如果不遵守规定,商务部有权将某些公司从名单中删除。欧洲公司仍然可以使用退市公司的服务,但将不再能够使用DPF来规范数据传输。然后,他们将必须采取其他保障措施,例如标准合同条款或代理等匿名化机制,以提供与欧盟国民相同程度的数据保护。
如果您的解决方案的发布者在 DPF 列表中,它可能会接收和处理欧洲人的个人数据。此工具的使用不再需要实施其他适当的转移担保。
例如,谷歌最初于 2016 年 9 月 22 日获得隐私护盾认证,现宣布新的认证日期为 2023 年 9 月 14 日。
获得认证的公司必须明确认证的范围。例如,谷歌表示,其认证涵盖了 Google LLC 及其 印度 WhatsApp 号码数据 所有美国全资子公司的活动。此认证涵盖所有 Google 工具:Google Analytics、Google Workplace 等。
Adobe 最初于 2017 年 6 月 6 日获得认证,并宣布将于 2023 年 11 月 10 日获得适用于所有数据处理的认证,特别是为了提供在线产品和服务以及开展客户支持活动而进行的数据处理。
相反,如果发布解决方案的公司不在DPF名单上,则需要监督数据的传输,例如通过签署标准合同条款。
除了实施适当的保障措施外,宣布隐私护盾无效的决定还要求欧洲公司分析数据接收国的立法,以确保对数据提供足够的保护。
有了 DPF,在 DPF 框架内进行的数据传输不再需要这种事先分析。使用其他转让担保的公司可以利用欧盟委员会的结论来简化其分析。事实上,美国政府在国家安全领域制定的保障(包括追索机制)适用于所有转移到美国的数据,无论使用何种传输工具。