Revocation of Privacy Shield 🛑 چه تاثیری بر تصمیم تحلیل شما دارد؟

در 16^هفتم در ژوئیه 2020، دیوان دادگستری اتحادیه اروپا مکانیسم سپر حریم خصوصی را نامعتبر اعلام کرد و اجازه حفاظت کافی را در انتقال داده های شخصی بین اتحادیه اروپا و ایالات متحده آمریکا داد.

یک ماه بعد، این موضوع همچنان در کانون توجه کارشناسان حفاظت از داده ها و کاربران راه حل های دیجیتال در ایالات متحده است.

نکات کلیدی که باید از این تصمیم به خاطر بسپارید چیست؟ پیامدهای انطباق تصمیم تجزیه و تحلیل شما چیست؟ چه جایگزین هایی برای به حداقل رساندن خطرات موجود است؟

اطلاعات اولیه در مورد مکانیسم های انتقال داده های شخصی بین اتحادیه اروپا و ایالات متحده

طی بیست سال گذشته، شرکت‌های آمریکایی که مایل به انتقال داده‌های شخصی از اتحادیه اروپا هستند، توانسته‌اند از دو گواهی بهره‌مند شوند که به آنها اجازه می‌دهد بدون شرایط ویژه اضافی فعالیت کنند.

• بندر امن (2001 -2015): دستورالعمل های حفظ حریم خصوصی توافق شده بین وزارت بازرگانی ایالات متحده و کمیسیون اروپا بر اساس دستورالعمل 95/46/EC از 24^هفتم اکتبر 1995
  این دستورالعمل ها عبارتند از: اطلاعات در مورد افراد، امکان اعتراض موضوع داده به انتقال یا استفاده از داده ها برای اهداف مختلف، رضایت صریح برای داده های حساس یا حق دسترسی و اصلاح.
  این مکانیسم کفایت توسط دیوان دادگستری اتحادیه اروپا در تاریخ 6 لغو شد^هفتم اکتبر 2015

• سپر حریم خصوصی (2016-2020): با پیروی از همان رویکرد بندر امن و پس از مذاکرات جدید، وزارت بازرگانی ایالات متحده و کمیسیون اروپا به توافق جدیدی دست یافتند که در تاریخ 1 لازم‌الاجرا شد.^St آگوست 2016، شرکت‌های آمریکایی که مایل به استفاده از این مکانیسم بودند، باید هر سال گواهینامه خود را تمدید می‌کردند که در https://www.privacyshield.gov/welcome فهرست شده بود. این به کنترل‌کننده‌های داده اروپایی اجازه می‌دهد تا به سرعت انطباق پردازنده خود را با دستورالعمل‌ها بررسی کنند.

از 16^هفتم بنابراین، در جولای سال جاری، این مکانیسم کفایت پیش فرض بین اتحادیه اروپا و ایالات متحده دیگر معتبر نیست.

اولین شکایت مستقیماً به لغو سپر حریم خصوصی مربوط می شود

اولین اثرات این ناتوانی در حال حاضر آشکار می شود. سازمان غیردولتی حریم خصوصی اروپا شبکه توسط Max Schrems تأسیس شده است، قبلاً علیه حدود 100 وب سایت اروپایی با استفاده از راه حل های Google Analytics و Facebook Connect اقدام قانونی کرده است.

او در وب سایت nob می گوید:

به نظر می رسد نه فیس بوک و نه گوگل مبنای قانونی برای انتقال داده ها ندارند. گوگل همچنان ادعا می کند که یک ماه پس از لغو آن به “سپر حریم خصوصی” تکیه می کند، در حالی که فیس بوک همچنان از “SCC” استفاده می کند. [Standard Contractual Clauses]اگرچه دادگاه تشخیص داد که قوانین نظارتی ایالات متحده، ماهیت حقوق اساسی اتحادیه اروپا را نقض می کند.

شکایت ماکس شرمز مربوط به شرکت هایی مانند Airbnb Ireland، Allied Irish Banks، Auchan، Danske Bank، Fastweb، MTV Internet، Sky Deutschland، Takeaway.com و Coop (از جمله سایرین) است.

لغو Privacy Shield و پیامدهای آن برای ابزار تجزیه و تحلیل شما

دیوان دادگستری اتحادیه اروپا تصمیم گرفته است که دیگر ایالات متحده را به عنوان کشوری که سطح کافی از حفاظت از داده های شخصی را برای رعایت مقررات حفاظت از داده های عمومی (GDPR) ارائه می کند، به رسمیت نمی شناسد. این عمدتا به دلیل نظارت گسترده ای است که توسط کاخ سفید تحت قانون ابر بر داده های جمع آوری و پردازش شده توسط شرکت های آمریکایی ارائه شده است.

CNIL نقشه تعاملی زیر را ارائه می دهد که سطح کفایت GDPR کشورهای سراسر جهان را بر اساس تصمیمات اتخاذ شده توسط کمیسیون اروپا نشان می دهد:

ماده 14.f GDPR بیان می کند که «مدیر (شرکتی) که قصد دارد داده های شخصی را به گیرنده (تصمیم تجزیه و تحلیل) در یک کشور ثالث یا سازمان بین المللی، از جمله وجود یا عدم وجود تصمیم کفایت سازمان، انتقال دهد. کمیسیون» باید اطلاعاتی در مورد محل پردازش و ذخیره داده های کاربران خود ارائه دهد.

بنابراین، برای اینکه راه حل تحلیل شما با این الزام مطابقت داشته باشد، لازم است:

• شما می دانید که داده های Google Analytics کجا پردازش و ذخیره می شوند
• در صورت انتقال داده ها به خارج از اتحادیه اروپا، به کاربران نهایی از محل دقیق انتقال اطلاع دهید

علاوه بر این، در صورت انتقال به ایالات متحده و با توجه به لغو Privacy Shield، اکنون لازم است مکانیزم انتقال جدیدی برای اطمینان از قانونی بودن پردازش داده‌های شما توسط Google Analytics اجرا شود تا از موارد زیر جلوگیری شود:

• شکایات، ادعاها، اقدامات دسته جمعی توسط سوژه های داده …
• اخطارهای رسمی، تعلیق پردازش یا تحریم های مالی از سوی مقامات نظارتی

در تصمیم 16^هفتم در ژوئیه سال جاری، دیوان عدالت اتحادیه اروپا تصریح کرد که بندهای قراردادی استاندارد (SCCs) همچنان مکانیزم قانونی برای انتقال داده ها هستند. در اینجا باید توجه داشت که این بندها ممکن است در شرایط خاص به اندازه کافی محافظ نباشند. کنترل کننده داده (مشترک راه حل تجزیه و تحلیل) و پیمانکار فرعی (راه حل تجزیه و تحلیل) مسئول مذاکره درباره هر مکمل هستند.

در واقع، هیئت حفاظت از داده های اروپا در پاسخ های اولیه خود به سؤالات متداول اعلام کرد که بندهای استاندارد قراردادی نمی توانند بر قوانین ملی ارجحیت داشته باشند و بنابراین اگر قانون ملی کشور ثالث تحت تأثیر این انتقال نباشد، GDPR «کافی نیست» مطابق با GDPR است.

موضع AT Internet در انتقال بین المللی داده چیست؟

از سال 1996، AT Internet به طور مستقل تمام داده های تحلیلی مشتریان خود را در اتحادیه اروپا پردازش و ذخیره می کند.

این تعهد از طریق توافقنامه پردازش داده (DPA) امضا شده بین AT Internet و مشتریانش انجام می شود که همچنین با ماده 28 GDPR مطابقت دارد.

این به معنای موارد زیر برای کاربران ما است بسته تحلیلی:

• هیچ سوالی در مورد کفایت کشور ثالث وجود ندارد
• هیچ مکانیزم انتقالی برای معرفی وجود ندارد
• اطلاعات اضافی را در اختیار کاربران پلتفرم خود قرار نمی دهد
• انطباق GDPR با توجه به فصل پنجم مقررات به طور پیش فرض تضمین شده است
• به حداقل رساندن خطر پردازش غیرقانونی داده های Analytics و در نتیجه عدم خطر شکایت، جریمه و غیره.

برای بیش از 20 سال، AT Internet حریم خصوصی داده ها و احترام به حریم خصوصی کاربران را به عنوان ارزش های اصلی و اصول پایه حفظ کرده است. با رعایت بالاترین استانداردهای حفاظت از داده ها و حریم خصوصی، ما متعهد هستیم که بهترین الگوی ممکن را برای مشتریان و سایر بازیگران صنعت ارائه دهیم. ما حداکثر شفافیت را در مورد جمع‌آوری، پردازش و استفاده از داده‌ها، هم در سایت‌های خود و هم برای مشتریان راه‌حل تجزیه و تحلیل دیجیتال ما تضمین می‌کنیم.

ما همچنین به این باور متعهد هستیم که یک رویکرد تحلیلی مبتنی بر اخلاق و حفاظت از داده ها می تواند موتور واقعی رشد برندها باشد.

برای کسب اطلاعات بیشتر و کشف مزایای دیگر سازگاری ما بسته تحلیلیآخرین راهنمای ما را دانلود کنید و درخواست آزمایشی رایگان کنید.