Scutul de confidențialitate a fost invalidat în 2020: Ce trebuie să știți și SCC-urile pot oferi răgaz?

La 16 iulie 2020, Curtea de Justiție a Uniunii Europene („CJUE”) a pronunțat hotărârea sa de referință în cauza Schrems II (cauza C-311/18). În hotărârea sa, CJUE a concluzionat că Clauzele Contractuale Standard („ CCP ”) emise de Comisia Europeană pentru transferul de date cu caracter personal către operatori de date stabiliți în afara UE sunt încă valabile , subliniind necesitatea unei examinări de la caz la caz. . În mod neașteptat, Curtea a invalidat cadrul UE-SUA Privacy Shield (contravine cerinței articolului 45 alineatul (2) litera (a) din GDPR).

După cum demonstrează cronologia, Schrems II a durat ani de zile și este un caz fascinant. Ca urmare a cazului, companiile americane care desfășoară afaceri în Europa sau care manipulează date de la clienți europeni vor trebui fie să negocieze noi aranjamente individuale de tratare a datelor, numite clauze contractuale standard (SCC), cu UE, fie să înceteze portarea datelor din operațiunile europene. în SUA.

Hotărârea are un impact asupra

(a) peste 5.000 de companii din Statele Unite care s-au auto-certificat conform mecanismului Privacy Shield și

(b) un număr nedefinit de companii din afara Statelor Unite care s-au bazat pe autocertificarea Privacy Shield a destinatarilor pentru a respecta legile stricte ale UE privind protecția datelor.

Reacția autorităților de supraveghere

În urma deciziei EJC Schrems II, unele autorități de supraveghere și-au exprimat punctul de vedere cu privire la calea de urmat, în special cu privire la continuarea utilizării Clauzelor Contractuale Standard (SCC). Mai jos am rezumat mesajele cheie și constatările:

Hamburg

Autoritatea de protecție a datelor din Hamburg concluzionează :

Dacă invaliditatea Scutului de confidențialitate se datorează în principal activităților de informații în creștere din SUA, același lucru trebuie să se aplice și în cazul Clauzelor Contractuale Standard. Acordurile contractuale dintre exportatorul și importatorul de date sunt la fel de improprii pentru protejarea persoanelor vizate de accesul statului.

Totuși, ei văd și asta

pe lângă regulile corporative obligatorii și acordurile individuale, CSC poate fi folosit ca bază pentru transferurile către țări terțe. În același timp, însă, incertitudinea a crescut de această dată: CEJ transmite mingea autorităților europene de supraveghere.

Johannes Casper, ofițer al Comisiei din Hamburg DPA afirmă:

După decizia CEJ de astăzi, mingea se află din nou în terenul autorităților de supraveghere, care se vor confrunta acum cu decizia de a pune la îndoială critic transferul total de date prin clauze contractuale standard.

comisar federal

În același timp, Comisarul Federal pentru Protecția Datelor și Libertatea Informației (BfDI) , profesorul Ulrich Kelber, asociază decizia de astăzi a Curții Europene de Justiție (CEJ) privind transferul internațional de date cu o consolidare a drepturilor celor afectați:

CEJ precizează că traficul internațional de date este încă posibil. Cu toate acestea, drepturile fundamentale ale cetățenilor europeni trebuie respectate. Acum trebuie luate măsuri speciale de protecție pentru schimbul de date cu SUA. Companiile și autoritățile nu mai pot transfera date pe baza Scutului de confidențialitate, pe care CEJ l-a declarat ineficient. Desigur, vom oferi sfaturi intensive cu privire la schimbare

Renania-Palatinat

O abordare foarte proactivă a fost deja adoptată de APD Renania-Palatinat. La doar câteva ore după decizia CEJ, a fost publicat un document cu întrebări frecvente privind decizia CEJ . În ceea ce privește ce trebuie să facă acum exportatorii de date în legătură cu SCC, aceștia concluzionează:

Operatorii de date trebuie să verifice legile aplicabile importatorului de date din țara terță către care intenționează să transfere datele și, dacă este cazul, celorlalți parteneri contractuali ai săi în această relație de afaceri și dacă aceste legi afectează garanțiile prevăzute de clauzele contractuale standard. . Dacă este necesar, fluxurile de date specifice trebuie analizate pentru a determina ce legi ale țării terțe sunt aplicabile în fiecare caz. Aceste obligații se aplică transferurilor de date către toate țările terțe, nu numai către SUA.

Valabilitatea Deciziei CSC este recunoscută

Din moment ce Curtea a confirmat valabilitatea Deciziei CSC din 2010, atunci fluxurile de date din UE către restul lumii pe baza CSC pot continua neîntrerupt. Cu toate acestea, chiar și pentru companiile care se bazează pe SCC pentru a exporta date în afara SEE, ar fi prudent să monitorizeze îndeaproape acest spațiu. Comisarul UE pentru Justiție, Didier Reynders, a emis un anunț din timp în aceeași zi cu decizia, menționând planurile sale de a actualiza SCC-urile în lumina importanței lor acum crescute.

Invalidarea Scutului de confidențialitate fără o perioadă de tranziție

Întrucât Curtea a decis, de asemenea, să evalueze Scutul de confidențialitate și l-a considerat invalid, atunci toate fluxurile de date care se bazează pe acest cadru vor deveni ilegale.

Scutul de confidențialitate se confruntă acum cu aceeași soartă nefericită ca și programul Safe Harbor în 2015. Asemănător luptei care a avut loc după invalidarea programului Safe Harbor, putem vedea că guvernele SUA și UE se întâlnesc pentru a repara defectele evidențiate de decizia CJUE. Dar, până când aceste defecte sunt remediate, orice companie care se bazează pe Scutul de confidențialitate pentru a transfera datele în mod corespunzător ar trebui să treacă la alte măsuri care au fost considerate în mod explicit garanții adecvate, cum ar fi SCC, consimțământul utilizatorului și reguli corporative obligatorii (BCR).

Deoarece autoritățile recunosc că SCC-urile încă funcționează ca bază, ne așteptăm ca autoritățile să acorde organizațiilor o perioadă de grație pentru a se conforma în ceea ce privește transferurile în urma hotărârii. A fost permisă o perioadă de grație de 6 luni după căderea Safe Harbor în 2015. Având în vedere impactul mai larg, ar fi rezonabil să se repete acest lucru acum și, eventual, să se prelungească această perioadă.

Următorii pași pentru organizații

Companiile ar trebui să se pregătească acum pentru era post Privacy Shield și să pună în aplicare reguli corporative obligatorii (BCR) și clauze contractuale standard (SCC) pentru propria lor protecție a datelor.

1. Deși SCC-urile rămân valabile, organizațiile care se bazează în prezent pe acestea vor trebui să ia în considerare dacă, având în vedere natura datelor cu caracter personal, scopurile și contextul prelucrării, precum și țara de destinație, există un „nivel adecvat de protecție” pentru datele cu caracter personal, conform cerințelor legislației UE. Acolo unde nu este cazul, organizațiile ar trebui să ia în considerare ce măsuri de protecție suplimentare pot fi implementate pentru a se asigura că există de fapt un „nivel adecvat de protecție”.
2. Organizațiile care se bazează în prezent pe cadrul UE-SUA Privacy Shield vor trebui să identifice urgent un mecanism alternativ de transfer de date pentru a continua transferurile de date cu caracter personal către SUA. Organizațiile se pot baza pe derogările prevăzute în GDPR pentru anumite transferuri (cum ar fi atunci când transferul este necesar pentru executarea unui contract), iar SCC-urile sau regulile corporative obligatorii ar trebui, de asemenea, considerate mecanisme alternative.

Pe scurt, companiile care fac obiectul GDPR ar trebui să ia în considerare

(i) fluxurile lor de date către SUA,

(ii) mecanismul juridic respectiv pentru astfel de transferuri către SUA și

(iii) dacă Scutul de confidențialitate UE-SUA este mecanismul de transfer actual, să instituie un mecanism de transfer legitim pentru astfel de activități.

Ce va face Convert

1. Atenție la îndrumări din partea autorităților de supraveghere, a Comitetului European pentru Protecția Datelor și a Comisiei Europene.
2. Evaluați ce date sunt transferate în afara UE și pe ce bază, prin efectuarea unui exercițiu de cartografiere a datelor. În acest exercițiu, urmărim:
   1. Transferuri de date către organizații care participă la Privacy Shield,
   2. Transferuri de date care se bazează pe clauze contractuale standard – notați orice transfer de date către importatorii din SUA care se bazează în special pe SCC,
   3. Transferuri de date care se bazează pe reguli corporative obligatorii și care implică transferuri de date către SUA.
3. Informați utilizatorii activi și de probă folosind mesaje în aplicație despre următoarele acțiuni. Pe scurt, pentru clienții noștri ale căror transferuri de date în UE erau deja acoperite de SCC, nu trebuie făcut nimic. Pentru cei care au fost acoperiți anterior de Privacy Shield, adoptarea clauzelor contractuale standard ale UE (SCC) este o cale de urmat necesară. Dacă sunteți un client Convert care dorește să încorporeze SCC-uri, Convert Customer Success Hero va fi contactat cu dvs. pentru a începe procesul de încorporare a Clauzelor Contractuale Standard în acordurile noastre actuale cu dvs.
4. Semnează Acorduri de prelucrare a datelor (DPA) și/sau Clauze Contractuale Standard (SCC) actualizate cu toți subprocesorii.
5. Contactați Privacy Shield pentru a primi actualizări cu privire la decizia Schrems II.
6. Actualizați Notificarea noastră de confidențialitate pentru a include un link către SCC-uri presemnate.
7. Actualizați pagina DPA pentru a reflecta starea actuală.
8. Fiți cu ochii pe alte mecanisme de transfer de date.