欧盟委员会 布鲁塞尔,10.7.2023C(2023)4745决赛 委员会执行关于10.7.2023的决定 根据欧洲议会和理事会关于欧盟-美国数据隐私框架下个人数据适当保护水平的条例(EU)2016 /679 (与EEA相关的文本) ENEN 委员会执行关于10.7.2023的决定 根据欧洲议会和理事会关于欧盟-美国数据隐私框架下个人数据适当保护水平的条例(EU)2016 /679 (与EEA相关的文本) 欧洲委员会, 考虑到《欧洲联盟运作条约》, 考虑到欧洲议会和理事会2016年4月27日关于在个人数据处理和此类数据的自由流动方面保护自然人的条例(EU)2016/679,并废除第95/46/EC号指令(通用数据保护条例)1,特别是其中第45(3)条, Whereas: 1.INTRODUCTION (1)法规(EU)2016/6792规定了从欧盟的控制者或处理者向第三国和国际组织传输个人数据的规则,只要此类传输属于其适用范围。该条例第五章规定了国际数据传输规则。虽然与欧盟以外国家之间的个人数据流动对于扩大跨境贸易和国际合作至关重要,但欧盟对个人数据的保护水平不得因转移到第三国或国际组织而受到损害。 (2)根据第(EU)2016/679号条例第45(3)条,委员会可以通过实施法案决定第三国、第三国领土或第三国内的一个或多个特定部门确保适当的保护水平。在这种情况下,个人数据可以在不需要获得任何进一步授权的情况下转移到第三国,如欧盟2016/679条例第45(1)条和第103条规定。 (3)根据(EU)2016/679号条例第45条第2款的规定,适当性决定的通过必须基于对第三国法律秩序的全面分析,涵盖适用于数据进口商的规则以及公共当局访问个人数据的限制和保障措施。在评估中,委员会必须确定有关第三国是否保证与联盟内确保的保护水平“基本上相等”(独奏。 1OJL119,4.5.2016,p.1。 2为便于参考,本决定中使用的缩写列表列于附件八。 3见法规(EU)2016/679的演奏会101。 法规(EU)2016/679的104)。是否存在这种情况,将根据欧盟立法,特别是法规 (EU)2016/679以及欧盟法院(法院)的判例法进行评估。4. (4)正如法院在2015年10月6日第C-362/14号案件MaximilliaSchrems诉数据保护委员会5 (Schrems)的判决中所澄清的那样,这不需要找到相同的保护级别。特别是,有关第三国保护个人数据的手段可能与欧盟采用的手段不同,只要这些手段在实践中证明对确保适当的保护水平有效6。因此,充分性标准不需要点对点复制联盟规则。相反,测试是通过隐私权的实质及其有效实施,监督和执行,整个外国系统是否达到了所需的保护水平。此外,根据该判决,在适用这一标准时,委员会应特别评估有关第三国的法律框架是否提供了旨在限制对从欧盟转移数据的人的基本权利的干扰的规则,该国的国家实体在追求国家安全等合法目标时将被授权参与其中,并提供有效的法律保护,免受此类干扰8。欧洲数据保护委员会的“充足性参考”旨在进一步阐明该标准,也提供了这方面的指导9。 (5)法院在2020年7月16日第C-311/18号案件的判决中进一步澄清了关于此类干涉隐私和数据保护基本权利的适用标准。数据保护专员诉Faceboo爱尔兰有限公司和MaximilliaSchrems(SchremsII),这使委员会关于先前跨大西洋数据流框架的执行决定(EU)2016/125010无效。S.隐私盾(隐私盾)。法院认为,对个人数据的保护所产生的限制。U.S.关于美国访问和使用的国内法S.出于国家安全目的,从欧盟转移到美国的数据的公共当局没有受到限制,以满足与欧盟法律规定的要求基本相同的要求,即这种干扰与数据保护权的必要性和相称性11。法院还认为,向向其数据被转移到美国的人提供的保证基本上等同于《宪章》第四十七条关于有效补救权的要求的保证的机构没有诉讼理由12。 4参见最近的案例C-311/18,Facebook爱尔兰和Schrems(SchremsII)ECLI:EU:C:2020:559。 5CaseC-362/14,MaximilianSchrems诉数据保护专员(Schrems),ECLI:欧盟:C:2015:650,第73段。 6Schrems,第74段。 7见欧盟委员会给欧洲议会和理事会的通信,在全球化世界中交换和保护个人数据,COM(2017)7of10.1.2017 ,第3.1节,第6-7页。 8Schrems,第88-89段。 9EuropeanDataProtectionBoard,AdequacyReferential,WP254rev.01.availableatthefollowinglink:https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108. 10根据欧洲议会和理事会关于欧盟提供的保护的充分性的指令95/46/EC,2016年7月12日委员会执行决定(EU)2016/1250- 美国隐私盾(OJL207,1.8.2016,第1页)。 11SchremsII,第185段。 12SchremsII,第197段。 (6)在SchremsII判决之后,委员会与美国进行了会谈S.政府,以期做出可能的新的充足性决定 ,以满足法院解释的(EU)2016/679号法规第45(2)条的要求。作为这些讨论的结 果,美国于2022年10月7日通过了第14086号行政命令“加强对美国信号情报活动的保障措施”(EO14086),该命令由美国发布的《数据保护审查法院条例》作为补充。S.总检察长(AG条例)13.此外,适用于根据本决定处理从欧盟转移的数据的商业实体的框架-'EU-U.S.数据隐私框架'(EU-U.S.DPF或DPF)-已更新。 (7)委员会仔细分析了美国的法律和实践,包括EO14086和AG法规。根据独奏会9-200中的调查结果,委员会得出结论,美国确保对在EU-US下传输的个人数据进行适当的保护。DPF从Union14的控制者或处理器到美国的认证组织。 (8)本决定的效力是,在不需要获得任何进一步授权的情况下,可以从Uio15的控制者和处理器向美国的认证组织进行个人数据传输。它不影响法规(EU)2016/679直接适用于符合第3条规定的法规领土范围的组织。 2.欧盟-美国数据隐私框架 2.1个人和材料范围 2.1.1认证组织 (9)欧盟-U.S.DPF基于一个认证系统,美国S.组织承诺一套隐私原则-“欧盟-美国”S.数据隐私框架原则,包括补充原则(合起来:原则)-由美国发布S.商务部(DoC),载于本决定附件一16。有资格获得EU-U认证。S.DPF,一个组织必须服从联邦贸易委员会(FTC)或美国的调查和执法权力。S.交通部(DoT)17.原则。 1328CFR第302部分。 14该决定具有EEA相关性。《欧洲经济区协定》(EEA协定)规定将欧洲联盟的内部市场扩展到三个EEA国家冰岛,列支敦士登和挪威。欧洲经济区联合委员会于2018年7月6日通过了将(EU)2016/679条例纳入EEA协议附件XI的联合委员会决定,并于2018年7月20日生效。因此,该条例涵盖在该协议中。因此,就该决定而言,对欧盟和欧盟成员国的提及应理解为也涵盖了EEA国家。 15本决定不影响欧盟(EU)2016/679号法规的要求,该法规适用于欧盟内传输数据的实体(控制者和处理器 ),例如目的限制,数据最小化,透明度和数据安全(另见(EU)2016/679号法规第44条)。 16在这方面,见Schrems,第81段,其中法院确认,自我认证制度可以确保适当的保护水平。 17附件一,第一节2。FTC对商业活动拥有广泛的管辖权,但有一些例外, 例如,关于银行、航空公司、保险业务和电信服务提供商的普通承运商活动(尽管美国第九巡回上诉法院2018 年2月26日在FTC诉AT&T案中的裁决确认,FTC对非 在认证后立即申请。正如在独奏会48-52中更详细地解释的那样,欧盟-美国DPF组织被要求每年重新证明其遵守原则18。 2.1.2个人数据的定义以及控制器和“代理”的概念 (10)EU-U下提供的保护。S.DPF适用于从联盟转移到美国组织的任何个人数据S.已向DoC证明其遵守《原则》,但为出版,广播或其他形式的新闻材料和从媒体档案中传播的先前出版材料中的信息而收集的数据除外19。因此,此类信息不能在欧盟的基础上传输。 美国DPF。 (11)该原则以与法规(EU)2016/679相同的方式定义了个人数据/个人信息。Procedres.作为“有关美国组织从欧盟收到的GDPR范围内的已识别或可识别个人的数据,并以任何形式记录”20。因此,它们还涵盖假名(或“密钥编码”)研究数据(包括密钥不与接收方共享的情况。S.组织)21。同样,处理的概念被定义为“对个人数据执行的任何操作或一组操作,无论是否通过自动化手段,如收集、记录、组织、存储、改编或更改、检索、咨询、使用 、披露或传播以及擦除或销毁”。 (12)欧盟-U.S.DPF适用于美国的组织S.符合控制者资格(I.Procedres.作为个人或组织,单独或与他人共同确定处理个人数据的目的和方式)23或处理器(i。Procedres.代表控制者行事的代理人)24。U.S.处理者必须受到合同约束,只能根据欧盟控制者的指示行事,并协助后者对个人行使其原则25下的权利作出反应。此外,在子处理的情况下,处理者必须与子处理者签订合同,保证与《原则》提供的保护水平相同,并采取步骤确保其适当实施26。 2.2欧盟-美国数据隐私框架原则 2.2.1目的限制和选择 此类实体的共同承运人活动)。另见附件四,脚注2。DoT有权强制航空公司和票务代理遵守(航空运输) ,见附件五,在A节。 18附件一,第三节6。 19附件一,第三节2。 20附件一,第I.8.a节 21附件一,第III.14.g 22附件一,第I.8.b节 23附件一,第I.8.c节 24例如,见附件I,第II.2.b节和第II.3.b和7.d节,其中明确指出,代理人代表控制者行事,服从控制者的指示并承担特定的合同义务。 25附件一,第三节10。Procedres.另请参阅DoC在隐私保护下与欧洲数据保护委员会协商后编写的指南,该指南阐明了美国处理者在该框架下从欧盟接收个人数据的义务。由于这些规则没有改变,本指南/常见问题解答在EU-U下仍然相关。S.DPF(https://www.privacyshield.gov/article?id=Processig-FAQs)。 26附件一,第二.3.b. (13)应合法和公平地处理个人数据。应将其收集用于特定目的,并仅在不与处理目的不符的情况下使用。 (14)首先,根据《数据完整性和目的限制原则》,与第(EU)2016/679号条例第5(1) (b)条类似,组织不得以与最初收集或随后由数据主体授权的目的不符的方式处理个人数据27。 (15)其次,在将个人数据用于与原始目的有重大差异但仍兼容的新(已更改)目的或将其披露给第三方之前,组织必须根据选择原则28,通过明确,明显和随时可用的机制,为数据主体提供反对(选择退出)的机会。重要的是,这一原则并没有取代对不兼容进程的明确禁止29。 2.2.2处理特殊类别的个人数据 (16)在处理“特殊类别”数据时,应存在特定的保障措施。 (17)根据选择原则,具体保障措施适用于“敏感信息”的处理,即指定医疗或健康状况的个人数据, 27附件一,第二.5.a.兼容的目的可能包括审计、防止欺诈或其他符合合理的人在收集情况下的期望的目的(见附件一,脚注6)。 28附件一,第二节2。Procedres.当组织根据其指示向代表其行事的处理者提供个人数据时,这不适用