说明:“考点拾遗”系列基于日常为学员和网友做的答疑整理,主要涉及教材中没有完全覆盖到的知识点。
GDPR涉及数据跨境这块,有三种情况,如下:
1、基于充分性认定的传送
如果欧盟委员会认定第三国、该第三国的某地区或一个或多个特定部门,或某国际组织,具备“充分性保护”(就是达到了与GDPR可对等的程度)的情况下,可以不需要任何特定的授权,从欧盟直接向上述该国/地区/范围传输需要传递的数据。
2、采用标准合同条款
所谓标准合同条款,是由欧盟委员会通过的标准数据保护条款、监管机构采用的标准数据保护条款或监管机构授权的合同条款,一般由监管机构公开发布和更新,跨境传输的相关企业直接去监管机构网站上拿就是。
标准合同条款适用于位于欧盟的企业向不满足上述“充分性认定”的区域内另一企业跨境传输数据。比如飞利浦法国公司与深圳富士康之间传递数据。
3、具有约束力的公司规则
具有约束力的公司规则指的是跨国机构的内部规则,但这个规则必须得到欧盟GDPR监管机构批准才行。
已建立了得到监管机构批准的“具有约束力的公司规则”的跨国机构,可以基于此约束规则,在集团内的欧盟子公司与他国境内子公司之间传递数据。比如飞利浦法国公司和飞利浦中国公司之间传递数据。