【洞察】关于欧盟个人隐私数据以最优成本合规离境至中国（一）

其影响范围包括：

• 欧盟境内的个人隐私数据控制者或处理者

• 在欧盟境外为欧盟居民提供商品或服务过程中（无论是否需要付费）处理欧盟内数据主体的隐私数据、或对欧盟居民发生在欧盟境内的行为进行监测的控制者或处理者

• 地处根据国际公法亦适用欧盟成员国法律的所有隐私数据控制者

• 至多2000万欧元

• 企业全球营业额的4%

 （数据离境即transfers of personal data from the EU/EEA to third countries）

• 离境至欧盟认为能提供充分隐私保护的地区，或被欧美隐私保护盾覆盖的国家或地区

• 离境传输符合GDPR的豁免条件

• 隐私数据输出方与接收方签订欧盟认可的标准合同

• 成功申请Binding Corporate Rules（约束性公司规章,以下简称为BCR）

我们在实践中发现，大量中国企业对于GDPR合规感到困惑，并担忧合规成本较高。我们通过大量实际操作总结的经验，建议中国企业采取第四点中的BCR的方式。因为相较于其它方式，这是最优成本的合规解决方案。

需要注意的是，BCR不适用于集团内实体与集团外实体的隐私数据传输，只适用于同一集团内不同地区实体间的隐私数据传输。

其次，按照GDPR的规定，同一集团不同成员间涉及离境的每一次隐私数据传输，都要签署欧盟认可的标准合同条款。获得BCR认可后，企业无需每次需要签署标准合同条款，可大大减少沟通成本及时间成本，也免除了繁琐的合同流程。

再者，BCR有助于节省数据本地化处理的成本, 增强隐私数据保护问责制, 并将数据保护和安全构建到公司原有的制度体系中，帮助公司与其主要监管机构建立关系，提高公司将面临哪些方面审查的确定性。同时，BCR还能提升企业在市场上的竞争优势, 增加客户和监管者对公司隐私惯例的信任。

以下大型跨国企业已经获得BCR认证，包括：AXA, BMW, Accenture, e-Bay, HP Enterprise(Controller), Siemens Group, etc.

我们将在后续文章中分享BCR申请的过程及方法，敬请关注。

如果您对本文内容感兴趣，欢迎与我们的专家团队联系：

颜国定

电话: +86 (20) 3819 2301

邮箱: [email protected]

冼嘉乐

电话：+86 (10) 6533 2937

邮箱：[email protected]

张俊贤

电话：+86 (21) 2323 3927

邮件：[email protected]

翁泽鸿

电话: +86 (20) 3819 2629

邮箱: [email protected]

邓羡璋

电话: +86 (20) 38192972

邮箱: [email protected]