根据标准合同条款将个人数据转移到第三国需要进行额外的风险评估,即所谓的转移影响评估(TIA)。然而,许多公司缺乏自己进行如此复杂评估的技术。放弃或不完整的风险评估不是一种选择,因为可能会被处以高额罚款。
背景与问题
只有在满足严格条件的情况下才允许将数据传输到欧洲经济区 (EEA) 以外,即所谓的第三国。根据数据保护法,有多种方法可以保护此类数据传输。在某些情况下,公司做出明智的决定,通过标准合同条款(SCC)来确保个人数据传输到第三国。
修订后的标准合同条款(自 2023 年 12 月 27 日起也适用于现有合同)附带进行随附转让影响评估的义务。此类TIA是一种以第三国安全水平为重点的风险评估。将确定是否存在适当的安全级别,以便根据标 RCS 数据中东 准合同条款进行数据传输。
TIA 的概念/想法
虽然欧盟委员会已经发布了一套详细的标准合同条款,但并没有提供任何进行转让影响评估的指示或模板。标准合同条款本身提供了有关如何构建风险评估的信息。
这些指出必须区分分析中的两个角色,即数据导出者和数据导入者。出口商是 GDPR 第 4 条第 7 款所定义的控制者,负责将个人数据传输到第三国。进口商通常是加工商。
双方必须确保个人数据免受未经授权的访问。然而,仅仅通过标准合同条款来保证这一点是不够的。补充转移影响评估检查是否真正保证了足够的安全。评估将特别审查:
那么基本的评估标准呢,例如处理的目的、个人数据的类别和格式以及存储位置。
第三国适用的法律规定是否确保对数据进行充分保护,特别是考虑到当局可能访问数据。
出口商和进口商分别采取了哪些额外的保障和措施。
风险评估必须完整记录。这里的关键点在于,不仅仅是收集信息。必须进行评估,即评估是否存在足够的安全级别以及是否可以根据标准合同条款进行数据传输。对于评估,必须找到并应用合适的解决方案,例如评分模型。该评估的结果必须作为文件的一部分。