欧盟对第三国的数据转移进行了最终指导
这些建议的漫长而缺乏 - 这是相当长的;跑到48页 - 是一些数据转移到第三国国家将不可能(法律上)进行。尽管存在的法律机制继续存在,但在理论上可以用于制定此类转移(如标准合同条款;委员会最近更新的转移工具)。
然而,它由数据控制器提供评估每个转移的可行性,以便在案例基础上确定数据是否可以在特定情况下对数据进行合法流动。 (例如,这可能意味着,例如,对外国政府监测制度的复杂评估以及它们如何在其具体行动中进行复杂的评估。)
在第三国(如美国)外,常规地将欧盟用户的数据乘坐欧盟用户的数据(如美国),没有与欧盟的数据充分安排,在获得合规性方案中面临大量成本和挑战 - 在最好的情况下。
那些无法适用可行的“特殊措施”以确保转移数据是安全的,这是暂停数据流动的义务 - 如果他们未能通过数据保护机关(也可以申请)额外制裁)。
一个替代方案可以是这样的公司,以便在欧盟内本地存储和处理欧盟用户的数据。但显然对每家公司来说都不会是可行的。
律师事务所可能对此结果非常满意,因为公司随着公司努力解决如何构建其数据流动并适应施施施后II世界的努力,将增加法律建议的需求。
在一些欧盟司法管辖区(如德国)数据保护机构现在正在积极开展合规检查 - 因此暂停转移的订单必将遵循。
虽然欧洲数据保护主管忙于审查欧盟机构自身使用美国云服务巨头,看看与AWS和Microsoft Pass Master这样的高级安排是否与科技巨头相同。
去年夏天,CJEU击落了欧盟 - 美国隐私盾 - 只有几年的旗舰充足的安排被墨水。相同的核心法律问题为其前任'安全港'而虽然已经长达十五年。由于隐私盾牌的消亡委员会反复警告,这次将没有快速修复;可能需要没有任何美国监督法的重大改革。
美国和欧盟立法者在替代欧盟和美国数据流动交易中仍然谈判,但可行的成果可以达到法律挑战,因为前两项协议不能,可能需要多年的工作,而不是几个月。
与此同时,英国刚刚挤出了委员会的数据充足协议 - 尽管有些大声阐述了数据保护领域的监管分歧的监管分歧计划。
如果英国在剥夺其继承的欧盟法律框架的关键原则方面,那么未来几年也会失去充分性的地位 - 这意味着它也可能面临欧盟数据流动的障碍障碍。 (但现在似乎已经躲过了那颗子弹。)
数据流入其他第三国,也缺乏欧盟充足的协议 - 如中国和印度 - 面对同样的持续法律不确定性。
欧盟国际数据流动问题的背溯起源于申诉 - 在NSA举报人爱德华斯诺登关于政府大规模监督计划的启示之后,如此超过七年前 - 由他所说的同名最大Schrems制作,他所争辩的是不安全的欧盟 - 美国数据流动。
虽然他的投诉专门针对Facebook的业务并呼吁爱尔兰数据保护委员会(DPC)使用执法权力并暂停Facebook的欧盟数据流动。
犹豫不决的监管舞蹈终于看到了欧洲顶级法院的法律问题 - 最终 - 欧盟美国隐私盾牌的消亡。 CJEU裁决还使其超出法律怀疑,即成员国的DPA必须介入并在怀疑数据流到信息存在风险的位置时行动。
在施莱姆斯II裁决之后,DPC(最后)将Facebook发送了初步命令,以暂停其最后秋天的欧盟数据流动。 Facebook立即挑战了爱尔兰法院的命令 - 寻求阻止移动。但那挑战失败了。 Facebook的欧盟数据流量现在在借来的时间内非常经营。
作为美国“FISA法”第702款的平台之一,其选择“特殊措施”的选择来补充其欧盟数据转移的样子,但有限地说明。
它不能 - 例如 - 以确保它无法访问它(零访问加密)的方式加密数据,因为这不是Facebook的广告帝国功能。和Schrems先前建议Facebook将不得不联邦服务 - 并将欧盟用户的信息储存在欧盟内部 - 来解决其数据传输问题。
安全地说,像Facebook这样的某些业务合规的成本和复杂性看起来巨大。
但在CJEU裁决之后,成千上万的企业将有合规成本和复杂性。
董事长兼重新利雷斯·杰宁董事会提出了艾普署的最终建议,表示:“Schrems II的影响不能低估:已经有国际数据流量受到在各自各级进行调查的监管机构的更加谨慎审查。 EDPB建议的目标是指导出口商在合法地将个人数据转移到第三国,同时保证转让的数据提供了一定程度,基本上相当于欧洲经济区内的保障。
“通过澄清利益攸关方表达的一些疑问,特别是审查第三国公共当局的实践的重要性,我们希望更容易地了解如何评估其转移到第三国并识别和实施有效需要的补充措施。艾普布将继续考虑Schrems II裁决的影响,并在其未来指导下从利益攸关方收到的意见。“
它表示,早期咨询和最终建议之间的主要修改包括:“重点是审查出口商的法律评估中第三国公共当局的实践的重要性,以确定第三国的立法和/或做法是否受到影响 - 实践 - 关于艺术的有效性。 46 GDPR转移工具;出口商在评估进口商的实际经验以及其他内容和某些警告的可能性中考虑了可能性;澄清,目的地国家的立法允许其当局访问转让的数据,即使没有进口商的干预,也可能会影响转移工具的有效性“。
在发言中对EDPB的建议评论,律师事务所LinkLaters在守则中被称为“严格” - 对对企业的迫在眉睫的影响警告。
“几乎没有证据表明这些转移的务实方法,如果结论是数据必须留在欧盟必须留在欧盟的情况下,艾普布似乎完全满足,”全球律师事务所的律师彼得教堂说。 “例如,在将个人数据转移到第三国(没有充分的数据保护法)之前,企业不仅必须考虑其法律,而是其执法部门和国家安全机构如何在实践中运作。鉴于这些活动通常是秘密和不透明的,这种类型的分析可能会花费成千上万的欧元并花费时间。即使对于相对无害的传输,它似乎也需要这种分析。“
“目前尚不清楚中小企业如何遵守这些要求,”他补充道。 “鉴于我们现在在全球化的社会中运作,像国王峡谷一样,应该考虑对其权力的实际限制。指导不会回到世界上来回洗涤的潮流,但许多企业将真正努力遵守这些新要求。“