隐私 技术法/网络法

Schrems Saga:以隐私保护框架为代价维护SCC

欧盟法院(CJEU)备受期待的判决于2020年7月16日作出。该判决的后果将在将个人数据转移到欧盟(EU)以外的地区时看到。在Data Protection Commission诉Schrems的Facebook Ireland案中,CJEU使欧盟-美国数据保护盾(“隐私盾”)无效,后者在“ Schrems I”决定使先前的“ Safe Harbor”无效后生效”框架于2015年发布。此外,“ 施雷姆斯二世”裁决维持了标准合同条款(SCC)的技术有效性,但它给依赖它们的组织带来了新的法律尽职调查负担,并引入了相关的实际不确定性,风险和复杂性与他们的使用。

背景

该案的产生源于Facebook的个人数据传输实践。这可以追溯到2015年,当时奥地利律师Maximillian Schrems对美国公司Facebook的子公司,Facebook Inc.的数据处理器Facebook Ireland提出了申诉。提出的问题与《通用数据保护条例》(GDPR)第44条有关,该条款规定公民没有得到足够的保护,这挑战了欧盟委员会关于从欧盟向美国传输数据的“安全港”计划的有效性(“充分豁免”决定”)。

根据欧盟法律,组织只能转让“个人 有关个人的数据(如果目的地) 国家“确保适当的保护水平”。欧盟委员会有 决定是否对个人资料中的个人资料提供保护的权力 在这方面,给定的第三国是否“足够”。马克斯·施雷姆斯 声称美国是一个大规模监视国家,正在处理数据 情报机构没有针对欧盟采取适当的补救措施 citizens.

由于施雷姆斯先生的申诉,欧洲法院驳回了安全港原则,裁定美国的法律和惯例不能提供足够的保护,以防止公共当局进行监视(C-362 / 14)。随后,安全港计划被EC的“ EU-U.S。隐私盾”,这是一种类似的自我认证计划,适用于从欧洲经济区(EEA)传输者接收个人数据的美国组织。继“ Schrems I”之后,Facebook声称要依靠合同承诺作为将个人数据转移到美国的基础。施雷姆斯先生续签并重新提出了最初的申诉,他指称Facebook的特定合同不符合欧盟法律的义务,并且无论如何,在第三国的国家法律将其推翻合同的情况下,这些合同都无法提供足够的保护。爱尔兰数据保护专员发布了“草案决定”,并从爱尔兰高等法院获得命令,以再次提及欧洲法院。这项“ 施雷姆斯二世”裁决是欧洲法院对重新制定的投诉中提出的参考问题的判断。

欧盟委员会 的Schrems II判决

可以肯定地说,这一判断震惊了数据利益相关者和公民。该判决提出了两项​​重要决定,这些决定有可能改变欧盟与美国之间数据传输的动态。 “ 施雷姆斯二世”决定的主要实际结果是(i)隐私保护盾失效,以及(ii)使用标准合同条款带来的不确定性,风险和复杂性。

简而言之,这意味着欧洲法院认为美国正在进行过度监视,与欧洲的数据保护水平不符。此外,欧洲法院重申了对正在转移其个人数据的数据主体有效的行政和司法补救的重要性。因此,欧洲法院认为,对于非美国公民没有可用的法律程序,欧洲人一旦将其数据转移到美国就无法使用这些法律程序。该决定进一步强调了数据保护对全球商业的重要性,以及隐私专业人士在根据外国法律要求实施保护方面所起的关键作用。但是,对于当今的隐私专业人士而言,问题可能多于答案。这是法院所说的内容,可能的含义和影响以及隐私权专业人员如何开始回应的初步摘要。

欧盟委员会 决定验证SCC而不是 隐私盾框架

有趣的是,SCC受到了维护,因为其验证来自欧盟的监管机构。数据保护委员会(“ DPC”)认为SCC不是适当的安排,因此无效。这些论点得到了《欧洲联盟基本权利宪章》第7、8和47条的证实。 DPC争辩说,SCC的条款不一定约束第三国的公共当局提供有效的补救措施。 DPC的这一论点不在欧洲法院面前,他们拒绝使SCC机制失效。据称这样做的理由是,根据GDPR和欧盟法律标准,SCC是一种适当的机制。它为保护欧盟公民的自由和基本权利提供了充分的保障。

但是,此验证带有一个相当 大警告:法院强调订立标准合同 子句本身是不够的。控制器或处理器必须 还要逐案核实目的地国家/地区的法律 确保根据欧盟法律充分保护所传输的任何个人数据 根据标准合同条款。哪里的法律 目的地国家未确保足够的保护,管制员必须 实施补充措施和附加保障措施以实现 所需的保护级别,否则停止转让。据信 数据控制者和监管机构有义务中止或禁止 欧盟之间义务之间发生冲突时的数据传输 SCC以及法律或这些国家的国际承诺所强加的 countries.

欧盟委员会 宣布隐私盾无效的决定 Framework

隐私保护框架 被认为是安全港安排的继任者 欧盟法院对此无效。隐私保护罩的工作是传输数据 从欧盟到美国,遵循之前的Schrems中规定的条款 我决定但是,让所有人都感到震惊 裁定,裁定遵守《 隐私保护措施可能仅限于“国家安全,公共 利益或执法要求”。这在某种程度上允许美国 进行监视以访问从欧盟传输来的个人数据 to the US.

欧洲法院 examined the 隐私 Shield in 考虑GDPR的要求和《宪章》的规定 保证尊重的欧盟基本权利 私人和家庭生活,个人资料保护和有效权 司法保护。这些要求是在以下背景下考虑的: 美国法律规定的限制,允许美国访问个人数据 公共机构,包括《外国情报监视法》(FISA)第702条和执行机构 第12333号命令。根据这一分析,欧洲法院得出结论,首先, 美国法律对个人数据保护的限制 美国公共当局并未限制访问和使用个人数据 符合欧盟法律的隐私盾。其次, 隐私盾不提供 具有足够的司法补救水平以满足欧盟法律的个人。

总而言之,隐私权立即生效 Shield不再为转移欧盟个人提供有效的法律依据 数据输给美国,命运却与安全港框架遭受的命运相同。 年前。仅依靠Privacy Shield进行此类活动的组织 因此,转移必须采取紧急行动或面临潜在的重大打击 liability.

美国部的反应 of Commerce

美国商务部部长 Commerce Wilbur Ross迅速发布了新闻稿,以回应 施雷姆斯二世的决定,对这一决定深表失望。的 声明表明该决定产生了重大的负面影响 对所有企业都至关重要的跨大西洋经济关系 规模和部门。它还进一步指出,商务部将 继续管理“隐私盾”计划,包括处理 隐私盾的自我认证和重新认证的提交 框架,并根据Schrems II的决定维护“隐私屏蔽列表” 不能减轻参与组织的隐私保护的负担 obligations.

施雷姆斯二世审判的影响

施雷姆斯二世 changes the 美国和欧盟之间的SCC和数据合规情况。随着 美国不愿修改其国内法, 在向欧盟提供有效补救方面,美国将瘫痪 公民。根据Schrems II中的裁定,如果第三国公司是 如果无法遵守SCC,则必须通知欧盟的管制员。甚至 如果欧盟以外的数据处理者被本国法律禁止 不得披露此类无法遵守SCC决定的行为, 但是,向欧盟的控制人披露其无法遵守 with SCC .

另一方面,由于俄罗斯和中国等独裁政权根据其法律所提供的保护应“基本上等同于”欧盟的保护,因此将很难做出这一判决。此外,众所周知,此类制度因滥用权力而闻名,有趣的是,看看欧盟是否能够充分解决这一方面。这将对跨大洲实施其隐私框架产生巨大影响。尽管美国在隐私保护方面的价值接近于欧盟,但中国实行严格的制度,在数据处理方式上缺乏透明度。随着阿里巴巴和TikTok等互联网市场的广泛采用,流入中国的数据量超出了人们的想象。尽管此决定是对美国主要公司的挫折,但像Microsoft这样的公司已经发布了一些公告,这些公告向用户清楚表明了他们将如何遵守这些法规。微软已经澄清,即使Privacy Shield框架已失效,他们始终坚持遵守SCC的保护措施,因此用户不必担心。

施雷姆斯二世判决对印欧贸易的影响

由于印度(第三国)尚未制定单独的数据保护法,因此根据GDPR规范将其视为无抵押或不充分的第三国,因此与欧盟国家的协议包含标准合同条款,印度实体在处理个人数据时应遵守的欧盟委员会。

SCC 的使用’欧盟委员会日期为2010年2月5日的决定确认了印欧贸易 其中涉及根据欧洲议会和理事会的95/46 / EC指令将个人数据转移到在第三国建立的处理者的标准合同条款,但GDPR法律仍应遵循该条款。本通知C(2010)593适用于陈述点2所述的内容:

会员国可在不违反某些保障措施的情况下授权将个人数据转移或转移一组到第三方国家,而这并不能确保足够的保护水平。此类保障措施尤其可能来自适当的合同条款。

因此,印度必须遵守位于欧盟的控制者与处理印度数据的处理者之间的其他协定条款,并遵守Notification C(2010)593中规定的标准合同条款。印度公司没有履行这些额外义务,因为印度没有 数据保护法到位。

印度目前大多数公司都依赖SCC从欧盟传输数据,因为印度没有与GDPR标准相当的数据保护制度。议会已审议并可能通过《 2019年个人数据保护法案》(“ PDP法案”)。 《 PDP法案》规定了有利于中央政府的分权制,欧盟可能不会对此予以偏爱。因此,即使在执行PDP法案之后,也不确定印度是否会获得足够的地位。 SCC 的合并’印度-欧盟贸易中的s确保了Schrems II判决不会对印度贸易产生任何重大影响。但是,这些SCC’由于试图消除第三国在数据保护方面的任何不足,现在将受到严格审查。

结论

欧洲法院’这项决定在某些领域提供了明显的清晰度,而在另一些领域则提出了其他问题,这些问题无疑将在未来甚至几天内被公司,监管机构和政策制定者所抛弃。鉴于“ 施雷姆斯二世”这一方面的实际影响可能非常显着,因为从欧盟转移出去的最流行方法是使用标准合同条款。该决定给寻求依赖它们的组织带来了新的尽职调查负担,并带来了很大的风险,即这种转让可能会受到挑战。该决定带来的不确定性,风险和复杂性进一步凸显了根据充分性判断做出的转移的利弊,例如加拿大PIPEDA目前享有的充分性状态。

本文的引用为:

蓝皮书,第20版:“Tushar Sinha, Schrems Saga:以隐私保护框架为代价维护SCC, 明典网–InfoTech和IPR,可从以下位置访问 //nerdeicek.com/the-schrems-saga:-upholding-scc-at-the-expense-of-privacy-shield-framework.”

参考文献

  1. 施雷姆斯二世(数据保护专员诉Facebook Ireland Ltd。),2020年C‑311 / 18(7月16日)
  2. Shivani Agarwal,Samaksh Khanna,Mustafa Rajkotwala, Deciphering 施雷姆斯二世,W投资。 2020年7月20日,可在以下位置访问 //winvestment.wordpress.com/2020/07/20/deciphering-schrems-ii/.  
  3. 克劳德·埃蒂安·阿明格(Claude-ÉtienneArmingaud),娜塔莉·阿迪森(Natali Adison),托马斯·尼采(Thomas Nietsch)博士,马丁·福肯(Martin Fokken), 欧盟数据保护:欧洲正义之剑粉碎的隐私保护盾跨大西洋数据流的下一步发展是什么?,K&L盖茨2020年7月17日,可在以下位置访问 www.klgates.com/eu-data-protection-privacy-shield-shattered-by-the-sword-of-european-justice-what-c​​omes-next-for-transatlantic-dataflows-07-17-2020/.
  4. 康斯坦丁诺斯·洛加拉斯(Konstantinos Logaras), 施雷姆斯二世。传奇继续,数据保护和隐私,2020年7月。 //uploadsssl.webflow.com/5d777c469faddd58092730fd/5f07213d495b7085522f9964_Schrems%20II.pdf.
  5. Michael Scherman和Keith D. Rose, 施雷姆斯二世:传奇继续,Lexology,2020年7月16日。可在以下位置访问 //www.lexology.com/library/detail.aspx?g=edfdd673-123d-4197-a7f0-19d23d78772f.
  6. Renzo Marchini, 施雷姆斯二世 Judgment Day,Fieldfisher,2020年7月16日。请访问: //www.fieldfisher.com/en/insights/schrems-ii-judgmentday.
  7. 欧盟,国际, Schrems传奇继续:CJEU之前听到Schrems II案,亨顿·安德鲁斯·库斯(Hunton Andrews Kurth),2019年7月10日。 //www.huntonprivacyblog.com/2019/07/10/the-schrems-saga-continues-schrems-ii-case-heard-before-the-cjeu/.
  8. 朱莉·布里尔(Julie Brill),《向客户保证跨境数据流》,欧盟政策博客,微软,2020年7月16日,网址: //blogs.microsoft.com/eupolicy/2020/07/16/assuring-customers-about-cross-border-data-flows/.
  9. Eduardo Ustaran,Bret Cohen,Harriet Pearson,Henrik Hanssen,Laur Badin和Julian Flamant, 施雷姆斯二世:隐私保护盾无效,标准合同条款受到审查,参与时间:2020年7月16日。访问网址: //www.engage.hoganlovells.com/knowledgeservices/news/schrems-ii-privacy-shield-invalidated-and-standard-contractual-clauses-under-scrutiny.
  10. 凯特琳·芬尼西(Caitlin Fennessy), 的‘Schrems II’ decision:有问题的欧美数据传输,2020年7月16日,请访问: //iapp.org/news/a/the-schrems-ii-decision-eu-us-data-transfers-in-question/.
  11. 施雷姆斯二世案:欧盟向美国转移个人数据受到质疑,Elvinger Hoss。 2020年1月29日。访问网址: //www.elvingerhoss.lu/publications/schrems-ii-case-eu-us-transfers-personal-data-challenged.
  12. 2010/87 /:2010年2月5日委员会决定,关于根据欧洲议会和理事会第95/46 / EC号指令将个人数据转移至在第三国设立的处理者的标准合同条款(在C(2010)文件中通知) 593
  13. Sharmin Godrej Irani, 通用数据保护法规在印度加工商中的应用,SCC在线博客。可能。 2020年12月12日。 //www.scconline.com/blog/post/2020/05/12/application-of-general-data-protection-regulation-on-indian-processor/.
标签

相关文章

发表评论

同时检查