Secţiuni » Arii de practică
BusinessAchiziţii publiceAfaceri transfrontaliereAsigurăriBankingConcurenţăConstrucţiiCorporateComercialCyberlawEnergieFiscalitateFuziuni & AchiziţiiGamblingHealth & PharmaInfrastructurăInsolvenţăMedia & publicitatePiaţa de capitalProprietate intelectualăTelecomTransporturi
ProtectiveData protectionDreptul familieiDreptul munciiDreptul sportuluiProtecţia consumatorilorProtecţia mediului
LitigationArbitrajContencios administrativContravenţiiDrept penalMediereProcedură civilăRecuperare creanţe
Materii principale: CyberlawDreptul Uniunii EuropeneDrept constituţionalDrept civilProcedură civilăDrept penalDreptul muncii
Afaceri transfrontaliere
CărţiProfesionişti
 

Întrebare preliminară cu privire la transferul datelor spre America, Facebook, securitatea națională și calea de atac efectivă. UPDATE: Hotărârea CJUE (invalidare decizie Comisie)
22.07.2020 | Mihaela MAZILU-BABEL

JURIDICE - In Law We Trust
Mihaela Mazilu-Babel

Mihaela Mazilu-Babel

22 iulie 2020: Curtea, Marea Cameră, declară:

1) Articolul 2 alineatele (1) și (2) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) trebuie interpretat în sensul că un transfer de date cu caracter personal efectuat în scopuri comerciale de un operator economic stabilit într‑un stat membru către un alt operator economic stabilit într‑o țară terță intră în domeniul de aplicare al acestui regulament, în pofida faptului că, în cursul sau în urma transferului menționat, datele respective sunt susceptibile de a fi prelucrate de autoritățile țării terțe în cauză în scopuri de siguranță publică, de apărare și de securitate a statului.

2) Articolul 46 alineatul (1) și articolul 46 alineatul (2) litera (c) din Regulamentul 2016/679 trebuie interpretate în sensul că garanțiile adecvate, drepturile opozabile și căile de atac eficiente prevăzute de aceste dispoziții trebuie să asigure că drepturile persoanelor ale căror date cu caracter personal sunt transferate către o țară terță în temeiul unor clauze standard de protecție a datelor beneficiază de un nivel de protecție în esență echivalent cu cel garantat în cadrul Uniunii Europene de regulamentul menționat, interpretat în lumina cartei. În acest scop, evaluarea nivelului de protecție asigurat în contextul unui astfel de transfer trebuie în special să ia în considerare atât stipulațiile contractuale convenite între operator sau persoana împuternicită de operator stabiliți în Uniunea Europeană și destinatarul transferului stabilit în țara terță în cauză, cât și, în ceea ce privește un eventual acces al autorităților publice ale acestei țări terțe la datele cu caracter personal astfel transferate, elementele relevante ale sistemului juridic al acesteia, în special cele prevăzute la articolul 45 alineatul (2) din regulamentul menționat.

3) Articolul 58 alineatul (2) literele (f) și (j) din Regulamentul 2016/679 trebuie interpretat în sensul că, cu excepția cazului în care există o decizie privind caracterul adecvat al nivelului de protecție adoptată în mod valabil de Comisia Europeană, autoritatea de supraveghere competentă este obligată să suspende sau să interzică un transfer de date către o țară terță întemeiat pe clauze standard de protecție a datelor adoptate de Comisie, atunci când această autoritate de supraveghere consideră, în lumina tuturor împrejurărilor proprii transferului menționat, că aceste clauze nu sunt sau nu pot fi respectate în țara terță respectivă și că protecția datelor transferate impusă de dreptul Uniunii, în special de articolele 45 și 46 din acest regulament și de Carta drepturilor fundamentale, nu poate fi asigurată prin alte mijloace, în cazul în care operatorul însuși sau persoana împuternicită de operator stabiliți în Uniune nu a suspendat ori nu a încetat transferul.

4) Analiza Deciziei 2010/87/UE a Comisiei din 5 februarie 2010 privind clauzele contractuale tip pentru transferul de date cu caracter personal către persoanele stabilite în țări terțe în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului, astfel cum a fost modificată prin Decizia de punere în aplicare (UE) 2016/2297 a Comisiei din 16 decembrie 2016, în raport cu articolele 7, 8 și 47 din Carta drepturilor fundamentale, nu a evidențiat niciun element de natură să afecteze validitatea acestei decizii.

5) Decizia de punere în aplicare (UE) 2016/1250 a Comisiei din 12 iulie 2016 în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA este nevalidă. (s.n. – M.M.-B.)

:: hotărârea CJUE

***

08 ianuarie 2020: Avocatul general propune (doar în engleză și franceză deocamdată):

L’analyse des questions préjudicielles n’a pas révélé d’élément de nature à affecter la validité de la décision 2010/87/UE de la Commission, du 5 février 2010, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous‑traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil, telle que modifiée par la décision d’exécution (UE) 2016/2297 de la Commission du 16 décembre 2016. (s.n. – M.M.-B.)

:: concluzii AG

***

18 iulie 2018: Judecătorul irlandez se întreabă, prin intermediul a 11 întrebări, cu privire la protecția datelor cu un caracter personal și Facebook (C-311/18. Facebook Ireland și Schrems).

Situația de fapt:
1. materii UE precizate:
1.1. Apropierea legislațiilor;
1.2. Protecția datelor;
1.3. Drepturi fundamentale;
– Carta drepturilor fundamentale;
– Convenția europeană a drepturilor omului;
2. avem o situație de fapt în care datele cu caracter personal:
2.1. sunt transferate de o societate privată dintr-un stat membru al Uniunii Europene (UE) către o societate privată dintr-o țară terță în scop comercial, în conformitate cu  „Decizia SCC”;
2.2. și pot fi prelucrate ulterior în țara terță de către autoritățile acesteia:
2.2.1. în scopuri de securitate națională,
2.2.2. dar și în scopul aplicării legii și al desfășurării afacerilor externe ale țării terțe;
3. necesitatea de a afla dacă dreptul Uniunii se aplică într-o atare situație sub anumite rezerve;
4. apoi, necesitatea de afla dacă pentru a se stabilit că există o încălcare a drepturilor unei persoane fizice prin transferul de date din Uniunea Europeană către o țară terță în temeiul Deciziei SCC, unde pot fi prelucrate ulterior în scopuri de securitate națională, elementul de comparație relevant în sensul directivei este:
4.1. Carta, TUE, TFUE, directiva, CEDO (sau orice alte prevederi ale dreptului Uniunii Europene); sau
4.2. Dreptul intern al unuia sau al mai multor state membre
4. în ipoteza în care elementul de comparație relevant este dreptul intern al unuia sau al mai multor state membre, necesitatea de a afla dacă prin elementele de comparație ar trebui incluse și uzanțele din unul sau mai multe state membre în contextul securității naționale
5. totodată, necesitatea de a afla dacă atunci când instanța va aprecia dacă o țară terță asigură nivelul de protecție impus de dreptul Uniunii Europene pentru datele cu caracter personal transferate către respectiva țară în sensul articolului 26 din directivă, nivelul de protecție în țara terță trebuie să fie evaluat în raport cu:
5.1. Normele aplicabile în țara terță, rezultate din dreptul său intern sau din acordurile internaționale și practica menită să asigure conformitatea cu aceste norme, inclusiv normele profesionale și măsurile de securitate respectate în țara terță;
sau
5.2. Normele menționate la punctul 5.1, împreună cu practicile administrative, de reglementare și de conformitate și cu garanțiile, procedurile, protocoalele, mecanismele de supraveghere și remediile non-juridice așa cum sunt în vigoare în țara terță.
6. necesitatea de a afla, prin raportare la faptele constatate de instanța de trimitere în legătură cu dreptul Statelor Unite:
6.1. dacă se încalcă drepturile persoanelor fizice prevăzute la articolele 7 și/sau 8 din cartă în cazul în care se transferă date cu caracter personal din Uniunea Europeană către Statele Unite în temeiul Deciziei SCC
6.2. apoi, dacă datele cu caracter personal sunt transferate din Uniunea Europeană către Statele Unite în temeiul Deciziei SCC, dacă:
6.2.1. Nivelul de protecție acordat de Statele Unite respectă esența dreptului unei persoane fizice de a introduce o acțiune în justiție în cazul încălcării drepturilor sale în materie de confidențialitatea datelor
6.2.2. și dacă da, dacă limitările impuse de dreptul Statelor Unite cu privire la dreptul unei persoane fizice de a introduce o acțiune în justiție în contextul securității naționale a Statelor Unite:
6.2.2.1. sunt proporționale
6.2.2.2. și nu depășesc ceea ce este necesar într-o societate democratică în scopuri de securitate națională
7. mai precis, necesitatea de a afla:
7.1. care este nivelul de protecție care se impune să fie acordat datelor cu caracter personal transferate către o țară terță în temeiul clauzelor contractuale standard adoptate în conformitate cu o decizie a Comisiei
7.2. și care sunt aspectele care trebuie luate în considerare pentru a se aprecia dacă nivelul de protecție acordat datelor transferate către o țară terță în temeiul Deciziei SSC satisface cerințele impuse de dreptul UE incident
8. de asemenea, necesitatea de a afla dacă aspectul că respectivele clauze contractuale standard se aplică între exportatorul de date și importatorul de date – și nu obligă autoritățile naționale ale unei țări terțe care poate solicita importatorului de date să pună la dispoziția serviciilor sale de securitate, pentru prelucrare ulterioară, datele cu caracter personal transferate în temeiul clauzelor prevăzute de Decizia SCC – împiedică clauzele să ofere garanții suficiente;
9. apoi, în ipoteza în care un importator de date dintr-o țară terță face obiectul unor legi de supraveghere care, din punctul de vedere al autorității de protecție a datelor sunt contrare prevederilor Anexei la Decizia SCC sau celor ale articolului 25 sau ale articolului 26 din directivă și/sau cartei, necesitatea de a afla dacă autoritatea de protecția datelor:
9.1. are obligația de a utiliza competențele sale executorii pentru a suspenda transferul de date
9.2. sau exercitarea unor astfel de competențe este limitată doar la cazuri excepționale,
9.3. ori autoritatea de protecție a datelor poate face uz de marja sa de apreciere pentru a nu suspenda transferul de date
10. în plus, necesitatea de a afla dacă Decizia privind Scutul de confidențialitate reprezintă o apreciere de aplicare generală obligatorie pentru autoritățile de protecție a datelor și pentru instanțele statelor membre, având ca efect că Statele Unite asigură un nivel adecvat de protecție;
11. dacă nu, necesitatea de a afla care este relevanța, dacă există una, Deciziei privind Scutul de confidențialitate în aprecierea efectuată cu privire la caracterul adecvat al garanțiilor furnizate pentru transferul de date către Statele Unite, transferate în temeiul Deciziei SCC;
12. avându-se în vedere deja constatările realizate de instanța de trimitere cu privire la dreptul Statelor Unite, necesitatea de a se mai afla dacă existența Ombudsmanului pentru Scutul de confidențialitate, coroborată cu regimul existent în Statele Unite garantează că Statele Unite asigură o cale de atac persoanelor vizate ale căror date cu caracter personal sunt transferate către Statele Unite în temeiul Deciziei SCC, în conformitate cu cerințele impuse de dreptul UE;
13. in fine, necesitatea de a se afla dacă Decizia SCC e în conformitate cu câteva dispoziții din Carta DFUE.

Dispozițiile de drept UE ce ar fi incidente și care sunt redate în ordinea invocării lor:
1. Decizia 2010/87/UE, astfel cum a fost modificată prin Decizia 2016/2297 (‘Decizia SCC’);
2. Articolul 4 alineatul (2) TUE privind securitatea națională și articolul 3 alineatul (2) prima liniuță din Directiva 95/46/CE;
3. Articolul 26 alineatul (2) din Directiva 95/46/CE;
4. Articolul 28 alineatul (3) din Directiva 95/46/CE citit în lumina considerentului (11) al Deciziei 2010/87/UE;
5. Articolul25 alineatul (6) din directiva 95/46/CE;
6. Decizia (UE) 2016/1250 („Decizia privind Scutul de confidențialitateˮ);
7. Articolul 25 alineatul (2) din Directiva 95/46/CE;
8. Articolele 7, 8 și/sau 47 din Carta DFUE (cu explicațiile aferente).

dr. Mihaela Mazilu-Babel

PLATINUM+
PLATINUM Signature       

PLATINUM  ACADEMIC

GOLD                                

VIDEO STANDARD
Aflaţi mai mult despre , ,

Puteţi publica şi dumneavoastră pe JURIDICE.ro. Publicăm chiar şi opinii cu care nu suntem de acord. Vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici.
JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului.

Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa redactie@juridice.ro!












Securitatea electronică este importantă pentru avocaţi
 Mesaj de conştientizare susţinut de FORTINET
JURIDICE utilizează şi recomandă SmartBill

Lex Discipulo Laus

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.