数据安全 | 欧盟委员会被诉违反GDPR向美国传输公民个人数据
关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师
本期关键词:欧盟委员会;数据保护条例;个人数据
本文约1619字,大概需要阅读3分钟。
2022年,7月19日欧盟委员会被一名德国公民起诉其在向美国传输其网站上公民个人数据时违反了欧盟数据保护规则。该诉讼涉及欧盟未来论坛(Conference of the Future of the Europe)的网站,该网站由“亚马逊网络服务”(Amazon Web Service)托管,且欧盟委员会允许用户通过Facebook账户登录网站,因此注册账户,IP地址等个人数据将被传输至美国。然而,在“Schreme II”案欧盟法院裁定美国辖区缺乏充分的数据保护后,欧盟与美国间尚未达成新的数据传输协议,因此欧盟委员会或涉嫌非法向美国传输欧盟公民个人数据。
// 新闻全文 //
This story was updated to clarify the data protection rules applying to the European Commission.
The European Commission is to face a lawsuit over allegations it is violating its own data protection rules when transferring citizens’ personal data from one of its websites to the United States.
International data transfers across the pond were ruled illegal by the EU Court of Justice two years ago in the landmark Schrems II ruling, thus defining the interpretation of the EU’s General Data Protection Regulation.
The American jurisdiction was deemed to have inadequate data protection, as US intelligence services could access the personal data of EU residents disproportionally and with no judicial remedy.
The GDPR does not directly apply to the EU institutions, which are bound by a similar regulation, but the lawsuit is expected to extend the effect of the Schrems II ruling to them as well.
The suit was initiated by a German citizen who not only states the EU executive is illegally transferring data but claims it fails to disclose sufficient information on its data processing practices.
“The lawsuit against the European Commission is a signal for data protection in Europe,” says Thomas Bindl, founder of Europäische Gesellschaft für Datenschutz, the organisation supporting the plaintiff in the case.
“Even if a ruling by the General Court would not provide any direct guidelines for the jurisprudence in Germany, Spain or other countries, we see great significance in it. It would be a clear sign that everyone must adhere to the data protection requirements,” he added.
The litigation regards the website of the Conference of the Future of Europe, a conference meant to engage EU citizens in deciding the future of the bloc and its member states.
Amazon Web Services host the website, hence when registering for the event, personal data such as the IP address is transferred to the United States.
Moreover, the Commission’s website also allows users to log in via their Facebook accounts. The US-based social media has also been challenged for illegally transferring personal data to the US, and a complaint in this regard is currently being looked into by the Irish Data Protection Commissioner.
As the European Commission is the website’s operator, the plaintiff asked for information on how personal data is processed in two inquiries. According to the lawsuit, one of the inquiries was answered incompletely, and the other was not answered at all, violating the information rights under the data protection law.
Bindl told EURACTIV that if a restaurant or a bakery has to figure out a way to comply with the ban on data transfers to the United States, so does the European Commission, as there cannot be double standards.
EuGD initiated the lawsuit in parallel with filing a complaint before the European Data Protection Supervisor, the authority that has jurisdiction over the application of the data protection rules by EU institutions. However, the EDPS has put investigations on hold because a lawsuit is pending.
The European Data Protection Supervisor and the European Commission did not immediately respond to a request for comment.
The EU court’s verdict is expected to take between 12 and 18 months.
[Edited by Alice Taylor]
中文翻译:
本文更新是以阐明适用于欧盟委员会的数据保护规则。
欧盟委员会将面临诉讼,指控其在将公民个人数据从其一个网站转移到美国时违反了自己的数据保护规则。
两年前,欧盟法院在具有里程碑意义的 Schrems II 裁决中裁定跨国数据传输是非法的,从而定义了欧盟通用数据保护条例的解释。
美国司法管辖区被认为没有足够的数据保护,因为美国情报机构可以不成比例地访问欧盟居民的个人数据,而且没有司法补救措施。
GDPR 并不直接适用于受类似法规约束的欧盟机构,但预计该诉讼会将 Schrems II 裁决的影响扩大到它们。
该诉讼是由一名德国公民发起的,他不仅声称欧盟执行官正在非法传输数据,而且声称它未能披露有关其数据处理的足够信息。
“针对欧盟委员会的诉讼是欧洲数据保护的一个信号,”支持本案原告的组织 Europäische Gesellschaft für Datenschutz 的创始人 Thomas Bindl 说。
“即使普通法院的裁决不会为德国、西班牙或其他国家的判例提供任何直接指导,我们也看到了它的重大意义。这将是一个明确的信号,表明每个人都必须遵守数据保护要求,”他补充道。
该诉讼涉及欧洲未来论坛的网站,该论坛旨在让欧盟公民参与决定欧盟及其成员国的未来。
亚马逊网络服务托管该网站,因此在注册活动时,IP 地址等个人数据将被传输到美国。
此外,委员会的网站还允许用户通过他们的 Facebook 帐户登录。总部位于美国的社交媒体也因非法将个人数据转移到美国而受到挑战,爱尔兰数据保护专员目前正在调查这方面的投诉。
由于欧盟委员会是该网站的运营商,原告在两次查询中要求提供有关如何处理个人数据的信息。根据诉讼,其中一项询问未得到完整答复,另一项则根本没有答复,违反了数据保护法规定的信息权。
Bindl 告诉 EURACTIV,如果一家餐馆或面包店必须想办法遵守禁止向美国传输数据的规定,那么欧盟委员会也是如此,因为不能有双重标准。
EuGD 在向欧洲数据保护监督机构提出申诉的同时提起诉讼,该机构对欧盟机构应用数据保护规则具有管辖权。但是,由于诉讼未决,EDPS 已暂停调查。
欧洲数据保护监督员和欧盟委员会没有立即回应置评请求。
欧盟法院的判决预计需要 12 至 18 个月。
[爱丽丝·泰勒编辑]
本文英文部分来源:EURACTIV,中文部分为翻译。
陆续更新,敬请期待
版权归闪涛律师团队所有,未经许可不得转载。
如认为本文侵犯版权,请及时联系闪涛律师团队。
团队介绍
闪涛律师团队专注于提供涉外法律服务、“一带一路”海外投资、跨境争议解决、金融、证券、私募、区块链、人工智能、智能合约、大数据、合规等领域。
闪涛律师,广东广信君达律师事务所高级合伙人,广东外语外贸大学法学院教授、硕士研究生导师,中南财经政法大学博士研究生。
执业证号:
14401200810597414
闪涛律师是中华全国律师协会涉外法律事务领军人才库人选,司法部“全国千名涉外律师人才名录”,司法部、全国律师协会“一带一路”跨境律师人才库首批成员,司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人,广东省涉外律师领军人才库成员。
往期回顾
数据安全
数据安全 | 欧洲数据保护委员会EDPB:澄清域外适用与数据跨境传输条款间的相互作用
数据安全 | Vodafone因违反GDPR被西班牙数据保护局罚款4万欧元
数据安全 | 脸书前员工出席欧洲议会听证会,欧盟数字监管步伐加速?
数据安全 | 网信办拟出规定严管算法推荐:不得利用算法实施流量造假控制热搜
数据安全|最高院明确对于人脸识别技术的民事司法裁判规则, 扩宽个人信息保护救济途径
数据安全 | 步步为营—中国企业“走出去”跨境数据合规要点与步骤
数据安全 | 俄罗斯对Whatsapp违反个人数据法提起行政诉讼
《信息安全技术人脸识别数据安全要求》国家标准征求意见稿 都说了啥?
四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》
涉外法律
涉外法律 | 美国联邦贸易委员会更新金融机构网络安全保障措施规则
涉外法律 | EDPB通过GDPR第23条数据主体权利限制指南
涉外法律 | 美国参议员提出关于安全处理人工智能收集的数据的法案
涉外法律 | 浅析《欧盟两用物项管制条例》对科技领域企业的影响
案例分析
案例分享 | 从蚂蚁微贷诉企查查案看公共数据商业化利用的合法性边界
案例分享 | 广州互联网法院公布涉数据及虚拟财产十大典型案例
案例分享|平台能否根据算法自动化决策进行处罚?看看法院怎么说!
案例分享 | iTunes反垄断案——独家音乐版权是垄断吗?
案例分享 | 大众点评网数据信息不正当竞争纠纷案——数据信息使用行为是否构成不正当竞争的司法认定
案例分享 | 欧美数据跨境的角力:Facebook诉DPC被驳回
立法动态
新法速递 |《上海市数据条例》公布 自2022年1月1日起施行
新闻速递 | 网信办发布《网络数据安全管理条例》(征求意见稿)
立法动态 | 国家互联网信息办公室就《数据出境安全评估办法(征求意见稿)》公开征求意见
新闻速递|《粤港澳大湾区“跨境理财通”业务试点实施细则 》正式发布,一起来看看吧!
立法动态 |蹭热点:《个人信息保护法》个人信息处理者应当遵循的十一条义务
立法动态 | 《关键信息基础设施安全保护条例》,网络安全保护再添坚强后盾
立法动态 | 深圳市、广州市首席数据官制度试点方案出台(全文与简评)
立法动态|浙江省发布《数字化改革 公共数据分类分级指南》省级地方标准
立法动态 | 上海经信委发布“关于《上海市智能网联汽车测试与示范实施办法(征求意见稿)》公开征询意见的公告
立法动态 | 国家互联网信息办公室发布《网络安全审查办法(修订草案征求意见稿)》
立法动态 | 国内数据领域首部综合性立法-《深圳经济特区数据条例》正式公布
全国人大法工委举行记者会公布数据安全法草案、个人信息保护法草案最新修改内容
新闻速递
新闻速递 | 工信部:下架540款拒不整改的APP,高压震慑违规行为
新闻速递 | 中方正式提出申请加入《数字经济伙伴关系协定》(DEPA)
新闻速递 | DDTP分布式数据传输协议助力个人信息可携带权落地
新闻速递|《国家标准化发展纲要》发布!未来15年我国标准化发展设定目标和蓝图敲定
新闻速递|腾讯安全《车联网数据安全体系建设指南》正式发布!一起来看看吧!
新闻速递 | 马斯克:特斯拉车主所有个人身份信息都安全地存储在中国国内
新闻速递 | 工信部就《工业和信息化领域数据安全管理办法(试行)》公开征求意见
新闻速递 | WhatsApp对DPC的GDPR罚款提出上诉
新闻速递|CPTPP文本目录与加入程序(附官方中英对照PDF全文)
新闻速递 | Zoom同意就隐私诉讼支付8500万美元与用户和解
新闻速递 | 菲律宾国家隐私委员会发布实施ISO隐私标准的建议
行业政策 | 2021年6月中国各省区块链与数字人民币政策速览
简评 | 关于腾讯手机管家等84款App违法违规收集使用个人信息情况的通报
其他文章
“十四五”规划与区块链的那些事儿:加快数字发展,建设数字中国
实用建议七则:企业视角下的区域全面经济伙伴关系协定(RCEP)原产地规则
年末回顾 | LEGAL EYE 2020年区块链与法推文检索目录
点一下在看再走吧