Επόμενα βήματα για εταιρείες της ΕΕ & Συχνές ερωτήσεις

Ιουλ 20, 2020

Γνωρίζουμε πλήρως ότι πολλοί ελεγκτές είναι συγκλονισμένοι με την πρόσφατη κρίση του CJEU σχετικά με τη μεταφορά δεδομένων ΕΕ-ΗΠΑ και την έλλειψη περιόδου χάριτος. Έχουμε συνοψίσει τις πιο κοινές ερωτήσεις και απαντήσεις παρακάτω. Παρέχουμε επίσης δύο κείμενα αιτήματος μοντέλου που μπορείτε να στείλετε σε οποιονδήποτε εταίρο των ΗΠΑ ή σε οποιονδήποτε εταίρο της ΕΕ με δεσμούς στις ΗΠΑ. Η ταχεία ανάληψη δράσης μπορεί να είναι ένας σημαντικός παράγοντας σε περίπτωση που ένα DPA εξετάσει πρόστιμα λόγω μη συμμόρφωσης με την απόφαση του CJEU. Θα ενημερώσουμε αυτές τις συχνές ερωτήσεις και θα δημοσιεύσουμε συγκεκριμένες συχνές ερωτήσεις και κείμενα μοντέλου για χρήστες ("θέματα δεδομένων") τις επόμενες ημέρες. Ενημερώστε μας εάν έχετε σχόλια.

 

Βήματα που πρέπει να λάβουν οι υπεύθυνοι επεξεργασίας στην ΕΕ

Σύμφωνα με τις Συχνές Ερωτήσεις του ΕΣΠΔ στην απόφαση «Schrems II», η προκαταρκτική μας πρόταση είναι ότι οι υπεύθυνοι επεξεργασίας πρέπει να λάβουν τα ακόλουθα βήματα:

1. Να εξετάσετε όλες σας τις εξωτερικές ροές δεδομένων (συμπεριλαμβανομένων αυτών προς εκτελούντες την επεξεργασία στην ΕΕ ή υπεύθυνους επεξεργασίας που με τη σειρά του μπορεί να μεταφέρουν δεδομένα σε οντότητα εκτός ΕΕ) για ροές δεδομένων σε τρίτες χώρες.

2. Εντοπίστε τη σχετική νομική βάση (π.χ. Επάρκεια, Άρθρο 49, Ασπίδα Ιδιωτικότητας, Τυποποιημένες Συμβατικές Ρήτρες, κλπ).

3. Σε σχέση με τους 50 USC § 1881a (= FISA 702) και EO 12.333 εντοπίστε ιδίως κάθε Αμερικανικό «πάροχο υπηρεσιών ηλεκτρονικής επικοινωνίας» και κάθε ροή δεδομένων στις ΗΠΑ που δεν είναι ασφαλής ενάντια στην υποκλοπή από την Εθνική Υπηρεσία Ασφάλειας των ΗΠΑ (δείτε δείγματα αιτημάτων παρακάτω).

4. Σταματήστε τις μεταφορές δεδομένων εάν:

  • Εσείς ή ένας από τους συνεργάτες σας χρησιμοποιεί ακόμη την Ασπίδα Ιδιωτικότητας
  • Μία σχετική οντότητα στις ΗΠΑ είναι «πάροχος υπηρεσιών ηλεκτρονικής επικοινωνίας» ή
  • Δεν μπορείτε να προστατεύσετε τις ροές δεδομένων από την υποκλοπή από την Εθνική Υπηρεσία Ασφάλειας των ΗΠΑ.

5. Ειδοποιήστε την Αρχη Προστασίας Δεδομένων εάν συνεχίζετε να χρησιμοποιείτε Τυποποιημένες Συμβατικές Ρήτρες, Δεσμευτικούς Εταιρικούς Κανόνες ή άλλο εργαλείο παρά την αρνητική αξιολόγηση.

 

Υποδείγματα αιτημάτων σε παρόχους ή παρόχους ΗΠΑ με δεσμούς στις ΗΠΑ

Μπορείτε να χρησιμοποιήσετε αυτά τα μοντέλα αιτήσεων στους πιο συνηθισμένους τύπους ροών δεδομένων ΕΕ-ΗΠΑ που ενδέχεται να επηρεαστούν από την απόφαση CJEU:

Σύντομα θα προσθέσουμε περαιτέρω αιτήματα μοντέλου για άλλες καταστάσεις.

 

Συχνές ερωτήσεις για εταιρείες της ΕΕ

  • Ποιες είναι οι συνέπειες όταν δεν αναλαμβάνω δράση;

Το CJEU έχει επισημάνει ότι οι ελεγκτές και (εάν οι ελεγκτές είναι αδρανείς) οι DPA έχουν καθήκον να ενεργήσουν για να αναστείλουν ή να απαγορεύσουν τη μεταφορά δεδομένων (παράγραφος 134 της απόφασης) όταν δεν διαθέτουν έγκυρο νομικό μέσο για μεταφορά. Αυτό σημαίνει ότι δεν υπάρχει πιθανότητα για μια «περίοδο χάριτος» σε αυτήν την περίπτωση.

Σύμφωνα με τον GDPR, επιβάλλεται πρόστιμο ύψους 20 εκατ. Ευρώ ή 4% του συνολικού κύκλου εργασιών, εάν συνεχίσετε να μεταφέρετε δεδομένα χωρίς έγκυρο νομικό μέσο (άρθρο 83 παράγραφος 5 στοιχείο γ) του GDPR). Οι ΜΚΟ, τα εργατικά συμβούλια ή οι μεμονωμένοι χρήστες μπορούν να υποβάλλουν καταγγελίες ή να υποβάλλουν αγωγές, συμπεριλαμβανομένων και για συναισθηματικές βλάβες.

Είναι πιθανό ότι ένα DPA δεν θα επιβάλει πρόστιμο σε έναν ελεγκτή εάν ο ελεγκτής μπορεί να αποδείξει ότι όλα τα μέτρα συμμόρφωσης με την απόφαση CJEU ελήφθησαν το συντομότερο δυνατό. Αυτή η σελίδα στοχεύει να επιτρέψει στους ελεγκτές να επιδείξουν τέτοια βήματα.

  • Ελέγξτε εάν πρέπει να μεταφέρετε δεδομένα στο εξωτερικό από επιχειρηματική σκοπιά!

Σε πολλές περιπτώσεις, εξωτερικοί πάροχοι εκτός ΕΕ / ΕΟΧ, όπου επιλέχθηκαν με ελάχιστη προσοχή στις επιπτώσεις. Επομένως, ενδέχεται να μπορείτε να μεταβείτε σε έναν πάροχο ΕΕ / ΕΟΧ (ή έναν πάροχο από μια «επαρκή» χώρα όπως η Ελβετία) σε πολλές περιπτώσεις και, ως εκ τούτου, να αποφύγετε τυχόν προβλήματα σχετικά με τη μεταφορά δεδομένων εντελώς.

Ακόμα κι αν η χρήση ενός παρόχου ΕΕ / ΕΟΧ μπορεί να φαίνεται αρχικά δαπανηρότερη, ο χρόνος που αφιερώνεται για τη νόμιμη μεταφορά εκτός ΕΕ / ΕΟΧ μπορεί να σας κοστίσει περισσότερο από αυτό που εξοικονομείτε σε μια φθηνότερη προσφορά από το εξωτερικό.

  • Εάν εξακολουθείτε να χρησιμοποιείτε τα SCC για μεταφορές σε οποιονδήποτε πάροχο εκτός ΕΕ / ΕΟΧ, τι πρέπει να κάνετε;

Ο υπεύθυνος επεξεργασίας και ο σχετικός πάροχος πρέπει να κάνουν μια ανάλυση «κατά περίπτωση» (σκέψη 134 της Απόφασης), για να ελέγξουν εάν υπάρχουν εθνικοί νόμοι που υπόκειται σε αυτόν τον πάροχο, ο οποίος παραβιάζει τον GDPR και τον Χάρτη των Θεμελιωδών Δικαιωμάτων.

Γενικά, οι νόμοι που επιτρέπουν την κοινή επιβολή του νόμου πρόσβαση σε δεδομένα σε εξατομικευμένες περιπτώσεις και με την επιφύλαξη έγκρισης δικαστή, θα συμμορφώνονται με το δίκαιο της ΕΕ. Οι μορφές λιγότερο δημοκρατικής, εκτεταμένης πρόσβασης («μαζική επεξεργασία») ή πρόσβασης χωρίς δικαστικό έλεγχο θα είναι ασυμβίβαστες με το δίκαιο της ΕΕ.

  • Εάν χρησιμοποιώ συγκεκριμένα τα SCC για μεταφορές σε πάροχο ΗΠΑ, τι πρέπει να κάνω;

Οι περισσότεροι πάροχοι cloud των ΗΠΑ εμπίπτουν στο FISA 702 και δεν θα μπορείτε πλέον να τους χρησιμοποιήσετε. Ο ορισμός στο 50 USC § 1881 (b) (4) για έναν «πάροχο υπηρεσιών ηλεκτρονικών επικοινωνιών» παραθέτει:

  • Πάροχοι υπηρεσιών απομακρυσμένων υπολογιστών,
  • Πάροχος υπηρεσιών ηλεκτρονικής επικοινωνίας,
  • Εταιρείες τηλεπικοινωνιών,
  • Οποιοσδήποτε άλλος πάροχος υπηρεσιών επικοινωνίας που έχει πρόσβαση σε ενσύρματες ή ηλεκτρονικές επικοινωνίες είτε μεταδίδονται τέτοιες επικοινωνίες είτε αποθηκεύεται, και
  • κάθε αξιωματικός, υπάλληλος ή πράκτορας οποιασδήποτε τέτοιας οντότητας.

Εάν δεν είστε βέβαιοι, μπορείτε να ρωτήσετε τον παροχέα σας εάν εμπίπτει στο ίδιο το FISA 702 ή / και εάν έχει την κατάλληλη προστασία έναντι της εποπτείας τρίτων κατά τη μεταφορά (σύμφωνα με το FISA 702 ή / και το EO 12.333). Καθώς κάθε κατάσταση είναι διαφορετική, έχουμε προετοιμάσει προκαταρκτικά δείγματα ερωτήσεων, τις οποίες μπορείτε να χρησιμοποιήσετε δωρεάν για να μάθετε περισσότερα σχετικά με το εάν η λύση επεξεργασίας των ΗΠΑ συμμορφώνεται με την κρίση:

Λήψη: Δείγματα ερωτήσεων για τη χρήση των SCC με έναν πάροχο ΗΠΑ.

  • Εάν χρησιμοποιώ έναν πάροχο που επεξεργάζεται δεδομένα στην ΕΕ / ΕΟΧ, αλλά συνδέεται με (ή χρησιμοποιεί) μια εταιρεία των ΗΠΑ, τι πρέπει να κάνω;

Τα FISA 702 και EO 12.333 δεν έχουν εδαφικό περιορισμό. Ισχύουν επίσης για διακομιστές στην ΕΕ που λειτουργούν από έναν «πάροχο υπηρεσιών ηλεκτρονικών επικοινωνιών» των ΗΠΑ ή όπου ορισμένες λειτουργίες ανατίθενται σε πάροχο ΗΠΑ. Η τοποθεσία φιλοξενίας είναι άρα άσχετη.

Σε ορισμένες περιπτώσεις, οι πάροχοι ενδέχεται να έχουν περιορίσει επαρκώς την πραγματική πρόσβαση («κατοχή, φύλαξη ή έλεγχος») από οντότητες των Η.Π.Α., έτσι ώστε ένας διακομιστής ΕΕ / ΕΟΧ να είναι στην πραγματικότητα απρόσιτος της κυβέρνησης των ΗΠΑ. Για παράδειγμα, αυτό μπορεί να συμβεί εάν μια οντότητα της ΕΕ δεσμεύεται από τον GDPR να μην παρέχει δεδομένα στη μητρική εταιρεία των ΗΠΑ και δεν υπάρχει πραγματική πρόσβαση από τη μητρική εταιρεία των ΗΠΑ.

Καθώς κάθε κατάσταση είναι διαφορετική, έχουμε προετοιμάσει προκαταρκτικά δείγματα ερωτήσεων, τα οποία μπορείτε να χρησιμοποιήσετε δωρεάν για να μάθετε περισσότερα σχετικά με το εάν η λύση επεξεργασίας της ΕΕ συμμορφώνεται με την απόφαση:

Λήψη: Δείγματα ερωτήσεων για φιλοξενία εντός της ΕΕ, με σύνδεσμο προς τις ΗΠΑ

  • Τι γίνεται με την παρακολούθηση κατά τη μεταφορά;

Στην παράγραφο 183 του C-311/18, το CJEU διαπίστωσε επίσης ότι η επιτήρηση των ΗΠΑ «υπό διαμετακόμιση» (όπως «Ανάντη» ή βρύσες των υποβρύχιων καλωδίων) παραβιάζει τα θεμελιώδη δικαιώματα της ΕΕ.

Από την οπτική γωνία του GDPR, παίρνουμε την προκαταρκτική θέση ότι τέτοια εξωτερική παραβίαση προσωπικών δεδομένων εμπίπτει κυρίως στο άρθρο 32 του GDPR («ασφάλεια επεξεργασίας»). Ο εξαγωγέας δεδομένων και ο εισαγωγέας δεδομένων πρέπει επομένως να εφαρμόσουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των μεταφερόμενων δεδομένων από το NSA / FBI.

Δεδομένου ότι η κυβέρνηση των ΗΠΑ έχει τεράστιες εξουσίες για να σπάσει την κρυπτογράφηση, είναι κυρίως ένα τεχνικό ζήτημα σε κάθε κατάσταση μεταφοράς εάν και πώς είναι δυνατή μια τεχνική λύση. Η κυβέρνηση των ΗΠΑ ισχυρίζεται ότι χρησιμοποιεί κυρίως «επιλογείς» (όπως διευθύνσεις email, διευθύνσεις IP ή αριθμούς τηλεφώνου) για προγράμματα όπως το Upstream. Επομένως, οποιαδήποτε τεχνική προσέγγιση πρέπει να διασφαλίσει ότι τέτοιοι επιλογείς βρίσκονται κάτω από το επίπεδο κρυπτογράφησης από άκρο σε άκρο. Σε πολλές μορφές άμεσης επικοινωνίας (όπως ένα PGP κρυπτογραφημένο email) οι "selectors" δεν είναι οι ίδιοι κρυπτογραφημένοι.

Μπορείτε να χρησιμοποιήσετε τα παραπάνω δείγματα για να ρωτήσετε τον παροχέα σας σχετικά με μέτρα κατά της επιτήρησης κατά τη μεταφορά.

  • Υπάρχει μια λίστα με παρόχους ΗΠΑ που εμπίπτουν σε αυτούς τους νόμους επιτήρησης;

Δεν υπάρχει πλήρης λίστα όλων των παρόχων των ΗΠΑ που εμπίπτουν στα 702 FISA (50 USC § 1881a), καθώς όλοι οι «πάροχοι υπηρεσιών ηλεκτρονικών επικοινωνιών» εμπίπτουν στον παρόντα νόμο. Ο ορισμός του «παρόχου υπηρεσιών ηλεκτρονικών επικοινωνιών» βρίσκεται στο 50 USC § 1881 (b) (4).

Ταυτόχρονα, αρκετές εταιρείες έχουν δημοσιεύσει ακόμη και τις λεγόμενες «εκθέσεις διαφάνειας» που απαριθμούν τις προσβάσεις βάσει του FISA. Αυτό μας επιτρέπει να γνωρίζουμε ότι αυτές οι εταιρείες είναι σίγουρα υπό παραγγελία FISA.

Μπορείτε να βρείτε μερικά παραδείγματα εδώ (πολλές άλλες εταιρείες απλά δεν μοιράζονται τέτοιες πληροφορίες, παρά το ότι εμπίπτουν στο FISA 702):

AT&T

Amazon (AWS)

μήλο

Cloudflare

Dropbox

Facebook

Google

Microsoft

Verizon Media (πρώην Oath & Yahoo)

Verizon

  • Ποιος είναι υπεύθυνος για τα έξοδα υλοποίησης των επιπτώσεων από το C-311/18;

Εάν χρησιμοποιήσατε προηγουμένως τα SCC για τις μεταφορές σας, ο νόμος δεν έχει αλλάξει. Οποιοσδήποτε πάροχος εκτός ΕΕ / ΕΟΧ είχε το καθήκον να σας ενημερώσει για νόμους όπως οι FISA 702 και EO 12.333. Εάν δεν το έχουν πράξει, ευθύνονται για όλα τα έξοδα που προκύπτουν από την ακύρωση των SCC και τη μεταφορά δεδομένων στην ΕΕ / ΕΟΧ σύμφωνα με τη ρήτρα II του παραρτήματος της απόφασης 2004/915 / ΕΚ ή τη ρήτρα 5 στοιχείο β) της Παράρτημα της απόφασης 2010/87.

Η Απόφαση Ασπίδας Προστασίας Προσωπικών Δεδομένων ήταν μια λανθασμένη εκτελεστική απόφαση της Ευρωπαϊκής Επιτροπής. Θεωρητικά, αξιώσεις αποζημίωσης μπορούν να ασκηθούν κατά της ΕΕ σύμφωνα με το άρθρο 340 ΣΛΕΕ.

  • Μπορώ απλώς να χρησιμοποιήσω το άρθρο 49 GDPR για όλες τις μεταφορές από τις ΗΠΑ;

Το EDPB έχει λάβει τη θέση ότι το άρθρο 49 μπορεί να χρησιμοποιηθεί μόνο για « περιστασιακές και μη επαναλαμβανόμενες μεταφορές », το οποίο περιορίζει το άρθρο 49 σε μεμονωμένες καταστάσεις όπου οι χρήστες έχουν δώσει ρητή συγκατάθεση ή εάν η μεταφορά είναι απολύτως απαραίτητη για την παροχή συμβολαίου (π.χ. ξενοδοχείο κράτηση στο εξωτερικό).

Σε αντίθεση με ορισμένους ισχυρισμούς, η εξωτερική ανάθεση εργασιών επεξεργασίας δεν είναι απολύτως «απαραίτητη» για την παροχή της σύμβασης, εάν θα μπορούσατε θεωρητικά να χρησιμοποιήσετε επίσης έναν πάροχο ΕΕ / ΕΟΧ ή να επεξεργαστείτε δεδομένα εσωτερικά. Οι ελεγκτές θα πρέπει επίσης να προσέχουν ότι τα υποκείμενα των δεδομένων μπορούν να ανακαλέσουν τη συγκατάθεσή τους ανά πάσα στιγμή.

Ενώ το άρθρο 49 επιτρέπει τη διατήρηση ανοιχτών επικοινωνιών με οποιαδήποτε χώρα στον κόσμο (από την Ελβετία προς τη Βόρεια Κορέα), είναι μόνο μια παρέκκλιση για εξαιρετικά απαραίτητες μεταφορές.

Σύνδεσμος: Κατευθυντήριες γραμμές 2/2018 σχετικά με τις παρεκκλίσεις του άρθρου 49

  • Πώς μπορώ να εκτιμήσω εάν ο νόμος της τρίτης χώρας είναι συμβατός με τα θεμελιώδη δικαιώματα της ΕΕ;

Μετά την απόφαση Schrems I, το 2016, η ομάδα εργασίας του άρθρου 29 (τώρα EDPB) παρείχε σαφείς οδηγίες για το τι μπορεί και τι δεν μπορεί να θεωρηθεί ως δικαιολογημένη παρέμβαση στα θεμελιώδη δικαιώματα σε μια δημοκρατική κοινωνία σχετικά με το δίκαιο προστασίας δεδομένων (άρθρα 7 και 8 του ο Χάρτης). Σε αυτό το έγγραφο εργασίας, οι DPA έχουν ήδη εντοπίσει τέσσερις ευρωπαϊκές βασικές εγγυήσεις που πρέπει να τηρούνται στις χώρες όπου αποστέλλονται τα δεδομένα της ΕΕ:

A. Η επεξεργασία πρέπει να βασίζεται σε σαφείς, ακριβείς και προσβάσιμους κανόνες ·

Β. Πρέπει να αποδεικνύεται η αναγκαιότητα και η αναλογικότητα όσον αφορά τους επιδιωκόμενους νόμιμους στόχους ·

Γ. Πρέπει να υπάρχει ανεξάρτητος μηχανισμός εποπτείας ·

Δ. Αποτελεσματικές θεραπείες πρέπει να είναι διαθέσιμες στο άτομο.

Κάποιος θα παρατηρήσει ότι το CJEU χρησιμοποίησε τουλάχιστον δύο σημεία από αυτήν την καθοδήγηση για να ακυρώσει το Privacy Shield. Επομένως, μπορεί να σας βοηθήσει να δείτε πρώτα αυτό το έγγραφο εργασίας.

Σύνδεσμος: Έγγραφο εργασίας 237 της ομάδας εργασίας του άρθρου 29