欧盟数据监管机构警告称,Schrems II隐私盾牌裁决后没有宽限期

2020-07-25 02:09:20

在关于Schrems II判决的常见问题解答中,欧洲数据保护委员会(EDPB)警告称,不会有监管宽限期。

欧盟-美国隐私盾牌已经死了,任何仍然依赖它授权转移欧盟公民个人数据的公司都是非法的,这是最重要的信息。

EDPB直言不讳地警告说:“在这个法律框架的基础上进行转移是非法的。”希望继续向美国传输个人数据的实体需要使用另一种机制-但必须首先确定它们是否能够满足保护数据免受美国监视的法律要求。

还有其他选择吗?CJEU的裁决没有使标准合同条款(SCC)无效。具有约束力的公司规则(BCR)在技术上仍然可用。

但在这两种情况下,潜在的数据出口商都必须进行预先分析,以确定他们实际上是否可以合法地使用这些工具在其特定的上下文中移动数据。

任何已经在使用SCC将欧盟公民的数据传输到美国的人(嗨,Facebook!)。不豁免进行评估-如果他们打算继续使用该机制,需要通知相关监管当局。

美国转移的问题是,CJEU法官宣布隐私盾牌无效,理由是美国的监控法从根本上与欧盟的隐私权相冲突。所以,换句话说,休斯顿,你有一个隐私问题,…。

“最高法院发现,美国法律(即第702FISA[外国情报监视法案]和EO[行政命令]12333)不能确保实质上同等水平的保护,”EDPB在回答(预期的)常见问题时警告说:“我正与美国的一家数据进口商一起使用SCC,我该怎么办?”

“你能否根据许可证转移个人资料,将视乎你的评估结果,并考虑转移的情况,以及你可以采取的补充措施。”

使用SCC向美国传输数据的能力取决于数据管制员是否能够提供法律保证,即“美国法律不会侵犯”传输的数据的适当保护水平。

如果欧盟和美国的数据出口商不能确信这一点,他们将被要求停止数据传输。没有如果,就没有但是。

然而,那些认为自己可以提供“适当保障”的法律保证--从而打算继续通过SCC向美国传输数据的人--必须通知相关的数据监管机构。因此,在没有通知监管机构的情况下,没有办法“照常”进行。

BCR的情况也是如此-EDPB指出:“鉴于法院的裁决宣布隐私盾牌无效,因为美国法律对其数据被转移到第三国的人的基本权利造成了严重的干扰,而且隐私盾牌也是为通过BCR等其他工具传输的数据提供担保的事实,法院的评估也适用于BCR,因为美国法律也将优先于该工具。”

因此,同样需要逐案评估,以确定您是否在法律上有信心提供所需级别的保护。