2023年7月10日,欧盟委员会通过决定,认定美国提供的个人数据保护水平与欧盟相当。本决定自通过之日起施行。
这一新框架将再次允许欧洲公司使用经认证的美国法律公司发布的解决方案。然而,预计该裁决可能会向欧盟法院提出上诉,而且“欧洲 CNIL”在使用特定解决方案和服务方面的立场仍不确定。
该决定是在对美国当局的数据访问法律以及欧洲数据主体可用的新的上诉途径进行彻底分析后做出的。
这对欧洲企业有何影响?
充分性决定是欧盟委员会根据 GDPR 第 45 条做出的决定,证明欧盟以外的国家确保了对个人数据的充分保护水平。这一决定考虑到了该国的内部立法、监管机构和国际承诺。
对于美国而言,该充分性决定涉及欧盟委员会对欧盟-美国数据隐私框架(“DPF”)的深入分 印度尼西亚 WhatsApp 号码数据 析。与隐私盾一样,该 DPF 也基于一套认证体系,美国组织承诺遵守一套与隐私保护相关的原则。
此项决定允许欧洲公司将个人数据传输到位于美国的公司,而无需实施额外的担保。
值得注意的是,这一新框架将允许欧洲公司使用经过认证的美国法律公司发布的解决方案(例如 Google Analytics,由于 Google 遵守美国情报法且对向美国的转移监管不力,CNIL 于 2022 年 2 月对其使用提出质疑)。
因此,在美国成立的公司只要获得认证,就能够接收和处理欧洲人的个人数据。为了获得认证,他们必须向美国商务部(“DoC”)提供某些信息,例如其处理目的和处理的数据的描述以及独立上诉机制。
获得隐私护盾认证的美国组织必须在 2023 年 10 月 10 日之前更新其隐私政策,但无需再次自我认证即可参与 DPF,并可立即从欧盟接收个人数据。
此外,获得认证的组织必须接受联邦贸易委员会(“FTC”)或美国运输部(“DoT”)的调查和执法权力,并且需要每年更新其认证以保持其对既定原则的遵守。