附原文 |《欧盟-美国数据隐私框架的充分性决定(草案)》发布,并启动通过程序
2022/12/15 14:29:46 数据法盟
每天两块钱,实时获取全球数据合规风险预警
整理:何渊,DPOHUB主理人转载请联系授权!
欧盟启动关于欧盟-美国数据隐私框架的充分性决定草案的通过程序
之前,关于欧盟-美国隐私保护盾的充分性决定于2016年7月12日获得通过,并允许将数据自由转移到根据隐私盾认证的美国公司。在2020年7月16日的判决中(C-311/18号案件),欧盟法院宣布该充分性决定无效。因此,欧盟-美国隐私盾不再是将个人数据从欧盟传输到美国的有效机制。
2022年12月12日,欧盟委员会启动了为欧盟-美国数据隐私框架通过充分性决定的程序,这将促进跨大西洋的数据流动,并解决欧盟法院在其Schrems II决定中提出的关切。过程包括获得欧洲数据保护委员会的意见和由欧盟成员国代表组成的委员会的同意。此外,欧洲议会对充分性决定有审查权。
充分性决定草案的提议是在拜登总统于2022年10月7日签署美国行政命令,以及美国司法部长梅里克-加兰发布的条例之后发布的。这两份文书将冯德莱恩主席和拜登总统在2022年3月宣布的原则协议落实到美国法律中。
今天,欧盟委员会启动了通过欧盟-美国数据隐私框架充分性决定的进程,这将促进安全的跨大西洋数据传输,并解决欧盟法院在其2020年7月的Schrems II决定中提出的关切。
充分性决定草案反映了委员会对美国法律框架的评估,并得出结论认为它提供了与欧盟相当的保障措施,现在已经公布并转交给欧洲数据保护委员会(EDPB)征求意见。该决定草案的结论是,美国确保了对从欧盟转移到美国公司的个人数据提供足够的保护。主要内容
美国公司可以加入欧盟-美国数据隐私框架,并承诺遵守一套详细的隐私义务,例如,要求在个人数据不再需要用于收集目的时,必须删除该数据,并在个人数据与第三方共享时确保保护的连续性。如果他们的个人数据的处理违反了该框架,欧盟公民将受益于几个免费的救济渠道,包括在独立的争端解决机制和仲裁小组。
此外,美国的法律框架规定了一些关于美国公共当局获取数据的限制和保障措施,特别是出于刑事执法和国家安全的目的。这包括美国行政命令引入的新规则,该命令涉及欧盟法院在Schrems II判决中提出的问题。
美国情报机构对欧洲数据的访问将被限制在保护国家安全的必要和相称的情况下。
欧盟个人将有可能就美国情报机构收集和使用他们的数据在一个独立和公正的救济机制中获得补救,这包括一个新成立的数据保护审查法庭。该法庭将独立调查和解决欧洲人的投诉,包括采取有约束力的补救措施。
欧洲公司将能够依靠这些保障措施进行跨大西洋的数据传输,在使用其他传输机制时也是如此,如标准合同条款和有约束力的公司规则。
接下来的步骤
充分性决定草案现在将进入其通过程序。作为第一步,委员会向欧洲数据保护委员会(EDPB)提交了其决定草案。之后,委员会将寻求一个由欧盟成员国代表组成的委员会的批准。此外,欧洲议会对适当性决定有审查权。一旦这一程序完成,委员会就可以着手通过最终的充分性决定。
欧盟-美国数据隐私框架的运作将受到定期审查,这些审查将由欧盟委员会与欧洲数据保护当局和美国主管当局一起进行。第一次审查将在充分性决定生效后一年内进行,以核实美国法律框架的所有相关要素是否已得到充分实施并在实践中有效运作。
背景介绍
GDPR第45(3)条授予欧盟委员会权力,通过实施法案决定非欧盟国家确保 "充分的保护水平",即对个人数据的保护水平基本上等同于欧盟内部的保护水平。充分性决定的效果是,个人数据可以自由地从欧盟(以及挪威、列支敦士登和冰岛)流向第三国,而没有进一步的障碍。
在欧盟法院宣布之前关于欧盟-美国隐私保护的充分性决定无效后,欧盟委员会和美国政府就解决法院提出的问题的新框架进行了讨论。
2022年3月,在主要谈判者Reynders委员和Raimondo部长的紧张谈判后,冯德莱恩主席和拜登总统宣布就新的跨大西洋数据传输框架达成原则协议。2022年10月,拜登总统签署了一项关于 "加强美国信号情报活动的保障措施 "的行政命令,并由美国司法部长通过的条例加以补充。这两份文书共同将美国的承诺落实到了美国法律中,同时也补充了美国公司的义务。在此基础上,欧盟委员会现在提出了一份关于欧盟-美国数据隐私框架的充分性决定草案。
一旦充分性决定获得通过,欧洲实体将能够向美国的参与公司转移个人数据,而不需要制定额外的数据保护保障措施。
Q& A
12月13日,欧盟委员会启动了通过欧盟-美国数据隐私框架充分性决定的程序,充分性决定草案的结论是,美国确保了对从欧盟转移到美国的个人数据的充分保护水平。这是基于对数据隐私框架本身及其对公司的义务的深入评估,以及对美国公共当局访问转移到美国的数据的限制和保障措施,特别是为刑事执法和国家安全目的。
1.什么是充分性决定?充分性决定是《通用数据保护条例》(GDPR)提供的工具之一,用于将个人数据从欧盟转移到第三国,根据欧盟委员会的评估,这些国家对个人数据的保护水平与欧盟相当。
由于充分性决定,个人数据可以自由和安全地从欧洲经济区(EEA)流向第三国,而不受任何进一步条件或授权的限制。换句话说,向第三国的转移可以用与欧盟内部数据传输相同的方式处理。
一旦充分性决定获得通过,欧洲实体将能够向美国的参与公司转移个人数据,而不需要设置额外的数据保护保障措施。
美国公司将能够通过承诺遵守一套详细的隐私义务(如目的限制和数据保留,以及有关数据安全和与第三方共享数据的具体义务)来证明其参与欧盟-美国数据隐私框架。
2. 评估充分性的标准是什么?
充分性并不要求第三国的数据保护系统与欧盟的系统完全相同,而是基于 "基本等同 "的标准。它涉及对一个国家的数据保护框架的全面评估,包括适用于个人数据的保护和可用的监督和补救机制。
欧洲数据保护机构已经制定了一份评估必须考虑的要素清单,例如是否存在核心数据保护原则、个人权利、独立监督和有效补救措施。
3.关于美国情报机构获取数据的限制和保障措施有哪些?
充分性决定草案所依据的美国法律框架的一个基本要素涉及拜登总统10月7日签署的行政命令。
对于个人数据被转移到美国的欧洲人,该行政命令规定:
具有约束力的保障措施,将美国情报部门对数据的访问限制在保护国家安全的必要和相称的范围内。加强对美国情报部门活动的监督,确保遵守对监视活动的限制;以及建立一个独立和公正的补救机制,其中包括一个新的数据保护审查法庭,以调查和解决有关美国国家安全当局获取其数据的投诉。行政命令要求美国情报机构审查其政策和程序,以实施这些新的保障措施。
4.美国国家安全领域的新补救机制与之前的隐私盾监察员有什么不同?
该行政命令以及相应的条例建立了一个新的两层补救机制,具有独立和有约束力的权力。
根据第一层,欧盟个人将能够向美国情报界所谓的 "公民自由保护官 "提出投诉。这个人负责确保美国情报机构遵守隐私和基本权利。
在第二层,个人将有可能就公民自由保护官的决定向新设立的数据保护审查法庭提出上诉。该法院将由来自美国政府以外的成员组成,他们根据特定的资格被任命,只能因故被解雇(如刑事定罪,或被认为在精神或身体上不适合执行任务),不能接受政府的指示。数据保护审查法庭将有权调查欧盟个人的投诉,包括从情报机构获取相关信息,并能做出具有约束力的救济决定。例如,如果数据保护审查法庭发现,数据的收集违反了行政命令中规定的保障措施,它将能够命令删除这些数据。
为了进一步加强法庭的审查,在每个案件中,法庭将选择一个具有相关经验的特别辩护人来支持法院,他将确保投诉人的利益得到代表,并确保法庭充分了解案件的事实和法律方面的情况。这将确保双方都有代表,并在公平审判和正当程序方面引入重要保障。
与隐私盾下存在的机制相比,这些都是重大改进。
5.该进程的下一步是什么?
充分性决定草案已转交给欧洲数据保护委员会(EDPB)征求意见。
之后,委员会将需要从一个由欧盟成员国代表组成的委员会获得同意。此外,欧洲议会对适当性决定有审查权。
只有在这之后,欧盟委员会才能通过最终的充分性决定,这将允许数据在欧盟和美国商务部在新框架下认证的美国公司之间自由和安全地流动。
6.在此期间,公司有哪些选择?
重要的是要记住,充分性决定不是国际转让的唯一工具。
公司可以在其商业合同中引入的标准条款,是最常用的从欧盟转移数据的机制。去年,欧盟委员会通过了现代化的 "标准合同条款",以促进其使用,包括考虑到法院在Schrems II判决中提出的要求。还为依靠标准合同条款传输数据的公司提供了实际指导。
美国政府在国家安全领域制定的所有保障措施(包括补救机制)将适用于根据GDPR向美国公司的所有传输,无论使用何种机制。
以下是《欧盟-美国数据隐私框架的适当性决定(草案)》全文:
联系微信:heguilvshi领取优惠券,加入会员
招募讲师:欢迎加入DPOHUB课程平台
平台介绍:数据合规权威平台之一,数据法盟和数据保护官的专业粉丝超过10万,学员超过2万。讲师收益:权威平台的免费宣传,塑造讲师个人职业品牌及影响力;收益共享权。申请条件:只要在数据隐私、安全及治理等方面具有落地经验或理论积累,都可以申请加入。授课方式:既可以是体系性课程(每讲20-30分钟),也可以是一次在线讲座(60-90分钟)。申请方式:请将“简历、课程名称及大纲”发送到微信:heguilvshi 或邮箱:11535782@qq.com
源网页 http://weixin.100md.com
返回 数据法盟 返回首页 返回百拇医药