[ad_1]
Hàng nghìn công ty đang chờ đợi một thỏa thuận truyền dữ liệu mới giữa Hoa Kỳ và EU sớm có hiệu lực và giảm bớt các công việc pháp lý nặng nề cần thiết cho việc truyền dữ liệu xuyên biên giới không nên hy vọng của họ. Lệnh điều hành của Tổng thống Hoa Kỳ Joe Biden nhằm thực hiện các quy tắc cho Khung chính sách dữ liệu xuyên Đại Tây Dương đã được thống nhất vào đầu năm nay là một bước đi đúng hướng, nhưng hiệp ước mới sẽ không có hiệu lực sớm nhất cho đến mùa xuân năm sau, và thậm chí sau đó. các chuyên gia chính sách công và pháp luật nói rằng nó nhất định phải đối mặt với những thách thức pháp lý.
Sắc lệnh hành pháp được Biden ký ngày 7/10 đưa ra những hạn chế mới đối với việc giám sát điện tử của các cơ quan tình báo Mỹ và mang lại cho người châu Âu những con đường mới để khiếu nại khi họ cho rằng thông tin cá nhân của họ đã bị các cơ quan tình báo Mỹ sử dụng một cách bất hợp pháp.
Động thái này diễn ra hai năm sau khi Tòa án Công lý châu Âu hủy bỏ thỏa thuận chia sẻ dữ liệu trước đây của Hoa Kỳ-EU có tên là Privacy Shield vào năm 2020 với lý do Hoa Kỳ không cung cấp sự bảo vệ đầy đủ cho dữ liệu cá nhân, đặc biệt là liên quan đến giám sát của nhà nước.
Khung chính sách dữ liệu xuyên Đại Tây Dương mới nhằm cải thiện các biện pháp bảo vệ quyền riêng tư của Hoa Kỳ, thay thế Privacy Shield và cuối cùng vượt qua sự giám sát của Tòa án Công lý khi có các thách thức pháp lý dự kiến xảy ra. Tuy nhiên, mặc dù cả Cơ quan Quản lý Biden và Ủy ban Châu Âu đều đưa ra các tuyên bố tán thành hiệp ước dữ liệu mới được đề xuất, nhưng vẫn còn lâu mới là một thỏa thuận được thực hiện, theo Jonathan Armstrong, một luật sư về tuân thủ và công nghệ tại các chuyên gia tuân thủ Cordery có trụ sở tại Vương quốc Anh.
“Cả Nhà Trắng và Ủy ban Châu Âu đều có thể nói rằng họ tự tin, nhưng chúng tôi đã đi theo con đường này trước đây, với cả hai bên đều nói rằng Privacy Shield sẽ chịu sự giám sát của tư pháp. Armstrong nói.
Điều gì tiếp theo cho Khung chính sách dữ liệu xuyên Đại Tây Dương
Đầu tiên, EU phải xác nhận rằng các quy tắc mới được thiết lập bởi lệnh hành pháp của Biden là đủ để đáp ứng các tiêu chuẩn được thống nhất trong khuôn khổ xuyên Đại Tây Dương, do đó được tạo ra để cung cấp các biện pháp bảo vệ quyền riêng tư tương đương với GDPR của EU (Quy định chung về bảo vệ dữ liệu) .
Trong vài tháng tới, Ủy ban Châu Âu, cơ quan điều hành của Liên minh Châu Âu, sẽ đề xuất một dự thảo quyết định đầy đủ và khởi động một thủ tục thông qua, bao gồm tham vấn với Ban Bảo vệ Dữ liệu Châu Âu (EDPB) và nhận được sự chấp thuận từ một ủy ban bao gồm các đại diện của Các quốc gia thành viên EU, theo một tuyên bố của Ủy ban.
Armstrong cho biết, Nghị viện châu Âu cũng sẽ muốn xem xét kỹ lưỡng thỏa thuận này trước khi nó được phê chuẩn.
Trong khi đó, Max Schrems – nhà hoạt động và luật sư người Áo có khiếu nại chống lại Facebook vì vi phạm GDPR dẫn đến sự sụp đổ của Privacy Shield và thỏa thuận tiền thân của nó, Safe Harbour – đã nói rằng anh ta có thể thách thức thỏa thuận với nhóm gây áp lực NOYB của mình.
“Ngay từ cái nhìn đầu tiên, có vẻ như các vấn đề cốt lõi đã không được giải quyết và nó sẽ trở lại CJEU [Euopean Court of Justice] Schrems cho biết trong một tuyên bố do NOYB công bố.
Các nhà phê bình chuyển dữ liệu nhắm vào giám sát hàng loạt
Theo Schrems và các nhà phê bình khác, một vấn đề lớn với mệnh lệnh hành pháp của Biden và Khung chính sách dữ liệu xuyên Đại Tây Dương là nó không giải quyết thỏa đáng việc giám sát hàng loạt của các cơ quan tình báo Mỹ.
Lệnh hành pháp nói rằng nó yêu cầu các hoạt động tình báo của Hoa Kỳ được tiến hành “chỉ khi cần thiết để nâng cao một ưu tiên tình báo đã được xác thực và chỉ trong phạm vi và cách thức tương xứng với ưu tiên đó.” Tuy nhiên, trong khi luật của EU cũng kêu gọi giám sát tương xứng, không có dấu hiệu cho thấy hoạt động giám sát hàng loạt của Hoa Kỳ sẽ thay đổi trong thực tế, NYOB cho biết.
Ngoài ra, mặc dù lệnh của Biden yêu cầu Bộ Tư pháp Hoa Kỳ thành lập Tòa án Đánh giá Bảo vệ Dữ liệu để giải quyết các khiếu nại về giám sát, nhưng đó không phải là “một tòa án thực tế”, mà là một cơ quan trong chi nhánh pháp lý của chính phủ Hoa Kỳ, theo NYOB.
NYOB cũng chỉ ra rằng lệnh hành pháp không phải là luật, mà là chỉ thị từ tổng thống Mỹ đối với chính phủ liên bang.
Nhóm vận động hành lang của Liên minh Tự do Dân sự Hoa Kỳ (ACLU) đồng ý.
Ashley Gorski, luật sư cấp cao của Dự án An ninh Quốc gia ACLU, nói trong một tuyên bố của ACLU: “Các vấn đề với chế độ giám sát của Hoa Kỳ không thể được chữa khỏi chỉ bằng một lệnh hành pháp. “Để bảo vệ quyền riêng tư của chúng tôi và để đưa việc truyền dữ liệu xuyên Đại Tây Dương trên cơ sở pháp lý vững chắc, Quốc hội phải ban hành cải cách giám sát có ý nghĩa. Cho đến khi điều đó xảy ra, các doanh nghiệp và cá nhân Hoa Kỳ sẽ tiếp tục phải trả giá ”.
Tash Whitaker, Giám đốc Tuân thủ Dữ liệu Toàn cầu tại Whitaker Solutions, cho biết thỏa thuận không có khả năng đáp ứng các yêu cầu của một thỏa thuận đầy đủ. “Đặc biệt, giám sát hàng loạt có thể sẽ tiếp tục như hiện nay, bất kể có bất kỳ thay đổi nào đối với từ ngữ trong lệnh hành pháp mới. Ngoài ra, cần có biện pháp xử lý tư pháp đối với các đối tượng dữ liệu trong luật trong nước. Lệnh hành pháp gợi ý rằng điều này xảy ra bằng cách đề cập đến “Tòa án xem xét bảo vệ dữ liệu”.
Tại sao các doanh nghiệp muốn có một Bảo vệ quyền riêng tư mới
Các doanh nghiệp muốn một thỏa thuận truyền dữ liệu mới có hiệu lực để cắt giảm các cuộc đàm phán pháp lý tốn nhiều công sức hiện đang được yêu cầu để tiến hành truyền dữ liệu xuyên Đại Tây Dương, nhằm giúp đảm bảo rằng họ đang làm như vậy theo cách đáp ứng các tiêu chuẩn của EU và tránh hành động cưỡng chế của EU. Cơ quan bảo vệ dữ liệu (DPA) – cơ quan công quyền độc lập xử lý các khiếu nại liên quan đến vi phạm GDPR của Liên minh Châu Âu – theo Lartease Tiffith, phó chủ tịch điều hành về chính sách công tại Phòng quảng cáo tương tác (IAB) của tập đoàn thương mại có trụ sở tại New York.
Theo Tiffith, trong trường hợp không có Privacy Shield hoặc thỏa thuận tương tự, các công ty sử dụng cái gọi là điều khoản hợp đồng tiêu chuẩn để xác nhận rằng việc truyền dữ liệu được thực hiện theo GDPR. “Vấn đề với điều đó là chúng rất tốn công sức — tôi thậm chí sẽ không gọi chúng là các điều khoản hợp đồng tiêu chuẩn bởi vì theo một số cách, bạn phải thương lượng từng điều khoản trong số đó, vì vậy tiêu chuẩn có thể là một từ nhầm lẫn.”
Gần 70% trong số hơn 5.000 công ty Hoa Kỳ đã đăng ký Privacy Shield là các công ty nhỏ hơn không có đủ nguồn lực để đàm phán nhiều hợp đồng với tất cả các nhà cung cấp dữ liệu của họ và đó cũng là gánh nặng cho các công ty lớn, Tiffith nói.
Ý tưởng đằng sau Privacy Shield và khuôn khổ mới là khi các công ty tự chứng nhận rằng họ tuân thủ các nguyên tắc đã được phê duyệt, họ không còn phải thiết lập các hợp đồng bảo mật dữ liệu cá nhân với mọi nhà cung cấp, Tiffith nói.
“Một điều đáng lưu ý khác là ngay cả với các điều khoản hợp đồng tiêu chuẩn, các công ty vẫn phải chịu sự thực thi của DPA, nếu họ thấy rằng bạn không có một điều khoản đầy đủ hoặc nó không bao gồm tất cả những gì cần thiết,” Tiffith nói.
Những thách thức pháp lý đối với các quy tắc truyền dữ liệu dự kiến
Tiffith cho biết lệnh điều hành của Biden là một bước đi đúng hướng, tạo tiền đề cho một thỏa thuận cuối cùng, đồng thời nhấn mạnh rằng các luồng dữ liệu là rất quan trọng đối với sự phát triển chung của y tế, an ninh mạng và các công nghệ khác, cũng như truyền thông, quảng cáo và hàng tiêu dùng .
Mặc dù vậy, xem xét những lời chỉ trích ban đầu về lệnh này, “sẽ có những thách thức pháp lý” đối với thỏa thuận, Tiffith thừa nhận.
Armstrong, luật sư tuân thủ của Cordery, đồng ý, cảnh báo các doanh nghiệp về việc lấy lòng các quan chức Hoa Kỳ và EU những lời động viên. Armstrong nói: “Có quá nhiều nguy cơ bị đe dọa đối với các doanh nghiệp khi dựa vào những lời an ủi đó, đặc biệt là trong bối cảnh các vấn đề còn tồn tại với việc truyền dữ liệu và những thách thức có thể xảy ra,” Armstrong nói.
Do quá trình phê duyệt của EU và những thách thức có thể xảy ra, kế hoạch mới chắc chắn sẽ bị trì hoãn và không có khả năng lệnh sẽ có hiệu lực sớm nhất cho đến cuối mùa xuân năm 2023, Armstrong nói. Ông nói, ngay cả khi đó, hầu hết các tổ chức vẫn muốn coi đó là một thỏa thuận tạm thời trong khi họ tiếp tục làm việc với các biện pháp tuân thủ khác, cụ thể là thực hiện trách nhiệm giải trình kép đối với các tổ chức mà họ đang gửi dữ liệu và các biện pháp được áp dụng trong khu vực tài phán đó. .
Ông Whitaker cho biết: “Tất cả đều có thể là Hoa Kỳ có được một số loại thỏa đáng của EU từ phía sau, nhưng nó có thể sẽ tồn tại trong thời gian ngắn vì các nhà vận động hành lang sẽ thách thức nó trước tòa nhanh hơn GDPR mà bạn có thể nói”.
(Báo cáo bổ sung của Marc Ferranti)
Bản quyền © 2022 IDG Communications, Inc.
[ad_2]
