隐私 技术法/网络法

Schrems Saga:以牺牲隐私盾构框架为代价的维护SCC

2020年7月16日,欧盟司法法院的高度预期判决。将在欧洲联盟(欧盟)以外的个人数据转移中看到这一判决的后果。在数据保护委员会诉Facebook爱尔​​兰,Schrems,Cjeu无效欧盟 - 美国数据保护盾(“隐私盾”),在“施德姆斯我的决定失效”安全港之后“2015年的框架。此外,”Schrems II“决定秉承标准合同条款的技术有效性(SCC),它为依托他们的组织创造了新的法律勤奋负担,并介绍了有关的实际不确定性,风险和并发症他们使用。

背景

从Facebook的个人数据传输实践开始,这一案例根源。这是在2015年开始回来的时候,奥地利律师萨尔米尔·施勒姆斯对Facebook Inc.的子公司和Facebook Inc.的数据处理器提出了对Facebook Ireland的投诉。提出的问题是关于一般数据保护条例(GDPR)的第四十四条指出,该公民未获得足够的保护,挑战欧盟委员会“安全港”计划对欧盟的数据转移到美国的有效性(“充足的豁免决定”)。

根据欧盟法律,一个组织可能只会转移“个人 如果目的地,数据“关于非欧盟国家/地区的个人) 国家“确保足够的保护水平”。欧盟委员会有 决定是否有个人数据的保护权的权力 在这方面,第三国是或不是“充分”。 Max Schrems. 争辩,美国是一个正在处理数据的大规模监视状态 通过情报机构而不为欧盟提供足够的补救措施 citizens.

由于SCHREMS的投诉先生,CJEU无效了安全的港口原则,裁决美国的法律和实践,不提供公共当局监督(C-362/14)的足够保护。安全港计划随后被欧共体的“欧盟 - 美国”所取代。 Privacy Shield“,基于基于组织的组织,从欧洲经济区域(EEA)转让人提供了类似的自我认证计划。在“Schrems I”之后,Facebook声称依靠合同承诺作为其对美国个人数据转移的基础。 SCHREMS先生更新并重新制定了他的原始投诉,声称Facebook的具体合同不符合欧盟法律的义务,而在任何情况下,合同都无法提供足够的保护,其中第三国国家法律将覆盖它们的国家法律。爱尔兰数据保护专员刊登了“决定草案”,并从爱尔兰高等法院获得了对CJEU的第二个参考的命令。这个'Schrems II'的决定是CJEU对由该重新投诉产生的参考问题的判断。

CJEU. 的Schrems II判决

可以安全地说,这种判决是在数据利益相关者和公民之间的震惊。判决下调了两个重要决策,有可能改变欧盟和美国之间的数据传输动态。 “Schrems II”决定的主要实际结果是(i)隐私盾牌的无效,(ii)在使用标准合同条款中引入的不确定性,风险和并发症。

简单来说,这意味着CJEU发现美国正在从事监测,与欧洲数据保护水平不相容。此外,CJEU重申了有效行政和司法补救的可用性的重要性,用于个人数据正在转让的数据受试者。因此,CJEU发现欧洲人提供的法律程序,关于他们转移到美国的数据处理,这是不够的,因为没有向非美国提供的程序。公民。该决定加强了数据保护对全球商务的重要性以及隐私专业人士在符合外国法律要求的保护方面发挥的关键作用。对于今天的隐私专业人士,但是,可能比答案有更多的问题。以下是法院所说的快速初步细分,它可能是什么意思和影响,以及隐私专业人士如何开始回应的方式。

CJEU. 的决定验证SCC而不是 隐私盾构框架

有趣的是,SCC已被维持,因为他们的验证来自欧盟的监督机构。数据保护委员会(“DPC”)认为,SCC不是适当的安排,不得有效。这些论点是由欧盟宪章的第7,8和47条证实的基本权利。 DPC争夺了SCC的条款不一定绑定第三国的公共当局以提供有效的补救措施。这个DPC的这个论点没有站在CJEU面前,他们拒绝使SCC机制无效。这样做的理由被称为SCC是根据GDPR和欧盟法律标准的充分机制。它为保护欧盟公民的自由和基本权利提供了足够的保障措施。

然而,这种验证具有相当的 大型警告:法院强调,进入标准合同 条款不是其自身的足够。控制器或处理器必须 此外,在一个案例的基础上,核实目的地国家的法律 确保在转让的任何个人数据的欧盟法律下进行足够的保护 根据标准的合同条款。在哪里的法律 目的地国家不能确保足够的保护,控制器必须 实施补充措施和额外的保障措施来实现 所需的保护水平或其他停止转移。据信 数据控制器和监督机构有义务暂停或禁止 欧盟委员会产生的义务之间的数据转移 SCC和由法律或国际承诺施加的人 countries.

CJEU. 对无效隐私盾牌的决定 Framework

隐私盾构框架是 应该是安全港安排的继任者 CJEU无效。隐私盾牌的工作是转移数据 从欧盟到美国之后的条款如前面的施雷姆 我决定。但是,在隐私盾牌中的每个人都彻底震惊 判决,遵守遵守原则所载的原则 隐私盾可能仅限于“国家安全,公众的程度 利息或执法要求“。这是以一种方式允许我们 监视能够获得从欧盟转移的个人数据 to the US.

cjeu. examined the Privacy Shield in 审议GDPR的要求和宪章的规定 欧洲联盟的基本权利保证尊重 私人和家庭生活,个人数据保护和有效权利 司法保护。这些要求被认为是对背景的 美国法律施加的限制,允许通过我们访问个人数据 公共当局,包括外国情报监测法案(FISA)和行政部第702条 订购12333.基于该分析,CJEU得出结论,首先, 关于保护允许的美国法律保护个人数据的限制 美国的公共机构访问和使用个人数据并非如此 隐私盾牌以满足欧盟法律的方式。其次, 隐私盾牌没有提供 具有足够水平的司法补救措施来满足欧盟法律的个人。

总和,立即有效,隐私 盾牌不再为欧盟个人提供有效的法律依据提供了有效的法律依据 数据到美国,遭受了同样的命运,安全港框架有五个 年前。组织仅依靠隐私盾牌 因此,转移必须采取紧急行动或面临可能的重要意义 liability.

美国部门的反应 of Commerce

美国部长 商业,威尔伯罗斯,迅速发布了新闻稿,以响应 Schrems II决定,表达了对该决定的深刻失望。这 声明表明该决定会产生重大的负面后果 对所有人的企业至关重要的跨大西洋经济关系 大小和部门。它进一步说明商业部将会 继续管理隐私盾计划,包括处理 提交自我认证和重新认证到隐私盾牌 框架和维护隐私盾牌列表作为Schrems II决定 不缓解他们隐私盾牌的参与组织 obligations.

Schrems II判断的影响

Schrems II改变了 SCCS和美国与欧盟之间的数据融合的景观。与之 公司不愿意在其国内法律上进行修改 在为欧盟提供有效的补救措施,美国将瘫痪 公民。根据Schrems II的裁决,如果第三国公司是 无法遵守SCC,他们必须通知控制器在欧盟。甚至 如果欧盟以外的数据处理器禁止其国家法律 从披露这种无法遵守SCC决定,必须 尽管如此,欧盟无法遵守欧盟的披露 with SCC.

另一方面,俄罗斯和中国等尊敬的政权将在这种判决中具有更加艰难的时刻,而这一判决会因为根据其法律提供的保护应该是“基本上等同”而在欧盟的情况。此外,众所周知,这种制度是令人滥用的误导,看看欧盟是否能够充分解决这一方面是有趣的。这对跨大陆的隐私框架执行了巨大影响。虽然美国与欧盟更接近欧盟的隐私价值,但中国有一个严格的政权,其中缺乏对数据正在处理的透明度。随着Alibaba和Tiktok等互联网市场的更广泛的采用,对中国的数据流量不止一个想象。虽然这一决定是美国主要公司的挫折,但公司就像微软这样的公司提出了公告,他们将其符合其用户将如何遵守这些规定。即使隐私盾牌框架已经失效,微软澄清,他们始终保持遵守保护措施,因此用户应无需担心。

Schrems II判决对印度 - 欧盟贸易的影响

正如印度(第三国)尚未实施单独的数据保护法,因此它将被视为根据GDPR规范的不安全或不足的国家,与欧盟国家的协议包括标准合同条款按照该通知欧盟委员会在处理个人数据处理时遵守印度实体。

使用scc’在印度 - 欧盟贸易贸易由2010年2月5日的欧盟委员会的决定验证 这涉及标准的合同条款,用于将个人数据转移到第三国根据欧洲议会的指令95/46 / EC和理事会的处理人员,仍在GDPR法下仍然被关注。该通知C(2010)593适用于在标志2号标语下给出:

会员国可授权,但须遵守某些保障,转让或一组个人数据转移到第三国,该资料不确保足够的保护水平。此类保障措施可能是适当的合同条款的尤其导致。

因此,与位于欧盟的控制器和印度的处理器处理数据的控制器之间的其他商定术语以及通知C(2010)593中所述的标准合同条款是印度之后所必需的。由于印度没有印度公司,这些额外义务遵循印度公司 数据保护行为到位。

印度大多数公司目前依靠SCC以自印度没有相当于GDPR标准的数据保护制度,从欧盟转移数据。议会已审议了2019年个人数据保护法案(“PDP法案”),并可能通过。 PDP条例草案规定了雕刻权力,支持中央政府,欧盟可能不会有利地看待。因此,即使在执行PDP账单后,印度也将获得充足的身份。纳入SCC’在印度 - 欧盟的贸易中,务必施莱姆斯II判决不会对印度贸易产生任何重大影响。但是,这些SCC’现在,S将在严格的审查中,因为试图消除第三国数据保护的任何水平不足。

结论

cjeu.’S决定在某些领域提供了显着的清晰度,并在其他方面提出了毫无疑问的其他问题,这些问题无疑是由公司,监管机构和政策制定者在日子里且甚至未来几年。鉴于欧盟的转移方法最流行的方法是使用标准合同条款,这方面的实际影响可能是非常重要的。该决定为寻求依赖他们的组织创造了新的勤奋负担,并创造了这种转移可能受到挑战的重要风险。由此决定引入的不确定性,风险和复杂性进一步凸显了在充分性判断中进行的转让的优缺点,例如当前由加拿大的PIPEDA享有的充分性状态。

本文可以引用:

蓝册,第20 edn .:“Tushar Sinha, Schrems Saga:维持SCC以牺牲隐私盾构框架为代价,metocept.–InfoTech和IPR,可访问 //nerdeicek.com/the-schrems-saga:-upholding-scc-at-the-expense-of-privacy-shield-framework.”

参考

  1. Schrems II(数据保护专员v。Facebook Ireland Ltd.),2020 C-311/18(Jul。16)
  2. Shivani Agarwal,Samaksh Khanna,Mustafa Rajkotwala, 解密Schrems II,投资。 7月20日,2020年,可访问 //winvestment.wordpress.com/2020/07/20/deciphering-schrems-ii/.  
  3. Claude-étienneArmingaud,Natali Adison,Thomas Nietsch博士,Martin Fokken, 欧盟数据保护:隐私盾被欧洲正义剑破碎的跨大西洋数据删除了什么?,K&l门。 7月17日,2020年,可访问 www.klgates.com/eu-data-protection-privacy-shield-shattered-by-the-sword-of-european-justice-what-c​​omes-next-for-transatlantic-dataflows-07-17-2020/.
  4. konstantinos logaras, Schrems II。佐贺岛继续,7月的数据保护和隐私。2020.可访问 //uploadsssl.webflow.com/5d777c469faddd58092730fd/5f07213d495b7085522f9964_Schrems%20II.pdf.
  5. Michael Scherman和Keith D. Rose, Schrems II:SAGA继续,诽谤,7,2020。无障碍 //www.lexology.com/library/detail.aspx?g=edfdd673-123d-4197-a7f0-19d23d78772f.
  6. Renzo Marchini, Schrems II判决日,Fieldfisher,Jul。16,2020。可访问 //www.fieldfisher.com/en/insights/schrems-ii-judgmentday.
  7. 欧盟,国际, Schrems Saga继续:Schrems II案件在CJEU之前听到,Hunton Andrews Kurth,Jul。2019年10月10日。可访问 //www.huntonprivacyblog.com/2019/07/10/the-schrems-saga-continues-schrems-ii-case-heard-before-the-cjeu/.
  8. 朱莉布里尔,向客户保证跨境数据流,欧盟政策博客,微软,7月16日,2020,可访问 //blogs.microsoft.com/eupolicy/2020/07/16/assuring-customers-about-cross-border-data-flows/.
  9. Eduardo Ustaran,Bret Cohen,Harriet Pearson,Henrik Hanssen,Laur Badin和Julian Flamant, Schrems II:隐私盾牌无效和标准的合同条款在审查下,聘请,7月16日,2020年。可访问 //www.engage.hoganlovells.com/knowledgeservices/news/schrems-ii-privacy-shield-invalidated-and-standard-contractual-clauses-under-scrutiny.
  10. 凯特琳粪便, 这‘Schrems II’ decision:欧盟 - 美国数据转移有问题,20iapp,7月16日,2020。可访问 //iapp.org/news/a/the-schrems-ii-decision-eu-us-data-transfers-in-question/.
  11. Schrems II案例:欧盟到美国。挑战的个人数据转移,elcinger hoss。 1月29日,2020年1月29日。可访问 //www.elvingerhoss.lu/publications/schrems-ii-case-eu-us-transfers-personal-data-challenged.
  12. 2010/87 / 87/87/8︰20102010年2月5日关于在欧洲议会和理事会的指令95/46 / EC下的第三国成立的个人数据转移个人数据的标准合同条款(根据“文件C”(2010年)) 593
  13. Sharmin Godrej Irani, 一般数据保护规范在印度处理器上的应用,SCC在线博客。可能。 12,2020。可访问 //www.scconline.com/blog/post/2020/05/12/application-of-general-data-protection-regulation-on-indian-processor/.
Tags

相关文章

发表评论

关闭