文章分类
2022年12月13日,欧盟委员会启动了通过《欧盟-美国数据隐私框架》(EU-U.S.Data Privacy Framework)充分性决定的进程,该框架将促进安全的跨大西洋数据流,并解决欧盟法院在2020年7月Schrems II裁决中提出的关注。
今天的决定草案是在拜登总统于2022年10月7日签署了一项美国行政命令,以及美国司法部长梅里克·加兰德(Merrick Garland)发布的条例之后发布的。这两项文书将冯德莱恩总统和拜登总统于2022年3月宣布的原则性协议纳入美国法律。
充分性决定草案反映了委员会对美国法律框架的评估,并得出结论,该草案提供了与欧盟类似的保障措施,现已发布并提交给欧洲数据保护委员会(EDPB)征求其意见。该决定草案的结论是,美国确保对从欧盟转移到美国公司的个人数据提供充分的保护。
关键要素
美国公司将能够加入《欧盟-美国数据隐私框架》,承诺遵守一系列详细的隐私义务,例如,当个人数据不再出于收集目的而需要删除时,要求删除个人数据,并确保与第三方共享个人数据时保护的连续性。如果欧盟公民的个人数据被违反《框架》处理,包括在独立的争端解决机制和仲裁小组面前免费处理,他们将从几种补救途径中受益。
此外,美国法律框架规定了美国公共当局获取数据的若干限制和保障措施,特别是出于刑事执法和国家安全目的。这包括美国行政命令引入的新规则,该规则解决了欧盟法院在Schrems II判决中提出的问题:
美国情报机构对欧洲数据的访问将仅限于保护国家安全所必需和相称的内容;
欧盟个人将有可能在独立和公正的补救机制(包括新设立的数据保护审查法院)前,就美国情报机构收集和使用其数据获得补救。法院将独立调查和解决欧洲人的投诉,包括采取有约束力的补救措施。
欧洲公司在使用其他传输机制(如标准合同条款和有约束力的公司规则)时,也可以依靠这些保障措施进行跨大西洋数据传输。
接下来的步骤
适当性决定草案现在将通过其通过程序。作为第一步,委员会向欧洲数据保护委员会(EDPB)提交了决定草案。之后,委员会将寻求由欧盟成员国代表组成的委员会的批准。此外,欧洲议会有权对充分性决定进行审查。一旦这一程序完成,委员会就可以着手通过最终的充分性决定。
欧盟委员会、欧洲数据保护机构和美国主管机构将定期审查欧盟-美国数据隐私框架的运行情况。第一次审查将在充分性决定生效后一年内进行,以验证美国法律框架的所有相关要素是否已充分实施并在实践中有效运行。
背景
《一般数据保护条例》第45(3)条授权委员会通过实施法案决定非欧盟国家确保“适当的保护水平”,即对个人数据的保护水平基本上等同于欧盟内部的保护水平。充分性决定的效果是,个人数据可以自由地从欧盟(以及挪威、列支敦士登和冰岛)流向第三国,而不会受到进一步的阻碍。
在欧盟法院宣布先前关于欧盟-美国隐私保护盾的充分性决定无效后,欧盟委员会和美国政府就解决法院提出的问题的新框架进行了讨论。
2022年3月,在首席谈判官、雷恩德斯委员和雷蒙多部长之间进行了激烈谈判后,冯德莱恩总统和拜登总统宣布原则上就新的跨大西洋数据传输框架达成协议。2022年10月,拜登总统签署了一项关于“加强美国信号情报活动保障措施”的行政命令,该命令得到了美国司法部长通过的法规的补充。这两项文书共同将美国的承诺落实到美国法律中,并补充了美国公司的义务。在此基础上,委员会目前正在就欧盟-美国数据隐私框架提出一份充分性决定草案。
一旦通过充分性决定,欧洲实体将能够向美国的参与公司传输个人数据,而无需实施额外的数据保护保障措施。
- 登录 发表评论