עם החלטה מוערכת של 16 ביולי 2020, בית המשפט האירופי לצדק (EuGH) בתהליך “נציב הגנת נתונים / Facebook אירלנד ושראמס” (C-311/18) החלטה שגויה 2016/1250 על אי השוויון בהגנה שסופקה על ידי מגן הפרטיות של האיחוד האירופי-ארה " ב. איזה “סעיפים חוזיים סטנדרטיים להעברת נתונים אישיים למעבדים במדינות שלישיות” הישאר בתוקף.

זה אומר שהסכם מגן הפרטיות בין האיחוד האירופי לארה " ב נכשל לבסוף והוא לא יעיל. ייצוא מידע יעיל לארה " ב יכול להיות מיוצג כעת רק על ידי סעיפים חוזיים סטנדרטיים או מחייב תקנות הגנה פנימיות של יבואן הנתונים.

אף אחד משניהם הודעה לעיתונות כבר פורסם – הטקסט המלא של פסק הדין עדיין תלוי ועומד.

ECJ כדלקמן המלצתו של היועץ המשפטי הכללי: החלטת מגן הפרטיות אינה תקפה

בית המשפט למעשה עוקב אחר המלצה של היועץ המשפטי לממשלה מהדעה. למרות שאין החלטה ישירה של ECJ על החלטת מגן הפרטיות של הוועדה האירופית כלולה בהחלטה (החלטה 2016/1250) נדרש.

עם זאת, היועץ המשפטי לממשלה היו ספקות יסודיים על היעילות של ההחלטה – במיוחד נגד הרקע של חוסר תרופות אפשרי ואת מרחיקי לכת סמכויות של רשויות הביטחון בארה " ב, גישה למאגרי מידע. היבט זה השתנה עם האימוץ של CLOUD-מעשים במרץ 2018 התהדק עוד יותר.

Schrems, פעיל הגנת נתונים, כבר הצליח 2015 עם מגני הפרטיות קודמו “נמל מבטחים.” תביא את ההסכם הזה בין האיחוד האירופי לארה " ב.הוכרז כלא חוקי על ידי ECJ באותו זמן (C 362/14).

עכשיו ECJ (שוב) הסכים עם Schrems והעו " ד הכללי ביחס למגן פרטיות: בפרט, “מנגנון נציב תלונות הציבור טלפון ה […] ממצאים שנעשו על ידי הוועדה [בהחלטה 2016/1250] לנבדקים נתונים אין מפלט משפטי לאיבר. […], זה יספק ערבויות המקבילות לחוקי האיגוד.“.

ערבויות אלה, בפרט אלה אשר “להבטיח את עצמאותו של אומבאדס המסופק על ידי מנגנון זה כמו גם את קיומם של סטנדרטים” או זה. “כדי לאשר את הנפקת החלטות מחייבות לשירותי המודיעין האמריקאי” לא זמין. לכן, רמת הגנה לנתונים אישיים בארה " ב כל כך הרבה מתחת ל תקן אירופי, שלא ניתן לזהותו ולא ניתן היה להשיג מנגנונים נוספים.

סעיפים חוזיים סטנדרטיים ומחייבים תקנות הגנת נתונים פנימיות להישאר בתוקף

מצד שני, ECJ אישר החלטת שוויון הוועדה על סעיפים חוזיים (החלטה 2010/87) לא נגעו בו.

במידה זו, ECJ מוצא כי ההחלטה (ולכן סעיפים חוזיים סטנדרטיים) “מנגנונים אפקטיביים אשר בפועל יכול להבטיח כי רמת ההגנה הנדרשת על ידי חוק האיחוד תואם” וזה ... “העברות של נתונים אישיים יושעו או יאסרו אם סעיפים אלה יופרו או ציות שלהם הוא בלתי אפשרי.”

ECJ גם מייחס חשיבות מיוחדת ל התחייבויות הודעות ו ימין לנסיגה, אשר מספקים את הסעיפים החוזיים הסטנדרטיים במקרה כי יבואן הנתונים רמת פרטיות לא יכול (יותר) מבטיח.

עבור פעולה: סקירה של הסדרים חוזי קיימים עם ייצוא נתונים לארה " ב

עבור חברות אשר משתמשות בשירותי המעבדים בארצות הברית (לדוגמה מיקרוסופט אזור או אמזון איי-וו), יש כיום את החברה. צורך ממשי לפעולה.:יש לבדוק את החוזים הקיימים כדי לקבוע אילו חוקים אומצו להעברת נתונים או ליצוא נתונים.

אם, בנוסף לאישור הגנת הפרטיות של הספק, התקנה החוזית גם מסתמכת (אם יש לה תנאים) על סעיפים חוזיים סטנדרטיים או מחייבת את תקנות הגנת המידע הפנימיות, יצוא הנתונים הוא: רק לכאורה בצד הבטוח: נכון לעכשיו, התקינות של סעיפי הגנת נתונים סטנדרטיים המשמשים צריך להיבדק בדחיפות שוב. במובן זה, רשויות הפיקוח לא מאפשרות שינויים בניסוח, חייבים למלא את המדדים בצורה נכונה וישירה לצורך שימוש בספקי שירות תת-קרקעיים.

ECJ גם מדגיש כי יצואן הנתונים ואת יבואן הנתוניםחייב לבדוק מראש, בין אם רמת ההגנה הנדרשת עומדת בדרישות המדינה השלישית, ובין אם הנמען חייב להודיע לייצואן המידע כי הוא לא יכול לעמוד בסעיפי ההגנה הסטנדרטיים, ולכן היצואן חייב להשעות את העברת הנתונים ו/או לסגת מהחוזה עם הנמען. במובן זה, זה הכרחי כדי לבדוק עם ספקי שירות ארה " ב אם ציות לסעיפיםתוכניות מעקב (מילת מפתח חוק פטריוט ופעולת ענן) זה אפשרי.

במקרה של קשירת תקנות הגנת מידע פנימיות, יש לבדוק האם אלה נבדקים כראוי על ידי סמכות פיקחית ואושרו והוחלו על מערכת התמסורת הנוכחית (כאשר משתמשים בספקי שירות הם באופן קבוע מה שנקרא חוקי חברה מחייבים למעבדים הכרחי).

אם, מצד שני, החוזה מבוסס רק על אישור מגן הפרטיות של יבואן הנתונים, נדרשת פעולה דחופה: החוזים האלה חייבים להיות בזמן המתאים. משא ומתן מחודש. ולהיסכם שוב בהתאם לשיפוט.