欧州委員会は、 発表した 米国の妥当性に関する決定草案であり、来年採択される代替の EU-米国データ転送協定への道を開きます。
EU-US データ プライバシー フレームワーク (DPF) の妥当性決定草案は、いわゆる ここからダウンロード.
欧州委員会の草案は、長年の曲がりくねった二国間プロセスにおける重要な一歩であり、EU の執行機関と米国のカウンターパートは、EU の個人データの大西洋を越えた輸出に最終的に法的確実性をもたらすことを望んでいます。法廷、戻って 2020年7月 と 2015 年 10 月、ヨーロッパのプライバシー権と米国の監視権限との間の法的断絶について。
その分裂を解決することは、EU と米国のデータ転送の重要な問題点であり、今もそうです。 これは、大西洋を横断するデータ転送に関する新たな取り決めが、この根本的な衝突が本当に解決されたかどうかをテストするために、間違いなく法的な問題に直面することを意味します。
しかし、最近の 2 つの取引が EU 司法裁判所 (CJEU) によって破棄された後、書面で合意された代替案を得ただけでも、 大きな努力と挑戦.
昨日、EUの司法委員であるディディエ・レインダースは、 ポリティコ 彼は、新しい協定が来年7月までに完成することを望んでいると述べ、法的異議申し立てに耐える可能性は「10分の7または8」であると述べた. したがって、委員会でさえ、この存続について 100% ではありません。
本日の決定草案の発表に付随する声明の中で、Reynders 氏は次のように述べています。
本日の決定草案は、私が米国商務長官ライモンドと一緒に主導した米国との 1 年以上にわたる激しい交渉の結果です。 過去数か月にわたって、個人データの保護に関して、大統領令によって提供された米国の法的枠組みを評価しました。 私たちは今、養子縁組手続きの次のステップに進むことに自信を持っています. 私たちの分析によると、大西洋の両側の間で個人データを安全に転送できるようにするために、強力な保護手段が現在米国で導入されています。 将来のフレームワークは、企業に法的な確実性を提供しながら、市民のプライバシーを保護するのに役立ちます。 現在、欧州データ保護委員会、加盟国の専門家、欧州議会からのフィードバックを待っています。
別のサポート ステートメントで、価値と透明性を担当する委員会の副社長である Věra Jourová 氏は次のように付け加えました。
米国との協議の結果、米国に転送されたヨーロッパ人の個人データの安全性をさらに向上させるフレームワークを提案することができました。 これは、長年にわたる私たちの良好な協力と進歩に基づいています。 将来の枠組みは企業にとっても有益であり、大西洋横断の協力を強化します。 民主主義国として、私たちはデータ保護を含む基本的権利のために立ち上がる必要があります。 これは、ますますデジタル化され、データ駆動型の経済において必要なことであり、ぜいたく品ではありません。
開発を熱心に見ているのは、Meta を含む多くの技術巨人です。 停止命令が平手打ちされるリスクがある EU の一般データ保護規則 (GDPR) の施行手続きをいまだにすりつぶしている長期にわたる苦情に続く EU-US データ転送 (そのため、どちらが先に到着するかは時間との戦いです)。 分析製品が打撃を受けた Google ブロック内の DPA による違法な送金に関する警告 個人データの; クラウドベースの生産性スイートを提供する Microsoft 365 は、ドイツの DPA による GDPR の審査中です これは、データ転送の問題によってさらに複雑になっています。注目すべき例を 3 つ挙げるとします。
しかし、転送の問題はもちろん、EU から米国への個人データの輸出に依存し、プライバシー シールドの終焉以来、法的な問題に直面している何千もの企業に影響を与えています。
最近廃止されたプライバシー シールド契約を置き換えるための EU と米国の間の交渉は、これまでに行われました。 行進 政治的合意に達するまで 10月 米国大統領のジョー・バイデンが、代替データ転送協定を実施するための大統領令 (EO) に署名する前に.
EO の署名により、バトンが委員会に戻されました — そして現在、委員会は、米国政府によって署名されたテキスト (および米国司法長官メリック・ガーランドによって発行された付随する規則) に基づいて、そのような取引をブロックが吹き替えているため、十分性協定の草案を作成しています。 )は、3 月に EU と米国が署名した原則合意を米国法に適用したものです。
プロセスの次の段階は、欧州データ保護委員会 (EDPB) および EU 加盟国の委員会を含む他の EU 機関による決定草案のレビューと、欧州議会のメンバーによる精査です。 しかし、妥当性を採用する最終決定は欧州委員会のみに委ねられているため、本日の決定草案は、新しい協定を締結するための道に沿った重要な一歩を示しています。
「米国企業は、収集された目的のために必要がなくなった場合に個人データを削除する要件など、一連の詳細なプライバシー義務を遵守することを約束することにより、EU-US データ プライバシー フレームワークに参加できるようになります。 、および個人データが第三者と共有される場合の保護の継続性を確保するためです」と委員会は書いています。 「EU 市民は、個人データがフレームワークに違反して取り扱われた場合、独立した紛争解決メカニズムや仲裁委員会の前での無料を含め、いくつかの救済手段の恩恵を受けることができます。
「さらに、米国の法的枠組みは、特に刑事法執行と国家安全保障の目的で、米国の公的機関によるデータへのアクセスに関して多くの制限と保護措置を規定しています。 これには、Schrems II 判決で EU 司法裁判所が提起した問題に対処する、米国大統領令によって導入された新しい規則が含まれます。国際セキュリティー; EU の個人は、新しく作成されたデータ保護審査裁判所を含む、独立した公平な救済メカニズムの前に、米国の諜報機関によるデータの収集と使用に関する救済を受ける可能性があります。 裁判所は、拘束力のある是正措置を採用することを含め、ヨーロッパ人からの苦情を独自に調査し、解決します。」
「欧州企業は、標準的な契約条項や拘束力のある企業規則など、他の転送メカニズムを使用する場合にも、大西洋を越えたデータ転送のためにこれらの保護手段に頼ることができるでしょう」と委員会は付け加えました。
とはいえ、取り戻された取引がいつまで続くかはまだ分からない。
EU-US プライバシー シールドは、CJEU が破棄するまで 4 年も経っていませんでした。 そして、同じ問題に関する 3 度目の異議申し立ては、高いレベルの法的計算に到達するのにそれほど時間はかからないかもしれません。
欧州委員会の決定草案の発表に関する声明の中で、マックス・シュレムスによって設立されたプライバシーおよびデジタル権利の非営利擁護団体である noyb は、EU と米国のデータ転送協定への成功した挑戦の代名詞となっていますが、DPF は失敗すると予測しています。 CJEUの前で。
「CJEU は、(1) 米国の監視は 比例する 基本権憲章(CFR)の第52条の意味の範囲内で、および(2)へのアクセスがあること 司法救済、第 47 CFR 条の下で要求されるとおり。 更新された米国法 (大統領令 14086) は、以前に適用された PPD-28 から状況を大きく変えるものではないため、両方の要件に失敗しているようです。 継続的な「一括監視」と実際の法廷ではない「法廷」があります。 したがって、大統領令 14086 に基づく EU の「妥当性決定」は、CJEU を満たさない可能性が高い」と noyb はプレスリリースで述べた。
米国 EO の文言に基づく、双方間の原則合意の分析は、変更は「かなり最小限に見える」ものであり、合意は「非米国人の保護に関しては不十分である」というものである。つまり、CJEU との 3 番目の取引も承認されないだろうと予測しているのです。
声明の中でシュレムス氏は次のように付け加えた。 決定草案は既知の大統領令に基づいているため、これが司法裁判所での異議申し立てをどのように乗り切るかわかりません。 欧州委員会は、私たちの基本的権利を著しく侵害して、同様の決定を何度も出しているようです。」
それでも、データ保護に深く関与しているすべての人が、EU と米国のデータ転送協定を結び付けようとするこの「3 回目の不運」の試みにそれほど落ち込んでいるわけではありません。
ハンブルグのデータ保護コミッショナーは、やや前向きな印象を与えました 声明 先月の EO の内容について — 米国のシークレット サービス活動が初めて「比例条件」の対象となる方法を歓迎し、また、政府データの範囲を (少なくとも) 制限するという米国の意向を歓迎するコレクション – 合意に対する「ひざまずく」批判と呼ばれるものにもぶつかりました。
しかし同時に、米国のシークレットサービスが「比例性」をどのように解釈するかなど、重要な要素があるかどうかを判断するには、取引を徹底的に精査する必要があることを強調しました。 データ保護裁判所の機能 — 実際に CJEU の要件を満たすかどうか。 特に、それはまた、米国の大量収集(別名「大量監視の手段」)が表現的に保持されているという事実を「問題がある」と説明しました.
EDPB が DPF をどうするかを見るのは確かに興味深いでしょう。
委員会が決定草案を受け取ったことを確認したため、現在は意見の検討を開始することができますが、理事会からの親指ダウンは、今後の法的な問題を非常に示唆しています. しかし、EDPB からのより肯定的な評決はもちろん、まったく別の話です。
取締役会の広報担当者は、プロセスのこの段階では声明を発表しないと語った.
彼女はまた、EDPB が決定草案に関する意見を採用するための時間枠は明確ではないと述べた。 「現時点では、これがいつになるかは言えません。 GDPR の下では期限は予見されていませんが、欧州委員会が期限を設定することを決定できます」と彼女は付け加えました。
noyb は、新しい協定が 2023 年春までに最終決定されるとは考えていないと述べた。それが実現すれば、ユーザーは国内および欧州の裁判所を通じて DPF に異議を唱えることができるようになり、それによって新たな規制に新たな時計が刻み込まれることになると、noyb は述べている。危険。
欧州委員会はまた、「定期的なレビュー」のプロセスを通じて、EU-US データ プライバシー フレームワークの機能を監視します。これは、ヨーロッパのデータ保護当局からの情報をもとに、管轄の米国当局とともに実施します。
「最初のレビューは、十分性決定の発効後1年以内に行われ、米国の法的枠組みのすべての関連要素が完全に実施され、実際に効果的に機能しているかどうかを検証する」と述べた.
委員会はまた、短い 質疑応答 決定草案の詳細を提供します。
