2018年2月6日,第29条工作人员(工作派对29)发表工作文件261.(WP 261),为欧洲联盟(欧盟)一般数据保护条例(GDPR)第49条的规定提供了指导。本指南对美国的数据隐私律师和诉讼人(主要是电子发现从业者)特别有趣,他们一直在考虑GDPR第49条的运作,因为它涉及在诉讼或监管调查的范围内进行的跨境数据转让并一直在研究第49条中的贬损,作为在这些情况下继续数据转账的手段。在确定如何在响应美国签发的诉讼或监管要求时,这些律师的许多律师已经谨慎地保护欧盟成员国公民的隐私,这不具体识别相同类型的隐私保护,并且经常确实要求生产提高欧盟隐私问题的信息,特别关注GDPR如何进一步修改该微积分。

WP 261审议了第49条,专注于GDPR DRADOATION,这是更广泛控股或要求的例外GPR否则提供。但这些贬损并不清楚例外情况(并且肯定不是众所周知的禁止无线卡),而WP 261则始终令人生意。第49条的使用是最后的手段;具体而言,“数据出口商应该首先努力互动[SIC]与第45条和46 GDPR中包括的机制之一帧传输,并且仅在他们的缺失中使用第49(1)条中提供的贬损。”

第49条DASORATION是数据传输在某些情况下的数据传输的最后一个度假措施,但如果需要足够的保护级别或数据适当的保障措施。由于这些情况被视为WP 261中的异常,因此指南仅允许偶尔,而不是重复的传输。这不是一个例外,成为一个组织的规则,而且只是因为它工作了一次,没有保证一秒钟,第五或第10个类似的转移不是众所周知的警笛,最终将它带到了它的注意力数据保护权限。

除了有限的使用要求外,WP 261还加强了第49条的使用需要测试,或者评估个人数据的转移是否需要进行贬损的目的,这需要“近距离和实质性有关数据与具体建立,锻炼或辩护的合法地位之间的联系。“此外,当WP 261似乎直接考虑在将GDPR第49条与第48条联系起来的电子发现上下文。在那里,WP 261明确表示“第48条和相应的协奏曲115提供了来自第三国当局,法院或法庭的决定对于数据转移到第三国,并不是合法的理由。因此,响应来自第三国当局的决定的转移是任何案例只有合法的,如果符合第五章中规定的条件。“然后,WP 261指出,这些数据传输考虑往往会提出“国际协议”,例如司法协助条约(MLAT),“和”欧盟公司通常应该拒绝直接请求并提及请求第三国当局现有的MLAT或协议。“

WP 261提供了一些额外的实用建议,用于在(现在)传统电子发现和调查实践和转移的背景下提供个人数据。重新审视某些要素年龄较大的工作派对29指导解释数据保护指令,WP 261澄清了“建立,行使或法律索赔”所必需的数据转移,第49条中列出的贬损可能包括“用于正式预审发现程序的数据转移民事诉讼“以及开始诉讼,寻求合并批准,刑事或行政调查等活动。然而,工作组29警告说,这种贬损“不能用于证明个人数据的转移,仅仅是可能会在未来带来法律诉讼或正式程序的理由。”需要转移的程序必须具有“法律的基础”,数据传输与需要它的程序之间必须有密切的关系。从业者应该注意,这种破坏不会创造一个漏洞,以避免国家阻止法规,这仍然可以有效限制对外国程序的数据转移。

此外,工作组29指导指导说“与诉讼程序有关WP29已经列出了分层方法,以提出个人资料是否应转移,包括应用本原则的应用,”这与GDPR的一般展示争论数据最小化原则。该指导提供了一组步骤:

  • 如果有必要向第三国发送个人数据,则在转移发生之前应评估与特定事项的相关性。
  • 评估相关性后,只有一组实际所必需的个人数据应转让和披露。
  • 在考虑解决请求或需求的情况下,应仔细评估匿名数据是否足够。
  • 如果匿名数据不足,那么生产或收集方应考虑转移假义数据的充分。

最后,除了考虑列表之外,WP 261还强调另一个限制;这不仅仅是贬损所采用的次数,它也是它适用于的数据科目的数量。虽然WP 261注意到没有设置绝对阈值(因为这将取决于上下文),但“必须适当地考虑所讨论的转移类型。”