Schrems II:跨大西洋数据传输的最新挑战对IT意味着什么

当Max Schrems要求爱尔兰数据保护专员阻止Facebook爱尔​​兰于2013年将其个人信息转移到美国时,他无法预见到它会使数千家其他企业的个人数据处理业务处于合法危险之中。

施雷姆斯2013年的投诉一直延伸到欧盟的最高法院,该法院于2015年出人意料地取消了关于跨大西洋数据转移的安全港协议。数以千计的企业依靠这一点来证明他们将客户和员工的个人数据从欧盟出口到美国以进行处理是合理的,他们必须寻求替代的法律理由 - 或者在欧盟内部寻找数据托管和处理资源。

安全港的消亡

欧盟数据保护法规定,个人信息不能出口到提供比欧盟更少保护的制度。存在各种法律机制来扩展这种保护,包括对集团内部转移的公司规则具有约束力,或欧盟委员会批准的标准合同条款。安全港就是其中之一 - 基本上是一种声明,只要企业遵守某些规则,欧盟委员会就认为美国法律提供了充分的保护。

在经历了几个月的不确定性之后,它被Privacy Shield取代,后者是欧盟和美国政府之间的一项新协议,允许恢复跨大西洋数据传输。

然而,事实证明,Facebook根本不依赖安全港,而是根据欧盟隐私法保护其数据传输的标准合同条款。

Schrems正式修改了他对Facebook处理其数据的原始投诉,以达到标准合同条款,并且该投诉再次进入欧盟法院,因为人们猜测它也可能威胁到企业将个人数据导出到美国

这个被称为“Schrems II”的新案件的判决预计要到2020年初,但7月9日的公开听证会暗示了事情的结果。

有趣的是,施莱姆斯不是案件的原告,而是被告。原告是爱尔兰DPC,它向他和Facebook提起诉讼,作为一项法律手段,以获得他的投诉所引起的法律问题的裁决。

关键是美国政府是否在美国持有该数据时对欧盟公民的个人数据进行大规模处理,这种监督形式是否符合欧盟隐私法,以及数据转移的标准合同条款是否提供了充分的隐私保护对于欧盟公民。

十字准线中的标准合同条款

Schrems和DPC同意美国的监管法律违反了欧盟的基本隐私权:它们的不同之处在于可以采取哪些措施。Schrems希望DPC在标准合同条款提供的法律保护不足的情况下停止个人数据传输; DPC表示没有权力这样做。

欧盟正在寻求在这一领域进行改进。欧洲司法专员VĕraJourová在6月13日表示:“我们已经在努力使标准合同条款现代化。这将使公司在欧盟或国外合同处理服务时更容易共享数据。“

与此同时,Facebook表示其数据传输没有问题,因为欧盟委员会已经通过接受取代安全港的隐私盾数据共享框架,已经裁定美国监管法律不会对欧盟公民的基本权利构成威胁。

然而,隐私盾的充分性是法院正在考虑的另一个法律挑战的目标,这一挑战来自一组法国非政府组织。

还有一个问题:如果欧洲法院决定对法国案件或第二个施莱姆斯投诉采取非常广泛的看法,就像他的第一次投诉一样,它可以决定使Facebook和其他人使用的标准合同条款无效,以及隐私盾也。

针对首席信息官的行动

对于首席信息官和总法律顾问来说,它可能会再次出现在2015年。一些欧盟公民在美国的个人信息处理可能会在一夜之间被取缔,让企业要么停止它,要么找别的地方去做,或者对后果进行赌博。

虽然还有时间,但首席信息官需要弄清楚他们的组织对欧盟公民持有的个人信息,他们是否在欧盟以外的地方处理,以及他们对该处理的同意或法律理由。从好的方面来说,只要他们的组织符合2018年5月25日生效的欧盟通用数据保护条例(GDPR),他们就应该已经掌握了许多答案。

欧洲数据保护委员会为GDPR第49条规定的减损提供了一个方便的指南,这将有助于CIO决定下一步该做什么。

总是允许对个人信息进行一些处理,例如遵守向相关人员提供商品或服务的合同,或者如果该人已经同意数据传输并且已经了解所涉及的隐私风险。同样,符合GDPR的组织已经记录了他们可以在这些减损下转移哪些数据。

剩下的还有几个月的时间来准备技术应对可能永远不会发生的潜在数据灾难。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。