查看原文
其他

数据安全 | 欧盟委员会被诉违反GDPR向美国传输公民个人数据

闪涛律师团队 LEGAL EYE 看法见法 2024-01-09

关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师


本期关键词:欧盟委员会;数据保护条例;个人数据


本文约1619字,大概需要阅读3分钟。


2022年,7月19日欧盟委员会被一名德国公民起诉其在向美国传输其网站上公民个人数据时违反了欧盟数据保护规则。该诉讼涉及欧盟未来论坛(Conference of the Future of the Europe)的网站,该网站由“亚马逊网络服务”(Amazon Web Service)托管,且欧盟委员会允许用户通过Facebook账户登录网站,因此注册账户,IP地址等个人数据将被传输至美国。然而,在“Schreme II”案欧盟法院裁定美国辖区缺乏充分的数据保护后,欧盟与美国间尚未达成新的数据传输协议,因此欧盟委员会或涉嫌非法向美国传输欧盟公民个人数据。


// 新闻全文 //  

This story was updated to clarify the data protection rules applying to the European Commission.


The European Commission is to face a lawsuit over allegations it is violating its own data protection rules when transferring citizens’ personal data from one of its websites to the United States.


International data transfers across the pond were ruled illegal by the EU Court of Justice two years ago in the landmark Schrems II ruling, thus defining the interpretation of the EU’s General Data Protection Regulation.


The American jurisdiction was deemed to have inadequate data protection, as US intelligence services could access the personal data of EU residents disproportionally and with no judicial remedy.


The GDPR does not directly apply to the EU institutions, which are bound by a similar regulation, but the lawsuit is expected to extend the effect of the Schrems II ruling to them as well.


The suit was initiated by a German citizen who not only states the EU executive is illegally transferring data but claims it fails to disclose sufficient information on its data processing practices.


“The lawsuit against the European Commission is a signal for data protection in Europe,” says Thomas Bindl, founder of Europäische Gesellschaft für Datenschutz, the organisation supporting the plaintiff in the case.


“Even if a ruling by the General Court would not provide any direct guidelines for the jurisprudence in Germany, Spain or other countries, we see great significance in it. It would be a clear sign that everyone must adhere to the data protection requirements,” he added.


The litigation regards the website of the Conference of the Future of Europe, a conference meant to engage EU citizens in deciding the future of the bloc and its member states.


Amazon Web Services host the website, hence when registering for the event, personal data such as the IP address is transferred to the United States.


Moreover, the Commission’s website also allows users to log in via their Facebook accounts. The US-based social media has also been challenged for illegally transferring personal data to the US, and a complaint in this regard is currently being looked into by the Irish Data Protection Commissioner.


As the European Commission is the website’s operator, the plaintiff asked for information on how personal data is processed in two inquiries. According to the lawsuit, one of the inquiries was answered incompletely, and the other was not answered at all, violating the information rights under the data protection law.


Bindl told EURACTIV that if a restaurant or a bakery has to figure out a way to comply with the ban on data transfers to the United States, so does the European Commission, as there cannot be double standards.


EuGD initiated the lawsuit in parallel with filing a complaint before the European Data Protection Supervisor, the authority that has jurisdiction over the application of the data protection rules by EU institutions. However, the EDPS has put investigations on hold because a lawsuit is pending.


The European Data Protection Supervisor and the European Commission did not immediately respond to a request for comment.


The EU court’s verdict is expected to take between 12 and 18 months.

[Edited by Alice Taylor]



中文翻译:


本文更新是以阐明适用于欧盟委员会的数据保护规则。


欧盟委员会将面临诉讼,指控其在将公民个人数据从其一个网站转移到美国时违反了自己的数据保护规则。


两年前,欧盟法院在具有里程碑意义的 Schrems II 裁决中裁定跨国数据传输是非法的,从而定义了欧盟通用数据保护条例的解释。


美国司法管辖区被认为没有足够的数据保护,因为美国情报机构可以不成比例地访问欧盟居民的个人数据,而且没有司法补救措施。


GDPR 并不直接适用于受类似法规约束的欧盟机构,但预计该诉讼会将 Schrems II 裁决的影响扩大到它们。


该诉讼是由一名德国公民发起的,他不仅声称欧盟执行官正在非法传输数据,而且声称它未能披露有关其数据处理的足够信息。


“针对欧盟委员会的诉讼是欧洲数据保护的一个信号,”支持本案原告的组织 Europäische Gesellschaft für Datenschutz 的创始人 Thomas Bindl 说。


“即使普通法院的裁决不会为德国、西班牙或其他国家的判例提供任何直接指导,我们也看到了它的重大意义。这将是一个明确的信号,表明每个人都必须遵守数据保护要求,”他补充道。


该诉讼涉及欧洲未来论坛的网站,该论坛旨在让欧盟公民参与决定欧盟及其成员国的未来。


亚马逊网络服务托管该网站,因此在注册活动时,IP 地址等个人数据将被传输到美国。


此外,委员会的网站还允许用户通过他们的 Facebook 帐户登录。总部位于美国的社交媒体也因非法将个人数据转移到美国而受到挑战,爱尔兰数据保护专员目前正在调查这方面的投诉。


由于欧盟委员会是该网站的运营商,原告在两次查询中要求提供有关如何处理个人数据的信息。根据诉讼,其中一项询问未得到完整答复,另一项则根本没有答复,违反了数据保护法规定的信息权。


Bindl 告诉 EURACTIV,如果一家餐馆或面包店必须想办法遵守禁止向美国传输数据的规定,那么欧盟委员会也是如此,因为不能有双重标准。


EuGD 在向欧洲数据保护监督机构提出申诉的同时提起诉讼,该机构对欧盟机构应用数据保护规则具有管辖权。但是,由于诉讼未决,EDPS 已暂停调查。


欧洲数据保护监督员和欧盟委员会没有立即回应置评请求。


欧盟法院的判决预计需要 12 至 18 个月。

[爱丽丝·泰勒编辑]


本文英文部分来源:EURACTIV,中文部分为翻译。



陆续更新,敬请期待



版权归闪涛律师团队所有,未经许可不得转载。

如认为本文侵犯版权,请及时联系闪涛律师团队。



团队介绍



闪涛律师团队专注于提供涉外法律服务、“一带一路”海外投资、跨境争议解决、金融、证券、私募、区块链、人工智能、智能合约、大数据、合规等领域




闪涛律师,广东广信君达律师事务所高级合伙人,广东外语外贸大学法学院教授、硕士研究生导师,中南财经政法大学博士研究生。


执业证号:

14401200810597414


闪涛律师是中华全国律师协会涉外法律事务领军人才库人选,司法部“全国千名涉外律师人才名录”,司法部、全国律师协会“一带一路”跨境律师人才库首批成员,司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人,广东省涉外律师领军人才库成员




                       




往期回顾

数据安全

数据安全 | 金融数据安全的标准来了!

数据安全 | 欧洲数据保护委员会EDPB:澄清域外适用与数据跨境传输条款间的相互作用

数据安全 | Vodafone因违反GDPR被西班牙数据保护局罚款4万欧元

数据安全 | 脸书前员工出席欧洲议会听证会,欧盟数字监管步伐加速?

数据安全  |  浅析欧美跨境数据管辖权

数据安全 | 工信部促企业建立个人信息保护“双清单”制度

数据安全 |  网信办拟出规定严管算法推荐:不得利用算法实施流量造假控制热搜

数据安全|最高院明确对于人脸识别技术的民事司法裁判规则, 扩宽个人信息保护救济途径

大数据收集的法律风险

数据安全 | 如何识别关键信息基础设施边界

数据安全 |  步步为营—中国企业“走出去”跨境数据合规要点与步骤

数据安全 | 俄罗斯对Whatsapp违反个人数据法提起行政诉讼

数据安全 | 欧盟对cookie使用的法律规制

数据安全|个人信息处理中的“同意撤回权”

数据安全|网络爬虫技术的法律分析

数据安全|数据侵权问题监管趋势

数据安全 | 售楼处人脸识别系统合规吗?

欧盟数据监管如何救济?

数字人民币的4大法律问题

GDPR赋予数据主体的权利

中国《数据安全法》VS欧盟GDPR

《数据安全法》《网络安全法》《个人信息保护法》的比较分析

数据安全之数据分类分级保护制度

精炼!一文了解《数据安全法》

《数据安全法》中的三大主要变化

欧盟数据监管是谁在执行?

数字人民币的三大优势

美国个人信息保护制度简述

《信息安全技术人脸识别数据安全要求》国家标准征求意见稿 都说了啥?

系列 | 个人信息保护之二:个人信息保护法的基本原则

《数据安全法》二审稿中的三大变化

《个人信息保护法(草案二审稿)》的三大变化

系列|个人信息保护之一:什么是个人信息?

人脸识别需谨慎,个人信息要保护

人脸识别技术下隐私成为奢侈品:谁来保护我们的“脸”?

中国与阿盟发表《中阿数据安全合作倡议》

四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》


涉外法律

涉外法律 | 澳大利亚发布首个消费者数据权利隐私评估

涉外法律|GDPR案例之匈牙利

涉外法律|GDPR案例之挪威

GDPR案例之波兰

GDPR案例之奥地利

GDPR经典案例之捷克

GDPR经典案例之瑞典

涉外法律 | 美国联邦贸易委员会更新金融机构网络安全保障措施规则

涉外法律 | 欧盟《数据法案》影响评估草案带来的几点启示

涉外法律 | EDPB通过GDPR第23条数据主体权利限制指南

涉外法律 | 美国参议员提出关于安全处理人工智能收集的数据的法案

涉外法律|GDPR经典案例之西班牙

涉外法律|GDPR经典案例之罗马尼亚

涉外法律 | 浅析《欧盟两用物项管制条例》对科技领域企业的影响

涉外法律 | 美国数据跨境活动相关规范

涉外法律 | GDPR典型案例之荷兰

涉外法律 | GDPR典型案例之德国

涉外法律 | 亚马逊“封店”事件的再反思,还有什么可以做?

涉外法律|GDPR典型案例之法国

涉外法律|GDPR典型案例之英国

涉外法律 | CISA指引如何应对勒索软件造成的信息泄露

涉外法律 | 《英国最高法院2021司法年度报告》速览

涉外法律|美国和欧盟对于人脸识别的相关法律规定解读

涉外法律 | 简述美国加州个人隐私保护法案

涉外法律 | 香港私隐公署发布人工智能道德指引

涉外 | 加州公司法剪影——如何在加州注册公司

涉外法律|企业间数据流动中的“三重授权原则”

涉外法律|平台经济的“新”型垄断:轴辐协议

涉外 | 法律英语写作之正确写作:如何写好一份案例摘要

涉外 | 法院及内设部门有正式英文名称了!

涉外法律 | 企业利用投资协定参考指南

涉外法律 | 九个案例为您解析RECP原产地规则

中欧阻断法案比较

热议《阻断外国法律与措施不当域外适用办法》


案例分析

案例分享 | 从蚂蚁微贷诉企查查案看公共数据商业化利用的合法性边界

案例分享 | 广州互联网法院公布涉数据及虚拟财产十大典型案例

案例分享|平台能否根据算法自动化决策进行处罚?看看法院怎么说!

案例分享|管中窥豹:合规之北汽合规管理体系建设

以案说法 |不刷脸不让进小区?

案例分享 | 更新网站隐私政策的法律风险

案例分享|360诉腾讯垄断纠纷案与“假定垄断者测试”

案例分享|优酷诉X浏览器案

案例分享 | 转载已公开的信息侵犯个人信息权吗?

案例分享 | 腾讯音乐版权案——平台经济反垄断新变化

案例分享 | iTunes反垄断案——独家音乐版权是垄断吗?

案例分享 |  大众点评网数据信息不正当竞争纠纷案——数据信息使用行为是否构成不正当竞争的司法认定

案例分享|“电视猫”视频聚合软件不正当竞争纠纷行为保全案

案例分享|德国Adblock Plus白名单案

案例分享|从携程被罚看数据侵权的法律意义

案例分享 | 欧美数据跨境的角力:Facebook诉DPC被驳回

以案说法:比特币能否成为诈骗罪的犯罪对象?

以案说法:全国首例比特币仲裁裁决违反社会公共利益被撤销


立法动态

新法速递 |《上海市数据条例》公布 自2022年1月1日起施行

新闻速递 | 网信办发布《网络数据安全管理条例》(征求意见稿)

立法动态  | 国家互联网信息办公室就《数据出境安全评估办法(征求意见稿)》公开征求意见

新闻速递|《粤港澳大湾区“跨境理财通”业务试点实施细则 》正式发布,一起来看看吧!

立法动态 |蹭热点:《个人信息保护法》个人信息处理者应当遵循的十一条义务

立法动态 | 蹭热点:《个人信息保护法》的八个“不得”

立法动态 | 《关键信息基础设施安全保护条例》,网络安全保护再添坚强后盾

立法动态 | 深圳市、广州市首席数据官制度试点方案出台(全文与简评)

立法动态 |  《全国医疗机构网络信息安全管理办法》即将出台

立法动态|浙江省发布《数字化改革 公共数据分类分级指南》省级地方标准

立法动态|速递!人脸识别,看最高人民法院怎么说?

立法动态 | 《数字经济对外投资合作工作指引》速览

立法动态 |  上海经信委发布“关于《上海市智能网联汽车测试与示范实施办法(征求意见稿)》公开征询意见的公告

立法动态 | 国家互联网信息办公室发布《网络安全审查办法(修订草案征求意见稿)》

立法动态 | 《关于防范虚拟货币交易活动的风险提示》

立法动态 | 人社部发布《电子劳动合同订立指引》

立法动态 | 重罚防治大数据杀熟

立法动态 | 国内数据领域首部综合性立法-《深圳经济特区数据条例》正式公布

精要解读:《深圳市电子劳动合同争议处理规则(试行)》出台

《信息安全技术人脸识别数据安全要求》(征求意见稿)发布

全国人大法工委举行记者会公布数据安全法草案、个人信息保护法草案最新修改内容

欧盟理事会发布《电子隐私条例2021》


新闻速递

新闻快递 | 让数据成为资产,上海数据交易所正式揭牌!

新闻速递 | 党的十九大以来网络法治典型案事例

新闻速递 | 工信部:下架540款拒不整改的APP,高压震慑违规行为

新闻速递 | 新浪因拒绝许可数据被诉数据垄断

新闻速递  | 中方正式提出申请加入《数字经济伙伴关系协定》(DEPA)

新闻速递 | 国家安全部公布三起危害重要数据安全案例

新闻速递 | DDTP分布式数据传输协议助力个人信息可携带权落地

新闻速递|《国家标准化发展纲要》发布!未来15年我国标准化发展设定目标和蓝图敲定

新闻速递|腾讯安全《车联网数据安全体系建设指南》正式发布!一起来看看吧!

《浙江省电子商务条例》明确“大数据杀熟”认定标准

新闻速递 | 马斯克:特斯拉车主所有个人身份信息都安全地存储在中国国内

新闻速递 | 工信部就《工业和信息化领域数据安全管理办法(试行)》公开征求意见

新闻速递 | 美国民主党议员敦促联邦贸易委员会制定隐私规则

新闻速递 | WhatsApp对DPC的GDPR罚款提出上诉

新闻速递 | 全国首个涉数据纠纷专业合议庭在广州挂牌成立

新闻速递|CPTPP文本目录与加入程序(附官方中英对照PDF全文)

新闻速递 | WhatsApp或将被罚2亿多欧元

胡安明无罪!美“中国行动计划”首例胜诉

新闻速递 | “一国两制”的新实践之“横琴方案”

新闻速递|“一国两制”的新实践之“前海方案”

新闻动态 |  深圳拟设数据交易场所

新闻速递 |  工信部:加强智能网联汽车数据安全管理

新闻速递 | Zoom同意就隐私诉讼支付8500万美元与用户和解

新闻速递 | 菲律宾国家隐私委员会发布实施ISO隐私标准的建议

新闻速递 | 亚马逊因数据泄露面临 8.88 亿美元处罚

新闻速递 | APP开屏弹窗问题整治

行业政策 | 2021年6月中国各省区块链与数字人民币政策速览

人民日报:央行数字货币研发持续推进

速递:公益诉讼与个人信息保护

简评 |  关于腾讯手机管家等84款App违法违规收集使用个人信息情况的通报

全球首个区块链电子发票国际标准诞生

速看热点 | 区块链国内动态速览

新闻速递:近期区块链若干动态

Visa允许客户在传统银行购买和出售数字资产

算力时代下,新计算产业正在成为数字经济的核心驱动产业

速看热点  |  区块链国内动态速览

全国人大常委会法工委:深入研究论证人脸识别等有关问题


其他文章

直播间运营者和直播营销人员的八大合规责任

直播营销平台的十大义务

“十四五”规划与区块链的那些事儿:加快数字发展,建设数字中国

Ripple:XRP是虚拟货币而非证券

案例回顾 | 不用打官司,为客户追回数百万元货款

实用建议七则:企业视角下的区域全面经济伙伴关系协定(RCEP)原产地规则

2020,国内区块链行业发生了这十件大事!

国内区块链政策速览

年末回顾 | LEGAL EYE 2020年区块链与法推文检索目录



点一下在看再走吧

继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存