做了吗?施德姆斯决定向新的网络保险公司开放大门?

这shockwaves continue from the October 6, 2015 ruling of the Court of Justice of the European Union (CJEU), the European Union’s highest court, invalidating the U.S.-EU “Safe Harbor” data transfer regime in a controversy arising out of Maximillian Schrems’ complaint to the Irish Data Protection Commissioner. The施德姆斯决定显然对在安全港制度下转移数据的公司具有巨大的隐私影响,但也可能影响这些公司的网络保险。

这Safe Harbor program has been in place since 2000 and was meant to bridge the gap between the regulatory requirements for handling of personal data in the EU and U.S. The Safe Harbor created a self-certification mechanism by which companies in the U.S. could opt into a set of rules governing the handling of EU personal information in order to meet EU privacy law requirements. If a company opted in, it was then able to receive data transfers from the EU to the U.S. without further approval.

施德姆斯裁决,详细解释这里由我们的隐私团队,发现安全的海港保护实际上是不够的。CJEU指出,符合安全港义务所需的保护实际上是由于某些政府实体的要求,包括某些政府实体或美国法律抢占的要求。CJEU认为,该公司的决定选择进入安全港的决定不一定保护欧盟公民的个人数据,美国公司将不再考虑这种安全的港口参与,足以满足欧盟隐私法的要求。

虽然欧盟和美国之间的信息分享不会立即停止 - 裁决允许欧盟国家的监督机构在特定情况下评估数据的治疗 - 如果1月份没有达成决议,则有可能(讨论这里)至少有一些欧盟国家将遵循CJEU的领导和监管调查和诉讼,以评估对美国公司的具体数据转移。对于曾经依赖安全港计划的公司,可能对他们的购买或更新网络保险可能有影响。

作为任何拥有网络保险的公司,申请流程至少涉及一系列问题,以帮助保险公司更好地了解潜在的保险人的数据暴露及其信息安全治理实践。直到这一点,我们不知道关于公司从欧盟到美国的数据转移到美国的任何重大询问。然而,根据最近的裁决,这可能会改变。

展望未来,潜在的保单持有人可能希望看到旨在评估与司法管辖区跨国公司数据传输相关的风险的问题。如果这些传输不符合适当的监管计划,则可能会导致调查甚至罚款和处罚。由于大多数网络保险政策提供了响应和捍卫监管调查和诉讼的覆盖范围,并且任何由此产生的罚款和处罚,保险公司可能会非常认真地调查公司符合欧盟隐私法的欧盟数据保护机构的风险。

回答关于保险申请问题关于其数据传输做法的问题可能落入三组:

第一的,将有没有在美国和欧盟之间传输受保护的数据的公司。这些风险概况将不变,不受决定的影响。

第二是那些可以证明已经采取或正在接受账面,超越安全港需求的额外措施的公司是那些可以证明或正在临近。这可以包括使用欧盟模型条款(一组欧盟批准的数据转移条款)或集团内的协议或约束力的公司规则(欧盟数据保护当局批准的一组公司规则)。这些公司 - 预计其排名将在裁决之后增长 - 也应该期望他们的网络保险覆盖范围没有变化。

第三are those companies that were in compliance with the Safe Harbor requirements but have not yet taken additional steps to protect the transfer of information from the EU to the U.S. These companies may run the risk of losing some or all of their cyber insurance protection in connection with such activities including, for example, an exclusion of regulatory coverage in connection with data transfers. (This is similar to the way insurers exclude Payment Card Industry (PCI) coverage for companies that are not PCI compliant.) Companies in this category – for reasons that go beyond insurance – should be thinking now about what steps they can take to address their potential exposure.

保险可能不是CJEU决定的主要影响,但它是公司不应该忽视的。