欧盟EDPB就向俄罗斯传输个人数据发布申明

来源:数据法律观察

文章摘要
2022 年 7 月 12 日,欧洲数据保护委员会 (EDPB) 通过了关于向俄罗斯联邦传输个人数据的 02/2022 号声明,其中确认向俄罗斯传输数据需要进行数据传输影响评估 (DTIA)。

2022 年 7 月 12 日,欧洲数据保护委员会 (EDPB) 通过了关于向俄罗斯联邦传输个人数据的 02/2022 号声明,其中确认向俄罗斯传输数据需要进行数据传输影响评估 (DTIA)。DTIA 是一种个案评估,用于确定特定的数据传输安排是否确保对传输到第三国(如俄罗斯、美国或新加坡)的个人数据提供充分保护。
EDPB 建议遵循欧盟法院对 Schrems II 的判决中规定的程序,以及《关于为确保符合欧盟个人数据保护水平的跨境传输工具的执行措施的01/2020号建议》。
EDPB 在其声明中强调了以下几点:
俄罗斯不属于欧盟委员会根据《通用数据保护条例》(GDPR)第45 条做出的充分性决定的国家,因此必须使用欧盟委员会第五章中列出的其他传输工具之一向俄罗斯传输个人数据。
为确保在将个人数据传输到俄罗斯时应用适当的保护措施,GDPR 下的数据出口商应评估和确定传输的法律依据以及在第五章中规定的合规工具(例如标准合同条款)。
数据出口商应执行 DTIA,以评估在涉及跨境转移的情况下,俄罗斯现行法律和/或实践中是否存在任何规定——尤其是在俄罗斯公共当局访问个人数据方面,尤其是出于刑事执法和国家安全目的——这可能会影响已确定的数据出境工具提供的适当保障措施的有效性。
如果是这种情况,数据出口商应确定并采取必要的补充措施,以确保为数据主体提供与欧盟或欧洲经济区内所保证的保护水平基本相同的保护水平。
如果此类评估得出的结论是不能或不再确保合规,并且无法确定补充措施,则数据输出者必须中止数据传输活动。
欧洲监管机构将继续监测俄罗斯可能对数据传输产生影响的立法变化和其他发展。

技术驱动法律,专业成就未来