Intro
Pada 16 Juli 2020, Pengadilan Eropa (CJEU) mengeluarkan putusannya dalam kasus C-311/18, yang dikenal sebagai Schrems II. CJEU memutuskan bahwa Privacy Shield UE-AS harus dibatalkan. Pada gilirannya, Klausul Kontrak Standar (SCC), instrumen hukum yang memungkinkan transfer data dari UE ke negara ketiga, dianggap valid.
Perlindungan Privasi UE-AS
Perlindungan Privasi UE-AS adalah mekanisme "kecukupan" yang memungkinkan organisasi yang mematuhi prinsip-prinsip peraturan untuk mentransfer data pribadi dari UE ke AS.
Apa berikutnya?
Pada saat penulisan ini, putusan CJEU meninggalkan transfer data UE-AS dalam ketidakpastian. Jelas, Perlindungan Privasi tidak dapat lagi digunakan, tetapi masih banyak pertanyaan mengenai apakah SCC tetap valid untuk transfer data antara UE dan AS atau negara lain dengan sistem pengawasan nasional yang efektif.
FAQ:
TANGGUNG JAWAB GDPR APA YANG DIPENGARUHI OLEH KEPUTUSAN INI?
Keputusan tersebut menyangkut tanggung jawab pengontrol dan pemroses data untuk transfer data dari warga negara UE ke negara-negara di luar UE. Setiap transfer semacam itu harus memberikan tingkat perlindungan, dan oleh karena itu memerlukan penggunaan "mekanisme transfer" khusus, di antaranya:
- Kecukupan : Solusi ini memungkinkan transfer data tidak terbatas ke negara atau kawasan yang memberikan tingkat perlindungan data yang memadai menurut pendapat Komisi Eropa. Negara tersebut meliputi_ Andorra, Argentina, Kanada (hanya PIPEDA), Kepulauan Faroe, Guernsey, Israel, Pulau Man, Jepang, Jersey, Selandia Baru, Swiss, dan Uruguay. Semua keputusan tentang kecukupan saat ini sedang ditinjau setelah berlakunya GDPR.
- Appropriate Safeguards: GDPR , . Schrems-II, , « » GDPR. Standard Contractual Clauses (SCC), . , , .
- Binding Corporate Rules (BCR): GDPR . BCRs EDPB. Schrems-II BCR « » GDPR .
- : GDPR 49, . , , . .
GDPR?
Hingga 4% dari pendapatan tahunan atau € 20 juta, mana saja yang lebih tinggi. Selain itu, DPA (Data Protection Authority) berhak untuk menangguhkan transfer data dari negara asalnya ke Amerika Serikat.
Apa yang harus saya lakukan dengan sertifikasi Perlindungan Privasi UE-AS saya saat ini?
Departemen Perdagangan AS (DOC) telah menyatakan bahwa Perlindungan Privasi akan terus beroperasi dan mengharapkan anggota untuk terus menegakkan kewajiban Privasi mereka. DOC AS, Komisi Eropa, Dewan Perlindungan Data Eropa (EDPB) telah mengindikasikan bahwa mereka bermaksud untuk membuat penerus Perlindungan Privasi. Perusahaan yang tersisa dalam Perlindungan Privasi dapat menyederhanakan transisi mereka ke penggantinya setelah didirikan.
Apakah transfer data sebelumnya dalam perlindungan privasi UE-AS akan terpengaruh?
Semua transfer data sebelumnya tetap tunduk pada Perlindungan Privasi UE-AS.
Akankah ada masa tenggang?
EDPB telah mengeluarkan pedoman yang menyatakan bahwa tidak akan ada masa tenggang. Mengingat bahwa Perlindungan Privasi UE-AS telah dibatalkan, perusahaan yang sejauh ini menggunakan Perlindungan Privasi UE-AS untuk mentransfer data perlu mencari dasar hukum alternatif untuk mentransfer data tanpa penundaan yang tidak semestinya.
Saya ingin keluar dari Perlindungan Privasi UE-AS. Apa yang harus saya lakukan?
Jika Anda memutuskan untuk keluar dari EU-US PRIVACY SHIELD, Anda harus mengikuti prosedur yang ditetapkan di Amerika Serikat.
Haruskah saya memperbarui kebijakan privasi perusahaan?
Kami menyarankan Anda untuk tidak melakukan perubahan apa pun pada Kebijakan Privasi sebagai anggota Perlindungan Privasi saat ini. Saat ini tidak ada dasar atau panduan peraturan untuk perubahan apa pun, kecuali Anda telah menyatakan (sebagai pengekspor data berdasarkan GDPR) bahwa Anda mengandalkan Perlindungan Privasi sebagai dasar hukum Anda untuk mentransfer data di luar EEA.
Kebijakan privasi organisasi saya dengan jelas menyatakan bahwa kami menggunakan perisai privasi UE-AS untuk melegitimasi transfer data dari UE ke AS, haruskah kami menghapus pemberitahuan ini?
Anda perlu memperbarui Kebijakan, dan Anda perlu menunjukkan alternatif mana yang Anda gunakan. Anda juga dapat mempertimbangkan untuk menyertakan pemberitahuan sementara bahwa organisasi sedang meninjau keputusan berdasarkan keputusan Schrems-II.
standard contractual clauses?
Selama data tidak dikumpulkan dan / atau diakses oleh otoritas AS untuk tujuan keamanan nasional, SCC dapat digunakan berdasarkan kasus per kasus bergantung pada apakah importir data AS dapat memenuhi kewajiban pemrosesan spesifiknya. Ini berarti beban pembuktian baik bagi eksportir data maupun importir data di negara ketiga telah meningkat untuk memastikan mereka dapat memenuhi semua persyaratan SCC. Pengimpor data juga harus mengonfirmasi bahwa dia akan sepenuhnya mematuhi semua prinsip dasar GDPR. Ini juga berarti bahwa importir dan eksportir data harus menilai undang-undang negara ketiga untuk mengetahui, misalnya, apakah mereka tunduk pada undang-undang pengawasan yang dapat menyebabkan campur tangan terhadap hak-hak warga negara UE. Jika ya,dalam kasus seperti itu, transmisi tidak dapat didasarkan pada SCC. Ini berlaku serupa dengan BCR. Dalam dokumennya, EDPB mengindikasikan bahwa mereka akan memberikan panduan lebih lanjut tentang langkah-langkah hukum, teknis dan organisasi yang dapat diambil untuk melengkapi SCC guna memastikan transfer data legal tanpa gangguan.
Bagaimana dengan transfer data selanjutnya dari perusahaan AS yang memproses data pribadi UE ke perusahaan lain di AS (mis. Penyedia cloud)?
Transfer data pribadi berikutnya yang berasal dari salah satu negara EEA harus diproses sesuai dengan standar perlindungan data yang ditetapkan oleh GDPR. Eksportir Data bertanggung jawab atas seluruh rantai pemrosesan data di mana dia adalah Pengontrol Datanya. Jika pengimpor data tidak dapat menjamin bahwa standar yang termasuk dalam GDPR dan mekanisme transfer yang berlaku dapat dipatuhi, pengamanan tambahan harus disetujui. Jika ini tidak memungkinkan, transmisi data tidak dimungkinkan.
Jika perusahaan saya di AS memindahkan server ke UE, apakah saya masih memerlukan mekanisme transfer data?
Itu tergantung bagaimana data diproses di dalam perusahaan. Selama data disimpan di server di UE dan hanya diakses dari UE, tidak diperlukan mekanisme transfer data. Namun, segera setelah data diakses dari luar UE, pemrosesan data terjadi (sebagaimana didefinisikan dalam Pasal 4 (2) GDPR), yang juga merupakan transfer data, yang memerlukan penggunaan mekanisme transfer. Selain itu, jika perusahaan tunduk pada undang-undang pengawasan AS, termasuk namun tidak terbatas pada FISA pasal 702 dan EO 12333, penggunaan server UE tidak dijamin perlindungannya.
Akankah enkripsi menjadi langkah mitigasi yang memadai jika terjadi potensi intervensi AS?
Enkripsi adalah mekanisme keamanan yang baik, artinya data tidak dapat disadap. Namun, ada mekanisme lain yang memungkinkan pemerintah AS memperoleh akses ke informasi pribadi. Pada akhirnya, kumpulan data dapat didekripsi saat diakses oleh pihak lain.
Apakah metode transfer lain masih berlaku?
Semua mekanisme transfer data yang termasuk dalam GDPR tetap berlaku. CJEU mencabut salah satu keputusan (EU-US Privacy Shield) dan menetapkan kriteria evaluasi yang lebih ketat untuk penggunaan mekanisme transmisi lainnya.
Apakah Perlindungan Privasi SWISS-AS telah dicabut?
Tidak.
Apa dampak proses ini terhadap Brexit dan Inggris?
Masih terlalu dini untuk mengatakannya. Hingga akhir masa transisi (saat ini hingga 31 Desember 2020), Inggris Raya akan terus menerapkan GDPR tanpa perubahan. Yang terjadi selanjutnya adalah subjek negosiasi antara Inggris dan Komisi Eropa.
Bagaimana regulator mengomentari keputusan ini?
BADAN PERLINDUNGAN DATA EROPA (EDPB),
“Tidak ada informasi tentang penegakan atau nasihat tentang transfer; analisis lebih lanjut untuk mengikuti ".Departemen Perdagangan AS,
"Meskipun Departemen Perdagangan sangat kecewa karena pengadilan tampaknya telah membatalkan keputusan kecukupan Komisi Eropa yang mendasari Perlindungan Privasi UE-AS, kami masih mempelajari keputusan tersebut untuk sepenuhnya memahami dampak praktisnya."Inspektur Jenderal Polandia untuk Perlindungan Data Pribadi - GIODO,
“Pengontrol perlu melakukan penilaian individu terhadap tingkat perlindungan data yang dipastikan sebagai bagian dari transfer data lintas batas, yang harus mempertimbangkan tidak hanya ketentuan kontrak yang disepakati antara eksportir dan importir data, tetapi juga ketentuan hukum di sepertiga negara, khususnya mengenai kemungkinan akses oleh otoritas publik yang berwenang dari negara itu ke data yang dikirimkan. Panduan lebih lanjut akan menyusul melalui EDPB ".Inspektorat Perlindungan Data Estonia,
«When transferring personal data to any third country with an insufficient level of data protection, it must be borne in mind that it is also important to be convinced of the third country’s adequate level of protection of personal data. Therefore, EU companies must always assess the European Commission’s data protection clauses themselves. The assessment must determine whether the protection of Europeans’ personal data can be protected in the future or in the future by ensuring data protection clauses. If the protection of personal data cannot be guaranteed, the transfer of data must be suspended. If it is desired to continue the data transfer, another appropriate safeguard must be found».