Schrems 2.0 - 欧盟 - 美国数据流动的下一个大打击?- 7月16日星期四期待什么TH.

无论SCHREMS 2.0的结果如何,关键的外卖就是恐慌。

明天,7月16日,2020年7月,欧洲司法法院(CJEU)预计将统治数据保护专员爱尔兰V Facebook Ireland Limited,Maximillian Schrems,俗称“Schrems 2.0”。

2015年,奥地利数据保护活动家Max Schrems, Facebook爱尔兰有限公司,以及另一个常用的国际个人数据传输机制在失效的砧板上,这个期待已久的续集并没有改变太多。

该法院的这次是考虑欧盟委员会通过的标准合同条款(SCC)的有效性,这是超越欧盟 - 美国。转移并可能影响欧盟与世界其他地区之间的数据共享的大多数协议。无论结果如何,明天的决定将对国际数据转移多年来受到待遇的方式产生深远的影响 - 但是关键的外卖不是恐慌。在这个博客文章中,我们已经开始向CJEU开放的三个潜在裁决以及您可以采取哪些步骤以遵循这种裁决。

决定是什么

CJEU的裁决将回答第2018年5月的初步裁决的问题,由爱尔兰高等法院提出初步裁决。问题可能对此产生影响三套SCC的有效性欧盟委员会在前欧盟数据保护指令下采用(两个控制器到控制器-CCC:2004年通过的2001年和集合II采用I II;以及2010年采用的一个控制器到处理器-CCC)。

鳞状细胞癌可用于提供适当的保护措施(cf。艺术。46 GDPR)所需的合法转让个人资料个人在欧盟第三国家,特别是国家尚未批准提供“充足”的形式对个人数据的保护委员会(一个适当的决定的安全的第三个国家)。To illustrate the importance of the SCC in practice, it is worth noting that, of the EU 27’s top 40 trading partners, only four (Switzerland, Israel, Japan and Argentina) benefit from unqualified adequacy decisions, while transfers to Canada are limited to the private sector and transfers to the US require registration under the EU-U.S. Privacy Shield program. For US companies, the ability to rely the SCC offers an important alternative or additional option to committing to the EU/U.S. Privacy Shield scheme.

The issue currently before the CJEU has its roots in the leak of classified information around NSA surveillance programs that alleged that the NSA had obtained unrestricted access to mass data stored on servers located in the U.S. All companies involved in the PRISM program appeared to be Safe Harbour-certified, making the Safe Harbour scheme, in words of the EU Commission, “其中一个导管通过哪个导管,向美国智能机构提供,以收集在欧盟的最初处理的个人数据”。在Schrems 1.0中,奥地利数据保护活动家Max Schrems向爱尔兰数据保护委员会(“爱尔兰数据保护委员会”)投诉Facebook爱尔兰有限公司,原因是该公司将数据转移至美国总部。这一投诉导致欧盟和美国的产品失效。2015年通过CJEU的《安全港协议》。这导致数千家美国公司别无选择,只能依赖SCC进行此类数据传输。在裁决之后,马克斯·施雷姆斯重新提交了他对Facebook的投诉,质疑现在基于SCC的同样的转移的合法性,因为这些转移也包含了允许美国当局进行大规模监视的例外情况。

投诉允许爱尔兰人DPC有机会审查SCC是否为合法转移个人数据提供适当的保障措施,并在此过程中,爱尔兰人DPC暗示其认为SCC不为欧盟公民提供足够的保护。然而,由于爱尔兰人DPC认为它缺乏暂停数据转移的能力,案件是在爱尔兰高等法院之前提交的,以便再次将该案件推荐给CJEU。

因此,CJEU将在明天的决定中回答的关键问题是:

  1. 是否违反了SCC的数据转移,违反了隐私权以及由于美国大规模监测活动,基本权利欧盟宪章授予的有效补救措施?
  2. 委员会采用的现有SCC 2010/87(控制器到处理器)有效吗?

什么决定(实际上)不是关于

一般来说,Schrems案件不要求CJEU对隐私盾牌的有效性作出任何评论,因为投诉的范围仅涉及在SCC的基础上进行的转移的有效性。

然而,在提交给CJEU的问题中,爱尔兰高等法院提到了Privacy Shield的决定及其做出的评估。如果CJEU决定回答这个问题,它可能会导致对欧盟和美国的间接审查。隐私保护,甚至可能——如果CJEU注意到总检察长的担忧的话(见下文)——它最坏的结果就是失效。

根据欧盟司法专员Didier Reynders,欧盟委员会已经准备了为这种可能性。雷恩代尔说,委员会正在“关于法院决定将导致的不同可能性的预备工作”。

倡导者概述:努力SCC,调整隐私盾牌

CJEU由八个倡导者提供援助,其作用是在CJEU之前提供一份书面的法律“意见”,该案件提出了案件,该案件提出了关于可能适用于案件的不同意见和论据,并达成了“推理的提交”在CJEU之前。虽然意见在CJEU上没有约束力,但它对许多情况下的决定产生了影响,事实上,在大多数情况下,CJEU跟随它。

2019年12月19日,CJEU的倡导者(AG)HenrikSaugmansgaardØe,递交了他的意见在Schrems 2.0。

委员会的结论是,委员会采用的SCC 2010/87(控制器到处理器)是有效的。他认为,必须确保适当的保障措施在实践中是有效的,并通过scc各方的义务和监管当局的权力,提供适当水平的数据保护。第三国本身是否提供足够水平的数据保护是无关紧要的。事实上,GDPR第46条的存在恰恰是为了证明向没有提供足够数据保护的第三国转移数据是正当的。数据出口商本身有责任:i)监测和评估接受国的法律发展;及ii)如资料输入者不能再遵守条例的条文,则暂停转让资料。总检察长避免基于SCC对转让的合法性进行全面评估,而是倾向于由数据出口商进行个人分析。例如,敏感的消费者数据往往是美国情报机构数据请求的目标,而不是纯粹的B2B数据集。

因此,在AG的视图中,基于SCC到美国的数据转移到美国可能在特定情况下,并不总是通过SCC合理。然而,SCC传输机制本身确实提供了一种合法的数据传输方法。

总检察长建议CJEU不要对欧盟/美国的有效性进行裁决隐私保护,因为他认为这与实际案件无关。然而,总检察长继续对隐私保护盾的有效性表示怀疑,这主要是由于监察员机制的缺陷。

3种可能的结果

明天的裁决存在许多不同的可能结果;但是,三种情景似乎最有可能 - 无论如何,不​​恐慌:

I.情景一:SCC是有效的,但需要根据具体情况进行分析

如果CJEU遵循AG的意见并宣布SCC有效而不进一步审查隐私盾的有效性,公司通常可以继续使用SCC。现在,可能比以往任何时候都更重要,应对数据出口商的法律发展的评估来进行特定的重点。此外,AG的意见明确表示审查和潜在暂停转移的义务不仅在数据出口国上,它实际上也在数据进口商上,可能会导致罚款。因此,公司通常应该重新审视他们的数据转移,他们是外部或内部的。公司应准备一张表格,所有数据传输,并根据这些数据对任何国家情报服务感兴趣的可能可能性来指定每个类别的风险。

例如,传输可以被视为更敏感的进出口转移数据(例如由信息社会服务提供商,社交网站和类似B2C服务收集的数据)应该小心在已知收件人国家具有群众时继续依赖SCC监视到位。这些服务提供商应考虑转向充分性的决定,或者在适用的情况下,将公司规则(第47 GDPR)作为其转移的法律依据,即使CJEU的发现最终也可能对BCR的有效性产生影响。然而,出口商转移B2B或有限的B2C数据量通常不会面临阻碍它们使用SCC的风险。

II。方案二:SCC无效,但还有其他合法数据传输机制可用

无效SCC的决定将对参与国际数据转账的公司产生非常负面影响,因为SCC是此类数据转移最重要的合法基础之一。如果SCC由CJEU无效,则SCC无法再作为数据转账的法律依据,以便任何非欧盟国家/地区,数据出口国需要转向其他合法的基础(这不太可能有可用),绑定公司规则(BCR)或艺术中列出的例外。49 GDPR。

如果CJEU使SCC无效,预计委员会将迅速反应,以解决公司会发现自己的困难情况。委员会多年来一直在制定新的SCC,以更好地定制于GDPR和活动中的新SCC。当前的SCC被发现无效,我们预计委员会将加速这些努力,如果CJEU仅需要更改SCC。此外,即使CJEU裁决很可能不批准宽限期,监管机构不太可能会立即启动对继续依靠现有SCC的公司进行执法诉讼,并在批准新的裁决后少时SCC制度。建议企业监测和遵守欧盟监管机构和欧盟委员会的指导,这可能遵循此类判决。希望,新的SCC将在适当的时候发出,以便公司可以在无需立即停止数据转账的情况下将其数据转移到他们身上;或者,转移到第三国的公司可能会查看国家特定替代方案,例如美国公司可能会依靠欧盟 - 美国。隐私盾牌。

III。方案三:SCC是无效的,CJEU对欧盟美国隐私盾的有效性进行了额外评论

尽管总检察长建议CJEU不要对欧盟-美国法律的有效性发表意见。CJEU可以选择对Privacy Shield发表意见,因为它直接由爱尔兰高等法院提交给它的问题之一所涵盖。

如果SCC和隐私盾牌都是无效的,如果出口商不能依赖于任何其他法律依据,例如BCR或艺术例外,则可以说,国际转移将可能会被停止。49 GDPR。然而,BCR对许多人来说并非实际上可行的选择,而不是至少给予监督机构审查和批准由SCC和隐私盾计划的无效导致的BCR批准应用程序所需的巨大洪水的时间。同样,艺术中的例外。49 GDPR故意缩小,旨在形成一般禁止的例外,而不是持久转移的适当法律。这将留下大部分公司,没有任何法律依据转移到美国,迫使他们在判决几周内等待进一步发展。

无论何种结果,关键外卖是 - 不要恐慌

2020年7月16日,等待将结束,公司将对SCC的有效性(或其他)有更大程度的清楚。无论最坏的情况是否发生(SCC无效,CJEU对欧盟-美国的有效性做了额外的评论。或者最好的(SCC是有效的,但需要逐案分析),似乎不太可能每一家向美国传输数据的公司一夜之间就发现自己成为监管行动的对象。考虑Schrems 2.0的影响,我们希望欧盟委员会和国家监管当局快速反应问题进一步指导和适应SCC是必要的,而不是试图惩罚那些合法依赖数据传输机制,批准和使用多年。