上周,在万众瞩目下,欧洲最高法院 在Schrems II于7月16日裁定,欧盟-美国隐私保护协议无效。该裁决将影响使用Privacy Shield将数据从欧盟传输到美国的数千家公司。此外,法院决定维持另一种数据传输机制,即标准合同条款,但附带条件。这一新闻改变了游戏规则,给跨境协议的稳定性带来了很大的不确定性。不断变化的隐私世界再次改变,欧盟法院重申维持对从欧盟转移到第三国的个人数据的高度保护的重要性。EDPS将作为欧洲数据保护委员会(EDPB)的成员,继续努力在欧洲监管机构之间实施必要的统一方法,以实施欧盟个人数据国际传输框架。
这是近五年来欧洲法院关于美国的充分性裁决第二次被法院无效。法院在判决中确认了EDPS和EDPB 反复表达的对“隐私盾”的批评 。欧洲法院将根据法院对《通用数据保护条例》(GDPR)的解释,就未来的任何适当决定向欧洲委员会提供建议。
同时,特别是自GDPR生效以来,全球范围内通过了越来越多的数据保护和隐私法,包括欧洲委员会通过的新的第108+号公约。保护个人数据需要所有人(包括在独立法院之前)的可诉诸权利。它不仅是“欧洲”基本权利,它是全球公认的基本权利。在这种背景下,EDPS相信美国将尽一切可能的努力和手段朝着全面的数据保护和隐私法律框架迈进,该框架真正满足了法院重申的充分保障措施的要求。
即使从GDPR角度来看,参加Privacy Shield的法律价值已失效,但美国遵守Privacy Shield承诺的义务仍然适用。如果组织决定无视其“隐私盾”承诺,则仍可能受到美国联邦贸易委员会的制裁。该组织还可能有与客户或其他人达成协议的义务,以遵守“隐私盾”,并且这些承诺可能不会仅由于CJEU裁决而终止。因此,即使在“ Schrems II”之后的这个过渡时期,组织也必须谨记继续遵守“隐私盾”的义务。
EDPS指出,法院在原则上确认标准合同条款(SCC)的有效性的同时,对管制员和欧洲DPA的职责提供了澄清的欢迎声明,以考虑到与公共当局访问个人数据相关的风险第三国。欧洲监管机构有义务努力执行适用的数据保护法规,并在适当情况下中止或禁止将数据传输到第三国。作为欧盟机构,机关,办公室和机构的监督机构,EDPS正在仔细分析判决对欧盟机构,机关,办公室和机构签订的合同的后果。
对于参加Privacy Shield的美国组织,下一步应该思考该怎么办。
第一步是了解组织对Privacy Shield的自我认证所涵盖的个人数据传输。Privacy Shield组织可以是有关内部人力资源数据(例如,员工,求职者,承包商和欧盟子公司或运营机构的其他人)的个人数据以及客户(例如,公司客户联系人,个人消费者,患者)的数据控制者等)和其他第三方(例如,分销商,业务伙伴,供应商等的联系人)。Privacy Shield组织还可以是充当处理与组织公司客户的消费者,患者和最终用户有关的数据的供应商的数据处理器。
组织应制定一项计划,以解决“隐私盾”(Privacy Shield)下数据传输的各个大类别。没有一个适合所有人的计划,但是拥有一个计划将帮助组织集中精力,并且在组织需要与DPA,客户,业务合作伙伴,公司数据保护官,工作委员会进行讨论的情况下或其他。
如果组织作为控制者参加了Privacy Shield,则实现此类控制者到控制者数据传输的SCC可以帮助加强允许传输的地位。鉴于CJEU在“ Schrems II”中的推理,该组织仍需要进行尽职调查以评估和记录与转移相关的风险,但是从GDPR的角度来看,该组织处于更好的位置,因为SCC仍在一个有效的数据传输工具。如果组织代表欧盟中的客户充当数据处理者,则组织应考虑准备并向客户提供更新的条款,其中包括用于控制器到处理器传输的SCC。该组织还应准备回答客户的有关向公共当局披露信息以及CJEU意见中提出的相关问题的尽职调查问题。重要的是要有一个清楚的了解,在实践中,该组织在过去是否需要对公共机构收集的此类情报作出回应,以及其应对未来的政策和做法是什么。
根据上下文,某些组织可能能够采用其他策略。例如,如果组织直接与消费者进行在线交易,则可以将数据收集范围缩小到与消费者进行交易所必需的范围。这种方法可能要求公司削减不必要的数据收集(例如,禁用欧盟IP地址的广告Cookie),但可能是继续进行的合理方法。
EDPS是独立的监管机构,负责监督欧盟机构,机关,办公室和机构对个人数据的处理,为影响隐私的政策和法规提供建议,并与类似机构合作以确保数据的持续保护。我们的使命也是在处理个人数据时提高人们的风险意识并保护人们的权利和自由。
欧洲议会和理事会的联合决定任命沃伊切赫·维维洛夫斯基(EDPS),任期五年,自2019年12月6日开始。
个人信息或数据:与已识别或可识别的自然人(活人)有关的任何信息。示例包括姓名,出生日期,照片,录像,电子邮件地址和电话号码。与通信服务的最终用户有关或由其提供的其他详细信息(例如IP地址和通信内容)也被视为个人数据。
隐私权:一个人的权利,可以独处,可以控制有关他或她自己的信息。《世界人权宣言》(第12条),《欧洲人权公约》(第8条)和《欧洲基本权利宪章》(第7条)都规定了隐私或私人生活权。宪章还包含保护个人数据的明确权利(第8条)。
个人数据的处理:根据(EU)2018/1725号条例第3条第3款,个人数据的处理是指“对个人数据或对个人数据进行的任何操作或一组操作,无论是否通过自动装置,例如收集,记录,组织,结构化,存储,适应或改变,检索,协商,使用时,由传输披露,传播或以其他方式提供,对准或组合,限制,擦除或破坏”。参见词汇表在EDPS网站上。
法规(EU)2018/1725第58条明确概述了EDPS的权力。
注:本文选自IAPP协会官网英文新闻,经笔者翻译整理而来,如涉及侵权,请及时联系我们
