如果您的公司基于欧洲联盟,您将自己发现越来越多的关于数据和港口。每次考虑采用新应用程序来管理业务时,您都会询问您是否可以存储有关此在线服务的信息。此帖子提供了验证存储公司(或您的客户)的逐步指南个人资料不会违反欧盟数据保护指令的数据出口限制。
欧盟和美国在数据安全问题上采取了不同的法律措施。简而言之,欧盟将其视为一项人权,而美国将其视为消费者保护问题。在欧洲法院(European Court of Justice)宣布美国企业自行证明其遵守欧盟隐私法的“安全港”(safe harbour)协议无效之前,这对企业来说并不重要。根据该协议,美国企业可以自行证明自己遵守了欧盟隐私法。
1.是美国的子公司还是欧盟的子公司?
你需要查看该服务的条款和条件来找到答案。请注意,您并不是要确定供应商的总部在哪里,而是要确定与您签订合同的子公司(通常被称为“缔约方”或“缔约实体”)的所在地。例如,HubSpot是一家美国公司,但它的术语州:“如果您位于欧洲[...],那么您正在与Hubspot Ireland Limited合同,本协议受爱尔兰共和国法律管辖。”
2.如果您与非欧盟实体交易
您需要验证供应商是否已放置其中一个机制,以便在欧盟以外的个人数据转移。安全港曾经是最常见的,但在其消亡之后,以下仍被认为有效:
a)示范条款(亦称示范合同):由欧盟提供的标准合同,它规定了对欧盟的限制和保障措施个人资料的使用。这是目前最常见的跨境转移方式。示范条款通常不会包含在服务的标准条款中,而是作为附录提供,您和供应商将需要签署。例如,亚马逊网络服务(AWS)提供了一个数据处理协议其中包含了模型条款,客户需要签署这些条款并将其邮寄回亚马逊。
b)具有约束力的公司规则(BCRs)是适用于跨国公司集团内部转移的替代方案。这比模型条款要麻烦得多,而且不太常见。
3.如果您与欧盟实体进行交易
您仍然需要检查您的数据是否从欧盟导出,以及在何种保护下导出。一个常见的场景是,一个欧盟供应商使用一个美国数据中心,实际上是将其所有客户的数据导出到美国。
4.如果欧盟实体在欧盟内存储所有数据
你已经准备好了(除非你是德国人——见下面的第6条)。
5.如果欧盟实体正在将其部分或全部数据输出到欧盟以外
您需要验证供应商是否已经设置了第2步中描述的机制之一,以方便数据导出。例如,可行的是英国公司在美国的AWS中存储数据,并提供对其美国子公司员工的部分访问此数据。通过签署AWS的数据处理协议,我们启用前者,该协议包含模型条款,以及将美国附属公司与英国实体签署模型条款。我们还向所有美国员工签署了专有信息协议(并将提供相关培训),该委员会纳入模型条款中产生的所有义务。
你是德国公司吗?
一厢情愿!对德国公司还有一些额外的要求。联邦数据保护法案(BDSG)第11节要求您仔细选择供应商(“数据处理器”),并检查其为保护数据安全而采取的技术和组织措施的适用性。实际上,这意味着两件事:
- 你需要与供应商签署一份书面的数据处理协议(DPA)。DPA将指定数据的收集、处理和使用,以及处理器将采取的技术和组织措施,并授权您在与DPA相关的数据有关的所有事宜上指示处理器。
- 您需要核实控制员遵守DPA在DPA的技术和组织安全措施的遵守情况,然后在其后的任何数据处理行为之前和此后定期。必须记录此类核查的结果,以便当局潜在审查,因为未能遵守此要求,将行政犯罪行政罚款达到50.000欧元。BDSG的第11节没有代表控制器提供此类验证措施的任何特定方法。可以通过现场检查,外部审计,重要证书或通过提供全面的问卷来确保验证,具体取决于委托数据处理的程度,相应数据的敏感性以及处理器的可信度。
常见问题解答
为了确保我和我的客户的数据是安全的,我只需要知道这些吗?
不完全的。此帖子仅处理需要满足的法律要求,更具体地了解数据导出。但安全性是一个更广泛的主题,可以通过许多不同的方式验证。这不在这篇文章的范围内,但有些想法可以帮助您与您的供应商开始对话:
- 您是否有第三方对您的基础设施进行持续或定期的安全性和渗透测试?
- 您是否提供了一个包含正常担保的SLA?你的历史正常运行时间百分比是多少?你有DDOS缓解基础设施吗?
- 您的安全和隐私流程和技术是否已根据相关行业标准(例如ISO 27001)或安全供应商(例如Truste)进行认证?他们是第三方审计吗?
此外,请务必仔细阅读供应商网站上的条款和条件以及隐私政策:你可能会惊讶地发现那里的内容。
供应商说我可以把我的数据存储在他们那里,因为他们符合安全港。所有好吗?
不,安全港已被欧洲央章宣布无效。供应商必须使用替代措施来遵守数据保护,例如步骤2中概述的数据保护。有些国家监管机构正在采取更轻松的方法,英国的ico声明“我们不急于使用我们的执法权力”。
什么是“欧美隐私屏障”?
简而言之,它还不存在。更详细地说:《安全港》的失效促使美国和欧盟竞相建立一个替代方案。他们的成果是欧盟-美国隐私盾(EU-US Privacy Shield),这是一个旨在取代“安全港”(Safe Harbour)法规的跨大西洋数据流新框架。这项工作仍在进行中,预计将在4月份到位。受到一些国家监管机构的欢迎,而其他人则更为谨慎,与汉堡数据保护机构的负责人说,该战略有关可能分类隐私保护不足以确保适当级别的保护个人数据的转移从欧盟到美国。
和最后一句的建议:目前在这方面有很多活动,因为隐私盾牌正在设置为重建数据出口的共同基础,并排除了不同国家监管机构如何解决隐私问题的碎片;这意味着规则可能再次改变,并且供应商必须准备好快速移动并适应变化的景观。
