2020 年隱私盾失效:您需要知道什麼以及 SCC 能否帶來喘息機會?
已發表: 2020-07-17
2020 年 7 月 16 日,歐盟法院(“CJEU”)對 Schrems II 案(C-311/18 案)作出了具有里程碑意義的判決。 在其判決中,歐洲法院得出結論認為,歐盟委員會發布的關於將個人數據傳輸給在歐盟以外設立的數據處理器的標準合同條款(“ SCC ”)仍然有效,強調需要逐案審查. 出乎意料的是,法院宣佈歐盟-美國隱私保護框架無效(違反 GDPR 第 45(2)(a) 條的要求)。
| 日期 | 事件 |
| 2013年六月 | 斯諾登關於 PRISM 計劃的披露 |
| 2013年六月 | 鑑於斯諾登的披露,施雷姆斯向愛爾蘭 DPC 重新安全港投訴 |
| 2014 年 6 月 | 愛爾蘭高等法院將施雷姆斯案提交歐洲法院 |
| 2015 年 10 月 | CJEU 宣布安全港無效 |
| 2015 年 10 月至 12 月 | Schrems 向愛爾蘭 DPC 投訴歐盟標準合同條款 (SCC) |
| 2016 年 7 月 | 採用歐盟-美國隱私護盾 |
| 2017 年 10 月 | 愛爾蘭高等法院將施雷姆斯的申訴提交給歐洲法院 |
| 2018 年 5 月 | GDPR 生效 |
| 2019 年 7 月 | 歐盟法院的 Schrems II 聽證會 |
| 2019 年 12 月 | CJEU AG 在 Schrems II 中的意見 |
| 2020 年 7 月 16 日 | 歐盟法院在 Schrems II 案中的判決 |
正如時間線所示,Schrems II 已經醞釀多年,是一個引人入勝的案例。 由於此案,在歐洲開展業務或處理來自歐洲客戶的數據的美國公司要么必須與歐盟協商新的個人數據處理安排,稱為標準合同條款 (SCC),要么停止從歐洲業務移植數據進入美國。
該裁決對以下方面有影響
(a) 超過 5,000 家美國公司在隱私保護機制下進行了自我認證,以及
(b) 在美國以外依賴接收者的隱私護盾自我認證以遵守嚴格的歐盟數據保護法的公司數量不詳。
監管部門的反應
在 EJC Schrems II 決定之後,一些監管機構已經表達了他們對前進道路的看法,特別是在繼續使用標準合同條款 (SCC) 方面。 下面我們總結了關鍵信息和調查結果:
漢堡
漢堡數據保護機構得出結論:
如果隱私護盾的無效主要是由於美國情報活動的升級,則同樣必須適用於標準合同條款。 數據出口商和進口商之間的合同協議同樣不適合保護數據主體免受國家訪問。
然而,他們也看到
除了具有約束力的公司規則和個人協議之外,最重要的是 SCC 可以用作向第三國轉移的基礎。 然而,與此同時,這次不確定性增加了:歐洲法院正在將球傳給歐洲監管機構。
漢堡 DPA 委員會官員 Johannes Casper 表示:
在今天的歐洲法院判決之後,監管當局的法庭再次交由監管機構,他們現在將面臨通過標準合同條款對整體數據傳輸提出批判性質疑的決定。
聯邦專員
與此同時,聯邦數據保護和信息自由專員 (BfDI)教授 Ulrich Kelber 將今天歐洲法院 (ECJ) 關於國際數據傳輸的裁決與加強受影響者的權利聯繫起來:
歐洲法院明確表示,國際數據流量仍然是可能的。 但是,必須尊重歐洲公民的基本權利。 現在必須採取特殊保護措施與美國進行數據交換。 公司和當局不能再根據歐洲法院宣布無效的隱私護盾傳輸數據。 當然,我們將就轉換提供深入的建議
萊茵蘭-普法爾茨
萊茵蘭-普法爾茨 DPA 已經採取了非常積極的方法。 就在歐洲法院裁決作出幾個小時後,歐洲法院裁決的常見問題解答文件就發布了。 關於數據出口商現在必須針對 SCC 做些什麼,他們得出結論:
數據控制者必須檢查適用於他們打算將數據傳輸到的第三國的數據進口商的法律,以及適用於該業務關係中的其他合同夥伴的法律,以及這些法律是否影響標準合同條款提供的保證. 如有必要,必須分析具體的數據流,以確定在每種情況下適用的第三國法律。 這些義務適用於將數據傳輸到所有第三國,而不僅僅是美國。
認可 SCC 決定的有效性
由於法院維持了 2010 年 SCC 裁決的有效性,因此基於 SCC 的數據從歐盟流向世界其他地區可以繼續不間斷。 然而,即使對於依賴 SCC 將數據導出到 EEA 的公司來說,密切監控這個空間也是謹慎的做法。 歐盟司法專員迪迪埃·雷恩德斯 (Didier Reynders) 在該決定發布的同一天發布了一份早期公告,指出其計劃根據 SCC 的重要性對其進行更新。
沒有過渡期的隱私保護失效
由於法院還決定評估隱私護盾並認定其無效,因此依賴此框架的所有數據流都將變得非法。
隱私護盾現在面臨著與 2015 年安全港計劃相同的不幸命運。類似於安全港計劃無效後發生的爭奪戰,我們可能會看到美國和歐盟政府開會修復歐洲法院裁決突出的缺陷。 但是,在這些缺陷得到補救之前,任何依靠隱私保護來正確傳輸數據的公司都應該轉向其他被明確視為適當保護措施的措施,例如 SCC、用戶同意和具有約束力的公司規則 (BCR)。
由於當局承認 SCC 仍然作為基礎發揮作用,我們確實希望當局將允許組織有寬限期,以便在判決後的轉移方面遵守規定。 2015 年安全港倒塌後允許有 6 個月的寬限期。鑑於更廣泛的影響,現在重複這一點並可能延長這一期限是合理的。
組織的後續步驟
企業現在應該為後隱私盾時代做好準備,並製定具有約束力的公司規則 (BCR) 和標準合同條款 (SCC) 以保護自己的數據。
- 雖然 SCC 仍然有效,但目前依賴它們的組織將需要考慮,考慮到個人數據的性質、處理的目的和背景以及目的地國家,是否存在“足夠的保護水平”歐盟法律要求的個人數據。 如果情況並非如此,組織應考慮可以實施哪些額外的保障措施,以確保實際上有“足夠的保護水平”。
- 目前依賴歐盟 - 美國隱私保護框架的組織將需要緊急確定一種替代數據傳輸機制,以繼續將個人數據傳輸到美國轉讓是履行合同所必需的),SCC 或具有約束力的公司規則也應被視為替代機制。
簡而言之,受 GDPR 約束的公司應考慮
(i) 他們的數據流向美國,
(ii) 向美國進行此類轉移的相應法律機制,以及
(iii) 如果歐盟-美國隱私護盾是當前的轉移機制,則為此類活動建立合法的轉移機制。
轉換會做什麼
- 留意監管機構、歐洲數據保護委員會和歐盟委員會的指導。
- 通過進行數據映射練習,評估哪些數據正在歐盟以外傳輸,以及傳輸的依據是什麼。 在本練習中,我們注意:
- 數據傳輸到參與隱私保護的組織,
- 依賴標準合同條款的數據傳輸——特別注意向依賴 SCC 的美國進口商的任何數據傳輸,
- 依賴於具有約束力的公司規則並涉及到美國的數據傳輸的數據傳輸。
- 使用應用內消息通知活躍用戶和試用用戶接下來的操作。 簡而言之,對於我們的歐盟數據傳輸已被 SCC 覆蓋的客戶,無需做任何事情。 對於之前被隱私護盾覆蓋的那些,採用歐盟標準合同條款 (SCC) 是前進的必經之路。 如果您是希望合併 SCC 的 Convert 客戶,您的 Convert Customer Success Hero 將與您聯繫,開始將標準合同條款納入我們與您的當前協議的過程。
- 與所有子處理者簽署更新的數據處理協議 (DPA) 和/或標準合同條款 (SCC)。
- 聯繫 Privacy Shield 以接收有關 Schrems II 決定的更新。
- 更新我們的隱私聲明以包含指向預簽名 SCC 的鏈接。
- 更新 DPA 頁面以反映當前狀態。
- 密切關注其他數據傳輸機制。
