? 今天看了一篇文章,《中国公司远程访问其在海外服务器上存储的欧盟个人数据,到底算不算跨境传输?》,关于公司员工在第三国远程访问欧盟主体数据是否属于“跨境传输(international transfer)”,也引发了不少讨论
⚖️ 什么是“跨境传输”?
在 GDPR 框架下,international transfer并不是只要数据离开欧盟就算,需要同时满足以下3点:
1️⃣ Exporter(控制者或处理者)受GDPR约束
2️⃣ 该 exporter 向另一个 controller/processor(importer) 披露或提供访问
3️⃣ 该 importer 位于第三国或属于国际组织
也就是说,仅仅从第三国远程访问欧盟数据,并不自动构成跨境传输,判断关键在于:
是否发生了从一个 controller/processor 向另一个 controller/processor 的披露,如果只是同一控制者体系内的访问行为(within the same controller),就不属于
?关于员工在第三国访问公司数据,EDPB 也提供了案例:
情形1:波兰一家公司的员工出差到第三国开会,远程访问存放在波兰总部服务器上的客户数据,不属于international transfer
原因是:
- 公司员工,不是另一个独立的控制者或处理者
- 数据依然在同一个控制者内部被访问和处理
- 没有发生 exporter → importer 的数据披露
因此,此场景只是同一控制者内部的处理活动
情形2:员工在第三国期间,以公司员工的身份,将欧盟数据发送给另一家位于第三国的控制者或处理者,那么就构成 Chapter V 下的 transfer
? 总结:
员工在第三国的远程访问❌
但一旦将数据发送给第三国的他方✅
?? ICO的说明更直接:只要 sender 和 receiver 属于同一个法律实体,不适用international transfer的规则
?结论
如果同一控制者或处理者在欧盟以外地区处理个人数据,但并未向其他控制者或处理者披露,则该处理活动不应被视为第五章下的向第三国传输。但是,控制者依然必须遵守GDPR的所有一般义务,并对其处理活动承担责任
#数据合规 #大厂法务 #法律实务 #合规
⚖️ 什么是“跨境传输”?
在 GDPR 框架下,international transfer并不是只要数据离开欧盟就算,需要同时满足以下3点:
1️⃣ Exporter(控制者或处理者)受GDPR约束
2️⃣ 该 exporter 向另一个 controller/processor(importer) 披露或提供访问
3️⃣ 该 importer 位于第三国或属于国际组织
也就是说,仅仅从第三国远程访问欧盟数据,并不自动构成跨境传输,判断关键在于:
是否发生了从一个 controller/processor 向另一个 controller/processor 的披露,如果只是同一控制者体系内的访问行为(within the same controller),就不属于
?关于员工在第三国访问公司数据,EDPB 也提供了案例:
情形1:波兰一家公司的员工出差到第三国开会,远程访问存放在波兰总部服务器上的客户数据,不属于international transfer
原因是:
- 公司员工,不是另一个独立的控制者或处理者
- 数据依然在同一个控制者内部被访问和处理
- 没有发生 exporter → importer 的数据披露
因此,此场景只是同一控制者内部的处理活动
情形2:员工在第三国期间,以公司员工的身份,将欧盟数据发送给另一家位于第三国的控制者或处理者,那么就构成 Chapter V 下的 transfer
? 总结:
员工在第三国的远程访问❌
但一旦将数据发送给第三国的他方✅
?? ICO的说明更直接:只要 sender 和 receiver 属于同一个法律实体,不适用international transfer的规则
?结论
如果同一控制者或处理者在欧盟以外地区处理个人数据,但并未向其他控制者或处理者披露,则该处理活动不应被视为第五章下的向第三国传输。但是,控制者依然必须遵守GDPR的所有一般义务,并对其处理活动承担责任
#数据合规 #大厂法务 #法律实务 #合规
