Secţiuni » Arii de practică » Business » Cyberlaw
Cyberlaw
CărţiProfesionişti

CJUE desființează Privacy Shield. C-311/18, Data Protection Commissioner/Maximillian Schrems et Facebook Ireland. Curtea declară nevalidă Decizia 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA 
16.07.2020 | JURIDICE.ro

Secţiuni: CJUE, Content, Cyberlaw, Data protection, Dreptul Uniunii Europene, Jurisprudență
JURIDICE - In Law We Trust

…în schimb, aceasta statuează că Decizia 2010/87 a Comisiei privind clauzele contractuale tip pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe este validă…

Regulamentul general privind protecția datelor[1] (RGPD) prevede că transferul unor astfel de date către o țară terță, în principiu, se poate realiza numai dacă țara terță în cauză asigură un nivel de protecție adecvat în privința acestor date. Potrivit acestui regulament, Comisia poate să decidă că o țară terță asigură, ca urmare a legislației sale interne sau a angajamentelor sale internaționale, un nivel de protecție adecvat[2]. În absența unei asemenea decizii privind caracterul adecvat al nivelului de protecție, un astfel de transfer se poate realiza numai dacă exportatorul datelor cu caracter personal, stabilit în Uniune, oferă garanții adecvate, care pot să rezulte în special din clauze standard de protecție a datelor adoptate de Comisie, și cu condiția să existe drepturi opozabile și căi de atac eficiente pentru persoanele vizate[3]. Pe de altă parte, RGPD stabilește, în mod precis, condițiile în care se poate realiza un astfel de transfer în absența unei decizii privind caracterul adecvat al nivelului de protecție sau a unor garanții adecvate[4].

Domnul Maximillian Schrems, resortisant austriac cu reședința în Austria, este un utilizator al Facebook din anul 2008. La fel ca în cazul celorlalți utilizatori cu reședința în Uniune, datele cu caracter personal ale domnului Schrems sunt, în tot sau în parte, transferate de Facebook Ireland către servere care aparțin Facebook Inc., situate pe teritoriul Statelor Unite, unde fac obiectul unei prelucrări. Domnul Schrems a depus o plângere la autoritatea de supraveghere irlandeză, având ca obiect, în esență, interzicerea acestor transferuri. El a susținut că dreptul și practicile Statelor Unite nu oferă o protecție suficientă împotriva accesului autorităților publice la datele transferate către această țară. Plângerea menționată a fost respinsă în special pentru motivul că în Decizia 2000/520[5] (denumită „Decizia Sfera de siguranță”) Comisia constatase că Statele Unite asigurau un nivel de protecție adecvat. Prin Hotărârea din 6 octombrie 2015, Curtea, sesizată cu o întrebare preliminară adresată de High Court (Înalta Curte, Irlanda), a declarat nevalidă această decizie (denumită în continuare „Hotărârea Schrems I”)[6].

În urma Hotărârii Schrems I și a anulării consecutive, de către instanța irlandeză, a deciziei prin care s-a respins plângerea domnului Schrems, autoritatea de supraveghere irlandeză l-a invitat să își reformuleze plângerea ținând seama de declararea nevalidității de către Curte a Deciziei 2000/520. În plângerea sa reformulată, domnul Schrems susține că Statele Unite nu oferă o protecție suficientă a datelor transferate către această țară. El solicită să se suspende sau să se interzică, pentru viitor, transferurile datelor sale cu caracter personal din Uniune către Statele Unite, pe care Facebook le realizează în prezent în temeiul clauzelor standard de protecție care figurează în anexa la Decizia 2010/87[7]. Întrucât a considerat că soluționarea plângerii domnului Schrems depinde, în special, de validitatea Deciziei 2010/87, autoritatea de supraveghere irlandeză a inițiat o procedură în fața High Court (Înalta Curte) pentru ca aceasta să sesizeze Curtea cu o cerere de decizie preliminară. După deschiderea acestei proceduri, Comisia a adoptat Decizia (UE) 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA[8] (denumită „Decizia Scutul de confidențialitate”).

Prin cererea sa de decizie preliminară, instanța de trimitere solicită Curții să se pronunțe cu privire la aplicabilitatea RGPD în cazul unor transferuri de date cu caracter personal întemeiate pe clauze standard de protecție care figurează în Decizia 2010/87, cu privire la nivelul de protecție impus de acest regulament în cadrul unui astfel de transfer și cu privire la obligațiile care revin autorităților de supraveghere în acest context. În plus, High Court ridică problema validității atât a Deciziei 2010/87, cât și a Deciziei 2016/1250.

Prin hotărârea pronunțată astăzi, Curtea constată că analiza Deciziei 2010/87 în raport cu Carta drepturilor fundamentale ale Uniunii Europene nu evidențiază niciun element de natură să afecteze validitatea sa. În schimb, aceasta declară nevalidă Decizia 2016/1250. 

Curtea consideră, în primul rând, că dreptul Uniunii și, în special, RGPD, se aplică în cazul unui transfer de date cu caracter personal efectuat în scopuri comerciale de un operator economic stabilit într-un stat membru către un alt operator economic stabilit într-o țară terță, chiar dacă, în cursul sau în urma acestui transfer, datele menționate sunt susceptibile de a fi prelucrate de autoritățile țării terțe în cauză în scopuri de siguranță publică, de apărare și de securitate a statului. Ea precizează că acest tip de prelucrare a datelor de către autoritățile unei țări terțe nu poate exclude un asemenea transfer din domeniul de aplicare a RGPD.

În ceea ce privește nivelul de protecție impus în cadrul unui astfel de transfer, Curtea statuează că cerințele prevăzute în acest scop de dispozițiile RGPD, care se referă la garanții adecvate, drepturi opozabile și căi de atac eficiente, trebuie interpretate în sensul că persoanele ale căror date cu caracter personal sunt transferate către o țară terță în temeiul unor clauze standard de protecție a datelor, trebuie să beneficieze de un nivel de protecție în esență echivalent cu cel garantat în cadrul Uniunii de regulamentul menționat, interpretat în lumina cartei. În acest context, ea precizează că evaluarea acestui nivel de protecție trebuie să ia în considerare atât stipulațiile contractuale convenite între exportatorul datelor stabilit în Uniune și destinatarul transferului stabilit în țara terță în cauză, cât și, în ceea ce privește un eventual acces al autorităților publice ale acestei țări terțe la datele cu caracter personal astfel transferate, elementele relevante ale sistemului său juridic.

În ceea ce privește obligațiile care revin autorităților de supraveghere în contextul unui astfel de transfer, Curtea declară că, cu excepția cazului în care există o decizie privind caracterul adecvat al nivelului de protecție adoptată în mod valabil de Comisie, aceste autorități sunt în special obligate să suspende sau să interzică un transfer de date cu caracter personal către o țară terță atunci când consideră, în lumina tuturor împrejurărilor proprii transferului menționat, că clauzele standard de protecție a datelor nu sunt sau nu pot fi respectate în această țară și că protecția datelor transferate impusă de dreptul Uniunii, nu poate fi asigurată prin alte mijloace, în cazul în care însuși exportatorul stabilit în Uniune nu a suspendat ori nu a încetat un astfel de transfer. 

Curtea analizează apoi validitatea Deciziei 2010/87. Potrivit Curții, validitatea acestei decizii nu este repusă în discuție prin simplul fapt că clauzele standard de protecție a datelor care figurează în aceasta nu sunt obligatorii, ca urmare a caracterului lor contractual, pentru autoritățile țării terțe către care poate fi efectuat un astfel de transfer. În schimb, precizează Curtea, această validitate depinde de aspectul dacă decizia menționată cuprinde mecanisme eficiente care permit, în practică, să se asigure respectarea nivelului de protecție impus de dreptul Uniunii și suspendarea sau interzicerea transferurilor de date cu caracter personal, întemeiate pe astfel de clauze, în cazul încălcării acestor clauze sau al imposibilității de a le onora. Curtea constată că Decizia 2010/87 prevede asemenea mecanisme. În această privință, ea subliniază, în special, că decizia menționată instituie o obligație a exportatorului datelor și a destinatarului transferului de a verifica, în prealabil, respectarea acestui nivel de protecție în țara terță în cauză și că ea obligă acest destinatar să informeze exportatorul datelor cu privire la eventuala sa imposibilitate de a asigura conformitatea cu clauzele menționate, ultimul având în acest caz sarcina de a suspenda transferul de date și/sau de a rezilia contractul încheiat cu primul.

Curtea procedează, în sfârșit, la analiza validității Deciziei 2016/1250 în raport cu cerințele care decurg din RGPD, interpretat în lumina dispozițiilor cartei care garantează respectarea vieții private și de familie, protecția datelor cu caracter personal și dreptul la protecție jurisdicțională efectivă. În această privință, Curtea arată că decizia menționată consacră, asemenea Deciziei 2000/520, supremația cerințelor privind securitatea națională, interesul public și respectarea legislației americane, făcând astfel posibile unele ingerințe în drepturile fundamentale ale persoanelor ale căror date sunt transferate către această țară terță. Potrivit Curții, limitările protecției datelor cu caracter personal care decurg din reglementarea internă a Statelor Unite privind accesul și utilizarea de către autoritățile publice americane a unor astfel de date transferate din Uniune către această țară terță și pe care Comisia le-a evaluat în Decizia 2016/1250 nu sunt circumscrise astfel încât să îndeplinească cerințe în esență echivalente cu cele prevăzute, în dreptul Uniunii, de principiul proporționalității, în sensul că programele de supraveghere întemeiate pe această reglementare nu sunt limitate la strictul necesar. Întemeindu-se pe constatările care figurează în această decizie, Curtea arată că, pentru anumite programe de supraveghere, respectiva reglementare nu evidențiază în niciun mod existența unor limitări ale abilitării pe care o presupune pentru punerea în aplicare a acestor programe, și nici existența unor garanții pentru persoane care nu sunt cetățeni americani potențial vizate. Curtea adaugă că, deși aceeași reglementare prevede cerințe pe care trebuie să le respecte autoritățile publice cu ocazia punerii în aplicare a programelor de supraveghere în cauză, ea nu conferă persoanelor vizate drepturi opozabile autorităților americane în fața instanțelor judecătorești.

În ceea ce privește cerința protecției jurisdicționale, Curtea statuează că, în mod contrar celor considerate de Comisie în Decizia 2016/1250, mecanismul de tip Ombudsman prevăzut de decizia menționată nu furnizează acestor persoane o cale de atac în fața unui organ care oferă garanții în esență echivalente cu cele impuse de dreptul Uniunii de natură să asigure atât independența Ombudsmanului prevăzut de acest mecanism, cât și existența unor norme care să abiliteze Ombudsmanul menționat să adopte decizii obligatorii în privința serviciilor americane de informații. Pentru toate aceste motive, Curtea declară nevalidă Decizia 2016/1250. 


[1] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (JO 2016, L 119, p. 1, rectificare în JO 2018, L 127, p. 2).
[2] Articolul 45 din RGPD.
[3] Articolul 46 alineatul(1) și alineatul (2) litera (c) din RGPD.
[4] Articolul 49 din RGPD.
[5] Decizia Comisiei din 26 iulie 2000 în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind caracterul adecvat al protecției oferite de principiile „sferei de siguranță” privind protecția vieții private și întrebările de bază aferente, publicate de Departamentul Comerțului al S.U.A (JO 2000, L 215, p. 7, Ediție specială, 16/vol. 01, p. 64).
[6] Hotărârea Curții din 6 octombrie 2015, Schrems, C-362/14 (a se vedea de asemenea CP nr. 117/15).
[7] Decizia 2010/87/UE a Comisiei din 5 februarie 2010 privind clauzele contractuale tip pentru transferul de date cu caracter personal către persoanele stabilite în țări terțe în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului (JO 2010, L 39, p. 5), astfel cum a fost modificată prin Decizia de punere în aplicare (UE) 2016/2297 a Comisiei din 16 decembrie 2016 (JO 2016, L 344, p. 100).
[8] Decizia de punere în aplicare (UE) 2016/1250 a Comisiei din 12 iulie 2016 în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE- SUA (JO 2016, L 207, p. 1).


Cuvinte cheie: , ,
Vă invităm să publicaţi şi dvs., chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Totuşi, vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa de e-mail redactie@juridice.ro!

JURIDICE.ro foloseşte şi recomandă My Justice

JURIDICE CORPORATE
JURIDICE MEMBERSHIP
Juristi
JURIDICE pentru studenti









Subscribe
Notify of

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

0 Comments
Inline Feedbacks
View all comments
Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.

Secţiuni        Selected     Noutăţi     Interviuri        Arii de practică        Articole     Jurisprudenţă     Legislaţie        Cariere     Evenimente     Profesionişti