2024 年 12 月 3 日
在最近的全体会议上,欧洲数据保护委员会 (EDPB) 发布了有关向第三国当局传输数据的 GDPR 第 48 条指南,并批准了新的欧洲数据保护印章。
EDPB 帮助组织评估第三国当局的数据传输请求
在高度互联的世界里,组织机构会收到来自其他国家政府机构的请求,要求共享个人数据。例如,数据共享有助于收集犯罪案件的证据、检查金融交易或批准新药。
当欧洲组织收到“第三国”(即非欧洲国家)当局的数据传输请求时,它必须遵守《通用数据保护条例》(GDPR)。EDPB 在其指南中重点介绍了 GDPR 第 48 条,并阐明了组织如何才能最好地评估在哪些条件下他们可以合法地响应此类请求。通过这种方式,指南可以帮助组织在被要求时决定他们是否可以合法地将个人数据转移到第三国当局。
第三国当局的判决或决定不能自动在欧洲得到承认或执行。如果某个组织回复了第三国当局的个人数据请求,则此数据流构成转移,并且适用 GDPR。国际协议可能同时规定了转移的法律依据和理由。如果没有国际协议,或者协议没有规定适当的法律依据或保障措施,则可以在特殊情况下根据具体情况考虑其他法律依据或其他转移理由。*
该指南将接受公众咨询,截止反馈日期为 2025 年 1 月 27 日。
获得欧盟数据保护印章批准
在全体会议期间,委员会还通过了一项意见,批准了有关控制者或处理者处理活动的品牌合规性认证标准。2023 年 9 月,委员会已经通过了一项关于批准品牌合规性国家认证标准的意见,使其成为荷兰组织数据处理的官方认可认证标准。新意见的批准意味着这些标准现在将适用于整个欧洲,并作为欧洲数据保护印章。
GDPR 认证可帮助组织证明其遵守数据保护法。这种透明度有助于人们信任组织处理其个人数据的产品、服务、流程或系统。
