Perisai Privasi Tidak Divalidasi 2020: Apa yang Perlu Anda Ketahui & Bisakah SCC Memberi Kelonggaran?
Diterbitkan: 2020-07-17
Pada 16 Juli 2020, Pengadilan Uni Eropa (“CJEU”) mengeluarkan keputusan penting dalam kasus Schrems II (kasus C-311/18). Dalam penilaiannya, CJEU menyimpulkan bahwa Klausul Kontrak Standar (“ SCC ”) yang dikeluarkan oleh Komisi Eropa untuk transfer data pribadi ke pemroses data yang didirikan di luar UE masih berlaku dengan menekankan perlunya pengawasan kasus per kasus. . Tanpa diduga, Pengadilan membatalkan kerangka kerja Perlindungan Privasi UE-AS (bertentangan dengan persyaratan Pasal 45(2)(a) GDPR).
| Tanggal | Peristiwa |
| Juni 2013 | Pengungkapan Snowden mengenai program PRISM |
| Juni 2013 | Keluhan Schrems ke DPC Irlandia tentang Safe Harbor mengingat pengungkapan Snowden |
| Juni 2014 | Pengadilan Tinggi Irlandia merujuk kasus Schrems ke CJEU |
| Oktober 2015 | CJEU membatalkan Safe Harbor |
| Oktober–Desember 2015 | Pengaduan Schrems ke DPC Irlandia tentang Klausul Kontrak Standar (SCC) UE |
| Juli 2016 | Adopsi Perisai Privasi UE-AS |
| Oktober 2017 | Pengadilan Tinggi Irlandia merujuk keluhan Schrems ke CJEU |
| Mei 2018 | Mulai berlakunya GDPR |
| Juli 2019 | Sidang Schrems II di CJEU |
| Desember 2019 | Opini CJEU AG dalam Schrems II |
| 16 Juli 2020 | Keputusan CJEU dalam Schrems II |
Seperti yang ditunjukkan oleh garis waktu, Schrems II telah bertahun-tahun dibuat dan merupakan kasus yang menarik. Sebagai akibat dari kasus ini, perusahaan AS yang melakukan bisnis di Eropa atau menangani data dari klien Eropa harus menegosiasikan pengaturan penanganan data individual baru, yang disebut Klausul Kontrak Standar (SCC), dengan UE, atau menghentikan porting data dari operasi Eropa ke AS.
Keputusan tersebut berdampak pada
(a) lebih dari 5.000 perusahaan di Amerika Serikat yang telah melakukan sertifikasi mandiri di bawah mekanisme Perlindungan Privasi, dan
(b) sejumlah perusahaan yang tidak ditentukan di luar Amerika Serikat yang mengandalkan sertifikasi mandiri Privacy Shield penerima untuk mematuhi undang-undang perlindungan data UE yang ketat.
Reaksi Otoritas Pengawas
Menyusul keputusan EJC Schrems II, beberapa otoritas pengawas telah menyatakan pandangan mereka tentang langkah ke depan, khususnya sehubungan dengan penggunaan Klausul Kontrak Standar (SCC) yang berkelanjutan. Di bawah ini kami telah merangkum pesan dan temuan utama:
Hamburg
Otoritas perlindungan data Hamburg menyimpulkan :
Jika ketidakabsahan Perlindungan Privasi terutama disebabkan oleh meningkatnya aktivitas intelijen di AS, hal yang sama juga harus berlaku untuk Klausul Kontrak Standar. Perjanjian kontrak antara eksportir dan importir data sama-sama tidak cocok untuk melindungi subjek data dari akses negara.
Namun, mereka juga melihat itu
selain Aturan Perusahaan yang Mengikat dan perjanjian individu, di atas semua itu SCC dapat digunakan sebagai dasar untuk transfer ke negara ketiga. Namun, pada saat yang sama, ketidakpastian meningkat kali ini: ECJ memberikan bola kepada otoritas pengawas Eropa.
Johannes Casper, Petugas Komisi DPA Hamburg menyatakan:
Setelah keputusan ECJ hari ini, bola sekali lagi berada di pengadilan otoritas pengawas, yang sekarang akan dihadapkan dengan keputusan untuk mempertanyakan secara kritis keseluruhan transfer data melalui klausul kontrak standar.
Komisaris Federal
Pada saat yang sama, Komisaris Federal untuk Perlindungan Data dan Kebebasan Informasi (BfDI) , Profesor Ulrich Kelber, mengaitkan keputusan Pengadilan Eropa (ECJ) hari ini tentang transfer data internasional dengan penguatan hak-hak mereka yang terkena dampak:
ECJ menjelaskan bahwa lalu lintas data internasional masih memungkinkan. Namun, hak-hak dasar warga negara Eropa harus dihormati. Tindakan perlindungan khusus sekarang harus diambil untuk pertukaran data dengan AS. Perusahaan dan otoritas tidak dapat lagi mentransfer data berdasarkan Privacy Shield, yang telah dinyatakan tidak efektif oleh ECJ. Kami akan, tentu saja, memberikan saran intensif tentang pergantian
Rhineland-Palatinate
Pendekatan yang sangat proaktif telah diambil oleh DPA Rhineland-Palatinate. Hanya beberapa jam setelah keputusan ECJ, dokumen FAQ tentang keputusan ECJ diterbitkan . Mengenai apa yang sekarang harus dilakukan oleh eksportir data sehubungan dengan SCC, mereka menyimpulkan:
Pengontrol data harus memeriksa undang-undang yang berlaku untuk pengimpor data di negara ketiga tempat mereka ingin mentransfer data dan, jika berlaku, kepada mitra kontraktual lainnya dalam hubungan bisnis ini dan apakah undang-undang ini memengaruhi jaminan yang diberikan oleh klausul kontrak standar . Jika perlu, aliran data spesifik harus dianalisis untuk menentukan hukum negara ketiga mana yang berlaku dalam setiap kasus. Kewajiban ini berlaku untuk transfer data ke semua negara ketiga, tidak hanya ke AS.
Keabsahan Putusan MK Diakui
Karena Pengadilan menguatkan keabsahan Keputusan SCC 2010, maka aliran data dari UE ke seluruh dunia berdasarkan SCC dapat terus berlanjut tanpa gangguan. Namun, bahkan untuk perusahaan yang mengandalkan SCC untuk mengekspor data keluar dari EEA, akan lebih bijaksana untuk memantau ruang ini dengan cermat. Komisaris Uni Eropa untuk Kehakiman Didier Reynders mengeluarkan pengumuman awal pada hari yang sama dengan keputusan tersebut, mencatat rencananya untuk memperbarui SCC mengingat pentingnya mereka sekarang meningkat.
Pembatalan Perisai Privasi Tanpa Periode Transisi
Karena Pengadilan juga memutuskan untuk menilai Perlindungan Privasi dan menganggapnya tidak valid, maka semua aliran data yang mengandalkan kerangka kerja ini akan menjadi melanggar hukum.
Privacy Shield sekarang menghadapi nasib malang yang sama seperti program Safe Harbor pada tahun 2015. Mirip dengan perebutan yang terjadi setelah pembatalan program Safe Harbor, kita mungkin melihat pemerintah AS dan Uni Eropa bertemu untuk memperbaiki cacat yang disorot oleh keputusan CJEU. Namun, hingga cacat ini diperbaiki, perusahaan mana pun yang mengandalkan Privacy Shield untuk mentransfer data dengan benar harus beralih ke tindakan lain yang secara eksplisit dianggap sebagai perlindungan yang sesuai, seperti SCC, persetujuan pengguna, dan Binding Corporate Rules (BCRs).
Karena pihak berwenang mengakui bahwa SCC masih berfungsi sebagai dasar, kami berharap bahwa pihak berwenang akan memberikan masa tenggang bagi organisasi untuk menyesuaikan diri dalam kaitannya dengan transfer setelah keputusan. Masa tenggang 6 bulan diizinkan setelah jatuhnya Safe Harbor pada tahun 2015. Mengingat dampak yang lebih luas, masuk akal untuk mengulanginya sekarang dan berpotensi memperpanjang periode ini.
Langkah Selanjutnya untuk Organisasi
Bisnis harus bersiap untuk pasca era Privacy Shield sekarang, dan mendapatkan aturan perusahaan yang mengikat (BCR) dan klausa kontrak standar (SCC) untuk perlindungan data mereka sendiri.
- Meskipun SCC tetap valid, organisasi yang saat ini mengandalkannya perlu mempertimbangkan apakah, dengan mempertimbangkan sifat data pribadi, tujuan dan konteks pemrosesan, dan negara tujuan, terdapat “tingkat perlindungan yang memadai” untuk data pribadi sebagaimana diwajibkan oleh hukum UE. Jika bukan itu masalahnya, organisasi harus mempertimbangkan perlindungan tambahan apa yang dapat diterapkan untuk memastikan bahwa sebenarnya ada “tingkat perlindungan yang memadai.”
- Organisasi yang saat ini mengandalkan kerangka kerja Perlindungan Privasi UE – AS perlu segera mengidentifikasi mekanisme transfer data alternatif untuk melanjutkan transfer data pribadi ke AS. Organisasi mungkin dapat mengandalkan pengurangan yang disediakan dalam GDPR untuk transfer tertentu (seperti kapan transfer diperlukan untuk melakukan kontrak), dan SCC atau Aturan Perusahaan yang Mengikat juga harus dipertimbangkan sebagai mekanisme alternatif.
Singkatnya, perusahaan yang tunduk pada GDPR harus mempertimbangkan
(i) data mereka mengalir ke AS,
(ii) mekanisme hukum masing-masing untuk transfer tersebut ke AS, dan
(iii) jika Privacy Shield UE-AS adalah mekanisme transfer saat ini, terapkan mekanisme transfer yang sah untuk aktivitas tersebut.
Apa yang Akan Dilakukan Konversi?
- Perhatikan panduan dari otoritas pengawas, Dewan Perlindungan Data Eropa, dan Komisi Eropa.
- Menilai data apa yang sedang ditransfer di luar UE dan atas dasar apa dengan melakukan latihan Pemetaan Data. Dalam latihan ini, kami memperhatikan:
- Transfer data ke organisasi yang berpartisipasi dalam Perlindungan Privasi,
- Transfer data yang bergantung pada Klausul Kontrak Standar – perhatikan setiap transfer data ke importir AS yang mengandalkan SCC khususnya,
- Transfer data yang bergantung pada Aturan Perusahaan yang Mengikat dan yang melibatkan transfer data ke AS.
- Beri tahu pengguna aktif dan uji coba dengan menggunakan pesan dalam aplikasi tentang tindakan selanjutnya. Singkatnya, untuk pelanggan kami yang transfer data UE-nya sudah dicakup oleh SCC, tidak ada yang perlu dilakukan. Bagi mereka yang sebelumnya tercakup oleh Privacy Shield, mengadopsi klausa kontraktual standar (SCC) UE adalah langkah maju yang diperlukan. Jika Anda adalah pelanggan Konversi yang ingin memasukkan SCC, Pahlawan Sukses Pelanggan Konversi Anda akan menghubungi Anda untuk memulai proses memasukkan Klausul Kontrak Standar ke dalam perjanjian kami saat ini dengan Anda.
- Menandatangani Perjanjian Pemrosesan Data (DPA) dan/atau Klausul Kontrak Standar (SCC) yang diperbarui dengan semua sub-pemroses.
- Hubungi Privacy Shield untuk menerima pembaruan tentang keputusan Schrems II.
- Perbarui Pemberitahuan Privasi kami untuk menyertakan tautan ke SCC yang telah ditandatangani sebelumnya.
- Perbarui halaman DPA untuk mencerminkan status saat ini.
- Mengawasi mekanisme transfer data lainnya.
