欧洲法院决定施雷姆斯和脸书之间争议的欧盟数据分享的合法性
欧洲的大教堂将于周四决定,公司是否在欧洲,美国和其他国家之间分享数据的法律协议是违反欧洲法律的。
欧洲司法法院(ECJ)的决定可能导致依赖被称为标准合同条款(SCC)的合同协议的公司中断,以符合欧洲数据保护法的海外数据。
企业也为“核选”为“核选项”,即法院可能选择击败隐私盾牌,使欧洲和美国允许欧洲和美国分享数据的总体协议,而不会对欧洲的数据保护法犯规。
爱尔兰数据保护专员Helen Dixon带来的情况是奥地利律师Max Schrems对Facebook爱尔兰的长期战斗的一部分。Schrems挑战了社会媒体公司对美国个人数据转移的合法性。
在它的心脏是欧洲一般数据保护条例(GDPR)之间的冲突,它为欧洲公民提供了数据隐私,美国大规模监督立法,使美国情报机构一旦到达,我们就会获得来自Facebook等公司的数据美国海岸。
爱尔兰高等法院向欧洲司法法院提到了11个问题,这将在本周举办回应。
对于依靠SCC和隐私盾牌分享海外数据的公司,法院决定有很多骑行。
“重要性是巨大的,因为案件正在质疑每个人被视为经营的法律机制,这些机制已经运作了几十年来,即律师事务所Hogan Lovells的合伙人的合作伙伴,Eduardo Ustaran说。
“部分国际贸易正在处理,交流和分享个人数据。所以这种情况,这谈到了是否是合法的或不是,绝对是至关重要的“Eleonor Duhs,Fieldfisher律师事务所现场菲尔菲尔菲尔德菲律券的隐私和信息法集团董事埃莱翁·杜理由表示,该案件可能对国际贸易产生影响。
“我们做国际贸易方式的一部分是关于处理,交换和分享个人数据,”她说。“所以这种情况,谈论这是合法的,绝对至关重要。问题是,可以继续吗?“
根据业务软件联盟,案件中的一方,截至2019年10月,美国超过5,000家公司依靠隐私盾牌。超过100,000家公司使用SCCS与美国和其他国家/地区分享数据。
欧洲司法法院通常 - 但并非总是 - 遵循倡导者的意见。
2019年12月,倡导将军Henrik SaugmandsgaardØe颁发了一项初步意见,发现标准的合同条款是合法的。
他认为,SCC的责任应该落入国家数据保护监督员的手中 - 在这种情况下,爱尔兰数据保护专员 - 如果他们未能达到欧盟法律,则暂停数据转账。
虽然SaugmandsgaardØe发现欧洲司法法院无需作出隐私盾牌的决定,但他确实提出了关于其合法性的严重问题。
他说:“我对美国保证的担保有效性,”我担心了,“我担保了疑虑,在他们的情报服务的情况下,”我担心了。“
然而,它远非肯定,欧洲司法法院将遵循SaugmandsgaardØE的建议。
据熟悉该诉讼的人,与SaugmandsgaardØE相比,主持此案的法官似乎认为法院无法统治标准的合同条款,而没有裁决隐私盾的有效性。
法庭可以考虑的一系列情景,在最极端地免于无效的SCC或隐私盾牌或两者都是。
法院也可以选择保持SCC,但为公司提供更多责任,确保他们遵守欧盟数据保护法。
它可能会争辩说,爱尔兰数据保护专员Helen Dixon已经拥有她所需的权力,她需要融入SCC协议,例如Facebook爱尔兰和美国Facebook Inc之间的协议。
对于企业来说,最糟糕的情况是法院的决定宣布标准的合同条款无效。
“这将是巨大的,”FieldFisher的Duhs说,“因为这是用于转移数据的最常用机制。”
国际隐私专业人士协会的研究表明,约有88%的国际转移依赖于SCC。
“如果法院说SCC不合法,那真的非常重要,真正令人担忧,”她说。
虽然不太可能,法院可能决定使隐私盾牌无效。
Facebook介绍了关于隐私盾牌的法律论据迟到,争论,如果美国监督法不是隐私盾牌的酒吧,那么它不应该是SCCS的障碍。
尽管如此,这里有先例。返回2015年,法院对隐私盾牌的前身安全港,无效。
然后法院发现,安全港无法防止美国情报当局的大规模访问权限到从欧洲转移的数据,因此没有提供足够的数据保护水平。
一个可能的结果是,在决定隐私盾牌的未来之前,ECJ将等待另一个案例。
这种情况可能不会很长。隐私盾牌面临法国在线隐私和反审查Groupla Quadraturedu Net(LQDN)和其他人在欧盟总法院的独立法律挑战,比司法法院较低。
他们认为隐私盾牌在欧洲联盟的基本权利宪章下违反了隐私权的基本权利,隐私盾牌无法向欧洲公民保证有效的措施,防止美国的数据,并且它不提供等同的保护欧盟数据法。
欧盟和美国对隐私盾牌的未来进行了密集的讨论,预计即使它不是无效,这次是,它可能来自ECJ的批评。
另一种情景是欧洲司法法院通过允许SCCs保持有效,遵循倡导者。
但它将使公司的ONUS在公司与美国交换数据时,他们遵守欧盟法律。
这可能意味着要求美国公司透露关于他们对美国情报服务的数据披露的透明度报告,可能需要他们反对与欧盟法律冲突的国家安全请求。
“您需要使用提供更大透明度的合同充值SCC。您可以签订合同,说如果您有披露,请确保他们遵守法律,要求法院命令,只能以最小的方式响应,“Hogan Lovells的Ustaran说。
但是,法院可能会选择加强数据保护委员会已经在警察标准合同条款的充分性方面的作用。
这是爱尔兰数据保护委员会,海伦迪克森在Schrems和Facebook之间的争议中拒绝的选择。
“由于没有[暂停Facebook的数据与美国的数据共享]而言,已经有四年的数据流量在Facebook爱尔兰和Facebook公司之间不应该发生的2.5亿或3亿个Facebook用户”Gerard Rudden,Ahern Rudden迪克森认为,如果她在爱尔兰采取行动,那就冒着欧盟缺乏协调的风险。她向欧洲司法法院提交了澄清的问题。
Gerard Rudden,代表Schrems的奥赫Rudden合作伙伴,以欧洲司法法院要求爱尔兰的数据保护专员暂停来自Facebook的数据流量作为其客户的最佳结果。
“这就是我们所寻求的,这就是倡导者向法院推荐的倡导者,”他说。
数据保护专员可以四年前暂停Facebook的数据与美国共享,没有界定欧洲委员会。
“由于没有这样做,已经有四年的数据流量在Facebook爱尔兰和Facebook公司之间不应该发生的2.5亿或3亿个Facebook用户,”Rudden说。
“我们说的是,Facebook是不必要的,将所有这些数据转移到美国。它们可能是为了他们的结构原因和盈利能力所必需的。但它实际上并没有严格必要,“他说。
Schrems认为,法院裁决的潜在影响使数据转移到美国更加困难,已被公司和大厅群体夸大。
如果案件是倡导者的倡导者的意见,并将关于数据保护当局的责任暂停与美国的数据共享,其中大多数组织与美国共享数据不会受到影响。
将受到影响的公司是“电子服务提供商”,包括Facebook,具有与美国国家安全局和其他美国政府组织分享个人数据的法律义务。
“SCCS仍可用于美国某些行业部门。例如,防御,航空公司,酒店,制造业,物流 - 所有这些都不属于这些美国监督法。所以没有理由在这里停止数据转移,“他说。
其他公司可能只决定将其数据存储在欧洲。“这对公司来说往往更便宜,因为没有较少的合规性成本。你不需要律师,你不需要文书工作,你可以在一夜之间获得更多或更少的服务器。“
无论做出什么决定,欧盟和美国或欧盟和其他国家之间的数据转移不会停止过夜。“我觉得必须有一个宽限期,”Duhs说。
“我看不到他们直行对抗公司。我认为数据转移是国际贸易的一部分,需要继续前进,特别是在目前的危机中,我们都对资源进行了如此多的压力。我想,你知道,突然停止所有数据流动将是一个巨大的交易障碍,“她说。
“世界不会停止,但监管机构将鼓励企业找到其他机制来转移他们的数据,”乌斯塔兰说。
“企业将受到压力,以证明他们的合规团队,他们的审计师,他们的运营是合法的。他们需要在他们在海外转移数据时减轻他们数据的隐私。“
欧洲委员会正在开发新的标准合同条款,如果法院发现现有的SCC问题,可能会加速这项工作。
尽管如此,Duhs表示,过渡期可能难以困难,并且将不可避免地占用时间和资源。“在企业努力与资源挣扎的时候,这将是非常不受欢迎的,我认为和有问题。”
欧洲法院的决定也可能在Brexit后对英国产生影响。从英国到欧盟的数据转移将不受影响,直到2024年。
大问题是欧盟是否总结说,英国为欧盟公民提供足够的保护,在英国监督法下,调查权力法案。
如果不是,公司将需要依靠标准的合同条款将数据从欧盟转移到英国。“我们尚不知道这些谈判的结果是什么,”Duhs说。
Max Schrems与欧盟和美国的战斗
2000年7月26日:欧洲委员会决定允许在安全港下符合自我认证的组织之间欧盟和美国之间的数据转移。欧洲监管机构如果安全港的原则遭到破坏,有权暂停数据转移。
2008: 奥地利律师Max Schrems开始使用Facebook。
2009年12月1日:基本人权的欧盟宪章是有法律地位。第7条规定尊重私人和家庭生活。第8条要求保护个人数据。
2013年1月:Facebook的首席运营官Sheryl Sandberg,Lobbies World Leaders在一系列一对一的会议上,为违法的违法行为,最终成为一般数据保护条例(GDPR)。
2013年5月:爱德华斯诺登揭示了美国国家安全局(NSA)在大规模的全球范围内拦截和监测电信和互联网。
2013年6月6日:华盛顿邮政揭示了棱镜计划的存在,使NSA能够从包括Microsoft,Google和Facebook的互联网提供商收集个人数据,包括电子邮件,照片和视频,包括Microsoft,Google和Facebook。
2013年6月25日:Max Schrems向爱尔兰数据保护委员会反对Facebook爱尔兰进行正式投诉。他引用了可能的原因,即Facebook正在违反爱尔兰数据保护法和欧洲数据保护指令,通过向NSA提供“大规模接入”。
2013年7月25日:Data Protection委员会爱尔兰拒绝了Schrems的投诉,争论它是轻浮和无理的。
2013年7月31日:GuardianNewSpaper报告了顶级秘密NSA程序X KeyScore的存在,使其能够收集互联网用户在线的几乎所有内容。
2014年6月18日:在爱尔兰高等法院,德军霍根法官要求欧洲司法法院确定爱尔兰数据保护委员会是否受到安全港协定的约束。判决发现,美国经常访问“质量和未分化的基础”的个人数据。
2015年3月25日:欧洲司法法院开始考虑Max Schrems带来的隐私案件。案件对安全港的合法性有影响,这允许欧盟和美国之间的数据转移。
2015年10月6日:施法后,允许欧盟 - 美国数据转移的安全港协议的法院是无效的。
2015年11月20日:Facebook爱尔兰与Facebook Incto在Facebook的欧洲客户转移数据的签署,使用标准的合同条款(SCCS)作为隐私盾牌的替代品。
2015年12月1日:Schrems文件的更新诉讼是爱尔兰DPC。他询问爱尔兰数据保护专员在美国禁止Facebook Ireland和Facebook Inc之间的裁决禁止在Facebook Inc,Facebook Inc的基础上通过棱镜收集计划非法使我们提供给我们的资料。
2016: 爱尔兰数据保护委员会在爱尔兰高等法院举办针对施德姆斯和Facebook的法律诉讼,以将欧洲司法法院提交进一步的问题。
2016年6月28日:美国司法部认为,爱尔兰数据保护委员会对Facebook和Max Schrems带来的法律案件提出了国家安全问题。
2016年7月8日:Facebook和爱尔兰商务索赔在法庭上,如果成功,对SCCs的法律挑战可以从欧洲的GDP削减1%。
2016年7月19日:在一个不寻常的举动中,爱尔兰法院加入了美国政府的案件。欧洲隐私信息中心,一个非政府组织,商业软件联盟和数字欧洲也加入了案件。
2016年7月26日:爱尔兰高等法院同意为欧盟和美国之间的数据转交合法性为期三周的聆讯。
2017年2月7日:数据保护委员会爱尔兰在都柏林商业法院对Facebook和Schrems开始了法律诉讼。Helen Dixon认为,法院应要求欧洲司法法院决定跨大西洋数据转移渠道违反欧盟公民的隐私权。美国政府认为,案件可能会彻底进行商业后果。
2017年10月3日:他们的高等法院决定向欧盟和美国之间的数据转移有效期询问ecjto统治。法院对维护保障裁定,以保护欧盟数据在其棱镜和上游计划下受美国NSA收集。
2017年10月11日:美国政府的律师争辩说,它是“批判性的”,即当一名都柏林法院提出对欧盟和美国的数据转移的合法性问题时,它的观点是听到的。
2018年1月:正义Caroline Costello宣布,在法律论证四天之后,法院将花时间制定要投入欧洲委员会的问题。Facebook将申请纠正2017年10月在早期裁决中进行的“某些事实错误”。
2018年5月2日:Facebook无法推迟Dublin的高级托管试图推荐的主要问题,可以决定欧洲和美国之间的数据转移到欧盟司法法院的合法性。
2018年4月12日:爱尔兰高等法院提出了欧洲法院的决定提出了11个问题,这些司法法院将测试公司是否可以根据Edward Snapden的披露在美国披露中,美国从事欧盟公民的大规模监控,公司是否可以合法地将数据转移到美国。
2018年5月9日:爱尔兰高等法院提出了11个关于SCCS和隐私盾牌到ECJ的有效性的问题。
2018年11月1日:Facebook对爱尔兰最高法院提出了前所未有的呼吁,试图将爱尔兰高等法院推荐关于欧洲司法法院的欧盟数据转让协议的有效性的问题。
2019年1月21日至23日:都柏林的最高法院从Facebook中听到了一项为期三天的呼吁,反对爱尔兰高等法院的决定,提及欧洲和美国之间的数据传输合法性的问题,在美国政府提供证据。爱尔兰数据保护委员会Arguesthat Facebook试图通过欧洲法院的不利发现,即SCC是非法的。
2019年12月12日:倡导者将军Henrik SaugmandsgaardØe在初步意见中发现标准的合同条款是合法的,但提出了对我们对隐私盾牌合法性的影响的问题。