欧盟 - 美国隐私盾牌–更新和反响

 

隐私盾计划是由美国商务部国际贸易局(ITA)管理的,以使我们在美国的企业加入欧盟 - 美国隐私盾构框架。该程序使这些组织能够在转移跨大西洋商业的个人数据时符合必要的数据保护要求。

该计划主要是,该计划有助于美国组织向他们注册,自我认证关于公开遵守数据保护要求。这可确保他们的所有客户有关正在收集和转移的数据的顺利进行的。自我认证也成为美国法律下的可执行承诺。

欧盟委员会和瑞士政府还与瑞士转移个人数据同样实施瑞士美国隐私盾构框架。这些框架都分别评估了欧盟和瑞士法下的个人数据转移的充分性,并批准有效。欧盟委员会于2016年7月12日批准了它,瑞士政府于2017年1月12日批准了它。

更新

隐私盾构框架网站列出了以下的下面的更新 网站:

2020年7月16日,欧盟司法法院(CJEU)向2016年7月12日的欧洲委员会第2016/1250号决定(欧盟)发表了判决,该决定是2016年7月12日关于欧盟提供的保护的充分性我们隐私盾牌。由于该决定,欧盟美国。隐私盾牌框架不再是在将欧盟与美国转移到美国时的个人数据时符合欧盟数据保护要求的有效机制。该决定不缓解欧盟 - 美国的参与者。隐私盾牌在欧盟 - 美国下的义务。隐私盾构框架。

2020年9月8日,瑞士联邦数据保护和信息专员(FDPIC)发出了瑞士美国的意见。隐私盾构框架没有根据瑞士联邦数据保护法(FADP)的瑞士向美国提供足够的保护水平。由于这种意见,希望依靠瑞士美国的组织。隐私盾将从瑞士转移到美国的个人数据应寻求FDPIC或法律顾问的指导。这种意见并没有缓解瑞士美国的参与者。隐私盾牌在瑞士美国下的义务。隐私盾构框架。

2020年8月10日,来自美国商务秘书的联合新闻声明威尔堡·罗斯和欧洲司法委员会在公共领域提供的Reynders提供了“美国商务部和欧洲委员会已启动讨论来评估增强潜力的讨论欧盟隐私盾构框架以遵守欧洲联盟司法法院在施莱姆斯二案中判决。此外,在此,在2020年9月28日,美国政府也出现了一份白皮书,以协助组织帮助评估其关于欧盟 - 美国数据转移的合作,具体对此统治。

反响

对处理和转移欧盟和瑞士的个人数据的公司有严重的影响。他们现在一直审查大西洋的数据流量,这是适用的必要法,并需要确保合规性。换句话说,这些公司现在必须找到备用方式,以确保数据保护措施随着瑞士和欧盟 - 欧洲隐私盾牌无效。可能会对违规行为进行调查,然后如果被判犯有同样的罪行。

行动

这是需要组织评估他们的国际数据流程VIZ在GDPR下的需求并采取纠正措施。欧洲联盟已发出两套标准合同条款(SCC),用于从欧盟的数据控制器到欧盟或欧洲经济区(EEA)以外的数据控制器转移数据。还有一组合同条款用于欧盟控制器的数据转移到欧盟或欧洲截口区内建立的处理器。

组织 现在必须使用这些SCC来分析它们为他们正在进行的数据转移提供足够的保护程度。每个组织都可以做到这一评估,并采取措施来插入差距,如果有的话,并使客户和利益相关者通知同样的信息。这可能意味着根据GDPR要求,通过所有利益相关者将SCC的新保障和措施传递,包括涉及数据处理。

转移的绑定公司规则(BCR)仍然有效,这是组织可以探索的选项。但在采用这条路之前,必须评估和验证BCR的资本和验证。他们还可能还必须评估和修订所有适用的合同以反映这些变化。他们必须更新他们关于数据隐私的所有公报以及隐私盾牌均匀或提款。

另一种选择是获得明确的,具体和知情的同意 数据 在进行转移之前的主题。这适用于GDPR第49条,其中,如果转移是在数据主体和控制器之间的契约的性能所必需的情况下,则允许。这是第三个条款还指出,如果有必要获得公共利益的重要原因,则允许转移。但是,即使在这种情况下,它需要通过适当的法律考虑来完成。

重要的是,组织需要知道CJEU裁决中没有提供的宽限期。这意味着组织不能继续在隐私盾计划下进行数据转移到一定的时间,其中希望它得到解决。在必要的符合要求下,他们将对所有此类数据转移持责任,即立即效应,并不得不评估转让的法律依据。

美国商务部国际贸易管理部(ITA)继续管理隐私盾计划。根据隐私盾牌网站上市的常见问题,美国组织继续参加该计划显示其对数据和保护的承诺。还有希望退出该计划的组织提供的规定。撤回请求将按适当程序处理,并且必须遵守所规定的所有条件。

还应要求组织联系适当的欧洲国家数据保护机构或法律顾问,以答复他们对他们正在进行的措施的清晰度和充分性的答案。此步骤还可以帮助他们决定适当的替代数据传输机制。隐私盾牌网站也列出了一些 重点新要求 该组织需要遵守参加欧盟隐私盾计划。

除此之外,所有组织都需要监控正在发生的发展,因为讨论继续看待如何解决了如何解决足够的解决方案。