Business intelligence

Các nghĩa vụ tuân thủ mới đối với việc truyền dữ liệu xuyên biên giới

Trong vài năm, truyền dữ liệu xuyên biên giới hoạt động tương tự như kiểm tra an ninh sân bay đối với hành trình quốc tế, với Privacy Shield hoạt động như một làn đường đăng ký nhanh. Sau khi Tòa án Liên minh Châu Âu (EU) vô hiệu hóa Bảo vệ quyền riêng tư vào tháng 7 2020 (quyết định của Schrems II), việc chuyển dữ liệu giữa Hoa Kỳ và Liên minh Châu Âu phải đối mặt với những bất ổn lớn hơn. Trong khi các cơ chế khác tồn tại, thì Privacy Shield là một công cụ tuân thủ phổ biến. Do không thể sử dụng khái niệm Bảo vệ quyền riêng tư, Liên minh Châu Âu đã đưa ra bản cập nhật cho một cơ chế thay thế, các điều khoản hợp đồng tiêu chuẩn mới (SCC mới), thay thế phiên bản 2010 và tạo điều kiện thuận lợi cho việc truyền dữ liệu xuyên biên giới sau Schrems II. Bắt đầu từ tháng 9 27, 2021, hầu hết các tổ chức sẽ cần sửa đổi các thỏa thuận thương mại của họ với New SCC cho xuyên Đại Tây Dương truyền dữ liệu. Các quy trình mới này sẽ bổ sung các nghĩa vụ tuân thủ đáng kể để khách hàng và nhà cung cấp đánh giá, lập tài liệu và triển khai nhằm đảm bảo các biện pháp bảo vệ bổ sung để bảo vệ dữ liệu cá nhân của Liên minh Châu Âu. Tại sao Liên minh Châu Âu vô hiệu hóa Bảo vệ quyền riêng tư Trước tháng 7 2020, hơn 5, 000 công ty đã chuyển giao Dữ liệu cá nhân của Liên minh Châu Âu đến Hoa Kỳ thông qua khuôn khổ Bảo vệ Quyền riêng tư đã được Hoa Kỳ và Liên minh Châu Âu phê duyệt. Trong 15 nhiều tháng sau quyết định của Schrems II, các công ty đã phải vật lộn với “khoảnh khắc Kênh đào Suez”, nơi đặt ra những trở ngại nghiêm trọng cho việc truyền dữ liệu xuyên Đại Tây Dương. Tương tự như vụ tàu container Evergreen vô tình chặn kênh Suez ở 2021, sự bế tắc trong việc truyền dữ liệu xuyên biên giới gây nguy hiểm cho thương mại giữa EU và Hoa Kỳ với ước tính khoảng 1 nghìn tỷ đô la mỗi năm. Xung đột giữa EU và Hoa Kỳ về việc truyền dữ liệu xuyên biên giới nảy sinh do các cách tiếp cận khác nhau của họ về quyền riêng tư và bảo vệ dữ liệu: trong khi Hoa Kỳ coi quyền riêng tư của dữ liệu là quan trọng, thì EU coi đó là bất khả xâm phạm và thiêng liêng. Tiết lộ của Edward Snowden về các chương trình giám sát của Hoa Kỳ càng chứng tỏ rằng chính phủ liên bang Hoa Kỳ có thể buộc các công ty như Facebook chuyển giao dữ liệu của cư dân EU. Đáp lại, tòa án EU nhận thấy rằng luật pháp Hoa Kỳ làm suy yếu các biện pháp bảo vệ của Quy định chung về bảo vệ dữ liệu (GDPR). Theo quan điểm của mình, tòa án lưu ý rằng luật an ninh quốc gia của Hoa Kỳ không dành đủ quyền cho các cá nhân khi dữ liệu cá nhân của họ bị các cơ quan tình báo Hoa Kỳ chặn. Các phương án chuyển dữ liệu xuyên biên giới Các tổ chức của Hoa Kỳ phải trải qua quá trình đánh giá từng trường hợp kỹ lưỡng về việc truyền dữ liệu xuyên biên giới, được gọi là đánh giá tác động chuyển giao (TIA). Các lựa chọn khác là các quy tắc ràng buộc của công ty (BCR); tuy nhiên, những điều này nói chung không được ưa chuộng bởi hầu hết các tổ chức. Khi nào cần sửa đổi các thỏa thuận hiện có với SCC mới Đối với các hợp đồng đã ký trước tháng 9 27, 2021 theo SCC cũ , các công ty có cho đến tháng 12 27, 2022 để sửa đổi với SCC Mới. New SCC có trong một tài liệu với bốn kịch bản hoặc mô-đun truyền xuyên biên giới riêng biệt: 1. Bộ điều khiển tới bộ điều khiển, 2. Bộ điều khiển tới bộ xử lý, 3. Bộ xử lý tới bộ xử lý và 4. Bộ xử lý tới bộ điều khiển. Doanh nghiệp phải chọn mô-đun áp dụng trước khi bắt đầu chuyển giao dựa trên SCC Mới đã thực thi. Bước quan trọng đối với TIA được nêu dưới đây là doanh nghiệp cũng phải áp dụng các biện pháp bổ sung, ngoài SCC Mới, để cung cấp bảo vệ dữ liệu tương đương GDPR cho các cư dân EU. Sáu bước để đánh giá tác động chuyển giao Ban bảo vệ dữ liệu châu Âu (EDPB), cơ quan của EU chịu trách nhiệm thực hiện GDPR, đã chỉ đạo các doanh nghiệp xuất khẩu dữ liệu cá nhân của EU sang Hoa Kỳ thực hiện đánh giá sáu bước sau: Bước 1: Thực hiện ánh xạ dữ liệu cho chéo -đặt hàng chuyển dữ liệu. Bước 2: Xác định các công cụ chuyển nhượng phù hợp, tức là New SCC hoặc một vài cơ chế khác. Bước 3: Đánh giá liệu GDPR có bị phá hoại theo bất kỳ luật và / hoặc thông lệ nào ở nước thứ ba (tức là Hoa Kỳ) áp dụng cho dữ liệu cụ thể đang được chuyển hay không dựa trên thông tin có liên quan, khách quan và công khai. Bước 4: Xác định và áp dụng các biện pháp hợp đồng, kỹ thuật và tổ chức thích hợp (các biện pháp bổ sung) nếu luật pháp của nước thứ ba thiếu sự bảo vệ tương đương với GDPR. Bước 5: Thực hiện các bước thủ tục chính thức để áp dụng các biện pháp bổ sung. Bước 6: Đánh giá lại vào những khoảng thời gian thích hợp mức độ bảo vệ dành cho dữ liệu cá nhân được chuyển giao của Liên minh Châu Âu. Cho dù các tổ chức chọn New SCC hay các công cụ chuyển giao khác để chuyển giao xuyên biên giới, họ nên tham gia tư vấn về quyền riêng tư dữ liệu của mình để thực hiện TIA sáu bước do EDPB ủy quyền. Tin tốt là một tổ chức không cần phải lặp lại đánh giá mỗi khi chuyển cùng một danh mục dữ liệu cá nhân cụ thể đến cùng một quốc gia bên ngoài EU. Ví dụ: nếu một công ty thường xuyên chuyển đến Hoa Kỳ tập dữ liệu có tên, email và chức danh công việc của cư dân EU, thì công ty đó phải hoàn thành và lập hồ sơ TIA cụ thể để chuyển loại tập dữ liệu này sang Hoa Kỳ để tuân thủ EDPB hướng dẫn. Đối với tình huống cụ thể này, công ty có thể dựa vào TIA đã được lập thành văn bản mà không cần lặp lại quy trình tương tự mỗi khi chuyển dữ liệu, tuân theo các điều kiện sau: – Việc chuyển giao liên quan đến cùng một loại dữ liệu cụ thể từ EU sang cùng một bên thứ ba, tức là, Hoa Kỳ trong trường hợp này, -Nó tiếp tục thực hiện các biện pháp bổ sung cần thiết, và – Đánh giá lại và giám sát mức độ bảo vệ dữ liệu dành cho tập dữ liệu cụ thể này bằng cách giữ cảnh giác liên tục đối với luật pháp và thông lệ của nước thứ ba. Kết luận Tương tự như 2021 vụ tắc nghẽn Kênh đào Suez đã làm gián đoạn thương mại toàn cầu, các công ty sẽ cảm thấy những tác động lan tỏa của quyết định Schrems II khi họ vận hành và thực hiện SCC Mới. Hầu hết các tổ chức Hoa Kỳ giờ đây sẽ cần phải dựa vào New SCC như một công cụ chính để chuyển tiền xuyên biên giới. SCC Mới cung cấp một cơ chế để tạo thuận lợi cho thương mại, đồng thời áp đặt các nghĩa vụ hợp đồng liên tục, phức tạp để bảo vệ dữ liệu. Tất cả các tổ chức nên xem xét kỹ lưỡng các điều khoản và thực hiện các biện pháp bổ sung hoặc rủi ro chuyển dữ liệu xuyên biên giới trên cơ sở không cần thiết. _________________________________________________________________ Vivien F. Peaden, CIPP / US, CIPP / E, CIPM là luật sư về quyền riêng tư và công nghệ tại công ty luật Baker Donelson. Cô mang kinh nghiệm tư vấn nội bộ trước đây của mình với một trong những công ty tư vấn quản lý lớn nhất thế giới để đưa ra lời khuyên thiết thực và định hướng kinh doanh về một loạt các giao dịch công nghệ, quyền riêng tư dữ liệu và các vấn đề an ninh mạng ảnh hưởng đến lợi nhuận của khách hàng. Có thể liên hệ với cô ấy tại vpeaden@bakerdonelson.com.

  • Trang chủ
  • Trí tuệ nhân tạo
  • Chuyên viên phân tích kinh doanh
  • Thông tin kinh doanh
  • Khoa học dữ liệu
  • Back to top button