تم إبطال درع الخصوصية 2020: ما الذي تحتاج إلى معرفته وهل يمكن أن تحقق الشركات الصغيرة والمتوسطة الراحة؟

في 16 يوليو 2020 ، أصدرت محكمة العدل التابعة للاتحاد الأوروبي ("CJEU") حكمها التاريخي في قضية Schrems II (القضية C-311/18). في حكمها ، خلصت CJEU إلى أن البنود التعاقدية القياسية (" SCCs ") الصادرة عن المفوضية الأوروبية لنقل البيانات الشخصية إلى معالجات البيانات المنشأة خارج الاتحاد الأوروبي لا تزال صالحة مع التأكيد على الحاجة إلى التدقيق في كل حالة على حدة . بشكل غير متوقع ، أبطلت المحكمة إطار عمل Privacy Shield بين الاتحاد الأوروبي والولايات المتحدة (يتعارض مع متطلبات المادة 45 (2) (أ) من اللائحة العامة لحماية البيانات).

كما يتضح من الجدول الزمني ، كان Schrems II سنوات في الإعداد وهو حالة رائعة. نتيجة للحالة ، يتعين على الشركات الأمريكية التي تمارس نشاطًا تجاريًا في أوروبا أو تتعامل مع البيانات من العملاء الأوروبيين إما التفاوض بشأن ترتيبات معالجة البيانات الفردية الجديدة ، والتي تسمى البنود التعاقدية القياسية (SCCs) ، مع الاتحاد الأوروبي ، أو التوقف عن نقل البيانات من العمليات الأوروبية في الولايات المتحدة.

الحكم له تأثير على

(أ) أكثر من 5000 شركة في الولايات المتحدة لديها اعتماد ذاتي بموجب آلية Privacy Shield ، و

(ب) عدد غير محدد من الشركات خارج الولايات المتحدة التي اعتمدت على شهادة حماية الخصوصية الذاتية للمستلمين للامتثال لقوانين حماية البيانات الصارمة في الاتحاد الأوروبي.

رد فعل السلطات الإشرافية

بعد قرار EJC Schrems II ، أعربت بعض السلطات الإشرافية عن وجهة نظرها بشأن الطريق إلى الأمام ، لا سيما فيما يتعلق بالاستمرار في استخدام البنود التعاقدية القياسية (SCC). فيما يلي لخصنا الرسائل والنتائج الرئيسية:

هامبورغ

تستنتج هيئة حماية البيانات في هامبورغ :

إذا كان عدم صلاحية درع الخصوصية يرجع أساسًا إلى تصاعد أنشطة الاستخبارات في الولايات المتحدة الأمريكية ، فيجب أن ينطبق الشيء نفسه أيضًا على البنود التعاقدية القياسية. الاتفاقات التعاقدية بين جهة تصدير البيانات والمستورد غير مناسبة بنفس القدر لحماية موضوعات البيانات من وصول الدولة.

ومع ذلك ، فإنهم يرون ذلك أيضًا

بالإضافة إلى قواعد الشركة الملزمة والاتفاقيات الفردية ، فإنه قبل كل شيء يمكن استخدام SCC كأساس للتحويلات إلى دول ثالثة. ومع ذلك ، في الوقت نفسه ، ازدادت حالة عدم اليقين هذه المرة: تمرر محكمة العدل الأوروبية الكرة إلى السلطات الإشرافية الأوروبية.

صرح يوهانس كاسبر ، مسؤول لجنة إدارة الشؤون السياسية في هامبورغ:

بعد قرار محكمة العدل الأوروبية اليوم ، أصبحت الكرة مرة أخرى في ملعب السلطات الإشرافية ، والتي ستواجه الآن قرارًا بالتشكيك بشكل حاسم في نقل البيانات الإجمالي عبر البنود التعاقدية القياسية.

المفوض الاتحادي

في الوقت نفسه ، يربط المفوض الفيدرالي لحماية البيانات وحرية المعلومات (BfDI) ، البروفيسور أولريش كيلبر ، حكم اليوم الصادر عن محكمة العدل الأوروبية (ECJ) بشأن نقل البيانات الدولية مع تعزيز حقوق المتضررين:

توضح محكمة العدل الأوروبية أن حركة البيانات الدولية لا تزال ممكنة. ومع ذلك ، يجب احترام الحقوق الأساسية للمواطنين الأوروبيين. يجب الآن اتخاذ تدابير وقائية خاصة لتبادل البيانات مع الولايات المتحدة الأمريكية. لم يعد بإمكان الشركات والسلطات نقل البيانات على أساس درع الخصوصية ، الذي أعلنت محكمة العدل الأوروبية أنه غير فعال. سنقدم بالطبع نصائح مكثفة بشأن التغيير

راينلاند بالاتينات

تم بالفعل اتباع نهج استباقي للغاية من قبل DPA في راينلاند بالاتينات. بعد ساعات قليلة فقط من قرار محكمة العدل الأوروبية ، تم نشر وثيقة الأسئلة الشائعة حول قرار محكمة العدل الأوروبية . فيما يتعلق بما يتعين على مصدري البيانات فعله الآن فيما يتعلق بـ SCC ، فقد خلصوا إلى:

يجب على مراقبي البيانات التحقق من القوانين السارية على جهة استيراد البيانات في الدولة الثالثة التي ينوون نقل البيانات إليها ، وإذا كان ذلك ممكنًا ، إلى شركائها التعاقديين الآخرين في علاقة العمل هذه وما إذا كانت هذه القوانين تؤثر على الضمانات المنصوص عليها في البنود التعاقدية القياسية . إذا لزم الأمر ، يجب تحليل تدفقات البيانات المحددة لتحديد قوانين الدولة الثالثة المطبقة في كل حالة. تنطبق هذه الالتزامات على عمليات نقل البيانات إلى جميع البلدان الثالثة ، وليس إلى الولايات المتحدة فقط.

صحة قرار SCC معترف بها

نظرًا لأن المحكمة أيدت صلاحية قرار SCC 2010 ، فإن تدفق البيانات من الاتحاد الأوروبي إلى بقية العالم بناءً على SCC يمكن أن يستمر دون انقطاع. ومع ذلك ، حتى بالنسبة للشركات التي تعتمد على شركات التحكم عن بعد لتصدير البيانات من المنطقة الاقتصادية الأوروبية ، سيكون من الحكمة مراقبة هذه المساحة عن كثب. أصدر مفوض الاتحاد الأوروبي للعدالة ديدييه رايندرز إعلانًا مبكرًا في نفس اليوم الذي صدر فيه القرار ، مشيرًا إلى خططه لتحديث SCC في ضوء أهميتها المتزايدة الآن.

إبطال درع الخصوصية بدون فترة انتقالية

نظرًا لأن المحكمة قررت أيضًا تقييم درع الخصوصية ووجدت أنه غير صالح ، فإن جميع تدفقات البيانات التي تعتمد على هذا الإطار ستصبح غير قانونية.

يواجه Privacy Shield الآن نفس المصير المؤسف الذي واجهه برنامج Safe Harbor في عام 2015. على غرار التدافع الذي حدث بعد إبطال برنامج Safe Harbor ، قد نرى حكومات الولايات المتحدة والاتحاد الأوروبي تجتمع لإصلاح العيوب التي أبرزها قرار CJEU. ولكن ، حتى يتم إصلاح هذه العيوب ، يجب أن تتحول أي شركة تعتمد على Privacy Shield لنقل البيانات بشكل صحيح إلى تدابير أخرى تم اعتبارها صراحةً إجراءات وقائية مناسبة ، مثل SCC ، وموافقة المستخدم ، وقواعد الشركة الملزمة (BCRs).

نظرًا لأن السلطات تقر بأن الدوائر المتخصصة لا تزال تعمل كأساس ، فإننا نتوقع أن تسمح السلطات للمنظمات بفترة سماح للامتثال فيما يتعلق بعمليات النقل بعد الحكم. تم السماح بفترة سماح مدتها 6 أشهر بعد سقوط Safe Harbor في عام 2015. نظرًا للتأثير الأوسع ، سيكون من المعقول تكرار ذلك الآن وربما تمديد هذه الفترة.

الخطوات التالية للمنظمات

يجب على الشركات الاستعداد لمرحلة ما بعد درع الخصوصية الآن ، والحصول على قواعد الشركة الملزمة (BCR) والبنود التعاقدية القياسية (SCC) لحماية البيانات الخاصة بهم.

1. بينما تظل SCCs صالحة ، ستحتاج المؤسسات التي تعتمد عليها حاليًا إلى النظر فيما إذا كان هناك "مستوى مناسب من الحماية" ، مع مراعاة طبيعة البيانات الشخصية وأغراض وسياق المعالجة وبلد الوجهة. للبيانات الشخصية كما هو مطلوب بموجب قانون الاتحاد الأوروبي. وحيثما لم يكن الأمر كذلك ، يجب على المنظمات النظر في ماهية الضمانات الإضافية التي يمكن تنفيذها لضمان وجود "مستوى مناسب من الحماية".
2. ستحتاج المنظمات التي تعتمد حاليًا على إطار عمل Privacy Shield بين الاتحاد الأوروبي والولايات المتحدة إلى تحديد آلية بديلة لنقل البيانات بشكل عاجل لمواصلة عمليات نقل البيانات الشخصية إلى المنظمات الأمريكية ، وقد تكون قادرة على الاعتماد على الاستثناءات المقدمة في اللائحة العامة لحماية البيانات (GDPR) لعمليات نقل معينة (مثل متى النقل ضروري لتنفيذ عقد) ، ويجب أيضًا اعتبار قواعد الشركات الخاصة أو قواعد الشركة الملزمة آليات بديلة.

باختصار ، يجب على الشركات التي تخضع للائحة العامة لحماية البيانات النظر فيها

(1) تدفق بياناتهم إلى الولايات المتحدة ،

(2) الآلية القانونية ذات الصلة لمثل هذه التحويلات إلى الولايات المتحدة ، و

(3) إذا كان درع الخصوصية بين الاتحاد الأوروبي والولايات المتحدة هو آلية النقل الحالية ، فضع آلية نقل شرعية لمثل هذه الأنشطة.

ماذا ستفعل التحويل

1. احترس من التوجيهات من السلطات الإشرافية ومجلس حماية البيانات الأوروبي والمفوضية الأوروبية.
2. قم بتقييم البيانات التي يتم نقلها خارج الاتحاد الأوروبي وعلى أي أساس من خلال إجراء تمرين تعيين البيانات. في هذا التمرين ، نبحث عن:
   1. عمليات نقل البيانات إلى المنظمات التي تشارك في Privacy Shield ،
   2. عمليات نقل البيانات التي تعتمد على البنود التعاقدية القياسية - لاحظ أي عمليات نقل بيانات إلى المستوردين في الولايات المتحدة الذين يعتمدون على SCC على وجه الخصوص ،
   3. عمليات نقل البيانات التي تعتمد على قواعد الشركة الملزمة والتي تتضمن نقل البيانات إلى الولايات المتحدة.
3. أبلغ المستخدمين النشطين والتجريبيين باستخدام الرسائل داخل التطبيق حول الإجراءات التالية. باختصار ، بالنسبة لعملائنا الذين تمت تغطية عمليات نقل بياناتهم في الاتحاد الأوروبي بالفعل من قبل SCC ، لا يلزم فعل أي شيء. بالنسبة لأولئك الذين تمت تغطيتهم مسبقًا بواسطة Privacy Shield ، فإن اعتماد البنود التعاقدية القياسية للاتحاد الأوروبي (SCCs) هو مسار ضروري للمضي قدمًا. إذا كنت عميل تحويل تتطلع إلى دمج SCCs ، فسيكون برنامج Convert Customer Success Hero على اتصال بك لبدء عملية دمج البنود التعاقدية القياسية في اتفاقيتنا (اتفاقيات) الحالية معك.
4. توقيع اتفاقيات معالجة البيانات المحدثة (DPAs) و / أو البنود التعاقدية القياسية (SCCs) مع جميع المعالجات الفرعية.
5. اتصل بـ Privacy Shield لتلقي تحديثات بشأن قرار Schrems II.
6. قم بتحديث إشعار الخصوصية الخاص بنا لتتضمن رابطًا إلى SCCs الموقعة مسبقًا.
7. قم بتحديث صفحة DPA لتعكس الحالة الحالية.
8. راقب آليات نقل البيانات الأخرى.