Secţiuni » Articole
Articole autoriRNSJESSENTIALSStudiiOpiniiInterviuriPovestim cărţi
Opinii
PLATINUM+ PLATINUM Signature     

PLATINUM ACADEMIC
GOLD                       

VIDEO STANDARD
BASIC





Derogările aplicabile în contextul transferurilor de date cu caracter personal către țări terțe sau organizații internaționale
18.06.2020 | Anca STÎNGA

JURIDICE - In Law We Trust
Anca Stîngă

Anca Stîngă

Potrivit art. 44 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), ˝Orice date cu caracter personal care fac obiectul prelucrării sau care urmează a fi prelucrate după ce sunt transferate într-o țară terță sau către o organizație internațională pot fi transferate doar dacă, sub rezerva celorlalte dispoziții ale prezentului regulament, condițiile prevăzute în prezentul capitol sunt respectate de operator și de persoana împuternicită de operator, inclusiv în ceea ce privește transferurile ulterioare de date cu caracter personal din țara terță sau de la organizația internațională către o altă țară terță sau către o altă organizație internațională.˶

Astfel, transferul de date cu caracter personal către o țară terță sau organizație internațională este permis atunci când Comisia a decis că țara terță, un teritoriu ori unul sau mai multe sectoare specificate din acea țară terță sau organizația internațională în cauză asigură un nivel de protecție adecvat sau atunci când lipsește o decizie privind caracterul adecvat al nivelului de protecție iar transferul se realizează pe baza garanțiilor adecvate oferite de operator sau de persoana împuternicită de operator și cu condiția să existe drepturi opozabile și căi de atac eficiente pentru persoanele vizate.

Aceaste modalități de transfer reprezintă regula. Există însă și situații derogatorii care constituie excepții de la principiul general enunțat mai sus și la care se va apela doar în absența unei decizii privind caracterul adecvat al nivelului de protecție sau a unor garanții adecvate iar aceste situații sunt după cum urmează:
1. persoana vizată și-a exprimat în mod explicit acordul cu privire la transferul propus, după ce a fost informată asupra posibilelor riscuri pe care astfel de transferuri le pot implica pentru persoana vizată ca urmare a lipsei unei decizii privind caracterul adecvat al nivelului de protecție și a unor garanții adecvate;
2. transferul este necesar pentru executarea unui contract între persoana vizată și operator sau pentru aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate;
3. transferul este necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator și o altă persoană fizică sau juridică;
4. transferul este necesar din considerente importante de interes public;
5. transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în instanță;
6. transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altor persoane, atunci când persoana vizată nu are capacitatea fizică sau juridică de a-și exprima acordul;
7. transferul se realizează dintr-un registru care, potrivit dreptului Uniunii sau al dreptului intern, are scopul de a furniza informații publicului și care poate fi consultat fie de public în general, fie de orice persoană care poate face dovada unui interes legitim, dar numai în măsura în care sunt îndeplinite condițiile cu privire la consultare prevăzute de dreptul Uniunii sau de dreptul intern în acel caz specific.

Prima situație derogatorie presupune ca persoana vizată să își exprime în mod explicit acordul cu privire la transferul propus. Pentru a fi în prezența unui consimțământ valabil al persoanei vizate este necesar ca acesta să fie explicit, specific pentru un anumit transfer de date sau set de transferuri și să fie în cunoștință de cauză, în special cu privire la posibile riscuri legate de transfer. Un consimțământ valabil pentru efectuarea transferului, este necesar să fie acordat la momentul la care urmează să se efectueze transferul și nu la momentul colectării datelor. De asemenea, persoana vizată trebuie să fie informată cu posibilele riscuri rezultate din absența unui nivel adecvat de protecție în țara terță în care se va realiza transferul și lipsa garanțiilor adecvate. În cuprinsul Orientărilor 2/2018 privind derogările prevăzute la articolul 49 din Regulamentul (UE) 2016/679 adoptate la 25 mai 2018 de Comitetul European pentru Protecția Datelor[1], informarea în cauză ˝(…) ar trebui să includă, de exemplu, informații despre faptul că în țara terță este posibil să nu existe o autoritate de supraveghere și/sau principii de prelucrare a datelor și/sau drepturile persoanelor vizate ar putea să nu fie prevăzute în legislația țării terțe.˝

A doua situație derogatorie presupune ca transferul să fie necesar pentru executarea unui contract între persoana vizată și operator sau pentru aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate. Pentru ca un astfel de transfer să fie legitimat este necesar să existe o legătură strânsă și substanțială între transferul de date și scopul contractului a cărui executare se dorește iar această operațiune să aibă caracter ocazional. Un exemplu de transfer de date care poate fi considerat ca având caracter ocazional este reprezentat de situația în care datele cu caracter personal ale unui manager de vânzări care, în contextul contractului său de muncă este obligat să călătorească către diverși clienți din țări terțe, sunt transmise respectivilor clienți pentru a organiza reuniunile.[2]

O altă derogare are în vedere situația în care transferul este necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator și o altă persoană fizică sau juridică. Trebuie precizat faptul că pentru a opera o astfel de derogare este necesar ca transferul să fie ocazional și necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator și o altă persoană fizică sau juridică. Cu titlu de exemplu, în cazul activităților externalizate, în scopuri comerciale, ale unei organizații, precum gestionarea salarizării furnizorilor de servicii din afara Uniunii Europene, o astfel de derogare nu va constitui baza pentru transferurile de date în astfel de scopuri deoarece nu poate fi stabilită o legătură strânsă între transfer și un contract încheiat în interesul persoanei vizate, chiar dacă scopul final al transferului este acela de a gestiona salariul angajatului.[3]

A patra situație derogatorie reglementează necesitatea transferului din considerente importante de interes public. Un interes public care nu își are temeiul în legislația Uniunii Europene sau a Statelor Membre sau este prevăzut doar de legislația unui stat terț nu reprezintă o bază legală pentru transferul de date întemeiat pe considerente importante de interes public. Potrivit considerentului 112 din Regulamentul (UE) 2016/679, acestă derogare ar trebui să se aplice, în special, transferurilor de date solicitate și necesare din considerente importante de interes public, de exemplu în cazul schimbului internațional de date între autoritățile din domeniul concurenței, administrațiile fiscale sau vamale, între autoritățile de supraveghere financiară, între serviciile competente în materie de securitate socială sau de sănătate publică, de exemplu în cazul depistării punctelor de contact pentru bolile contagioase sau pentru reducerea și/sau eliminarea dopajului în sport.

O altă situație derogatorie are în vedere necesitatea transferului pentru stabilirea, exercitarea sau apărarea unui drept în instanță. În legătură cu această derogare, este de remarcat faptul că potrivit acelorași Orientări emise de Comitetul European pentru Protecția Datelor, ˝(…) este necesară existența unei legături strânse între un transfer de date și o procedură specifică cu privire la situația în cauză.˶

Tot în categoria derogărilor este prevăzut și transferul care este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altor persoane, atunci când persoana vizată nu are capacitatea fizică sau juridică de de a-și exprima acordul. Această derogare presupune ca persoana vizată să se află în incapacitate fizică sau juridică de a-și exprima acordul, neputând fi astfel îndeplinite cerințele din Regulamentul (UE) 2016/679 privind forma pe care trebuie să o îmbrace consimțământul. Pe cale de consecință, dacă persoana vizată își poate exprima consimțământul, această derogare nu se poate aplica.

Regulamentul (UE) 2016/679 reglementează în categoria situațiilor derogatorii și transferul care se realizează dintr-un registru care, potrivit dreptului Uniunii sau al dreptului intern, are scopul de a furniza informații publicului și care poate fi consultat fie de public în general, fie de orice persoană care poate face dovada unui interes legitim, dar numai în măsura în care sunt îndeplinite condițiile cu privire la consultare prevăzute de dreptul Uniunii sau de dreptul intern în acel caz specific. Această derogare are în vedere doar registrele care vizează furnizarea de informații publicului, registrele private neintrând în domeniul de aplicare al acestei derogări iar în acest sens în cadrul Orientărilor 2/2018 privind derogările prevăzute la articolul 49 din Regulamentul (UE) 2016/679 au fost date ca exemplu registrele private prin care se evaluează bonitatea.

O altă situație derogatorie care poate fi luată în calcul în ipoteza în care transferul nu se poate întemeia pe o decizie privind caracterul adecvat al nivelului de protecție sau transferul nu se poate realizeaza pe baza garanțiilor adecvate oferite de operator sau de persoana împuternicită de operator, sau nu poate fi aplicată niciuna din situațiile derogatorii expuse mai sus, este cea potrivit căreia un transfer către o țară terță sau o organizație internațională poate avea loc numai în cazul în care transferul nu este repetitiv, se referă doar la un număr limitat de persoane vizate, este necesar în scopul realizării intereselor legitime majore urmărite de operator asupra căruia nu prevalează interesele sau drepturile și libertățile persoanei vizate și operatorul a evaluat toate circumstanțele aferente transferului de date și, pe baza acestei evaluări, a prezentat garanții corespunzătoare în ceea ce privește protecția datelor cu caracter personal.

Conform prevederilor Regulamentului (UE) 2016/679, astfel de transferuri ar trebui să fie posibile numai în cazurile reziduale în care nu se poate aplica niciunul dintre celelalte motive de transfer, fiind condiționate de îndeplinirea unui număr semnificativ de condiții.

Concluzionând, trebuie precizat faptul că, de fiecare dată când se dorește să se realizeze un transfer de date cu caracter personal către țări terțe sau organizații internaționale, operatorul sau persoana împuternicită de operator trebuie să acorde prioritate modalităților de transfer care garantează persoanelor vizate păstrarea beneficiului cu privire la drepturile fundamentale precum și cu privire la garanțiile necesare prelucrării datelor.


[1] https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_ro.pdf
[2] Idem.
[3] Idem.


Anca Stînga, Data Protection Officer, Attorney-at-law, POPESCU & ASOCIAȚII

Aflaţi mai mult despre , , , , ,

Puteţi publica şi dumneavoastră pe JURIDICE.ro. Publicăm chiar şi opinii cu care nu suntem de acord. Vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici.
JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului.

Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa redactie@juridice.ro!







JURIDICE utilizează şi recomandă SmartBill

JURIDICE gratuit pentru studenţi

Securitatea electronică este importantă pentru avocaţi [Mesaj de conştientizare susţinut de FORTINET]

JURIDICE recomandă e-Consultanta, consultantul tău personal în finanţare


Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.