ZRP
Tuca Zbarcea & Asociatii

Hotărârea Schrems II – Cum mai transferăm datele personale către țari terțe? Câteva recomandări practice

23 Noiembrie 2020   |   Marta Popa, Partener Senior Voicu & Filipescu

Hotărârea CJUE în cauza C-311/18 - Facebook Ireland și Maximillian Schrems are o importanță unică, evidențiind dreptul fundamental la protecție în cazul transferului în țări terțe de date personale ale cetățenilor UE.

Marta Popa, Partener Senior Voicu & Filipescu

 
 
La 16 iulie 2020, Curtea de Justiție a Uniunii Europene a hotărât, în cauza C-311/18 - Data Protection Commissioner împotriva Facebook Ireland și Maximillian Schrems, invalidarea Deciziei 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de Confidențialitate UE-SUA și a considerat validă Decizia 2010/87 a Comisiei privind clauzele contractuale standard pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe.

Obiectul cauzei deduse în fața Curții de Justiție a Uniunii Europene (CJUE)

Hotărârea CJUE în cauza C-311/18 - Facebook Ireland și Maximillian Schrems are o importanță unică, evidențiind dreptul fundamental la protecție în cazul transferului în țări terțe de date personale ale cetățenilor UE. CJUE a considerat că există, în spetă, o serie de vicii în tratamentul datelor personale, în special în ce privește principiul necesității și proporționalității, vicii care au dus în cele din urmă la invalidarea Scutului de Confidențialitate (Privacy Shield) încheiat anterior între Statele Unite ale Americii și Uniunea Europeană.


Cauza a fost inițiată în 2015 de către Max Schrems, activist de protecția datelor care anterior a reușit invalidarea transferurilor în baza mecanismului “Safe Harbor”. Încurajat de acest succes, Max Schrems și-a îndreptat atenția către utilizarea de către Facebook a clauzelor-model (cunoscute și drept Clauze Contractuale Standard sau “SCC”) la transferul în SUA de date personale către entitatea centrală din aceasta țară și a mai depus o plângere la Autoritatea pentru Protecția Datelor din Irlanda (DPC), clamând faptul că abordarea chestiunii protecției datelor de către Statele Unite ale Americii subminează standardele înalte de protecție a datelor stabilite de Uniunea Europeană, astfel că datele nu ar trebui să fie exportate în Statele Unite ale Americii indiferent de mecanismul de transfer utilizat.

Și DPC din Irlanda a ridicat preocupări legate de folosirea SCC în general, astfel încât cauza a ajuns în fața CJUE.

CJUE a apreciat, în speță, că nici Scutul de Confidențialitate și nici măcar clauzele-model privind transferul de date nu pot constitui o bază validă de transfer de către Facebook Ireland al datelor personale către entitatea centrală din SUA, întrucât Facebook este supus legilor supravegherii din Statele Unite ale Americii. În concret, în SUA, cerințele de securitate națională (din partea CIA, FBI sau NSA-n.n.), cele de interes public precum și executarea legilor au prioritate asupra drepturilor fundamentale ale persoanelor ale căror date personale sunt transferate în această țară.

S-a mai reținut de către ECJ și că mecanismul de plângere prevăzut de Scutul de Confidențialitate nu prevede o modalitate de redresare a persoanelor vizate (cetățenii UE) care doresc să se plângă față de modul cum le sunt prelucrate datele în SUA.

Urmare a acestei hotărâri, chiar dacă clauzele-model rămân, în principiu, un mecanism valid pentru exportul de date în afara UE, pentru a se putea baza pe acestea, exportatorii și importatorii datelor vor trebui să desfășoare o analiză serioasă pentru a demonstra că țara primitoare a datelor garantează același nivel de protecție ca și Uniunea Europeană. Și să ia măsuri/garanții suplimentare de protecție, daca nu există o protecție echivalentă.

Regulile corporative obligatorii (BCRs) sunt afectate în același mod de hotărârea Schrems II ca și clauzele-model, deoarece și în cazul acestui instrument de transfer legile americane au prioritate.

O decizie importantă, care permite autorităților de supraveghere să dispună ștergerea datelor, suspendarea sau stoparea transferului, mai degrabă decât să impună penalități

Hotărârea CJUE a pus în dificultate operatorii de date și pe împuterniciții lor în ceea ce privește stabilirea nivelului de adecvare a due diligence-ului pe care trebuie să-l efectueze asupra mecanismului de transfer constând în clauzele-model precum și în ce privește adecvarea altor instrumente de transfer dupa emiterea acestei hotărâri. Alte întrebări dificile sunt cele despre cum vor fi realizate transferurile către țări (non-UE) considerate ca având un nivel și mai mic de protecție, cum ar fi China, Rusia, UK sau Japonia.

În decizia Schrems II, ECJ a mai reținut că autoritățile de supraveghere au dreptul de a audita și a revizui clauzele-model și chiar să suspende sau să dispună încetarea transferului datelor dacă nu există o protecție adecvată în țara primitoare. În practică, aceste măsuri ale autorităților de supraveghere pot afecta mult mai mult o companie sau o linie de business decât o amendă, putând merge până la închidere operațională.
Schrems II a devenit astfel o chestiune la nivel de management/consiliu de conducere al entităților implicate în transferul internațional de date.

Pași practici pe care îi recomandăm în urma hotărârii Schrems II

Ce fel de analiză trebuie să facă exportatorii și importatorii de date? Este suficient standardul aplicabil în cazul unei decizii de adecvare luată în temeiul art. 45 GDPR? Și ce documente trebuie pregătite pentru control sau în cazul în care autoritățile de supraveghere au o opinie contrară și stopează transferul?   

În orice caz, la 29.10.2020, Comitetul European pentru Protecția Datelor (CEPD) a precizat, în documentul de aprobare a Strategiei pentru instituțiile UE privind conformarea la decizia Schrems II, că o astfel de strategie  trebuie să aibă în centru cooperarea și răspunderea operatorilor în evaluarea standardului în mod esențial echivalent cu cel al UE. Totodată, CEPD a încurajat instituțiile UE:

(i)    să nu transfere date în cadrul unor noi activități de prelucrare sau contracte noi cu furnizori de servicii din Statele Unite ale Americii;
(ii)    să realizeze o Analiză de Impact a Transferului (Transfer Impact Assessments - TIAs) pentru toate transferurile internaționale; și
(iii)    să aștepte instrucțiuni din partea CEPD, audituri de conformare și acțiuni de sancționare a transferurilor către SUA și alte țări terțe.

Sugerăm mai jos câteva din acțiunile posibile, care reduc riscul unei analize și utilizări inadecvate ale clauzelor-model în cadrul transferurilor internaționale în curs și al celor viitoare:

1.    cartografierea transferurilor internaționale de date;
2.    realizarea de analize de impact al transferului de date (TIA);
3.    analizarea posibilității de aplicare a derogarilor prevăzute în Articolul 49 GDPR;
4.    luarea de măsuri/garanții de protecție suplimentare (cum ar fi, de exemplu, pseudonimizarea);
5.    revizuirea contractelor cu împuterniciții pentru a asigura un grad sporit de comfort legal și comercial;
6.    revizuirea în mod constant a transferurilor de date efectuate de o organizație.

La 11.11.2020, EPDB a adoptat recomandări ce conțin o serie de pași și măsuri pe care exportatorii de date trebuie să le implementeze pentru a verifica dacă au atins un grad de conformare și protecție privind transferurile internaționale cel puțin echivalent cu cel al Uniunii Europene, precum și recomandări privind Garanțiile Esențiale Europene în ce privește măsurile de supraveghere. La data acestui articol, recomandările nu erau încă publicate însă vom reveni cu mai multe detalii după publicare.

 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


     

    Ascunde Reclama
     
     

    POSTEAZA UN COMENTARIU


    Nume *
    Email (nu va fi publicat) *
    Comentariu *
    Cod de securitate*







    * campuri obligatorii


    Articol 152 / 13401
     

    Ascunde Reclama
     
    BREAKING NEWS
    ESENTIAL
    RTPR a asistat fondatorii în vânzarea Te-Rox Prod. RTPR a anunțat 7 tranzacții de M&A în ultima lună
    Pandemia a generat mandate complexe pentru avocații din practica de Healthcare & Pharma de la Wolf Theiss. Ileana Glodeanu (Partener): Continuăm să fim implicați în câteva tranzacții în sfera biotech și anticipăm câteva mișcări în piață, atât în Pharma, cât și în Healthcare
    BERD acordă un împrumut de 5 mil. EUR combinatului siderurgic Donalam Călăraşi. Finanţare asistată de DLA Piper Romania
    Studiu CMS: Companiile din Europa Centrală și de Est sunt interesate de oportunitățile „verzi” oferite de Inițiativa „Belt & Road”. Varinia Radu, Partner CMS România: Investitorii chinezi și-au exprimat interesul pentru finanțarea și construirea proiectelor feroviare în România, a celor de infrastructură mare, dar și in domeniul energiei regenerabile
    Dubla impozitare și ignorarea prescripției de către Administrația Fondului pentru Mediu, confirmate definitiv ca nelegale de către ICCJ într-o cauză în care avocații D&B au asistat cu succes un contribuabil în disputa fiscală
    Clifford Chance, avocații băncilor în ultima emisiune de eurobonduri pe 2020. Ministerul Finanţelor a împrumutat 2,5 mld. € de pe pieţele externe
    Presiunea bugetară din ce în ce mai mare va obliga statul să caute soluții pentru creșterea încasărilor. Cum lucrează echipele specializate în soluționarea problemelor legate de fiscalitate de la Popescu & Asociații, ce mandate primesc și ce sfaturi le dau clienților în această perioadă
    În spatele scenei, alături de echipa de litigii de la CMS România, a cărei activitate a continuat la turație maximă în perioada crizei medicale. Horia Drăghici, Partener coordonator al practicii: Profilul activității contencioase a rămas în general neschimbat, remarcabilă fiind consolidarea poziției noastre în disputele strategice, ceea ce a generat o creștere a activității și a veniturilor
    Situație “excepțională” în arbitrajul ICSID legat de Roșia Montană. Tribunalul admite o „nouă cerere” introdusă de reclamanți, cu mai multe variante de obținere a unor compensații
    O nouă rundă de promovări la MPR Partners | Maravela, Popescu & Asociații. Trei avocați fac un pas înainte în carieră
    Cum lucrează performanta echipă de litigii fiscale a firmei Reff și Asociații|Deloitte Legal și ce sfaturi oferă clienților intrați în vizorul Fiscului. Mihnea Galgoţiu-Săraru, Partener: E posibil să vedem un fenomen ce se manifestă deja în Europa, al investitorilor privați care solicită daune de la stat pentru măsurile restrictive, pe motiv de discriminare, lipsă de proporționalitate sau absenţa unor măsuri compensatorii corespunzătoare
    „The Lawyer European Awards 2020”: 4 firme cu activitate în România concurează pentru titlu la secțiunea ”Law Firm of the Year: Eastern Europe and the Balkans” | TZA și Popescu & Asociații, pe lista scurtă a premianților. ZRVP concurează, din nou, la titlul „European litigation team of the year”
     
    Citeste pe SeeNews Digital Network
    • BizBanker

    • BizLeader

        in curand...
    • SeeNews

      in curand...