隐私盾牌

德国DPA发表的公司的第一个隐私盾牌指南

第一个欧盟 - 美国。德国DPA的隐私盾牌指南

2016年9月12日,德国联邦北莱茵 - 威斯特法伦州的数据保护权威(“DPA NRW.“)成为第一家欧盟数据保护当局之一发布指导关于隐私盾牌的实施。虽然这一指导主要针对德国公司,但美国提供商(任何第三方服务提供商),美国提供商应该了解更好地了解德国和欧盟客户除欧盟/欧盟外的指导。隐私盾牌认证。

背景

自2016年8月1日起,美国公司已经能够证明对于欧盟 - 美国。隐私盾牌(“隐私盾牌“)从欧盟到美国的个人数据转移Companies electing to certify under the Privacy Shield with the U.S. Department of Commerce will be recognized by the EU as providing an adequate level of protection for personal data transferred from the EU to the U.S. The Privacy Shield, which was采用2016年7月12日由欧盟委员会取代了欧盟 - 美国。安全的港口框架,由欧洲联盟法院无效(“CJEU.“)2015年10月6日。Certifying under the Privacy Shield requires U.S. entities to undertake certain steps and assessments to verify that they can comply with the Privacy Shield principles for the data that they transfer from the EU, such as having a Privacy Shield-compliant privacy policy, giving people choice about how their data will be used, implementing data protection controls, selecting a third party to adjudicate individual privacy complaints, and verifying that vendors and service providers they allow to access the data also follow equivalent principles. Failure to comply with the principles can subject the companies to investigations and liability from the FTC (or Department of Transportation for entities regulated by that agency).

DPA NRW提出了以下问题,即美国公司应该考虑:

1.独自隐私盾牌可能不足以转移个人数据

根据指导,考虑在国外的个人数据转移的欧洲公司必须进行两步评估数据隐私合规性。

首先,必须有一个与欧盟成员国当地法律一致的转让的法定基础,截至2018年5月,也是如此随着欧盟一般数据保护规范。其次,欧盟公司持有的个人数据只能转移到具有与欧盟保护的保护相当的充分高水平的数据保护。

但是,隐私盾牌只解决了后者。更具体地说,欧盟委员会2016年7月12日的充足决定召开了隐私盾牌以上的美国公司提供了足够的保护水平。

几乎,这是什么意思?除了隐私盾牌认证外,美国公司还需要与其与其欧盟合作伙伴进行数据处理协议,以满足适用于数据处理协议的相关欧盟成员国法定条款。此类法定条款的一个例子是德国联邦数据保护法案的第11条,其中载有关于数据处理协议内容的相当详细要求。特别是,它要求双方同意处理器已实施的相当具体的技术和组织措施,以保护要处理的数据的安全性。

2.数据控制器根据隐私盾牌转移个人数据有额外的职责

在指导下,即使美国公司是隐私盾牌认证,数据控制器仍然负责独立验证数据隐私保护是否得到维护。这意味着在将个人数据转移到隐私盾牌之前,请在Certified U.S.公司中,数据控制器必须确认:

  • 隐私盾证实实际存在;
  • 隐私盾构认证是最新的(必须每年更新认证);和
  • 数据控制者打算转移的个人数据是由认证涵盖的

因此,美国公司应该期望数据控制人员将要求美国公司有关这些积分的问题,并且可能要求美国公司证明它符合有关数据主体的隐私义务。为了验证隐私盾牌认证的状态,美国商务部保留并更新认证公司列表https://www.privacyshield.gov/list.

对于使用九个月宽限期的美国公司遵守隐私盾牌的上行转移原则,指导表明欧盟数据控制人应当有美国公司在完成遵守前进转移原则时确认。For U.S. companies, this will underscore the importance of reviewing, and where necessary updating, vendor and service provider contracts to ensure compliance with the Privacy Shield’s onward transfer principle by, among other things, contractually restricting the vendor or service provider’s data processing activities and requiring protection consistent with the Privacy Shield Principles.

3.员工数据很特别

隐私盾牌包含有关雇员数据转移的特殊规定。如果隐私盾构认证涵盖员工数据,公司必须同意就此类数据合作并遵守欧盟DPA。这意味着这些数据的使用仍然仍然存在于欧盟法律的约束,并由关于使用数据的数据的投诉将由EU DPA裁定。此外,以下原则也必须遵循欧盟公司将员工数据转移给美国:

  • 隐私盾构选择的原则可能受到欧盟成员国的一般适用法规的影响,这些规定不允许继续处理员工数据以外的目的而被收集的目的。欧盟数据控制器(例如,通常,使用实体)可能进一步将美国公司从此类用途中限制,并要求合同限制。
  • 美国公司和/或数据传输欧盟实体(雇主)需要尊重雇员的行使他/她的选择权,以防止其个人数据,并且不得以任何方式抵消员工的不利。
  • 如果需要对员工数据的特定保护,则必须采取适当的措施,例如,应考虑假义或数据的匿名化。

隐私盾牌可能不是一个长期解决方案。

尽管提高各种问题关于欧盟/美国。隐私盾牌,DPA NRW同意给计划一年以解决这些问题。在这个初期之后,第29条工作组计划审查是否已经解决了其关切,以及隐私盾牌是否有效和运作。根据本年度评估的结果,DPA NRW保留重新评估和潜在地停止隐私盾牌的权利。因此,美国公司依靠隐私盾牌应仔细称量它提供的不确定性作为长期解决方案。

与此同时,DPA NRW指导指出,该评估的结果也将对其他跨大西洋数据流量的影响产生影响,例如绑定公司规则和欧盟模型的合同条款,这些条款当前同样在审查下。

有关隐私盾牌的更多详细信息,或帮助探索贵公司是否适合,请联系任何orrick网络安全和隐私团队的成员。

欧盟 - 美国。隐私盾牌:公司现在可以证明

隐私盾牌

截至8月1日英石,2016年,美国现在可以加入安全港继承人欧盟 - 美国。隐私盾牌(“隐私盾牌“)从欧盟到美国的个人数据转移

这篇文章提供了高级摘要,公司应该考虑隐私盾牌。

背景:

2016年7月12日,欧洲委员会(“)委员会“)正式采取了实施隐私盾牌所需的充分性决定。这意味着根据欧盟法律的隐私盾牌要求将个人数据从欧盟转移到美国。隐私盾取代了欧盟 - 美国。安全的港口框架,这是由欧盟司法法院无效(“CJEU.“)2015年10月6日。

阅读更多

欧盟 - 美国。欧洲委员会推出的隐私盾牌

欧盟 - 美国隐私盾牌

在收到欧盟成员国的批准后,通过第31条委员会,上周五,欧洲委员会今天,7月12日TH.,2016年,正式采取了实施欧盟 - 美国所需的充分性决定。隐私盾牌(决定)。

该决定将于今天向会员国通报,因此将立即生效。

由于对美国公共当局访问个人数据的持续担忧,过去几个月的采用过程已经停滞不前。您可以阅读我们的一些问题以前的博客文章

欧洲委员会已收到美国,并在美国批量收集数据,加强申诉司机机制,并更明确地对公司进行了更明确的义务的同意和改进。至少目前,这些承诺和澄清已经足以消除欧盟成员国。

隐私盾受到年度审查机制。

阅读更多

欧盟 - 美国。欧盟成员国批准的隐私盾牌

避风港

今天欧盟美国。隐私盾牌被欧盟成员国批准,该国集团为欧洲委员会提供了欧洲委员会的阶段,以授予隐私盾牌作为欧盟 - 美国的基础。个人数据转移。

这一发展遵循本次顾问党的隐私盾的批评,该委员会由欧盟隐私监管机构组成的咨询小组。我们总结了先前的主要批评博客帖子。工作方正在回应草拟充足决定欧洲委员会于2016年2月29日发布,我们总结了这里。隐私盾牌的修订旨在解决工作组的批评,但如果批评已完全反映,则尚不清楚。

阅读更多

欧盟美国隐私盾牌可能毕竟可能不是

数据隐私

对于依托跨大西洋数据流动的公司来说,再次,从欧洲转移到美国的个人数据转移,由第29条工作组(“工作组”),这是欧盟隐私的有影响力的委员会监管机构。自从欧盟 - 美国以来。安全港框架于2015年10月宣布欧盟司法法院宣布无效,公司必须找到合法转移个人数据的替代方式。2016年2月29日,欧盟委员会提出了“欧盟美国。隐私盾牌“作为安全港框架的替代品和潜在的解决方案。

阅读更多