欧盟 - 美国。隐私盾牌:公司现在可以证明

隐私盾牌

截至8月1日英石,2016年,美国现在可以加入安全港继承人欧盟 - 美国。隐私盾牌(“隐私盾牌“)从欧盟到美国的个人数据转移

这篇文章提供了高级摘要,公司应该考虑隐私盾牌。

背景:

2016年7月12日,欧洲委员会(“)委员会“)正式采取了实施隐私盾牌所需的充分性决定。这意味着根据欧盟法律的隐私盾牌要求将个人数据从欧盟转移到美国。隐私盾取代了欧盟 - 美国。安全的港口框架,这是由欧盟司法法院无效(“CJEU.“)2015年10月6日。

哪家公司可能对认证感兴趣?

总的来说,任何位于美国的公司,该公司从E.U中获得了个人数据。应该了解其数据转移到美国的法律依据。如果它从事它的转移不受欧盟批准的数据传输过程,它应该评估隐私盾是否适当。

以前使用安全港框架作为转移数据的基础的公司可能对认证有兴趣,但是,他们应该花时间了解隐私盾牌涉及的额外义务。隐私盾牌具有更严格的要求和执法条款,而不是安全港框架;但是,即使有这些更严格的要求,也可以为需要从欧盟/ EEA转移个人数据来遵守欧盟要求的美国公司提供最有效的方法。

对公司是否应该加入隐私盾牌的问题没有统一的答案。例如,可能存在来自欧盟的个人数据的另一种可行的方法,以转移到美国 - 例如模型合同条款,绑定公司规则,甚至可能是一个狭隘的例外,如同意。该公司的性质和传送给美国的个人信息也可以在评估公司的义务以及它面临的法律风险的相对水平方面有关。

如果隐私盾是否适合公司,则应根据考虑的个人基础确定:

  • 公司是如何做出关于如何使用和处理数据的决定,或者仅代表另一家公司进行活动(即,作为数据控制器或数据处理器);
  • 全面合规级别数据接收公司已根据新的隐私盾牌要求实现;和
  • 公司是否相信其欧盟客户希望它依靠隐私盾牌。

例如,想要处理欧盟个人数据的美国公司代表他们的欧盟客户应该仔细称重是否加入隐私盾是明智的,或者是否使用欧盟模型的处理器用于处理器更合适。如果欧盟客户仍然希望美国公司与他们进入直接的数据处理协议 - 这通常几乎与欧盟模型条款一样繁琐 - 那么它可能不值得加入隐私盾牌。

由于围绕安全码头的良好良好的疑虑,需要提出书面数据处理协议,因此欧盟客户希望在隐私盾牌下认证美国公司证明,欧盟客户坚持使用欧盟型号。

隐私盾有哪些优点和缺点?

如果隐私盾牌是否适合公司,应根据具体情况审查,因为将有优势和缺点因公司而异。最明显的优势是具有欧盟批准的方法,即将个人数据从欧盟转移到美国。无需实施绑定公司规则,进入欧盟模型条款或其他数据处理协议。

但是,美国公司存在潜在的缺点。例如:

  • 参与隐私盾牌可能需要重大尽职调查,政策和实践变化,以及正在进行的义务,以确保合规;
  • 一旦加入,根据隐私盾计划收到的所有数据都必须由隐私盾牌或等效保护永久保护 - 这可能很难通过数据的共同混合来实现;
  • 隐私政策所需的细节和类型的水平可能是繁重的,如果没有遵守,可能会增加公司将面临审查或诉讼的可能性在美国的隐私惯例;和
  • 美国公司可能难以遵守上海转移限制,因为他们的服务提供商和第三方他们的业务可能不愿意遵守相同类型的要求。

如何证实公司如何证明?

想要使用隐私盾牌作为转移机制的公司必须使用美国商务部(“博文“)新推出的隐私盾网网站:https://www.privacyshield.gov/welcome.。认证的公司必须遵守隐私盾牌文件中规定的原则和适用的补充原则。部分关键要求包括以下内容:

1.确认资格参加隐私盾牌

任何美国公司在联邦贸易委员会的管辖范围内(“FTC.“)或运输部(”“)有资格自我认证:

一种。总的来说,FTC的司法管辖区涵盖了任何“人,伙伴关系或公司”的所有行为或做法或影响州际商业。这包括大多数公司,但FTC的司法管辖区不会涵盖某些金融机构,共同的运营商或空运者。

湾DOT对美国和外国航空公司提供独家管辖权。

2.制定符合隐私盾牌的隐私政策

在公司向商业部提交自我认证之前,必须制定外部隐私盾牌符合隐私政策。

必须公开发布的隐私政策必须符合隐私盾构原则和适用的补充原则,这些原则要求披露与公司如何处理个人信息的三十具体事项。例如,这些要求要求以下事项包含在隐私政策中:

一种。承诺遵守隐私盾牌;

湾有关该公司的数据处理实践和选择该公司提供对个人数据的选择(即选择退出的选择);

C。有关公司收集和使用个人信息的目的的信息;和

天。确定公司披露个人信息的三方类型以及这样做的目的。

3.验证合规性

本公司必须核实其内部做法和程序符合隐私盾构原则和适用的补充原则,以及其隐私政策的陈述。此验证将要求公司具有进程和程序,使其能够履行每个隐私盾构原则和适用的补充原则,包括:例如:为个人提供关于与第三方分享个人信息的选择,或者将其与第三方共享或使用它来使用它目的;有适当的信息安全控制;限制收集到满足收集目的所必需的信息的个人信息量;并限制可以保留个人信息的期限。

为满足验证要求,公司可以使用自我评估计划或外部/第三方评估计划。必须由本公司的公司官员或其他授权官员予以证明核查,必须每年重新认证。

在参与隐私盾构框架之前,必须完成验证,并且在参与之前应核实过程中确定的任何差距。

4.具有响应投诉和访问请求的流程

该公司需要在四十五(45)天内,在迅速响应个人的询问,并在任何事件中响应询问。个人还有权获得有关他们的个人信息,包括申请惩戒,修正或删除这些信息,公司有义务确保其拥有的个人信息可靠,准确,完整和最新。该公司将需要政策和程序来授予这些权利并遵守他们涉及的义务。

5.评估第三方数据共享和合同

隐私盾牌要求公司对第三方负责其与包括服务提供商,商业伙伴或其他第三方共享个人信息。在证明之前,公司应确定其与其与这些第三方合同是否符合隐私盾牌要求的合同。除此之外,这将需要合同规定,限制可以处理个人信息的目的,并要求隐私保护与隐私盾牌一致。这些和其他“上行转移”要求可能需要对现有公司合同的修正,并重新审视供应商管理和承包流程。

对于在前两个月内加入隐私盾牌的公司,符合此要求的宽限期。

6.选择一个独立的追索机制

公司必须提供独立的追索机制,调查个人提出的任何投诉,以至于它无法解决个人的满意度。

独立的追索机制不能是公司内部的。公司可以利用私营部门争议解决计划作为独立追索机制。或者,组织可以选择合作和遵守与欧盟数据保护当局有关所有类型的数据(当时涉及人力资源数据时)。

本公司必须确保在自我认证之前到位为其独立的追索机制,并且必须在本公司的隐私政策中披露追索机制。

7.指定联系人

每家公司都必须提供联系人,用于处理隐私盾牌下出现的问题,投诉,访问请求以及任何其他问题。此联系人必须在隐私政策中命名。

有关隐私盾牌的更多详细信息,或帮助探索贵公司是否适合,请联系任何orrick网络安全和隐私团队的成员。