数据保护

英国充足的准则VIS-A-Vis GDPR和Schrems II判决

介绍

遵循Brexit[一世]当涉及数据保护时,英国现在是一个“第三国”。根据英国和欧盟之间的贸易协议,在2020年底发生的情况下,欧盟和英国之间的数据转移被允许自由流动六个月,直到2021年6月30日。[ii] 但是,在此之后,应按照欧盟一般数据保护条例(欧盟LED)和欧盟执法指令(欧盟LED)妥善涵盖从欧盟向英国发送的所有个人数据。[III]

鉴于同样的情况,于2021年2月19日,欧洲委员会出版了两项决定草案,其中有发现英国法律为个人数据提供了足够的保护水平。[IV]  第一次草案谈到允许欧盟的私营公司继续将个人数据转移到英国,而无需任何其他保障措施[v],第二届将使欧盟执法机构能够将个人数据转移到英国同行的数据保护和执法指令(LED)的指令2016/680。[vi]

发布后Brexit就欧盟和英国的法律最终发生了大量辩论。截至目前,与欧盟法律相比,发出的指导方针明确提及英国法律的充分性。但是,也已经注意到了很少的差异。在此之后,根据Schrems II判决,根据施莱姆斯II判决,与GDPR的适用规则一起讨论决定草案,该判决是关于US-欧盟隐私盾牌的无效和充分性的判决。

英国充足的决定

根据第45(3)条(欧盟)2016/679的第45(欧洲),委员会可以通过执行法案确定第三国,领土或三国内或一个或多个指定部门或国际组织应确保足够的安全标准。在这种情况下,在第45(1)条和第103条规定的第45(1)条和第103章中规定的情况下,将个人数据转移到第三国的情况而无需进一步授权。

实施充足的决定必须彻底审查第三方的法定秩序,涵盖适用于数据进口商的法律以及关于获取公共当局个人数据的限制和保护。 [vii] 在评估中,委员会需要确定有问题的第三国是否确保在欧盟内确保的“基本上等同”的保护水平[viii]

一般数据保护条例(GDPR)仍适用于英国最长六个月(最迟直到7月1日)。[Ix] 在通过欧洲委员会的充分性决定后,不需要正式授权,个人数据将继续从欧洲经济区(EEA)自由流向英国。在任何情况下,这些组织必须继续遵守GDPR,并且必须在向英国转发个人数据时(例如,合法原则,与初始处理活动和信息通信与数据主体的信息兼容) 。国家数据保护委员会(CNPD)已发出指导方针[X] 在EEA外的数据转移到EEA之外,具有足够的保护水平。 [XI]

尽管欧盟和英国公司和执法当局的最佳结果,但决定草案只会在进入生效之日起四年申请,除非委员会延期,否则将在该期间之后到期。这是比委员会在对日本的适用性所采用的更艰难的方法[XII],在欧洲联盟法院(CJEU)法院的委员会或无效,这不会过期。底线是,委员会需要在四年内进一步充分评估英国法律的充分性,并且如果发现英国法律有重大改变,还可以审查该决定。在决定最终确定之前,欧洲数据保护委员会(EDPB)将对委员会发出意见’■对英国立法的充分性评估,成员国可能会将委员会发送绿灯。 [XIII]

什么 is Schrems II judgment?

On 16TH. 2020年7月,CJEU发出了预期的判决[xiv] 在被称为Schrems II案件的情况下。

大多数移动欧盟以外个人数据的组织依靠数据转移协议(这跟随‘正常合同条款’ or ‘Model Clauses’)或者用于转移到美国,欧盟:美国隐私盾构框架,以解决对欧盟标准的适当数据安全性的需求。在Schrems II中,CJEU被要求审查隐私盾牌和标准合同条款(SCC)作为授权框架的有效性,以确保在一般数据保护条例下从欧盟转移个人数据。

这是在实践中实现的急剧转变,标准合同条款具有对当前的影响以及依赖于它们的新转移。不仅要转移到美国,而是对所有其他人“third countries”这与欧盟委员会没有适当的决定。如果您想继续将标准合同条款应用为当前和新数据传输的解决方案,则必须激活和注册每个特定国家/地区每个特定数据流的适当安全性的评估。 [XV]

根据GDPR,当从欧盟国家移动个人数据到一个没有验证其保护个人数据标准(称为第三国)的国家的国家时,必须使用证明保护的转移机制平等的保护级别。 [xvi] 它使数据传输合法。

Schrems II决定[xvii] 特别是看隐私盾牌和 标准合同条款(SCCS)。虽然隐私盾已经 无效,SCC仍然是数据转移的有效,法律机制,但是 现在他们将逐个案例进行。

虽然欧盟司法法院(CJEU)在Schrems II中澄清,但仅仅依靠现有的SCC作为法律转移机制,欧盟 - 美国隐私盾牌的失效将不足以遵守数据规则转移,CJEU未能指定符合其需要的内容。在其裁决中,CJEU认为,依靠SCCS的企业需要制定“supplementary steps”为了确保从EEA转移到被认为具有安全性不足的国家,因此法院未列出这些额外措施所需的额外措施将足够安全。 [XVIII]

英国充足的决定, Brexit and GDPR

英国的数据安全现在受到英国GDPR的限制,而GDPR则不再适用。好消息是,英国GDPR与充足的决定中提到的GDPR在很大程度上与GDPR相同,而变化最有可能随着时间的推移而出现,作为英国信息专员’办公室(ico)和法院解释并落实法律。但是,采用GDPR执法系统的企业将需要修改其隐私政策,隐私披露和其他与GDPR相关的程序,以确保在英国GDPR下的遵守情况。如果没有别的,企业将需要修改欧盟和GDPR的参考,直接讨论英国和英国GDPR。 [xix]

最近可见的后释放的考虑因素 隐私领域是欧盟是否会决定英国有一个 可接受的数据安全程度。如此适当的状态,由非常持有 世界各地几个国家,包括以色列,加拿大和韩国,将 删除在联合人之间传输个人数据的公司需要 王国和欧盟成员国依靠SCC或其他一些授权数据 用于合法数据传输的转移系统。

自英国法律规范公共当局的法律以来,评估的最终方面可能是最有争议的’访问个人数据不会直接从欧盟法派生,因此更有可能分歧。此外,Schrems I和Schrems II都使欧洲安全港和隐私盾构系统的充分性的结论无效,因为美国公共机构能够访问和使用与欧盟数据科目有关的个人数据与欧盟法律不一致的方式。

本综述主要是在关系中进行的 到GDPR裁决,因为公共机构已经访问了数据 LED下执法过程的意义。无论如何, 委员会首先确定了适用于评估的三个概念:

  • 必须在法律上奠定对保护个人资料权的任何限制,并且允许此类限制的法律必须指明其范围;
  • 对此权利的任何限制必须比例,这意味着它必须仅在民主社会中严格要求实现公共利益的特殊目标;和
  • 裁定这些限制的法律必须在通过数据科目之前在本地法院之前具有法律约束力和强制执行。 [xx]

委员会重申1998年人权法和英国的价值’欧洲委员会的会员资格,其国家‘根据欧盟法律授予的原则,保护和个人权利,强调其政府访问计划,并适用于成员国’(重组120)。它还说明了对DPA第三部分和IV的访问的访问,包括DPA的第III和IV,包括DPA对数据安全性的DPR原则,保护特殊类别数据和国际的处理保障转移。 [ XXI]

结论

特别是,GDPR决策规定了 法律执法和情报机构的具体权力访问个人 数据(无论是搜索还是生产订单或调查权 2016年调查权力法案(IPA)),以及限制和保障措施 在这种访问(特别是需要和比例的访问的要求) 和监督。它还解决了英国 - 美国的效果。 协议,美国公共当局可以要求披露 公司位于英国的公司的个人数据,受到了 该协议中列出的限制和保障措施。

重要的是,决策的提案指出,联合王国和美国协议下的所有披露都将根据欧洲联盟和美国伞协议提供的担保。委员会强调了限制和保障的存在,特别是对所使用的具体权力之间的联系的要求以及潜在的运营目标,对DPA中数据使用的局限性的要求,以及监督各种监管机构(包括ICO,调查行为专员,调查权力仲裁庭和议会情报和安全委员会)。据委员会称,这区分了IPA下的力量“mass surveillance”(第211页)。如果委员会确定在这四年中,英国法律不足以保护个人数据委员会有权撤消其授予充足的决定的决定,而且成员国仍然必须接受委员会的决定。如果英国法律继续在为从欧盟流入英国流动的个人数据的情况下变得不足,Schrems II判决将会发挥作用。其中,在没有充分性指南的情况下,必须考虑根据GDPR第46条或根据GDP的第49条的贬低的适当保障,这将需要考虑,这将对数据转移不仅从欧盟转移产生重大影响到英国,但也将使一般程序复杂化。

本文可以引用:

Kirtika Shukla., 英国充足的准则VIS-A-Vis GDPR和Schrems II判决,迈出的 - 沟通法律,可访问 //nerdeicek.com/uk-adequacy-guidelines-vis-a-vis-gdpr-and-the-schrems-ii-judgment.


参考

[一世] 英国什么时候离开欧洲联盟? 荷兰政府,12月31日,2020年12月31日 //www.government.nl/topics/brexit/question-and-answer/when-will-the-united-kingdom-leave-the-european-union.

[II] Kelly M. Hagedorn,Matthew Worby, 欧盟委员会出版 草拟英国充足的决定,詹纳 &伦敦LLP,2月22日,2021年, //jenner.com/system/assets/publications/20736/original/European_Commission_Publishes.pdf?1614024018.  

[III] ID。

[IV] 威廉弗兰,弗朗西斯卡Blythe, 欧盟委员会出版 草拟英国充足的决定, 数据 事项,2月19日,2021年, //datamatters.sidley.com/european-commission-publishes-draft-uk-adequacy-decisions.

[v] 委员会规定2016/679,规定保护 关于处理个人数据和自由的自然人 这种数据的运动,艺术。 45,2016,O.J. (L 119)1(EC)。

[vi] 丹库珀,保罗梅纳德, 欧盟委员会出版英国草案 Adequacy Decisions,内部科技媒体, Mar. 2, 2021, //www.insidetechmedia.com/2021/03/02/european-commission-publishes-draft-uk-adequacy-decisions/#page=1.

[vii] 委员会规定2016/679,规定保护 关于处理个人数据和自由的自然人 这种数据的运动,艺术。 45(2),2016,O.J. (L 119)1(EC)。

[viii] 委员会规定2016/679,规定保护 关于处理个人数据和自由的自然人 这些数据的运动,重组104,2016,O.J. (L 119)1(EC)。

[Ix] 安妮埃法斯, BREXIT和GDPR.,Baker McKenzie,1月29日,2021年, //www.bakermckenzie.com/en/insight/publications/2021/01/brexit-and-gdpr.

[X] 转移到 欧洲经济区以外的一个国家,保护水平充足, 国家数据保护委员会, //cnpd.public.lu/en/dossiers-thematiques/transferts-internationaux-donnees-personnelles/Reglement-general-sur-la-protection-des-donnees.html.

[xi] 同上 注9.

[XII] 同上 注6。

[XIII] ID。

[xiv] 案例C-311/18数据保护 专员v Facebook爱尔​​兰有限公司,Maximillian Schrems和干预 parties

[xv] Schrems II 判断:欧盟:美国隐私盾牌框架是个人数据转移 无效;标准合同条款需要重新评估......,Evershades Sutherland,2020年7月20日, //www.eversheds-sutherland.com/global/en/what/articles/index.page?ArticleID=en/global/ireland/schrems-ii-judgement-170720

[xvi]GDPR第三个国家,ittersoft. Consulting, //gdpr-info.eu/issues/third-countries/.

[xvii] 国际的: Schrems II:你需要知道什么, 数据 Guidance, Jul, 2020, //www.dataguidance.com/opinion/international-schrems-ii-what-you-need-know.

[xviii] Lowenstein Sandler LLP, Brexit,Schrems II和GDPR:隐私合规性 在2021年初的优先事项(第二部分),JDSUPRA,2月1日,2021年, //www.jdsupra.com/legalnews/post-brexit-schrems-ii-and-the-gdpr-5054515/.

[xix] Lowenstein Sandler LLP, Brexit,Schrems II和GDPR:隐私合规优先事项 Early 2021,JDSUPRA,1月22日,2021年, //www.jdsupra.com/legalnews/post-brexit-schrems-ii-and-the-gdpr-1733353/.

[xx] 同上 note 6.

[xxi] 同上 注6。

[xxii] 委员会规定2016/679,规定保护 关于处理个人数据和自由的自然人 这种数据的运动,艺术。 46,2016,o.j. (L 119)1(EC)。

Tags

相关文章

发表评论

关闭