Щит конфиденциальности аннулирован в 2020 году: что вам нужно знать и могут ли SCC дать передышку?

Опубликовано: 2020-07-17
Щит конфиденциальности Избранное изображение

16 июля 2020 г. Суд Европейского союза («СЕС») вынес знаменательное решение по делу Шремса II (дело C-311/18). В своем решении CJEU пришел к выводу, что стандартные договорные условия (« SCC »), изданные Европейской комиссией для передачи персональных данных обработчикам данных, созданным за пределами ЕС , по-прежнему действительны, подчеркивая необходимость тщательного изучения каждого конкретного случая. . Неожиданно суд признал недействительным соглашение о правилах обмена конфиденциальной информацией между ЕС и США (противоречит требованию статьи 45(2)(a) GDPR).

Свидание Мероприятие
июнь 2013 Раскрытие информации Сноудена о программе PRISM
июнь 2013 Жалоба Шремса в Ирландский DPC относительно Safe Harbor в связи с разоблачением Сноудена
июнь 2014 г. Высокий суд Ирландии передал дело Шремса в CJEU
Октябрь 2015 г. СЕС аннулирует Safe Harbor
Октябрь – декабрь 2015 г. Жалоба Шремса в DPC Ирландии в отношении стандартных договорных положений ЕС (SCC)
июль 2016 г. Принятие программы защиты конфиденциальности ЕС-США
Октябрь 2017 г. Высокий суд Ирландии передал жалобу Шремса в СЕС
май 2018 г. Вступление в силу GDPR
июль 2019 г. Слушание Шремса II в СЕС
декабрь 2019 г. Мнение CJEU AG в Schrems II
16 июля 2020 г. Решение СЕС по делу Шремс II

Как показывает временная шкала, Шремс II создавался годами, и это увлекательный случай. В результате этого дела американские компании, ведущие бизнес в Европе или обрабатывающие данные от европейских клиентов, должны будут либо договориться о новых индивидуальных договоренностях об обработке данных, называемых Стандартными договорными положениями (SCC), с ЕС, либо прекратить перенос данных из европейских операций. в США.

Постановление влияет на

(a) более 5000 компаний в США, которые прошли самостоятельную сертификацию в рамках механизма Privacy Shield, и

(b) неопределенное количество компаний за пределами Соединенных Штатов, которые полагались на самостоятельную сертификацию получателей Privacy Shield для соблюдения строгих законов ЕС о защите данных.

Реакция надзорных органов

После решения EJC Schrems II некоторые надзорные органы выразили свое мнение о дальнейших действиях, в частности, в отношении дальнейшего использования Стандартных договорных условий (SCC). Ниже мы суммировали основные сообщения и выводы:

Гамбург

Орган по защите данных Гамбурга заключает :

Если недействительность Privacy Shield в первую очередь связана с активизацией разведывательной деятельности в США, то же самое должно применяться и к Стандартным договорным положениям. Договорные соглашения между экспортером и импортером данных одинаково не подходят для защиты субъектов данных от доступа государства.

Однако они также видят, что

помимо Обязательных корпоративных правил и индивидуальных соглашений, прежде всего СУК может использоваться в качестве основы для передачи в третьи страны. В то же время, однако, на этот раз возросла неопределенность: Европейский суд передает мяч европейским надзорным органам.

Йоханнес Каспер, член комиссии DPA Гамбурга, заявляет:

После сегодняшнего решения Европейского суда дело снова на стороне надзорных органов, которым теперь предстоит решить критически подвергнуть сомнению общую передачу данных с помощью стандартных договорных положений.

Федеральный комиссар

В то же время Федеральный уполномоченный по защите данных и свободе информации (BfDI) профессор Ульрих Кельбер связывает сегодняшнее решение Европейского суда (ECJ) о международной передаче данных с усилением прав пострадавших:

Европейский суд дает понять, что международный трафик данных все еще возможен. Однако основные права европейских граждан должны соблюдаться. Теперь для обмена данными с США должны быть приняты специальные защитные меры. Компании и органы власти больше не могут передавать данные на основании Privacy Shield, который Европейский Суд признал недействительным. Мы, конечно же, будем давать интенсивные советы по переходу

Рейнланд-Пфальц

DPA земли Рейнланд-Пфальц уже заняла очень активную позицию. Буквально через несколько часов после решения Европейского суда был опубликован документ FAQ по решению Европейского суда . Относительно того, что теперь должны делать экспортеры данных в отношении SCC, они заключают:

Контроллеры данных должны проверить законы, применимые к импортеру данных в третьей стране, в которую они намереваются передать данные, и, если применимо, к другим его договорным партнерам в этих деловых отношениях, и влияют ли эти законы на гарантии, предусмотренные стандартными договорными положениями. . При необходимости необходимо проанализировать конкретные потоки данных, чтобы определить, какие законы третьей страны применимы в каждом конкретном случае. Эти обязательства распространяются на передачу данных во все третьи страны, а не только в США.

Признана законность решения ТПС

Поскольку суд подтвердил законность решения SCC 2010 года, потоки данных из ЕС в остальной мир на основе SCC могут продолжаться непрерывно. Однако даже для компаний, которые полагаются на SCC для экспорта данных из ЕЭЗ, было бы разумно внимательно следить за этим пространством. Комиссар ЕС по вопросам юстиции Дидье Рейндерс сделал раннее заявление в тот же день, когда было принято решение, отметив свои планы по обновлению SCC в свете их возросшего значения.

Аннулирование Privacy Shield без переходного периода

Поскольку суд также решил оценить Privacy Shield и признал его недействительным, то все потоки данных, опирающиеся на эту структуру, станут незаконными.

Privacy Shield теперь ждет та же печальная участь, что и программа Safe Harbor в 2015 году. Подобно схватке, которая произошла после признания программы Safe Harbor недействительной, мы можем увидеть, как правительства США и ЕС встретятся, чтобы исправить недостатки, выявленные решением CJEU. Но до тех пор, пока эти дефекты не будут устранены, любая компания, полагающаяся на Privacy Shield для надлежащей передачи данных, должна перейти к другим мерам, которые явно считаются надлежащими мерами защиты, такими как SCC, согласие пользователя и обязательные корпоративные правила (BCR).

Поскольку власти признают, что СУС по-прежнему работают в качестве основы, мы ожидаем, что власти предоставят организациям льготный период для приведения себя в соответствие с переводами после вынесения решения. После падения Safe Harbor в 2015 году был предоставлен 6-месячный льготный период. Учитывая более широкое влияние, было бы разумно повторить это сейчас и, возможно, продлить этот период.

Следующие шаги для организаций

Предприятиям следует подготовиться к эпохе после окончания Privacy Shield и принять обязательные корпоративные правила (BCR) и стандартные договорные положения (SCC) для защиты своих данных.

  1. Хотя SCC остаются в силе, организациям, которые в настоящее время полагаются на них, необходимо будет рассмотреть вопрос о том, существует ли «адекватный уровень защиты» с учетом характера персональных данных, целей и контекста обработки, а также страны назначения. для персональных данных в соответствии с требованиями законодательства ЕС. Если это не так, организациям следует подумать о том, какие дополнительные меры безопасности могут быть реализованы, чтобы обеспечить фактический «адекватный уровень защиты».
  2. Организациям, которые в настоящее время полагаются на систему защиты конфиденциальности ЕС и США, необходимо будет срочно определить альтернативный механизм передачи данных для продолжения передачи персональных данных в США. передача необходима для выполнения контракта), и в качестве альтернативных механизмов следует также рассматривать СУК или обязательные корпоративные правила.

Короче говоря, компаниям, подпадающим под действие GDPR, следует учитывать

(i) их данные передаются в США,

(ii) соответствующий правовой механизм для таких передач в США, и

(iii) если действующим механизмом передачи является Соглашение о защите конфиденциальности между ЕС и США, внедрить законный механизм передачи для такой деятельности.

Что конвертировать будет делать

  1. Следите за указаниями надзорных органов, Европейского совета по защите данных и Европейской комиссии.
  2. Оцените, какие данные передаются за пределы ЕС и на каком основании, проведя упражнение по сопоставлению данных. В этом упражнении мы ищем:
    1. Передача данных организациям, участвующим в программе Privacy Shield,
    2. Передача данных, которая основывается на Стандартных договорных положениях — обратите внимание на любую передачу данных импортерам США, полагающимся, в частности, на SCC,
    3. Передача данных, основанная на Обязательных корпоративных правилах и включающая передачу данных в США.
  3. Информируйте активных и пробных пользователей с помощью сообщений в приложении о следующих действиях. Короче говоря, для наших клиентов, чья передача данных в ЕС уже была охвачена SCC, ничего не нужно делать. Для тех, кто ранее был охвачен Privacy Shield, принятие стандартных договорных положений ЕС (SCC) является необходимым шагом вперед. Если вы являетесь клиентом Convert, который хочет включить SCC, ваш герой Convert Customer Success свяжется с вами, чтобы начать процесс включения Стандартных договорных пунктов в наше текущее соглашение(я) с вами.
  4. Подпишите обновленные соглашения об обработке данных (DPA) и/или стандартные договорные положения (SCC) со всеми подпроцессорами.
  5. Свяжитесь с Privacy Shield, чтобы получать новости о решении Schrems II.
  6. Обновите наше Уведомление о конфиденциальности, включив в него ссылку на предварительно подписанные SCC.
  7. Обновите страницу DPA, чтобы отразить текущий статус.
  8. Следите за другими механизмами передачи данных.
Попробуйте один из самых эффективных инструментов A/B-тестирования с учетом конфиденциальности
Попробуйте один из самых эффективных инструментов A/B-тестирования с учетом конфиденциальности