2020年7月16日,欧盟司法法院(欧盟法院)无效由所提供的保障是否足够一千二百五十〇分之二千〇一十六决策美国的隐私保护, ruling, among other things, that U.S. domestic law governing law enforcement access to transferred data does not satisfy the GDPR’s requirements because, as the Court stated, U.S. surveillance programs are not limited to “what is strictly necessary to achieve the legitimate objective in question”. In a separate portion of the opinion, however, the CJEU upheld as valid Commission Decision 2010/87 on standard contractual clauses (SCCs) for the transfer of personal data to processors established in third countries. This is the second ruling (known commonly as “Schrems二世而CJEU推翻了一个已经建立的从欧盟向美国转移个人数据的机制1888BET 使长期存在的欧盟-美国关系无效。“安全港”是一种跨越大西洋传输数据而不违反欧盟数据保护指令的方法,该指令是GDPR的前身。

既然这样,Schrems二世危及数据从欧洲流向美国和企业现在面临着类似的情况,2015年时青睐的机制来传送的个人数据也同样无效。不出意外,惊慌的反应从美国传来,其中包括两名美国参议员称该决定“麻烦”和经济破坏性中,美国商务部长系称之为“深感不安”所有官员都希望谈判代表能迅速敲定一个后续框架。

Schrems裁决

在2015年,在的唤醒Schrems我决定中,欧盟委员会采用欧盟 - 美国境外隐私保护,一个框架,旨在取代1888BET 欧盟 - 美国境外安全港计划。该Schrems我法院已裁定,安全港程序没有充分保护“干扰”,从美国政府“建立在国家安全和公共利益的要求”(注意个人资料:本Schrems我爱德华•斯诺登(Edward Snowden)泄露了美国政府的某些“棱镜”(PRISM)项目以及其他涉及个人数据和通信的数字监控活动,这引发了质疑。当时,Privacy Shield被设计为一个“强大的新系统”,允许美国公司履行更强有力的义务,保护欧洲人的个人数据,美国商务部和联邦贸易委员会(FTC)将进行更严格的监督和执行,政府任命了一位隐私盾牌监察员。随着Schrems情况下,通过带来奥地利隐私活动家继续通过欧洲法院蜿蜒的道路,它再一次在2020年就可以进入欧盟的最高法庭,这里是我们面临同样的结局。

欧盟委员会的决定是否足够支持的隐私保护是寻找第三国(在这种情况下,美国),确保保护个人资料基本上相当于根据欧盟法律规定的水平的目的。一个充足决定采用假定委员会已评估了法律和第三国的载于GDPR第45条规定的各种因素的光的做法保证保护水平。其中一个考虑因素包括涉及国家安全和监视第三国的法律。欧盟法院的理由是,在GDPR下,是否足够决定必须确保其数据传送的人,人的权利“的好处......从保护基本等于从GDPR随后的水平。”在Schrems二世, CJEU判定Privacy Shield的适当性决定无效,原因有很多,主要是关于《外国情报监视法》(FISA)允许的美国政府监视的范围。法院指出,美国政府的监控项目没有足够的限制,欧盟隐私监察员和其他机构也没有为潜在的目标欧盟人提供类似的补救措施。

在another part of its judgment, however, the CJEU validated SCCs, another mechanism to transfer data from the EU to the U.S. The Court noted, among other things, that the SCCs provide for enforceable rights and remedies against the exporter and, in the alternative, against the importer, and that supervisory data protection authorities possess corrective powers that can be used to issue warnings to noncompliant controller, or in some cases, impose a temporary or definitive limitation or ban on processing. Despite declining to invalidate the SCCs, the court suggested certain obligations for the data importer and exporter, namely that a controller established in the EU and the recipient of personal data are“在任何转移之前,必须核实有关第三国是否尊重欧盟法律所要求的保护水平。”法院还补充道:“在适当情况下,接收方有义务……告知财务主任未能遵守这些条款的任何情况,而后者则有义务中止数据的转移和/或终止合同。”

最终外卖

那么,5000多家已经加入“隐私之盾”计划的企业将何去何从呢?潜在的破坏是巨大的。目前,欧盟官员还没有对使用Privacy Shield来过渡其数据传输行为的公司提供一个宽限期的官方消息(就像在欧盟-美国的数据传输失效后发生的那样)。安全港)。事实上,柏林数据保护局发布声明如下Schrems二世并表示,在美国存储个人数据的柏林数据管理员应将这些数据返回欧洲。该官员还强调,第三国的数据输入方有义务在第一次数据传输之前检查第三国是否有超出GDPR允许范围的国家访问数据。因此,依赖Privacy Shield框架的公司或那些与依赖Privacy Shield的供应商签订合同的公司有责任立即重新评估并实施GDPR中确定的其他数据传输机制。虽然比在Privacy Shield下进行自我认证更麻烦,但公司可能会选择使用具有约束力的公司规则和上述标准合同条款来处理法律数据传输。然而,即使是那些依赖于SCCs的实体,他们的工作也没有完成。依赖于SCCs的实体应做好准备,应对数据出口商向非欧盟数据进口商提出的关于公司是否遵守SCCs并提供足够级别保护的问题和风险评估。除此之外,英国和美国之间的数据传输还有一些问题(目前,英国正处于一个过渡时期,直到年底,英国数据保护管理局声明其政府打算从过渡期结束)纳入GDPR到英国数据保护法。此外,一个有趣的问题已经提出加州是否可以申请基于CCPA下提供的保障是否充足的决策。正如我们安全港的无效据悉,这将是一个持续的过程,随着条件改变,因为谈判双方试图建立一个新的妥协与欧盟法律规定,并且会生存法院挑战。我们将继续密切关注事态发展。

特别感谢Jonathan Mollod对这篇博客的重要贡献。