深度分析:EDPB跨境数据合规指南-BCRs认证

简介: 在中国企业的出海国际化浪潮中,如何保证出海业务的数据合规性,一直是大家非常关注的问题,今天用九智汇给大家带来了在欧盟地区开展业务的情况下,可以被企业选择采用的一种有力的数据合规工具——BCRs认证。

什么是BCRs?

全称为约束性企业规则(binding corporate rules),或简称为“BCRs”。

GDPR明确规定,企业集团或从事联合经济活动的企业集团(以下简称“集团”)使用具有约束力的公司规则(以下简称“BCR”)来传输GDPR第44条意义上的个人数据。

2018年2月6日,第29条工作组(以下简称“WP29”)通过了一份包含BCR元素和原则的表格,以反映BCR(以下简称“WP256 rev.01”)的要求。

拥有BCRs认证,对于企业出海数据合规有哪些好处?

1、企业内部可以将欧盟地区收集的消费者数据,自由地传输到中国总部进行数据分析与利用,辅助业务/管理部门进行经营决策。

2、欧洲公司实体与国内总部实体之间,不再需要签订复杂繁琐SCC(标准合同)

3、在业务开展较早期的时候,避免投入过重的合规成本

4、中国总部统可以非常轻松的制订和修改隐私政策,统一管理消费者数据,大幅减少总部合规团队与海外合规团队之间的沟通成本。

申请BCRs认证的流程有哪些?

第一步:确定具体向哪个欧洲国家的数据保护局(lead authority,简称LA)进行提交

选择的数据保护局尤其重要,在这一点上可以参考海外的整体业务布局,或海外合规团队的建设地,或者可以选择咨询跨国律师事务所/咨询公司的相关经验。

第二步:向LA提供BCRs认证申请单,并申请审核

LA并不会完全基于企业提交的申请单来进行审核,而是会主动进行意见修改与批注,同时LA会对申请单所涉及的其他关联企业(申请单中提及到的其他关联企业实体,例如集团子公司)进行联合访问。

第三步:欧洲数据保护委员会审核

在前一步顺利的情况下,LA会将申请材料递交欧洲数据保护委员会,经过其同意之后,将会批准企业通过BCRs认证。认证通过之后,企业即可按照申请中约定的框架,进行跨国的数据传输,而不需要在多个关联实体之间签订SCC。

如何填写申请单,具体包含哪些内容?

笔者整理了部分个人认为较为关键需要准备的内容,包括如下:

(所列仅为部分内容,如果希望获取完整的EDPB申请单附件,请扫描文末二维码)

1、为数据主体建立建立第三方受益权,包括向主管监管机构和法院提出申诉的可能性。

2、公司承担赔偿责任,并对违反BCR的行为提供补救措施

3、数据主体可以轻松访问BCR

4、有适当的培训计划

5、有数据主体的申诉处理程序

6、存在合理的BCR审计计划

7、建立一个由数据保护官"DPO"或适当工作人员组成的管理网络,用于监督规则的遵守情况。

8、BCR所涉及的传输和适用范围,以及数据主体类型、国家的描述

9、BCR的更新规则

10、受到BCR约束的实体清单(决定了哪些关联公司属于认证范围)

目前已经通过的BCRs企业基本上为跨国集团型公司,包括Paypal、E-bay、花旗集团、GE、爱马仕、路易威登、Saleforce等,暂未有中国企业成功获批BCRs认证。

详细的EDPB申请单原附件链接,可以联系用九智汇获取

相关文章
|
安全 数据处理 数据安全/隐私保护
企业出海数据合规:何为数据脱敏
数据脱敏并非简单技术手段,其涵盖法律与技术双重维度。法律上,脱敏是保护个人隐私的一种效果,技术上则是采用不可逆或难以还原的方法,降低数据泄露风险。GDPR下,个人身份、账户和健康信息等应脱敏处理,程度可根据数据敏感性确定。脱敏常见方法包括随机化、掩码、加密等,旨在保护数据安全与隐私。
589 0
|
云安全 存储 安全
一文看全数据跨境合规
于9月1日正式实施的《数据安全法》再次加码数据出境安全。 基于8月27日《数据安全法》解读与阿里云三大合规方案线上直播活动,阿里云解决方案架构师锅涛分享的《数据跨境流转安全》主题内容,整理出数据出境安全的九问九答,为企业数据跨境流转送上安全锦囊。
1403 0
一文看全数据跨境合规
|
11月前
GDPR的发展历程
【10月更文挑战第7天】GDPR的发展历程
576 7
|
数据采集 存储 数据挖掘
使用Python读取Excel数据
本文介绍了如何使用Python的`pandas`库读取和操作Excel文件。首先,需要安装`pandas`和`openpyxl`库。接着,通过`read_excel`函数读取Excel数据,并展示了读取特定工作表、查看数据以及计算平均值等操作。此外,还介绍了选择特定列、筛选数据和数据清洗等常用操作。`pandas`是一个强大且易用的工具,适用于日常数据处理工作。
|
存储 安全 生物认证
身份验证的三种类型详解
【8月更文挑战第31天】
1644 1
|
存储 数据处理 数据安全/隐私保护
深度分析:EDPB数据主体权利-访问权指南摘要及合规建议
本文对EDPB发布的数据主体权利-访问权指南《Guidelines 01/2022 on data subject rights - Right of access(Version 2.0)》(下称“01/22号指南”)的要求进行提炼,旨在为需要满足GDPR的出海企业提供参考。
495 0
|
数据采集 Web App开发 JavaScript
Puppeteer实战指南:自动化抓取网页中的图片资源
Puppeteer实战指南:自动化抓取网页中的图片资源
|
自然语言处理 Swift
千亿大模型来了!通义千问110B模型开源,魔搭社区推理、微调最佳实践
近期开源社区陆续出现了千亿参数规模以上的大模型,这些模型都在各项评测中取得杰出的成绩。今天,通义千问团队开源1100亿参数的Qwen1.5系列首个千亿参数模型Qwen1.5-110B,该模型在基础能力评估中与Meta-Llama3-70B相媲美,在Chat评估中表现出色,包括MT-Bench和AlpacaEval 2.0。
|
算法 测试技术 持续交付
软件开发深度解析:从设计到单元构建
软件开发深度解析:从设计到单元构建
293 2
|
存储 安全 数据处理
隐私工程实践路径系列:PIA篇(上)
本文内容为《隐私工程实践路径》系列开篇,旨在通过笔者在数据合规与隐私保护领域的一系列实战中,总结出的理论框架+实践经验,以及隐私工程在企业落地过程中发现的重难点和针对性的解决方案。
497 0