مقدمة
في 16 يوليو 2020 ، أصدرت محكمة العدل الأوروبية (CJEU) حكمها في القضية C-311/18 ، المعروفة باسم Schrems II. وقضت CJEU بأنه يجب إبطال درع الخصوصية بين الاتحاد الأوروبي والولايات المتحدة. في المقابل ، تعتبر البنود التعاقدية القياسية (SCCs) ، وهي أداة قانونية تسمح بنقل البيانات من الاتحاد الأوروبي إلى دول أخرى ، صالحة.
درع الخصوصية بين الاتحاد الأوروبي والولايات المتحدة
كان درع الخصوصية بين الاتحاد الأوروبي والولايات المتحدة آلية "كفاية" تسمح للمنظمات التي تلتزم بالمبادئ التنظيمية بنقل البيانات الشخصية من الاتحاد الأوروبي إلى الولايات المتحدة.
ماذا بعد؟
في وقت كتابة هذا التقرير ، ترك حكم CJEU عمليات نقل البيانات بين الاتحاد الأوروبي والولايات المتحدة في طي النسيان. من الواضح أنه لم يعد من الممكن استخدام Privacy Shield ، ولكن تظل العديد من الأسئلة حول ما إذا كانت SCCs تظل صالحة لعمليات نقل البيانات بين الاتحاد الأوروبي والولايات المتحدة أو الدول الأخرى التي لديها أنظمة مراقبة وطنية فعالة.
أسئلة وأجوبة:
ما هي مسؤوليات اللائحة العامة لحماية البيانات التي يتأثر بها هذا القرار؟
يتعلق القرار بمسؤولية وحدات التحكم ومعالجي البيانات عن نقل البيانات من مواطني الاتحاد الأوروبي إلى دول خارج الاتحاد الأوروبي. يجب أن يوفر مثل هذا النقل مستوى من الحماية ، وبالتالي يتطلب استخدام "آلية نقل" خاصة ، بما في ذلك:
- الملاءمة : يسمح هذا الحل بنقل البيانات بشكل غير مقيد إلى بلد أو منطقة توفر مستوى مناسبًا من حماية البيانات في رأي المفوضية الأوروبية. وتشمل هذه البلدان: أندورا والأرجنتين وكندا (PIPEDA فقط) وجزر فارو وجيرنسي وإسرائيل وجزيرة مان واليابان وجيرسي ونيوزيلندا وسويسرا وأوروغواي. تتم حاليًا مراجعة جميع القرارات بشأن الملاءمة بعد دخول اللائحة العامة لحماية البيانات حيز التنفيذ.
- Appropriate Safeguards: GDPR , . Schrems-II, , « » GDPR. Standard Contractual Clauses (SCC), . , , .
- Binding Corporate Rules (BCR): GDPR . BCRs EDPB. Schrems-II BCR « » GDPR .
- : GDPR 49, . , , . .
GDPR?
ما يصل إلى 4٪ من الدخل السنوي أو 20 مليون يورو أيهما أعلى. بالإضافة إلى ذلك ، يحق لـ DPA (هيئة حماية البيانات) تعليق نقل البيانات من بلدهم الأم إلى الولايات المتحدة.
ما الذي يتعين علي فعله بشهادة درع الخصوصية الحالية بين الاتحاد الأوروبي والولايات المتحدة؟
صرحت وزارة التجارة الأمريكية (DOC) أن Privacy Shield ستستمر في العمل وتتوقع من الأعضاء الاستمرار في الوفاء بالتزامات الخصوصية الخاصة بهم. أشارت DOC الأمريكية والمفوضية الأوروبية ومجلس حماية البيانات الأوروبي (EDPB) إلى أنها تنوي إنشاء خليفة لـ Privacy Shield. يمكن للشركات المتبقية في Privacy Shield تبسيط انتقالها إلى خليفة بمجرد إنشائها.
هل ستتأثر عمليات نقل البيانات السابقة داخل درع الخصوصية بين الاتحاد الأوروبي والولايات المتحدة؟
تظل جميع عمليات نقل البيانات السابقة خاضعة لدرع الخصوصية بين الاتحاد الأوروبي والولايات المتحدة.
هل ستكون هناك فترة سماح؟
أصدر EDPB توجيهات تفيد بأنه لن تكون هناك فترة سماح. نظرًا لأنه تم إبطال درع الخصوصية بين الاتحاد الأوروبي والولايات المتحدة ، فإن الشركات التي استخدمت حتى الآن درع الخصوصية بين الاتحاد الأوروبي والولايات المتحدة لنقل البيانات ستحتاج إلى إيجاد أساس قانوني بديل لنقل البيانات دون تأخير لا داعي له.
أرغب في الخروج من درع الخصوصية بين الاتحاد الأوروبي والولايات المتحدة. ما الذي أنا بحاجة لفعله؟
إذا قررت مغادرة درع الخصوصية بين الاتحاد الأوروبي والولايات المتحدة ، فيجب عليك اتباع الإجراءات المعمول بها في الولايات المتحدة.
هل يجب علي تحديث سياسة الخصوصية الخاصة بالشركة؟
نوصي بعدم إجراء أي تغييرات على سياسة الخصوصية كعضو في Privacy Shield في الوقت الحالي. لا يوجد حاليًا أي أساس أو إرشادات تنظيمية لأي تغيير ، ما لم تكن قد صرحت (بصفتك جهة تصدير بيانات بموجب القانون العام لحماية البيانات) أنك تعتمد على Privacy Shield كأساس قانوني لنقل البيانات خارج المنطقة الاقتصادية الأوروبية.
تنص سياسة خصوصية مؤسستي بوضوح على أننا نستخدم درع الخصوصية بين الاتحاد الأوروبي والولايات المتحدة لإضفاء الشرعية على عمليات نقل البيانات من الاتحاد الأوروبي إلى الولايات المتحدة ، فهل يجب علينا إزالة هذا الإشعار؟
ستحتاج إلى تحديث السياسة ، وتحتاج إلى تحديد البديل الذي تستخدمه. يمكنك أيضًا التفكير في تضمين إشعار مؤقت يفيد بأن المنظمة تراجع قرارًا يستند إلى قرار Schrems-II.
standard contractual clauses?
طالما لم يتم جمع البيانات و / أو الوصول إليها من قبل السلطات الأمريكية لأغراض الأمن القومي ، يمكن استخدام SCC على أساس كل حالة على حدة اعتمادًا على ما إذا كانت جهة استيراد البيانات الأمريكية قادرة على الوفاء بالتزامات المعالجة المحددة الخاصة بها. هذا يعني أن عبء الإثبات لكل من جهة تصدير البيانات ومستورد البيانات في البلد الثالث قد ازداد لضمان قدرتهما على تلبية جميع متطلبات SCC. سيتعين على جهة استيراد البيانات أيضًا تأكيد امتثاله التام لجميع المبادئ الأساسية للائحة العامة لحماية البيانات. وهذا يعني أيضًا أنه سيتعين على المستورد والمصدر للبيانات تقييم تشريعات دولة ثالثة لمعرفة ، على سبيل المثال ، ما إذا كانوا يخضعون لقوانين المراقبة التي قد تؤدي إلى التدخل في حقوق مواطني الاتحاد الأوروبي. اذا نعم،في هذه الحالة ، لا يمكن أن يعتمد الإرسال على SCC. هذا ينطبق بشكل مشابه على BCR. في وثيقته ، أشار EDPB إلى أنه سيقدم المزيد من التوجيهات بشأن التدابير القانونية والتقنية والتنظيمية التي يمكن اتخاذها لاستكمال SCC من أجل ضمان نقل البيانات القانوني دون انقطاع.
ماذا عن عمليات نقل البيانات من الشركات الأمريكية التي تعالج البيانات الشخصية في الاتحاد الأوروبي إلى شركات أمريكية أخرى (مثل موفري السحابة)؟
يجب معالجة عمليات النقل اللاحقة للبيانات الشخصية الناشئة من أي من دول المنطقة الاقتصادية الأوروبية وفقًا لمعايير حماية البيانات التي حددتها اللائحة العامة لحماية البيانات. يعد مُصدِّر البيانات مسؤولاً عن سلسلة معالجة البيانات الكاملة التي يكون هو مراقب البيانات فيها. إذا لم تتمكن جهة استيراد البيانات من ضمان الامتثال للمعايير المضمنة في اللائحة العامة لحماية البيانات وآليات النقل المعمول بها ، فيجب الاتفاق على إجراءات حماية إضافية. إذا لم يكن ذلك ممكنًا ، فلن يكون نقل البيانات ممكنًا.
إذا كانت شركتي الأمريكية تنقل خادمًا إلى الاتحاد الأوروبي ، فهل ما زلت بحاجة إلى آلية لنقل البيانات؟
يعتمد ذلك على كيفية معالجة البيانات داخل الشركة. طالما يتم تخزين البيانات على خوادم في الاتحاد الأوروبي ولا يتم الوصول إليها إلا من الاتحاد الأوروبي ، فلا يلزم وجود آليات لنقل البيانات. ومع ذلك ، بمجرد الوصول إلى البيانات من خارج الاتحاد الأوروبي ، تتم معالجة البيانات (على النحو المحدد في المادة 4 (2) من القانون العام لحماية البيانات) ، والتي ستشكل أيضًا نقلًا للبيانات ، الأمر الذي يتطلب استخدام آليات النقل. بالإضافة إلى ذلك ، إذا كانت الشركة تخضع لقوانين المراقبة الأمريكية ، بما في ذلك على سبيل المثال لا الحصر قسم FISA 702 و EO 12333 ، فإن استخدام خادم الاتحاد الأوروبي ليس حماية مضمونة.
هل سيكون التشفير إجراء تخفيف كافيًا في حالة التدخل المحتمل للحكومة الأمريكية؟
التشفير هو آلية أمان جيدة ، مما يعني أنه لا يمكن اعتراض البيانات. ومع ذلك ، هناك آليات أخرى يمكن أن تمكن حكومة الولايات المتحدة من الوصول إلى المعلومات الشخصية. في النهاية ، يمكن فك تشفير مجموعة البيانات عند الوصول إليها من قبل أطراف أخرى.
هل طرق النقل الأخرى لا تزال صالحة؟
تظل جميع آليات نقل البيانات المضمنة في اللائحة العامة لحماية البيانات سارية المفعول. ألغت CJEU أحد القرارات (EU-US Privacy Shield) ووضعت معايير تقييم أكثر صرامة لاستخدام آليات الإرسال الأخرى.
هل تم إلغاء درع الخصوصية السويسري الأمريكي؟
لا.
ما هو تأثير هذه العمليات على خروج بريطانيا من الاتحاد الأوروبي والمملكة المتحدة؟
من السابق لأوانه معرفة ذلك. حتى نهاية الفترة الانتقالية (حاليًا حتى 31 ديسمبر 2020) ، ستستمر المملكة المتحدة في تطبيق اللائحة العامة لحماية البيانات (GDPR) دون تغيير. ما يأتي بعد ذلك هو موضوع مفاوضات بين المملكة المتحدة والمفوضية الأوروبية.
كيف يعلق المنظمون على هذا القرار؟
مجلس حماية البيانات الأوروبية (EDPB) ،
"لا توجد معلومات عن الإنفاذ أو المشورة بشأن عمليات النقل ؛ مزيد من التحليل لمتابعة ".وزارة التجارة الأمريكية ،
"في حين أن وزارة التجارة تشعر بخيبة أمل عميقة لأن المحكمة يبدو أنها أبطلت قرار الملاءمة الصادر عن المفوضية الأوروبية بموجب درع الخصوصية بين الاتحاد الأوروبي والولايات المتحدة ، ما زلنا ندرس القرار لفهم آثاره العملية بشكل كامل."المفتش العام البولندي لحماية البيانات الشخصية - GIODO ،
"يحتاج المتحكمون إلى إجراء تقييم فردي لمستوى حماية البيانات المضمون كجزء من عمليات نقل البيانات عبر الحدود ، والتي يجب أن تأخذ في الاعتبار ليس فقط الأحكام التعاقدية المتفق عليها بين المصدرين ومستوردي البيانات ، ولكن أيضًا الأحكام القانونية في البلد ، لا سيما فيما يتعلق بإمكانية وصول السلطات العامة في ذلك البلد إلى البيانات المنقولة. وسيتبع مزيد من الإرشادات عبر EDPB ".مفتشية حماية البيانات الإستونية ،
«When transferring personal data to any third country with an insufficient level of data protection, it must be borne in mind that it is also important to be convinced of the third country’s adequate level of protection of personal data. Therefore, EU companies must always assess the European Commission’s data protection clauses themselves. The assessment must determine whether the protection of Europeans’ personal data can be protected in the future or in the future by ensuring data protection clauses. If the protection of personal data cannot be guaranteed, the transfer of data must be suspended. If it is desired to continue the data transfer, another appropriate safeguard must be found».