
Hotărârea Schrems II – Cum mai transferăm datele personale către țari terțe? Câteva recomandări practice
23 Noiembrie 2020
Marta Popa, Partener Senior Voicu & FilipescuHotărârea CJUE în cauza C-311/18 - Facebook Ireland și Maximillian Schrems are o importanță unică, evidențiind dreptul fundamental la protecție în cazul transferului în țări terțe de date personale ale cetățenilor UE.
![]() |
Marta Popa, Partener Senior Voicu & Filipescu |
La 16 iulie 2020, Curtea de Justiție a Uniunii Europene a hotărât, în cauza C-311/18 - Data Protection Commissioner împotriva Facebook Ireland și Maximillian Schrems, invalidarea Deciziei 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de Confidențialitate UE-SUA și a considerat validă Decizia 2010/87 a Comisiei privind clauzele contractuale standard pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe.
Obiectul cauzei deduse în fața Curții de Justiție a Uniunii Europene (CJUE)
Hotărârea CJUE în cauza C-311/18 - Facebook Ireland și Maximillian Schrems are o importanță unică, evidențiind dreptul fundamental la protecție în cazul transferului în țări terțe de date personale ale cetățenilor UE. CJUE a considerat că există, în spetă, o serie de vicii în tratamentul datelor personale, în special în ce privește principiul necesității și proporționalității, vicii care au dus în cele din urmă la invalidarea Scutului de Confidențialitate (Privacy Shield) încheiat anterior între Statele Unite ale Americii și Uniunea Europeană.
Obiectul cauzei deduse în fața Curții de Justiție a Uniunii Europene (CJUE)
Hotărârea CJUE în cauza C-311/18 - Facebook Ireland și Maximillian Schrems are o importanță unică, evidențiind dreptul fundamental la protecție în cazul transferului în țări terțe de date personale ale cetățenilor UE. CJUE a considerat că există, în spetă, o serie de vicii în tratamentul datelor personale, în special în ce privește principiul necesității și proporționalității, vicii care au dus în cele din urmă la invalidarea Scutului de Confidențialitate (Privacy Shield) încheiat anterior între Statele Unite ale Americii și Uniunea Europeană.
Cauza a fost inițiată în 2015 de către Max Schrems, activist de protecția datelor care anterior a reușit invalidarea transferurilor în baza mecanismului “Safe Harbor”. Încurajat de acest succes, Max Schrems și-a îndreptat atenția către utilizarea de către Facebook a clauzelor-model (cunoscute și drept Clauze Contractuale Standard sau “SCC”) la transferul în SUA de date personale către entitatea centrală din aceasta țară și a mai depus o plângere la Autoritatea pentru Protecția Datelor din Irlanda (DPC), clamând faptul că abordarea chestiunii protecției datelor de către Statele Unite ale Americii subminează standardele înalte de protecție a datelor stabilite de Uniunea Europeană, astfel că datele nu ar trebui să fie exportate în Statele Unite ale Americii indiferent de mecanismul de transfer utilizat.
Și DPC din Irlanda a ridicat preocupări legate de folosirea SCC în general, astfel încât cauza a ajuns în fața CJUE.
CJUE a apreciat, în speță, că nici Scutul de Confidențialitate și nici măcar clauzele-model privind transferul de date nu pot constitui o bază validă de transfer de către Facebook Ireland al datelor personale către entitatea centrală din SUA, întrucât Facebook este supus legilor supravegherii din Statele Unite ale Americii. În concret, în SUA, cerințele de securitate națională (din partea CIA, FBI sau NSA-n.n.), cele de interes public precum și executarea legilor au prioritate asupra drepturilor fundamentale ale persoanelor ale căror date personale sunt transferate în această țară.
S-a mai reținut de către ECJ și că mecanismul de plângere prevăzut de Scutul de Confidențialitate nu prevede o modalitate de redresare a persoanelor vizate (cetățenii UE) care doresc să se plângă față de modul cum le sunt prelucrate datele în SUA.
Urmare a acestei hotărâri, chiar dacă clauzele-model rămân, în principiu, un mecanism valid pentru exportul de date în afara UE, pentru a se putea baza pe acestea, exportatorii și importatorii datelor vor trebui să desfășoare o analiză serioasă pentru a demonstra că țara primitoare a datelor garantează același nivel de protecție ca și Uniunea Europeană. Și să ia măsuri/garanții suplimentare de protecție, daca nu există o protecție echivalentă.
Regulile corporative obligatorii (BCRs) sunt afectate în același mod de hotărârea Schrems II ca și clauzele-model, deoarece și în cazul acestui instrument de transfer legile americane au prioritate.
O decizie importantă, care permite autorităților de supraveghere să dispună ștergerea datelor, suspendarea sau stoparea transferului, mai degrabă decât să impună penalități
Hotărârea CJUE a pus în dificultate operatorii de date și pe împuterniciții lor în ceea ce privește stabilirea nivelului de adecvare a due diligence-ului pe care trebuie să-l efectueze asupra mecanismului de transfer constând în clauzele-model precum și în ce privește adecvarea altor instrumente de transfer dupa emiterea acestei hotărâri. Alte întrebări dificile sunt cele despre cum vor fi realizate transferurile către țări (non-UE) considerate ca având un nivel și mai mic de protecție, cum ar fi China, Rusia, UK sau Japonia.
În decizia Schrems II, ECJ a mai reținut că autoritățile de supraveghere au dreptul de a audita și a revizui clauzele-model și chiar să suspende sau să dispună încetarea transferului datelor dacă nu există o protecție adecvată în țara primitoare. În practică, aceste măsuri ale autorităților de supraveghere pot afecta mult mai mult o companie sau o linie de business decât o amendă, putând merge până la închidere operațională.
Schrems II a devenit astfel o chestiune la nivel de management/consiliu de conducere al entităților implicate în transferul internațional de date.
Pași practici pe care îi recomandăm în urma hotărârii Schrems II
Ce fel de analiză trebuie să facă exportatorii și importatorii de date? Este suficient standardul aplicabil în cazul unei decizii de adecvare luată în temeiul art. 45 GDPR? Și ce documente trebuie pregătite pentru control sau în cazul în care autoritățile de supraveghere au o opinie contrară și stopează transferul?
În orice caz, la 29.10.2020, Comitetul European pentru Protecția Datelor (CEPD) a precizat, în documentul de aprobare a Strategiei pentru instituțiile UE privind conformarea la decizia Schrems II, că o astfel de strategie trebuie să aibă în centru cooperarea și răspunderea operatorilor în evaluarea standardului în mod esențial echivalent cu cel al UE. Totodată, CEPD a încurajat instituțiile UE:
(i) să nu transfere date în cadrul unor noi activități de prelucrare sau contracte noi cu furnizori de servicii din Statele Unite ale Americii;
(ii) să realizeze o Analiză de Impact a Transferului (Transfer Impact Assessments - TIAs) pentru toate transferurile internaționale; și
(iii) să aștepte instrucțiuni din partea CEPD, audituri de conformare și acțiuni de sancționare a transferurilor către SUA și alte țări terțe.
Sugerăm mai jos câteva din acțiunile posibile, care reduc riscul unei analize și utilizări inadecvate ale clauzelor-model în cadrul transferurilor internaționale în curs și al celor viitoare:
1. cartografierea transferurilor internaționale de date;
2. realizarea de analize de impact al transferului de date (TIA);
3. analizarea posibilității de aplicare a derogarilor prevăzute în Articolul 49 GDPR;
4. luarea de măsuri/garanții de protecție suplimentare (cum ar fi, de exemplu, pseudonimizarea);
5. revizuirea contractelor cu împuterniciții pentru a asigura un grad sporit de comfort legal și comercial;
6. revizuirea în mod constant a transferurilor de date efectuate de o organizație.
La 11.11.2020, EPDB a adoptat recomandări ce conțin o serie de pași și măsuri pe care exportatorii de date trebuie să le implementeze pentru a verifica dacă au atins un grad de conformare și protecție privind transferurile internaționale cel puțin echivalent cu cel al Uniunii Europene, precum și recomandări privind Garanțiile Esențiale Europene în ce privește măsurile de supraveghere. La data acestui articol, recomandările nu erau încă publicate însă vom reveni cu mai multe detalii după publicare.
Publicitate pe BizLawyer? |
![]() ![]() |
Articol 8329 / 9725 | Următorul articol |
Publicitate pe BizLawyer? |
![]() |

BREAKING NEWS
ESENTIAL
Clifford Chance a asistat băncile în legătură cu emisiunea record de 1,5 miliarde RON a Băncii Transilvania, prima sa emisiune de obligațiuni sustenabile denominată în lei. Proiect coordonat din București, cu avocați din Londra în echipă
Women in Business Law EMEA Awards 2025 | CMS câștigă titlul de de “Firma anului în România”. Un avocat in-house local, desemnat ”General Counsel of the Year” pentru regiune
LegiTeam: Atorney at Law (0 - 2 years) - Dispute Resolution | Reff & Associates
Tranzacție rară pe piața românească | Cum au lucrat avocații Legal Ground în proiectul legat de achiziția unor obligațiuni ‘tokenizate’, înregistrate și tranzacționate prin sistemul blockchain. Mihai Dudoiu (Partener): ”Pe lângă aspectele comune unor proiecte de finanțare ‘clasice’, a fost necesară integrarea unei componente de fintech. Arhitectura juridică a trebuit adaptată unui cadru relativ nou și încă în formare din punct de vedere normativ”
BizLawyer îi prezintă pe avocații care au devenit parteneri în ultimele runde de promovări | Corina Roman, avocat format în câteva firme mari, spune că a regăsit „cu drag”, la BACIU PARTNERS, aceeași preocupare pentru knowledge și dedicare față de mandatele primite de la clienți. “Nu am crezut niciodată că voi lucra într-un proiect cu sateliți, dar iată că aici am avut această ocazie. Și mi-a plăcut enorm, pentru că m-a scos din zona de confort. Acum, datorită acelei experiențe, știm mai multe și putem explora și acest tip de proiecte la nivel de echipă”
Employment | Pe parcursul ultimului an, s-a remarcat o preocupare crescută din partea angajatorilor pentru „descifrarea” obligațiilor tot mai complexe care le revin în temeiul legislației de dată recentă, spun avocații specializați în Dreptul Muncii de la PNSA. De vorbă cu Ioana Cazacu, coordonatoarea practicii, despre noutățile din legislația muncii, solicitările clienților și mandatele complexe în care a fost implicată echipa
BRD coordonează un club loan de 190 mil. € pentru NE Property BV. Avocații CMS au consiliat consorțiul bancar în această finanțare
LegiTeam: Lawyer - Corporate M&A | Reff & Associates
Cine sunt campionii pieței locale evidențiați în ultimul clasament IP Stars 2025 | Baciu Partners are cele mai multe recomandări în prima bandă din domeniul mărcilor. ZRVP și Dincă & Speciac sunt pe primul palier al performanței, urmate de Mușat & Asociații și NNDKP
CMS își consolidează echipa din România prin promovarea a șapte avocați | Horea Popescu, managing partner CMS România: ”Aceste promovări reflectă nu doar calitatea muncii lor, ci și energia și dedicarea cu care aduc rezultate remarcabile clienților noștri și ne poziționează perfect pentru a ne continua creșterea și dezvoltarea competențelor”
LegiTeam | Mitel & Asociații recrutează avocat cu experiență (Litigii și Soluționare a Disputelor)
Țuca Zbârcea & Asociații câștigă pentru Silcotub un litigiu major privind recalcularea prețului energiei electrice în lumina Ordonanței de urgență nr. 27 ̸ 2022
Citeste pe SeeNews Digital Network
-
BizBanker
-
BizLeader
- in curand...
-
SeeNews
in curand...