ZRP
Tuca Zbarcea & Asociatii

Hotărârea Schrems II – Cum mai transferăm datele personale către țari terțe? Câteva recomandări practice

23 Noiembrie 2020   |   Marta Popa, Partener Senior Voicu & Filipescu

Hotărârea CJUE în cauza C-311/18 - Facebook Ireland și Maximillian Schrems are o importanță unică, evidențiind dreptul fundamental la protecție în cazul transferului în țări terțe de date personale ale cetățenilor UE.

Marta Popa, Partener Senior Voicu & Filipescu

 
 
La 16 iulie 2020, Curtea de Justiție a Uniunii Europene a hotărât, în cauza C-311/18 - Data Protection Commissioner împotriva Facebook Ireland și Maximillian Schrems, invalidarea Deciziei 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de Confidențialitate UE-SUA și a considerat validă Decizia 2010/87 a Comisiei privind clauzele contractuale standard pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe.

Obiectul cauzei deduse în fața Curții de Justiție a Uniunii Europene (CJUE)

Hotărârea CJUE în cauza C-311/18 - Facebook Ireland și Maximillian Schrems are o importanță unică, evidențiind dreptul fundamental la protecție în cazul transferului în țări terțe de date personale ale cetățenilor UE. CJUE a considerat că există, în spetă, o serie de vicii în tratamentul datelor personale, în special în ce privește principiul necesității și proporționalității, vicii care au dus în cele din urmă la invalidarea Scutului de Confidențialitate (Privacy Shield) încheiat anterior între Statele Unite ale Americii și Uniunea Europeană.


Cauza a fost inițiată în 2015 de către Max Schrems, activist de protecția datelor care anterior a reușit invalidarea transferurilor în baza mecanismului “Safe Harbor”. Încurajat de acest succes, Max Schrems și-a îndreptat atenția către utilizarea de către Facebook a clauzelor-model (cunoscute și drept Clauze Contractuale Standard sau “SCC”) la transferul în SUA de date personale către entitatea centrală din aceasta țară și a mai depus o plângere la Autoritatea pentru Protecția Datelor din Irlanda (DPC), clamând faptul că abordarea chestiunii protecției datelor de către Statele Unite ale Americii subminează standardele înalte de protecție a datelor stabilite de Uniunea Europeană, astfel că datele nu ar trebui să fie exportate în Statele Unite ale Americii indiferent de mecanismul de transfer utilizat.

Și DPC din Irlanda a ridicat preocupări legate de folosirea SCC în general, astfel încât cauza a ajuns în fața CJUE.

CJUE a apreciat, în speță, că nici Scutul de Confidențialitate și nici măcar clauzele-model privind transferul de date nu pot constitui o bază validă de transfer de către Facebook Ireland al datelor personale către entitatea centrală din SUA, întrucât Facebook este supus legilor supravegherii din Statele Unite ale Americii. În concret, în SUA, cerințele de securitate națională (din partea CIA, FBI sau NSA-n.n.), cele de interes public precum și executarea legilor au prioritate asupra drepturilor fundamentale ale persoanelor ale căror date personale sunt transferate în această țară.

S-a mai reținut de către ECJ și că mecanismul de plângere prevăzut de Scutul de Confidențialitate nu prevede o modalitate de redresare a persoanelor vizate (cetățenii UE) care doresc să se plângă față de modul cum le sunt prelucrate datele în SUA.

Urmare a acestei hotărâri, chiar dacă clauzele-model rămân, în principiu, un mecanism valid pentru exportul de date în afara UE, pentru a se putea baza pe acestea, exportatorii și importatorii datelor vor trebui să desfășoare o analiză serioasă pentru a demonstra că țara primitoare a datelor garantează același nivel de protecție ca și Uniunea Europeană. Și să ia măsuri/garanții suplimentare de protecție, daca nu există o protecție echivalentă.

Regulile corporative obligatorii (BCRs) sunt afectate în același mod de hotărârea Schrems II ca și clauzele-model, deoarece și în cazul acestui instrument de transfer legile americane au prioritate.

O decizie importantă, care permite autorităților de supraveghere să dispună ștergerea datelor, suspendarea sau stoparea transferului, mai degrabă decât să impună penalități

Hotărârea CJUE a pus în dificultate operatorii de date și pe împuterniciții lor în ceea ce privește stabilirea nivelului de adecvare a due diligence-ului pe care trebuie să-l efectueze asupra mecanismului de transfer constând în clauzele-model precum și în ce privește adecvarea altor instrumente de transfer dupa emiterea acestei hotărâri. Alte întrebări dificile sunt cele despre cum vor fi realizate transferurile către țări (non-UE) considerate ca având un nivel și mai mic de protecție, cum ar fi China, Rusia, UK sau Japonia.

În decizia Schrems II, ECJ a mai reținut că autoritățile de supraveghere au dreptul de a audita și a revizui clauzele-model și chiar să suspende sau să dispună încetarea transferului datelor dacă nu există o protecție adecvată în țara primitoare. În practică, aceste măsuri ale autorităților de supraveghere pot afecta mult mai mult o companie sau o linie de business decât o amendă, putând merge până la închidere operațională.
Schrems II a devenit astfel o chestiune la nivel de management/consiliu de conducere al entităților implicate în transferul internațional de date.

Pași practici pe care îi recomandăm în urma hotărârii Schrems II

Ce fel de analiză trebuie să facă exportatorii și importatorii de date? Este suficient standardul aplicabil în cazul unei decizii de adecvare luată în temeiul art. 45 GDPR? Și ce documente trebuie pregătite pentru control sau în cazul în care autoritățile de supraveghere au o opinie contrară și stopează transferul?   

În orice caz, la 29.10.2020, Comitetul European pentru Protecția Datelor (CEPD) a precizat, în documentul de aprobare a Strategiei pentru instituțiile UE privind conformarea la decizia Schrems II, că o astfel de strategie  trebuie să aibă în centru cooperarea și răspunderea operatorilor în evaluarea standardului în mod esențial echivalent cu cel al UE. Totodată, CEPD a încurajat instituțiile UE:

(i)    să nu transfere date în cadrul unor noi activități de prelucrare sau contracte noi cu furnizori de servicii din Statele Unite ale Americii;
(ii)    să realizeze o Analiză de Impact a Transferului (Transfer Impact Assessments - TIAs) pentru toate transferurile internaționale; și
(iii)    să aștepte instrucțiuni din partea CEPD, audituri de conformare și acțiuni de sancționare a transferurilor către SUA și alte țări terțe.

Sugerăm mai jos câteva din acțiunile posibile, care reduc riscul unei analize și utilizări inadecvate ale clauzelor-model în cadrul transferurilor internaționale în curs și al celor viitoare:

1.    cartografierea transferurilor internaționale de date;
2.    realizarea de analize de impact al transferului de date (TIA);
3.    analizarea posibilității de aplicare a derogarilor prevăzute în Articolul 49 GDPR;
4.    luarea de măsuri/garanții de protecție suplimentare (cum ar fi, de exemplu, pseudonimizarea);
5.    revizuirea contractelor cu împuterniciții pentru a asigura un grad sporit de comfort legal și comercial;
6.    revizuirea în mod constant a transferurilor de date efectuate de o organizație.

La 11.11.2020, EPDB a adoptat recomandări ce conțin o serie de pași și măsuri pe care exportatorii de date trebuie să le implementeze pentru a verifica dacă au atins un grad de conformare și protecție privind transferurile internaționale cel puțin echivalent cu cel al Uniunii Europene, precum și recomandări privind Garanțiile Esențiale Europene în ce privește măsurile de supraveghere. La data acestui articol, recomandările nu erau încă publicate însă vom reveni cu mai multe detalii după publicare.

 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


     

    Ascunde Reclama
     
     

    POSTEAZA UN COMENTARIU


    Nume *
    Email (nu va fi publicat) *
    Comentariu *
    Cod de securitate*







    * campuri obligatorii


    Articol 7489 / 8885
     

    Ascunde Reclama
     
    BREAKING NEWS
    ESENTIAL
    Cine sunt și cum gândesc profesioniștii evidențiați de Legal 500 în GC Powerlist Romania | De vorbă cu Mihaela Scărlătescu, Head of legal - Farmexim: „Când ești managerul unei echipe de legal, rolul nu se rezumă doar în a asigura îndeplinirea sarcinilor, ci este de fapt mai mult orientat spre partea umană. Cresc echipe, cresc oameni de niște ani buni și nu există satisfacție mai mare ca atunci când vezi transformarea acestora, acolo unde există ‘sămânța dorinței de a evolua ’ ”
    VIDEO | Dicționar de arbitraj: Avansul cheltuielilor arbitrale (Powered by ZRVP)
    „The Lawyer European Awards 2024”| Patru firme cu activitate în România concurează pentru titlu la secțiunea ”Law Firm of the Year: South Eastern Europe” | Popescu & Asociații și TZA, pe lista scurtă a premianților. ZRVP, pentru a treia oară în ultimii cinci ani, printre finaliștii secțiunii ”European litigation team of the year”
    Rising Stars | Tudor Bonifate, primul admis la Facultatea de Drept și mai apoi șef de promoție în 2022, cu media 10, a ales să profeseze ca avocat la Țuca Zbârcea & Asociații: ”Învăț permanent – de la avocații care mă coordonează, de la colegii mei avocați, de la profesorii cu care am șansa de a colabora la facultate, de la studenții mei. Cred că avocatura mă face un profesor mai bun, după cum profesoratul mă face un avocat mai bun”
    Încă un spin-off în piața avocaturii | Luminița Popa și Miruna Suciu, fondatoarele Suciu Popa, o iau pe drumuri diferite. Popa Legal se va focusa pe practica de arbitraj, iar Suciu Partners anunță consolidarea echipei
    Țuca Zbârcea & Asociații apără interesele statului român în litigiul inițiat de Damen Holding la Curtea de Arbitraj de la Viena | Legea 187 ̸ 2023 referitoare la guvernanța corporativă a întreprinderilor publice a pus pe butuci modelul de cooperare cu investitorul olandez la Damen Shipyards Mangalia SA, o companie în care statul deține 51%, prin Șantierul Naval 2 Mai SA. Pierderea litigiului antrenează plata unor ”despăgubiri semnificative”
    Mușat & Asociații intră în arbitrajul ICSID inițiat de bulgarii de la Eurohold și va lupta, de partea statului român, cu Pinsent Masons și DGKV. Reclamanții și-au ales un arbitru din Anglia
    LegiTeam | Mitel & Asociații recrutează avocați stagiari
    LegiTeam | Mitel & Asociatii caută avocat cu experiență (Litigii și Soluționare a Disputelor)
    LegiTeam | Mitel & Asociații caută avocat cu experiență (Drept Societar și Comercial)
    LegiTeam | Mitel & Asociații caută avocat cu experiență (Drept Imobiliar)
    LegiTeam: Reff & Associates is looking for a 3 - 5 years Atorney at Law | Dispute Resolution
     
    Citeste pe SeeNews Digital Network
    • BizBanker

    • BizLeader

        in curand...
    • SeeNews

      in curand...