مذاکره درباره پیچیدگی های انتقال بین المللی اطلاعات شخصی


“همه صحنه های جهان و همه مردان و زنان فقط بازیکن هستند.” سخنان ویلیام شکسپیر قطعاً در چارچوب تحولات قابل توجهی در زمینه انتقال بین المللی اطلاعات شخصی در هفته های اخیر صادق است.

ابتدا کمیسیون اتحادیه اروپا پیش نویس بندهای استاندارد قراردادی (SCC) را برای سهولت انتقال سازگار اطلاعات شخصی به خارج از اتحادیه اروپا (اتحادیه اروپا) صادر کرد. داغ کمیسیون اتحادیه اروپا ، هیئت حفاظت از داده های اروپا (EDPB) – تنظیم کننده های حریم خصوصی اروپا با هم جلسه می کنند – پیش نویس دستورالعمل در مورد اقدامات لازم برای تکمیل SCCs در رابطه با انتقال بین المللی را صادر کرد. این تحولات ، همراه با پیامدهای Brexit ، یک رژیم نقل و انتقالات بین المللی بسیار پیچیده را ایجاد می کند.

چه قوانینی برای انتقال اطلاعات شخصی به خارج از منطقه اقتصادی اروپا (EEA) اعمال می شود؟

طبق مقررات عمومی حفاظت از داده ها (GDPR) ، موقعیت اولیه برای شرکت هایی که می خواهند داده های شخصی خود را به خارج از اتحادیه اروپا منتقل کنند بررسی این است که آیا کشور سوم “مهر تأیید” کمیسیون اتحادیه اروپا را به صورت کفایت دارد تصمیم گیری “. وجود یک تصمیم کافی ، بدان معنی است که کمیسیون اتحادیه اروپا در نظر دارد کشور سوم از استاندارد کافی برای حفاظت از داده برخوردار است.

اگر تصمیمی برای کفایت در دست اجرا باشد ، شرکتها نیازی به اقدامات دیگر برای انطباق با قوانین انتقال بین المللی تحت GDPR ندارند ، به غیر از نظارت بر لازم الاجرا بودن تصمیم کفایت. در غیاب چنین تصمیم کافی ، شرکت ها چندین گزینه برای انتقال داده های شخصی به روشی سازگار دارند.

یکی از ابزارهای انتقال مکرر ، بندهای قراردادی استاندارد است که مشاغل بین صادر کننده داده مستقر در اتحادیه اروپا و وارد کننده داده در یک کشور غیر EEA وضع می کنند. SCC بندهای قراردادی است که توسط کمیسیون اتحادیه اروپا تصویب شده و هدف آن دستیابی به “برابری اساسی” حفاظت از داده ها در مورد داده های شخصی منتقل شده است. برای انطباق ، شرکت ها باید این بندها را به صورت کلمه به کلمه تنظیم کنند (اگرچه ممکن است SCC ها را با شرایط تجاری اضافی تکمیل کنند).

چرا کمیسیون اتحادیه اروپا به دنبال معرفی بندهای استاندارد جدید قراردادی است؟

نکته اصلی این است که SCC های موجود قدیمی هستند. اول ، آنها مقدمه GDPR را در نظر نمی گیرند. بنابراین ، آنها مفاد خاصی را شامل نمی شوند که لازم است در قرارداد بین یک کنترل کننده (شرکتی که در مورد نحوه استفاده از داده های شخصی تصمیم گیری می کند) و یک پردازنده (ارائه دهنده خدمات ارائه دهنده ذخیره سازی ابری یا سایر فناوری اطلاعات یا تجزیه و تحلیل) خدمات به کنترل کننده داده).

آنها همچنین درگیر کردن بازیگران مختلف نیستند. بسیاری از انتقال داده ها فراتر از یک انتقال مستقیم از یک کنترل کننده در EEA به یک پردازنده خارج از EEA است. در برخی موارد ، ممکن است یک انتقال اولیه از یک کنترل کننده مبتنی بر EEA به یک پردازنده EEA و سپس یک انتقال پردازنده فرعی مستقر در خارج از EEA انجام شود. SCC های موجود در حال حاضر متناسب با این سناریو نیستند.

سرانجام ، SCC های فعلی نتایج تصمیم بالاترین دادگاه اتحادیه اروپا (دیوان عدالت اتحادیه اروپا) در پرونده Schrems II (که در ژوئیه سال جاری صادر شد) را در نظر نمی گیرند. این تصمیم روشن ساخت كه مشاغل فقط به شركتهای SCC تكیه می كنند مادامی كه در قانون یا رویه كشور سوم چیزی نباشد كه مانع از كارآیی آنها شود. همچنین اعلام کرد که سپر حریم خصوصی اتحادیه اروپا و ایالات متحده دیگر برای اهداف انتقال داده های شخصی سازگار با GDPR به ایالات متحده معتبر نیست.

به عبارت دیگر ، هنگام اعتماد به SCC ، شرکت هایی که اطلاعات شخصی را منتقل می کنند باید از این امر اطمینان حاصل کنند که هنوز معادل سازی اساسی محافظت از داده ها وجود دارد.

بنابراین چه چیز جدیدی در پیش نویس SCC وجود دارد؟

خبر خوب این است که پیش نویس SCC های جدید ماهیتی مدولار دارند و به سناریوهای مختلفی پاسخ می دهند که در آنها ممکن است بازیگران مختلفی با نقش محافظت از داده های مختلف وجود داشته باشد.

خبر بد این است که مشاغل باید اقدامات موجود خود را اصلاح کنند. بعلاوه ، شرایط جدید شامل بندهای مسئولیت تجاری و سایر بندهایی است که ماهیت تجاری دارند ، بنابراین تعابیر اجتناب ناپذیری با شرایط توافق شده موجود وجود خواهد داشت. حتی اگر مشاغل 12 ماه فرصت داشته باشند تا ترتیبات خود را اصلاح کنند (از تاریخ تصویب SCC های جدید) ، انجام این کار شامل تهیه پیش نویس قرارداد و مذاکره مجدد است.

چالش اصلی دیگر چگونگی رسیدگی به الزامات Schrems II است – برای ارزیابی اینکه ، اگر با تکیه بر SCC ها ، هنوز معادل اساسی اساسی محافظت از داده ها در کشور سوم وجود دارد یا خیر. در پیش نویس راهنمای خود ، EDPB رویکردی کاملاً محافظه کارانه در رسیدگی به پیامدهای تصمیم دادگاه در پیش گرفته است. به ویژه ، انتظار اینكه مشاغل بتوانند “معادل اساسی” حفاظت از داده ها را در تمام كشورهایی كه اطلاعات شخصی خود را به آنها می فرستند ، ارزیابی كنند ، تا حدودی غیرواقعی است. بعلاوه ، پیش نویس جدید SCC شامل تعهدات سنگین Schrems II در مورد واردکنندگان داده برای مقاومت در برابر درخواستهای دسترسی مقامات دولتی است (به عنوان مثال “برای به چالش کشیدن همه روشهای درمانی موجود”).

یکی از کلیدهای اصلی راهنمای EDPB این است که ، اگر قانون یا عملکرد کشور سوم اجازه دسترسی نامتناسب به داده های شخصی توسط مقامات دولتی را بدهد ، SCC ها فقط در صورت رعایت اهداف انطباق کار می کنند ، اگر اقدامات تکمیلی تکمیلی اضافی باعث دسترسی نیروی انتظامی به داده ها شود انتقال غیرممکن یا بی اثر. نمونه ای از این اقدامات رمزگذاری قوی است که در آن کلیدهای رمزگذاری تحت کنترل صادر کننده داده باقی بمانند (و چنین رمزگذاری سایر معیارهای دقیق را دارد).

اقدام احتمالی دیگر نام مستعار سازی سنگین است که مجدداً باید تعدادی از معیارهای دقیق را داشته باشد. در واقع ، به نظر می رسد راهنمای EDPB حاکی از آن است که ، مگر اینکه داده ها به شدت نام مستعار داشته باشند ، واردکنندگان داده در چنین شرایطی قادر به مشاهده یا دسترسی به داده های شخصی “به روشنی” نیستند ، که به طور موثر ارائه انواع مختلف خدمات.

Brexit در کجای این تحولات قرار می گیرد؟

انتقال اطلاعات شخصی از انگلستان به کشورهای خارج از EEA

هنگامی که انگلیس از تاریخ 1 ژانویه 2021 دیگر مشمول قوانین اتحادیه اروپا نباشد ، GDPR همچنان تحت قانونی که انگلیس در طی روند Brexit تصویب کرده است ، قانونی در انگلیس باقی خواهد ماند – و “GDPR UK” نامیده می شود. در نتیجه ، GDPR انگلستان انتقال داده های شخصی از انگلیس به کشورهای خارج از انگلیس را کنترل خواهد کرد – انگلیس EEA را به عنوان محافظت از داده “کافی” تشخیص می دهد.

اگر پیش نویس جدید SCC قبل از 31 دسامبر 2020 وجود داشت ، به طور خودکار توسط GDPR انگلستان شناخته می شد. با این وجود بعید است که دوره مشاوره در 10 دسامبر به پایان رسید. در نتیجه ، یک احتمال قوی وجود دارد که انگلستان بندهای قراردادی استاندارد اصلاح شده خود را برای استفاده همراه با مقررات انتقال بین المللی GDPR انگلیس معرفی کند.

وجود بندهای قراردادی استاندارد مورد تأیید انگلیس و اتحادیه اروپا به طور حتم درجه پیچیدگی بیشتری را ایجاد می کند ، از جمله در رابطه با هرگونه ترتیب “درون گروهی” که گروه های بین المللی برای انتقال داده ها بین خود دارند ، از جمله به انگلستان و EEA

در مورد پیامدهای تصمیم Schrems II ، کمیسر اطلاعات انگلستان قبلاً در واکنش به راهنمایی های EDPB موضع عملی تری اتخاذ کرده است که نشان می دهد رویکردی مبتنی بر ریسک برای اجرای آن اتخاذ می کند. در نتیجه ، بعید به نظر می رسد که کمیساریای اطلاعات انگلستان فعالیت های اجرایی را در سناریوهای انتقال کم خطر هدف قرار دهد ، به عنوان مثال ، اگر ماهیت داده ها حساسیت خاصی نداشته باشد یا بعید است داده ها در عمل توسط مقامات اجرای قانون درخواست شوند ، و صادرکنندگان و واردکنندگان داده ها اقدامات حفاظتی و سازمانی مکمل مناسب را برای محافظت از آن در نظر گرفته اند. با این حال ، این رویکرد عملی تر ، راحتی چندانی برای سازمان هایی که همچنین انتقال اطلاعات شخصی از EEA را انجام می دهند ، ندارد.

انتقال اطلاعات شخصی از EEA به انگلستان

در مورد نقل و انتقالات از EEA به انگلیس ، بستگی به این دارد که آیا انگلیس از تصمیم کافی درباره کمیسیون اتحادیه اروپا که مذاکرات مربوط به آن بخشی از مذاکرات تجاری گسترده تر است ، بهره مند شود. در صورت عدم چنین تصمیمی ، شرکتهای مستقر در EEA باید در مورد انتقال داده های شخصی به انگلیس ، SCC ها را به وجود آورند.

بعلاوه ، این شرکتها باید پیامدهای تصمیم Schrems II را در نظر بگیرند و تصمیم بگیرند که آیا فقط در مورد چنین نقل و انتقالات می توانند به SCC اعتماد کنند. ارزیابی اینکه آیا انگلیس معادل اساسی حفاظت از داده را فراهم می کند ، نیاز به ارزیابی دسترسی بالقوه مقامات عمومی انگلیس به داده های شخصی دارد. به طور خاص ، چنین ارزیابی باید بررسی کند که آیا چنین دسترسی با توجه به قوانین اروپا متناسب است؟ انگلیس استدلال می کند که معادل سازی اساسی در حفاظت از داده ها وجود دارد ، مهمترین دلیل آن عضویت تاریخی آن در اتحادیه اروپا نیست.

متعادل سازی خطر

با توجه به راهنمایی های EDPB ، با توجه به میزان دسترسی بالقوه اجرای قانون به داده های شخصی در این کشورها ، راحت بودن شرکت ها در مورد انطباق با GDPR در مورد انتقال داده های شخصی به کشورهای خاص بسیار دشوار خواهد بود.

تا زمانی که راه حل های سیاسی اجرا نشود (به عنوان مثال سپر حریم خصوصی اتحادیه اروپا و ایالات متحده 2.0 برای انتقال داده ها به ایالات متحده) یا مشاغل تصمیم بگیرند که فعالیت های پردازش اطلاعات خود را به طور کامل در داخل اتحادیه اروپا بومی سازی کنند ، بسیاری از شرکت ها مجبور به پذیرش خطر اجرای قانون توسط اتحادیه اروپا می شوند مقامات حفاظت از داده ها در رابطه با انتقال اطلاعات شخصی. از نظر تئوری ، این اقدامات اجرایی می تواند منجر به جریمه حداکثر 4٪ از گردش مالی سالانه در سراسر جهان برای سال مالی قبل یا 20 میلیون یورو (هر کدام بیشتر) شود.

با این وجود ، با توجه به چالش هایی که مقامات نظارتی در برداشتن سرپوش این تنظیمات نیز با آن روبرو بوده اند (به عنوان مثال ، چالش های تأمین منابع مربوط به ارزیابی قوانین و رویه های کشورهای ثالث) ، جریمه های بزرگ حداقل در کوتاه مدت بعید به نظر می رسد. در این زمینه ، بسیاری از شرکتها رویکرد مبتنی بر ریسک را پیش می گیرند به این امید که مقامات حفاظت از داده های اتحادیه اروپا رویکرد احتمالی کمیساریای اطلاعات انگلستان را در عمل دنبال کنند.

برخی اقدامات مبتنی بر ریسک عملی احتمالاً شامل موارد زیر است:

  • درک جریان داده های مربوطه (مرور مجدد نقشه برداری داده ها) ؛
  • شناسایی مکانیسم انتقال مناسب (مانند SCC).
  • مستند سازی ارزیابی تأثیر انتقال (که با در نظر گرفتن رژیم اجرای قانون در کشوری که داده ها به آن منتقل می شوند و همچنین سایر عوامل خطر)
  • اجرای اقدامات فنی ، قراردادی و سازمانی مناسب که تا حد امکان از داده های شخصی محافظت می کند (در حالی که هنوز به وارد کننده داده اجازه ارائه خدمات مربوطه را می دهد).

واردکنندگان داده ها احتمالاً پرسشنامه های طولانی تر با دقت لازم را دریافت می کنند که به دنبال اطلاعاتی در مورد قانون و عملکرد حاکمیت عمومی برای دسترسی به داده های شخصی در کشور سوم مربوطه هستند.

سرانجام ، پیچیدگی های قانون فعلی و راهنمایی در مورد نقل و انتقالات بین المللی این س begال را به وجود می آورد که آیا کاغذ بازی هایی که شرکت ها مجبور می شوند انجام دهند آیا عمل به معنای انطباق معنی دار محافظت از داده ها است؟


Leonie Power در Fieldfisher LLP یک شریک (قانون حفظ حریم خصوصی ، امنیت و اطلاعات) است.


منبع: tadrisriazi-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>