Tòa án Công lý của Liên minh Châu Âu (CJEU) đã vô hiệu hóa Privacy Shield, một thỏa thuận điều chỉnh việc chuyển dữ liệu giữa EU và Hoa Kỳ kể từ năm 2016. Privacy Shield đã bị Maximillian Schrems, một nhà hoạt động người Áo, người cáo buộc. Facebook không tôn trọng việc bảo vệ dữ liệu cá nhân của người châu Âu, sau tiết lộ của Edward Snowden vào năm 2013 về cuộc giám sát lớn do Hoa Kỳ thực hiện.
Các công cụ giám sát của Hoa Kỳ không tương thích với GDPR
Theo phán quyết của các thẩm phán châu Âu, việc chuyển giao dữ liệu cá nhân giữa hai quốc gia dẫn đến nguy cơ bị Hoa Kỳ giám sát và có thể can thiệp vào các quyền cơ bản của cá nhân. Rủi ro này được cho là quá lớn bởi tòa án châu Âu, tòa án đã quyết định hành động.
Để có thể xuất dữ liệu cá nhân ra bên ngoài EU, các công ty sẽ phải đảm bảo rằng quốc gia đến tuân thủ các quy định hiện hành của châu Âu, điều này hiện không đúng ở Hoa Kỳ. Quyết định của CJEU là rõ ràng về điểm này: các công cụ giám sát được triển khai trên Đại Tây Dương, đặc biệt là trên liên lạc điện tử, không tương thích với việc bảo vệ dữ liệu cá nhân, như được đảm bảo bởi GDPR được áp dụng ở châu Âu.
Hơn 5 300 công ty liên quan, các hợp đồng sẽ được thương lượng lại
Trong khi dữ liệu cá nhân của người châu Âu không còn có thể được gửi đến hoặc xử lý bởi các máy chủ đặt tại Hoa Kỳ, quyết định này sẽ có tác động mạnh mẽ đến những người chơi kỹ thuật số, những người khổng lồ trong ngành và các doanh nghiệp vừa và nhỏ. Hơn 5 300 công ty bị ảnh hưởng và nhiều hợp đồng sẽ phải đàm phán lại.
Tin tức này sẽ buộc nhiều công ty phải xem xét lại bản sao của họ, bằng cách chuyển quá trình xử lý dữ liệu cá nhân về lãnh thổ châu Âu, để tuân thủ phán quyết của CJEU. Không chắc rằng tất cả đã sẵn sàng tham gia vào một dự án như vậy, vốn sẽ đòi hỏi những nhu cầu kỹ thuật và tài chính đáng kể, đặc biệt là trong bối cảnh kinh tế khó khăn sau bế tắc.
Một số cơ chế nhất định, được GDPR cho phép, có thể là một giải pháp dự phòng, chẳng hạn như “Các điều khoản hợp đồng tiêu chuẩn”. Đây là một hợp đồng mẫu do Ủy ban Châu Âu xác định, trên cơ sở từng trường hợp cụ thể, các công ty có thể dựa vào đó để thiết lập việc chuyển tiền của họ đến bất kỳ quốc gia nào.
Một lời cảnh tỉnh nghiêm túc cho CNIL châu Âu
CNIL của Châu Âu, một số trong số đó đôi khi đã lỏng lẻo trong việc áp dụng GDPR, giờ đây sẽ có nghĩa vụ đình chỉ, hoặc thậm chí cấm, bất kỳ việc chuyển giao dữ liệu nào, nếu nó không tuân thủ các điều kiện pháp lý được đề cập trong phán quyết của tòa án. Trong trường hợp không tuân thủ, các công ty có nguy cơ bị phạt 20 triệu euro và lên đến 4 % doanh thu toàn cầu của họ.
Tuy nhiên, thương mại giữa hai nước sẽ không dừng lại trong một sớm một chiều. Quyết định này sẽ không ảnh hưởng đến cái gọi là chuyển dữ liệu “cần thiết”, chẳng hạn như gửi e-mail hoặc đặt một chuyến đi trên đất Mỹ.
