Privacy Shield Invalidated 2020: สิ่งที่คุณต้องรู้ & SCC สามารถนำการพักผ่อนได้หรือไม่?

เมื่อวันที่ 16 กรกฎาคม 2020 ศาลยุติธรรมแห่งสหภาพยุโรป (“CJEU”) ได้ออกคำพิพากษาที่สำคัญในคดี Schrems II (กรณี C-311/18) ในการตัดสิน CJEU สรุปว่า Standard Contractual Clauses (" SCCs " ) ที่ออกโดยคณะกรรมาธิการยุโรปสำหรับการถ่ายโอนข้อมูลส่วนบุคคลไปยังผู้ประมวลผลข้อมูลที่จัดตั้งขึ้นนอกสหภาพยุโรป ยังคงถูกต้อง โดยเน้นถึงความจำเป็นในการตรวจสอบเป็นรายกรณี . โดยไม่คาดคิด ศาลได้ ยกเลิกกรอบการทำงาน EU-US Privacy Shield (ขัดต่อข้อกำหนดของมาตรา 45(2)(a) ของ GDPR)

ตามที่แสดงโดยไทม์ไลน์ Schrems II ได้ใช้เวลาหลายปีในการสร้างและเป็นกรณีที่น่าสนใจ จากกรณีดังกล่าว บริษัทในสหรัฐฯ ที่ทำธุรกิจในยุโรปหรือจัดการข้อมูลจากลูกค้าในยุโรปจะต้องเจรจาการจัดการข้อมูลรายบุคคลใหม่ เรียกว่า Standard Contractual Clauses (SCCs) กับสหภาพยุโรป หรือหยุดการพอร์ตข้อมูลจากการดำเนินงานในยุโรป ในสหรัฐอเมริกา

การพิจารณาคดีมีผลกระทบต่อ

(ก) บริษัทมากกว่า 5,000 แห่งในสหรัฐอเมริกาที่รับรองตนเองภายใต้กลไก Privacy Shield และ

(b) จำนวนบริษัทที่ไม่ได้กำหนดไว้นอกสหรัฐอเมริกาซึ่งอาศัยการรับรองตนเอง Privacy Shield ของผู้รับเพื่อปฏิบัติตามกฎหมายคุ้มครองข้อมูลที่เข้มงวดของสหภาพยุโรป

ปฏิกิริยาของหน่วยงานกำกับดูแล

หลังจากการตัดสินใจของ EJC Schrems II หน่วยงานกำกับดูแลบางแห่งได้แสดงความคิดเห็นเกี่ยวกับแนวทางดังกล่าว โดยเฉพาะอย่างยิ่งในส่วนที่เกี่ยวกับการใช้ Standard Contractual Clauses (SCC) อย่างต่อเนื่อง ด้านล่างนี้ เราได้สรุปข้อความสำคัญและข้อค้นพบ:

ฮัมบูร์ก

หน่วยงานคุ้มครองข้อมูลของฮัมบูร์กสรุป :

หากความไม่สมบูรณ์ของ Privacy Shield มีสาเหตุหลักมาจากกิจกรรมข่าวกรองที่เพิ่มขึ้นในสหรัฐอเมริกา จะต้องบังคับใช้เช่นเดียวกันกับ Standard Contractual Clauses ด้วย ข้อตกลงตามสัญญาระหว่างผู้ส่งออกข้อมูลและผู้นำเข้านั้นไม่เหมาะสมพอๆ กันสำหรับการปกป้องเจ้าของข้อมูลจากการเข้าถึงของรัฐ

อย่างไรก็ตาม พวกเขายังเห็นว่า

นอกเหนือจากกฎเกณฑ์ของบริษัทที่มีผลผูกพันและข้อตกลงส่วนบุคคลแล้ว เหนือสิ่งอื่นใด SCC ที่สามารถใช้เป็นพื้นฐานสำหรับการถ่ายโอนไปยังประเทศที่สาม ในขณะเดียวกัน ความไม่แน่นอนก็เพิ่มขึ้นในเวลานี้: ECJ กำลังส่งบอลให้หน่วยงานกำกับดูแลของยุโรป

Johannes Casper เจ้าหน้าที่คณะกรรมาธิการของ Hamburg DPA กล่าวว่า:

หลังจากการตัดสินของ ECJ ในวันนี้ ลูกบอลอยู่ในศาลของหน่วยงานกำกับดูแลอีกครั้ง ซึ่งตอนนี้จะต้องเผชิญหน้ากับการตัดสินใจตั้งคำถามอย่างมีวิจารณญาณเกี่ยวกับการถ่ายโอนข้อมูลโดยรวมผ่านข้อสัญญามาตรฐาน

กรรมาธิการของรัฐบาลกลาง

ในเวลาเดียวกัน ศาสตราจารย์ Ulrich Kelber กรรมาธิการแห่งสหพันธรัฐเพื่อการปกป้องข้อมูลและเสรีภาพของข้อมูล (BfDI) ได้เชื่อมโยงคำตัดสินของศาลยุติธรรมแห่งยุโรป (ECJ) ในวันนี้ว่าด้วยการถ่ายโอนข้อมูลระหว่างประเทศด้วยการเสริมสร้างสิทธิของผู้ได้รับผลกระทบ:

ECJ ทำให้ชัดเจนว่าการรับส่งข้อมูลระหว่างประเทศยังคงเป็นไปได้ อย่างไรก็ตาม ต้องเคารพสิทธิพื้นฐานของพลเมืองยุโรป ตอนนี้ต้องใช้มาตรการป้องกันพิเศษสำหรับการแลกเปลี่ยนข้อมูลกับสหรัฐอเมริกา บริษัทและหน่วยงานต่างๆ ไม่สามารถถ่ายโอนข้อมูลบนพื้นฐานของ Privacy Shield ซึ่ง ECJ ประกาศว่าไม่มีประสิทธิภาพอีกต่อไป แน่นอนเราจะให้คำแนะนำอย่างเข้มข้นเกี่ยวกับการเปลี่ยนแปลง

ไรน์แลนด์-พาลาทิเนต

DPA ของไรน์แลนด์-พาลาทิเนตใช้แนวทางเชิงรุกอย่างมากแล้ว เพียงไม่กี่ชั่วโมงหลังจากการตัดสินใจของ ECJ เอกสาร FAQ เกี่ยวกับการตัดสินใจของ ECJ ก็ได้รับการตีพิมพ์ เกี่ยวกับสิ่งที่ผู้ส่งออกข้อมูลต้องทำเกี่ยวกับ SCC พวกเขาสรุป:

ผู้ควบคุมข้อมูลต้องตรวจสอบกฎหมายที่บังคับใช้กับผู้นำเข้าข้อมูลในประเทศที่สามที่พวกเขาตั้งใจจะถ่ายโอนข้อมูล และหากเกี่ยวข้อง ให้ไปยังพันธมิตรตามสัญญาอื่นๆ ในความสัมพันธ์ทางธุรกิจนี้ และกฎหมายเหล่านี้มีผลกระทบต่อการรับประกันที่ให้ไว้ในข้อสัญญามาตรฐานหรือไม่ . หากจำเป็น ต้องวิเคราะห์กระแสข้อมูลเฉพาะเพื่อพิจารณาว่ากฎหมายของประเทศที่สามใดที่บังคับใช้ในแต่ละกรณี ภาระผูกพันเหล่านี้ใช้กับการถ่ายโอนข้อมูลไปยังประเทศที่สามทั้งหมด ไม่เพียงแต่ในสหรัฐอเมริกาเท่านั้น

ยอมรับความถูกต้องของการตัดสินใจของ SCC แล้ว

เนื่องจากศาลได้ยึดถือความถูกต้องของคำตัดสินของ SCC ปี 2010 ข้อมูลจึงไหลจากสหภาพยุโรปไปยังส่วนอื่นๆ ของโลกโดยอิงตาม SCC จึงสามารถดำเนินการต่อได้อย่างต่อเนื่อง อย่างไรก็ตาม แม้แต่บริษัทที่ใช้ SCC ในการส่งออกข้อมูลออกจาก EEA ก็ควรระมัดระวังในการตรวจสอบพื้นที่นี้อย่างใกล้ชิด Didier Reynders กรรมาธิการสหภาพยุโรปด้านความยุติธรรมได้ออกประกาศล่วงหน้าในวันเดียวกับการตัดสินใจ โดยระบุแผนการที่จะอัปเดต SCC โดยคำนึงถึงความสำคัญที่เพิ่มขึ้นในขณะนี้

การยกเลิก Privacy Shield โดยไม่มีช่วงการเปลี่ยนภาพ

เนื่องจากศาลได้ตัดสินใจประเมิน Privacy Shield และพบว่าไม่ถูกต้อง ดังนั้นกระแสข้อมูลทั้งหมดที่ใช้กรอบการทำงานนี้จะถือว่าผิดกฎหมาย

ขณะนี้ Privacy Shield เผชิญกับชะตากรรมที่โชคร้ายเช่นเดียวกับโปรแกรม Safe Harbor ในปี 2015 คล้ายกับช่วงชิงที่เกิดขึ้นหลังจากการทำให้โปรแกรม Safe Harbor เป็นโมฆะ เราอาจเห็นว่ารัฐบาลสหรัฐฯ และสหภาพยุโรปพบกันเพื่อซ่อมแซมข้อบกพร่องที่เน้นโดยการตัดสินใจของ CJEU แต่จนกว่าข้อบกพร่องเหล่านี้จะได้รับการแก้ไข บริษัทใดๆ ที่ใช้ Privacy Shield เพื่อถ่ายโอนข้อมูลอย่างเหมาะสม ควรเปลี่ยนไปใช้มาตรการอื่นที่ได้รับการพิจารณาว่าเป็นการป้องกันที่เหมาะสมอย่างชัดแจ้ง เช่น SCC ความยินยอมของผู้ใช้ และกฎเกณฑ์ขององค์กรที่มีผลผูกพัน (BCR)

เนื่องจากเจ้าหน้าที่รับทราบว่า SCC ยังคงทำงานเป็นพื้นฐาน เราคาดหวังว่าทางการจะอนุญาตให้องค์กรต่างๆ มีเวลาผ่อนผันเพื่อนำตนเองเข้าสู่การปฏิบัติตามที่เกี่ยวข้องกับการโอนย้ายตามคำพิพากษา อนุญาตให้ใช้ระยะเวลาผ่อนผัน 6 เดือนหลังจากการล่มสลายของ Safe Harbor ในปี 2558 เมื่อพิจารณาถึงผลกระทบในวงกว้าง ก็น่าจะสมเหตุสมผลที่จะทำซ้ำในตอนนี้และอาจขยายระยะเวลานี้ออกไป

ขั้นตอนต่อไปสำหรับองค์กร

ธุรกิจควรเตรียมพร้อมสำหรับยุคหลัง Privacy Shield ในขณะนี้ และรับกฎข้อบังคับขององค์กร (BCR) และข้อสัญญามาตรฐาน (SCC) ที่มีผลผูกพันสำหรับการปกป้องข้อมูลของตนเอง

1. แม้ว่า SCC จะยังใช้ได้อยู่ องค์กรที่พึ่งพาพวกเขาในปัจจุบันจะต้องพิจารณาว่า เมื่อคำนึงถึงธรรมชาติของข้อมูลส่วนบุคคล วัตถุประสงค์และบริบทของการประมวลผล และประเทศปลายทาง มี "ระดับการป้องกันที่เพียงพอ" หรือไม่ สำหรับข้อมูลส่วนบุคคลตามที่กฎหมายของสหภาพยุโรปกำหนด ในกรณีที่ไม่เป็นเช่นนั้น องค์กรควรพิจารณาถึงมาตรการป้องกันเพิ่มเติมที่อาจนำมาใช้เพื่อให้แน่ใจว่ามี "ระดับการป้องกันที่เพียงพอ" จริง ๆ แล้ว
2. องค์กรที่ปัจจุบันใช้กรอบโครงสร้างการคุ้มครองความเป็นส่วนตัวในสหภาพยุโรป – สหรัฐอเมริกาจะต้องระบุกลไกการถ่ายโอนข้อมูลทางเลือกอย่างเร่งด่วนเพื่อดำเนินการถ่ายโอนข้อมูลส่วนบุคคลไปยังสหรัฐอเมริกา องค์กรอาจสามารถพึ่งพาการเสื่อมเสียที่ระบุไว้ใน GDPR สำหรับการถ่ายโอนบางอย่าง (เช่น เมื่อ การโอนเป็นสิ่งจำเป็นในการทำสัญญา) และควรพิจารณา SCC หรือกฎเกณฑ์ขององค์กรที่มีผลผูกพันเป็นกลไกทางเลือกด้วย

กล่าวโดยย่อ บริษัทที่อยู่ภายใต้ GDPR ควรพิจารณา

(i) ข้อมูลของพวกเขาถูกส่งไปยังสหรัฐอเมริกา

(ii) กลไกทางกฎหมายที่เกี่ยวข้องสำหรับการโอนดังกล่าวไปยังสหรัฐอเมริกา และ

(iii) หาก EU-US Privacy Shield เป็นกลไกการถ่ายโอนในปัจจุบัน ให้วางกลไกการถ่ายโอนที่ถูกต้องตามกฎหมายสำหรับกิจกรรมดังกล่าว

สิ่งที่ผู้เปลี่ยนใจเลื่อมใสจะทำ

1. ระวังคำแนะนำจากหน่วยงานกำกับดูแล คณะกรรมการคุ้มครองข้อมูลแห่งยุโรป และคณะกรรมาธิการยุโรป
2. ประเมินว่าข้อมูลใดกำลังถูกถ่ายโอนนอกสหภาพยุโรปและบนพื้นฐานอะไรโดยการทำแบบฝึกหัดการทำแผนที่ข้อมูล ในแบบฝึกหัดนี้ เรามองหา:
   1. การถ่ายโอนข้อมูลไปยังองค์กรที่เข้าร่วมใน Privacy Shield
   2. การถ่ายโอนข้อมูลที่ขึ้นอยู่กับข้อสัญญามาตรฐาน – บันทึกการถ่ายโอนข้อมูลใด ๆ ไปยังผู้นำเข้าในสหรัฐอเมริกาโดยเฉพาะอย่างยิ่งใน SCC
   3. การถ่ายโอนข้อมูลซึ่งอาศัยกฎเกณฑ์ขององค์กรที่มีผลผูกพันและเกี่ยวข้องกับการถ่ายโอนข้อมูลไปยังสหรัฐอเมริกา
3. แจ้งผู้ใช้ที่ใช้งานและทดลองใช้งานโดยใช้ข้อความในแอปเกี่ยวกับการดำเนินการถัดไป กล่าวโดยย่อ สำหรับลูกค้าของเราซึ่งการถ่ายโอนข้อมูลในสหภาพยุโรปได้รับการคุ้มครองโดย SCC แล้ว ไม่จำเป็นต้องดำเนินการใดๆ สำหรับผู้ที่เคยอยู่ภายใต้การคุ้มครองโดย Privacy Shield การนำข้อสัญญามาตรฐานของสหภาพยุโรป (SCC) มาใช้เป็นแนวทางที่จำเป็น หากคุณเป็นลูกค้า Convert ที่ต้องการรวม SCCs Convert Customer Success Hero ของคุณจะติดต่อกับคุณเพื่อเริ่มกระบวนการรวม Standard Contractual Clauses เข้ากับข้อตกลงปัจจุบันของเรากับคุณ
4. ลงนามในข้อตกลงการประมวลผลข้อมูลที่อัปเดต (DPA) และ/หรือ Standard Contractual Clauses (SCC) กับผู้ประมวลผลย่อยทั้งหมด
5. ติดต่อ Privacy Shield เพื่อรับข้อมูลอัปเดตเกี่ยวกับการตัดสินใจของ Schrems II
6. อัปเดตประกาศความเป็นส่วนตัวของเราเพื่อรวมลิงก์ไปยัง SCC ที่ลงนามล่วงหน้า
7. อัปเดตหน้า DPA เพื่อแสดงสถานะปัจจุบัน
8. จับตาดูกลไกการถ่ายโอนข้อมูลอื่นๆ