Aici descoperim
dreptul tehnologiei

Avocatul-General-CJUE_-Facebook-transferă-datele-în-siguranță.png

Curtea de Justiție a Uniunii Europene
COMUNICAT DE PRESĂ nr. 165/19
Luxemburg, 19 decembrie 2019
Concluziile avocatului general în cauza C-311/18
Data Protection Commissioner/Facebook Ireland Limited, Maximilian
Schrems

Potrivit avocatului general Saugmandsgaard Øe, Decizia 2010/87/UE a Comisiei
privind clauzele contractuale tip pentru transferul de date cu caracter personal către
persoane împuternicite de către operator stabilite în țări terțe este validă

 

Regulamentul general privind protecția datelor (RGPD), asemenea Directivei privind prelucrarea datelor cu caracter personal pe care a înlocuit-o, prevede că datele cu caracter personal pot fi transferate către o țară terță dacă aceasta din urmă asigură un nivel adecvat de protecție a acestor date. În lipsa unei decizii a Comisiei prin care se constată caracterul adecvat al nivelului de protecție asigurat în țara terță în cauză, operatorul poate totuși efectua transferul dacă acesta este prevăzut cu garanții corespunzătoare. Aceste garanții pot în special lua forma unui contract între exportatorul și importatorul de date care să conțină clauze tip de protecție prevăzute într-o decizie a Comisiei. Prin Decizia 2010/87/UE 3, Comisia a instituit clauze contractuale tip pentru transferul de date cu caracter personal către persoane împuternicite de către operator stabilite în țări terțe. Prezenta cauză privește validitatea acestei decizii.

Situația de fapt și istoricul litigiului principal

Litigiul principal are în istoricul său o procedură inițiată de domnul Maximillian Schrems, un utilizator austriac al Facebook, și în care s-a pronunțat deja o Hotărâre a Curții de Justiție la 6 octombrie 2015 (denumită în continuare „Hotărârea Schremsˮ).

Datele utilizatorilor de Facebook care au reședința în Uniune, precum domnul Schrems, sunt transferate, în tot sau în parte, de la Facebook Ireland, filiala irlandeză a Facebook Inc., pe servere situate pe teritoriul Statelor Unite, unde fac obiectul unei prelucrări. În 2013, domnul Schrems a depus o plângere la autoritatea irlandeză responsabilă de supravegherea aplicării dispozițiilor de protecție a datelor cu caracter personal (denumită în continuare „autoritatea de supraveghereˮ), considerând că, având în vedere dezvăluirile făcute de domnul Edward Snowden cu privire la activitățile serviciilor de informații ale Statelor Unite (în special National Security Agency sau „NSA”), dreptul și practicile din Statele Unite nu asigură o protecție suficientă a datelor transferate către această țară împotriva supravegherii de către autoritățile publice. Autoritatea de supraveghere a respins această plângere, în special pentru motivul că în decizia sa din 26 iulie 2000, Comisia a apreciat că în cadrul regimului denumit al „sferei de siguranțăˮ, Statele Unite asigură un nivel adecvat de protecție a datelor cu caracter personal transferate. Prin Hotărârea Schrems, Curtea de Justiție, răspunzând la o întrebare adresată de High Court (Înalta Curte de Justiție, Irlanda), a declarat nevalidă Decizia „Sfera de siguranțăˮ.

 

 

Ca urmare a Hotărârii Schrems, instanța de trimitere a anulat decizia prin care autoritatea de supraveghere a respins plângerea domnului Schrems și a trimis-o la această autoritate spre reexaminare. Aceasta a deschis o investigație și a solicitat domnului Schrems să își reformuleze plângerea ținând seama de declararea caracterului nevalid al Deciziei „Sfera de siguranțăˮ.

În acest scop, domnul Schrems a solicitat Facebook Ireland să precizeze temeiurile juridice pe care sunt întemeiate transferurile datelor cu caracter personal ale utilizatorilor Facebook din Uniune către Statele Unite. Facebook Ireland a menționat un acord de transfer și de prelucrare a datelor (data transfer processing agreement) încheiat între ea însăși și Facebook Inc., aplicabil începând cu 20 noiembrie 2015, și a invocat Decizia 2010/87.

În plângerea sa reformulată, domnul Schrems susține, pe de o parte, că clauzele conținute în acest acord nu sunt conforme cu clauzele contractuale tip prevăzute de Decizia 2010/87 și, pe de altă parte, că aceste clauze contractuale tip nu ar putea, indiferent de situație, să justifice transferul datelor cu caracter personal care îl privesc către Statele Unite. Domnul Schrems afirmă, astfel, că nicio cale de atac nu permite persoanelor vizate să își valorifice în Statele Unite drepturile la respectarea vieții private și la protecția datelor cu caracter personal. În aceste condiții, domnul Schrems solicită autorității de supraveghere să suspende acest transfer în temeiul Deciziei 2010/87.

Prin investigația sa, autoritatea de supraveghere urmărea să stabilească dacă Statele Unite asigură o protecție adecvată a datelor cu caracter personal ale cetățenilor Uniunii și, în cazul unui răspuns negativ, dacă utilizarea clauzelor contractuale tip prezintă garanții suficiente în ceea ce privește protecția libertăților și a drepturilor fundamentale ale acestora din urmă. Apreciind că instrumentarea plângerii domnului Schrems depinde de aspectul dacă Decizia 2010/87 este validă, autoritatea de supraveghere a inițiat o procedură în fața High Court pentru ca aceasta să se adreseze Curții în legătură cu acest subiect. High Court a efectuat trimiterea preliminară solicitată de această autoritate.

În concluziile prezentate astăzi, avocatul general Henrik Saugmandsgaard Øe propune Curții de Justiție să răspundă că analiza întrebărilor nu a evidențiat elemente de natură să afecteze validitatea Deciziei 2010/87.

Avocatul general observă cu titlu introductiv că litigiul principal are unica miză de a se stabili dacă Decizia 2010/87, prin care Comisia a instituit clauzele contractuale tip invocate în sprijinul transferurilor vizate în plângerea domnului Schrems, este validă.

Avocatul general consideră în primul rând că dreptul Uniunii se aplică transferurilor de date cu caracter personal către o țară terță atunci când aceste transferuri sunt subordonate unor finalități comerciale, deși datele transferate sunt susceptibile să facă obiectul unei prelucrări în scopuri de securitate din partea autorităților publice din această țară terță

KIT GDPR Premium

 

În al doilea rând, avocatul general constată că dispozițiile RGPD referitoare la transferurile către țări terțe au scopul de a asigura continuitatea unui nivel ridicat de protecție a datelor cu caracter personal, indiferent dacă datele sunt transferate în temeiul unei decizii privind caracterul adecvat sau pe baza unor garanții adecvate furnizate de exportator. În opinia lui, modul de atingere a acestui obiectiv diferă însă în funcție de temeiul juridic al transferului. Pe de o parte, o decizie privind caracterul adecvat are ca obiect constatarea faptului că o țară terță determinată asigură, în considerarea dreptului și a practicilor aplicabile în aceasta, un nivel de protecție a drepturilor fundamentale ale persoanelor ale căror date sunt transferate care să fie în esență echivalent celui rezultat din RGPD, interpretat în lumina cartei. Pe de altă parte, garanțiile adecvate furnizate de exportator, în special pe cale contractuală, trebuie să asigure în sine un asemenea nivel de protecție. În acest sens, clauzele contractuale tip adoptate de Comisie prevăd un mecanism general aplicabil transferurilor indiferent de țara terță de destinație și de nivelul de protecție asigurat în aceasta.

Te-ar putea interesa și:

Avocatul general efectuează în al treilea rând o analiză a validității Deciziei 2010/87 din perspectiva cartei. El apreciază că faptul că această decizie și clauzele contractuale tip pe care le prevede nu sunt obligatorii pentru autoritățile țării terțe de destinație și așadar nu le împiedică să impună importatorului obligații incompatibile cu respectarea acestor clauze nu determină în sine caracterul nevalid al deciziei amintite. Conformitatea Deciziei 2010/87 cu carta depinde de aspectul dacă există mecanisme suficient de solide care permit să se asigure suspendarea sau interzicerea transferurilor întemeiate pe clauze contractuale tip în cazul încălcării acestor clauze sau al imposibilității de a le respecta.

 

În opinia lui, această situație se regăsește în măsura în care există o obligație – ce revine operatorilor și, în cazul inacțiunii acestora din urmă, autorităților de supraveghere – de a suspenda sau de a interzice un transfer atunci când, din cauza unui conflict între obligațiile care decurg din clauzele tip și cele impuse de dreptul țării terțe de destinație, aceste clauze nu pot fi respectate.

Avocatul general constată pe de altă parte că instanța de trimitere repune în discuție în mod indirect anumite aprecieri efectuate de Comisie în Decizia din 12 iulie 2016, denumită „Scutul de confidențialitateˮ. În această decizie, Comisia a constatat că Statele Unite asigură un nivel
adecvat de protecție a datelor transferate din Uniune în cadrul regimului stabilit prin această decizie, având în vedere în special garanțiile cu privire la accesul autorităților din serviciul de informații americane la aceste date, precum și protecția juridică oferită persoanelor ale căror date sunt transferate. În opinia avocatului general, soluționarea litigiului principal nu necesită pronunțarea Curții cu privire la validitatea Deciziei „Scutul de confidențialitateˮ întrucât acest litigiu are ca obiect numai validitatea Deciziei 2010/87. Avocatul general prezintă însă cu titlu subsidiar motivele care îl fac să ridice problema validității Deciziei „Scutul de confidențialitateˮ din perspectiva drepturilor la respectarea vieții private și la protecția datelor cu caracter personal, precum și a dreptului la o cale de atac eficientă.

Sursa

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



people-holding-social-media-icons_53876-63368.jpg

Hotărârea în cauza C-40/17
Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV

 

Administratorul unui site internet echipat cu butonul „îmi place” al Facebook poate
fi operator, împreună cu Facebook, în privința colectării și a transmiterii către
Facebook a datelor cu caracter personal ale vizitatorilor site-ului său

În schimb, acesta nu este, în principiu, operator în ceea ce privește prelucrarea ulterioară a
acestor date de către Facebook singur

Fashion ID, întreprindere germană care comercializează online articole de modă, a inserat pe siteul său internet butonul „îmi place” al  Facebook. Această inserare pare să fi avut drept consecință faptul că, atunci când un vizitator consultă site-ul internet al Fashion ID, date cu caracter personal ale acestui vizitator sunt transmise către Facebook Ireland. Se pare că această transmitere se realizează fără ca respectivul vizitator să fie conștient de ea și indiferent dacă el este membru al rețelei sociale Facebook sau dacă a clicat pe butonul „îmi place”.

Verbraucherzentrale NRW, asociație germană de utilitate publică pentru apărarea intereselor consumatorilor, reproșează societății Fashion ID că a transmis societății Facebook Ireland date cu caracter personal aparținând vizitatorilor site-ului său internet, pe de o parte, fără consimțământul acestora din urmă și, pe de altă parte, cu încălcarea obligațiilor de informare prevăzute de dispozițiile referitoare la protecția datelor personale.

Sesizat cu litigiul, Oberlandesgericht Düsseldorf (Tribunalul Regional Superior din Düsseldorf, Germania) solicită Curții să interpreteze mai multe dispoziții ale vechii directive din 1995 privind protecția datelor (care rămâne aplicabilă acestei cauze și care a fost înlocuită de Regulamentul General din 2016 privind Protecția Datelor aplicabil de la 25 mai 2018).

 

În hotărârea sa de astăzi, Curtea precizează, mai întâi, că vechea directivă privind protecția datelor nu se opune ca asociațiilor pentru apărarea intereselor consumatorilor să li se confere dreptul de a introduce acțiuni în justiție împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal. Curtea arată că noul regulament general privind protecția datelor prevede în prezent în mod expres o asemenea posibilitate.

Curtea constată în continuare că Fashion ID pare să nu poată fi considerată operator în privința operațiunilor de prelucrare de date efectuate de Facebook Ireland după transmiterea lor către aceasta din urmă. Astfel, este exclus, la prima vedere, ca Fashion ID să stabilească scopurile și mijloacele acestor operațiuni.

În schimb, Fashion ID poate fi considerată operator împreună cu Facebook Ireland în privința operațiunilor de colectare și de dezvăluire prin transmitere către Facebook Ireland a datelor în cauză, din moment ce se poate considera (sub rezerva verificărilor pe care urmează să le efectueze Oberlandesgericht Düsseldorf) că Fashion ID și Facebook Ireland le determină împreună scopurile și mijloacele. 

Te-ar putea interesa și:

Se pare printre altele că inserarea de către Fashion ID a butonului „îmi place” al Facebook pe siteul său internet îi permite să optimizeze publicitatea pentru produsele sale făcându-le mai vizibile pe rețeaua socială Facebook atunci când un vizitator al site-ului său internet clichează pe butonul respectiv. Tocmai pentru a putea beneficia de acest avantaj comercial, Fashion ID, prin inserarea unui asemenea buton pe site-ul său internet, pare să își fi dat consimțământul, cel puțin implicit,pentru colectarea și dezvăluirea prin transmitere a datelor cu caracter personal ale vizitatorilor site-ului său. Astfel, aceste operațiuni de prelucrare par să fie efectuate în interesul economic atât al Fashion ID, cât și al Facebook Ireland, pentru care posibilitatea de a dispune de aceste date în propriile scopuri comerciale constituie contrapartida avantajului oferit societății Fashion ID.

Curtea subliniază că administratorul unui site internet, cum este Fashion ID, în calitate de operator asociat în privința anumitor operațiuni de prelucrare a datelor vizitatorilor site-ului său, precum colectarea datelor și transmiterea lor către Facebook Ireland, trebuie să furnizeze, la momentul colectării, anumite informații acestor vizitatori, cum ar fi, de exemplu, identitatea sa și scopurile prelucrării. Dacă folosești butonul like de la Facebook, ar trebui să explici acest lucru vizitatorului pe site. Află cum să redactezi și să implementezi corect politica de confidențialitate pe site-ul tău aici

Curtea oferă de asemenea precizări în privința a două dintre cele șase cazuri de prelucrare legitimă a datelor cu caracter personal, prevăzute de directivă.

Astfel, în ceea ce privește cazul în care persoana vizată și-a dat consimțământul, Curtea decide că administratorul unui site internet, cum este Fashion ID, trebuie să obțină acest consimțământ în prealabil (numai) pentru operațiunile în privința cărora este operator asociat, și anume colectarea și transmiterea datelor.

În ceea ce privește cazurile în care prelucrarea de date este necesară pentru realizarea unui interes legitim, Curtea decide că fiecare dintre persoanele care au calitatea de operator asociat în privința prelucrării, și anume administratorul site-ului internet și furnizorul modulului social, trebuie să urmărească, prin intermediul colectării și al transmiterii datelor cu caracter personal, un interes legitim pentru ca aceste operațiuni să fie justificate în privința sa.

 

Te-ar putea interesa și:

Sursa Curia

 


 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

Vrei să înveți cum să implementezi corect GDPR în domeniul medical? Îți recomandăm cursul online creat de specialiștii GDPR în domeniu medical care poate fi accesat aici.

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]


jbareham_180405_1777_facebook_0003.0-1200x800.jpg

Autoritea de supraveghere a prelucrării datelor din Italia a amendat Facebook cu un milion de euro pentru încălcarea legislației naționale italiene cu privire la protecția datelor cu caracter personal, în legătură cu scandalul Cambridge Analytica.

Anul trecut s-a aflat că datele personale a aproape 87 de milioane de utilizatori Facebook au fost culese ilegal de către o aplicație de data mining cu scop politic, Cambridge Analytica.

Aceste acuzații au apărut înainte de aplicarea directă a Regulamentului GDPR din 25 mai 2018  care prevede amenzi de până la 20.000.ooo euro, astfel justificându-se amenda relativ mică aplicată Facebook în acest caz. Autoritatea de supraveghere din Italia și-a întemeiat amenda pe legislația națională în vigoare înainte de aplicarea GDPR, amendând Facebook cu un milion de euro.

 

 

Autoritatea de supraveghere din Italia precizează că 57 de utilizatori Facebook au downloadat Testul Thisisyourdigitallife, test psihologic folosit pentru a colecta în masă datele personale ale utilizatorilor platformei, date care ar fi fost folosite ulterior pentru manipularea campaniilor electorale. Facebook a permis acestei aplicații accesul la lista de prieteni a fiecărei persoane care a descărcat aplicația, în consecință, potrivit Autorității de supraveghere din Italua, datele a 214,077 italieni au fost prelucrate, în lipsa consimțământului sau al altui temei legal, de către aplicație.

Potrivit informațiilor transmise de Autoritatea de supraveghere din italia, cuantumul amenzii a fost stabilit luându-se în calcul numărul utilizatorilor afectați, situația economică a Facebook și numărul utilizatorilor globali și italieni ai companiei. 

Anul trecut, Facebook a fost amendată de Autoritatea de Concurență din Italia cu 10 milioane de euro pentru vânzarea datelor personale fără a informa corect utilizatorii.

Totodată, în 2017, Facebook a fost amendat cu 3 milioane de euro pentru partajarea ilegală a datelor utilizatorilor cu Whatsapp.

Vrei să înveți cum să implementezi corect GDPR și să eviți amenzile? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

Sursa

 


 

Te-ar putea interesa și:


arhive-transferuri-de-date-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord