安全港如何影响您的业务
Posted: Tue Jan 07, 2025 8:36 am
欧洲有关隐私和数据安全的法规不允许将个人数据传输给欧洲经济区以外的欧盟国民,除非该数据的接收国提供足够水平的保护。
安全港协议完全基于美国公司的自我认证,其作用是使后者更容易地将客户的欧洲数据传输到横跨大西洋的服务器上。
该协议最初是根据欧盟委员会 2000 年的一项决定制定的。委员会当时判断,该协议保证了从欧洲传输到美国的个人数据得到充分的保护。
今天的情况
随着安全港协议的失效,从欧洲到美国的数据传输只要仅基于相关数据接收者的安全港认证,就不再被认为符合现行的欧洲规定。因此,这些转移是非法的。
因此,任何欧洲国民现在可以起诉任何公司,如果他认为相关公司没有按照 1995 年欧洲指令 95/46/EC 的含义对其个人数据提供足够的保护,特别是如果该公司仅根据安全港协议将其个人数据转移到美国。
因此,使用美国服务托管其客户个人数据的欧洲公司可能会成为起诉的目标。会计解决方案、摩洛哥号码数据 人力资源管理、云托管、CRM、数据收集和在线营销工具尤其受到影响。
现在由每个国家数据保护机构(CNIL 和同等机构)决定是否应暂停向美国传输相关成员国国民的个人数据,因为了解除标准之外的其他数据传输标准进行此类转让的公司可能已经制定了安全港,特别是欧盟的“有约束力的公司规则”或“标准合同条款”。
德国数据保护机构之一(石勒苏益格-荷尔斯泰因州)宣布,只要美国在这一领域的立法没有改变,目前任何向美国传输数据的行为都是非法的,并威胁那些不这样做的公司和公共组织。此类转让最高可达 300,000 欧元的罚款。然而,这一立场仅涉及德国当局之一(每个州都有一个)。
信息专员办公室(ICO,英国数据保护机构)则表示,“使用安全港的公司必须审查其传输到美国的数据的安全方法,以便在法律框架内返回。
总体而言,包括 CNIL(国家信息与自由委员会)在内的所有欧洲数据保护机构于 10 月 15 日召开会议,分析欧盟法院 2015 年 10 月 6 日决定使安全港无效的后果,并就此问题采取了共同做法,要求欧洲相关机构和政府在2016年1月31日之前找到法律和技术解决方案。
我会受到欧盟安全港协议失效的影响吗?对电子邮件营销有何影响?
当然,Mailjet 无意取代与专业律师事务所的咨询,因此我们邀请您联系您平时的法律顾问,他们将能够了解您的个人情况。
但是,这里有一些提示可以帮助您确定您是否担心,并让您遵守现行法规(如果适用)。
根据EU/EAA 的规定,您必须首先确定您正在收集的数据类型,因为您的公司管理所收集的数据,因此负责其处理和传输(根据指令的含义,您是“数据控制者”)。因此,首先映射您直接或通过与您的企业连接的第三方服务从客户和潜在客户那里收集的所有个人数据,以及这些数据的存储位置(托管服务器的位置)。请注意,随着云计算的兴起,越来越多的数据由第三方在线服务存储,这些数据被发送到美国的风险不容忽视。
如果一项或多项第三方服务托管和/或处理来自美国的欧洲国民的个人数据,请检查这些服务提供商是否保证为您传输的客户和潜在客户的个人数据提供足够的保护。对他们来说:如果到目前为止这一承诺仅基于安全港自我认证,那么将数据传输到这些在美国托管的提供商的服务现在是非法的,您必须要求他们采取真正合规的保护措施符合欧洲要求主题:迄今为止,只有签订包含欧洲标准条款的合同,或服务提供商采用经各个国家数据保护机构批准的内部公司规则(“有约束力的公司规则”)仍然允许个人数据合法化欧洲和美国之间转移。在所有情况下,请仔细研究第三方服务提供商可能向您提供的合同,不要仓促表示同意,并继续关注国家数据保护机构(在法国为 CNIL)发布的决定和建议确定您要验证的内容。
如果您无法获得美国服务提供商的明确承诺,最好的选择是尽快转向欧洲托管服务,以减轻任何法律或安全风险。
最后,当然值得回顾一下电子邮件营销的基本规则,这些规则并不总是得到执行,但根据现行的欧洲法规是强制性的。与往常一样,公司以群发电子邮件的形式发送的任何未经请求的消息都将被视为垃圾邮件,并可能受到起诉。
此外,请记住,未经数据持有者明确同意,根据客户或潜在客户的行为通过电子邮件、网站或应用程序收集的任何数据都不能用于营销目的。如果尚未出现这种情况,位于欧盟的公司必须更新其使用条款和隐私政策,以及用于在注册期间收集客户信息的表格(选择加入),以便他们也同意将其数据用于发送营销电子邮件时使用。例如,当且仅当收件人明确同意您发送营销电子邮件和使用个人数据时,您才能够发送包含收件人居住城市的个性化电子邮件。
安全港协议完全基于美国公司的自我认证,其作用是使后者更容易地将客户的欧洲数据传输到横跨大西洋的服务器上。
该协议最初是根据欧盟委员会 2000 年的一项决定制定的。委员会当时判断,该协议保证了从欧洲传输到美国的个人数据得到充分的保护。
今天的情况
随着安全港协议的失效,从欧洲到美国的数据传输只要仅基于相关数据接收者的安全港认证,就不再被认为符合现行的欧洲规定。因此,这些转移是非法的。
因此,任何欧洲国民现在可以起诉任何公司,如果他认为相关公司没有按照 1995 年欧洲指令 95/46/EC 的含义对其个人数据提供足够的保护,特别是如果该公司仅根据安全港协议将其个人数据转移到美国。
因此,使用美国服务托管其客户个人数据的欧洲公司可能会成为起诉的目标。会计解决方案、摩洛哥号码数据 人力资源管理、云托管、CRM、数据收集和在线营销工具尤其受到影响。
现在由每个国家数据保护机构(CNIL 和同等机构)决定是否应暂停向美国传输相关成员国国民的个人数据,因为了解除标准之外的其他数据传输标准进行此类转让的公司可能已经制定了安全港,特别是欧盟的“有约束力的公司规则”或“标准合同条款”。
德国数据保护机构之一(石勒苏益格-荷尔斯泰因州)宣布,只要美国在这一领域的立法没有改变,目前任何向美国传输数据的行为都是非法的,并威胁那些不这样做的公司和公共组织。此类转让最高可达 300,000 欧元的罚款。然而,这一立场仅涉及德国当局之一(每个州都有一个)。
信息专员办公室(ICO,英国数据保护机构)则表示,“使用安全港的公司必须审查其传输到美国的数据的安全方法,以便在法律框架内返回。
总体而言,包括 CNIL(国家信息与自由委员会)在内的所有欧洲数据保护机构于 10 月 15 日召开会议,分析欧盟法院 2015 年 10 月 6 日决定使安全港无效的后果,并就此问题采取了共同做法,要求欧洲相关机构和政府在2016年1月31日之前找到法律和技术解决方案。
我会受到欧盟安全港协议失效的影响吗?对电子邮件营销有何影响?
当然,Mailjet 无意取代与专业律师事务所的咨询,因此我们邀请您联系您平时的法律顾问,他们将能够了解您的个人情况。
但是,这里有一些提示可以帮助您确定您是否担心,并让您遵守现行法规(如果适用)。
根据EU/EAA 的规定,您必须首先确定您正在收集的数据类型,因为您的公司管理所收集的数据,因此负责其处理和传输(根据指令的含义,您是“数据控制者”)。因此,首先映射您直接或通过与您的企业连接的第三方服务从客户和潜在客户那里收集的所有个人数据,以及这些数据的存储位置(托管服务器的位置)。请注意,随着云计算的兴起,越来越多的数据由第三方在线服务存储,这些数据被发送到美国的风险不容忽视。
如果一项或多项第三方服务托管和/或处理来自美国的欧洲国民的个人数据,请检查这些服务提供商是否保证为您传输的客户和潜在客户的个人数据提供足够的保护。对他们来说:如果到目前为止这一承诺仅基于安全港自我认证,那么将数据传输到这些在美国托管的提供商的服务现在是非法的,您必须要求他们采取真正合规的保护措施符合欧洲要求主题:迄今为止,只有签订包含欧洲标准条款的合同,或服务提供商采用经各个国家数据保护机构批准的内部公司规则(“有约束力的公司规则”)仍然允许个人数据合法化欧洲和美国之间转移。在所有情况下,请仔细研究第三方服务提供商可能向您提供的合同,不要仓促表示同意,并继续关注国家数据保护机构(在法国为 CNIL)发布的决定和建议确定您要验证的内容。
如果您无法获得美国服务提供商的明确承诺,最好的选择是尽快转向欧洲托管服务,以减轻任何法律或安全风险。
最后,当然值得回顾一下电子邮件营销的基本规则,这些规则并不总是得到执行,但根据现行的欧洲法规是强制性的。与往常一样,公司以群发电子邮件的形式发送的任何未经请求的消息都将被视为垃圾邮件,并可能受到起诉。
此外,请记住,未经数据持有者明确同意,根据客户或潜在客户的行为通过电子邮件、网站或应用程序收集的任何数据都不能用于营销目的。如果尚未出现这种情况,位于欧盟的公司必须更新其使用条款和隐私政策,以及用于在注册期间收集客户信息的表格(选择加入),以便他们也同意将其数据用于发送营销电子邮件时使用。例如,当且仅当收件人明确同意您发送营销电子邮件和使用个人数据时,您才能够发送包含收件人居住城市的个性化电子邮件。