评估英国执法数据充足
欧洲数据保护委员会(EDPB)已发表关于欧盟(欧盟)执法指令(LED)的首次指导,该部门的一组规则规定了执法实体如何处理和转移个人数据。
尽管LED转移到各种欧洲国家的国家法律,包括英国2018年5月,但EDPB出版物首次标志着该机构首次提出了LED充足率的话题,如果它希望继续接受执法数据,这是英国的需求来自欧盟。
具体而言,EDPB发现了“必要等效”的“必要等效标准”施莱姆斯II所需的一般数据保护条例(GDPR)也适用于执法部门类似的方式,这意味着欧盟公民的数据正在处理当欧盟内部收到海外时,必须给出指令相同的保护级别。
因此,在GDPR和LED下,在GDPR和LED下,在没有这种“基本上等同的”数据保护水平的情况下,无法授予数据。
2021年2月15日,金融时报报告说,布鲁塞尔将授予英国的数据充足决定,以便允许欧盟和英国之间的持续无障碍数据流动,并指出决定草案被设定为结束批准。本周。
计算机每周联系欧洲委员会(EC),以澄清这是否指出了GDPR或LED下的充分性决定,并答复了在此阶段无法提供更多细节。
即使给予绿灯,也需要在实施之前审查的决定草案仍然需要仔细审查。虽然板本身没有权力阻止举动,但在欧共体可以充分采用决定之前,草案还需要从欧盟成员国签约。
数据保护专家声称,如果未能直接解决英国刑事司法部门(CJS)和情报服务的数据实践破坏欧盟公民的数据和基本权利,因此如果未能直接解决欧盟公民的数据和基本权利,则索赔LED下的任何充分性的决定可能主要是政治性。
如果没有解决这一问题,那么积极的充足决定可能会对欧洲法院的法律挑战开放。
“如果您查看英国的立法,2018年数据保护法案确实以相当体面的方式转换执法指令,”Vrije Universiteit Brussel和卢森堡大学讲座的研究员执法的数据保护,每周告诉计算机。“我认为委员会不得不迅速得出结论,英国立法是一种问题,尽管与LED不一样,但在警察和刑事司法领域提供了基本上等同的数据保护水平。
“您必须在充足的决定中评估的第二部分不是书籍的法律,而是我认为委员会将陷入困境的水域的实践,因为它将受到英国和欧盟的政治压力想要继续在警察和刑事司法领域合作的会员国。“
Sajfert表示,欧盟司法法院(CJEU)的安全港和隐私盾牌在美国的某些数据收集实践的基础上罢工,但“这些做法可以与英国的惯例相似“。
2020年7月16日,CJEU击中了欧盟 - 美国隐私盾牌数据分享协议,以确保在美国国家安全局(NSA)和其他美国情报服务中收集数据时欧洲公民在补救措施方面有足够的权利。
在奥地利律师举行案件的南部举行的施伦斯二世统治,发现人们必须在他们将其转移到美国和其他国家/地区的数据时“基本上等同的保护”欧盟根据GDPR和欧洲宪章的基本权利,担保人们私人通信权和保护其私人数据。
在退出欧盟时,英国将成为集团规则下的“第三国”,这意味着EC必须评估其是否为欧盟公民数据提供了基本上等同的数据保护水平。EC将不得不在GDPR和LED下做出这种决定。
执法指令和充分性
LED于2018年5月转为英国法律,作为2018年数据保护法(DPA 18)的第三部分,并为各种执法当局处理了法律执法目的的个人数据 - 来自警察部队和监狱向法院服务和财务机构进行调查职能。
LED包括如何进行国际传输法律执法目的的国际转让,详细说明三种不同的手段,通过该方法可以进行不同国家执法当局之间的个人数据转移。
其中的第一个是“适当的保障措施”。与GDPR不同,它提供了许多可用于确保等效保护的适当保障措施,LED仅允许两次国际协议或自我评估的保障措施,该委员会还必须解决保护基本权利和保证等价标准的保护。
如果未提供适当的保障,则执法实体也可以依赖于其国家对LED转换的减损,这本特别允许在成员国的国家法律中放松指令,以考虑其CJS机构的业务要求。
最终的大道,以及EDPB出版物的重点是充足的决定。如果授予,英国将不需要实施其他适当的保障或贬损,因此这是确保从欧盟到英国的执法数据的自由流动的最便捷方式。
edpb写道:“就实质病,充分性决定应专注于评估作为整体的第三国的现行立法,理论与实践,鉴于LED中规定的评估标准。对充足保护的任何有意义分析必须包括两个基本要素:适用规则的内容以及确保其在实践中有效实施的手段。
“这是欧洲委员会核实 - 定期核实 - 在实践中的规则是有效的。”
具体而言,EC需要考虑对法治的考虑;尊重人权和基本自由;和相关立法,以及其实施 - 本质上意味着必须对他们在实践中的工作方式进行评估,而不是理论上的法律。
它还需要查看英国中的数据权限的范围,特别是对个人数据被转移的受试者是否有有效的行政和司法补救。
例如,DPA 18包括纠正,擦除而不是自动决策的权限,但如果访问权弱,人们无法访问围绕它们的数据,那么它们间接禁止锻炼这些数据其他数据权限。
2020年12月,计算机每周报道,大都会警方未能充分遵守信息专员办公室(ICO)的执法通知,因为该部队未能履行主题访问请求(SARS),尽管仍然有数数百余额要求,监管机构没有采取进一步行动。
ICO发布一个月之前的一份报告还发现,警方的所有信息请求(包括FOI和SARS)的所有请求都没有按时完成。
最后,EC还需要评估英国独立监管机构,例如ICO,职能,以及英国与其他第三国订立的国际承诺。
这将包括英国参与五只眼联盟,例如,将其联系起来将其与加拿大,澳大利亚,新西兰和美国的监督和数据分享做法联系起来,以及英国是派对的任何国际协议或条约。
EC选择不响应计算机每周关于EDPB指导的问题。
如果欧共体决定在LED和会员国的适当情况下也批准,它将首次标志着该指令下的这种充足的决定,大多数执法数据转交欧盟目前受国际协议所治理的欧盟不考虑现在存在的基本等效标准。
由于它在2018年5月,AntorRA,阿根廷,加拿大,法罗群岛,曼西,以色列,新西兰,新西兰,新西兰,新西兰,新西兰,新西兰,新西兰,瑞士和乌拉圭,自从2018年5月生效以来,已经实施了十二月。被欧洲委员会被认可为适当的司法管辖区。
根据2020年的研究论文,比较GDPR和Laura Drechsler的Laura Drechsler,VRIJE Universiteit Brussels的博士研究员,他们专注于LED的数据转移,两个决定需要“正确分开......即使他们的目标是实现相同的基本等价标准,他们的保护系统对执法环境中的个人数据处理的问题不同于“。
但是,虽然数据保护专家每周告诉计算机,但是英国的LED承诺通过其在DPA 18中的转换,智力服务和CJS内的某些做法可能破坏该国根据指令确保积极充足决定的能力。
具体而言,他们引用了英国和美国之间的密切关系,其中后者在施莱姆斯I和Schrems II中发现,缺乏足够的数据保护标准,以及英国自己的侵入式监督制度,这已被列入在2016年调查权力法案中,否则被称为“Snooper的章程”。
英国警察和更广泛的CJS越来越多的美国公共云服务的使用也被认为是英国获得LED充足率的能力的潜在巨大问题,因为潜力远程访问该数据及其向内转移到非 - 司法管辖权。
专家索赔EC在这方面授予的任何积极的LED充足决定,可以通过允许将数据送给具有较低保护的管辖权的数据来破坏欧盟公民的基本权利,并在欧洲法院开启决定达到法律挑战的决定。
Owen Sayers是一个拥有20多年的独立隐私顾问,在为英国CJS提供国家监管系统中有超过20年的经验:“GDPR下的CJEU裁决不能简单地应用于LED,但似乎法院似乎将普遍存在相同的逻辑,而可能由于滥用执法个人数据而导致的潜在危害增加,保证率更高。
“这是,毕竟,主要是为什么LED是来自GDPR的独特立法。”
在eDPB出版物中写入OP-ED响应,Drechsler指出,虽然尚未知道其他国家甚至被考虑为LED充足性,但EDPB文件旨在作为“一般指导”和“对特定的洞察力很少英国的案例“。
她说,一些关于GDPR充足性的问题也适用于LED充足性,但“英国与美国之间的密切关系尤其适用于LED充足率的头痛”。
Drechsler补充说:“与英国成为第三国,任何向美国执法权力的任何转移都将有资格作为”上市转移“。也如EDPB所指出的,这种向内的传输需要在LED下特别安全。他们总是需要在欧盟的成员国中授权,该数据来自源自的数据。在实践中,美国当局不能对来自英国执法当局持有的欧盟的数据没有种类的无缝访问权限。“
她说,英国是否会实现LED充足仍然是一个开放的问题,但是“希望委员会对英国的评估,以获得GDPR充足率并未完全从LED充足决定中脱离所有资源”。
“美国当局对英国执法当局举办的数据潜在获取的问题,特别是从欧盟转移到欧盟的行为不得落下裂缝。”
Drechsler说:“我认为英国有一些问题,这是基本的,我不确定可以很容易地修复。”她补充说,以前的法律判决指出了英国监督制度与基本人权的监督制度不相容。
“斯特拉斯堡有这种情况......基本上讨论了英国的整个监测法系统,第一个决定已经非常严格,找到了一些真正的缺陷,这些补救措施和程序,这是法院总是坚持的事情,”她说。
“我肯定认为单独的充分决定不会削减它,所以他们必须做一些额外的安排,就像他们与日本一样。我担心这次六个月的六个月后会有一些东西[贸易合作协议提供],因为有很大的压力。“
Sajfert指出,当检查英国国家安全装置,特别是GCHQ的能力以及它们可以拦截来自欧盟的数据的方式时,将出现“这种充分性评估中最大的困难”。
除了英国的批量拦截实践外,欧洲司法法院的初步法律意见在2020年1月,欧洲司法法院的初步意见以及与美国智力服务的密切关系,Sajfert表示en-Masse采用英国警察的公共云服务“肯定会造成一个巨大的问题”。
遵循信息自由(FOI)调查后,计算机每周在2020年12月透露,英国警察部队在未能在部署之前未能进行数据保护检查后,英国警察部队非法处理超过一百万人的个人数据。 。
计算机每周也发现警察部队未能遵守DPA 2018的关键合同和加工要求,例如对国际转移的限制。
警察部队声称数据正在存储在微软的英国数据中心区域,但该公司在自己的网站上表示,云服务等云服务等例外,“其中备份Web-和工人 - 角色软件部署包到美国无论部署区域如何“。
同时,计算机每周获得的国家数据保护影响评估(DPIA)甚至没有提及Microsoft作为处理器。
从文件中遗漏意味着与美国公司有关的美国公司相关的风险,尚未明确解决或有效减轻了美国政府监督权,即使采用该服务正在增加和各项部队的警察部队人数英格兰和威尔士现在已经注册了滚动了该计划。
Drechsler同意,英国警察的公共云服务的增加“绝对是委员会应该看的东西”,并补充说,主要问题是欧盟公民数据向美国潜在的潜在潜在的转移。
“对我来说,我在上海转移中看到了一个问题,”她说。“因此,您将数据传输到英国,包含在此云中,基本上与之相关,他们正在向美国转移数据。这通常是LED中的东西,必须基于所述数据来自的执法权威的授权。“
虽然Drechsler表示,可能有技术措施解决微软或美国公共当局的远程访问问题,但她不确定这些可能是什么,并且需要有所了解,以确保每次向前转移都适当授权。
尽管在LED中的海外数据转移,但其中心地位为充分的决定,但Drechsler还指出,没有实际定义是在LED或GDPR中构成国际数据转移的实际定义。
“例如,目前尚不清楚互联网页面上传信息或在第三国中的云服务器的上传始终也构成了该个人数据的国际转移,”她在一月2021年1月发布的研究文件中写道。“这意味着越来越困难地确定个人数据处理操作(也)是否构成个人数据的传输。”
Drechsler每周告诉电脑,欧洲法院从未具体确定了技术水平,在案件法中构成转移。
“如果你看起来有点多年来已经提出的定义,通过EDP,还由委员会审议,他们经常试图包括这个元素,转移必须是故意或知识,”她说。“在法庭法院的情况下,我不认为这是对此的任何支持,这只是从未讨论过这件事。在论文中,我说只要它访问,它就会是一个转移,我认为这是我们的最小值。“
2020年11月,EDPB公布了有关在施雷姆斯之后可以促进在GDPR下转移的补充措施的指导。虽然该文件没有提及LED,但在“从位于欧洲区内的第三个国家的实体远程访问的脚注也被认为是转移”,表明EDPB至少,如果不是EC,则对Drechsler的内容进行了类似的观点。
Sajfert不如国际转移缺乏正式定义那样关注,这主要是因为未来的技术发展可能会改变数据如何从一个地方移动到另一个地方,因此使定义冗余。“对我来说,一次国际转移是,非常简单地说,每次数据都离开欧盟 - 包括当它被从 - 或者存储在第三国,”他说。
“如果执法当局决定将数据存储在欧盟以外的数据,通过使用云服务提供商或哪个东西,他们必须意识到他们决定这样做的那一刻,他们触发了LED的五章的应用和所有要求关于国际转移必须满足。“
Sajfert进一步指出,许多基于欧盟的执法部门还使用美国公司或云服务。“这些是往往不符合LED的实践,但是监督,执法和前后控制很弱,”他说。“如果你有自己的执法当局做同样的事情,那么英国可能会将其提升为争论。”
如果EC发现英国的某些做法排除了它的充足性,“这将不可避免地使得制定27个成员国迫切地纠正他们在自己做法中的这些缺陷”。
然而,越来越多的非欧盟或英国云服务的使用不仅限于警方,并且有证据表明,这可能是英国更广泛的CJS的问题。
例如,目前被司法部(Moj)向英国和威尔士发布的共同平台旨在为她的陛下的法院和法庭服务(HMCTS)和皇冠检察机关提供统一的数字工作方式(CPS )工作人员,以及其他参与者在刑事案件管理程序中。
但是,根据FOI下的DPIA中的信息,它也在Microsoft Azure上托管在Microsoft Azure上。
与其M365对应物一样,这种平台的DPIA看起来似乎不符合使用美国云提供商的风险,以便在该系统中共享和转移被告,证人,受害者和律师细节。
根据Sayers,即使英国接受了LED充足率,DPA 18也希望转移到非执法接收者进行“不经常,只能通过例外地进行”,因此添加了基于非英国的IT服务或者公开的超越云现在将是法律上的。
“家庭办公室,警察,法院和CPS使用M365,特别是因为英国退出欧盟并迫切需要审查他们的所有DPIA和服务条款,所以急剧审查,所以更加复杂。”
“我看不出有关在Brexit后的英国DPA景观中持续或合法地实现的持续使用程度,以及促进或依赖于他们的任何方案都不可能在没有被接受的长期普遍风险,以及一些方案忽略了英国法律的一部分。“
他加了:“LED充足率将不愿意向英联邦,英国海外领土或其他[第三个]国家的数据转移到英国 - 以及英国的任何努力将其添加到自己的充足制度列表中,将危及欧盟的充分性。
“英国和欧盟将需要长期保持大致对齐,以维持数据转移制度,这可能在威斯敏斯特不好玩。”
询问EC如果在LED充足的决定中将考虑越来越多的云使用云,但没有收到任何反应。
如果没有LED充足的决定,当局将不得不依赖国际协议或自我评估的保障措施来转移法律执法目的的数据,但是,根据Drechsler的说法,这些据某项问题讽刺。
“LED在实践中,令人担忧的是,在实践中,为执法目的进行国际数据转账,这些目的是在缺乏保护基本权利的情况下或在自我评估的基础上发生对于执法机构进行转让的基本权利,“她在研究论文中写道。
“特别是后一种选择是关于基本权利的角度,由于缺乏任何内在的前赌注或评估的前后审查。”
目前,大多数国际数据转移都是根据国际协定进行的,例如司法援助条约(MLAT),但Drechsler指出,许多这些协议没有解决人权问题或提供有效的额外保障措施,因为他们在Schrems判决之前写的。
“原来,欧盟和美国已终结过MLAT,以便通过执法当局能够交流个人数据,”她写道。“然而,本协议不包括欧盟基本权利的足够保障保障措施(对Schrems中的CJEU决定发生紧急的问题),因此欧盟和美国结束了伞协议,以提供额外的数据保护保障保障措施。
“根据委员会的说法,伞形协议”追溯“解决了所有数据保护问题,即执法转让对美国,并且甚至应该成为未来关于执法交流协定的典范。”
然而,Dechsler进一步指出,“对伞协议的快速分析揭示了它最有可能不会通过施莱姆斯和Schrems II中的CJEU的审查”,主要问题是该协议没有讨论美国法律的规定这是评估第三国是否确实提供基本等同的保护。
“在执法领域现有的国际协议未能达到基本等价标准的问题,这进一步加剧了许多这些国际协议的更新似乎不太可能,”她写道,根据这些困难,“LED充足的决定代表了改进的机会”。
计算机每周要求EC,它是否希望将国际协议与等效保护的标准纳入一行,但是被发送到在线新闻简报的链接,而是发言人回答了英国监督制度的问题。
欧共体发言人说:“当然,我们非常了解您提出的问题,但在采取决定之前,您将理解,我无法评论。欧洲委员会正在努力为联合王国的所谓充足的决定,欧盟 - 英国贸易与合作提供了促进解决方案,以便在6月底之前提供数据流量的稳定性和连续性。
“与英国的充分性谈话得到了很好的高级,并预见到即将开始的收养过程。采用充足的决定需要从欧洲数据保护委员会和来自会员国的绿灯的意见。批准过程将以透明的方式进行。“
发言人毫无疑问,关于在LED,GDPR还是两者都是在LED下制造这种充足的决定。
根据Sajfert,LED与GDPR之间的恐惧可以追溯到里斯本条约,2009年生效。
“因为里斯本条约已向IT宣言 - 宣言21号 - 说,虽然欧盟现在将对个人数据保护的立法有强烈的法律基础,但它应该考虑到警察和刑事司法当局的具体他说,并立法对他们不同,“他说。
Sajfert补充说,当EC在2012年开始做出新的建议时,“它没有提出一个关于警察和刑事司法当局的具体规定的数据保护法;相反,它决定为其他一切进行规定,除了警察和刑事司法 - 所以我认为这是两者之间这种差异的起点“。
他还表示,GDPR方面已经吸引了显着的关注,主要是因为它对公共和私营部门更广泛的范围和应用。
“该指令是一个更小的范围仪器 - 它只适用于警察和刑事司法当局,只有当他们处理某些目的的个人数据时 - 所以这是一个更有限的仪器,”他表示,并补充说,并行谈判正在进行随着GDPR承担了所有的关注,在两项指令生效后继续存在的东西。
“大多数数据保护监督当局和欧洲机构的努力都集中在GDPR上 - 该指令没有空间或资源,”他说。“很少有人实际处理LED。通过GDPR,有大量的人致力于它,或者试图成为专家或专家,因为它是有利可图的。该指令不是 - 你不会赚钱,所以我们很少有人从自己的利益中这样做。“