2020 年隐私盾失效:您需要知道什么以及 SCC 能否带来喘息机会?
已发表: 2020-07-17
2020 年 7 月 16 日,欧盟法院(“CJEU”)对 Schrems II 案(C-311/18 案)作出了具有里程碑意义的判决。 在其判决中,CJEU 得出结论认为,欧盟委员会发布的关于将个人数据传输给在欧盟以外建立的数据处理者的标准合同条款(“ SCC ”)仍然有效,强调需要逐案审查. 出乎意料的是,法院宣布欧盟-美国隐私保护框架无效(违反 GDPR 第 45(2)(a) 条的要求)。
| 日期 | 事件 |
| 2013年六月 | 斯诺登关于 PRISM 计划的披露 |
| 2013年六月 | 鉴于斯诺登的披露,施雷姆斯向爱尔兰 DPC 重新安全港投诉 |
| 2014 年 6 月 | 爱尔兰高等法院将施雷姆斯案提交欧洲法院 |
| 2015 年 10 月 | CJEU 宣布安全港无效 |
| 2015 年 10 月至 12 月 | Schrems 向爱尔兰 DPC 投诉欧盟标准合同条款 (SCC) |
| 2016 年 7 月 | 采用欧盟-美国隐私护盾 |
| 2017 年 10 月 | 爱尔兰高等法院将施雷姆斯的申诉提交给欧洲法院 |
| 2018 年 5 月 | GDPR 生效 |
| 2019 年 7 月 | 欧盟法院的 Schrems II 听证会 |
| 2019 年 12 月 | CJEU AG 在 Schrems II 中的意见 |
| 2020 年 7 月 16 日 | 欧盟法院在 Schrems II 案中的判决 |
正如时间线所示,Schrems II 已经酝酿多年,是一个引人入胜的案例。 由于此案,在欧洲开展业务或处理来自欧洲客户的数据的美国公司要么必须与欧盟协商新的个人数据处理安排,称为标准合同条款 (SCC),要么停止从欧洲业务移植数据进入美国。
该裁决对以下方面有影响
(a) 超过 5,000 家美国公司在隐私保护机制下进行了自我认证,以及
(b) 在美国以外依赖接收者的隐私护盾自我认证以遵守严格的欧盟数据保护法的公司数量不详。
监管部门的反应
在 EJC Schrems II 决定之后,一些监管机构表达了他们对前进道路的看法,特别是在继续使用标准合同条款 (SCC) 方面。 下面我们总结了关键信息和调查结果:
汉堡
汉堡数据保护机构得出结论:
如果隐私护盾的无效主要是由于美国情报活动的升级,则同样必须适用于标准合同条款。 数据出口商和进口商之间的合同协议同样不适合保护数据主体免受国家访问。
然而,他们也看到
除了具有约束力的公司规则和个人协议之外,最重要的是 SCC 可以用作向第三国转移的基础。 然而,与此同时,这次不确定性增加了:欧洲法院正在将球传给欧洲监管机构。
汉堡 DPA 委员会官员 Johannes Casper 表示:
在今天的欧洲法院判决之后,监管当局的法庭再次交由监管机构,他们现在将面临通过标准合同条款对整体数据传输提出批判性质疑的决定。
联邦专员
与此同时,联邦数据保护和信息自由专员 (BfDI)教授 Ulrich Kelber 将欧洲法院 (ECJ) 今天关于国际数据传输的裁决与加强受影响者的权利联系起来:
欧洲法院明确表示,国际数据流量仍然是可能的。 但是,必须尊重欧洲公民的基本权利。 现在必须采取特殊保护措施与美国进行数据交换。 公司和当局不能再根据欧洲法院宣布无效的隐私护盾传输数据。 当然,我们将就转换提供深入的建议
莱茵兰-普法尔茨
莱茵兰-普法尔茨 DPA 已经采取了非常积极的方法。 就在欧洲法院裁决作出几个小时后,欧洲法院裁决的常见问题解答文件就发布了。 关于数据出口商现在必须针对 SCC 做些什么,他们得出结论:
数据控制者必须检查适用于他们打算将数据传输到的第三国的数据进口商的法律,以及适用于该业务关系中的其他合同伙伴的法律,以及这些法律是否影响标准合同条款提供的保证. 如有必要,必须分析具体的数据流,以确定在每种情况下适用的第三国法律。 这些义务适用于将数据传输到所有第三国,而不仅仅是美国。
认可 SCC 决定的有效性
由于法院维持了 2010 年 SCC 裁决的有效性,因此基于 SCC 的数据从欧盟流向世界其他地区可以继续不间断。 然而,即使对于依赖 SCC 将数据导出到 EEA 的公司来说,密切监控这个空间也是谨慎的做法。 欧盟司法专员迪迪埃·雷恩德斯 (Didier Reynders) 在该决定发布的同一天发布了一份早期公告,指出其计划根据 SCC 的重要性对其进行更新。
没有过渡期的隐私保护失效
由于法院还决定评估隐私护盾并认定其无效,因此依赖此框架的所有数据流都将变得非法。
隐私盾现在面临着与 2015 年安全港计划一样的不幸命运。类似于安全港计划无效后发生的争夺战,我们可能会看到美国和欧盟政府开会修复欧洲法院裁决所强调的缺陷。 但是,在这些缺陷得到补救之前,任何依靠隐私保护来正确传输数据的公司都应该转向其他被明确视为适当保护措施的措施,例如 SCC、用户同意和具有约束力的公司规则 (BCR)。
由于当局承认 SCC 仍然作为基础发挥作用,我们确实希望当局将允许组织有宽限期,以便在判决后的转移方面遵守规定。 2015 年安全港倒塌后允许有 6 个月的宽限期。鉴于更广泛的影响,现在重复这一点并可能延长这一期限是合理的。
组织的后续步骤
企业现在应该为后隐私盾时代做好准备,并制定具有约束力的公司规则 (BCR) 和标准合同条款 (SCC) 以保护自己的数据。
- 虽然 SCC 仍然有效,但目前依赖它们的组织将需要考虑,考虑到个人数据的性质、处理的目的和背景以及目的地国家,是否存在“足够的保护水平”欧盟法律要求的个人数据。 如果情况并非如此,组织应考虑可以实施哪些额外的保障措施,以确保实际上有“足够的保护水平”。
- 目前依赖欧盟 - 美国隐私保护框架的组织将需要紧急确定一种替代数据传输机制,以继续将个人数据传输到美国转让是履行合同所必需的),SCC 或具有约束力的公司规则也应被视为替代机制。
简而言之,受 GDPR 约束的公司应考虑
(i) 他们的数据流向美国,
(ii) 向美国进行此类转移的相应法律机制,以及
(iii) 如果欧盟-美国隐私护盾是当前的转移机制,则为此类活动建立合法的转移机制。
转换会做什么
- 留意监管机构、欧洲数据保护委员会和欧盟委员会的指导。
- 通过进行数据映射练习,评估哪些数据正在欧盟以外传输,以及传输的依据是什么。 在本练习中,我们注意:
- 数据传输到参与隐私保护的组织,
- 依赖标准合同条款的数据传输——特别注意向依赖 SCC 的美国进口商的任何数据传输,
- 依赖于具有约束力的公司规则并涉及到美国的数据传输的数据传输。
- 使用应用内消息通知活跃用户和试用用户接下来的操作。 简而言之,对于我们的欧盟数据传输已被 SCC 覆盖的客户,无需做任何事情。 对于之前被隐私护盾覆盖的那些,采用欧盟标准合同条款 (SCC) 是前进的必经之路。 如果您是希望合并 SCC 的 Convert 客户,您的 Convert Customer Success Hero 将与您联系,开始将标准合同条款纳入我们与您的当前协议的过程。
- 与所有子处理者签署更新的数据处理协议 (DPA) 和/或标准合同条款 (SCC)。
- 联系 Privacy Shield 以接收有关 Schrems II 决定的更新。
- 更新我们的隐私声明以包含指向预签名 SCC 的链接。
- 更新 DPA 页面以反映当前状态。
- 密切关注其他数据传输机制。
