Secţiuni » Arii de practică
BusinessAchiziţii publiceAfaceri transfrontaliereAsigurăriBankingConcurenţăConstrucţiiCorporateComercialCyberlawEnergieFiscalitateFuziuni & AchiziţiiGamblingHealth & PharmaInfrastructurăInsolvenţăMedia & publicitatePiaţa de capitalProprietate intelectualăTelecomTransporturi
ProtectiveData protectionDreptul familieiDreptul munciiDreptul sportuluiProtecţia consumatorilorProtecţia mediului
LitigationArbitrajContencios administrativContravenţiiDrept penalMediereProcedură civilăRecuperare creanţe
Materii principale: CyberlawDreptul Uniunii EuropeneDrept constituţionalDrept civilProcedură civilăDrept penalDreptul muncii
Dreptul Uniunii Europene
DezbateriCărţiProfesionişti
 
PLATINUM+ PLATINUM Signature     

PLATINUM ACADEMIC
GOLD                       

VIDEO STANDARD
BASIC





Aplicarea RGPD în afara granițelor europene
03.05.2018 | Mihai IOACHIMESCU-VOINEA

JURIDICE - In Law We Trust
Mihai Ioachimescu-Voinea

Mihai Ioachimescu-Voinea

1. Este cunoscut deja că Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (Regulamentul) asigură libera circulație a datelor cu caracter personal în interiorul granițelor UE.

2. Acest principiu este dat de dispozițiile art. 1 alin. (3) din Regulament:

„(3) Libera circulație a datelor cu caracter personal în interiorul Uniunii nu poate fi restricționată sau interzisă din motive legate de protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.”

3. Măsura reglementată în cadrul art. 1 din Regulament, exprimă la nivelul legislației secundare europene principiul liberei circulații a datelor cu caracter personal prevăzut la art. 39 din Tratatul privind Uniunea Europeană și art. 16 din Tratatul privind funcționarea Uniunii Europene.

4. Întrucât aplicarea prevederilor RGPD în afara granițelor Uniunii Europene reprezintă o excepție de la domeniul de aplicare teritorial reglementat expressis verbis la art. 3 din Regulament, vom porni în analiza pe care o vom efectua de la această din urmă reglementare. Astfel, excepția de la aplicarea teritorială a dispozițiilor RGPD extinde aplicarea prevederilor și în ceea ce privește transferurile externe de date personale, „pentru a se asigura că nivelul de protecție a persoanelor fizice garantat prin prezentul regulament nu este subminat”. Vom dezvolta această excepție în analiza pe care o vom efectua asupra dispozițiilor art. 44 din Regulament.

I. Ratione loci

5. Așa cum indică marginalul articolului, prevederile art. 3 din Regulamentul (UE) 2016/679 reglementează domeniul de aplicare teritorial al Regulamentului. Potrivit acestora:

„(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii.

(2) Prezentul regulament se aplică prelucrării datelor cu caracter personal ale unor persoane vizate care se află în uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activitățile de prelucrare sunt legate de:

a) oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăți de către persoana vizată; sau

b) monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.

(3) Prezentul regulament se aplică prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern[1] se aplică în temeiul dreptului internațional public.”

6. Referitor la primul alineat al art. 3, observăm că prin noua reglementare, legiuitorul Uniunii Europene a clarificat prin norma edictată aspecte ce în trecut au făcut obiectul dezbaterii în fața Curții de Justiție a Uniunii Europene. Se observă o diferență esențială față de conținutul art. 4 alin. (1) lit. a) din Directiva 95/46/CE, care dispunea că „fiecare stat membru aplică dispozițiile de drept intern pe care le adoptă în temeiul prezentei directive pentru prelucrarea datelor cu caracter personal atunci când prelucrarea este efectuată în cadrul activităților operatorului cu sediul pe teritoriul statului membru”. Această diferență constă prin specificarea expresă a faptului că dispozițiile Regulamentului se aplică „indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii”. Noul act legislativ a luat în considerare interpretarea furnizată de Curtea de Justiție a Uniunii Europene în cauza Google Spain și Google, cauza C-131/12, EU:C:2014:317 și divergențele izvorâte ca urmare a normării pe alocuri lacunare din trecut.

7. Prin hotărârea pronunțată, Curtea de Justiție a Uniunii Europene a statuat la considerentul 55 că „prelucrarea datelor cu caracter personal care este efectuată pentru nevoile funcționării unui motor de căutare precum Google Search, care este operat de o întreprindere stabilită întrun stat terț, dar care dispune de un sediu întrun stat membru, este efectuată n cadrul activităților> sediului respectiv în cazul în care acesta este destinat să asigure în acel stat membru promovarea și vânzarea spațiului publicitar oferit de motorul de căutare, care servesc la rentabilizarea serviciului oferit de motorul amintit”. Or, o astfel de raționare nu mai este necesară în prezent, câtă vreme alineatul întâi al articolului 3 din Regulament prevede în mod expres faptul că aplicarea dispozițiilor Regulamentului (UE) 2016/679 are loc chiar în condițiile în care prelucrarea este efectuată în afara teritoriului Uniunii (vezi și considerentul 22 din Regulament).

8. Cu privire la alineatul doi al articolului 3, acesta stabilește domeniul de aplicare teritorială al Regulamentului (UE) 2016/679 în funcție de locația persoanelor vizate. Anume, câtă vreme persoanele vizate se află în Uniune, devin incidente prevederile RGPD, operatorii, persoanele împuternicite de operatori și reprezentantul numit al acestora fiind obligați să respecte aceste prevederi. Cele două cazuri reglementate la alineatul 2 al art. 3 trebuie analizate prin prisma obiectivelor stabilite în considerentele Regulamentului (UE) 2016/679. Așadar în Considerentul (2) al Regulamentului vom observa că unul dintre obiective se referă la protejarea spațiului de libertate, securitate și justiție și a uniunii economice, realizarea progresului economic și social, consolidarea și convergența economiilor în cadrul pieței interne și la bunăstarea persoanelor fizice. Acest obiectiv este atins prin aplicarea prevederilor de la art. 3 alin. (2) lit. a) din Regulamentul (UE) 2016/679, ce reține aplicabilitatea Regulamentului în cazul în care entități din afara UE prelucrează date cu caracter personal de la persoane ce se află în interiorul UE, atunci când activitățile de prelucrare sunt legate de oferirea de bunuri sau servicii unor astfel de persoane vizate. În acest sens, dispozițiile art. 3 alin. (2) lit. a) din Regulament asigură protecția datelor personale ale persoanelor vizate – consumatori, și totodată garantează faptul că entități din afara UE nu vor putea eluda condițiile impuse de RGPD în ceea ce privește prelucrarea datelor, și nu vor fi avantajate în raport cu entitățile europene atunci când accesează piața europeană, asigurându-se așadar obiectivul privind protejarea spațiului de justiție și progresul economic și social prin convergența economiilor în cadrul pieței interne.

9. Cel de-al doilea caz în care prevederile Regulamentului operează atunci când persoanele vizate se află pe teritoriul Uniunii, se referă la ipoteza în care activitățile de prelucrare sunt legate de monitorizarea comportamentului lor, dacă acesta se manifestă în cadrul Uniunii și este reglementat la art. 3 alin. (2) lit. b) din Regulament.

10. Scopul acestei dispoziții este exprimat în Considerentele (6) și (7) a Regulamentului. Potrivit acestora „evoluțiile tehnologice rapide și globalizarea au provocat noi provocări pentru protecția datelor cu caracter personal” iar „amploarea colectării și a schimbului de date cu caracter personal a crescut în mod semnificativ” fapt pentru care „aceste evoluții impun un cadru solid și mai coerent în materie de protecție a datelor în Uniune […] luând în considerare importanța creării unui climat de încredere care va permite economiei digitale să se dezvolte pe piața internă”. Trebuie adăugat că monitorizarea comportamentelor pe scară largă poate avea un efect vădit dăunător libertății, integrității și justiției europene. Asta întrucât prin colectarea datelor, crearea unor profiluri psihologice, aplicarea unor algoritmi ce se bazează pe tehnici de manipulare / influențare psihologică și implementarea ulterioară a rezultatului acestora prin upload-area în spațiul on-line de conținuturi de informație atent îndreptate pentru a atinge susceptibilitatea oamenilor, pot conduce către schimbarea opiniei maselor. Recent, în scandalul Cambridge Analytica (companie implicată și în campania Brexit, și în campania de alegeri prezidențiale pentru Donald Trump) Christopher Wylie (fost angajat al companiei) a denunțat aceste practici ce stateau la baza activității companiei, care în opinia lui au condus către influențarea rezultatelor alegerilor. Așadar, ne putem aștepta ca prevederile Regulamentului (UE) 2016/679 să aibă implicări mai serioase și mai ridicate decât cele întrevăzute inițial.

11. În fine, în cazul în care normele de drept internațional public indică ca fiind incidentă legislația unuia sau sau mai multor dintre cele 28 de State Membre, Regulamentul (UE) 2016/679 va fi aplicabil chiar dacă operatorul nu este stabilit în Uniune, conform dispozițiilor art. 3 alin. (3) din Regulament.

II. Aplicarea RGPD în momentul transferurilor de date către țări terțe sau organizații internaționale

12. Capitolul V din Regulamentul (UE) 2016/679 cuprinde articolele 44 – 50 ce reglementează condițiile în care se pot realiza transferurile de date cu caracter personal către țări terțe sau organizații internaționale.

13. Dispozițiile art. 44 din Regulament prevăd următoarele:

Orice date cu caracter personal care fac obiectul prelucrării sau care urmează a fi prelucrate după ce sunt transferate într-o țară sau către o organizație internațională pot fi transferate doar dacă, sub rezerva celorlalte dispoziții ale prezentului regulament, condițiile prevăzute în prezentul capitol sunt respectate de operator și de persoana împuternicită de operator, inclusiv în ceea ce privește transferurile ulterioare de date cu caracter personal din țara terță sau de la organizația internațională către o altă țară terță sau către o altă organizație internațională. Toate dispozițiile din prezentul capitol se aplică pentru a se asigura că nivelul de protecție a persoanelor fizice garantat prin prezentul regulament nu este subminat.

14. Trebuie observat că articolul de mai sus constituie în fapt o excepție de la domeniile de aplicare a Regulamentului (UE) 2016/679 rationae materiae și rationae loci, stipulate la articolele 2 și 3 din Regulament. Astfel, nu se va mai ține cont de limitările de materie și de loc în ceea ce privește prelucrarea datelor cu caracter personal, pentru a atrage incidența dispozițiilor Regulamentului, în condițiile în care datele cu caracter personal urmează să facă obiectul unui transfer în afara granițelor UE. Aceasta întrucât legiuitorul UE folosește sintagma „orice date cu caracter personal”, ceea ce indiscutabil deplinătatea și totalitatea unor astfel de date. A fortiori, desăvârșirea instituită de legiuitor cu privire la aplicabilitatea RGPD în momentul transferului de date în afara UE izvorăște din formularea utilizată la art. 44 din Regulament, fiind prevăzut faptul că vor fi supuse aplicării principiului general al transferului „orice date cu caracter personal care fac obiectul prelucrării sau care urmează a fi prelucrate după ce sunt transferate într-o țară terță sau către o organizație internațională […]”. Or, pornind de la definiția de „prelucrare” – ce înseamnă a fi orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, stocarea ș.a.m.d., această formulare pare a fi redundantă. Este greu de imaginat cum datele ar putea fi transferate fără a fi mai întâi colectate și / sau stocate. Cu toate acestea, opinez că legiuitorul UE a vrut să sublinieze importanța plenitudinii aplicare a RGPD în astfel de cazuri, și să includă în această reglementare orice ipoteză în care o tehnologie viitoare ar putea să colecteze datele personale fără ca acestea să fie prelucrate în înțelesul art. 4 pct. 2 din Regulament.

15. Totodată trebuie observat că normele de la art. 44 – 55 din Regulament sunt suplimentare, în sensul în care acestea se vor adauga celorlalte condiții prevăzute de RGPD în cazul în care datele vor fi transferate către o țară terță sau organizație internațională.

16. În ceea ce privește condițiile în care se pot efectua astfel de transferuri, Regulamentul (UE) 2016/679 reglementează următoarele 4 ipoteze ilustrate mai jos:

17. Fără a intra în amănuntul fiecăreia, voi puncta în cele ce urmează câteva dintre elementele ce trebuie considerate în cazurile enumerate mai sus.

A. Transferuri în temeiul unei decizii privind caracterul adecvat al nivelului de protecție

18. Transferul de date cu caracter personal către o țară terță sau o organizație internațională poate fi realizat atunci când Comisia Europeană a decis că țara terță, un teritoriu sau mai multe sectoare specificate din acea țară terță sau organizație internațională în cauză asigură un nivel de protecție adecvat. În continuare, potrivit art. 45 alin. (1) din Regulament, transferurile realizate în aceste condiții nu necesită autorizări speciale.

19. Atât condițiile luării unei astfel de decizii, cât și evaluarea continuă și modul de abrogare, modificare sau suspendare a unei astfel de decizii în cazul în care țara terță sau organizația internațională nu mai asigură un nivel de protecție adecvat, sunt reglementate la art. 45 din Regulament.

20. Important de precizat este faptul că până în prezent Comisia Europeană a recunoscut Andora, Argentina, Canada, Insulele Faroe, Guernsey, Israel, Isle of Man, Jerzey, Noua Zeelandă, Elveția, Uruguay și Statele Unite ale Americii (limitat la decizia privind cadrul de reglementare „Privacy Shield”) ca reprezentând state ce asigură un nivel adecvat de protecție. Mai multe informații pot fi regăsite accesând site-ul Comisiei Europene.

B. Transferuri în baza unor garanții adecvate

21. Potrivit alineatului întâi al articolului 46 din Regulament, operatorul sau persoana împuternicită de operator poate transfera date cu caracter personal către o țară terță sau o organizație internațională numai dacă operatorul sau persoana împuternicită de operator a oferit garanții adecvate și cu condiția să existe drepturi opozabile și căi de atac eficiente.

22. Garanțiile adecvate pot consta în:

a) Un instrument obligatoriu din punct de vedere juridic și executoriu între autoritățile sau organismele publice (i.e. existența unei legi, regulament, standard sau alt act obligatoriu și cu efecte juridice adoptat de statul terț care să oblige la respectarea drepturilor și garanțiilor prevăzute de Regulamentul (UE) 2016/679);

b) Reguli corporatiste obligatorii în conformitate cu art. 47 (le vom trata la pct. C);

c) Clauze standard de protecție a datelor adoptate de Comisie în conformitate cu procedura de examinare menționată la articolul 93 alin. (2) (Există modele de clauze adoptate prin decizie de către Comisia Europeană pentru transferul datelor în acord cu Directiva 95/46/CE. Acestea se pot regăsi accesând următorul link);

d) Clauze standard de protecție a datelor adoptate de o autoritate de supraveghere și aprobate de Comisie în conformitate cu procedura de examinare menționată la articolul 93 alin. (2);

e) Un cod de conduită aprobat în conformitate cu articolul 40, însoțit de un angajament obligatoriu și executoriu din partea operatorului sau a persoanei împuternicite de operator din țara terță de a aplica garanții adecvate, inclusiv cu privire la drepturile persoanelor vizate; sau (Asociațiile și alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot pregăti coduri de conduită obligatorii la care să poată adera operatorii și care să fie supuse monitorizării unor organisme acreditate);

f) Un mecanism de certificare aprobat în conformitate cu articolul 42, însoțit de un angajament obligatoriu și executoriu din partea operatorului sau a persoanei împuternicite de operator din țara terță de a aplica garanții adecvate, inclusiv cu privire la drepturile persoanelor vizate. (Organismele de certificare pot acorda în temeiul unui o certificare și pot institui sigilii sau mărci pentru a demonstra existența unor garanții adecvate și respectarea unor reguli stricte în ceea ce privește prelucrarea datelor cu caracter personal. O astfel de certificare este ISO/IEC 27000).

23. Totodată Autoritatea de supraveghere competentă poate decide că reprezintă o garanție adecvată, în mod nelimitativ, următoarele:

a) Clauze contractuale între operator sau persoana împuternicită de operator și operatorul, persoana împuternicită de operator sau destinatarul datelor cu caracter personal din țara terță sau organizația internațională;

b) Dispoziții care urmează să fie incluse în acordurile administrative dintre autoritățile sau organismele publice, care includ drepturi opozabile și efective pentru persoanele vizate.

C. Transferuri în condițiile existenței unor reguli corporatiste obligatorii

24. Potrivit art. 47 alin. (1) din Regulament, autoritatea de supraveghere competentă aprobă reguli corporatiste obligatorii, cu condiția ca acestea:

a) Să fie obligatorii din punct de vedere juridic și să se aplice fiecărui membru vizat al grupului de întreprinderi sau al grupului de întreprinderi implicate într-o activitate economică comună, inclusiv angajaților acestuia, precum și să fie puse în aplicare de membrii în cauză;

b) Să confere, în mod expres, drepturi opozabile persoanelor vizate în ceea ce privește prelucrarea datelor lor cu caracter personal; și

c) Să îndeplinească cerințele prevăzute la alineatul 2).

25. În continuare, alineatul doi al articolului 47 enumeră în mod nelimitativ condițiile minime ce ar trebui cuprinse în astfel de coduri de conduită. Practic, seria de condiții ce ar trebui cuprinse în astfel de reguli se referă la necesitatea respectării drepturilor persoanelor vizate precum și asumarea obligațiilor ce revin operatorilor în conformitate cu RGPD. Important de precizat este că astfel de reguli pot fi implementate prin Regulamentul de Organizare și Funcționare și Regulamentul de Ordine Interioară ale unor comercianți, prin Standarde de securitate și prin Ghiduri de securitate adoptate la nivel de conducere și implementate în cadrul politicilor companiei.

D. Derogări pentru situații specifice

26. În absența oricărora dintre ipotezele de mai sus, potrivit dispozițiilor art. 49 din Regulament, un transfer sau un set de transferuri de date cu caracter personal către o țară terță sau o organizație internațională poate avea loc numai în una dintre condițiile următoare:

a) Persoana vizată și-a exprimat în mod explicit acordul cu privire la transferul propus, după ce a fost informată asupra posibilelor riscuri pe care astfel de transferuri le pot implica pentru persoana vizată ca urmare a lipsei unei decizii privind caracterul adecvat al nivelului de protecție și a unor garanții adecvate;

b) Transferul este necesar pentru executarea unui contract între persoana vizată și operator sau pentru aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate;

c) Transferul este necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator și o altă persoană fizică sau juridică;

d) Transferul este necesar din considerente importante de interes public;

e) Transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în instanță;

f) Transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altor persoane, atunci când persoana vizată nu are capacitatea fizică sau juridică de a-și exprima acordul;

g) Transferul se realizează dintr-un registru care, potrivit dreptului Uniunii sau al dreptului intern, are scopul de a furniza informații publicului și care poate fi consultat fie de public în general, fie de orice persoană care poate face dovada unui interes legitim, dar numai în măsura în care sunt îndeplinite condițiile cu privire la consultare prevăzute de dreptul Uniunii sau de dreptul intern în acel caz specific.

27. O ultimă excepție este reglementată în paragraful doi al alineatului întâi, și se referă la situația în care transferul către țări terțe sau organizații internaționale nu ar fi repetitiv și s-ar referi doar la un număr limitat de persoane vizate, fiind necesar în scopul realizării intereselor legitime majore urmărite de operator asupra căruia nu prevalează interesele sau drepturile și libertățile persoanei vizate.

28. Observăm așadar că posibilitățile transferurilor de date în afara granițelor UE sunt destul de numeroase și de variate, aspectul cardinal fiind acela al respectării drepturilor și obligațiilor impuse de RGPD. Prin aceasta, Uniunea Europeană menține relațiile internaționale comerciale, economice și sociale cu statele terțe, relații ce îmbracă din ce în ce mai mult un caracter digital, asigurându-se totodată că drepturile și libertățile europenilor în ceea ce privește protecția datelor personale sunt respectate.


[1] Dreptul intern al unui Stat membru al Uniunii Europene.


Avocat Mihai Ioachimescu-Voinea


Aflaţi mai mult despre , , , ,

Puteţi publica şi dumneavoastră pe JURIDICE.ro. Publicăm chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa redactie@juridice.ro!







JURIDICE utilizează şi recomandă SmartBill JURIDICE gratuit pentru studenţi

Securitatea electronică este importantă pentru avocaţi [Mesaj de conştientizare susţinut de FORTINET]




Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.