企业出海数据合规:“躲不了”的GDPR域外管辖

优投会员

发布时间:2024-01-23

关键字: GDPR数据保护合规成本管辖范围

1995年,《第95/46/EC号保护个人在数据处理和自动移动中权利的指令》(以下简称为《95指令》)作为GDPR的前身,为欧盟成员国设定了最低的个人数据保护标准,但其并不具有强制力,需要各成员国将其转化为国内法才能适用。这也导致了成员国之间在数据保护水平上的差异和冲突,增加了企业的合规成本。

此外,该指令仅以传统的属地原则为根本,即只有在欧盟境内设立机构或在欧盟境内进行的数据处理行为,才可被纳入到欧盟法的管辖范围之内,因此,一些提供跨境服务的企业可以规避其适用范围。为了实现全面保护数据主体权利和营造公平竞争环境的目的,GDPR于2018年5月25日正式实施,通过“设立机构标准”和“目标指向标准”扩大了数据管辖范围,使其管辖权延伸至欧盟领域之外。

何为“设立机构标准”?

法条指引:GDPR第3条第1款:“本条例适用于在欧盟域内设有机构的数据控制者或处理者,在该机构开展活动的范围内对个人数据的处理行为,而不论该行为是否发生在欧盟境内。”

1.适用该标准的主体是数据控制者和数据处理者。何为数据控制者和数据处理者?据GDPR表述,数据控制者对数据的核心处理方式为:判断何种数据应当处理、决定处理的时间、决定访问权限、决定数据主体的类别。而数据处理者对数据处理的核心处理方式为:选择何种如软件、采用何种技术、使用何种存储方式、采用何种安全措施。

2 .适用该标准时,无需考虑其数据处理行为是否发生在欧盟境内,只需关注数据控制者在欧盟境内是否存在真实有效的机构。值得注意的是,这里的机构不能作形式化理解,仅将其理解为一种物理存在。欧盟法院认为应当采取灵活的方式,只要“数据控制者应通过稳定的安排与欧盟建立有效和真实的联系”即可。

从欧盟数据委员会提供的GDPR适用指引来看,在欧盟境内建立生产线、数据中心、聘请员工等均可构成“真实有效的联系”。为了适应数据交易的无 ....

继续阅读 点击登录

浏览次数:32次浏览

优投平台部分资讯内容来自网络,转载已注明出处,如有勘误请您随时与我们联系YTservice@jiangtai.com,侵权立删。