Seuraavat vaiheet EU-yrityksille ja usein kysytyt kysymykset

Jul 20, 2020

Olemme täysin tietoisia siitä, että monet rekisterinpitäjät ovat hukkua EU: n ja Yhdysvaltojen äskettäin antamasta tuomiosta EU: n ja Yhdysvaltojen välisestä tiedonsiirrosta ja armonajan puuttumisesta. Olemme tiivistäneet yleisimmät kysymykset ja vastaukset alla. Toimitamme myös kaksi mallipyyntötekstiä, jotka voit lähettää mille tahansa yhdysvaltalaiselle kumppanille tai yhdelle EU: n kumppanille, jolla on Yhdysvaltojen siteitä. Nopea toiminta voi olla merkityksellinen tekijä, jos tietosuojaviranomainen harkitsee sakkoja unionin tuomioistuimen päätöksen noudattamatta jättämisestä. Päivitämme nämä usein kysytyt kysymykset ja julkaisemme käyttäjien ("rekisteröityjen") erityiset usein kysytyt kysymykset ja mallitekstit lähipäivinä. Kerro meille, jos sinulla on palautetta.

Vaiheet, jotka EU: n rekisterinpitäjien olisi toteutettava

Schrems II -tapausta koskevien EDPB: n usein kysyttyjen kysymysten mukaisesti alustava suosituksemme on, että rekisterinpitäjät toteuttavat seuraavat vaiheet:

  1. Tarkastele kaikkia ulkoisia tietovirtojasi (myös EU: n käsittelijöille tai rekisterinpitäjille, jotka puolestaan voivat siirtää tietoja EU: n ulkopuoliselle taholle) tietojen siirtämistä varten kolmansiin maihin
  2. Määritä asiaankuuluva oikeusperusta (esim. Riittävyys, 49 artikla, Privacy Shield, SCC: t jne.)
  3. 50 USC: n §: n 1881a (= FISA 702) ja EO 12.333 yhteydessä tunnistetaan erityisesti kaikki yhdysvaltalaiset "sähköisen viestinnän palveluntarjoajat" ja kaikki Yhdysvaltoihin suuntautuvat tietovirrat, joita NSA ei ole suojattu langansyöttöä vastaan (katso mallipyynnöt alla)
  4. Lopeta tiedonsiirto, jos:
    • Sinä tai joku yhteistyökumppaneistamme käyttää edelleen Privacy Shieldiä
    • Asiaankuuluva yhdysvaltalainen yksikkö on "sähköisten viestintäpalvelujen tarjoaja" tai
    • Et voi suojata tietovirtojasi NSA-langankäynniltä
  5. Ilmoita tietosuojaviranomaiselle, jos jatkat SCC: n, BCR: n tai muun laitteen käyttöä negatiivisesta arvioinnista huolimatta

Mallipyynnöt yhdysvaltalaisille palveluntarjoajille tai yhdysvaltalaisille siteille

Voit käyttää näitä mallipyyntöjä yleisimpiin EU: n ja Yhdysvaltojen tietovirtatyyppeihin, jotka Euroopan unionin tuomioistuimen tuomio voi toteuttaa:

Lisäämme pian muita mallipyyntöjä muihin tilanteisiin.

Usein kysytyt kysymykset EU-yrityksille

  • Mitkä ovat seuraukset, kun en ryhdy toimiin?

Euroopan unionin tuomioistuin on korostanut, että rekisterinpitäjillä ja (jos rekisterinpitäjät eivät ole aktiivisia) tietosuojaviranomaisilla on velvollisuus keskeyttää tai kieltää tiedonsiirto (tuomion 134 kohta), kun heiltä puuttuu pätevä siirtoon liittyvä oikeudellinen väline. Tämä tarkoittaa, että tässä tapauksessa ei ole mahdollisuutta "armonjaksoon".

GDPR: n mukaan sakko on 20 miljoonaa euroa tai 4% maailmanlaajuisesta liikevaihdosta, jos jatkat tietojen siirtämistä ilman voimassa olevaa oikeudellista välinettä (GDPR: n 83 artiklan 5 kohdan c alakohta). Kansalaisjärjestöt, työvoimaneuvostot tai yksittäiset käyttäjät voivat nostaa valituksia tai nostaa kanneita, mukaan lukien henkiset vahingot.

Todennäköisesti tietosuojaviranomainen ei sakosta rekisterinpitäjää, jos rekisterinpitäjä pystyy osoittamaan, että kaikki toimenpiteet EUT: n tuomion noudattamiseksi on toteutettu mahdollisimman nopeasti. Tämän sivun on tarkoitus antaa ohjaimille mahdollisuus osoittaa tällaiset vaiheet.

  • Tarkista, jos haluat siirtää tietoja ulkomaille liiketoiminnan näkökulmasta!

Monissa tapauksissa EU: n / ETA: n ulkopuoliset ulkopuoliset palveluntarjoajat valittiin ottamatta huomioon seurauksia. Siksi saatat pystyä vaihtamaan EU / ETA-palveluntarjoajaan (tai palveluntarjoajaan "riittävästä maasta" kuten Sveitsi) ja välttämään siten tiedonsiirtoon liittyviä kysymyksiä kokonaan.

Vaikka EU / ETA-palveluntarjoajan käyttäminen saattaa tuntua aluksi kalliimmalta, aika, joka kuluu EU: n / ETA: n ulkopuolisen siirron lailliseen tekemiseen, voi maksaa enemmän kuin säästät halvemmasta ulkomaisesta tarjouksesta.

  • Jos käytät edelleen SCC-koodeja siirtoihin muille kuin EU / ETA-palveluntarjoajille, mitä sinun on tehtävä?

Rekisterinpitäjän ja asianomaisen palveluntarjoajan on tehtävä tapauskohtainen analyysi (tuomion 134 kohta) tarkistaakseen, onko palveluntarjoajaan sovellettavia kansallisia lakeja, jotka rikkovat GDPR: ää ja perusoikeuskirjaa.

Yleensä lait, jotka sallivat yhteisen lainvalvontaviranomaisten pääsyn tietoihin yksittäistapauksissa ja joiden tuomari on hyväksynyt, ovat EU: n lainsäädännön mukaisia. Vähemmän demokraattisen, kauaskantoisen pääsyn muodot ("massankäsittely") tai pääsy ilman oikeudellista valvontaa ovat EU: n lainsäädännön vastaisia.

  • Jos käytän SCC-koodeja nimenomaan siirtoihin yhdysvaltalaiselle palveluntarjoajalle, mitä minun pitää tehdä?

Suurin osa yhdysvaltalaisista pilvipalvelujen tarjoajista kuuluu FISA 702 -järjestelmään, etkä voi enää käyttää niitä. USC: n 50 §: n 1881 (b) (4) määritelmässä "sähköisen viestinnän palveluntarjoajalle" luetellaan:

  • Etälaskentapalvelujen tarjoajat,
  • Sähköisten viestintäpalvelujen tarjoaja,
  • Televiestintäoperaattorit,
  • - kaikki muut viestintäpalvelujen tarjoajat, joilla on pääsy langalliseen tai sähköiseen viestintään joko sellaisenaan tai sellaisenaan, ja -
  • tällaisen yksikön virkailija, työntekijä tai edustaja.

Jos et ole varma, voit kysyä palveluntarjoajalta, kuuluvatko he itse FISA 702 -standardin soveltamisalaan ja / tai onko heillä asianmukainen suoja kolmansien osapuolten valvonnalta kuljetuksen aikana (FISA 702 ja / tai EO 12.333). Koska jokainen tilanne on erilainen, olemme laatineet alustavat esimerkkikysymykset, joita voit käyttää ilmaiseksi saadaksesi lisätietoja siitä, onko yhdysvaltalainen käsittelyratkaisusi päätöksen mukainen:

Lataa: Esimerkkikysymyksiä SCC: n käytöstä yhdysvaltalaisen palveluntarjoajan kanssa.

  • Jos käytän palveluntarjoajaa, joka käsittelee tietoja EU: ssa / ETA: ssa, mutta on yhteydessä yhdysvaltalaisiin yrityksiin (tai käyttää niitä), mitä minun on tehtävä?

FISA 702: lla ja EO 12.333: lla ei ole alueellisia rajoituksia. Niitä sovelletaan myös EU: n palvelimiin, joita ylläpitää yhdysvaltalainen sähköisten viestintäpalvelujen tarjoaja tai joissa tietyt toiminnot ulkoistetaan yhdysvaltalaiselle palveluntarjoajalle. Hosting-sijainnilla ei siis ole merkitystä.

Joissakin tapauksissa palveluntarjoajat voivat olla riittävästi rajoittaneet Yhdysvaltojen yksiköiden tosiasiallista pääsyä ("hallussapito, säilytys tai hallinta") niin, että EU / ETA-palvelin on tosiasiallisesti Yhdysvaltojen hallituksen ulottumattomissa. Näin voi olla esimerkiksi silloin, kun EU: n yhteisö on GDPR: n mukaan velvollinen toimittamaan tietoja yhdysvaltalaiselle emoyritykselle eikä yhdysvaltalaisella emoyhtiöllä ole tosiasiallista pääsyä asiaan.

Koska jokainen tilanne on erilainen, olemme laatineet alustavat näytekysymykset, joita voit käyttää ilmaiseksi saadaksesi lisätietoja siitä, onko EU-käsittelyratkaisusi tuomion mukainen:

Lataa: esimerkkikysymyksiä EU: n sisällä tapahtuvasta isännöinnistä, linkki Yhdysvaltoihin

  • Entä seuranta kuljetuksen aikana?

C-311/18 kohdassa 183 Euroopan unionin tuomioistuin totesi myös, että Yhdysvaltojen "kauttakulussa" toteuttama valvonta (kuten "ylävirtaan" tai vedenalaisten kaapeleiden hanat) rikkoo EU: n perusoikeuksia.

GDPR: n näkökulmasta otamme alustavan kannan siihen, että tällainen henkilötietojen ulkopuolinen manipulointi kuuluu lähinnä GDPR: n 32 artiklaan ("käsittelyn turvallisuus"). Tietojen viejän ja tuojan on sen vuoksi toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet suojatakseen siirrettyjä tietoja NSA: n / FBI: n napautukselta.

Ottaen huomioon, että Yhdysvaltojen hallituksella on valtavat valtuudet purkaa salaus, jokaisessa siirtotilanteessa on lähinnä tekninen kysymys siitä, onko tekninen ratkaisu mahdollista. Yhdysvaltain hallitus väittää käyttävänsä pääosin "valitsimia" (kuten sähköpostiosoitteita, IP-osoitteita tai puhelinnumeroita) ohjelmiin, kuten Upstream. Siksi minkä tahansa teknisen lähestymistavan on varmistettava, että tällaiset valitsimet ovat alusta loppuun-salauskerroksen alapuolella. Monissa suoran viestinnän muodoissa (kuten PGP-salattu sähköposti) "valitsimia" ei itse salata.

Voit käyttää yllä olevia esimerkkikysymyksiä kysyäksesi palveluntarjoajalta toimenpiteitä kuljetuksen valvonnan torjumiseksi.

  • Onko olemassa luetteloa yhdysvaltalaisista palveluntarjoajista, jotka kuuluvat näiden valvontalakien piiriin?

Ei ole olemassa täydellistä luetteloa kaikista Yhdysvaltojen palveluntarjoajista, jotka kuuluvat FISA: n 702 §: ään (50 USC § 1881a), koska kaikki "sähköisen viestinnän palvelujen tarjoajat" kuuluvat tämän lain soveltamisalaan. Sähköisen viestintäpalvelun tarjoajan määritelmä löytyy USC: n 50 §: stä 1881 (b) (4).

Samanaikaisesti useat yritykset ovat jopa julkaisseet niin sanottuja "läpinäkyvyysraportteja", joissa luetellaan FISA-käyttöoikeudet. Tämän avulla voimme tietää, että nämä yritykset ovat ehdottomasti FISA-tilauksen alaisia.

Täältä löydät joitain esimerkkejä (monet muut yritykset eivät yksinkertaisesti jaa tällaisia tietoja huolimatta FISA 702: n soveltamisalasta):

AT&T

Amazon (AWS)

Omena

Cloudflare

Dropbox

Facebook

Google

Microsoft

Verizon Media (entinen Oath & Yahoo)

Verizon

  • Kuka vastaa C-311/18: n laskeuman toteuttamisesta aiheutuvista kustannuksista?

Jos käytit SCC: tä aiemmin siirroissasi, laki ei ole muuttunut. Kaikilla EU: n / ETA: n ulkopuolisilla palveluntarjoajilla oli velvollisuus ilmoittaa sinulle sellaisista laeista kuin FISA 702 ja EO 12.333. Jos he eivät ole tehneet niin, he ovat vastuussa kaikista kustannuksista, jotka aiheutuvat SCC: n peruuttamisesta ja tietojen siirtämisestä takaisin EU / ETA: lle joko päätöksen 2004/915 / EY liitteen II lausekkeen tai päätöksen N: o 5 lausekkeen b mukaisesti. Päätöksen 2010/87 liite.

Privacy Shield -päätös oli väärä Euroopan komission päätös. Teoriassa vahingonkorvausvaatimuksia voidaan nostaa EU: ta vastaan SEUT 340 artiklan nojalla.

  • Voinko yksinkertaisesti käyttää GDPR: n 49 artiklaa kaikissa Yhdysvaltain siirroissa?

EDPB on katsonut, että 49 artiklaa voidaan käyttää vain " satunnaisiin eikä toistuviin siirtoihin ", mikä rajoittaa 49 artiklan yksittäisiin tilanteisiin, joissa käyttäjät ovat antaneet nimenomaisen suostumuksen tai jos siirto on ehdottoman välttämätöntä sopimuksen tekemiseksi (esim. Hotelli varaus ulkomaille).

Toisin kuin jotkut väittävät, käsittelytoimintojen ulkoistaminen ei ole ehdottoman välttämätöntä sopimuksen toimittamiseksi, jos teoreettisesti voisit käyttää myös EU / ETA-palveluntarjoajaa tai käsitellä tietoja yrityksen sisällä. Rekisterinpitäjien on myös pidettävä mielessä, että rekisteröidyt voivat peruuttaa suostumuksensa milloin tahansa.

Vaikka 49 artiklassa sallitaan pitää "perusviestintä" avoimena minkä tahansa maailman maan kanssa (Sveitsistä Pohjois-Koreaan), se on vain poikkeus välttämättömille siirroille.

Linkki: Suuntaviivat 2/2018 49 artiklan poikkeuksista

  • Kuinka voin arvioida, onko kolmannen maan laki yhteensopiva EU: n perusoikeuksien kanssa?

Schrems I -tuomion jälkeen vuonna 2016 29 artiklan mukainen työryhmä (nykyinen EDPB) antoi selkeät ohjeet siitä, mitä voidaan ja mitä ei voida pitää perusteltuna puuttumisena perusoikeuksiin demokraattisessa yhteiskunnassa tietosuojalainsäädännön suhteen (tietosuojalain 7 ja 8 artikla). peruskirja). Tässä valmisteluasiakirjassa tietosuojaviranomaiset ovat jo yksilöineet neljä keskeistä eurooppalaista takuuta, joita olisi noudatettava maissa, joihin EU: n tietoja lähetetään:

A. käsittelyn olisi perustuttava selkeisiin, täsmällisiin ja helposti saataviin sääntöihin;

B. Tarpeellisuus ja oikeasuhteisuus suhteessa tavoiteltuihin laillisiin tavoitteisiin on osoitettava;

C. Olisi oltava olemassa riippumaton valvontamekanismi;

Tehokkaiden korjaustoimenpiteiden on oltava yksilön käytettävissä.

Huomaa, että unionin tuomioistuin käytti ainakin kahta tämän ohjeen kohtaa mitätöimään Privacy Shieldin. Siksi voi olla hyödyllistä tarkastella ensin tätä työasiakirjaa.

Linkki: 29 artiklan mukaisen työryhmän valmisteluasiakirja 237