隐私保护盾无效:对美国企业的影响

欧盟-美国隐私保护盾牌是由美国商务部和欧盟委员会设计的,旨在为大西洋两岸的公司提供一种符合数据保护要求的机制。

整个夏天,欧洲联盟法院(CJEU)于7月16日就C-311 / 18号案件发布了裁决 数据保护专员v 脸书爱尔​​兰和Maximillan Schrems (施雷姆斯二世),从而使EU-US隐私保护盾无效。欧盟-美国隐私保护盾是由美国商务部和欧盟委员会设计的,旨在为大西洋两岸的公司提供一种在将个人数据从欧洲经济区转移到美国时遵守数据保护要求的机制。由于 施雷姆斯二世 该决定决定,在将个人数据从欧盟转移到美国时,欧盟-美国隐私保护框架不再是符合通用数据保护法规(GDPR)要求的有效机制。欧盟和美国之间的数据传输对于这两个地区之间的贸易至关重要,这一决定对美国和欧洲经济区之间的数据传输产生了深远的影响,因为目前已有超过5,000家企业获得了欧盟-美国隐私保护体系的认证。

企业不能简单地将SCC附加到合同上,并假设数据传输符合GDPR。

施雷姆斯二世 由奥地利隐私权活动家Max Schrems带来,他是Facebook用户,他根据欧洲隐私法对Facebook处理其个人信息的合法性提出质疑。施雷姆斯后来向爱尔兰数据保护专员提起诉讼,挑战Facebook Ireland对标准合同条款(SCC)的依赖,以此作为将个人数据传输到美国Facebook服务器的法律依据。调查Schrems投诉的爱尔兰数据保护专员对Facebook提起诉讼。爱尔兰高等法院已将这些问题移交给欧洲法院,以确定SCC和欧盟-美国隐私保护盾的有效性。在里面 施雷姆斯二世 CJEU决定评估了美国国家安全法的要求,即在某些情况下,美国政府可以访问个人数据,据CJEU称,这导致对欧盟个人数据的保护不足。欧洲法院指出,“隐私盾”无法阻止美国政府当局访问和使用个人数据。此外,监察员机制尤其不能提供与欧盟法律所要求的基本相同的保证。结果,欧洲法院发现欧盟数据主体在美国法院没有起诉权。尽管企业不再依赖于欧美数据传输,但欧洲法院确实维护了SCC,SCC仍然是允许的合法传输机制,但有一些警告。企业不能简单地将SCC附加到合同上,并假设数据传输符合GDPR。欧洲法院解释说,在进行任何数据传输之前,都需要进行一些尽职调查,以核实目的地国第三方的法律是否确保了足够的保护。

回应 施雷姆斯二世 这项决定后,一些欧洲数据保护局(DPA)做出了回应,发布了有关数据传输的公开声明或指南。挪威DPA发出了一些常见问题,解释了企业应如何处理数据传输。德国DPA采取了极端立场,建议即使在使用包含其他防护措施的SCC时也应停止传输到美国的数据。欧洲数据保护委员会的任务是确保始终如一地应用GDPR,并于2020年7月24日发布了常见问题解答。2020年8月10日,欧洲司法专员迪迪尔·雷因德斯(Didier Reynders)和美国商务部长威尔伯·罗斯(Wilbur Ross)发表联合声明他们已经开始讨论以评估增强的欧盟-美国隐私保护框架以符合 施雷姆斯二世 决定,但尚未为任何新框架设定时间表。

从公司治理的角度来看,尽管不再有动力让Privacy Shield保持认证,但是Privacy Shield确实具有欧洲法律所体现的原则,因此公司可能仍希望通过保持当前认证来坚持这些原则。

由于瑞士不是欧盟成员国,因此CJEU的决定并未使“瑞士-美国隐私保护盾”失效。 施雷姆斯二世,瑞士联邦数据保护和信息专员(FDPIC)于2020年9月8日发表了自己的声明。FDPIC对《瑞士-美国隐私保护盾》进行了自己的分析,并遵循了欧洲法院的领导 施雷姆斯二世 通过得出相同的结论做出决定,即“瑞士-美国隐私保护盾”没有提供足够级别的保护来保护个人数据。类似于 施雷姆斯二世 FDPIC决定,发现美国当局在数据访问方面缺乏可强制执行的法律补救措施,因此瑞士-美国隐私保护盾无效。以前基于Privacy Shield框架的传输现在需要使用其他传输机制进行重组。

如果企业依赖SCC,则企业将需要确定是否应采取补充措施,同时考虑转让的情况和接收国的法律要求, 施雷姆斯二世.

这对美国公司意味着什么?对于获得“隐私保护盾”认证的美国公司,他们仍然有义务根据美国商务部发布的针对“隐私保护盾”的指南遵守隐私保护盾。 施雷姆斯二世 决定。美国商务部在其指南中表示,它将继续管理“隐私盾”,并且对于那些获得“隐私盾”认证的公司仍然存在这些义务。希望退出的公司需要正式退出并更新其公共隐私声明和合同承诺。从公司治理的角度来看,尽管不再有动力让Privacy Shield保持认证,但是Privacy Shield确实具有欧洲法律所体现的原则,因此公司可能仍希望通过保持当前认证来坚持这些原则。但是,这些获得Privacy Shield认证的公司必须采用其他传输机制,例如SCC或具有约束力的公司规则(BCR),这些机制将为继续传输个人数据提供足够的保障。在此期间没有宽限期 施雷姆斯二世 决定,因此将需要立即实施替代的转移机制。客户协议和数据保护附录将需要进行评估和更新,以反映企业执行合法数据传输所依赖的新数据传输机制。如果企业依赖SCC,则企业将需要确定是否应采取补充措施,同时考虑转让的情况和接收国的法律要求, 施雷姆斯二世。欧洲DPA仍在评估数据传输,并且可能会发布有关数据传输的进一步指南,因此,特别关注来自特定欧盟成员国的数据传输的公司,应继续监视DPA在相关成员国中发布的指南。

 

阿什莉·托马斯(Ashley Thomas)是Morris,Manning和Martin LLP的网络安全和隐私小组的合伙人。可以通过以下方式与她联系 [email protected] 或致电202.971.4266。

 

发表评论