欧洲数据保护委员会发布有关从欧洲经济区出口个人数据的建议

2020年12月1日 隐私权,网络安全&技术法观点 博客
作者: 亚伦·坦特尔夫 珍妮佛 史蒂文·米伦多夫 塞缪尔·D·戈德斯蒂克 亚伦·T·玛格瑞吉 克里斯托弗·斯威夫特

由于许多组织继续努力应对2020年7月以来的影响 Schrems II决定 来自欧洲法院(“CJEU”),11月,欧洲数据保护委员会(“EDPB”)发布了两篇相互关联且备受期待的指南,涉及从欧洲经济区(“EEA”)的国家/地区,这些国家/地区尚未被视为对GDPR规定的个人数据以及数据主体的权利和自由提供充分的保护。该指南将在2020年12月21日之前接受公众咨询。

在Schrems II案中,欧洲法院解释了美国国家情报机构进行监视活动的能力是否与GDPR中描述的数据传输机制在传输给美国时对个人数据提供足够保护的要求相抵触。状态。虽然欧洲法院只是使欧盟-美国无效。隐私保护机制,它建议其他传输机制也未能提供所需的“本质上等效”保护级别,并建议需要一些未指定的附加保护,以使此类转让可以接受。 EDP​​B ’该指南旨在为组织提供逐步框架,以评估此类转移的转移机制的充分性,并描述E.U可能(但不能保证)接受的其他保护措施。监管机构。

的 EDP​​B Guidance

第一指导 描述了四个基本保证(“Essential Guarantees”) that must be satisfied when personal data is transferred to another country and processed in a way that could conflict with the privacy guarantees described in the GDPR (such as processing for national security purposes). In addition to analyzing the law in the third country, the EDP​​B recommends that the following four specific 基本保证 be assessed together as a whole because they are closely interlinked:

  1. 处理应基于清晰,准确和可访问的规则 (例如,处理的法律依据必须基于适用法律);
  2. 必须证明所追求的合法目标的必要性和相称性 (例如,适用的法律中必须存在这些目标,以帮助减少干扰基本隐私权的风险);
  3. 应该存在一个独立的监督机制 (例如,通过法官或其他独立机构,例如行政机关或议会机构提供的独立,公正的监督系统);和
  4. 个人需要有效的补救措施 (例如,有效满足隐私权的法律救济)。

基本保证虽然有帮助,但不能为组织提供快速或简便的答案来解决第三国是否’法律会干扰欧盟’s citizen’基本的隐私权。评估第三方国家/地区需要时间’法律适用于组织’的运作方式以及此类法律与GDPR的比较方式。例如,将个人数据转移到美国的组织将需要确定第702节FISA和第12333号行政命令是否适用于美国的组织,以及这些要求是否可能会干扰欧盟。公民’基本隐私权以及上述四个基本保证是否得到满足。总而言之,组织将需要评估接收欧盟的所有国家/地区的隐私法。公民’的个人数据,以确定符合这些复杂EDPB建议的最佳实用解决方案。 

第二条指导 为组织提供六步框架,以确定GDPR中描述的现有数据传输机制(包括具有约束力的公司规则,标准合同条款以及将来批准的任何行为准则和认证)是否可以满足上述基本保证,并确保遵守“本质上等效”欧洲法院在Schrems II决定中定义的个人数据保护级别。该指南要求组织评估以下内容:

  1. 进行并记录拟议转让的数据映射。  将所有个人数据传输映射到EEA之外。数据导出者必须知道数据将要去哪里,如果数据得到了充分的保护, 包括受让人可能在EEA之外进行的所有其他后续数据传输。传输的数据仅限于“适当,相关且仅限于必要条件。 。 。用于转让的目的。 。 。并处理”。此数据映射练习必须考虑对数据的所有访问,包括可能位于EEA外部的过程,例如远程备份,支持和工作人员。 
  2. 选择传输工具。 除非转移到有充分确定权的第三国,否则数据出口商必须在标准合同条款(“SCCs”),具有约束力的公司规则,行为准则,认证方法或临时合同条款。 
  3. 评估第三国’的数据保护法。 第三国的法律是否会影响转让工具的有效性’保护和保障措施?有效性意味着第三国为数据提供的保护水平与GDPR所提供的保护水平相当。 此步骤可能要求当事方通过考虑基本担保来分析此类法律是否实际上阻碍了保障措施的有效性,从而规定了转让方可以评估的程序。“是否有监视措施。 。 。由第三国家的公共当局负责。 。 。可以认为是合理的干扰。”
  4. 采取补充措施。 The data exporters are responsible for assessing the effectiveness of the transfer tools on an ongoing and case-by-case basis. If the assessment reveals that the transfer tools do not provide a level of protection equivalent to that enjoyed in the 欧洲经济区, data exporters may adopt supplemental measures in the form of technical, contractual, or organizational measures.
  5. 所需的手续。 If it is necessary to adopt supplementary measures in the form of modified 鳞状细胞癌 or supplemental measures that contradict the 鳞状细胞癌, data exporters must have the supervisory authorities review and approve.
  6. 正在进行的审查。 必须定期对保护级别进行重新评估和连续监控,以证明责任。 

In addition to the six-step assessment process described above, the EDP​​B also suggested that companies adopt, and require the receiving organization to adopt, following technical, procedural, and administrative controls to provide the required level of protection:

  • 使用加密。 的 EDP​​B guidelines all but make encryption a mandatory tool to safeguard personal data from the 欧洲经济区, provided that there is no legal obligation to provide the encryption key to a government authority.
  • 假名化。 GDPR第32条特别提到了这种保护方法,以作为充分保护个人数据的一种措施。但是,仅当接收方不需要知道数据主体的身份以正确处理个人数据时,此选项才有用。组织还应该考虑收件人通过查看假名化数据来重新标识数据主体的可能性。
  • 透明度和尽职调查。 数据导入者应致力于充分了解其国家监视法律及其对建议的个人数据传输的潜在影响。该指南还建议数据导入者应承诺在法律许可的范围内就政府当局提出的任何请求提供尽可能多的通知,如果收到此类请求,将会遵循任何限制/程序。
  • 审核要求。 的 EDP​​B guidance suggests that data exporters should require data importers to submit to privacy audits to verify whether or not the data importer provided E.U. personal data to government authorities. This is likely to be impractical for most large U.S. cloud service organizations as it's more likely that organizations will only be willing to provide the results of independent third party audits.
  • Use of a Warrant 金丝雀 method. 的 EDP​​B guidance suggests that organizations publish a cryptographically signed message to the data exporter on a regular basis for as long as the organization has not received a request from a governmental authority for access to personal data. However, the use of this “canary”当订单阻止披露订单的存在(例如FISA订单中规定的堵漏限制)时,可能证明是不可能的。

结论

EDP​​B指南很详细,包含组织应考虑阅读的其他建议和指南。随着Schrems II之后尘埃落定,组织应继续审查监管机构的指导并定期审核以确保遵守数据安全义务。从欧盟(通过SCC,具有约束力的公司规则或其他方式)传输数据的组织将承受更大的压力,以确保遵守这些传输机制的适用条款和任何已实施的补充措施。各组织还应注意,欧盟委员会已提议对 鳞状细胞癌,这可能对数据导出者和数据导入者都承担额外的义务。

For questions or additional information on this topic, please contact any of the authors or your 佛利 relationship partner. 

该博客由Foley提供& Lardner LLP (“Foley” or “the Firm”) for informational purposes only. It is not meant to convey 该公司’s legal position on behalf of any client, nor is it intended to convey specific legal advice. Any opinions expressed in this article do not necessarily reflect the views of 佛利 & Lardner LLP, its partners, or its clients. Accordingly, do not act upon this information without seeking counsel from a licensed attorney. This blog is not intended to create, and receipt of it does not constitute, an attorney-client relationship. Communicating with 佛利 through this 网站 by email, blog post, or otherwise, does not create an attorney-client relationship for any legal matter. 的 refore, any communication or material you transmit to 佛利 through this blog, whether by email, blog post or any other manner, will not be treated as confidential or proprietary. 的 information on this blog is published “AS IS” and is not guaranteed to be complete, accurate, and or up-to-date. 佛利 makes no representations or warranties of any kind, express or implied, as to the operation or content of the site. 佛利 expressly disclaims all other guarantees, warranties, conditions and representations of any kind, either express or implied, whether arising under any statute, law, commercial use or otherwise, including implied warranties of merchantability, fitness for a particular purpose, title and non-infringement. In no event shall 佛利 or any of its partners, officers, employees, agents or affiliates be liable, directly or indirectly, under any theory of law (contract, tort, negligence or otherwise), to you or anyone else, for any claims, losses or damages, direct, indirect special, incidental, punitive or consequential, resulting from or occasioned by the creation, use of or reliance on this site (including information and other content) or any third party 网站s or the information, resources or material accessed through any such 网站s. In some jurisdictions, the contents of this blog may be considered Attorney Advertising. If applicable, please note that prior results do not guarantee a similar outcome. Photographs are for dramatization purposes only and may include models. Likenesses do not necessarily imply current client, partnership or employee status.

相关服务

见解

FedRAMP帮助安全的云部署!
2021年1月16日
互联网,IT& e-Discovery 博客
OCR HIPAA审计发现的关键发现和要点
2021年1月15日
今日卫生保健法
一项新议程:预计2021年美国环境政策将发生重大变化
2021年1月14日
2020选举资源中心
第14集:经济学101:了解反托拉斯和提供者交易的工具
2021年1月14日
今日卫生保健法
Telehealth21峰会虚拟会议
2021年3月23日至24日
虚拟会议
美国中风协会国际中风会议
2021年3月17-19日
虚拟会议
校园能源资产货币化
多个日期
网络研讨会系列
佛罗里达律师协会健康法科高级健康法主题与认证审查2021
2021年3月10日
网络研讨会