新闻动态

国际:未来的国际数据传输注意事项

2020-10-20数据传输

2020年7月16日,欧盟法院法官在数据保护专员诉Facebook Ireland Limited马克西米利安·史瑞姆斯(C-311 / 18)(《史瑞姆斯二世》)中发布判决(“判决”)。案件')。目前仍然很难预见到数据向欧盟以外国家转移的实际后果,该判决明确表明了适用于非欧洲国家的欧洲法律适用性的主张。从表面上看,这一主张一开始很容易理解,但实际上,该裁决将在未来一段时间内继续产生影响。Carlo Piltz博士概述了Schrems II案例,判决对公司的意义以及为了继续在国际范围内传输数据需要满足的要求。

国际:未来的国际数据传输注意事项

欧美隐私保护盾 根据欧洲法院的裁决,很明显,2016年7月12日的委员会实施决定(EU)2016/1250是根据欧洲议会和欧盟理事会关于欧盟对美国提供的保护充分性的第95/46 / EC号指令制定的隐私保护(“欧盟-美国隐私保护决定”)无效,该判决是即时的,没有过渡期。这意味着根据通用数据保护条例(GDPR)第45条,来自欧盟的数据出口公司不再可以选择将个人数据发送给美国的认证接收者。更令人惊讶的是英国信息专员办公室1号的声明:“如果您当前正在使用Privacy Shield,请继续这样做,直到有新指南可用为止。” 正如欧洲法院在其裁决中澄清的那样,“欧盟-美国隐私保护盾”是无效的,因此,该决定的无效性不仅限于某些成员国,而且在英国也适用。

从企业界的角度来看,充分性发现的无效性是不确定性因素,如果有可能,现在必须在实践中将其消除。在目前情况下,无法预见是否会以及何时会有新的欧盟委员会(“委员会”)关于美国个人数据的保护水平“基本等同”的决定,但是在任何情况下,导出数据的公司都无法等待这个。

与GDPR第五章的其他转移机制特别相关的当然是欧洲法院关于欧盟公民(缺乏)法律保护以及当局获取的不成比例性质的调查结果。尽管这些发现是在专门针对“欧盟-美国隐私保护盾”的裁决中得出的,但在用作替代方法的转让工具中也可能必须考虑到这些发现。

欧盟标准合同条款 欧盟法院在判决书中还指出,标准合同条款('SCC')(控制者-处理者)(2010/87)的有效性并未受到影响,它们仍然包含足够的保障措施,以确保对个人数据的适当保护水平,至少在原则上。

首先,应该指出的是,欧洲法院没有在美国第三国专门进行SCC审查。相反,它根据GDPR第44条和第46(1)条的要求评估了一般条款所提供的保护。

在没有适当决定的情况下,如果出口商实现以下三个目标,则可以将个人数据转移到第三国:

他们提供了“适当的保障”(除其他外,可以包含在SCC中); “可执行的数据主体权利;” 和 提供了“针对数据主体的有效法律补救措施”。 “适当的保障措施”本身,例如SCC,应保证对人员的保护水平基本上等于欧盟所保证的保护水平。

CJEU的另一个重要发现是,在某些情况下,SCC本身可以提供适当的保护级别,因此可以不变地使用。CJEU区分以下两种情况:

方案1:根据相关第三国现行的法律和惯例,此类转让的接收者有能力仅在SCC的基础上保证对数据的必要保护。 方案2:在某些情况下,这些标准条款的内容可能不足以构成在实践中确保有效保护转移到有关第三国的个人数据的有效手段。 关于场景2,法院举了一个例子:该第三国的法律允许其公共当局干预与该数据有关的数据主体的权利。

因此,仅由于可能干扰数据主体的权利并且不能被SCC的非自适应形式所排除,SCC就是不合适的。

根据欧洲法院的说法,由于SCC的一般性质,在上述第二种情况下,取决于给定的第三国的情况,控制者可能会采取补充措施以确保遵守该保护级别,是必要的。

当前在实践中非常相关的问题是:公司可以实施哪些其他措施?监管机构尚未(截至今天)对此发表任何具体声明。

莱茵兰-普法尔茨州(“LfDI莱茵兰-普法尔茨”)在德国联邦国家的数据保护机构已经发表常见问题2 “的执政党,它表明,特别是与美国(常见问题解答): ”除了在将数据传输到美国方面,应考虑到,根据美国行政命令12.333,当数据通过跨大西洋电缆传输时,也可以对未充分加密的数据进行监视。

CJEU的决定性和实际相关的结论:首先,该控制者或处理者应逐案并在适当情况下与数据接收者合作,核实欧盟法律是否符合法律规定。第三目的地国通过在必要时为SCC提供的保护措施提供额外的保护措施,从而确保根据欧盟法律对根据SCC转移的个人数据提供充分的保护。

实践要求 CJEU关于SCC的裁定涉及在没有适当决定的情况下向任何第三国的所有转移,因此不仅是美国,而且包括中国,俄罗斯,菲律宾和印度,等等。现在不是公司惊慌的时候了,而是公司采取一种可验证的头脑风暴的方法来检查自己的数据传输

首先,应该对数据传输和接收者进行内部映射,处理活动的记录(GDPR第30条)在这方面可以提供宝贵的帮助。

如果事实证明正在使用SCC(很可能是这种情况),则应联系数据接收者。

在实践中,控制器可以例如使用预先准备的调查表来验证是否可以访问,如果可以,出于什么目的。如果可以访问数据,则必须验证这种访问的必要性。

因此,验证测试的大致结构如下: 步骤1:使用未更改的SCC。接受者可以遵守所有SCC义务吗?

控制器必须对此进行“验证”(必要时与接收方合作)。 “验证”包括检查当局是否可以访问数据。 如果是这样,则必须评估是否有必要和要求使用这些访问来实现GDPR第23(1)条中提到的目的。 步骤2:仅SCC义务是不够的。必须执行其他措施 这些措施可能具有合同性质或技术性质。

注意:进口商有违反国家法律的风险。 结论 数据保护机构是否会向公司提供适当的建议和指南还有待观察,而不仅仅是使用其权力处以罚款。同时,还应该指出,当前的状况,即GDPR(即其保护水平)也出口到第三国,将不可避免地导致与非欧洲法律的冲突。但是,无论是数据保护机构还是公司本身都无法解决此冲突。特别是要求政府和政界人士确保国际数据传输的条件是可管理的,同时确保对个人数据的充分保护。

上一篇:中国:数据传输本地化要求

下一篇:国际:欧盟-美国跨境数据传输

关注云语科技

wechat qrcode

微信扫一扫,获取最新资讯