时下最热门的隐私数据合规议题之一：如何将欧盟个人隐私数据合规离境、以最优成本离境至中国(二)

点击上方蓝色“赛博星人”关注我们

前言：

赛博星人在上期推送的文章《时下最热门的隐私数据合规议题之一：如何将欧盟个人隐私数据合规离境、以最优成本离境至中国(一)》中，介绍了时下我们许多客户都关注的，有关中国企业可以使用哪些方式，以便将企业收集到的欧盟顾客（及雇员）的个人隐私数据合规离境至中国，并分享了其中最适合中国企业的方式--Binding Corporate Rules(约束性公司规章,以下简称为BCR)，因为相较于其它数据离境至中国的方式，BCR是最优成本的合规解决方案。

在本文中，我们将基于实际项目经验，进一步为您介绍中国企业如何申请BCR、申请BCR的主要步骤、要关注的要点等操作层面的问题及经验，以便更好地为您解答有关欧盟隐私数据离境的问题，协助更多“走出去”的企业合规发展欧盟国家业务。

由于文章内容较长，因此先在这里将本文的主要内容框架列举，以便您能更好地把握文章的思路：

1.      BCR申请的前期准备工作

1）  确认及决策所申请BCR的实体范围

2）  确定申请BCR的实体范围后，需要考虑并决定

        提交申请的LeadingDPA

2.      BCR申请的正式步骤

3.      申请BCR的必须材料

---

以下为正文

---

1、BCR申请的前期准备工作

在执行申请步骤前，中国企业应先决策、完成以下2项工作：

1）确认及决策所申请BCR的实体范围(即BCR需涵盖(或约束)集团内哪些实体间的传输)

我们通过举例来进行说明：如图一所示，假设某中国A公司有3个实体(A1、A2、A3)在欧盟境内，但只有2个实体(A1和A3)需要将其隐私数据离境欧盟并传输至第三方国家，那么A公司的BCR实体范围即为欧盟境内需离境传输隐私数据的实体(A1和A3)和对应接收隐私数据的实体（A4和总部A）。

 

值得一提的是，企业可选择将欧盟境内和境外的所有实体纳入申请BCR的实体范围以达到一劳永逸，但此做法的劣势是增加申请BCR的审核难度和成本。赛博星人提供咨询服务的角度，一直是站在客户的角度、强调并提倡适当的合规成本的，因此，我们建议中国企业的合规部门或者DPO（数据保护官），应该在本步骤站在务实的角度，定义好并决策好BCR的申请实体范围。

图一

(请点击图片查看以获取更清晰的显示效果)

2）确认及决策所申请BCR的实体范围(即BCR需涵盖(或约束)集团内哪些实体间的传输)

确定申请BCR的实体范围后，企业无需向每一个欧盟境内实体所在地的数据保护局DPA（data protection authority，以下简称DPA）提交BCR申请；只需将申请资料提交给企业定义的Leading DPA即可，后续Leading DPA会将申请转至其他相关DPA进行审核。譬如如上图所示的例子，中国某A企业，可以向其欧盟分公司A1或A3所在国的DPA递交申请，不需要同时向A1及A3所在国的两个DPA同时递交申请，但问题来了，我应该选择A1还是A3所在国递交申请呢？

2.1）企业如何定义Leading DPA？

在此问题上，欧盟给出了相关标准以协助企业进行定义及选择。企业根据该标准，在多个欧盟境内需申请BCR的实体中，选取一个实体所在地的DPA作为Leading DPA即可，并向其提交BCR申请，具体标准如下：

The decision as to which DPA should act as the lead authority is based upon relevant criteria such as:

1.the location of the group’s European headquarters;

2.the location of the company within the group with delegated data protection responsibilities;

3.the location of the company which is best placed (in terms of management function, administrativeburden etc)   to deal with the application and to enforce the binding corporate rules in the group;

4.the place where most decisions in terms of the purposes and the means of the processing are taken;and

5.the member states within the EU from which most transfers outside the EEA will take place.

举例说明:如图一所示，假设A公司有3个实体(A1、A2、A3)在欧盟境内， A2虽然不是公司总部，但是可以承担起公司A在欧盟全境的数据保护的责任。A公司根据欧盟议会定义Leading DPA的标准，选择A2所在地的DPA作为Leading DPA，A公司将申请BCR的材料递交给A2所在地的DPA。A2所在地的DPA会根据A公司递交的材料判定自身是否适合作为LeadingDPA，值得注意的是，A2所在地的DPA在审阅申请资料后，有权认为其他实体 (A1或A3)所在地的DPA更适合充当LeadingDPA，因此，有可能会对此进行驳回，所以，如何定义及选择DPA，必须基于企业A实际的保护措施与实际情况进行。

2、BCR申请的正式步骤

(请点击图片查看以获取更清晰的显示效果)

3、申请BCR的必须材料

• BCR‍申请表: <Standard Application for Approval of BindingCorporate Rules>

• 企业根据欧盟议会要求拟定的BindingCorporate Rules

• 受约束实体名单< List ofentities bound by the BCRs >(即上文“BCR申请前期准备工作”部分第一点提及的企业申请BCR实体范围)

• 提供能证明BCR 是有效力的，并不是流于形式的文件（即能证明“集团如何使其拟定的BCR对集团内各实体、集团员工、集团数据处理分包商以及集团外部的利益相关者均有约束力以及被有效执行”的文件）。例如：

如果您对本文、数据如何在GDPR项下合规离境至中国，或者BCR议题有任何问题，欢迎联系我们一起探讨与交流：

本文始发于微信公众号（赛博星人）：时下最热门的隐私数据合规议题之一：如何将欧盟个人隐私数据合规离境、以最优成本离境至中国(二)