深度分析:EDPB跨境数据合规指南-BCRs认证

简介: 在中国企业的出海国际化浪潮中,如何保证出海业务的数据合规性,一直是大家非常关注的问题,今天用九智汇给大家带来了在欧盟地区开展业务的情况下,可以被企业选择采用的一种有力的数据合规工具——BCRs认证。

什么是BCRs?

全称为约束性企业规则(binding corporate rules),或简称为“BCRs”。

GDPR明确规定,企业集团或从事联合经济活动的企业集团(以下简称“集团”)使用具有约束力的公司规则(以下简称“BCR”)来传输GDPR第44条意义上的个人数据。

2018年2月6日,第29条工作组(以下简称“WP29”)通过了一份包含BCR元素和原则的表格,以反映BCR(以下简称“WP256 rev.01”)的要求。

拥有BCRs认证,对于企业出海数据合规有哪些好处?

1、企业内部可以将欧盟地区收集的消费者数据,自由地传输到中国总部进行数据分析与利用,辅助业务/管理部门进行经营决策。

2、欧洲公司实体与国内总部实体之间,不再需要签订复杂繁琐SCC(标准合同)

3、在业务开展较早期的时候,避免投入过重的合规成本

4、中国总部统可以非常轻松的制订和修改隐私政策,统一管理消费者数据,大幅减少总部合规团队与海外合规团队之间的沟通成本。

申请BCRs认证的流程有哪些?

第一步:确定具体向哪个欧洲国家的数据保护局(lead authority,简称LA)进行提交

选择的数据保护局尤其重要,在这一点上可以参考海外的整体业务布局,或海外合规团队的建设地,或者可以选择咨询跨国律师事务所/咨询公司的相关经验。

第二步:向LA提供BCRs认证申请单,并申请审核

LA并不会完全基于企业提交的申请单来进行审核,而是会主动进行意见修改与批注,同时LA会对申请单所涉及的其他关联企业(申请单中提及到的其他关联企业实体,例如集团子公司)进行联合访问。

第三步:欧洲数据保护委员会审核

在前一步顺利的情况下,LA会将申请材料递交欧洲数据保护委员会,经过其同意之后,将会批准企业通过BCRs认证。认证通过之后,企业即可按照申请中约定的框架,进行跨国的数据传输,而不需要在多个关联实体之间签订SCC。

如何填写申请单,具体包含哪些内容?

笔者整理了部分个人认为较为关键需要准备的内容,包括如下:

(所列仅为部分内容,如果希望获取完整的EDPB申请单附件,请扫描文末二维码)

1、为数据主体建立建立第三方受益权,包括向主管监管机构和法院提出申诉的可能性。

2、公司承担赔偿责任,并对违反BCR的行为提供补救措施

3、数据主体可以轻松访问BCR

4、有适当的培训计划

5、有数据主体的申诉处理程序

6、存在合理的BCR审计计划

7、建立一个由数据保护官"DPO"或适当工作人员组成的管理网络,用于监督规则的遵守情况。

8、BCR所涉及的传输和适用范围,以及数据主体类型、国家的描述

9、BCR的更新规则

10、受到BCR约束的实体清单(决定了哪些关联公司属于认证范围)

目前已经通过的BCRs企业基本上为跨国集团型公司,包括Paypal、E-bay、花旗集团、GE、爱马仕、路易威登、Saleforce等,暂未有中国企业成功获批BCRs认证。

详细的EDPB申请单原附件链接,可以联系用九智汇获取

相关文章
|
6月前
|
安全 数据处理 数据安全/隐私保护
企业出海数据合规:何为数据脱敏
数据脱敏并非简单技术手段,其涵盖法律与技术双重维度。法律上,脱敏是保护个人隐私的一种效果,技术上则是采用不可逆或难以还原的方法,降低数据泄露风险。GDPR下,个人身份、账户和健康信息等应脱敏处理,程度可根据数据敏感性确定。脱敏常见方法包括随机化、掩码、加密等,旨在保护数据安全与隐私。
190 0
|
云安全 存储 安全
一文看全数据跨境合规
于9月1日正式实施的《数据安全法》再次加码数据出境安全。 基于8月27日《数据安全法》解读与阿里云三大合规方案线上直播活动,阿里云解决方案架构师锅涛分享的《数据跨境流转安全》主题内容,整理出数据出境安全的九问九答,为企业数据跨境流转送上安全锦囊。
1141 0
一文看全数据跨境合规
|
安全 数据处理 数据安全/隐私保护
数据视角下的隐私合规2
接上篇,我们从数据视角探讨了个人信息影响安全评估、处理活动记录、告知与同意、主体权利响应、个人信息保护、数据留存管理、第三方管理、数据泄漏响应这8个专题的关联性,这篇文章将从数据另外一个视角,数据处理活动的事前和事后来探讨这8个主题的内在逻辑,同时探讨目前市场对隐私合规的几个误区。
130 0
数据视角下的隐私合规2
|
存储 安全 数据处理
数据视角下的隐私合规
2016年6月,通用数据保护条(GDPR)正式发布,其长臂管辖权对全球企业在隐私合规领域产生了深远的影响,在GDPR 5周年之际,截止2023年3月1日,GDPR累计罚款27.7亿欧元(Numbers and Figures | GDPR Enforcement Tracker Report 2022/2023 (cms.law))。
174 0
|
新零售 边缘计算 安全
数据视角下的隐私合规3
接上,自从《个人信息保护法》颁布以来,对于金融/汽车/新零售等处理大量个人敏感信息的企业来讲,个人数据使用在企业内部变成一个“谈虎色变”的问题,有合规意识的业务开始拉上合规、法务、安全团队开启评估审批,但在很多没有PbD(Privacy by Design)机制的企业来讲,遇到这类问题的合规/法务同学往往会很头疼,“合法性事由”的适用性在不断压缩,告知同意/PIA/第三方管理/DSAR犹如一道道天堑,如果整改那么业务要延迟甚至推倒重来,如果不整改业务要带隐私合规风险上线,变成了鱼和熊掌不可兼得的问题。今天这篇文章我们来谈谈个人数据使用环节的合规问题。
67 0
|
SQL 安全 算法
带你读《数据安全流通方案(瓴羊隐私计算白皮书)》——4. Dataphin 隐私计算四大技术应用场景
带你读《数据安全流通方案(瓴羊隐私计算白皮书)》——4. Dataphin 隐私计算四大技术应用场景
263 1
|
数据安全/隐私保护
带你读《数据安全流通方案(瓴羊隐私计算白皮书)》——2. 隐私计算是 Dataphin 重要产品能力之一
带你读《数据安全流通方案(瓴羊隐私计算白皮书)》——2. 隐私计算是 Dataphin 重要产品能力之一
231 0
|
存储 数据采集 算法
带你读《数据安全流通方案(瓴羊隐私计算白皮书)》——3. Dataphin 隐私计算核心解决的问题
带你读《数据安全流通方案(瓴羊隐私计算白皮书)》——3. Dataphin 隐私计算核心解决的问题
196 0
|
数据安全/隐私保护
带你读《数据安全流通方案(瓴羊隐私计算白皮书)》——1. 隐私计算的定义
带你读《数据安全流通方案(瓴羊隐私计算白皮书)》——1. 隐私计算的定义
227 0
|
机器学习/深度学习 安全 算法
瓴羊Dataphin隐私计算:数据安全流通方案-隐私计算概述-隐私计算技术类型
瓴羊Dataphin隐私计算:数据安全流通方案-隐私计算概述
211 0
下一篇
无影云桌面