Secţiuni » Arii de practică » Protective » Data protection
Data protection
DezbateriConferinţeToate evenimenteleCărţiProfesionişti

UNBR Caut avocat
UNBR Caut avocat
UNBR Caut avocat
Masterclass US Litigators
Articole CJUE Data protection Jurisprudență Note de studiu RNSJ SELECTED

Hotărârea Schrems II – Cum mai transferăm datele personale către țari terțe? Câteva recomandări practice

16 noiembrie 2020 | Marta POPA
Marta Popa

Marta Popa

La 16 iulie 2020, Curtea de Justiție a Uniunii Europene a hotărât, în cauza C-311/18 – Data Protection Commissioner împotriva Facebook Ireland și Maximillian Schrems, invalidarea Deciziei 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de Confidențialitate UE-SUA și a considerat validă Decizia 2010/87 a Comisiei privind clauzele contractuale standard pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe.

Obiectul cauzei deduse în fața Curții de Justiție a Uniunii Europene (CJUE)

Hotărârea CJUE în cauza C-311/18 – Facebook Ireland și Maximillian Schrems are o importanță unică, evidențiind dreptul fundamental la protecție în cazul transferului în țări terțe de date personale ale cetățenilor UE. CJUE a considerat că există, în spe, o serie de vicii în tratamentul datelor personale, în special în ce privește principiul necesității și proporționalității, vicii care au dus în cele din urmă la invalidarea Scutului de Confidențialitate (Privacy Shield) încheiat anterior între Statele Unite ale Americii și Uniunea Europeană.

Cauza a fost inițiată în 2015 de către Max Schrems, activist de protecția datelor care anterior a reușit invalidarea transferurilor în baza mecanismului “Safe Harbor”. Încurajat de acest succes, Max Schrems și-a îndreptat atenția către utilizarea de către Facebook a clauzelor-model (cunoscute și drept Clauze Contractuale Standard sau “SCC”) la transferul în SUA de date personale către entitatea centrală din aceasta țară și a mai depus o plângere la Autoritatea pentru Protecția Datelor din Irlanda (DPC), clamând faptul că abordarea chestiunii protecției datelor de către Statele Unite ale Americii subminează standardele înalte de protecție a datelor stabilite de Uniunea Europeană, astfel că datele nu ar trebui să fie exportate în Statele Unite ale Americii indiferent de mecanismul de transfer utilizat.

Și DPC din Irlanda a ridicat preocupări legate de folosirea SCC în general, astfel încât cauza a ajuns în fața CJUE.

CJUE a apreciat, în speță, că nici Scutul de Confidențialitate și nici măcar clauzele-model privind transferul de date nu pot constitui o bază validă de transfer de către Facebook Ireland al datelor personale către entitatea centrală din SUA, întrucât Facebook este supus legilor supravegherii din Statele Unite ale Americii. În concret, în SUA, cerințele de securitate națională (din partea CIA, FBI sau NSA-n.n.), cele de interes public precum și executarea legilor au prioritate asupra drepturilor fundamentale ale persoanelor ale căror date personale sunt transferate în această țară.

Servicii JURIDICE.ro

Evenimente juridice

Arbitraj comercial

S-a mai reținut de către ECJ și că mecanismul de plângere prevăzut de Scutul de Confidențialitate nu prevede o modalitate de redresare a persoanelor vizate (cetățenii UE) care doresc să se plângă față de modul cum le sunt prelucrate datele în SUA.

Urmare a acestei hotărâri, chiar dacă clauzele-model rămân, în principiu, un mecanism valid pentru exportul de date în afara UE, pentru a se putea baza pe acestea, exportatorii și importatorii datelor vor trebui să desfășoare o analiză serioasă pentru a demonstra că țara primitoare a datelor garantează același nivel de protecție ca și Uniunea Europeană. Și să ia măsuri/garanții suplimentare de protecție, daca nu există o protecție echivalentă.

Regulile corporative obligatorii (BCRs) sunt afectate în același mod de hotărârea Schrems II ca și clauzele-model, deoarece și în cazul acestui instrument de transfer legile americane au prioritate.

O decizie importantă, care permite autorităților de supraveghere să dispună ștergerea datelor, suspendarea sau stoparea transferului, mai degrabă decât să impună penalități

Hotărârea CJUE a pus în dificultate operatorii de date și pe împuterniciții lor în ceea ce privește stabilirea nivelului de adecvare a due diligence-ului pe care trebuie să-l efectueze asupra mecanismului de transfer constând în clauzele-model precum și în ce privește adecvarea altor instrumente de transfer dupa emiterea acestei hotărâri. Alte întrebări dificile sunt cele despre cum vor fi realizate transferurile către țări (non-UE) considerate ca având un nivel și mai mic de protecție, cum ar fi China, Rusia, UK sau Japonia.

În decizia Schrems II, ECJ a mai reținut că autoritățile de supraveghere au dreptul de a audita și a revizui clauzele-model și chiar să suspende sau să dispună încetarea transferului datelor dacă nu există o protecție adecvată în țara primitoare. În practică, aceste măsuri ale autorităților de supraveghere pot afecta mult mai mult o companie sau o linie de business decât o amendă, putând merge până la închidere operațională.

Schrems II a devenit astfel o chestiune la nivel de management/consiliu de conducere al entităților implicate în transferul internațional de date.

Pași practici pe care îi recomandăm în urma hotărârii Schrems II

Ce fel de analiză trebuie să facă exportatorii și importatorii de date? Este suficient standardul aplicabil în cazul unei decizii de adecvare luată în temeiul art. 45 GDPR? Și ce documente trebuie pregătite pentru control sau în cazul în care autoritățile de supraveghere au o opinie contrară și stopează transferul?

În orice caz, la 29.10.2020, Comitetul European pentru Protecția Datelor (CEPD) a precizat, în documentul de aprobare a Strategiei pentru instituțiile UE privind conformarea la decizia Schrems II, că o astfel de strategie trebuie să aibă în centru cooperarea și răspunderea operatorilor în evaluarea standardului în mod esențial echivalent cu cel al UE. Totodată, CEPD a încurajat instituțiile UE:

(i) să nu transfere date în cadrul unor noi activități de prelucrare sau contracte noi cu furnizori de servicii din Statele Unite ale Americii;

(ii) să realizeze o Analiză de Impact a Transferului (Transfer Impact Assessments – TIAs) pentru toate transferurile internaționale; și

(iii) să aștepte instrucțiuni din partea CEPD, audituri de conformare și acțiuni de sancționare a transferurilor către SUA și alte țări terțe.

Sugerăm mai jos câteva din acțiunile posibile, care reduc riscul unei analize și utilizări inadecvate ale clauzelor-model în cadrul transferurilor internaționale în curs și al celor viitoare:

1. cartografierea transferurilor internaționale de date;

2. realizarea de analize de impact al transferului de date (TIA);

3. analizarea posibilității de aplicare a derogarilor prevăzute în Articolul 49 GDPR;

4. luarea de măsuri/garanții de protecție suplimentare (cum ar fi, de exemplu, pseudonimizarea);

5. revizuirea contractelor cu împuterniciții pentru a asigura un grad sporit de comfort legal și comercial;

6. revizuirea în mod constant a transferurilor de date efectuate de o organizație.

La 11.11.2020, EPDB a adoptat recomandări ce conțin o serie de pași și măsuri pe care exportatorii de date trebuie să le implementeze pentru a verifica dacă au atins un grad de conformare și protecție privind transferurile internaționale cel puțin echivalent cu cel al Uniunii Europene, precum și recomandări privind Garanțiile Esențiale Europene în ce privește măsurile de supraveghere. La data acestui articol, recomandările nu erau încă publicate însă vom reveni cu mai multe detalii după publicare.

Marta Popa, Partener Senior Voicu & Filipescu

Citeşte mai mult despre , , , , ! Pentru condiţiile de publicare pe JURIDICE.ro detalii aici.
Urmăriţi JURIDICE.ro şi pe LinkedIn LinkedIn JURIDICE.ro WhatsApp WhatsApp Channel JURIDICE Threads Threads JURIDICE Google News Google News JURIDICE

(P) JURIDICE.ro foloseşte şi recomandă SmartBill.

Arii de practică
Achiziţii publice
Afaceri transfrontaliere
Arbitraj
Asigurări
Banking
Business
Concurenţă
Construcţii
Contencios administrativ
Contravenţii
Corporate
Cyberlaw
Cybersecurity
Data protection
Drept civil
Drept comercial
Drept constituţional
Drept penal
Dreptul familiei
Dreptul muncii
Dreptul Uniunii Europene
Dreptul penal al afacerilor
Dreptul sportului
Drepturile omului
Energie
Fiscalitate
Fuziuni & Achiziţii
Gambling
Health & Pharma
Infrastructură
Insolvenţă
Litigation
Malpraxis medical
Media & publicitate
Mediere
Piaţa de capital
Procedură civilă
Procedură penală
Proprietate intelectuală
Protective
Protecţia animalelor
Protecţia consumatorilor
Protecţia mediului
Recuperare creanţe
Sustenabilitate
Telecom
Transporturi

Parteneri arii de practică  Specialişti


JURIDICE.ro
Main page
Cariere
Evenimente ⁞ 
Dezbateri
Profesionişti
Lawyers Week
WinLaw.ro
VIDEO
Servicii
Flux noutăţi
Selected ⁞ 
Comunicate
Avocaţi
Executori
Notari
Sistemul judiciar
Studenţi / JURIDICE NEXT
RSS  Publicare comunicate profesionale
Articole
Essentials
Interviuri
Opinii
Revista de note, studii şi opinii juridice
ISSN 2066-0944
       Studii şi note de studiu
Revista revistelor
Autori  Condiţii de publicare articole
Jurisprudenţă
Curtea Europeană a Drepturilor Omului
Curtea de Justiţie a Uniunii Europene
Curtea Constituţională
Înalta Curte de Casaţie şi Justiţie
       Jurisprudenţă curentă ÎCCJ
       Dezlegarea unor chestiuni de drept
       Recurs în interesul legii
Curţi de apel ⁞ 
Tribunale ⁞ 
Judecătorii

Legislaţie
Proiecte legislative
Monitorul Oficial al României
Jurnalul Oficial al Uniunii Europene

Proiecte speciale
Cărţi
Covid-19 Legal React
Creepy cases
Life
Mesaje de condoleanţe
Povestim cărţi
Războiul din Ucraina
Wisdom stories

Servicii J   Cont profesional [membership]   Catalog   Documentare   Comunicare   Revealing   Vizual   Website   Logo   Foto   Video   Talent Search   Recrutare   Evenimente   Directoare internaţionale
 

© 2003-2024 JURIDICE.ro
Despre noi  Website map  Servicii  Contact
Privacy  Politica  Utilizare  Publicare  Parteneri