Äskettäin sovittu EU:n ja Yhdysvaltojen tiedonsuojakehys lisää yksityisyyden byrokratiaa

22 elokuu 2023

Sisällysluettelo:

1) Tyhjennetty lähetettäväksi
2) Sitoumukset
3) Epävarmuustekijöiden vähentäminen
4) Kyberturvallisuuden kestävyyden kehittäminen
5) Politiikan harmonisointi
6) Oppiperiaatteet
7) Data Bridge
8) Valmistautua

Asiantuntijat ovat suhtautuneet myönteisesti sopimukseen uusista yksityisyyteen keskittyvistä säännöistä siitä, miten henkilötietoja voidaan siirtää Yhdysvaltojen ja EU:n yritysten välillä.

EU:n ja Yhdysvaltojen välinen datan tietosuojakehys kehitettiin korvaamaan Privacy Shield, joka mitätöi Euroopan yhteisöjen tuomioistuimen päätöksellä vuonna 2020.

Tuomioistuin puuttui huoleen riittävien suojatoimien puutteesta Privacy Shieldissä (ja aikaisemmassa safe harbor -sopimuksessa), mikä tarkoitti, että EU:n rajojen ulkopuolelle lähtevät henkilötiedot saattavat joutua Yhdysvaltojen hallituksen laajan valvonnan alaisiksi.

Tyhjennetty lähetettäväksi

Euroopan komissio hyväksyi Yhdysvaltain hallituksen viime vuonna esittämän EU:n ja Yhdysvaltojen välisen tietosuojakehyksen heinäkuussa 2023 päätettyään, että Yhdysvallat "varmistaa henkilötietojen riittävän suojan tason – joka on verrattavissa Euroopan unionin suojaan". siirretty EU:sta yhdysvaltalaisille yrityksille uuden kehyksen mukaisesti”.

Tämä "riittävyyttä koskeva päätös" tarkoittaa, että henkilötiedot voivat "virrata turvallisesti EU:sta puitteisiin osallistuville yhdysvaltalaisille yrityksille" ilman, että tarvitaan lisäsuojatoimenpiteitä, joita vaaditaan väliaikaisissa esisopimusta koskevissa toimenpiteissä.

Sitoumukset

DPF-ohjelman verkkosivustolla on tietoa siitä, kuinka yritykset voivat päivittää tietosuojakäytäntöjään ja -menettelyjään sekä toteuttaa suojatoimia ennen kuin he itse varmentavat itsensä vaatimustenmukaisiksi ja liittyvät DPF-ohjelmaan. Eurooppalaiset organisaatiot voivat käyttää samaa verkkosivustoa tarkistaakseen kumppanin DPF-ohjelmasitoumukset.

Viitekehys antaa EU-henkilöille, joiden tietoja siirretään osallistuville yrityksille Yhdysvalloissa, useita uusia oikeuksia, kuten oikeuden päästä käsiksi, oikaista ja poistaa henkilötietojaan.

Transatlanttinen datavirtasopimus lupaa poistaa olemassa olevat byrokraattiset esteet ja epävarmuustekijät.

Epävarmuustekijöiden vähentäminen

Ison-Britannian lakitoimiston Harper Jamesin tietosuoja- ja yksityisyyslakimies Becky White sanoi, että kehys lupasi yksinkertaistaa eurooppalaisten ja yhdysvaltalaisten yritysten välistä liiketoimintaa ja varoitti, että joitakin sen täytäntöönpanon mahdollisia esteitä on vielä voitettava.

"Vaikka ehdotettu datasilta on tervetullut uutinen organisaatioille sekä USA:ssa että Isossa-Britanniassa, erityisesti kansainvälisten tiedonsiirtojen jatkuvan epävarmuuden valossa, ja sen pitäisi tarkoittaa, että sopimusten tekeminen yhdysvaltalaisten tavarantoimittajien tai asiakkaiden kanssa muuttuu paljon yksinkertaisemmiksi. Yhdistyneen kuningaskunnan yrityksille vie vähemmän aikaa, joten Yhdistyneellä kuningaskunnalla on joitain kriittisiä esteitä voitettavana ennen sen käyttöönottoa. Poliittinen ja lainsäädännön mukauttamistyö Atlantin molemmin puolin on edelleen epätäydellinen, White varoitti

"Ensinnäkin se riippuu Yhdysvaltojen nimeämisestä Yhdistyneelle kuningaskunnalle oikeutetuksi osavaltioksi presidentti Bidenin toimeenpanomääräyksen 14086 mukaisesti (jossa vahvistettiin tietosuojatakeet Yhdysvaltain signaalitiedustelupalveluille), White selitti.

"Lisäksi Yhdistyneen kuningaskunnan hallituksen ehdottama tietosuoja- ja digitaalitietolaki (DPDI 2) on melko lähellä voimaantuloa, ja vaikka hallitus väittää edelleen, että Yhdistyneen kuningaskunnan tietosuojajärjestelmään suunnitellut muutokset eivät vaaranna EU:n riittävyyttä, ei vahvistusta jonka on tehnyt EU."

Kyberturvallisuuden kestävyyden kehittäminen

Tiedon ja tietojen yhdistäminen on elintärkeää vankan kyberturvallisuuden rakentamisessa.

Jon France, kyberturvallisuusalan ammatillisen kehittämis- ja sertifiointiyhdistyksen (ISC)² CISO, kertoi ISMS.online-sivustolle, että Atlantin ylittävien tietojen jakamisen esteiden poistaminen parantaa kyberturvallisuusyhteistyötä.

"EU:n ja Yhdysvaltojen välisen tietosuojakehyksen riittävyyttä koskeva päätös tuo merkittäviä parannuksia yrityksille Atlantin molemmin puolin", Ranskan mukaan. "On rohkaisevaa, että olemme saavuttamassa tilan, jossa rajat ylittävä tiedonkulku on varmistettu ja puitteisiin osallistuvat yritykset saavat vapauden siirtää tietoja turvallisesti."

Ranska jatkoi: "Turvallisuusmaailmassa pääsy tietoihin on avainasemassa hyökkäysten havaitsemisessa ja korjaamisessa. Mahdollisuus siirtää tällaisia tietoja transatlanttisten osapuolten välillä sekä julkisella että yksityisellä sektorilla parantaa puolustusta molemmilla mantereilla.

Viitekehyksen tarjoama lupaus parantuneesta turvallisuudesta toteutuu vain, jos organisaatiot saavat oman talonsa kuntoon, Ranska varoitti.

"Yksityisyyden ylläpitäminen perustuu tehokkaaseen kyberturvallisuuteen ja vaatii sitä; nämä kaksi kulkevat käsi kädessä”, Ranskan mukaan. "Organisaatioilla on velvollisuus ylläpitää henkilötietojen suojan riittävää tasoa, mukaan lukien tiukat velvoitteet jakaa kolmansien osapuolten kanssa, ja niiden on noudatettava tietosuojaperiaatteita, kuten tietojen säilyttämisen rajoituksia."
Ranska päätteli: "Yritysten pitäisi ytimessä omaksua vankat kyberturvallisuuskäytännöt tietojen turvaamiseksi ja digitaalisen luottamuksen rakentamiseksi."

Politiikan harmonisointi

Sam Peters, ISMS.online CPO piti sopimusta tervetulleena hyödyllisenä apuvälineenä tietosuojasääntöjen monimutkaisuudessa.
"Äskettäinen EU:n ja Yhdysvaltojen välinen sopimus tietojen riittävyydestä on merkittävä virstanpylväs kansainvälisessä tietosuojaympäristössä", Peters selitti. "Se hahmottelee kriittisen viitekehyksen, jonka tavoitteena ei ole vain turvata Atlantin yli siirrettyjä henkilötietoja, vaan myös parantaa yhdysvaltalaisten yritysten vaatimustenmukaisuutta, avoimuutta ja vastuullisuutta."

Peters jatkoi: "Sopimus ei ole vain uusi byrokraattinen este, vaan tärkeä työkalu, jolla navigoidaan tietosuojan monimutkaisissa kysymyksissä yhä enemmän toisiinsa kytkeytyvässä digitaalisessa maailmassamme. Tämä sopimus tarjoaa vankan kehyksen tiedonsiirtokäytäntöjen yhdenmukaistamiselle Atlantin yli ja asettaa tiukat tietosuojavelvoitteet osallistuville yhdysvaltalaisille yrityksille."

Oppiperiaatteet

Sopimus tarjoaa puitteet tietosuojan parhaiden käytäntöjen soveltamiselle.

"Tämän sopimuksen ytimessä on EU:n ja Yhdysvaltojen välinen tietosuojakehys", Petersin mukaan. "Tämän järjestelmän avulla yhdysvaltalaiset yritykset voivat vahvistaa sitoutumisensa kattavaan joukkoon tietosuojavelvoitteita. Se puolustaa käyttötarkoituksen rajoittamista, tietojen minimointia ja tietojen säilyttämistä ja määrittelee erityisiä velvoitteita, jotka koskevat tietoturvallisuutta ja jakamista kolmansien osapuolten kanssa.

Peters lisäsi: ”Tällaiset toimenpiteet ovat esimerkki sopimuksen aikeesta vahvistaa tietoturvaa. Nämä sitoumukset eivät ole pelkkiä periaatteita paperilla; ne vaikuttavat suoraan yritysten toimintastrategioihin.”

Yhdysvaltain kauppaministeriö hoitaa viitekehyksen hallinnon, valvoo sertifiointihakemusprosessia ja valvoo osallistuvien yritysten jatkuvaa noudattamista. Yhdysvaltain liittovaltion kauppakomissio valvoo vaatimusten noudattamista, mikä osoittaa "vahvaa sitoutumista sopimuksen tietosuojatavoitteisiin", ISMS.onlinen Petersin mukaan.

Data Bridge

Yhdistyneen kuningaskunnan tietojenkäsittelysääntöjen on oltava EU:n säännösten mukaisia, jotta vältetään herkän tasapainon horjuttaminen.

Harper James' White varoitti: "Jos DPDI 2:n voimaantulo kumoaa Yhdistyneen kuningaskunnan EU:n riittävyyttä koskevan päätöksen, tämä voi puolestaan vaikuttaa Yhdistyneen kuningaskunnan ja Yhdysvaltojen välisen datasillan toteuttamiseen, jota pidetään laajalti EU:n ja Yhdysvaltojen välisen datan laajennuksena. yksityisyyden suojaa koskeva puite on parhaillaan arvioitavana ja kannan yhdenmukaistaminen Yhdistyneen kuningaskunnan alaisuudessa GDPR EU:n GDPR:n kanssa tiedonsiirrossa Yhdistyneestä kuningaskunnasta järjestelmään hyväksyville yhdysvaltalaisille organisaatioille.

Valmistautua

Tietojen riittävyyttä koskeva päätös tuli voimaan sen hyväksymisestä 10. heinäkuuta. Ei ole tarkkaa aikataulua noudattamiselle. Euroopan komission on kuitenkin määrä tarkistaa Yhdysvaltojen lainsäädäntökehyksen tehokkuutta säännöllisesti, aluksi vuoden kuluttua kehyksen käyttöönotosta.

ISMS.onlinen Peters varoitti: "On tärkeää huomata, että riittävyyttä koskevia päätöksiä voidaan mukauttaa tai peruuttaa, jos kehitys vaikuttaa kolmannen maan suojatasoon."

Peters neuvoi, että yritysten ei tule tuhlata aikaa käytäntöjensä ja menettelyjensä tarkistamiseen, jotta ne täyttäisivät puitteet.

"Valmistautuakseen tähän muuttuvaan tietosuojamaisemaan yritysten on aloitettava tarkastamalla perusteellisesti nykyiset tiedonkäsittelykäytännönsä", ISMS.onlinen Peters selitti. "Yhdenmukaisuuden varmistaminen kehyksen periaatteiden kanssa on ratkaisevan tärkeää vaatimustenmukaisuuden validoinnissa ja mahdollisten säännösten mukaisten seuraamusten välttämisessä."

Peters päätteli: ”EU:n ja Yhdysvaltojen välinen sopimus tietojen riittävyydestä tuo kiistatta uuden ulottuvuuden maailmanlaajuiselle tietosuoja-areenalle. Lyhyellä aikavälillä yritykset saattavat nähdä tämän ylimääräisenä sääntelytaakana. Tietosuoja ja tietosuoja ovat kuitenkin yhä tärkeämpiä kuluttajille ja yrityksille. Tältä osin sopimus katalysoi positiivista muutosta ja vahvistaa maailmanlaajuista tietosuojastandardia.

kirjailija

John Leyden

John Leyden on kirjoittanut tietokoneverkoista ja kyberturvallisuudesta yli 20 vuoden ajan. Ennen Internetin tuloa hän työskenteli rikostoimittajana paikallisessa sanomalehdessä Manchesterissa. Johnilla on elektroniikkatekniikan tutkinto Citystä, Lontoon yliopistosta.

Näytä kaikki viestit käyttäjältä John Leyden