數據駐留:GDPR中未找到的概念 您是否遇過客戶告訴您,他們的數據必須存儲在特定位置? 請放心:作為數據處理器,我們經常會遇到關於數據駐留位置的討論,我們經常面對人們確定他們的數據必須存儲在給定的國家/地區。但事實是,大多數人對這一法律要求沒有正確的答案。 要了解數據存儲的義務和要求,首先需要了解“數據駐留”和“數據本地化”之間的概念差異。 什麼是數據駐留和數據本地化? 數據駐留是指組織指定其數據必須存儲在其選擇的地理位置,通常是出於監管,稅務或政策原因。相比之下,數據本地化是指法律要求在某個區域內創建的數據保持在該區域內。 人們認為數據必須存儲在某個位置通常至少追求以下三個目標之一:
但是,重要的是要注意,根據數據保護法,訪問個人數據被視為“轉移” - 即使數據存儲在德國(例如),如果公司在印度有工程師訪問數據以獲取客戶服務或支持目的,它現在“移動”出德國。因此,如果有國外支持部門的訪問權限,您不能在德國申請“居住權”。此外,付款處理功能有時也會在其他國家/地區發生,因此請務必考慮這些功能。這是一個經常被遺漏或誤解的重要觀點。 了解了數據駐留和數據本地化的概念後,下一個問題是,GDPR下是否存在數據駐留或本地化要求? 簡而言之:No. GDPR不會引入也不包括任何數據駐留或本地化義務。根據GDPR的前身數據保護指令(95/46 / EC),也沒有數據駐留或本地化義務。事實上,指令和GDPR都建立了在歐盟以外傳輸數據的方法。 話雖如此,重要的是要注意當地法律可能對數據存儲的位置施加某些要求(例如,俄羅斯的數據本地化法,德國健康和電信數據的本地化法等)。 因此,如果GDPR下沒有數據駐留或本地化要求,我們可以將數據傳輸到其他位置嗎? GDPR基本上重複了數據保護指令的要求,該指令規定,如果您將數據移出歐盟以外的國家/地區進入具有不適當保護措施的管轄區,則需要採用合法轉讓手段(參見此處的地圖)。合法轉讓手段是:
我聽說隱私護盾和標準合同條款正受到嚴格審查?這是怎麼回事? 根據歐洲法院的判決,歐盟 - 美國安全港安排未對歐盟數據主體的個人數據提供充分保護,歐盟和美國簽訂了新的安排,以實現數據傳輸(隱私盾)。但是,一些非政府組織和隱私權倡導者已開始採取法律行動,尋求隱私護盾和歐盟標準合同條款未對數據主體的個人數據提供充分保護的決定。 歐洲法院在這些案件中將如何決定還有待觀察。預計他們將在2019年底前就這些問題作出裁決。 我聽說標準合同條款/示範條款可能會更新。那是什麼一回事? 為了保護在歐盟以外傳輸的數據,國際電聯發布了三個標準合同條款模板(用於控制器到控制器的傳輸以及控制器到處理器的傳輸)。自2001年,2004年和2010年首次推出以來,這些都沒有更新。然而,歐盟的隱私權下降的消費者專員表示,歐盟正在製定標準合同條款的更新版本。這些條款將如何現代化以及現有標準合同條款的缺點,擔憂和抱怨是否將滿足所有各方的目的還有待觀察。 但有一件事是肯定的 - 數據保護空間只會從此處獲得更多的關注,而我們在這個領域工作的人將不得不更加習慣於復雜性,例如圍繞數據駐留的複雜性。 本博客僅供參考,不構成有關如何滿足任何適用法律要求或實現操作隱私和安全的法律建議,合同承諾或建議。它“按原樣”提供,不保證或保證信息對任何特定情況或環境的準確性或適用性。如果您需要有關適用隱私法或任何其他法律要求的法律建議,或有關McAfee技術在多大程度上可以幫助您遵守隱私法或任何其他法律的建議,建議您諮詢具有適當資格的法律專業的。如果您需要有關在組織中提供操作隱私和安全性所需的技術和組織措施的性質的建議,你應該諮詢合格的私人專業人士。對於因依賴本出版物內容而遭受的任何傷害或損失,任何一方均不承擔任何責任。 |
