プライバシーシールド無効化2020：知っておくべきこととSCCは休息をもたらすことができますか？

2020年7月16日、欧州連合司法裁判所（「CJEU」）は、シュレムスII事件（事件C-311 / 18）で画期的な判決を下しました。 CJEUは、その判断において、EU域外に設立されたデータ処理者への個人データの転送に関して欧州委員会が発行した標準契約条項（「 SCC 」）は、ケースバイケースの精査の必要性を強調して依然として有効であると結論付けました。 。 予期せぬことに、裁判所はEU-USプライバシーシールドフレームワークを無効にしました（GDPRの第45条（2）（a）の要件に違反します）。

タイムラインで示されているように、Schrems IIは何年にもわたって作成されており、魅力的なケースです。 この場合、ヨーロッパでビジネスを行っている、またはヨーロッパのクライアントからのデータを処理している米国企業は、標準契約条項（SCC）と呼ばれる新しい個別のデータ処理の取り決めについてEUと交渉するか、ヨーロッパの事業からのデータの移植を停止する必要があります。米国に。

判決は影響を及ぼします

（a）プライバシーシールドメカニズムに基づいて自己認証を取得した米国内の5,000社を超える企業。

（b）厳格なEUデータ保護法を遵守するために、受信者のプライバシーシールドの自己認証に依存した米国外の未定義の数の企業。

監督当局の反応

EJC Schrems IIの決定に続いて、一部の監督当局は、特に標準契約条項（SCC）の継続的な使用に関して、今後の方向性についての見解を表明しました。 以下に、主要なメッセージと調査結果を要約します。

ハンブルク

ハンブルクのデータ保護当局は次のように結論付けています。

プライバシーシールドの無効性が主に米国でのインテリジェンス活動の拡大によるものである場合、同じことが標準契約条項にも適用される必要があります。 データの輸出者と輸入者の間の契約上の合意は、データ主体を州のアクセスから保護するためにも同様に不適切です。

しかし、彼らはまたそれを見ます

拘束力のある企業規則と個別の合意に加えて、第三国への移転の基礎として使用できるのはとりわけSCCです。 しかし同時に、今回は不確実性が高まっています。ECJは欧州の監督当局にボールを渡しています。

ハンブルクDPAの委員会役員であるヨハネスキャスパーは次のように述べています。

本日のECJの決定後、ボールは再び監督当局の法廷に置かれ、監督当局は、標準的な契約条項を介した全体的なデータ転送に批判的に疑問を呈する決定に直面することになります。

連邦コミッショナー

同時に、データ保護と情報の自由のための連邦委員会（BfDI）であるUlrich Kelber教授は、国際データ転送に関する欧州司法裁判所（ECJ）の今日の判決を、影響を受ける人々の権利の強化と関連付けています。

ECJは、国際的なデータトラフィックが依然として可能であることを明確にしています。 ただし、ヨーロッパ市民の基本的権利は尊重されなければなりません。 米国とのデータ交換には、特別な保護措置を講じる必要があります。 企業や当局は、ECJが無効と宣言したプライバシーシールドに基づいてデータを転送することはできなくなりました。 もちろん、切り替えについては集中的にアドバイスします

ラインラントプファルツ州

ラインラント・プファルツ州DPAは、すでに非常に積極的なアプローチを採用しています。 ECJの決定からわずか数時間後、ECJの決定に関するFAQ文書が公開されました。 データエクスポーターがSCCに関連して現在何をしなければならないかについて、彼らは次のように結論付けています。

データ管理者は、データの転送先となる第三国のデータ輸入者に適用される法律、および該当する場合はこのビジネス関係の他の契約パートナーに適用される法律、およびこれらの法律が標準の契約条項によって提供される保証に影響を与えるかどうかを確認する必要があります。 。 必要に応じて、特定のデータフローを分析して、それぞれの場合に適用される第三国の法律を決定する必要があります。 これらの義務は、米国だけでなく、すべての第三国へのデータ転送に適用されます。

SCC決定の有効性が認められる

裁判所は2010年のSCC決定の有効性を支持したため、SCCに基づくEUから世界の他の地域へのデータフローは中断されることなく継続できます。 ただし、EEAからデータをエクスポートするためにSCCに依存している企業であっても、このスペースを注意深く監視することが賢明です。 EUのディディエ・レンデルス司法委員会は、決定と同じ日に早期発表を行い、SCCの重要性が増していることを踏まえてSCCを更新する計画に留意しました。

移行期間なしのプライバシーシールドの無効化

裁判所もプライバシーシールドを評価することを決定し、それが無効であると判断したため、このフレームワークに依存するすべてのデータフローは違法になります。

プライバシーシールドは現在、2015年のセーフハーバープログラムと同じ不幸な運命に直面しています。セーフハーバープログラムの無効化後に発生したスクランブルと同様に、米国とEUの政府がCJEUの決定によって強調された欠陥を修復するために会合するのを見るかもしれません。 ただし、これらの欠陥が修正されるまで、データを適切に転送するためにプライバシーシールドに依存している企業は、SCC、ユーザーの同意、拘束力のある企業ルール（BCR）など、適切な保護手段と明示的に見なされている他の手段に移行する必要があります。

当局はSCCが依然として基盤として機能していることを認めているため、当局は、組織が判決後の異動に関連してコンプライアンスを遵守するための猶予期間を認めることを期待しています。 2015年にセーフハーバーが崩壊した後、6か月の猶予期間が認められました。より広範な影響を考えると、これを今すぐ繰り返し、潜在的にこの期間を延長することは合理的です。

組織の次のステップ

企業は今すぐプライバシーシールド後の時代に備え、独自のデータ保護のために拘束力のある企業ルール（BCR）と標準の契約条項（SCC）を導入する必要があります。

1. SCCは引き続き有効ですが、現在SCCに依存している組織は、個人データの性質、処理の目的とコンテキスト、および宛先の国を考慮して、「適切なレベルの保護」があるかどうかを検討する必要があります。 EU法で義務付けられている個人データの場合。 そうでない場合、組織は、実際に「適切なレベルの保護」を確保するために、どのような追加の保護手段を実装できるかを検討する必要があります。
2. 現在EU-USプライバシーシールドフレームワークに依存している組織は、米国への個人データの転送を継続するために、代替のデータ転送メカニズムを緊急に特定する必要があります。組織は、特定の転送についてGDPRで提供される委任に依存できる場合があります（契約を履行するために転送が必要です）、SCCまたは拘束力のある企業ルールも代替メカニズムとして検討する必要があります。

つまり、GDPRの対象となる企業は検討する必要があります

（i）彼らのデータは米国に流れます。

（ii）そのような米国への移転のためのそれぞれの法的メカニズム、および

（iii）EU-USプライバシーシールドが現在の転送メカニズムである場合、そのような活動のための合法的な転送メカニズムを導入します。

Convertは何をしますか

1. 監督当局、欧州データ保護委員会、および欧州委員会からのガイダンスに注意してください。
2. データマッピングの演習を実施して、EU外に転送されているデータとその基準を評価します。 この演習では、次の点に注意します。
   1. プライバシーシールドに参加している組織へのデータ転送、
   2. 標準契約条項に依存するデータ転送–特にSCCに依存する米国の輸入業者へのデータ転送に注意してください。
   3. 拘束力のある企業ルールに依存し、米国へのデータ転送を伴うデータ転送。
3. 次のアクションに関するアプリ内メッセージを使用して、アクティブユーザーとトライアルユーザーに通知します。 つまり、EUのデータ転送がすでにSCCでカバーされているお客様の場合、何もする必要はありません。 以前にプライバシーシールドでカバーされていたものについては、EU標準契約条項（SCC）を採用することが必要な前進です。 SCCの組み込みを検討しているConvertのお客様の場合、Convert Customer Success Heroから連絡があり、標準の契約条項を現在の契約に組み込むプロセスが開始されます。
4. すべてのサブプロセッサと、更新されたデータ処理契約（DPA）および/または標準契約条項（SCC）に署名します。
5. Schrems IIの決定に関する最新情報を受け取るには、プライバシーシールドに連絡してください。
6. 事前に署名されたSCCへのリンクを含めるようにプライバシー通知を更新します。
7. 現在のステータスを反映するようにDPAページを更新します。
8. 他のデータ転送メカニズムに注意してください。