今天,倡导将军HenrikSaugmandsgaardØe(AG)就隐私权活动家,Max Schrems提供的案件发表了他的意见(C-311/18, 数据保护专员v。Facebook Ireland Limited,Maximillian Schrems) (Schrems II)。案件涉及标准合同条款(SCC)的有效性。可以找到欧盟(CJEU)新闻稿的法院 这里,以及AG的意见 这里.

一般数据保护规则(GDPR)规定,如果该国确保了足够的数据保护水平,则可以将个人数据转移到第三国。 SCCS是欧洲委员会为未发现为个人数据提供充足保护提供充足保护的国家委员会批准的若干机制之一。如果SCCS无效,则成千上万的企业将不得不审查其数据传输安排。

下面,我们来看看AG意见。

背景

施德姆斯案例的背景是复杂的。案件是在2013年继续对Facebook进行Facebook的早期投诉。在2013年,Schrems向爱尔兰数据保护机构提出了投诉,声称Facebook在美国安全港框架下对欧盟公民的个人数据转移到美国的Facebook违反了他们的权利。

在2015年10月的一个地标发现,CJEU认为安全港框架无效(Schrems i)。我们写了关于这个决定 这里。在其他原因中,这一决定是基于美国立法没有限制对个人对严格必要的权利的干涉的事实。

从那时起,Schrems重新制定了他的投诉。 Schrems决定在SCC的基础上挑战对美国的转移。 SCC的使用是替代机制依赖于合法化欧盟的机构。数据流动,因为他们无法再依赖Schrems I之后的安全港口规定。爱尔兰数据保护机构在爱尔兰高等法院提交了11个问题之前提出了初步裁决的第11个问题。

cjeu的关键问题包括:

  • 是否使用SCC用于将个人数据转移到第三国提供足够的保障措施,以保护这些自由和基本权利的保护
  • 在审议第三国的法律和惯例是否有关SCC是否可以依赖于将个人数据转移到第三国
  • 是否将个人数据转移到美国。将违反基本权利的欧盟宪章,特别是第7条(隐私)和第8条(数据保护)权利
  • 如果有的话,如果有的话,如果有的话,隐私盾牌决定将根据SCC评估个人数据的转移到美国

倡导一般意见

AG的主要结果如下:

  • SCCS有效。 SCCS提供了一种适用于无论第三国目的地的个人数据转移的一般机制。合同手段提供的适当保障措施是保证适当的保护水平。
  • SCCS的主要目的是弥补第三国的保护所带来的任何缺陷,数据出口商和进口商合同尊重。 SCC是否充分弥补这些缺陷的问题不能依赖于目的地国家保障的保护水平。
  • SCC与基本权利欧盟宪章的兼容性取决于是否有足够的声音机制,以确保基于SCCS的任何转移被暂停或禁止SCC条款遭到违反或不可能尊重。
  • 该股份重申,主要诉讼的主题涉及SCC的有效性,与隐私盾牌决定有效性有关的任何调查结果都无法影响主要诉讼中争端的结果。

评论

依靠SCCS的组织合法化欧洲经济区(EEA)以外的个人数据转移应该在AG意见中找到舒适。只要CJEU遵循AG意见,目前的政权将没有重大变化。但是,AG指出了“监督当局必须审查所有尽职调查,该申诉由涉嫌将数据转移到第三国的人违反适用于转移的标准合同条款的人员,“ and “在适当的情况下,如果得出结论,它必须暂停转移,如果没有遵守标准的合同条款,并不能通过其他方式确保转让的数据的适当保护。“因此,组织应确保SCC在实践中遵守,或者担任监督机构暂停转移的风险。

我们将继续密切监测任何发展,但在临时,SCC和隐私盾牌仍然是将个人数据转移到第三国在Schrems II的最终裁决中转移个人数据的有效机制。

我们希望在2020年上半年在案例中看到CJEU的判断。留意这篇博客以供将来更新!