- Việc chuyển dữ liệu cá nhân giữa EU và Mỹ cho đến nay vẫn được duy trì trên tiền đề rằng Mỹ có cơ quan giám sát độc lập, nhưng phán quyết Trump v. Slaughter của Tòa án Tối cao Mỹ đã làm lung lay giả định về tính độc lập của FTC
- Luật điều ước của EU yêu cầu việc giám sát bảo vệ dữ liệu cá nhân phải do cơ quan độc lập đảm nhiệm, và EU-US Data Privacy Framework năm 2023 cũng lấy FTC làm căn cứ cốt lõi
- Vì Safe Harbour và Privacy Shield đã bị vô hiệu hóa trong Schrems I·II, noyb cho rằng khuôn khổ mới năm 2023 lặp lại cùng những điểm yếu đó
- Trước mắt, không phải mọi hoạt động chuyển dữ liệu sẽ bị dừng ngay; quyết định hiện tại vẫn có hiệu lực về mặt hình thức cho đến khi European Commission rút lại hoặc CJEU vô hiệu hóa
- Các doanh nghiệp dùng SCCs·BCRs cũng có thể phải xem lại đánh giá tác động vốn dựa vào tính độc lập của các cơ quan giám sát·cứu trợ của Mỹ, và noyb yêu cầu rút lại thỏa thuận dữ liệu EU-Mỹ
Tính độc lập suy yếu của FTC làm lung lay cơ chế chuyển dữ liệu EU-Mỹ
- Tòa án Tối cao Mỹ trong vụ Trump v. Slaughter đã đưa ra nhận định rằng FTC có thể không còn độc lập nữa
- Từ năm 2000, EU đã dựa vào FTC độc lập làm cơ sở thực thi cho các thỏa thuận chuyển dữ liệu cá nhân EU-Mỹ
- Theo luật điều ước của EU, việc giám sát bảo vệ dữ liệu cá nhân phải do cơ quan độc lập đảm nhiệm
- Căn cứ là Article 16(2) TFEU và Article 8(3) of the Charter of Fundamental Rights
- Để một nước thứ ba được nhận dữ liệu cá nhân chuyển tự do từ EU, nước đó phải cung cấp mức bảo vệ về bản chất là tương đương
- Trong EU-US Data Privacy Framework năm 2023, European Commission đã viện dẫn FTC 259 lần làm căn cứ
- noyb và Max Schrems yêu cầu European Commission rút lại quyết định công nhận mức độ bảo vệ tương xứng đối với Mỹ một cách có trật tự, với lý do Mỹ không còn cơ quan giám sát độc lập
Những lần vô hiệu hóa lặp lại và điểm yếu của thỏa thuận mới năm 2023
- Từ năm 1995, EU nhìn chung đã cấm xuất khẩu dữ liệu cá nhân sang nước thứ ba nhằm ngăn việc lách các quy tắc dữ liệu cá nhân của EU
- Có ngoại lệ cho các hoạt động chuyển dữ liệu cần thiết, như đặt phòng khách sạn hoặc các giao dịch phức tạp
- Nhiều doanh nghiệp EU đã thuê ngoài việc xử lý dữ liệu cá nhân cho các nhà cung cấp cloud của Mỹ
- Từ năm 2000, European Commission nhiều lần công nhận Mỹ là quốc gia “tương xứng” về bảo vệ dữ liệu cá nhân, cho phép luồng dữ liệu tự do giữa EU và Mỹ
- CJEU đã vô hiệu hóa Safe Harbour trong Schrems I
- CJEU đã vô hiệu hóa Privacy Shield trong Schrems II
- Lý do cốt lõi là luật giám sát của Mỹ và tình trạng thiếu phương tiện cứu trợ tư pháp tại Mỹ
- CJEU cho rằng ngay cả trong các vấn đề giám sát của chính phủ cũng cần có cơ chế cứu trợ pháp lý độc lập
- Chính quyền Biden đã lập Data Protection Review Court
- Trái với tên gọi, cơ quan này là một cơ quan hành pháp nằm trong Bộ Tư pháp Mỹ
- Tính độc lập của cơ quan này phụ thuộc vào Executive Order của Biden, có thể bị Trump thay đổi bất cứ lúc nào và không ràng buộc Tổng thống
- Phán quyết Slaughter được xem là một trường hợp đảo ngược 180 độ so với án lệ trước đây, khi cho rằng tính độc lập của FTC là vi hiến
- Điều này đi theo unitary executive theory, cho rằng Tổng thống Mỹ phải kiểm soát mọi cơ quan hành pháp của Mỹ
- Đây là cấu trúc xem các luật của Mỹ tạo ra nhiều cơ quan độc lập là vi hiến
Hiệu lực trước mắt và những điểm doanh nghiệp cần xem lại
- Tác động không phải là vô hạn
- Quyết định của European Commission vẫn có hiệu lực về mặt hình thức cho đến khi Commission rút lại hoặc CJEU vô hiệu hóa
- Vì vậy không có hiệu lực pháp lý tức thì
- GDPR chỉ điều chỉnh việc chuyển dữ liệu cá nhân; dữ liệu phi cá nhân vẫn có thể lưu chuyển tự do
- Article 49 GDPR cho phép các hoạt động chuyển dữ liệu cần thiết sang nước thứ ba, nhưng không cho phép việc offshore có tính cấu trúc ra ngoài EU nếu không thật sự cần thiết
- SCCs và BCRs cũng có thể bị ảnh hưởng
- Một số doanh nghiệp về hình thức dùng SCCs hoặc BCRs thay cho EU-US Framework
- Ngay cả trong trường hợp này, thường vẫn cần đánh giá tác động, và đánh giá đó dựa vào tính độc lập của các cơ quan hành pháp Mỹ như PCLOB hoặc Data Protection Review Court
- Các controller không dựa vào formal Commission Decision phải cập nhật đánh giá ngay lập tức
- noyb đã gửi thư chính thức tới European Commission, yêu cầu rút lại thỏa thuận dữ liệu EU-Mỹ một cách có trật tự
- Nhiều quốc gia thành viên EU đã chuyển sang cách tiếp cận “digital sovereignty” và công bố tách khỏi các nhà cung cấp dịch vụ của Mỹ
- Một số nhà cung cấp dịch vụ Mỹ cũng đang thúc đẩy xử lý dữ liệu riêng tại EU
- noyb dự định khởi kiện trong vài tuần tới để CJEU có thể vô hiệu hóa thỏa thuận hiện tại
- Những vụ kiện như vậy thường mất 2–3 năm mới có quyết định cuối cùng
1 bình luận
Ý kiến trên Lobste.rs
Đây là điều tốt. EU và phần còn lại của thế giới sẽ noi theo tiền lệ này không nên phụ thuộc như vậy vào một quốc gia bất hảo luôn khăng khăng rằng thẩm quyền của mình là tối thượng và không còn đối xử với các quốc gia hay chính phủ khác như những bên bình đẳng
Tôi tức giận về phán quyết của Tòa án Tối cao Liên bang Mỹ này, nhưng phần tóm tắt này hơi cường điệu. Vì ngay từ đầu, những cơ quan được gọi là “độc lập” đó chưa bao giờ thực sự độc lập đến mức đặc biệt nào
Có lẽ tác giả đã bị cách diễn đạt thông dụng đánh lừa nên ngay từ đầu đã hiểu sai bản chất của chúng. Tôi không nghĩ ra được phản biện nào trong thực tiễn đối với FTC Mỹ sau Slaughter mà lại không áp dụng y hệt cho thời trước Slaughter
Nếu có khác biệt thì chỉ là bề ngoài chăng? Và liệu chỉ riêng thay đổi về bề ngoài đó có đủ để EU hành động không? Nếu vậy thì tốt, nhưng tôi không cho rằng phán quyết lần này đã thực chất làm thay đổi đáng kể tính “độc lập” của các cơ quan quản lý Mỹ. Vì ngay từ đầu đã không có thứ độc lập đó
Sự phẫn nộ của tôi không liên quan đến tác động đối với tính độc lập giả tạo của các cơ quan, mà là một vấn đề pháp lý tinh vi hơn, và cũng hơi lệch khỏi chủ đề của bài này cũng như Lobsters nói chung
Ý chính của bài viết này là Ủy ban châu Âu đã dùng hư cấu rằng các cơ quan này đủ độc lập để biện minh cho việc chuyển dữ liệu cá nhân sang Mỹ