• Anasayfa
  • Nesne
  • SEO
  • Gizlilik Kalkanı Geçersiz Kaldı 2020: Bilmeniz Gerekenler & SCC'ler Dinlenme Getirebilir mi?

Gizlilik Kalkanı Geçersiz Kaldı 2020: Bilmeniz Gerekenler & SCC'ler Dinlenme Getirebilir mi?

Yayınlanan: 2020-07-17
Gizlilik Kalkanı Öne Çıkan Resim

16 Temmuz 2020'de Avrupa Birliği Adalet Divanı ("CJEU") Schrems II davasında (dava C-311/18) dönüm noktası niteliğindeki kararını yayınladı. ABAD, kararında, kişisel verilerin AB dışında yerleşik veri işlemcilerine aktarılması için Avrupa Komisyonu tarafından yayınlanan Standart Sözleşme Maddelerinin (" SCC'ler ") hala geçerli olduğu ve vaka bazında incelemenin gerekliliğini vurguladığı sonucuna varmıştır. . Beklenmedik bir şekilde Mahkeme , AB-ABD Gizlilik Kalkanı çerçevesini geçersiz kıldı (GDPR'nin 45(2)(a) Maddesinin gerekliliklerine aykırıdır).

Tarih Etkinlik
Haziran 2013 PRISM programıyla ilgili Snowden açıklamaları
Haziran 2013 Schrems, Snowden ifşaatları ışığında İrlanda DPC'si Safe Harbor'a şikayette bulundu
Haziran 2014 İrlanda Yüksek Mahkemesi, Schrems davasını ABAD'a havale etti
Ekim 2015 ABAD, Güvenli Liman'ı geçersiz kılıyor
Ekim-Aralık 2015 AB Standart Sözleşme Maddeleri (SCC'ler) için İrlanda DPC'ye Schrems şikayeti
Temmuz 2016 AB-ABD Gizlilik Kalkanı'nın Kabulü
Ekim 2017 İrlanda Yüksek Mahkemesi, Schrems şikayetini ABAD'a havale etti
Mayıs 2018 GDPR'nin yürürlüğe girmesi
Temmuz 2019 ABAD'da Schrems II duruşması
Aralık 2019 CJEU AG Schrems II'deki Görüş
16 Temmuz 2020 Schrems II'deki ABAD kararı

Zaman çizelgesinin gösterdiği gibi, Schrems II yapım aşamasındadır ve büyüleyici bir vakadır. Davanın bir sonucu olarak, Avrupa'da iş yapan veya Avrupalı ​​müşterilerden gelen verileri işleyen ABD şirketleri, ya AB ile Standart Sözleşme Maddeleri (SCC'ler) adı verilen yeni bireysel veri işleme düzenlemelerini müzakere etmek zorunda kalacak ya da Avrupa operasyonlarından veri taşımayı durduracak. ABD'ye.

Kararın etkisi var

(a) Amerika Birleşik Devletleri'nde Gizlilik Kalkanı mekanizması kapsamında kendi kendini onaylamış 5.000'den fazla şirket ve

(b) Amerika Birleşik Devletleri dışında, katı AB veri koruma yasalarına uymak için alıcıların Gizlilik Kalkanı öz-sertifikasına güvenen tanımsız sayıda şirket.

Denetim Otoriteleri Tepki

EJC Schrems II kararının ardından, bazı denetim makamları, özellikle Standart Sözleşme Maddelerinin (SCC) sürekli kullanımına ilişkin olarak ileriye yönelik görüşlerini dile getirdiler. Aşağıda temel mesajları ve bulguları özetledik:

Hamburg

Hamburg veri koruma kurumu şu sonuca varıyor :

Gizlilik Kalkanı'nın geçersizliği esas olarak ABD'deki artan istihbarat faaliyetlerinden kaynaklanıyorsa, aynısı Standart Sözleşme Maddeleri için de geçerli olmalıdır. Veri ihracatçısı ve ithalatçısı arasındaki sözleşmeye dayalı anlaşmalar, veri konularını devlet erişiminden korumak için eşit derecede uygun değildir.

Ancak bunu da görüyorlar

Bağlayıcı Kurumsal Kurallar ve bireysel anlaşmalara ek olarak, üçüncü ülkelere yapılan transferlerde temel olarak kullanılabilecek her şeyden önce SCC'dir. Ancak aynı zamanda, bu sefer belirsizlik arttı: Avrupa Adalet Divanı, topu Avrupa denetim makamlarına devrediyor.

Hamburg DPA Komisyon Görevlisi Johannes Casper şunları söylüyor:

Bugünkü ABAD kararından sonra, top bir kez daha denetim makamlarının mahkemesindedir ve şimdi standart sözleşme maddeleri aracılığıyla genel veri aktarımını eleştirel olarak sorgulama kararıyla karşı karşıya kalacaklardır.

Federal Komiser

Aynı zamanda, Federal Veri Koruma ve Bilgi Özgürlüğü Komiseri (BfDI) Profesör Ulrich Kelber, Avrupa Adalet Divanı'nın (ECJ) uluslararası veri aktarımına ilişkin bugünkü kararını, etkilenenlerin haklarının güçlendirilmesiyle ilişkilendiriyor:

ECJ, uluslararası veri trafiğinin hala mümkün olduğunu açıkça ortaya koymaktadır. Ancak, Avrupa vatandaşlarının temel haklarına saygı gösterilmelidir. ABD ile veri alışverişi için şimdi özel koruyucu önlemler alınmalıdır. Şirketler ve yetkililer, artık ABAD'ın geçersiz ilan ettiği Gizlilik Kalkanı temelinde veri aktaramaz. Elbette, değişim konusunda yoğun tavsiyeler vereceğiz.

Rheinland-Pfalz

Rheinland-Pfalz DPA tarafından zaten çok proaktif bir yaklaşım benimsendi. ABAD kararından sadece birkaç saat sonra, ABAD kararına ilişkin bir SSS belgesi yayınlandı . Veri ihracatçılarının SCC ile ilgili olarak şimdi ne yapmaları gerektiğine ilişkin olarak şu sonuca varıyorlar:

Veri sorumluları, verileri aktarmayı düşündükleri üçüncü ülkedeki veri ithalatçısı ve varsa bu iş ilişkisinde diğer sözleşme ortaklarına uygulanan yasaları ve bu yasaların standart sözleşme maddelerinin sağladığı garantileri etkileyip etkilemediğini kontrol etmelidir. . Gerekirse, her durumda hangi üçüncü ülkenin yasalarının geçerli olduğunu belirlemek için belirli veri akışları analiz edilmelidir. Bu yükümlülükler, yalnızca ABD'ye değil, tüm üçüncü ülkelere veri aktarımları için geçerlidir.

SCC Kararının Geçerliliği Tanındı

Mahkeme, 2010 SCC Kararının geçerliliğini onayladığı için, AB'den dünyanın geri kalanına SCC'lere dayalı veri akışı kesintisiz olarak devam edebilir. Ancak, AEA dışına veri göndermek için SCC'lere güvenen şirketler için bile, bu alanı yakından izlemek ihtiyatlı olacaktır. AB Adalet Komiseri Didier Reynders, kararla aynı gün erken bir duyuru yayınlayarak, SCC'leri şimdi artan önemleri ışığında güncelleme planlarına dikkat çekti.

Geçiş Süresi Olmadan Gizlilik Kalkanının Geçersiz Kılınması

Mahkeme, Gizlilik Kalkanı'nı da değerlendirmeye karar verdiği ve geçersiz bulduğu için, bu çerçeveye dayanan tüm veri akışları hukuka aykırı hale gelecektir.

Gizlilik Kalkanı şimdi 2015'teki Güvenli Liman programı ile aynı talihsiz kaderle karşı karşıya. Güvenli Liman programının geçersiz kılınmasından sonra meydana gelen karmaşaya benzer şekilde, ABD ve AB hükümetlerinin ABAD kararıyla vurgulanan kusurları onarmak için bir araya geldiğini görebiliriz. Ancak, bu kusurlar giderilene kadar, verileri uygun şekilde aktarmak için Gizlilik Kalkanı'na güvenen herhangi bir şirket, SCC'ler, kullanıcı onayı ve Bağlayıcı Şirket Kuralları (BCR'ler) gibi açıkça uygun güvenlik önlemleri olarak kabul edilen diğer önlemlere geçmelidir.

Yetkililer, SCC'lerin hala bir temel olarak çalıştığını kabul ettiğinden, yetkililerin, kararın ardından kurumlara transferlerle ilgili olarak uyum sağlamaları için bir ek süre vermelerini bekliyoruz. 2015'te Güvenli Liman'ın düşmesinden sonra 6 aylık bir ödemesiz süreye izin verildi. Daha geniş etki göz önüne alındığında, bunu şimdi tekrarlamak ve potansiyel olarak bu süreyi uzatmak mantıklı olacaktır.

Kuruluşlar için Sonraki Adımlar

İşletmeler, Gizlilik Kalkanı sonrası döneme şimdiden hazırlanmalı ve kendi veri korumaları için bağlayıcı kurumsal kurallar (BCR) ve standart sözleşme maddeleri (SCC) almalıdır.

  1. SCC'ler geçerliliğini korurken, şu anda onlara güvenen kuruluşların, kişisel verilerin doğası, işlemenin amaçları ve bağlamı ve varış ülkesi göz önüne alındığında, "yeterli bir koruma seviyesi" olup olmadığını değerlendirmeleri gerekecektir. AB yasalarının gerektirdiği şekilde kişisel veriler için. Durumun böyle olmadığı durumlarda, kuruluşlar aslında “yeterli düzeyde koruma” olduğundan emin olmak için hangi ek önlemlerin uygulanabileceğini düşünmelidir.
  2. Halihazırda AB – ABD Gizlilik Kalkanı çerçevesine güvenen kuruluşların, kişisel verileri ABD'ye aktarmaya devam etmek için acilen alternatif bir veri aktarım mekanizması belirlemesi gerekecektir. Kuruluşlar, belirli aktarımlar için (örneğin, transfer bir sözleşmeyi gerçekleştirmek için gereklidir) ve SCC'ler veya Bağlayıcı Şirket Kuralları da alternatif mekanizmalar olarak düşünülmelidir.

Kısacası, GDPR'ye tabi olan şirketler dikkate almalı

(i) verilerinin ABD'ye akışı,

(ii) ABD'ye bu tür transferler için ilgili yasal mekanizma ve

(iii) AB-ABD Gizlilik Kalkanı mevcut aktarım mekanizmasıysa, bu tür faaliyetler için meşru bir aktarım mekanizması devreye sokun.

Dönüştürme Ne Yapacak

  1. Denetleyici makamların, Avrupa Veri Koruma Kurulunun ve Avrupa Komisyonunun rehberliğine dikkat edin.
  2. Bir Veri Eşleme çalışması yürüterek hangi verilerin AB dışına ve hangi temelde aktarıldığını değerlendirin. Bu alıştırmada şunlara dikkat ediyoruz:
    1. Gizlilik Kalkanı'na katılan kuruluşlara veri aktarımları,
    2. Standart Sözleşme Maddelerine dayanan veri aktarımları – özellikle SCC'lere dayanan ABD ithalatçılarına yapılan tüm veri aktarımlarını not edin,
    3. Bağlayıcı Şirket Kurallarına dayanan ve ABD'ye veri aktarımlarını içeren veri aktarımları.
  3. Bir sonraki eylemler hakkında uygulama içi mesajları kullanarak aktif ve deneme kullanıcılarını bilgilendirin. Kısacası AB veri aktarımları zaten SCC kapsamında olan müşterilerimiz için herhangi bir şey yapılmasına gerek yoktur. Daha önce Gizlilik Kalkanı kapsamına girenler için, AB standart sözleşme maddelerini (SCC'ler) benimsemek ileriye dönük gerekli bir yoldur. SCC'leri dahil etmek isteyen bir Convert müşterisiyseniz, Convert Müşteri Başarı Kahramanınız, Standart Sözleşme Maddelerini sizinle mevcut sözleşme(ler)imize dahil etme sürecini başlatmak için sizinle iletişime geçecektir.
  4. Tüm alt işlemcilerle güncellenmiş Veri İşleme Sözleşmelerini (DPA'lar) ve/veya Standart Sözleşme Maddelerini (SCC'ler) imzalayın.
  5. Schrems II kararıyla ilgili güncellemeleri almak için Gizlilik Kalkanı ile iletişime geçin.
  6. Önceden imzalanmış SCC'lere bir bağlantı eklemek için Gizlilik Bildirimimizi güncelleyin.
  7. DPA sayfasını mevcut durumu yansıtacak şekilde güncelleyin.
  8. Diğer veri aktarım mekanizmalarına dikkat edin.
Piyasadaki En Gizliliğe Duyarlı A/B Test Araçlarından Birinin Tadını Çıkarın
Piyasadaki En Gizliliğe Duyarlı A/B Test Araçlarından Birinin Tadını Çıkarın