On 14TH. 5月2021年, 爱尔兰高等法院(高等法院)驳回了对爱尔兰数据保护委员会带来的法律挑战 (DPC)关于其调查和暂停欧盟 - 美国的决定草案。申请人组织个人数据的数据转移。

背景

这些诉讼在2020年7月20日欧盟(CJEU)法院的Schrems II决定,维护了使用标准合同条款(SCCS)的数据转移到第三国。该决定澄清了控制人员和处理人员根据适用于SCC的当地法律,评估其遵守SCC的能力,并在依靠SCCS并采取补充措施以消除任何不合规的风险。

DPC...启动了其“自己的意志”调查,进入申请人组织的欧盟美国。数据转移并通过了初步决定草案,由于缺乏足够的保护对美国的个人数据以及申请人组织未能实施补充措施的个人数据,暂停个人数据。 DPC为申请人组织分配了21天的时间,以便向DPC措施提交它计划以使数据转移成为可能。申请人组织向若干理由提起司法审查诉讼。法院驳回了DPC的提交,即PDD及其程序不适合司法审查,并审查所提出的每个理由。

考虑了显着的问题

法院认为,它在2018年爱尔兰数据保护法(DPA)和一般数据保护法规(GDPR)下,初步决定和程序步骤实际上是合法的,法院在DPC的权力下。

法院认为,关于该问题,DPC是否有义务在他们发布初步决定之前进行调查,发现DPC已经在开始询问之前已经有了“大量”信息,并考虑到这一点,这是公平的对于DPC开始查询,未经进一步调查。初步决定规定了DPC对欧盟 - 美国的初步意见。有关数据转移,并为申请人组织提供了机会,以提交影响决定的最终草案。

根据DPC建立的合法预期,法院确定申请人组织在DPC关于DPC调查的年度报告中依靠的信息不足以建立合法的预期。 DPC在年度报告中的陈述是合格的,并描述了一个说明性程序,因此不适用于所有程序。

在提供给申请人的时间表,以回应欧盟 - 美国的询问。转移,法院发现,由于DPC在行使其权力和“在合理的时间内”迅速行动和“合理时间内”迅速行事义务,授予申请人组织的21天批准。

在发布关于欧盟 - 美国的初步决定之前,未能等待欧洲数据保护委员会(EDPB)的指导。还讨论了数据转移。 CJEU已经澄清了控制人员使用SCC的义务。高等法院发现,在行使其权力并进行调查之前,DPC不必等待EDPB的建议或指导。

现在将举行DPC调查的终止,DPC将能够继续进行询问。一旦它最终确定其决定,DPC有义务向其他有关欧盟监管机构发送其审查的决定,以考虑到他们的意见。

下一步和结论思想

后施施后II控制器和处理器需要评估他们的转移到第三国,如果他们可以遵守SCC的条款并在必要时实施补充措施,以降低不合规的风险,只能依赖SCC。监督机构可以向组织转移启动自己的询问。如果他们符合其GDPR义务并遵守公平的程序,他们有很多自由裁量权。

虽然组织可能正在等待EDPB关于补充措施的指引,我们预计将在未来几周内出现,这不会删除他们的义务,以确保其转移符合符合条件。监督机构可以负责,并暂停或禁止将数据转移到不受保护数据的第三个国家的权力,而控制人本身并未暂停或停止转移。