隐私后盾,BREXIT数据的机会有什么机会?
7月16日2020年7月16日从欧洲司法法院(ECJ)裁决,隐私盾牌 - 使数以千万英镑的组织能够将数据转移到欧洲的法律机制 - 是无效的,对技术行业具有巨大的影响以及更广泛的跨大西洋贸易。
然而,随着英国现在脱离欧洲联盟(欧盟),该决定还为Brexit设定了先例,其中包括基于英国的组织的主要后果,目前在过渡期结束后当前在渠道上转移数据。
Mark Kahn,一般律师和部门政策副总裁,数据平台服务的供应商表示:“当上周欧洲央章裁定隐私盾牌时,它使两名重要贸易伙伴之间的伞安排失效了。
“裁决在欧盟 - 美国数据转移的未来提供了很少的清晰度,而其影响尚未得到完全理解,我们肯定可以预计数据保护当局在此案例中评估合同协议。“
Kahn表示,随着裁决,法院致以一致的声明,有利于史式数据保护权,对英国未来与欧盟的数据关系间接设定“有趣的挑战”。
“对英国数据充足率的任何评估现在都肯定会受到审查的增加,使EEA [欧洲经济区]和英国之间的自由转移远离Brexit过渡期后的某些资料,”他说。
伦敦律师事务所Hunton Andrews Kurth LLP的Bridget Treacy伙伴说:“显然,对美国机构和情报服务”的力量显然是非常广泛的审查,向酋长信息提供访问,并就像在欧洲充足名单上的所有其他国家一样访问它。
“英国也将受到审查的影响。因此,一旦我们在欧盟范围内并申请来自欧盟委员会的充分认可,我们就可以预期,我们的立法也将受到审查,就像美国一样,事实上,因为其他国家就足够的名单就是这样也是。
“那就是存在不确定性的地方,你知道会有紧密审查,可能会提出一些问题。我不认为这是英国的直接路径,以通过该测试并被指定为适当的。“
随着上周每周报告的计算机,Kahn和Treaccy并不孤单在这项评估中。丹尼尔·托利斯(律师事务所Harbottle&Lewis)的数据和技术负责人还表示,判决提出了对组织能力在欧盟和英国之间轻松移动数据的问题,特别是鉴于英国监督法的国家及其成员国五只眼,忠诚的智力共享联盟,也包括澳大利亚,加拿大,新西兰和美国。
与此同时,公开权利小组执行董事Jim Killock表示,这是不可避免的英国的监督制度现在将在判决后遭到质疑,因为欧洲已经明确表示它已经拒绝了隐私盾牌,精确地过度监测担忧。
特雷西表示,在英国离开欧盟之前,国家安全和监督不是欧盟竞争力下降的领域,但在Brexit过渡期结束后会显然变化。
“一旦我们离开欧盟,那么这些法律就会受到审查和评估,正如我们在隐私盾的背景下与美国见面,”她说。“这是在充足的评估的背景下被标记为英国的潜在障碍。
“这也很有趣,也有一些关于判决的评论,思考那些和更广泛的背景,因为当然,美国和英国是五个眼睛框架和另外两国的成员评估为新西兰和加拿大。有趣的是,看实际上是否重新打开,这些国家是否受到额外审查。“
它也可能被认为是讽刺的讽刺意味着欧盟对其成员制定的监督法没有说,因此欧盟可能有哪些国家比英国有更严格的监督法,从技术上开放了这种可能性,欧盟公民数据可以在英国举行比在颁布的成员国中更安全,例如,颁布的不公平监督立法,或损害其司法机构的独立性。
Treaccy指出,英国明确旨在从数据保护角度被评估为足够的管辖权,这可以在与2018年数据保护法案中的一些战略决定中看到,这超出了一般所需的基础单独的数据保护规范(GDPR)。
“我们试图在某些方面,在某些方面,这里比欧盟更广泛的数据保护法,显然是为了帮助这种充足的评估,”她说。
“重要的是要注意的是,这种判断将成为英国法律的一部分,因此我们将继续注意它,即使我们离开欧盟之后,我们需要遵守它所需的内容,因为这将是我们法律的一部分。“
特雷西认为,鉴于这些因素,加上英国法律制度的独立性及其数据保护监管机构等其他因素,以及辛勤人有权获得法律补救的事实,英国勾选了很多盒子。
“这是一个未知的是我们的监督法如何评估,”她说。“在一天结束时 - 你也看到了隐私盾牌谈判,这不仅仅是一个纯粹的客观评估 - 也将有其他因素将被讨论并考虑,并且并不总是清楚的是什么他们是。”
当我们等待成果的任何一种方式时,组织对于对英国的数据充足率的最终决定做好准备,并且分部的Kahn表示今天值得考虑这一点。
“最近的ICO声明确认,英国企业现在可以继续依靠隐私盾牌 - 明确迹象表明英国希望将自己与欧盟的方法相比,”他说。“在加法方面,这意味着英国企业可能期望在过渡期后跨大西洋数据转移更直接的路径。然而,随着欧盟,事情变得变得更加复杂。
“无论英国的结果,ECJ裁决明确表示企业需要确切地知道他们的数据,以及它如何流过他们的系统和服务。在伦理的情况下,在伦理水平方面不再足以进行最低限度 - 在监管不确定性的时代,这也是未来的遵守方式不明智的举动。“
JMW律师公司的联营公司表示,英国基于基于组织的组织可以在最前面的职位上放弃自己的职位。第一步是审查个人数据流入EEA,识别依据转移个人数据的关键机制,特别考虑到标准合同条款(SCC),这应该是欧盟释放新的修订。
跨国公司应考虑如何使用任何当前的EEA批准的绑定公司规则,以便进出英国,并更新他们以将英国的新地位作为第三国。
IFE还建议更新文档和隐私声明,以涵盖英国充足规则下的英国 - EEA数据转移,如果您还从美国转移数据,请检查任何转移数据的人,以便对其承诺遵守所需的更新隐私盾牌。
基于英国的数据控制器在EEA中没有办公室,但在欧洲公民上转移数据,还应该考虑在GDPR第27条下任命当地欧洲代表 - 并逆转为欧洲控制人转移英国公民的数据。
最后,IFE表示,组织需要审查隐私声明,数据保护影响评估(DPIAS)和其他文件,包括更新对欧盟法律,英国 - 欧盟数据转账等的更新引用。