介绍
2020年7月16日,欧洲法院对C-311 / 18号案件(Schrems II)作出判决。欧盟法院裁定,欧盟-美国隐私保护盾应失效。反过来,允许将数据从欧盟转移到第三国的法律文书标准合同条款(SCC)也被认为是有效的。
欧美隐私保护盾
欧盟-美国隐私保护盾是一种“适当性”机制,使遵守法规原则的组织可以将个人数据从欧盟转移到美国。
下一步是什么?
在撰写本文时,CJEU判决使欧盟-美国的数据传输陷入困境。显然,不能再使用“隐私保护盾”,但对于在欧洲和美国或其他具有有效国家监控系统的国家之间的数据传输,SCC是否仍然有效仍然存在许多问题。
常见问题解答:
此决定对GDPR的责任有什么影响?
该决定涉及控制者和数据处理者负责将数据从欧盟公民转移到欧盟以外国家的责任。任何此类转移都必须提供一定程度的保护,因此需要使用特殊的“转移机制”,其中:
- 充分性:此解决方案允许无限制地将数据传输到提供足够数据保护水平的国家或地区,欧洲委员会认为。这些国家包括安道尔,阿根廷,加拿大(仅PIPEDA),法罗群岛,根西岛,以色列,马恩岛,日本,泽西岛,新西兰,瑞士和乌拉圭。GDPR生效后,目前正在审查所有有关充分性的决定。
- Appropriate Safeguards: GDPR , . Schrems-II, , « » GDPR. Standard Contractual Clauses (SCC), . , , .
- Binding Corporate Rules (BCR): GDPR . BCRs EDPB. Schrems-II BCR « » GDPR .
- : GDPR 49, . , , . .
GDPR?
高达年收入的4%或2000万欧元,以较高者为准。此外,DPA(数据保护局)有权暂停将数据从其母国转移到美国。
我当前的欧盟-美国隐私保护证书需要怎么办?
美国商务部(DOC)表示,隐私盾将继续运作,并希望会员继续履行其隐私义务。美国商务部,欧洲委员会,欧洲数据保护委员会(EDPB)表示,他们打算创建“隐私保护盾”的继承人。成立后,保留在“隐私保护盾”中的公司可以简化向后继者的过渡。
欧盟-美国隐私保护区内以前的数据传输会受到影响吗?
之前的所有数据传输均受欧盟-美国隐私保护制度的约束。
会有宽限期吗?
EDPB已发布指南,指出将没有宽限期。鉴于EU-US隐私保护盾已失效,因此迄今为止使用EU-US隐私保护盾传输数据的公司将需要寻找替代的法律依据,以无故拖延地传输数据。
我想退出欧盟-美国隐私盾。我需要做什么?
如果您决定离开欧盟-美国隐私保护网,则必须遵循美国规定的程序。
我应该更新公司的隐私政策吗?
我们建议您此时不要作为“隐私盾”的成员对“隐私政策”进行任何更改。当前没有任何更改的依据或法规指导,除非您(作为GDPR的数据出口商)声明您依靠隐私保护盾作为在EEA之外传输数据的法律依据。
我组织的隐私权政策明确指出,我们使用欧盟-美国隐私权保护标志来合法化从欧盟到美国的数据传输,是否应该删除此通知?
您将需要更新该策略,并且需要指出您正在使用哪种替代方案。您还可以考虑添加临时通知,说明组织正在根据Schrems-II决策审查决策。
standard contractual clauses?
只要美国当局出于国家安全目的未收集和/或访问数据,则视情况而定使用SCC,具体取决于美国数据进口商是否能够履行其特定处理义务。这意味着第三国的数据导出者和数据导入者的举证责任已经增加,以确保它们能够满足所有SCC要求。数据导入者还必须确认他将完全遵守GDPR的所有基本原则。这也意味着数据的进出口者将必须评估第三国的立法,以查明它们是否受到可能导致干扰欧盟公民权利的监督法的约束。如是,在这种情况下,传输不能基于SCC。这与BCR类似。 EDPB在其文件中表示,它将就可采取的法律,技术和组织措施提供补充指导,以补充SCC,以确保合法的数据传输不间断。
从处理欧盟个人数据的美国公司向美国其他公司(例如云提供商)继续传输数据又如何呢?
随后来自任何EEA国家的个人数据的转移必须按照GDPR设定的数据保护标准进行处理。数据导出器负责他是数据控制器的完整数据处理链。如果数据导入者不能保证可以遵守GDPR和适用的传输机制中的标准,则必须同意采取其他保护措施。如果不可能,则无法进行数据传输。
如果我的美国公司要将服务器移至欧盟,我是否仍需要数据传输机制?
这取决于公司内部如何处理数据。只要数据存储在EU的服务器上并且只能从EU访问,就不需要数据传输机制。但是,一旦从欧盟外部访问数据,就会进行数据处理(GDPR第4条第2款中定义),这也将构成数据的传输,这需要使用传输机制。此外,如果公司受美国监视法律的约束,包括但不限于FISA第702条和EO 12333,则不能保证使用EU服务器。
如果美国政府可能采取干预措施,加密是否将是足够的缓解措施?
加密是一种很好的安全机制,这意味着无法截获数据。但是,还有其他机制可以使美国政府获得对个人信息的访问。最终,数据集在被其他方访问时可以解密。
其他传输方式仍然有效吗?
GDPR中包含的所有数据传输机制仍然有效。CJEU撤销了一项决定(“欧盟-美国隐私保护盾”),并为使用其他传输机制建立了更严格的评估标准。
SWISS-US Privacy Shield是否已被撤销?
没有。
这些过程将对英国退欧和英国产生什么影响?
现在说还为时过早。在过渡期结束之前(当前直到2020年12月31日),英国将继续按原样应用GDPR。接下来是英国与欧盟委员会之间的谈判主题。
监管机构如何对这一决定发表评论?
欧洲数据保护委员会(EDPB),
“没有关于执行的信息或关于转让的建议;进一步分析如下。美国商务部
“尽管美国商务部对法院似乎已使欧盟委员会对“欧盟-美国隐私保护盾”所依据的充分性裁决无效的决定深表失望,但我们仍在研究该裁决,以充分理解其实际影响。”波兰个人资料保护检查专员-GIODO,
“管制员需要对跨境数据传输所确保的数据保护水平进行个别评估,这不仅必须考虑到数据进出口商之间达成的合同规定,而且还应考虑到第三方的法律规定。国家,尤其是有关当局可能对该国的公共当局访问传输的数据。进一步的指导将通过“ EDPB”进行。爱沙尼亚数据保护检查局,
«When transferring personal data to any third country with an insufficient level of data protection, it must be borne in mind that it is also important to be convinced of the third country’s adequate level of protection of personal data. Therefore, EU companies must always assess the European Commission’s data protection clauses themselves. The assessment must determine whether the protection of Europeans’ personal data can be protected in the future or in the future by ensuring data protection clauses. If the protection of personal data cannot be guaranteed, the transfer of data must be suspended. If it is desired to continue the data transfer, another appropriate safeguard must be found».