I. Principii și modalități principale de transfer al datelor personale
În primul rând, este de menționat faptul că transferuri de date personale pot avea loc atunci când una sau mai multe organizații transferă date personale către o entitate terță sau mai multe, precum și între diferitele entități ale aceleiași organizații.
Conform legislației UE, GDPR prevede posibilitatea fluxului liber de date în interiorul UE. Cu toate acestea, conține cerințe specifice referitoare la transferurile de date cu caracter personal către țări terțe din afara UE/Spațiul Economic European și către organizațiile internaționale.
Potrivit art. 44 din GDPR care vizează principiul general al transferurilor, ”orice date cu caracter personal care fac obiectul prelucrării sau care urmează a fi prelucrate după ce sunt transferate într-o ţară terţă sau către o organizaţie internaţională pot fi transferate doar dacă, sub rezerva celorlalte dispoziţii ale prezentului regulament, condiţiile prevăzute în prezentul capitol sunt respectate de operator şi de persoana împuternicită de operator, inclusiv în ceea ce priveşte transferurile ulterioare de date cu caracter personal din ţara terţă sau de la organizaţia internaţională către o altă ţară terţă sau către o altă organizaţie internaţională. Toate dispoziţiile din prezentul capitol se aplică pentru a se asigura că nivelul de protecţie a persoanelor fizice garantat prin prezentul regulament nu este subminat. ‘
Mai departe, conform art. 45 și 46 din GDPR, există două modalități principale de a permite transferul de date cu caracter personal către țări terțe sau organizații internaționale, și anume:
a. în temeiul unei decizii de adecvare a Comisiei Europene; sau, în lipsa unei astfel de decizii de adecvare
b. în cazul în care operatorul sau persona împuternicită oferă garanții adecvate, incluzând existența unor drepturi opozabile și căi de atac eficiente aflate la dispoziția persoanei vizate
În lipsa unei decizii de adecvare sau a unor garanții adecvate, sunt disponibile și o serie de derogări.
În mod similar cu prevederile GDPR, Directiva UE 2016/680 (Directiva privind protecția datelor pentru poliție și justiție penală) stabilește condiții pentru transferul de date cu caracter personal către țări terțe sau organizații internaționale (art. 45 – 49 GDPR).
II. Ce este o decizie de adecvare?
Adecvarea protecției datelor într-o țară terță înseamnă că principiile principale ale protecției datelor GDPR au fost implementate în mod efectiv în dreptul național al țării respective, prin prisma dispozițiilor din dreptul său intern sau din cea a angajamentelor internaționale asumate.
Deciziile de adecvare ale Comisiei Europene sunt obligatorii din punct de vedere juridic pentru statele membre și statele SEE. Actul de punere în aplicare prevede un mecanism de revizuire periodică, cel puțin o dată la patru ani, care să țină seama de toate evoluțiile relevante din țara terță sau organizația internațională.
Deciziile de adecvare adoptate de Comisia Europeană în temeiul Directivei 95/46/CE rămân în vigoare până când sunt modificate, înlocuite sau abrogate printr-o decizie a Comisiei adoptată în conformitate cu normele prevăzute la articolul 45 din GDPR.
III. Care state oferă un nivel adecvat de protecție conform GDPR?
Comisia Europeană a recunoscut până acum următoarele state: Andorra, Argentina, Canada (organizații comerciale), Insulele Feroe, Guernsey, Israel, Insula Man, Japonia, Jersey, Noua Zeelandă, Elveția, Uruguay și Statele Unite ale Americii (limitate la UE-US Privacy Shield) ca oferind o protecție adecvată în privința transferurilor de date personale.
Decizia privind Acordul de confidențialitate UE-SUA a fost adoptată la 12 iulie 2016, iar cadrul privind protecția confidențialității a devenit operațional la 1 august 2016. Acest cadru protejează drepturile fundamentale ale oricărei personae din UE ale căror date personale sunt transferate în Statele Unite în scopuri comerciale. Cadrul aduce, de asemenea, clarificări pentru afacerile care se bazează pe transferurile transatlantice de date.
Acordul de confidențialitate dintre Uniunea Europeană și Statele Unite, denumit UE-USA Privacy Shield, a fost adoptat pentru a înlocui Acordul de cooperare numit Safe Harbor (deoarece decizia de adecvare a Comisiei privind Safe Harbor a fost invalidată de Decizia CJUE în cauza Schrems din 6/10/2015 (C-362/14).
Principalele reglementări ale Acordului UE-USA Privacy Shield sunt:
1. obligații puternice de protecție a datelor asupra companiilor care primesc date cu caracter personal din UE;
2. garanții privind accesul guvernului american la date;
3. protecție eficientă și reparații pentru persoane;
4. o revizuire comună anuală atât a UE, cât și a SUA pentru a monitoriza aplicarea corectă a aranjamentului.
Este important de menționat că Acordul UE-USA Privacy Shield nu este un mecanism de conformitate GDPR per se, ci mai degrabă este un mecanism care permite companiilor participante să îndeplinească cerințele UE pentru transferul datelor cu caracter personal în țări terțe, reglementat în capitolul V al GDPR.
IV. Ce înseamnă ”garanțiile adecvate” pe care le pot furniza statele terțe?
Lista garanțiilor adecvate considerate acceptabile este oferită exclusiv în legislația UE privind protecția datelor (articolul 46 GDPR). Se pot stabili garanții adecvate prin:
- un instrument juridic obligatoriu și executoriu între autoritățile publice și organisme;
- reguli corporative obligatorii;
- clauze standard de protecție a datelor;
- cod de conduită aprobat în conformitate cu articolul 40 și însoțit de un aranjament obligatoriu și executoriu din partea operatorului sau a persoanei împuternicite;
- un mecanism de certificare aprobat în conformitate cu articolul 42.
Sub rezerva autorizării din partea autorităţii de supraveghere competente, garanţiile adecvate menţionate mai sus pot fi furnizate, de asemenea, prin:
- clauze contractuale între operator sau persoana împuternicită de operator şi operatorul, persoana împuternicită de operator sau destinatarul datelor cu caracter personal din ţara terţă sau organizaţia internaţională;
- dispoziţii care urmează să fie incluse în acordurile administrative dintre autorităţile sau organismele publice, care includ drepturi opozabile şi efective pentru persoanele vizate.
V. Clauze contractuale standard
Clauzele standard în vigoare în UE sunt în prezent:
1. Operator UE către operator non UE / SEE: două seturi de clauze alternative
Decizia 2001/497/CE a Comisiei din 15 iunie 2001 (modificată prin Decizia 2004/915/CE a Comisiei din 27 decembrie 2004)
2. Operator UE către persoană împuternicită non UE/SEE
Decizia 2010/87/UE a Comisiei (și de abrogare a Deciziei 2002/16/CE)
Clauzele contractuale standard conțin o declarație executorie legală prin care atât „exportatorul de date”, cât și „importatorul de date” se angajează să prelucreze datele în conformitate cu normele de bază privind protecția datelor și sunt de acord că persoanele fizice își pot pune exercita drepturile în baza contractului.
Clauzele contractuale standard pot fi incluse într-un contract mai larg și nu împiedică operatorii să adopte clauze proprii ad hoc care să asigure un nivel de protecție identic. Cele mai importante caracteristici ale clauzelor standard sunt:
a. permit persoanelor vizate să își exercite drepturile contractuale, chiar dacă nu sunt parte la contract;
b. destinatarul sau importatorul de date acceptă să fie supus procedurii autorității de supraveghere naționale a controlorului și a / sau instanțelor judecătorești în cazul litigiilor.
VI. Reguli corporative obligatorii
Regulile corporative obligatorii sunt un set de norme de protecție a datelor personale respectate de companiile stabilite în UE pentru transferurile de date cu caracter personal în afara UE în cadrul unui grup de întreprinderi sau întreprinderi.
Înainte ca normele corporative obligatorii să poată fi utilizate ca instrument pentru transferul de date cu caracter personal, autoritatea competentă trebuie să le aprobe. La aprobarea normelor corporative obligatorii, se va declanșa mecanismul de asigurare a coerenței pentru cooperarea autorităților de supraveghere (articolul 47 din GDPR care face referire la articolul 63 din GDPR).
Pentru a putea fi aprobate regulile corporative obligatorii acestea trebuie să acopere toate principiile esențiale de protecție a datelor și să fie implementate de fiecare membru al grupului. Aceștia trebuie să specifice drepturile persoanei vizate, inlusiv cu privire la răspunderea pentru orice încălcare a normelor, și să respecte anumite cerințe formale, cum ar fi descrierea transferurilor etc.
VII. Derogări
Conform legislației UE, transferurile de date cu caracter personal într-o țară terță pot fi justificate, chiar și în absența unei decizii adecvate sau a unor garanții adecvate (precum clauze contractuale standard sau reguli corporative obligatorii) în oricare dintre următoarele circumstanțe:
a. transferul este efectuat cu consimțământul informat al persoanei;
b. transferul este necesar pentru executarea unui contract între individ și organizație sau pentru demersurile precontractuale luate la cererea persoanei;
c. transferul este necesar pentru executarea unui contract încheiat în interesul persoanei fizice între operator și o altă persoană;
d. transferul este necesar din motive importante de interes public;
e. transferul este necesar pentru stabilirea, exercitarea sau apărarea revendicărilor în instanță;
f. transferul este necesar pentru a proteja interesele vitale ale persoanei vizate sau ale altor persoane, în cazul în care persoana vizată nu este capabilă din punct de vedere fizic sau legal să-și dea consimțământul;
g. transferul este făcut dintr-un registru care are drept scop furnizarea de informații publicului.
În ceea ce privește activitatea autorităților publice, în exercitarea atribuțiilor prevăzute de lege acestea nu pot recurge la niciuna din primele trei derogări.
Avocat Gherasim Andrei-Gheorghe
Titular Cabinet de Avocat ”Gherasim Andrei-Gheorghe” specializat litigii de muncă