イントロ
2020年7月16日、欧州司法裁判所(CJEU)は、SchremsIIとして知られるケースC-311 / 18の判決を下しました。CJEUは、EU-USプライバシーシールドを無効にする必要があると判断しました。同様に、EUから第三国へのデータの転送を許可する法的手段である標準契約条項(SCC)は有効であると認識されています。
EU-USプライバシーシールド
EU-USプライバシーシールドは、規制原則を順守した組織が個人データをEUから米国に転送できるようにする「適切な」メカニズムでした。
次は何ですか?
この記事の執筆時点では、CJEUの判決により、EUと米国のデータ転送は途方に暮れています。明らかに、プライバシーシールドは使用できなくなりましたが、SCCがEUと米国、または効果的な国内監視システムを備えた他の国との間のデータ転送に引き続き有効かどうかについては、多くの疑問が残ります。
よくある質問:
この決定によって影響を受けるGDPRの責任は何ですか?
この決定は、EU市民からEU以外の国へのデータ転送に対する管理者とデータ処理者の責任に関するものです。このような転送は、一定レベルの保護を提供する必要があるため、特別な「転送メカニズム」を使用する必要があります。
- 妥当性:このソリューションは、欧州委員会の見解で適切なレベルのデータ保護を提供する国または地域への無制限のデータ転送を可能にします。そのような国には、アンドラ、アルゼンチン、カナダ(PIPEDAのみ)、ファロー諸島、ガーンジー、イスラエル、マン島、日本、ジャージー、ニュージーランド、スイス、ウルグアイが含まれます。妥当性に関するすべての決定は、GDPRの発効後に現在検討されています。
- Appropriate Safeguards: GDPR , . Schrems-II, , « » GDPR. Standard Contractual Clauses (SCC), . , , .
- Binding Corporate Rules (BCR): GDPR . BCRs EDPB. Schrems-II BCR « » GDPR .
- : GDPR 49, . , , . .
GDPR?
年収の最大4%または2,000万ユーロのいずれか高い方。さらに、DPA(Data Protection Authority)は、自国から米国へのデータの転送を一時停止する権利を有します。
現在のEU-USプライバシーシールド認証をどうする必要がありますか?
米国商務省(DOC)は、プライバシーシールドは引き続き機能すると述べており、メンバーは引き続きプライバシー義務を守ることを期待しています。US DOC、欧州委員会、欧州データ保護委員会(EDPB)は、プライバシーシールドの後継者を作成する意向を示しています。プライバシーシールドに残っている企業は、一度設立された後継者への移行を簡素化できます。
EU-USプライバシーシールド内での以前のデータ転送は影響を受けますか?
以前のすべてのデータ転送は、引き続きEU-USプライバシーシールドの対象となります。
猶予期間はありますか?
EDPBは、猶予期間がないことを示すガイダンスを発行しました。EU-USプライバシーシールドが無効になっていることを考えると、これまでEU-USプライバシーシールドを使用してデータを転送した企業は、過度の遅延なしにデータを転送するための代替の法的根拠を見つける必要があります。
EU-USプライバシーシールドを終了したい。私は何をする必要がありますか?
EU-US PRIVACY SHIELDを離れる場合は、米国で確立されている手順に従う必要があります。
会社のプライバシーポリシーを更新する必要がありますか?
現時点では、プライバシーシールドのメンバーとしてプライバシーポリシーを変更しないことをお勧めします。現在、EEAの外部にデータを転送するための法的根拠としてプライバシーシールドに依存していることを(GDPRに基づくデータエクスポーターとして)述べていない限り、変更の根拠または規制ガイダンスはありません。
私の組織のプライバシーポリシーでは、EUから米国へのデータ転送を合法化するためにEU-USプライバシーシールドを使用することが明確に規定されていますが、この通知を削除する必要がありますか?
ポリシーを更新する必要があり、使用している代替案を示す必要があります。また、組織がSchrems-IIの決定に基づいて決定を検討しているという一時的な通知を含めることを検討することもできます。
standard contractual clauses?
米国当局が国家安全保障の目的でデータを収集および/またはアクセスしない限り、米国のデータ輸入者が特定の処理義務を果たすことができるかどうかに応じて、SCCをケースバイケースで使用できます。これは、第三国のデータエクスポーターとデータインポーターの両方がすべてのSCC要件を満たすことができるようにするための証明の負担が増大したことを意味します。データインポーターは、GDPRのすべての基本原則に完全に準拠することも確認する必要があります。これはまた、データの輸入者と輸出者が第三国の法律を評価して、たとえば、EU市民の権利の妨害につながる可能性のある監視法の対象であるかどうかを確認する必要があることを意味します。もし、そうなら、このような場合、送信はSCCに基づくことはできません。これはBCRにも同様に当てはまります。その文書の中で、EDPBは、法的な中断のないデータ転送を保証するために、SCCを補完するために講じることができる法的、技術的、および組織的措置に関するさらなるガイダンスを提供することを示しました。
EUの個人データを処理する米国の企業から米国内の他の企業(クラウドプロバイダーなど)へのデータの転送はどうですか?
その後のEEA諸国からの個人データの転送は、GDPRによって設定されたデータ保護基準に従って処理する必要があります。データエクスポーターは、彼がデータコントローラーである完全なデータ処理チェーンを担当します。データインポーターがGDPRに含まれる基準と適用可能な転送メカニズムに準拠できることを保証できない場合は、追加の保護手段について合意する必要があります。これが不可能な場合、データ送信は不可能です。
米国の会社がサーバーをEUに移動する場合でも、データ転送メカニズムは必要ですか?
これは、データが社内でどのように処理されるかによって異なります。データがEU内のサーバーに保存され、EUからのみアクセスされる限り、データ転送メカニズムは必要ありません。ただし、EUの外部からデータにアクセスするとすぐに、データ処理が実行され(GDPR第4条(2)で定義)、データの転送も構成されるため、転送メカニズムを使用する必要があります。さらに、企業がFISAセクション702およびEO 12333を含むがこれらに限定されない米国の監視法の対象である場合、EUサーバーの使用は保護が保証されません。
米国政府の介入が発生する可能性がある場合、暗号化は十分な緩和策になるでしょうか。
暗号化は優れたセキュリティメカニズムです。つまり、データを傍受することはできません。ただし、米国政府が個人情報にアクセスできるようにするメカニズムは他にもあります。最終的に、データセットは、他の関係者がアクセスしたときに復号化できます。
他の転送方法はまだ有効ですか?
GDPRに含まれるすべてのデータ転送メカニズムは引き続き有効です。CJEUは、決定の1つ(EU-USプライバシーシールド)を取り消し、他の送信メカニズムを使用するためのより厳しい評価基準を確立しました。
SWISS-USプライバシーシールドは取り消されましたか?
番号。
これらのプロセスはBrexitと英国にどのような影響を及ぼしますか?
言うには時期尚早です。移行期間が終了するまで(現在は2020年12月31日まで)、英国は引き続きGDPRを変更せずに適用します。次に来るのは、英国と欧州委員会の間の交渉の主題です。
規制当局はこの決定についてどのようにコメントしていますか?
欧州データ保護委員会(EDPB)、
「施行に関する情報や転送に関するアドバイスはありません。続くさらなる分析 "。米国商務省、
「商務省は、裁判所がEU-USプライバシーシールドの根底にある欧州委員会の妥当性の決定を無効にしたように見えることに深く失望していますが、その実際的な影響を完全に理解する決定をまだ検討中です。」個人データ保護のためのポーランドの検査官総長-GIODO、
「管理者は、国境を越えたデータ転送の一環として保証されたデータ保護のレベルを個別に評価する必要があります。これには、データの輸出業者と輸入業者の間で合意された契約条項だけでなく、3分の1の法的条項も考慮に入れる必要があります。国、特にその国の公的機関による送信されたデータへのアクセスの可能性に関して。さらなるガイダンスはEDPBを介して続きます "。エストニアのデータ保護検査官、
«When transferring personal data to any third country with an insufficient level of data protection, it must be borne in mind that it is also important to be convinced of the third country’s adequate level of protection of personal data. Therefore, EU companies must always assess the European Commission’s data protection clauses themselves. The assessment must determine whether the protection of Europeans’ personal data can be protected in the future or in the future by ensuring data protection clauses. If the protection of personal data cannot be guaranteed, the transfer of data must be suspended. If it is desired to continue the data transfer, another appropriate safeguard must be found».