Следващи стъпки за компании от ЕС и често задавани въпроси

Jul 20, 2020

Напълно наясно сме, че много администратори са смазани от неотдавнашното решение на Съда на ЕС относно трансферите на данни между ЕС и САЩ и липсата на гратисен период. По-долу сме обобщили най-често срещаните въпроси и отговори. Ние също така предоставяме два моделни текста на заявки, които можете да изпратите до всеки партньор от САЩ или до всеки партньор от ЕС с връзки в САЩ. Предприемането на бързи действия може да бъде релевантен фактор, ако ОЗД обмисли глоби за неспазване на решението на СЕС. Ще актуализираме тези често задавани въпроси и ще публикуваме конкретни често задавани въпроси и текстове на модели за потребители („субекти на данни“) през следващите дни. Уведомете ни, ако имате някаква обратна връзка.

Стъпки, които контролерите от ЕС трябва да предприемат

В съответствие с често задаваните въпроси относно EDPB относно решението "Schrems II", нашата предварителна препоръка е контролерите да предприемат следните стъпки:

  1. Прегледайте всичките си външни потоци от данни (включително към процесори или контролери от ЕС, които от своя страна могат да прехвърлят данни към обект извън ЕС) за потоци от данни към трети държави
  2. Идентифицирайте съответното правно основание (напр. Адекватност, член 49, Щит за поверителност, SCC и т.н.)
  3. Във връзка с 50 USC § 1881a (= FISA 702) и EO 12.333 се идентифицират особено всички американски "доставчици на електронни съобщителни услуги" и всеки поток от данни към САЩ, който не е защитен срещу подслушване на проводници от NSA (вижте заявките за модел по-долу)
  4. Спрете прехвърлянето на данни, ако:
    • Вие или някой от нашите партньори все още използвате Щита за поверителност
    • Съответно юридическо лице в САЩ е "доставчик на електронни съобщителни услуги" или
    • Не можете да защитите потоците си от данни от подслушване на NSA
  5. Уведомете DPA, ако продължите да използвате SCC, BCR или друг инструмент, въпреки отрицателната оценка

Моделирайте заявки към американски доставчици или доставчици с връзки в САЩ

Можете да използвате тези заявки за модели за най-често срещаните видове потоци от данни между ЕС и САЩ, които могат да бъдат извършени от решението на Съда на ЕС:

Скоро ще добавим допълнителни заявки за модели за други ситуации.

Често задавани въпроси за компаниите от ЕС

  • Какви са последствията, когато не предприема действия?

Съдът на ЕС подчерта, че администраторите и (ако контролерите са неактивни) органите за защита на данните са длъжни да действат, за да преустановят или забранят прехвърлянето на данни (параграф 134 от Решението), когато им липсва валиден правен инструмент за прехвърляне. Това означава, че в този случай няма шанс за „гратисен период“.

Съгласно GDPR има санкция в размер на 20 милиона евро или 4% от глобалния оборот, ако продължите да прехвърляте данни без валиден правен инструмент (член 83, параграф 5, буква в) от GDPR). НПО, работнически съвети или индивидуални потребители могат да подават жалби или да завеждат дела, включително за емоционални щети.

Вероятно DPA няма да глоби администратор, ако администраторът може да докаже, че всички мерки за спазване на решението на Съда на ЕС са взети възможно най-бързо. Тази страница има за цел да даде възможност на контролерите да демонстрират такива стъпки.

  • Прегледайте дали трябва да прехвърлите данни в чужбина от бизнес гледна точка!

В много случаи външните доставчици извън ЕС / ЕИП бяха избрани с малко внимание на последствията. Следователно може да сте в състояние да преминете към доставчик на ЕС / ЕИП (или доставчик от „адекватна“ държава като Швейцария) в много случаи и по този начин да избегнете изобщо всякакви проблеми около прехвърлянето на данни.

Дори ако първоначално използването на доставчик от ЕС / ЕИП може да изглежда по-скъпо, времето, прекарано в извършване на законно прехвърляне извън ЕС / ЕИП, може да ви струва повече от това, което спестявате от по-евтина оферта от чужбина.

  • Ако все още използвате SCC за трансфери към доставчик извън ЕС / ЕИП, какво трябва да направите?

Администраторът и съответният доставчик трябва да направят анализ „за всеки отделен случай“ (параграф 134 от Решението), за да проверят дали има национални закони, на които този доставчик е обект, които нарушават GDPR и Хартата на основните права.

Като цяло законите, които позволяват общ правоприлагащ достъп до данни в индивидуализирани случаи и подлежащи на одобрение от съдия, ще бъдат в съответствие със законодателството на ЕС. Формите на по-малко демократичен, широкообхватен достъп („масова обработка“) или достъп без съдебен контрол ще бъдат несъвместими със законодателството на ЕС.

  • Ако специално използвам SCC за преводи към американски доставчик, какво трябва да направя?

Повечето американски доставчици на облак попадат в обхвата на FISA 702 и вече няма да можете да ги използвате. Определението в 50 USC § 1881 (b) (4) за „доставчик на електронни съобщителни услуги“ изброява:

  • Доставчици на отдалечени компютърни услуги,
  • Доставчик на електронни комуникационни услуги,
  • Телекомуникационни оператори,
  • Всеки друг доставчик на комуникационни услуги, който има достъп до телени или електронни комуникации, независимо дали такива комуникации се предават или съхраняват такива комуникации, и
  • всеки служител, служител или агент на такова образувание.

Ако не сте сигурни, можете да попитате вашия доставчик дали те самите попадат под FISA 702 и / или дали имат подходяща защита срещу наблюдение на трети страни при транзит (съгласно FISA 702 и / или EO 12.333). Тъй като всяка ситуация е различна, ние сме подготвили предварителни примерни въпроси, които можете да използвате безплатно, за да разберете повече за това дали вашето решение за обработка в САЩ отговаря на преценката:

Изтегляне: Примерни въпроси за използването на SCC с американски доставчик.

  • Ако използвам доставчик, който обработва данни в ЕС / ЕИП, но е свързан с (или използва) американска компания, какво трябва да направя?

FISA 702 и EO 12.333 нямат териториално ограничение. Те се прилагат и за сървъри в ЕС, които се експлоатират от американски „доставчик на електронни съобщителни услуги“ или където определени операции се възлагат на американски доставчик. Следователно местоположението за хостинг е без значение.

В някои случаи доставчиците могат да имат достатъчно ограничен фактически достъп („притежание, попечителство или контрол“) от юридически лица в САЩ, така че сървърът на ЕС / ЕИП фактически да е извън обсега на правителството на САЩ. Например, това може да е така, ако дадено юридическо лице от ЕС е обвързано с GDPR да не предоставя данни на американската компания майка и няма фактически достъп от американската компания майка.

Тъй като всяка ситуация е различна, ние сме подготвили предварителни примерни въпроси, които можете да използвате безплатно, за да разберете повече дали вашето решение за обработка в ЕС е в съответствие с решението:

Изтегляне: Примерни въпроси за хостинг в рамките на ЕС, с връзка към САЩ

  • Ами наблюдението при транзит?

В параграф 183 от C-311/18 Съдът на ЕС също установява, че наблюдението на САЩ „в транзит“ (като „нагоре“ или кранове на подводните кабели) нарушава основните права на ЕС.

От гледна точка на GDPR, ние заемаме предварителната позиция, че подобно външно подправяне на лични данни попада главно в член 32 GDPR („сигурност на обработването“). Следователно износителят на данни и вносителят на данни трябва да приложи подходящи технически и организационни мерки за защита на прехвърлените данни от подслушване на НСА / ФБР.

Като се има предвид, че правителството на САЩ има огромни правомощия да нарушава криптирането, това е предимно технически въпрос във всяка ситуация на трансфер дали и как е възможно техническо решение. Американското правителство твърди, че използва предимно „селектори“ (като имейл адреси, IP адреси или телефонни номера) за програми като Upstream. Следователно всеки технически подход трябва да гарантира, че такива селектори са под слоя за шифроване от край до край. В много форми на директна комуникация (като PGP криптиран имейл) „селекторите“ не са сами криптирани.

Можете да използвате примерните въпроси по-горе, за да попитате вашия доставчик за мерки срещу наблюдение при транзит.

  • Съществува ли списък на американските доставчици, които попадат в обхвата на тези закони за наблюдение?

Няма пълен списък на всички американски доставчици, които попадат в обхвата на 702 FISA (50 USC § 1881a), тъй като всички „доставчици на електронни съобщителни услуги“ попадат в обхвата на този закон. Определението за „доставчик на електронни съобщителни услуги“ може да се намери в 50 USC § 1881 (b) (4).

В същото време редица компании дори публикуваха така наречените „доклади за прозрачност“, в които се изброяват достъпите по FISA. Това ни позволява да знаем, че тези компании определено са под FISA поръчка.

Тук можете да намерите някои примери (много други компании просто не споделят такава информация, въпреки че попадат под FISA 702):

AT&T

Amazon (AWS)

Apple

Cloudflare

Dropbox

Facebook

Google

Microsoft

Verizon Media (бивша Oath & Yahoo)

Verizon

  • Кой е отговорен за разходите за прилагане на последиците от C-311/18?

Ако преди сте използвали SCC за вашите трансфери, законът не се е променил. Всеки доставчик извън ЕС / ЕИП е длъжен да ви информира за закони като FISA 702 и EO 12.333. Ако не са го направили, те носят отговорност за всички разходи, произтичащи от отмяна на SCC и прехвърляне на данни обратно в ЕС / ЕИП съгласно клауза II от приложението към Решение 2004/915 / ЕО или клауза 5, буква б) от Приложение към Решение 2010/87.

Решението за Щита за поверителност е неправилно изпълнително решение на Европейската комисия. На теория срещу ЕС могат да бъдат предявени искове за обезщетение по член 340 от ДФЕС.

  • Мога ли просто да използвам член 49 от ОРЗД за всички трансфери в САЩ?

EDPB заема позицията, че член 49 може да се използва само за „ случайни и не повтарящи се трансфери “, което ограничава член 49 до отделни ситуации, в които потребителите са дали изрично съгласие или ако прехвърлянето е строго необходимо за осигуряване на договор (например хотел резервация в чужбина).

Противно на някои твърдения, възлагането на изпълнители на обработващи операции не е строго „необходимо“ за предоставяне на договора, ако теоретично бихте могли също да използвате доставчик от ЕС / ЕИП или да обработвате вътрешни данни. Администраторите също трябва да имат предвид, че субектите на данни могат да оттеглят съгласието си по всяко време.

Докато член 49 позволява да се поддържат „базови“ комуникации отворени с всяка държава по света (от Швейцария до Северна Корея), това е само дерогация за изключително необходими трансфери.

Връзка: Насоки 2/2018 относно дерогациите на член 49

  • Как мога да преценя дали законодателството на третата държава е съвместимо с основните права на ЕС?

След решението Schrems I през 2016 г. работната група по член 29 (сега EDPB) даде ясни насоки за това какво може и какво не може да се разглежда като оправдана намеса в основните права в демократичното общество по отношение на закона за защита на данните (членове 7 и 8 от Хартата). В този работен документ ОЗД вече са идентифицирали четири основни европейски гаранции, които трябва да се спазват в страните, където се изпращат данни от ЕС:

А. Обработката трябва да се основава на ясни, точни и достъпни правила;

Б. Необходимостта и пропорционалността по отношение на преследваните законни цели трябва да бъдат демонстрирани;

В. Трябва да съществува независим механизъм за надзор;

Г. Ефективните средства за защита трябва да бъдат на разположение на индивида.

Човек ще забележи, че Съдът на ЕС използва поне две точки от това ръководство, за да обезсили щита за поверителност. Следователно може да е полезно за вас да разгледате първо този работен документ.

Връзка: Работен документ 237 на работната група по член 29