Data science

ภาระผูกพันด้านการปฏิบัติตามข้อกำหนดใหม่สำหรับการถ่ายโอนข้อมูลข้ามพรมแดน

หลายปีที่ผ่านมา การถ่ายโอนข้อมูลข้ามพรมแดนทำหน้าที่คล้ายกับการตรวจสอบความปลอดภัยของสนามบินสำหรับการเดินทางระหว่างประเทศ โดย Privacy Shield เป็นช่องทางเช็คอินที่รวดเร็ว หลังจากที่ศาลสหภาพยุโรป (EU) ยกเลิก Privacy Shield ในเดือนกรกฎาคม 2020 (การตัดสินใจของ Schrems II) การถ่ายโอนข้อมูลระหว่างสหภาพยุโรปและสหรัฐอเมริกาต้องเผชิญกับความไม่แน่นอนมากขึ้น แม้ว่าจะมีกลไกอื่นๆ อยู่ แต่ Privacy Shield เป็นเครื่องมือในการปฏิบัติตามข้อกำหนดทั่วไป เนื่องจากไม่สามารถใช้แนวคิด Privacy Shield ได้ สหภาพยุโรปจึงแนะนำการอัปเดตกลไกทางเลือก ข้อสัญญามาตรฐานใหม่ (New SCC) ซึ่งแทนที่เวอร์ชัน 2010 และอำนวยความสะดวก การถ่ายโอนข้อมูลข้ามพรมแดนหลัง Schrems II เริ่มตั้งแต่เดือนกันยายน 000 2021 องค์กรส่วนใหญ่จะต้องแก้ไขข้อตกลงทางการค้ากับ New SCC สำหรับการถ่ายโอนข้อมูลข้ามมหาสมุทรแอตแลนติก . กระบวนการใหม่เหล่านี้จะเพิ่มภาระผูกพันในการปฏิบัติตามข้อกำหนดที่สำคัญสำหรับลูกค้าและผู้ขายในการประเมิน จัดทำเอกสาร และดำเนินการเพื่อให้แน่ใจว่ามีการป้องกันเพิ่มเติมสำหรับการปกป้องข้อมูลส่วนบุคคลในสหภาพยุโรป เหตุใดสหภาพยุโรปจึงยกเลิกการคุ้มครองความเป็นส่วนตัวก่อนเดือนกรกฎาคม 2020 มากกว่า 5 บริษัท 000 ที่โอนส่วนบุคคลในสหภาพยุโรป ข้อมูลไปยังสหรัฐอเมริกาผ่านเฟรมเวิร์ก Privacy Shield ที่ได้รับอนุมัติจากสหรัฐอเมริกาและสหภาพยุโรป สำหรับ 15 หลายเดือนหลังจากการตัดสินใจของ Schrems II บริษัทต่างๆ ต่างดิ้นรนกับ “ช่วงเวลาของคลองสุเอซ” ที่สร้างอุปสรรคร้ายแรงสำหรับการถ่ายโอนข้อมูลข้ามมหาสมุทรแอตแลนติก คล้ายกับที่เรือคอนเทนเนอร์เอเวอร์กรีนปิดกั้นคลองสุเอซโดยไม่ได้ตั้งใจใน 2021 ทางตันในการถ่ายโอนข้อมูลข้ามพรมแดนเป็นอันตรายต่อการค้าระหว่างสหภาพยุโรปและสหรัฐอเมริกาที่ประมาณ 1 ล้านล้านดอลลาร์ต่อปี ความขัดแย้งระหว่างสหภาพยุโรปและสหรัฐอเมริกาเกี่ยวกับการถ่ายโอนข้อมูลข้ามพรมแดนเกิดขึ้นเนื่องจากแนวทางที่แตกต่างกันในความเป็นส่วนตัวและการปกป้องข้อมูล: ในขณะที่สหรัฐอเมริกาถือว่าความเป็นส่วนตัวของข้อมูลมีความสำคัญ แต่สหภาพยุโรปมองว่าเป็นสิ่งที่ไม่สามารถโอนย้ายได้และศักดิ์สิทธิ์ การเปิดเผยของเอ็ดเวิร์ด สโนว์เดนเกี่ยวกับโครงการสอดแนมของสหรัฐฯ แสดงให้เห็นเพิ่มเติมว่ารัฐบาลกลางของสหรัฐฯ สามารถบังคับบริษัทต่างๆ เช่น Facebook ให้เปลี่ยนข้อมูลของผู้พักอาศัยในสหภาพยุโรป ในการตอบโต้ ศาลสหภาพยุโรปพบว่ากฎหมายของสหรัฐอเมริกาบ่อนทำลายการคุ้มครองของกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) ศาลตั้งข้อสังเกตในความเห็นว่ากฎหมายความมั่นคงแห่งชาติของสหรัฐฯ ไม่อนุญาตให้บุคคลมีสิทธิเพียงพอเมื่อข้อมูลส่วนบุคคลของพวกเขาถูกดักจับโดยหน่วยงานข่าวกรองของสหรัฐฯ ตัวเลือกสำหรับการถ่ายโอนข้อมูลข้ามพรมแดน องค์กรในสหรัฐอเมริกาต้องได้รับการประเมินการถ่ายโอนข้อมูลข้ามพรมแดนอย่างละเอียดเป็นรายกรณี ซึ่งเรียกว่าการประเมินผลกระทบต่อการถ่ายโอน (TIA) ตัวเลือกอื่นๆ มีผลผูกพันกับกฎเกณฑ์ขององค์กร (BCR) อย่างไรก็ตาม องค์กรส่วนใหญ่มักไม่สนับสนุนสิ่งเหล่านี้ เมื่อใดจะแก้ไขข้อตกลงที่มีอยู่กับ SCC ใหม่ สำหรับสัญญาที่ลงนามก่อนเดือนกันยายน 000, 2021 ภายใต้ SCC เดิม บริษัท มีจนถึงเดือนธันวาคม 000, 2022 เพื่อแก้ไขด้วย SCC ใหม่ SCC ใหม่มาในเอกสารฉบับเดียวโดยมีสถานการณ์หรือโมดูลการถ่ายโอนข้ามพรมแดนสี่แบบแยกกัน: 1. ตัวควบคุมไปยังตัวควบคุม 2. ตัวควบคุมไปยังตัวประมวลผล 3. ตัวประมวลผลไปยังตัวประมวลผล และ 4. ตัวประมวลผลไปยังตัวควบคุม ธุรกิจต้องเลือกโมดูลที่เกี่ยวข้องก่อนที่จะเริ่มการโอนตาม SCC ใหม่ที่ดำเนินการ ขั้นตอนสำคัญสำหรับ TIA ที่สรุปไว้ด้านล่างคือ ธุรกิจต้องใช้มาตรการเสริม นอกเหนือจาก SCC ใหม่ เพื่อให้การปกป้องข้อมูลที่เทียบเท่ากับ GDPR แก่ผู้อยู่อาศัยในสหภาพยุโรป หกขั้นตอนสำหรับการประเมินผลกระทบการถ่ายโอน คณะกรรมการคุ้มครองข้อมูลแห่งยุโรป (EDPB) ซึ่งเป็นหน่วยงานของสหภาพยุโรปที่รับผิดชอบในการดำเนินการตาม GDPR ได้สั่งให้ธุรกิจต่างๆ ที่ส่งออกข้อมูลส่วนบุคคลของสหภาพยุโรปไปยังสหรัฐอเมริกาดำเนินการประเมินหกขั้นตอนต่อไปนี้: ขั้นตอนที่ 1: ทำการแมปข้อมูลข้าม การถ่ายโอนข้อมูลชายแดน ขั้นตอนที่ 2: ระบุเครื่องมือถ่ายโอนที่เหมาะสม เช่น SCC ใหม่หรือกลไกอื่นๆ สองสามอย่าง ขั้นตอนที่ 3: ประเมินว่า GDPR จะถูกบ่อนทำลายภายใต้กฎหมายและ/หรือแนวปฏิบัติในประเทศที่สาม (เช่น สหรัฐอเมริกา) ที่บังคับใช้กับข้อมูลเฉพาะที่ถ่ายโอนโดยอิงจากข้อมูลที่เกี่ยวข้อง วัตถุประสงค์ และเปิดเผยต่อสาธารณะหรือไม่ ขั้นตอนที่ 4: ระบุและใช้มาตรการตามสัญญา ทางเทคนิค และเชิงองค์กรที่เหมาะสม (มาตรการเสริม) หากกฎหมายของประเทศที่สามขาดการคุ้มครองที่เทียบเท่ากับ GDPR ขั้นตอนที่ 5: ดำเนินการตามขั้นตอนอย่างเป็นทางการเพื่อนำมาตรการเสริมมาใช้ ขั้นตอนที่ 6: ประเมินใหม่ในช่วงเวลาที่เหมาะสมของการคุ้มครองข้อมูลส่วนบุคคลในสหภาพยุโรปที่ถ่ายโอน ไม่ว่าองค์กรจะเลือก SCC ใหม่หรือเครื่องมือการโอนย้ายอื่นๆ สำหรับการถ่ายโอนข้ามพรมแดน องค์กรเหล่านี้ควรให้ที่ปรึกษาด้านความเป็นส่วนตัวของข้อมูลดำเนินการ TIA หกขั้นตอนที่ได้รับคำสั่งจาก EDPB ข่าวดีก็คือองค์กรไม่จำเป็นต้องทำการประเมินซ้ำทุกครั้งที่โอนข้อมูลส่วนบุคคลประเภทเดียวกันไปยังประเทศเดียวกันนอกสหภาพยุโรป ตัวอย่างเช่น หากบริษัทถ่ายโอนชุดข้อมูลที่มีชื่อ อีเมล และตำแหน่งงานของผู้ที่อาศัยอยู่ในสหภาพยุโรปไปยังสหรัฐอเมริกาเป็นประจำ บริษัทจะต้องกรอกและจัดทำเอกสาร TIA เฉพาะสำหรับการถ่ายโอนชุดข้อมูลประเภทนี้ไปยังสหรัฐอเมริกาเพื่อให้เป็นไปตาม EDPB แนวทาง สำหรับสถานการณ์เฉพาะนี้ บริษัทสามารถพึ่งพาเอกสาร TIA ที่บันทึกไว้โดยไม่ต้องทำขั้นตอนเดิมซ้ำทุกครั้งที่ถ่ายโอนข้อมูล ภายใต้เงื่อนไขต่อไปนี้: -การถ่ายโอนเกี่ยวข้องกับข้อมูลประเภทเดียวกันเฉพาะจากสหภาพยุโรปไปยังบุคคลที่สามรายเดียวกัน กล่าวคือ สหรัฐฯ ในกรณีนี้ – ยังคงใช้มาตรการเสริมที่จำเป็นต่อไป และ – จะประเมินและตรวจสอบระดับการปกป้องข้อมูลอีกครั้งสำหรับชุดข้อมูลเฉพาะนี้ โดยการเฝ้าระวังกฎหมายและแนวปฏิบัติของประเทศที่สามอย่างต่อเนื่อง บทสรุป เช่นเดียวกับ 2021 การอุดตันของคลองสุเอซที่ขัดขวางการค้าโลก บริษัทต่างๆ จะรู้สึกถึงผลกระทบที่กระเพื่อมจากการตัดสินใจของ Schrems II เมื่อพวกเขาดำเนินการและนำ SCC ใหม่ไปใช้ องค์กรในสหรัฐอเมริกาส่วนใหญ่จะต้องพึ่งพา SCC ใหม่เป็นเครื่องมือหลักสำหรับการโอนข้ามพรมแดน SCC ใหม่มีกลไกเพื่ออำนวยความสะดวกในการค้า ในขณะที่กำหนดภาระผูกพันตามสัญญาที่ซับซ้อนและต่อเนื่องสำหรับการปกป้องข้อมูล ทุกองค์กรควรทบทวนข้อกำหนดอย่างละเอียดและใช้มาตรการเสริมหรือความเสี่ยงในการถ่ายโอนข้อมูลข้ามพรมแดนโดยมีเหตุผลเพียงเล็กน้อย ________________________________________________________________________________ Vivien F. Peaden, CIPP/US, CIPP/E, CIPM เป็นทนายความด้านเทคโนโลยีและความเป็นส่วนตัวที่สำนักงานกฎหมาย Baker Donelson เธอนำประสบการณ์การให้คำปรึกษาภายในองค์กรมาใช้กับหนึ่งในบริษัทที่ปรึกษาด้านการจัดการที่ใหญ่ที่สุดในโลกเพื่อให้คำแนะนำเชิงธุรกิจและเชิงปฏิบัติเกี่ยวกับธุรกรรมทางเทคโนโลยีที่หลากหลาย ความเป็นส่วนตัวของข้อมูล และปัญหาด้านความปลอดภัยทางไซเบอร์ที่ส่งผลกระทบต่อผลกำไรของลูกค้าของเธอ เธอสามารถติดต่อได้ที่ vpeaden@bakerdnelson.com

  • บ้าน
  • Business
  • Data science
  • Marketing
  • Leave a Reply

    Your email address will not be published. Required fields are marked *

    Back to top button