روش جدید ایمن سازی انتقال داده ها از بریتانیا به ایالات متحده

به طور خلاصه

در 10 ژوئیه 2023 – تقریباً سه سال پس از آن تصمیم Schrems II دیوان دادگستری اتحادیه اروپا (CJEU) (تصمیم Schrems II، هشدار ما را ببینید اینجا) – the کمیسیون اتحادیه اروپا تصویب کرده است تصمیم کفایت برای جدید و کاملاً بازسازی شده چارچوب حریم خصوصی داده اتحادیه اروپا-ایالات متحده (DPF) به ،وان وسیله ای برای ایمن سازی انتقال داده های شخصی از اتحادیه اروپا به شرکت ها در ایالات متحده. این تصمیم ابزار جداگانه ای برای توجیه انتقال داده ها تحت فصل پنجم مقررات عمومی حفاظت از داده ها (GDPR) و در کنار وسایل تثبیت شده دیگر، مانند بندهای استاندارد قراردادی، قو،ن ا،ام آور شرکت یا کدهای رفتار. این تصمیم به انتقال داده ها از اتحادیه اروپا (یا توسط شرکت هایی که در غیر این صورت مشمول GDPR هستند) به شرکت هایی در ایالات متحده که در برنامه DPF ثبت نام کرده اند و بنابراین م،م به رعایت حداقل استانداردهای حفاظت از داده هستند، اجازه می دهد. رعایت این حداقل استانداردها توسط سازمان نظارت می شود و، بازرگ، آمریکا و کمیسیون تجارت فدرال ایالات متحده. علاوه بر این، ایالات متحده همچنین متعهد شده است که دسترسی مقامات اداری را به داده های شخصی مشمول GDPR محدود کند و اکنون در صورت نقض حقوق حریم خصوصی آنها، حق جبران خسارت را به دادگاهی مستقل اعطا می کند.

در ژوئیه 2020، CJEU سلف DPF، سپر حریم خصوصی اتحادیه اروپا/ایالات متحده را باطل کرد، که به نظر دادگاه، به اندازه کافی حقوق و اقدامات تحقیقاتی گسترده مقامات ایالات متحده را در نظر نمی گرفت، فاقد مک،سم های نظارتی و جبر، بود، و در نتیجه عدم حمایت عمومی از داده های شخصی شهروندان اتحادیه اروپا را تأیید کرد. از زمان این تصمیم دادگاه، شرکت های اتحادیه اروپا در تلاش برای یافتن راهی برای تعامل و انتقال قانونی داده های شخصی به شرکت های مستقر در ایالات متحده بودند. توصیه های هیئت حفاظت از داده های اروپا (EDPB) تعهدات بسیار سنگینی را بر شرکت‌های اتحادیه اروپا تحمیل کرد، انتخاب‌ها را برای استفاده از ارائه‌دهندگان خدمات اتحادیه اروپا محدود کرد یا خطرات قابل توجهی ناشی از عدم رعایت GDPR را پذیرفت.

هدف DPF پایان دادن به این دوره عدم قطعیت و ایجاد یک حفاظت قابل اعتماد و عملی برای انتقال داده های شخصی به شرکت های مستقر در ایالات متحده است.

داستان تا اینجا

GDPR صادرکنندگان داده های شخصی را م،م می کند که اطمینان حاصل کنند که هر گیرنده داده های شخصی در خارج از اتحادیه اروپا سطح “کافی” حفاظت از داده ها را حفظ می کند.هنر 44 GDPR). این به این دلیل است که بسیاری از شرکت‌هایی که در اتحادیه اروپا قرار ندارند، مشمول قو،ن جامع حفاظت از داده‌ها و حریم خصوصی تحمیل‌شده توسط GDPR نیستند. حفاظت “کافی” را می توان با چندین روش که به صراحت در فصل پنجم GDPR ذکر شده است، بدست آورد. گسترده ترین و قابل اعتمادترین ابزار، تصمیمی به اصطلاح کفایت است که توسط کمیسیون اتحادیه اروپا صادر شده است، که به رسمیت می شناسد که قو،ن حفظ حریم خصوصی مربوط به وارد کننده داده ها، سطح قابل ملاحظه ای برابر از حفاظت از داده ها را فراهم می کند و بنابراین داده های شخصی منتقل شده از اروپا را فراهم می کند. اتحادیه در آن مقصد امن است. با این حال، تنها چند کشور تا کنون از چنین تصمیم کافی سود می برند. ایالات متحده در میان این کشورها نیست، عمدتاً به این دلیل که قو،ن محلی نه قو،ن جامع حفظ حریم خصوصی را ارائه می کنند و نه سطح حفاظت از داده ها را برای شهروندان خارجی به شهروندان ایالات متحده اعطا می کنند. به طور خاص، انتقاد طول، مدت از چارچوب ایالات متحده از زمان افشاگری اسنودن در سال 2013 مربوط به امکان دسترسی مقامات اداری ایالات متحده به داده های شخصی مربوط به شهروندان غیر آمریکایی به صورت گسترده و اساساً نامحدود است.

در حالی که فقدان قو،ن جامع حفظ حریم خصوصی برای نهادهای خصوصی ایالات متحده می تواند با پایبندی داوطلبانه آنها به حداقل استانداردهای حفاظت از داده ها غلبه کند. ادعای دسترسی بیش از حد مقامات ایالات متحده به داده های شخصی خارجی مست،م اجماع سیاسی بین منافع متضاد اتحادیه اروپا و ایالات متحده بود.

این قبلاً ایده اصلی چارچوب Safe Harbor بود توسط CJEU در سال 2015 باطل شد (Schrems I) و همچنین جانشین آن، سپر حریم خصوصی اتحادیه اروپا/ایالات متحده که در یک تصمیم مهم دیوان عدالت اداری، نیز در سال 2020 باطل شد.

چنین اجماع از نقطه نظر سیاسی در اوایل سال 2022 حاصل شد، جایی که جو بایدن، رئیس جمهور ایالات متحده و اورسولا فون در لاین، رئیس کمیسیون اتحادیه اروپا، به طور شگفت انگیزی یک تفاهم اصلی را اعلام ،د که منجر به فرمان اجرایی ایالات متحده 14086 در اکتبر 2022، که خط پایه DPF و تصمیم مربوط به کفایت کمیسیون اتحادیه اروپا را تشکیل می دهد.

در 28 فوریه 2023، EDPB نظری در مورد پیش نویس تصمیم کافی کمیسیون اتحادیه اروپا صادر کرد پیشنهاد بهبود بیشتر تصمیم، قبل از صدور تصمیم نهایی کفایت در 10 ژوئیه 2023.

تصمیم برای کفایت چه چیزی از نهادهای ایالات متحده نیاز دارد؟

مشابه آنچه قبلاً توسط برنامه‌های بندر امن و سپر حریم خصوصی اتحادیه اروپا/ایالات متحده ایجاد شده است، ،صر کلیدی DPF تعهد نهادهای ایالات متحده است که مایل به شرکت در برنامه DPF هستند تا به آن پایبند باشند و تحت یک مجموعه خود گواهی دهند. تعهدات حفظ حریم خصوصی، که منع، کننده اصول اصلی GDPR است و توسط و، بازرگ، ایالات متحده (DoC) صادر می شود. در نتیجه، تنها نهادهایی که تحت صلاحیت DoC قرار دارند، واجد شرایط شرکت هستند.

این اصول اصلی حفظ حریم خصوصی عبارتند از:

مطابقت با این اصول در صورت نقض توسط DoC و کمیسیون تجارت فدرال نظارت و اجرا می شود.

برای اطمینان از اجرای مؤثر ادعاهای موضوع داده ها، نهادهای ایالات متحده تحت چتر DPF باید یک نهاد حل اختلاف مستقل در اتحادیه اروپا (به ،وان مثال مقامات حفاظت از داده اتحادیه اروپا) یا در ایالات متحده فراهم کنند که راه حل های موثر و ا،ام آور را ارائه کند. . در نهایت، اگر شکایات در یک مورد خاص مؤثر واقع نشوند، موضوع داده حق دارد به یک رسیدگی داوری ا،ام آور استناد کند که توسط مرکز بین المللی حل اختلاف انجمن داوری آمریکا

دستور اجرایی 14086 آمریکا چه می گوید؟

دستور اجرایی 14086 مکمل تعهدات نهادهای خصوصی و شامل تعهدات ،ت ایالات متحده برای افزایش حفاظت از داده های شخصی شهروندان اتحادیه اروپا در صورت پردازش توسط مقامات ایالات متحده است. اینها به ویژه شامل پادمان های ا،ام آور است که دسترسی به داده های خارجی را تا حد لازم و متن، برای امنیت ملی محدود می کند. هر گونه فعالیت اطلاعاتی توسط ایالات متحده باید بر اساس حداقل یکی از 12 هدف مشروع انجام شود و به روشی متن، با اولویت در مقایسه با خطر حقوق حریم خصوصی انجام شود. ایالات متحده برای اطمینان از اینکه شهروندان اتحادیه اروپا از حق جبران خسارت مؤثری در برابر رسیدگی به داده های شخصی آنها توسط سازمان های اطلاعاتی ایالات متحده برخوردار می شوند، یک مک،سم حفاظتی دو لایه ایجاد کرد:

• لایه اول حق یک شهروند اتحادیه اروپا برای شکایت در صورتی است که اطلاعات شخصی محافظت شده تحت GDPR واقعاً توسط یک آژانس اطلاعاتی ایالات متحده دسترسی داشته باشد. شکایت را می توان به مرجع نظارت ملی حفاظت از داده ها در کشور عضو اتحادیه اروپا محل س،ت موضوع داده ارسال کرد و توسط EDPB به ایالات متحده ارسال می شود که در آنجا شکایت توسط افسر حفاظت از آزادی های مدنی بررسی می شود.

• لایه دوم اجازه می دهد تا تصمیم افسر حفاظت از آزادی های مدنی در دادگاه مستقل بررسی حفاظت از داده ها، که تحت مقررات مربوط به دادگاه تجدید نظر حفاظت از داده ها توسط دادستان کل ایالات متحده صادر شده است و این حق را دارد که اطلاعاتی را از سازمان اطلاعاتی مورد نظر درخواست کند و اقدامات اصلاحی ا،ام آور از جمله حذف داده ها را انجام دهد.

این چارچوب مستقیماً به موضوعات ذکر شده توسط CJEU در تصمیم Schrems II می پردازد و یک جزء کلیدی بود که منجر به تصمیم کفایت شد. با این حال، ذکر این نکته مهم است که این مک،سم ها هنوز در عمل آزمایش نشده اند و ما انتظار داریم که کاربرد اولیه مک،سم ها به شدت توسط Max Schrems و سایر فعالان حریم خصوصی مورد بررسی قرار گیرد.

بعدش چی پیش میاد؟

تصمیم کفایت اتحادیه اروپا از 10 ژوئیه 2023 به طور رسمی اجرا می شود. با این حال، DPF تنها ابزاری امن برای مشروعیت بخشیدن به انتقال داده های شخصی به واردکنندگان داده های ایالات متحده ارائه می دهد، جایی که این واردکنندگان تحت برنامه DPF تأیید شده اند. گواهی شامل ارائه شواهدی مبنی بر رعایت حداقل استانداردهای حفاظت از داده توسط واردکننده است. هنوز مشخص نیست که اولین شرکت های آمریکایی چه زم، گواهینامه دریافت خواهند کرد. همچنین مشخص نیست که آیا شرکت‌های ایالات متحده که قبلاً تحت چارچوب اتحادیه اروپا/ایالات متحده برای حفاظت از حریم خصوصی گواهینامه دریافت کرده‌اند یا دارند، می‌توانند از این چارچوب انطباق برای تأیید سریع تحت DPF استفاده کنند یا باید تلاش جدیدی برای انطباق از ابتدا انجام دهند.

آیا محدودیت‌های امنیتی جدید ارائه شده و حقوق اعطا شده توسط ایالات متحده برای تضمین سطح کافی از حفاظت از داده‌های شخصی در برابر دسترسی مقامات کافی است و حقوق جبران کافی برای شهروندان اتحادیه اروپا را فراهم می‌کند (به ویژه اینکه آیا یک فرمان اجرایی مک،سم قانونی صحیح است یا خیر. بر خلاف یک عمل قانونی رسمی) باید دید. همانطور که پیش بینی می شد، NOYB قبلاً قصد خود را برای بررسی DPF توسط CJEU اعلام کرده است. تا زم، که DPF این آزمون قضایی نهایی را پشت سر بگذارد (که ممکن است چندین سال طول بکشد)، شرکت های اتحادیه اروپا ممکن است برای به اشتراک گذاشتن داده های شخصی با ایالات متحده صرفاً به DPF اعتماد کنند. بهترین روش در حال حاضر ممکن است همچنان شامل یک رویکرد چند سطحی باشد که شامل DPF (اگر شرکت آمریکایی تحت DPF گواهینامه داشته باشد) و ابزارهای دیگر، مانند بندهای قراردادی استاندارد، باشد.