适当监管,包括澳大利亚、巴西、哥伦比亚、迪拜国际金融中心、印度、印度尼西亚、肯尼亚、大韩民国、新加坡和美利坚合众国。
ICO在协助媒体文化和体育部开展这项工作方面的作用载于两个当局之间的谅解备忘录中。任何未来的充分性规定将根据本备忘录最终确定,并由英国政府发布。
2) 如果没有适当的决定怎么办?
您应该转到问题2:限制转让是否受到适当保障?
进一步阅读
立法中的相关规定——见英国GDPR第45条和序言103-107和169
外部链接
问题2:限制转让是否有适当的保障措施?
如果英国没有关于某个国家或地区的国家、地区、国际组织或特定行业的充分性法规,那么您应该了解您是否可以将该转让置于“适当的保障措施”之下。
《英国GDPR》第46条列出了适当的保障措施。每一项都确保您和受限制传输的接收者在法律上都必须保护个人数据的权利和自由。我们称之为第46条转让机制。下文对每一项第46条转让机制进行了说明。
您是否进行了转移风险评估?
在您可以依赖第46条转移机制进行限制性转移之前,您必须确保英国GDPR中的相关保护不会对数据被转移的人造成损害。
您应该通过进行风险评估来做到这一点,风险评估应考虑到您所选择的第46条转移机制中包含的保护以及目的地国家对数据主体的保护。
如果您的评估是,第46条转移机制没有提供所需的保护级别,那么在进行转移之前,您必须采取额外的步骤和保护,以便它提供正确的保护级别。
在许多情况下,这种评估无疑是复杂的。
我们对转移风险评估(TRA)和TRA工具有具体指导。
进一步阅读
欧洲数据保护委员会(EDPB)通过了关于补充传输工具的措施的建议。这些建议适用于欧盟GDPR转移制度,此处仅作为有关额外措施的有用参考。我们将在适当时候就这一主题发表自己的指导意见。
ICO转让风险评估指南(TRA)和ICO TRA工具。
第46条各转移机制的说明如下:
1.公共当局或机构之间具有法律约束力和可执行的文书
如果公共当局或机构之间的法律文书包含“适当保障措施”,则可以进行限制性转让。适当的保障措施必须包括对个人数据被转移的人的可执行权利和有效补救措施。
该协议或法律文书也可与国际组织签订。
数据的发送人不需要是本法律文书的缔约方,也不需要是公共机构,前提是法律文书中的适当保障措施适用于传输的数据。
进一步阅读
立法中的相关规定——见英国GDPR第46条和序言108-109和114
外部链接
2.英国约束性公司规则(英国BCR)
使用BCR为进行限制性转让提供适当保障的概念是根据欧盟法律制定的,并且根据英国GDPR(特别是第47条)继续成为英国法律的一部分。
BCR适用于从事联合经济活动(如特许经营权、合资企业或专业伙伴关系)的跨国企业集团、企业集团或企业集团。
有关英国BCR的更多信息,请访问我们的“约束公司规则指南”。
进一步阅读
立法中的相关规定——参见英国GDPR第46–47条、第58.3(j)条以及序言108-110和114
外部链接
3.标准数据保护条款
如果您和接收方签订了包含根据英国数据保护法认可或发布的标准数据保护条款的合同,则您可以进行受限转让。
标准数据保护条款将合同义务强加给发送方和接收方,并将权利授予个人数据被转移的人。人们必须能够直接对发送者或接收者或两者执行这些权利。
我们发布了两套限制性传输的标准数据保护条款,您可以将其用作英国GDPR下的“适当机制”:
- 我们的国际数据传输协议(IDTA);和
- 国际数据传输附录(附录)——这是2021 6月4日欧盟委员会根据欧盟GDPR(新的欧盟SCC)发布的新标准合同条款的附录。新的欧盟SCC本身对英国GDPR项下的限制性转让无效,但使用附录允许您依赖新的欧盟SCCs进行英国GDPR下的转让。
IDTA和附录于2022年2月2日提交议会,并于2022年3月21日生效。
如果您在2022年9月21日之前签署了欧盟委员会根据旧数据保护指令(旧欧盟SCC)发布的旧欧盟标准合同条款,则这些旧欧盟SCC将继续对英国制度下的受限转让有效,但仅在2024年3月21日前有效(详见下文)。
从2024年3月21日起,如果您的受限转让继续进行,您必须根据IDTA或附录签订新合同,或根据英国GDPR找到其他方式进行受限转让。
当您根据IDTA或附录签订合同时,您必须进行转让风险评估(见上文)。
实例
英国的一个家庭在一家英国旅行公司预订了在澳大利亚的假期。英国旅游公司将预订的详细信息发送给澳大利亚酒店。
旅游公司和酒店是独立的控制者,因为他们出于自己的目的处理个人数据并做出自己的决定。
英国旅游公司和酒店应签订IDTA或附录。
英国旅行公司还必须进行转移风险评估。如有必要,他们还应采取额外措施,提供额外保护,以确保家庭在英国数据保护制度下的相关权利不受损害。
IDTA或附录和转移风险评估可能涵盖英国旅行公司和澳大利亚酒店之间的所有类似限制转移,而不仅仅是家庭数据的转移。
如果您正在从控制器向处理器进行受限传输,您还需要遵守英国GDPR关于使用处理器的要求。
进一步阅读
立法中的相关规定——见GDPR第46条和序言108-109和114
外部链接
4.经批准的行为准则
如果接收人签署了我们批准的行为准则,您可以进行受限转让。行为准则必须包括适当的保障措施,以保护个人数据被转移的人的权利,并由接收者作出具有约束力和可执行的承诺,以实施这些适当的保障。
英国GDPR认可使用经批准的行为准则来证明其符合要求。
转移风险评估可以内置于行为准则中,也可以由发送方在向接收方进行受限转移之前进行。
我们正积极与各行业机构和协会合作,审查拟议的行为准则。一旦我们批准了任何行为准则,我们将公布更多信息。
立法中的相关规定——见GDPR第46条和序言108-109和114
外部链接
进一步阅读
欧洲数据保护委员会(EDPB)发布了行为准则指南。这适用于欧盟GDPR,并在此作为有用参考。我们将在适当时候就这一主题发表自己的指导意见。
5.根据经批准的认证方案进行认证
根据我们批准的方案,如果接收人持有证书,您可以进行受限转让。认证方案必须包括适当的保障措施,以保护个人数据被转移的人的权利,并由接收者作出具有约束力和可执行的承诺,以实施这些适当的保障。
英国GDPR还支持使用经批准的认证机制来证明其符合要求。
转移风险评估可以内置于认证方案中,也可以由发送方在向接收方进行受限转移之前进行。
一旦我们批准了任何认证计划,我们将发布更多信息。
- 进一步阅读
- 立法中的相关规定——见GDPR第46条和序言108-109和114
- 外部链接
6.ICO授权的合同条款
如果发送方和接收方签订了一份管理特定受限转让的定制合同,并且该合同已由我们单独授权进行受限转让,则您可以进行受限转让。
根据定制合同的形式和内容,可能仍然需要进行单独的转移风险评估。
7.公共当局或机构之间的行政安排
如果公共当局或机构之间的行政安排(通常是一份文件,如谅解备忘录)涵盖了限制性转让,则可以进行限制性转让。
这项行政安排必须为个人数据被转移者的权利规定“适当的保障措施”。适当的保障措施必须包括个人数据被转移人的有效和可执行的权利。
行政安排必须由我们单独授权,根据行政安排的形式和内容,可能仍需要单独进行转移风险评估。
进一步阅读
立法中的相关规定——见GDPR第46条和序言108-109和114
外部链接
问题3限制转让是否包含在例外情况中?
如果您需要发送个人数据,因为:
- 出现紧急情况;
- 某人的生命、身心健康或福祉面临严重风险;和
- 您无法获得数据传输对象的同意,因为他们无法表示同意。
这包括迫切需要维持生命的食物、水、衣服或住所。(有关重大利益例外的更多信息,请参见下文)。
如果您正在进行英国充足性法规未涵盖的限制性转让,则该转让可能属于英国GDPR第49条规定的八项例外情况之一。
八个例外情况是:
- 您已获得传输数据的相关人员的明确同意。
- 您与传输数据的相关人员签订了一份合同,因此有必要进行受限传输,以便您能够履行该合同中的义务。或者,限制转让是必要的,以便您可以按照该人员的要求执行合同前步骤。
- 受限转让是您签订合同或履行合同义务所必需的。该合同对传输数据的相关人员有利。(在这种情况下,合同不是与该人员签订的)。
- 出于公共利益的重要原因,限制转让是必要的。
- 限制转让对于确定您或其他人是否有合法索赔或辩护、提出合法索赔或为合法索赔辩护是必要的。
- 受限制的传输对于保护某人的切身利益是必要的——这可能是也可能不是传输数据的对象。要使用此例外情况,传输数据的对象必须在身体上或法律上无法同意受限传输。
- 受限制的转让来自公共登记册,并符合与访问该公共登记册相关的法律要求。
- 限制性转让是一次性转让,是满足您的合法权益所必需的。
例外情况2、3、4、5、6和8包含“必要”一词。这并不意味着转让必须是绝对必要的。然而,它必须不仅仅是有用和标准的做法。它必须是实现特定目的的有针对性和相称的方式。如果您可以通过其他方式合理地达到相同的目的,则该例外情况不适用。
仅仅认为转让是必要的是不够的,因为您选择了以特定的方式经营您的业务。问题是转移是否客观上是必要的,是否符合规定的目的,而不是它是否是您选择的方法的必要部分。
因为例外情况必须是必要的和相称的,您可以考虑:
- 需要转移的原因;
- 可用的替代方案;
- 将到位的保护措施;和
- 对人的潜在危害。
我们将在下面更详细地解释如何做到这一点。
例外情况1:您是否明确同意传输数据的相关人员进行受限传输?
由于有效的同意书必须是明确的和知情的,您必须向人们提供有关特定限制转让的准确细节。一般情况下,您无法获得受限转让的有效同意。
你应该告诉人们:
- 接收方的身份或接收方的类别;
- 数据要传输到的国家;
- 为什么您需要进行受限转让;
- 要传输的数据类型;
- 他们能够撤回同意;和
- 重要的是,向一个没有为个人数据提供充分保护且没有任何其他适当保障措施的国家进行转移可能涉及的风险。
公共当局在行使公共权力时不能依赖这一例外。
如果你也在建立第46条的转移机制,你可能希望依靠这一例外。如果根据您的转移风险评估,您认为第46条转移机制没有为所有风险提供适当的保障,则可能会出现这种情况。在这种情况下,为了获得有效的同意,您仍然需要列出上述信息,但仅涵盖第46条转移机制未充分保障的风险。
实例
您打算与另一个国家的个人数据接收者一起加入IDTA。您已完成传输风险评估,并确定存在可能无法充分保护的风险。
您决定仍然保留IDTA,因为它包含许多有用的保护措施,并要求其个人数据被传输的人明确同意受限传输,仅列出TRA认为未得到充分保护的风险的详细信息。
例外2-8:使用这些例外前需要考虑的事项
与第46条的关系
对于下文所述的例外情况2至6和8,您必须首先考虑建立第46条转移机制是否比依赖例外情况更合理、更相称。这是为了使您能够满足要求,以证明转移对于特定例外情况是必要的和相称的。
如果您有第46条转移机制(如上文关于例外情况1所述),您可能还希望依赖例外情况。如果从您的传输风险评估中,您决定传输机制为数据的某些风险(但不是所有风险)提供了适当的保障,则会出现这种情况。然后,您只需要对未充分保护的数据进行例外处理。
在例外情况2至6和8的情况下,必要性和相称性意味着什么?
这里有很多因素你必须考虑。您必须始终意识到,如果您依赖异常,那么一旦数据被传输,就有可能失去所有保护。如果有其他保护措施,这种风险可以降低,这将有助于使对例外情况的依赖更加相称。这可能是第46条的转移机制,在转移风险评估后,您决定不对所有风险提供充分的保障。
下面的问题将帮助您决定是否有必要和按比例进行转移。
限制转让的具体情况是什么?
重要的是,您要做的第一件事是绘制数据流并记录受限传输的具体情况,包括数据保护的详细信息。您需要这些信息才能回答以下问题。
考虑并记录以下内容(如果尚未作为单独转移风险评估的一部分记录):
- 是否有任何数据的第46条转移机制?(如果存在,您应该已经对第46条转移机制进行了转移风险评估,并确定是否存在部分或全部数据无法得到充分保护的剩余风险。)
- 数据将发送给谁?接收方是哪种组织(如ICO、IT公司、母公司或服务公司等公共监管机构)?接收器是控制器、联合控制器、处理器还是子处理器?
- 接收器位于何处?
- 接收者会将数据发送给其他组织吗?如果是,他们是什么样的组织?他们位于何处?
- 你为什么要传输?接收器将如何处理数据?如果数据将被发送给其他组织,他们将如何处理这些数据?
- 如果您已经进行了转移风险评估,您认为哪些风险没有得到第46条转移机制的充分保障?
- 数据是关于谁的?列出数据主体的类别(例如客户、员工或业务联系人)。
- 您正在传输哪种类型的数据,是否包括任何特殊类别的个人数据,或其他更敏感类型的数据(如金融交易数据、位置数据或机密记录)?
- 是否因接收方的组织或人员类型而对数据进行保护?接收方是否必须遵守除目的地国家一般法律制度外适用的专业规则或其他规则(例如,如果进口商是一家律师事务所,则可能需要遵守专业行为规则或特权规则)?
- 是否有其他合同保护(如保密协议)?
- 接收方将采取哪些技术和组织安全措施来保护数据(例如,数据是否化名?是否加密?)?
- 传输数据的格式是什么(如纯文本)?
- 您如何发送数据(例如,您通过电子邮件、网站加密或安全文件传输协议(SFTP)发送数据)?还是涉及远程访问存储在英国的数据?
- 接收器可以访问数据多长时间?
- 这些转移多久发生一次?
- 您正在传输多少个人数据?
您是否需要进行传输以满足您确定的例外情况中规定的目的?
询问是否有可能在不进行限制性转让的情况下实现例外情况中规定的目的——换句话说,是否有必要?
转移是否符合您确定的例外情况中规定的目的?
比例有两个方面:
- 在考虑可供您选择的替代方案以满足您的目的时,请考虑使用其中一种方案或进行限制性转让是否更合适。
More likely to be proportionate to make the restricted transfer | Less likely to be proportionate to make the restricted transfer |
Alternative option is significantly higher cost | Alternative option is around the same cost |
Alternative option is significantly less beneficial to people | Alternative option is similarly or more beneficial to people |
There is a higher risk of harm to people if the alternative option is used | There is a similar or lower risk of harm to people if the alternative option is used |
- 考虑为部分或全部数据建立第46条转移机制而不是使用例外情况是否更为恰当:
More likely to be proportionate to rely on the exception | Less likely to be proportionate to rely on the exception |
Occasional transfers | Regular and predictable transfers, or systematic transfers |
Lower volume of data | Higher volume of data |
Low risk of harm to people once personal data is transferred | Higher risk of harm to people once personal data is transferred |
Other protections for the personal data are available if it is transferred | No other known protections for the personal data if it is transferred |
如果建立第46条的转移机制更合适,那么你应该这样做。
如果没有必要且不相称地依赖例外情况进行限制性转让,那么您需要:
- 获得明确同意(例外情况1);或
- 建立第46条转移机制(进行转移风险评估,确认第46条的转移机制为您的特定转移提供了适当的保障)。
例外2-8:含义和范围
例外情况2
如果您与传输数据的相关人员签订了合同,或者您即将与该人员签订合同,您需要进行受限传输:
这样你就可以履行合同中的义务;或
因此,您可以执行该人员要求的合同前步骤。
您需要为合同或合同前步骤的核心目的进行限制性转让。
公共当局在行使公共权力时不能依赖这一例外。
- 示例
- 一家提供定制旅行安排的英国旅行公司依靠这一例外情况向秘鲁的一家酒店发送个人数据。它之所以这样做,是因为它不定期安排客户入住该酒店。如果是,则应考虑使用适当的保障措施,如IDTA或附录。
- 为此目的,只需发送有限的个人数据,如客户姓名、所需房间和入住时间。
- 在确认旅行套餐之前(英国旅行公司与客户签订合同),客户希望在秘鲁酒店预订一个房间。英国旅游公司必须向秘鲁酒店发送客户的姓名,以便预订房间。这家英国旅游公司通常不会安排客户入住这家酒店。客户希望预订房间,为此必须在联系结束前将其数据发送至酒店。这是应客户(传输数据的对象)的要求进行的合同前步骤。
- 一家英国活动公司定期向英国以外的会议中心发送个人数据,并打算设立IDTA。在进行转移风险评估时,它担心数据在该国没有适当的保障措施。英国活动公司加入IDTA。在这种情况下,包括IDTA提供了一些保护,限制性转让对于履行其与客户的合同是必要的,也是相称的。
例外情况3
如果您已经或即将与传输数据的相关人员签订合同,但该合同是为了他们的利益或他们的利益,您需要进行受限传输:
- 这样你就可以履行合同中的义务。这些义务必须用于合同的核心目的;或
- 这样你就可以签订合同了。
公共当局在行使公共权力时不能依赖这一例外。
您可以依赖例外2和例外3:
- 订立合同的人的个人资料的例外情况2;和
- 例外情况3适用于从该合同中受益的其他人(通常是家庭成员)的个人数据。
例外情况2和3不相同。对于签订合同前所需的步骤所需的限制性转让,您不能依赖例外情况3。
实例
遵循上一个示例。客户正在为自己和家人购买前往秘鲁的旅行套餐。一旦他们在英国旅行公司购买了套餐,英国旅行公司可能需要将家庭成员的姓名发送到秘鲁酒店,以便预订房间。
这是英国旅行公司履行其与客户签订的合同义务所必需的限制性转让,也是为了其他家庭成员的利益。
例外情况4
出于公共利益的重要原因,您需要进行受限转让。
相关公共利益必须是英国法律认可的公共利益。
这不包括国际条约或协定,但包括为使国际协定或条约生效而制定的任何英国法律。
您可能需要法律专业人士的帮助。您正在寻求一项法律,该法律明确或暗示承认该活动是应该或可以做的,并且符合公众利益。
公共和私人组织都可以依靠这一例外。
可能出现此异常的示例包括:
- 竞争主管部门、税务或海关管理部门之间的国际数据交换;
- 金融监管机构之间的监管职能;
- 处理社会保障事务的公共当局之间;和
- 公共卫生(如传染病接触追踪,或减少或消除体育运动中的兴奋剂,或两者兼而有之)。
我们发给美国证券交易委员会(SEC)的信中列出了一个非常具体的例子,关于从受SEC监管的英国金融服务公司传输数据。请注意,这是根据欧盟GDPR编写的,我们对英国GDPR的例外情况的指导已经更新。
例外情况5
您需要进行限制性转让,以确定您或其他人是否有合法索赔或辩护,或提出或辩护合法索赔。
个人数据传输的需要与法律要求之间必须有密切的联系。
索赔必须是合法索赔,但可适用于:
- 将在法院(包括民法和刑法)提出和辩护的索赔;
- 将在仲裁庭(如就业仲裁庭)提出和辩护的索赔;
- 行政或监管程序(如为竞争法或金融服务法规中的调查(或潜在调查)辩护,或寻求合并批准;或
- 庭外程序(如不妨碍会议、调解或仲裁)。
该例外情况并不要求行政或监管机构已启动诉讼程序或采取正式步骤。但是,如果未来只有可能提出法律索赔或其他正式诉讼,则不能依赖这一例外。
如果您或涉及法律索赔的其他人:
- 从事行动前通信;
- 正在就提出或辩护索赔的法律风险提供建议;
- 已收到海外监管机构的信息请求,以便其可能采取正式行动。
公共和私人组织都可以依靠这一例外。
例外情况6
您需要进行限制性转让,以保护个人的切身利益。
这可能是也可能不是传输数据的对象。但该人不可能同意。
重大利益包括当某人的生命、身心健康或福祉面临紧急和严重风险时的情况。这包括迫切需要维持生命的食物、水、衣服或住所。
有关更多信息,请参阅我们的数据保护指南中的重要利益。
传输数据的人可能或可能不是其切身利益受到威胁的人,但该人必须不可能表示同意。这可能是因为这在物理上或法律上都不可能。例如:
- 此人已失去知觉。
- 您无法联系此人。而且,考虑到情况,你已经采取了合理和适当的步骤来尝试与他们联系。在紧急情况下,甚至不去尝试和他们联系都是合理和相称的。
- 您没有时间向此人提供他们明确同意所需的所有信息。
- 该人无法理解其明确同意所需的所有信息。
对个人切身利益的风险必须超过任何数据保护问题。因此,一般医学研究不可能依赖这一例外。
公共和私人组织都可以依靠这一例外。
实例
一名英国公民在美国处于昏迷状态,有关其病史的数据需要转移到美国医院进行必要的医疗治疗。此例外情况适用。
如果英国公民是清醒的,能够给出明确的同意,并且你有时间这样做,那么你不能依赖这个例外。
如果美国医院需要英国母亲提供有关英国公民家庭史的信息,且母亲患有严重痴呆症,则该例外情况适用,因为母亲无法同意。
例外情况7
您正在从公共登记簿进行受限转移。
登记册必须根据英国法律创建,并且必须向以下任何一方开放:
- 公众;或
- 任何能够表现出合法利益的人。
例如,公司、协会、土地登记册或公共车辆登记册。
正在转移的公共登记册的数量越大,受限制的转移就越不可能成比例。如果要转移整个公共登记册或公共登记册上的一整套个人数据,那么进行限制性转移是不可能的。
转让必须符合英国法律,该法律适用于公共登记簿中的咨询和披露。
如果根据法律规定,只有那些有合法利益的人才能访问登记册,那么评估的一部分必须考虑到,该登记册被发送到的国家对数据传输所涉及的人的保护程度较低。
创建和持有登记簿的私人公司不能依赖此例外情况(如信用参考数据库)。
例外情况8
您正在进行一次性限制性转让,这符合您的合法利益。
你不应该轻易地依赖这个例外,也不应该常规地依赖它,因为它只适用于真正的例外情况。
公共当局在行使公共权力时不能依赖这一例外。
要使此例外情况适用于您的受限传输,必须满足以下所有条件:
- 您无法使用任何第46条的转移机制。你必须认真考虑这一点,即使这将涉及你的重大投资。
- 其他例外情况均不适用。同样,您必须认真考虑其他例外情况。例如,您可以通过一些努力或投资获得明确的同意。
- 您的传输不得重复。它可能不止一次发生,但不能是定期和可预测的,也不能是系统性的。
- 个人数据只能与有限数量的人相关。这没有绝对阈值。参与人数应该是你在下面第6点中进行的平衡练习的一部分。
- 转让必须是您的合法利益所必需的。请将合法利益视为《数据保护指南》中处理数据的合法依据,但请记住,这一例外情况需要更高的标准。这必须是一个令人信服的合法利益。如果您无法进行限制性转让,那么您将面临严重后果,如果您确实进行了限制性转让的话,那么将获得非常重大的利益。
- 例如,传输个人数据以保护公司的IT系统免受严重的即时伤害。
- 总的来说,你引人注目的合法利益超过了人们的权利和自由。您必须平衡:
- 如果您无法进行限制性转让,将给您带来严重后果,或者如果您确实进行了转让,将带来非常重大的利益;反对
- 由于进行限制性转移而对人造成伤害的风险。
- 您已对有关转移的情况进行了全面评估,并提供了适当的保护措施来保护个人数据。
- 适当的防护措施可能是:
- 第46条转让机制,在您进行转让风险评估后,该机制不能为所有风险提供充分保障;
- 严格的保密协议;
- 法律要求在传输后立即删除数据;
- 防止将数据用于其他目的的技术控制,或在传输后立即自动删除数据的技术控制;或
- 发送假名或加密数据。
- 您必须将其完整记录在处理活动的文档中。
- 您已经通知了传输数据的相关人员,解释了受限传输以及为什么您的合法权益超过了对他们的任何伤害风险。
- 您已通知ICO有关转移的信息。我们将要求查看您已采取的所有步骤的详细信息,如上所述。如果我们不同意您的评估,我们可能会建议您进行限制性转让将违反英国GDPR转让规则,我们将考虑是否适合使用我们的监管权力。
进一步阅读
立法中的相关规定——见GDPR第49条和序言111-112
外部链接
进一步阅读
数据保护危害
监管行动政策
欧洲数据保护委员会(EDPB)根据第2016/679号条例通过了关于第49条减损的第2/2018号指南。这些指南适用于欧盟GDPR转移制度,仅作为有用参考
- 登录 发表评论