你好呀,我是JingJing,在律咖网(Lvga.com)做跨境信息编辑和内容策划,专注帮出海朋友把各国“政策说明书”翻译成能听懂的人话。今天想跟你聊聊一个常被忽略、但一出错就可能让合同暂停、系统下线、甚至触发欧盟监管问询的事——在克罗地亚做跨境数据传输,到底要过几道关?

不是律师,不接案子,但我跟当地几位数据合规方向的律所合作过信息共建,也整理过近一年克罗地亚数据保护局(Croatian Personal Data Protection Agency, AZOP)官网更新的指南、问答页和处罚案例摘要。说真的,很多创业者第一次收到AZOP邮件时,还以为是垃圾通知……直到看到“data transfer impact assessment”这个词,才意识到:哦,原来我连客户邮箱导出到新加坡服务器,也算“跨境传输”。

先划重点:克罗地亚虽小,却是欧盟成员国(2013年加入),因此GDPR(《通用数据保护条例》)直接适用,且由本国AZOP执行监管。而最近欧盟层面正加速推进《数据治理法案》(Data Governance Act)与《人工智能法案》配套细则,其中涉及“高敏感数据间接识别风险”的界定——这恰恰影响你在克罗地亚运营时,哪些数据组合(比如员工住址+医保记录+工会会员状态)可能被认定为“需额外审批的跨境传输场景”。

举个真实例子:去年底,一家杭州SaaS公司在萨格勒布设本地支持岗,用国内HR系统同步员工考勤。结果AZOP例行抽查发现:该系统日志里含IP地址+登录时间+设备型号+部分操作页面截图——这些字段本身不属“敏感数据”,但结合员工工号与部门编码,可反向识别其所在工会分支及健康休假模式。最终公司被要求60天内补交DPIA(数据保护影响评估)并更换加密协议。整个过程没罚款,但系统停摆两周,客户续约暂缓。

这件事提醒我们:合规不是“有没有签SCCs(标准合同条款)”,而是“你是否预判了数据流经路径中的隐性风险点”。 尤其在克罗地亚,AZOP近年明显加强了对“非典型敏感数据组合”的审查——就像Euractiv报道提到的:生物特征、基因信息、民族背景、政治观点等,不一定以独立字段存在,却可能藏在行政档案、司法记录甚至邮件签名档里。

所以别再只盯着“有没有勾选同意框”了。真正卡住审批的,往往是三个容易被跳过的环节:

第一步:识别“传输动因”而非仅看“传输动作”
——你是为履行合同(如向德国总部报税)?为法定义务(向克罗地亚税务署申报)?还是为商业拓展(把用户行为数据传给美国AI分析平台)?不同动因对应不同法律依据(GDPR第6条 vs 第49条),AZOP官网明确提示:“基于‘重大公共利益’或‘合同必要性’的传输,仍需完成本地备案,而非自动豁免”。

第二步:查清“接收方所在国”的 adequacy status(充分性认定)
——目前欧盟委员会已对日本、韩国、加拿大、英国等15个国家/地区作出充分性认定,但中国、印度、越南、印尼暂未列入。这意味着:若你把克罗地亚用户数据传回国内服务器,不能仅靠SCCs,还需额外提交TIA(传输影响评估)+ 技术保障措施说明(如端到端加密密钥是否由克方保管)。AZOP提供在线TIA自查工具(AZOP官网TIA向导页),全程英文,但关键选项有克罗地亚语注释。

第三步:确认“数据处理者”是否完成AZOP注册
——在克罗地亚设立实体或委托本地代理的企业,若使用第三方云服务商(如AWS Frankfurt、OVHcloud Paris),需确保该服务商已在AZOP登记为“数据处理者”(processor)。你可以在AZOP处理者名册中搜索名称验证。未注册的供应商,即使签了SCCs,也可能导致整条传输链被质疑效力。

顺带提一句:最近克罗地亚政府刚宣布新增第9个国家公园(3月23日),覆盖中世纪城堡、橡木林与史前洞穴——听起来很美,但对创业者来说,另一个信号更值得关注:环保与文化保护类政策收紧的同时,数字基建监管也在同步升级。新公园周边小镇已试点“智慧旅游数据中枢”,所有接入系统的本地民宿、租车平台、导览App,都必须通过AZOP前置审核。这其实是种信号:当政府开始用数据提升公共服务体验时,对商业数据流动的“可见性”与“可控性”要求,只会越来越高。

❓ 常见问题(FAQ)

Q1:我在克罗地亚没有实体公司,只是通过本地代理签约客户,还需要做跨境数据传输备案吗?
需要。 只要你处理克罗地亚居民的个人数据(如收集邮箱、住址、身份证号用于合同履约),即视为GDPR下的“数据控制者”(controller),无论是否设实体。
🔹 步骤:

  1. 登录AZOP官网 → 进入“International Transfers”栏目;
  2. 下载最新版《SCCs + TIA补充说明》(2025年12月更新版);
  3. 填写《传输目的声明表》(Purpose Declaration Form),重点说明数据类型、用途、保存周期、安全措施;
  4. 将文件PDF发送至transfer@azop.hr,抄送你的本地代理邮箱(AZOP要求有克罗地亚境内联络点)。
    📌 要点清单:
  • 不接受中文填写,必须用英文或克罗地亚语;
  • 邮件主题格式为“[Your Company Name] – Transfer Request – [Date]”;
  • AZOP通常15个工作日内邮件回复受理编号,无编号即未进入流程。

Q2:我和德国合作伙伴共用一个CRM系统,数据实时同步,这算“持续性传输”吗?如何申报?
属于持续性传输,但无需重复申报。 AZOP允许一次申报覆盖同一批数据字段、同一接收方、同一技术路径的长期传输(最长2年)。
🔹 路径:

  • 在TIA自查工具中选择“Ongoing Transfer”模式;
  • 勾选“Automated Sync”并上传系统架构图(标注数据流向箭头与加密方式);
  • 在申报表中注明“同步频率:实时”“最大单次传输量:<50MB/日”(超量需额外说明)。
    📌 官方渠道:
    所有模板下载与进度查询入口统一在 AZOP国际数据传输专页,右上角有“Live Chat”按钮(工作日9:00–16:00 CET,克语/英语双语)。

Q3:员工离职后,我把他的绩效记录从克罗地亚HR系统删了,但备份还在阿里云杭州机房——这违法吗?
可能构成违规。 GDPR要求“删除权”(Right to Erasure)不仅针对主数据库,也包括备份、日志、测试环境副本。若备份未按期限自动销毁,或手动恢复机制未关闭,即视为未履行义务。
🔹 要点清单:

  • 查看阿里云OSS的生命周期规则:是否设置“备份保留≤30天”;
  • 确认HR系统导出功能是否默认包含“历史快照”;
  • 向AZOP提交《备份数据处置说明》,列明:存储位置、加密方式、自动清除周期、人工干预权限人。
    📌 特别注意: 克罗地亚法院2025年有判例(Case No. P-2784/2024)明确:“云服务商所在地法律不能凌驾于GDPR删除义务之上”,即不能以“中国《数据安全法》要求留存”为由拒绝删除。

✅ 接下来你可以做的3件事

  1. 马上打开AZOP官网TIA自查工具链接直达),花15分钟走一遍流程——不用填完,先看它问什么,你就知道内部该补哪块短板;
  2. 翻出你最近3份与克罗地亚客户/员工签的合同,检查是否有“数据处理附录”(DPA),如果没有,建议用AZOP提供的模板(文档库→DPA Template EN)快速补充;
  3. 把你的云服务商名称+所在国家发给我(微信 lvga2015),我帮你查它是否已在AZOP注册为处理者——省得你挨个去官网翻名单。

合规不是一道墙,而是一张网。网眼大小,取决于你日常怎么打结。有些结看着松,风一吹就散;有些结打得紧,反而让整张网更承重。

🤝 一起走得稳一点

我们是律咖网,一个从2015年长沙麓谷起步的小团队。不做承诺、不卖方案、不画饼——只坚持把各国政策原文、监管动态、真实案例,拆解成你能用上的信息颗粒。如果你正在克罗地亚筹备公司注册、签办公租约、办居留许可,或者像今天聊的,被数据传输流程绊住脚步……欢迎加我微信 lvga2015,备注“克罗地亚+具体事项”,我会拉你进我们的跨境创业交流群。群里有在萨格勒布开设计工作室的北京姑娘、在杜布罗夫尼克做民宿SaaS的广州小伙、还有常驻里耶卡帮中资企业做合规审计的本地顾问。大家不灌鸡汤,只分享“哪个窗口排队少”“哪份表格最容易填错”“哪位律师英语好又肯讲慢点”。

你也愿意分享自己的踩坑经历吗?下一期,我想整理一份《克罗地亚政务大厅办事避坑地图》,缺你的那一块。

🔸 克罗地亚宣布最新国家公园——游客可探访中世纪城堡与史前洞穴
🗞️ 来源: Yahoo News – 📅 2026-03-23
🔗 阅读原文

📌 免责声明

请知悉:律咖网(Lvga.com)是跨境创业公开信息与内容分享平台,不提供法律、税务、会计或合规服务。 本文内容基于公开资料,并由人工编辑与 AI 工具协助整理,仅供信息参考之用,不构成任何法律、投资、移民或商业决策建议。 政策可能随时间变化,请以官方渠道与当地持牌专业人士意见为准。 如内容有需要修订之处,欢迎随时与我联系。