Sau khi Bảo vệ quyền riêng tư bị đình chỉ vào tháng 7 năm ngoái, các công ty đã phải xem xét lại cách họ chuyển dữ liệu cá nhân của người dùng ra bên ngoài châu Âu, đồng thời tôn trọng các quy định có hiệu lực. Để trả lời câu hỏi của hàng nghìn công ty bị ảnh hưởng, Ủy ban Bảo vệ Dữ liệu Châu Âu (EDPB) đã xuất bản một hướng dẫn dài 38 trang, trong đó có một lộ trình với một loạt 6 các khuyến nghị cần tuân theo. Chúng đặc biệt nhắm vào bộ điều khiển dữ liệu và nhà thầu phụ, những người đóng vai trò là người xuất dữ liệu. Mục tiêu: hỗ trợ họ trong nhiệm vụ xác định và thực hiện các biện pháp cần thực hiện để đảm bảo việc bảo vệ dữ liệu cá nhân trong quá trình họ chuyển ra ngoài Khu vực Kinh tế Châu Âu.
EDPB nhận thức rõ tác động của phán quyết Schrems II đối với hàng nghìn doanh nghiệp EU và trách nhiệm quan trọng mà tổ chức này đặt lên các nhà xuất khẩu dữ liệu. EDPB hy vọng rằng những khuyến nghị này có thể giúp các nhà xuất dữ liệu xác định và thực hiện các biện pháp bổ sung hiệu quả khi cần thiết. Andrea Jelinek, Chủ tịch EDPB cho biết, mục đích của chúng tôi là cho phép chuyển dữ liệu cá nhân hợp pháp sang các quốc gia thứ ba trong khi đảm bảo rằng dữ liệu được chuyển có mức độ bảo vệ tương đương với mức độ bảo vệ được đảm bảo trong EEA, Andrea Jelinek, Chủ tịch EDPB cho biết.
Với tư cách là nhà xuất dữ liệu, các công ty có trách nhiệm đánh giá bối cảnh mà việc chuyển giao của họ sang nước thứ ba được thực hiện, biết luật có hiệu lực tại quốc gia đến cũng như các công cụ được sử dụng để thực hiện hoạt động này.
1. Xác định chuyển dữ liệu quốc tế
Với khuyến nghị đầu tiên này, ủy ban châu Âu khuyên các công ty nên xác định tất cả việc chuyển dữ liệu cá nhân đến các quốc gia bên ngoài EEA. Họ phải đảm bảo rằng các khu vực pháp lý của các quốc gia mà dữ liệu được gửi đến tuân thủ các tiêu chuẩn của GDPR để đảm bảo rằng họ được hưởng lợi từ mức độ bảo vệ thích hợp. Dữ liệu được chuyển phải “đầy đủ, phù hợp và giới hạn ở những gì cần thiết liên quan đến mục đích mà chúng được chuyển và xử lý ở nước thứ ba”, cơ quan có thẩm quyền nêu rõ.
2. Xác định cơ chế truyền dữ liệu
Sau khi các luồng dữ liệu cá nhân đã được xác định, EDPB yêu cầu các công ty đảm bảo rằng các công cụ chuyển giao mà họ dựa vào tuân thủ các quy định của GDPR liên quan đến chuyển tiền quốc tế. Các cơ chế chuyển giao này bao gồm:
các điều khoản bảo vệ dữ liệu tiêu chuẩn (loại SCC) được Ủy ban Châu Âu phê duyệt, các quy tắc ràng buộc của công ty (BCR), các quy tắc ứng xử đã được phê duyệt, cơ chế chứng nhận, các điều khoản hợp đồng đột xuất.
3. Đánh giá luật pháp của nước thứ ba
Luật pháp có hiệu lực tại quốc gia của nhà nhập khẩu dữ liệu này, nằm ngoài EEA, cần được đánh giá để đảm bảo rằng nó sẽ không vi phạm các biện pháp bảo vệ liên quan đến các công cụ chuyển giao. Bước này phải tính đến bản chất, số lượng, các loại dữ liệu cá nhân, bối cảnh chuyển của chúng cũng như mục đích của quá trình xử lý do công ty nhận thực hiện.
4. Áp dụng các biện pháp bổ sung
Khuyến nghị thứ 4 này trong hướng dẫn thực hành của EDPB có tính đến trường hợp công ty xuất khẩu nhận thấy rằng luật áp dụng cho nhà nhập khẩu dữ liệu có thể có tác động đến hiệu quả của các cơ chế chuyển giao. Để đảm bảo mức độ tương đương với tiêu chuẩn Châu Âu về bảo vệ dữ liệu cá nhân, bạn nên áp dụng các biện pháp kỹ thuật, hợp đồng và tổ chức bổ sung:
các biện pháp kỹ thuậtchẳng hạn như mã hóa, bút danh hoặc xử lý phân tách,
các biện pháp hợp đồngchẳng hạn như nghĩa vụ về tính minh bạch, hoặc điều khoản rằng dữ liệu chỉ có thể được tham khảo khi có sự đồng ý của nhà xuất khẩu hoặc người có liên quan,
các biện pháp tổ chứccụ thể là các chính sách quản trị chuyển giao nội bộ, việc công bố thường xuyên các báo cáo minh bạch, áp dụng chính sách truy cập và bảo mật dữ liệu, hoặc sự tham gia của nhân viên bảo vệ dữ liệu vào tất cả các vấn đề liên quan đến việc chuyển giao của họ.
5. Áp dụng các bước thủ tục cần thiết
Theo EDPB, tất cả các biện pháp thủ tục có thể cần thiết đối với các công ty, để cung cấp mức độ bảo vệ thích hợp trong quá trình chuyển dữ liệu, đều phải được các công ty thực hiện. Điều này có thể bao gồm việc áp dụng các quy trình sao lưu đầy đủ hoặc tham khảo ý kiến của cơ quan bảo vệ dữ liệu có thẩm quyền của Châu Âu. Các bước thủ tục này có thể được đưa vào chính sách của công ty.
6. Đánh giá lại vào những khoảng thời gian thích hợp
Trong khuyến nghị cuối cùng này, ủy ban châu Âu nhấn mạnh vào việc giám sát các biện pháp được thực hiện và việc áp dụng chúng, cũng như đánh giá lại nếu cần thiết, với mục đích đảm bảo mức độ tuân thủ các quy định của châu Âu trên cơ sở liên tục.
Bạn nên theo dõi liên tục và khi thích hợp với sự cộng tác của các nhà nhập khẩu dữ liệu, những phát triển ở quốc gia thứ ba mà bạn đã chuyển dữ liệu cá nhân, điều này có thể ảnh hưởng đến đánh giá ban đầu của bạn về mức độ bảo vệ và các quyết định bạn có thể đưa ra cho phù hợp khi chuyển tiền của bạn, hãy chỉ định EDPB.
Hướng dẫn thực hành do Ủy ban Bảo vệ Dữ liệu Châu Âu trực tuyến đưa ra nhân dịp phiên họp toàn thể lần thứ 41 của tổ chức này được mở để tham khảo ý kiến cộng đồng cho đến ngày 30 tháng 11. Bộ khuyến nghị sau đó sẽ được chính thức hóa và thực hiện ngay sau khi xuất bản.
Tải xuống hướng dẫn đầy đủ về các đề xuất EDPB
