TOP LEGAL
Înregistrările video sunt accesibile pentru membri şi parteneri. Cheltuială deductibilă fiscal. Reducere 39,6 euro pentru avocaţii din barourile Bucureşti, Ilfov, Dolj, Timiş, Prahova şi Sibiu. Se acordă 20 de puncte de pregătire profesională. UNBR încurajează extinderea naţională, detalii aici. Reducere 19,8 euro pentru executorii Camerei Executorilor Bucureşti, membrii UNELM şi notarii Camerei Notarilor Publici Bucureşti.
Abonare newsletter oficial JURIDICE.ro

Print Friendly, PDF & Email

Transferul de date cu caracter personal către operatori din afara UE

02.11.2018 | Laurențiu PETRE, Alexandru MATEI
Laurențiu Petre

Laurențiu Petre

Alexandru Matei

Alexandru Matei

Potrivit GDPR, un transfer ar putea avea loc numai dacă operatorul sau persoana împuternicită de operator îndeplinește condițiile prevăzute de GDPR privind transferul de date cu caracter personal către țări terțe sau organizații internaționale.

Prin „transfer de date cu caracter personal”, înțelegem divulgarea datelor din una sau mai multe organizații către o organizație terță parte sau mai multe, precum și transferul de date între diferite entități ale unei organizații. Transferul de date poate lua forma unui transfer de date repetitiv, de rutină, caz în care are loc transferul aceluiași set de date între aceleași organizații pentru un anume scop sau transferul de date nerepetitiv/ad-hoc care se poate efectua în baza unor decizii de transfer al a datelor, fiind nerepetitiv, și care se referă doar la un număr limitat de persoane vizate.

Regulamentul acoperă, așadar, două mari tipuri de transfer de date:

– Transferul repetitiv de date, de rutină, în cazul în care aceleași seturi de date sunt transferate între aceleași organizații pentru un scop stabilit. Acesta ar putea implica un grup de organizații care încheie un acord de transfer de date reciproc în vederea prelucrării datelor în scopuri specifice; și

– Transferul de date nerepetitiv sau ad-hoc, efectuat în baza unei decizii de transfer. O mare parte dintre situațiile de transfer de date au loc într-un mod pre-planificat și de rutină în baza unor norme și proceduri. Cu toate acestea, organizațiile pot decide, de asemenea, sau pot solicita, să se efectueze un transfer al datelor în situații care nu sunt acoperite de un acord de transfer a datelor de rutină. În unele cazuri, acesta poate implica o decizie cu privire la transferul de date, care să prevadă condițiile reale de urgență în care a fost efectuat.

GDPR face o distincție între transferul de date efectuat de către un operator de date cu alt operator, și transferul efectuat de către un operator de date către o persoană împuternicită. În situația în care operatorul de date prelucrează date cu caracter personal cu ajutorul unei persoane împuternicite, trebuie să se asigure în cadrul unui raport contractual (în scris) faptul că:

– persoana împuternicită acționează numai la instrucțiunile operatorului de date; și

– există asigurate condițiile de securitate adecvate, echivalente cu cele impuse de către operatorul de date.

1. Transferul datelor cu caracter personal către o persoană împuternicită

Deși transferul de date are loc, în principal, între operatorii de date, situație în care ambele organizații stabilesc scopurile pentru care și modul în care sunt prelucrate datele personale, suntem în prezența unui transfer al datelor cu caracter personal și în cazul în care un operator transferă date cu o altă parte, care prelucrează date cu caracter personal în numele său. Aceste organizații sunt cunoscute sub denumirea de persoane împuternicite.

2. Transferul datelor cu caracter personal în cadrul organizațiilor/între operatori

În general, când vorbim despre „transferul de date“, cel mai des se va înțelege acest lucru ca fiind transferul de date efectuat între organizații. În orice caz, principiile privind protecția datelor cu caracter personal se aplică în aceeași măsură transferului de informații în cadrul unei organizații.- de exemplu, între diferitele departamente ale unei organizații / autorități sau entități de servicii financiare locale.

Aspecte privind decizia de transfer a datelor cu caracter personal. În momentul adoptării deciziei de transfer operatorul de date cu caracter personal va avea în vedere următoarele:

– Care este scopul acestui transfer? Operatorul va trebui să aibă o reprezentare clară a scopului, sau a setului de obiective. Având această reprezentare, va putea știi ce date are nevoie să transfere și cu cine. Ca recomandare de bună practică ar fi bine să poată demonstra această documentare;

– Ce informații trebuie transferate? Nu ar trebui să transfere toate datele cu caracter personal pe care le deține ci doar anumite date necesare pentru a-și atinge obiectivele. De exemplu, operatorul ar putea avea nevoie să transfere numele și adresa unei anumite persoane, nu și alte informații pe care le deține despre acea persoană;

Cine va avea acces la datele transferate? Doar organizațiile care au nevoie de datele personale ar trebui să aibă acces la datele transferate și numai personalul relevant din cadrul acestor organizații. Acest lucru ar trebui să abordeze, de asemenea, orice restricții necesare ale transferului de date, pe mai departe, cu terțe părți;

Când ar trebui transferate datele? Ca bună practică este recomandată documentarea în acest sens, de exemplu stabilind dacă transferul ar trebui să fie un proces continuu, de rutină sau dacă ar trebui să aibă loc ca răspuns la anumite evenimente particulare;

– Cum ar trebui să fie transferate datele? Acest lucru implică abordarea securității din jurul transmiterii sau accesării datelor și stabilirea unor reguli comune de securitate;

– Cum putem verifica dacă transferul atinge scopul preconizat? Operatorul va trebui să analizeze dacă este încă necesar și de a confirma că garanțiile se potrivesc încă riscurilor;

– Ce riscuri presupune transferul datelor cu caracter personal? De exemplu, există vreo persoană care ar putea fi afectată de transfer? Există vreo persoană care ar putea obiecta? Ar putea submina încrederea persoanelor în organizațiile care dețin înregistrări ale datelor cu caracter personal?

– Ar putea ca scopul să fie atins fără transferul datelor sau prin anonimizarea lor? Nu este potrivit să se utilizeze datele cu caracter personal pentru a planifica prestarea serviciului, de exemplu, în cazul în care acest lucru ar putea fi realizat cu informații care nu se ridică la nivelul datelor cu caracter personal;

– Are nevoie operatorul să își actualizeze notificarea? Trebuie să se asigure că transferul este acoperit în registrul de intrări.

În concluzie, înainte de a transfera date cu caracter personal pe care le deține operatorul, va trebui să ia în considerare toate implicațiile juridice. Capacitatea operatorului de a transfera date este condiționată de o serie de constrângeri legale de protecție a datelor. De asemenea, pot exista alte considerații, cum ar fi anumite interdicții legale în privința transferului, restricții privind drepturile de autor sau o îndatorire de păstrare a confidențialității, care poate afecta capacitatea operatorului de a transfera datele cu caracter personal. Obligația de confidențialitate poate fi menționată în mod expres sau poate fi implicită, în funcție de natura informațiilor sau dacă acestea au fost colectate în condiții de confidențialitate – de exemplu,  informații medicale sau informații bancare.

Avocat Laurențiu Petre
Partner SĂVESCU & ASOCIAȚII

Avocat Alexandru Matei
Associate SĂVESCU & ASOCIAŢII


Aflaţi mai mult despre , , , , , ,
JURIDICE.ro utilizează şi recomandă SmartBill pentru facturare.

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important
Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile publicate sub numele real care respectă Politica JURIDICE.ro şi Condiţiile de publicare.


.


Irina Maria STANCU


Oana ISPAS


Radu Slăvoiu


Livia Dianu-Buja


Ștefania Stoica


Luminița Malanciuc


Ioana-Olivia Voicu


Eduard Toma-Apostol


Florina-Lăcrămioara Drăgan