复杂的画面变得更加复杂。在2015年10月的一项裁决使先前的《安全港》隐私协议无效之后,欧盟和美国之间的跨大西洋个人数据传输现在受到新的数据隐私合规义务的约束。对于企业而言,这意味着要学习的一组新规则和要遵循的一组新标准。

最新发展的背景可以追溯到1995年,并建立了欧盟数据保护指令(Directive 95/46 / EC)。制定该指令的目的是在保护个人隐私与欧盟内部个人数据自由流动之间取得平衡。该指令规定了有关个人数据收集和使用的限制,并要求每个成员国建立一个独立的国家机构来监督与处理个人数据有关的活动。

除其他事项外,该指令规定,个人数据只能从一个成员国转移到“第三国”(例如欧盟以外的国家),除非该国提供了适当的保护水平,但有某些例外情况。根据指令成立的第29条数据保护工作组(以下简称“第29条工作组”)与美国代表就欧盟和美国之间传输的个人数据的保护进行了谈判,因此,《安全港原则》由美国商务部于2000年7月发布。

安全港下的湍流

成立以来的数年里,安全港备受批评。批评的重点是美国公司在该计划下进行“自我认证”的能力,以及监管安全港的联邦贸易委员会(FTC)并不严格。确实,关于安全港的争议已经酝酿了多年,尤其是在爱德华·斯诺登(Edward Snowden)(前国家安全局的承包商)举报揭密之后,导致欧洲委员会要求对该计划进行审查。然后,2015年10月的一项划时代的裁决影响了整个合规环境。在Schrems诉数据保护专员一案中,欧洲法院宣布安全港框架无效。这实际上意味着根据安全港从欧洲成员国转移到美国的个人数据不再被认为受到了充分的保护,这一决定使将近4,500家通过安全港自我认证的公司处于不断变化的状态。

实际上,已经进行了一段时间的更新并以“ 2.0版本”替换“安全港”的努力,但是Schrems裁决要求采取紧急措施。欧盟数据保护当局(作为第29条工作组聚集在一起)设定了2016年1月31日为截止失效机制的最后期限,并要求欧盟和美国商务部开发新的解决方案。

The Introduction of the EU-U.S. 隐私Shield

2016年2月2日,欧盟委员会与美国商务部就一项新的跨大西洋个人数据传输协议达成了协议,该协议就是欧盟与美国之间达成的。隐私盾。的

欧盟委员会建议将新的隐私保护框架视为足以在欧盟成员国(可能是三个欧洲经济区成员,即挪威,列支敦士登和冰岛)与美国之间传输个人数据。

美国商务部将“隐私保护框架”描述为“体现美国和欧盟对隐私的新承诺,并确保其仍然是受到积极监督的有效框架,美国商务部,FTC和EU DPA [数据保护机构]将举行年度审查会议,以讨论“隐私盾”的功能和遵守情况。” (请参阅commerce.gov)。

声明的目的是加强FTC与欧盟数据保护机构之间的合作,对隐私保护框架中规定的数据保护要求进行独立,有力的执行。欧盟个人将有多种途径来解决问题,而这无需个人付出任何代价,并且可以选择与当地(国家)DPA合作解决投诉。此外,“隐私保护框架”还包括与美国政府对个人数据的访问有关的某些保障和透明性义务。美国政府首次向欧盟做出了书面承诺,其中包括国家情报局局长办公室的保证,即出于国家安全目的对公共数据的公共访问将受到明确的限制,保障和监督机制的约束。 。

隐私保护框架包括多项重大进步,以提高有关个人数据使用的透明度,加强参与者提供的保护,并对欧盟个人在该计划下享有的权利进行全面的教育。但这并非没有批评者。人们担心情报和执法人员会不受限制地访问消费者数据。该程序需要接受年度审查,这一事实引发了人们的疑问,即法律是否可以定期更改,或者是否像去年秋天那样完全被废除。

在欧盟-美国之前隐私保护盾可能具有约束力,除其他外,该框架将由第29条工作组审核,该工作组将提供不具约束力的意见,然后需要由欧盟委员会正式采用。此外,假设欧盟委员会正式认为“隐私保护盾”足够,那么“隐私保护盾”可能会在欧洲法院受到法律质疑。

最佳实践准则

显然,企业不能仅仅等待有关合法性的决定。尽管当前形势有些不稳定,但如果情况突然发生变化,则组织执行涉及来自欧盟的个人数据的数据传输的任务是确定并实施具有内置应急功能的强大计划。在此期间,第29条工作组已确认,仍可使用范本合同或具有约束力的公司规则将个人数据从欧盟转移到美国,其中涉及将个人数据从欧盟转移到美国的公司。应该根据这些临时措施,审查其政策和程序,以期在欧盟进行进一步改革,尤其是在新的《通用数据保护条例》正式制定之时,因为它将不仅影响在欧盟开展业务的公司,而且还将影响那些在欧盟开展业务的公司与欧盟消费者的业务。

Jayne Rothman is general counsel at Epiq系统