隐私盾牌:公司面临新的障碍,以合法地将数据转移到美国
欧洲企业将不得不对美国法律进行耗时的评估,以确保他们的数据转移到美国是合法的,在欧洲司法法院决定击败欧盟 - 美国数据分享协议,隐私盾牌,它索赔了这一点星期。
已经告知,成千上万的公司通过称为标准合同条款(SCCS)的法律协议来替换隐私盾牌的公司无法再依靠“票箱”练习来表明他们符合欧盟数据保护和人权法律。
欧洲司法法院(ECJ)已明确表示,如果他们希望在其决定使隐私盾牌失效后继续与美国继续与美国共享数据,因此公司将不得不承担欧盟法律。
爱尔兰数据保护委员会提出的案件与Facebook和奥地利律师Max Schrems带来了巨大的企业和数据保护监管机构的巨大不确定性,他们正在努力理解其全面影响。
迪克森表示,欧洲法院的判决首次“挑战”对企业的需求进行了法律评估,然后再开始与欧盟以外的国家分享数据。
“判决显然,这是需要的,”在法院判决之后,她告诉在线会议。“较小公司的负担是巨大的。担任数据保护机构主任进行该分析,这是一个极其劳动密集型,昂贵的过程。挑战是巨大的。“
德克松的评论来到欧洲数据保护监管机构警告公司,他们需要进行正式评估,包括考虑美国的法律制度,如果他们想向美国发送数据(见下文框)。
如果滥用数据,美国监督法赋予欧盟公民的救济权少。这意味着SCC是否对隐私盾牌是合法的替代品,有问题标志着。
欧洲央章提出了美国行政命令12333的问题,美国国家安全局为通过包括谷歌在内的大科技公司的数据中心提供数据的法律依据。
它提出了对美国国家安全机构通过点击水下互联网电缆提取电子邮件和其他私人数据的进一步担忧。
问题仍然是从欧洲到美国“根据任何机制”的数据转移,符合欧洲人权法,迪克森告诉律师和隐私专家,在由国际隐私专业人士协会组织的研讨会上。
“基本权利的欧盟宪章是非常严重的事业,”她说。“在第7条 - 第8条中的保护权的认识到第8条 - 提高了非常高的标准,难以实施。”
Andy Serwin是DLA Piper的合作伙伴,建议了爱尔兰数据保护委员会在七年前由奥地利律师Max Schrems发起的法律程序中,当他抱怨“Facebook爱尔兰在美国与Facebook中的数据分享了他的数据时违反了欧盟法律。
Serwin表示,公司应该评估他们向美国发送的任何数据的可能性将受到拦截,具体取决于他们公司所在的行业部门,并使用它来支持他们使用SCC将数据转移到美国。
美国相关法律是美国外国情报监测修订法案(FISA)的第702款,使美国政府机构在没有逮捕令的情况下向非美国公民进行沟通和数据的权利。
将数据转移到美国公司的公司将在欧盟法律上的更坚定地位,如果他们能够表明,他们的美国商业伙伴很少收到FISA下的订单即可移交私人数据。
美国公司不能拒绝回应订单,以便在FISA下向美国执法和情报机构交出数据。
但他们可以发布他们收到的要求,允许欧洲公司基准在海外转移个人数据的风险。
Serwin说:“如果您是制药公司转移临床试验数据,我永远不会说,但是您获得FISA要求该数据的可能性可能很低。”
企业还应考虑美国州法律是否可以为联邦法律不提供的补救员提供欧盟公民,作为他们对SCC的有效性的评估的一部分。
“这种情况的核心是我们监督法,”Serwin说。“如果这是什么是无效的隐私盾牌并提出有关SCC的问题,公司可能确实必须看看州立法律。”
欧盟和美国法律难以调和。欧洲隐私法根据人权,而美国将隐私视为产权。
“真正的问题我们都在今天挣扎的是你如何广场与物权观点的基本人权观点?” Serwin说。“FISA标准对美国和非美国人不同。”
美国政府的一个解决方案可以是通过包括欧洲居民的保护,更广泛地确定FISA和其他监测计划的保障措施。
但是美国政府是否愿意这样做远非肯定。
与此同时,律师建议公司使用SCC将数据转移到美国和其他可能不遵守欧盟隐私和数据保护法的国家,在没有其他明确的替代方案的情况下。
Serwin补充说:“如果我现在建议任何人,它就会留在现在的SCCS的课程,尽量收集您在您在您正在做的业务的国家在您的行业中存在的法律保护,如加利福尼亚州。 “
他说,企业不能忽视“Undereas电缆的幽灵和美国监控的一般背景”,但他们可以采取措施加强他们的法律案例来转移数据。
“试着推断你有多少频率[FISA]请求,你的处理器或数据导入者有这些要求的频率,”他说。
迪克森表示,她尚未推荐公司从隐私盾牌转向SCC,但同意在实践中他们没有选择。
“走向SCC,因为它们仍然在技术上有效和可用,并尝试并在适当时候尝试通过欧洲数据保护委员会的指导来暗示这些补充保障措施,”她说。
例如,这可能意味着,一些行业部门能够断言他们的数据永远不会受国家安全局的访问,说迪克森。
“我不会在那个方向上指导[向SCCS],但我们承认这是公司现在可以走的唯一逻辑地方,”她补充道。
在德国,柏林的数据保护专员通过呼吁公司向欧洲服务提供商移至欧洲服务提供商来进一步而不是其他欧洲数据保护监督员。
Maja Smoltzyk表示现在是欧洲数字自治的时间。“欧洲委员会已经清楚地说明了数据出口不仅仅是经济,而且基本权利必须是至关重要的,”她说。“为了方便或成本节省,个人数据可以转移到美国的时代结束了。”
德国第九大州的区域数据保护委员会,莱茵兰 - 普法尔茨(Rhineland-Palatinate)的区域数据保护专员表示,在隐私盾牌下对美国的数据转移是非法的,直接影响。他警告说,组织不能使用SCC豁免自己履行数据保护义务。
“球现在处于负责人的领域,”他说。“他们无法避免与他们想要传递数据的第三国的国家法律密集地进行密集地处理。”
法院的决定删除隐私盾牌,奥地利律师Max Schrems的七年法律斗争介绍了起诉Facebook爱尔兰,他指责违反欧盟法律,通过在美国的Facebook与Facebook分享他的个人数据。
Schrems本周写信给爱尔兰数据保护委员会迪克森,询问她在原始投诉七年后发出关于Facebook使用的决定的步骤。
“如果你在七天内确认你建议的下一步以来要签发决定,我会感激不尽,”他说。
数据保护稳压器呼叫新框架来取代隐私盾牌
欧洲的数据保护监管机构本周表示,欧盟和美国应该制定一个新的框架,以保证美国的个人数据收到欧盟个人数据的“基本上等同”的保护。
欧洲数据保护委员会(EDPB)是来自欧洲和欧洲经济领域的独立30个数据保护监管机构,批评了美国监测法中缺乏欧盟公民的保障措施,允许收集和分析私人数据非美国公民的国家安全。
在ECJ的隐私盾牌失效之后,公司仍然可以自由地使用替代的法律机制,称为标准合同条款(SCC),以转移欧盟和美国之间的数据。
但在决定后发表的声明中,监管机构警告说,使用SCC进出口数据的公司将负责确保他们遵守欧洲的一般数据保护条例(GDPR)和基本权利欧盟宪章。
该声明称,组织将数据出口到美国或其他国家需要对SCC进行评估,转让情况和该国的法律制度。“出口商可能需要考虑建立额外措施,”它说。
如果接收国不能或不会遵守其要求,数据保护监管机构在SSCS下有责任暂停数据转移。
声明说:“埃普布将更详细地评估判决,并进一步澄清利益攸关方对利益攸关方的进一步澄清利益攸关方,并根据判决将个人数据转移到第三国的指导,”该声明表示。