Từ năm 2016 đến năm 2020, Bảo vệ quyền riêng tư của Liên minh Châu Âu-Hoa Kỳ đã quy định việc chuyển dữ liệu cá nhân từ Liên minh Châu Âu sang Hoa Kỳ. Nhưng vào tháng 7 năm 2020 , thỏa thuận chuyển dữ liệu đã bị Tòa án Công lý Châu Âu (phán quyết của Schrems II) tuyên bố là vô hiệu , vì nó không thể đảm bảo mức độ bảo vệ dữ liệu phù hợp với Quy định chung về bảo vệ dữ liệu (GDPR) và ưu tiên công dân Hoa Kỳ Yêu cầu bảo mật. Ít nhất cho đến khi các quy định mới có hiệu lực, các công ty Mỹ sẽ phải chịu trách nhiệm nhiều hơn và – nếu họ muốn tránh các lệnh trừng phạt – bây giờ phải tham gia tích cực hơn bao giờ hết vào diễn ngôn về bảo vệ dữ liệu.
Điều gì tiếp theo sau khi kết thúc Chương trình bảo vệ quyền riêng tư của Hoa Kỳ-Liên minh Châu Âu?
Mặc dù Bảo vệ quyền riêng tư đã bị vô hiệu, các công ty ở EU vẫn có thể xuất dữ liệu cá nhân sang Hoa Kỳ. Ủy ban Châu Âu quyết định rằng các điều khoản hợp đồng tiêu chuẩn của EU (SCC) – một công cụ khác thường được sử dụng để truyền dữ liệu – vẫn giúp dữ liệu có thể được chuyển ra quốc tế. Nhưng thay vì chỉ chuyển dữ liệu từ Liên minh Châu Âu, các công ty Hoa Kỳ được chứng nhận theo Bảo vệ quyền riêng tư giờ đây sẽ phải thương lượng việc chuyển giao đó thông qua các SCC.
Theo phán quyết của Schrems II , việc sử dụng các điều khoản hợp đồng tiêu chuẩn phải tuân theo các quy tắc và điều kiện nghiêm ngặt hơn: các công ty EU phải thực hiện các biện pháp bổ sung và về nguyên tắc, thực hiện đánh giá từng trường hợp cụ thể của mỗi lần chuyển dữ liệu. Tuy nhiên, do các tòa án của EU cho rằng việc bảo vệ dữ liệu của Hoa Kỳ còn hạn chế, nên dữ liệu của EU được coi là không an toàn khi được chuyển sang Hoa Kỳ.
Hơn nữa, các điều khoản hợp đồng tiêu chuẩn phải được các cơ quan giám sát và bảo vệ dữ liệu của Châu Âu xem xét . Vì vậy, nếu tình huống pháp lý ở quốc gia thứ ba ngăn cản người nhận dữ liệu tuân thủ các nghĩa vụ theo các điều khoản hợp đồng tiêu chuẩn, thì việc truyền dữ liệu có thể bị đình chỉ hoặc thậm chí bị cấm. Nói cách khác, toàn bộ quá trình phải được tính đến khi kiểm tra mức độ bảo vệ dữ liệu . Do đó, xuyên suốt, nó phải được đảm bảo rằng an ninh quốc gia và các cơ quan điều tra ở nước nhận không có quyền truy cập vào dữ liệu cá nhân.
Trong tình hình hiện tại, việc đánh giá từng trường hợp đặc biệt khó khăn đối với các doanh nghiệp vừa và nhỏ , vì họ thường không có bí quyết và phương tiện để xác minh xem có mức độ bảo vệ dữ liệu thích hợp ở nước thứ ba hay không. . Hơn nữa, phán quyết của ECJ không chỉ rõ chính xác tiêu chuẩn cụ thể nào sẽ được áp dụng cho các đánh giá trường hợp riêng lẻ hoặc cho các phần mở rộng có thể có của các điều khoản hợp đồng tiêu chuẩn.
Tuy nhiên, các doanh nghiệp vừa và nhỏ nên tích cực nắm bắt chủ đề này. Các chuyên gia pháp lý khuyên các doanh nghiệp vừa và nhỏ nên thực hiện các biện pháp phòng ngừa cao nhất và tạo tài liệu vững chắc về nỗ lực bảo vệ dữ liệu của chính họ. Khi làm như vậy, các công ty sẽ chuẩn bị tốt hơn cho các tranh chấp pháp lý có thể xảy ra và sẽ có thể bảo vệ hành động của mình trước tòa tốt hơn sau khi Privacy Shield kết thúc.
Vì vậy, với luồng dữ liệu bị hạn chế, các doanh nghiệp Hoa Kỳ thu thập dữ liệu về công dân Liên minh Châu Âu sẽ tiếp tục như thế nào và họ nên thực hiện các biện pháp nào để đảm bảo họ tuân thủ tất cả các khía cạnh chính thức của các điều khoản bảo vệ dữ liệu tiêu chuẩn? Đầu tiên và quan trọng nhất, các công ty trước đây được chứng nhận theo Bảo vệ quyền riêng tư phải kiểm tra tất cả các luồng dữ liệu, hợp đồng và các mối quan hệ liên quan đến việc chuyển dữ liệu cá nhân từ Liên minh Châu Âu sang Hoa Kỳ . Vì tình hình pháp lý ở Hoa Kỳ giờ đây sẽ được các công ty EU phân tích chặt chẽ hơn và xác suất truy cập dữ liệu không phù hợp được đánh giá cẩn thận hơn, điều quan trọng là bạn phải xem xét tất cả các thỏa thuận và xác định xem bạn có muốn tiếp tục nhận dữ liệu đó hay không. Khi bạn đã hoàn thành điều đó, bạn cần xác định cách các SCC có thể được triển khaiđể duy trì luồng dữ liệu đó. Trong khi một số đối tác sẽ sẵn sàng chấp nhận thỏa thuận mới này hơn để duy trì hoạt động kinh doanh như bình thường, những đối tác khác chắc chắn sẽ coi đây là cơ hội để đàm phán lại các thỏa thuận có lợi cho họ.
Trong quá trình này, cần làm rõ liệu doanh nghiệp của bạn có thực hiện các nghĩa vụ hợp đồng đặc biệt hay không khi xét đến tình hình hiện tại (ví dụ như tăng cường nghĩa vụ giám sát và thông báo). Trong tình hình hiện tại, các công ty EU cũng có thể kêu gọi các đối tác kinh doanh và nhà cung cấp dịch vụ của Mỹ sử dụng tất cả các phương tiện kỹ thuật sẵn có để tối ưu hóa bảo vệ dữ liệu , ví dụ như sử dụng mã hóa đầu cuối trong phần mềm hội nghị truyền hình .
Các công ty EU có thể thực hiện mà không cần truyền dữ liệu, dịch vụ đám mây và máy chủ ở các nước thứ ba bên ngoài EU sẽ tìm kiếm các giải pháp thay thế tuân thủ GDPR ở châu Âu. Ngoài ra, các phát triển trong luật bảo vệ dữ liệu cần được tuân thủ chặt chẽ. Trong tài liệu Câu hỏi thường gặp về phán quyết của Chương trình Bảo vệ quyền riêng tư của ECJ , Giám sát Bảo vệ Dữ liệu Châu Âu (EDSA) cung cấp thông tin về tình trạng hiện tại cho các bên quan tâm và bị ảnh hưởng.
Bảo vệ quyền riêng tư của Hoa Kỳ-Liên minh Châu Âu là gì?
Privacy Shield chính thức được giới thiệu vào giữa năm 2016 với tư cách là nguyên tắc kế thừa Nguyên tắc bảo mật của Luật Che giấu An toàn của Hoa Kỳ-Liên minh Châu Âu . Mục đích của thỏa thuận là để bảo vệ dữ liệu của công dân châu Âu được lưu trữ và xử lý bởi các công ty có trụ sở tại Mỹ sau khi được chuyển đến Mỹ. Đây dữ liệu cá nhân độc quyền liên quan , trong đó, ví dụ, được thu thập đến một mức độ lớn trong thương mại điện tử . Dữ liệu cá nhân bao gồm số điện thoại, ID khách hàng, thẻ tín dụng hoặc số nhận dạng, dữ liệu tài khoản, diện mạo của một người hoặc địa chỉ của công dân EU kết hợp với dữ liệu cá nhân khác.
Hiệu lực của biện pháp kế thừa Luật Che giấu An toàn kết thúc vào tháng 7 năm 2020 theo phán quyết của Tòa án Công lý Châu Âu (ECJ). Trong cái gọi là phán quyết của Schrems-II ngày 16.07.2020 , ECJ giả định rằng mức độ bảo mật được yêu cầu trong Quy định chung về bảo vệ dữ liệu (GDPR) sẽ không đạt được khi lưu trữ và xử lý dữ liệu cá nhân ở Hoa Kỳ.
Khi làm như vậy, ECJ cũng hủy bỏ phát hiện đầy đủ của Ủy ban châu Âu , trong đó liên tục xác nhận rằng Hoa Kỳ có đủ mức độ bảo vệ dữ liệu. Phán quyết của ECJ được đưa ra bởi một vụ kiện của chuyên gia bảo vệ dữ liệu người Áo Maximilian Schrems , người trước đó đã khởi xướng việc chấm dứt Thỏa thuận Che giấu An toàn bằng một vụ kiện. Trong vụ kiện này, Schrems muốn cấm Facebook Ireland chuyển dữ liệu cá nhân của mình sang Hoa Kỳ, gửi đơn khiếu nại lên cơ quan bảo vệ dữ liệu Ireland. Khi Tòa án Tối cao Ireland không bắt đầu thủ tục tố tụng, Schrems đã kiện họ. Trong trường hợp thứ hai, cơ quan bảo vệ dữ liệu của Ireland đã chuyển vấn đề này lên ECJ để xem xét pháp lý, điều này cuối cùng đã lật tẩy Bảo vệ quyền riêng tư của Hoa Kỳ-Liên minh Châu Âu.
Nội dung và điều kiện chung của Privacy Shield
Kế thừa của Safe Harbour dựa trên các tiêu chuẩn và biện pháp bảo vệ dữ liệu đặc biệt mà Hoa Kỳ phải đáp ứng. Một yếu tố quan trọng là các công ty Hoa Kỳ có thể tự chứng nhận bằng Bảo vệ quyền riêng tư . Sau khi một công ty Hoa Kỳ tự nguyện đệ trình các điều khoản của thỏa thuận, cuộc xem xét của Bộ Thương mại Hoa Kỳ đã diễn ra. Khi một công ty đã hoàn tất thành công quy trình, nó sẽ được đưa vào cơ sở dữ liệu có thể truy cập công khai . Danh sách bao gồm tổng cộng 5.384 tổ chức vào thời điểm kết thúc hiệu lực của hiệp định.
Bảo vệ quyền riêng tư của Hoa Kỳ-Liên minh Châu Âu đảm bảo quyền toàn diện của công dân Liên minh Châu Âu khi dữ liệu cá nhân được chuyển đến các công ty được chứng nhận ở Hoa Kỳ – và công dân Liên minh Châu Âu có thể liên hệ trực tiếp với các công ty đó để yêu cầu các quyền này. Các công ty này đã phải trả lời các mối quan tâm của công dân trong vòng 45 ngày. Các quyền được đảm bảo trong Privacy Shield bao gồm:
- Quyền được thông tin và tiết lộ
- Quyền phản đối (có thể phản đối việc xử lý dữ liệu nếu cần)
- Quyền sửa dữ liệu không chính xác
- Quyền xóa dữ liệu
- Có sẵn các thủ tục khiếu nại / giải quyết
Để thực thi và bảo vệ quyền của mình, công dân EU cũng có thể chuyển sang làm thanh tra viên trong Bộ Ngoại giao Hoa Kỳ . Thanh tra viên phải độc lập với tất cả các dịch vụ tình báo, điều tra mối quan tâm của các cá nhân và cung cấp thông tin về việc liệu luật hiện hành có được tuân thủ trong các trường hợp cụ thể hay không. Tuy nhiên, văn phòng đã không được lấp đầy cho đến năm 2018 theo sự khăng khăng của EU . Manisha Singh ban đầu làm thanh tra viên, tiếp theo là Keith Krach vào tháng 6 năm 2019.
Ngoài ra, công dân EU có thể chuyển đến cơ quan bảo vệ dữ liệu quốc gia của họ , sau đó có thể liên hệ trực tiếp với Ủy ban Thương mại Liên bang Hoa Kỳ (FTC) để làm rõ thêm. Nếu không tìm thấy hình thức thỏa thuận nào khác, thì tố tụng trọng tài với phán quyết trọng tài có hiệu lực thi hành đóng vai trò là biên giới cuối cùng. Ngoài ra, tất cả các công ty đã có thể hành động theo khuyến nghị của các cơ quan bảo vệ dữ liệu Châu Âu . Dù sao thì những công ty xử lý dữ liệu cá nhân cũng có nghĩa vụ phải làm như vậy.
Điều kiện tiên quyết để có hiệu lực của Bảo vệ quyền riêng tư là quyết định đầy đủ của Ủy ban Liên minh Châu Âu. Ủy ban này đã chứng nhận rằng Hoa Kỳ có đầy đủ các tiêu chuẩn bảo vệ dữ liệu để lưu trữ và xử lý dữ liệu cá nhân từ Liên minh Châu Âu. Quyết định đầy đủ của năm 2016 được xem xét hàng năm và được gia hạn nếu đáp ứng được mức độ bảo vệ dữ liệu cần thiết . Ủy ban EU và Bộ Thương mại Hoa Kỳ đã cùng tiến hành đánh giá với sự tham gia của các chuyên gia. Quá trình này dẫn đến một báo cáo công khai được trình lên Nghị viện và Hội đồng Châu Âu.
Bất chấp các biện pháp bảo vệ dữ liệu rộng rãi này, việc giám sát hàng loạt vẫn không bị loại trừ hoàn toàn . Trong sáu lĩnh vực, mà việc kiểm tra kỹ hơn để lại một phạm vi nhất định để giải thích, Hoa Kỳ có thể thu thập dữ liệu về và về:
- Chống khủng bố
- Tiết lộ hoạt động của các thế lực nước ngoài
- Chống phổ biến vũ khí hủy diệt hàng loạt
- An ninh mạng
- Bảo vệ các lực lượng Hoa Kỳ và đồng minh
- Chống lại các mối đe dọa tội phạm xuyên quốc gia
- Bảo vệ quyền riêng tư: ưu và nhược điểm
Đối với công dân Liên minh Châu Âu, quyền khiếu nại rộng rãi trong trường hợp các công ty Hoa Kỳ vi phạm cụ thể việc bảo vệ dữ liệu là một trong những lợi ích của thỏa thuận Privacy Shield. Một thành phần quan trọng cũng là nguyên tắc giới hạn mục đích : Dữ liệu chỉ có thể được ghi lại và xử lý cho một mục đích đã được xác định trước rõ ràng và được pháp luật cho phép. Đối với các tổ chức có trụ sở tại Hoa Kỳ, việc đóng dấu chấp thuận cung cấp sự bảo vệ quyền riêng tư “đầy đủ” là chìa khóa để chuyển dữ liệu ra bên ngoài EU, cũng như các yêu cầu của Quốc gia Thành viên được miễn cho các công ty tham gia.
Tuy nhiên, Bảo vệ quyền riêng tư của Hoa Kỳ-Liên minh Châu Âu đã vấp phải sự phản đối ngay từ đầu . Các nhà phê bình cho rằng thỏa thuận này không đủ sâu rộng. Có những lời phàn nàn rằng các yêu cầu của Tòa án Công lý Châu Âu không được đáp ứng đầy đủ và nhiều sự khác biệt chỉ được che giấu về mặt thẩm mỹ. Vì vị trí thanh tra viên được giao cho Bộ Ngoại giao , các nhà phê bình cho rằng thỏa thuận thiếu tính độc lập về thể chế và nó mâu thuẫn với Quy định chung về bảo vệ dữ liệu (Điều 52 (1) GDPR). Họ cũng chỉ trích thực tế là các công dân EU bị ảnh hưởng không thể thực hiện hành động pháp lý chống lại các quyết định của văn phòng thanh tra.
Một điểm chỉ trích chính khác là các biện pháp giám sát hàng loạt không được kiểm tra tính tương xứng và làm như vậy đã vi phạm luật pháp châu Âu. Mỹ vẫn là quyền lực kiểm soát trung tâm và không có bằng chứng về cuộc điều tra của các cơ quan giám sát quốc gia. Các nhà phê bình cũng bỏ lỡ sự kiểm soát cần thiết cấp bách của các công ty trực tuyến lớn của Hoa Kỳ.
Do những thiếu sót này, các nhà phê bình và chuyên gia tại thời điểm đó đã cho rằng thỏa thuận sẽ không được Tòa án Công lý Châu Âu xem xét , và do đó không đại diện cho một giải pháp dài hạn, hợp pháp. Những khác biệt nhỏ dễ thấy đối với Safe Harbor đã bị tố cáo nhiều lần. Nhiều nhà phê bình cho rằng các lỗ hổng bảo vệ dữ liệu khác nhau trên thực tế đã không được Bảo vệ quyền riêng tư đóng lại.
Việc triển khai Bảo vệ quyền riêng tư trên thực tế
Sau khi Hiệp định Che giấu An toàn đột ngột chấm dứt, sự bất ổn kinh tế ban đầu ở mức cao . Đã có lo ngại về các biện pháp trừng phạt (dưới hình thức phạt tiền) nếu một cuộc đánh giá cho thấy những vi phạm bảo vệ dữ liệu. Ngoài ra, các điều khoản mới có nghĩa là các công ty sẽ phải đối mặt với những thay đổi tốn thời gian và tốn kém trong lĩnh vực bảo vệ dữ liệu.
Nhiều công ty vào thời điểm đó đã chuyển sang các điều khoản hợp đồng tiêu chuẩn của EU (SCC) hoặc đã sử dụng chúng như một sự thay thế hoặc bổ sung cho thỏa thuận Che giấu An toàn (chẳng hạn như Facebook). Thực tiễn này đã tăng lên trong giai đoạn chuyển tiếp cho đến khi Lá chắn Quyền riêng tư của Hoa Kỳ-Liên minh Châu Âu được thực thi rộng rãi hơn và được duy trì trong suốt hiệu lực của người kế nhiệm bến cảng an toàn. Theo một nghiên cứu của PwC, 75% các công ty Hoa Kỳ được khảo sát có ý định sử dụng các quy tắc ràng buộc của công ty để đảm bảo việc truyền dữ liệu xuyên biên giới với Liên minh Châu Âu.
Các số liệu đã tự nói lên: Trên thực tế, nhiều công ty không còn muốn chỉ dựa vào một thỏa thuận bảo vệ dữ liệu , giống như người tiền nhiệm, đã không loại bỏ các vấn đề và xung đột bảo vệ dữ liệu cơ bản. Với sự kết thúc của Bảo vệ quyền riêng tư, các cuộc kiểm tra tính hợp lệ hàng năm được phục vụ để tăng độ tin cậy. Việc sử dụng thay thế hoặc song song các điều khoản hợp đồng tiêu chuẩn cũng là một phản ứng đối với việc đôi khi chậm triển khai các điểm chính của Privacy Shield ở Hoa Kỳ, chẳng hạn như sự chậm trễ kéo dài trong việc bổ nhiệm vị trí thanh tra viên.
Một nhận thức ngày càng tăng của bảo vệ dữ liệu được liên tục phát triển ở Mỹ. Và nhận thức về tầm quan trọng của việc hợp tác với GDPR cũng rất rõ ràng, như đã thấy trong Đạo luật Quyền riêng tư của Người tiêu dùng California (CCPA) . Tuy nhiên, liệu các tiêu chuẩn cao và hoàn toàn hợp lý của GDPR vẫn chưa phát triển thành một tiêu chuẩn được chấp nhận trên toàn cầu để có thể chuyển giao cho tất cả các đối tác thương mại kỹ thuật số có vẻ khá đáng nghi ngờ do các quan điểm toàn cầu rất khác nhau về bảo vệ dữ liệu.
GDPR, hiện đang được bổ sung bởi các quy định bảo vệ dữ liệu khác của Liên minh Châu Âu như quy định về quyền riêng tư điện tử và các chỉ thị như luật cookie của Liên minh Châu Âu , ngày càng có thể trở thành một điểm gây tranh cãi và trở ngại trong quan hệ kinh tế quốc tế.