CJUE. AG. Validitatea clauzelor contractuale standard pentru transferul de date

Share on facebook
Share on google
Share on twitter
Share on linkedin
5/5

Curtea de Justiție a Uniunii Europene
COMUNICAT DE PRESĂ nr. 165/19
Luxemburg, 19 decembrie 2019
Concluziile avocatului general în cauza C-311/18
Data Protection Commissioner/Facebook Ireland Limited, Maximilian
Schrems

Potrivit avocatului general Saugmandsgaard Øe, Decizia 2010/87/UE a Comisiei
privind clauzele contractuale tip pentru transferul de date cu caracter personal către
persoane împuternicite de către operator stabilite în țări terțe este validă

 

Regulamentul general privind protecția datelor (RGPD), asemenea Directivei privind prelucrarea datelor cu caracter personal pe care a înlocuit-o, prevede că datele cu caracter personal pot fi transferate către o țară terță dacă aceasta din urmă asigură un nivel adecvat de protecție a acestor date. În lipsa unei decizii a Comisiei prin care se constată caracterul adecvat al nivelului de protecție asigurat în țara terță în cauză, operatorul poate totuși efectua transferul dacă acesta este prevăzut cu garanții corespunzătoare. Aceste garanții pot în special lua forma unui contract între exportatorul și importatorul de date care să conțină clauze tip de protecție prevăzute într-o decizie a Comisiei. Prin Decizia 2010/87/UE 3, Comisia a instituit clauze contractuale tip pentru transferul de date cu caracter personal către persoane împuternicite de către operator stabilite în țări terțe. Prezenta cauză privește validitatea acestei decizii.

Situația de fapt și istoricul litigiului principal

Litigiul principal are în istoricul său o procedură inițiată de domnul Maximillian Schrems, un utilizator austriac al Facebook, și în care s-a pronunțat deja o Hotărâre a Curții de Justiție la 6 octombrie 2015 (denumită în continuare „Hotărârea Schremsˮ).

Datele utilizatorilor de Facebook care au reședința în Uniune, precum domnul Schrems, sunt transferate, în tot sau în parte, de la Facebook Ireland, filiala irlandeză a Facebook Inc., pe servere situate pe teritoriul Statelor Unite, unde fac obiectul unei prelucrări. În 2013, domnul Schrems a depus o plângere la autoritatea irlandeză responsabilă de supravegherea aplicării dispozițiilor de protecție a datelor cu caracter personal (denumită în continuare „autoritatea de supraveghereˮ), considerând că, având în vedere dezvăluirile făcute de domnul Edward Snowden cu privire la activitățile serviciilor de informații ale Statelor Unite (în special National Security Agency sau „NSA”), dreptul și practicile din Statele Unite nu asigură o protecție suficientă a datelor transferate către această țară împotriva supravegherii de către autoritățile publice. Autoritatea de supraveghere a respins această plângere, în special pentru motivul că în decizia sa din 26 iulie 2000, Comisia a apreciat că în cadrul regimului denumit al „sferei de siguranțăˮ, Statele Unite asigură un nivel adecvat de protecție a datelor cu caracter personal transferate. Prin Hotărârea Schrems, Curtea de Justiție, răspunzând la o întrebare adresată de High Court (Înalta Curte de Justiție, Irlanda), a declarat nevalidă Decizia „Sfera de siguranțăˮ.

 

 

Ca urmare a Hotărârii Schrems, instanța de trimitere a anulat decizia prin care autoritatea de supraveghere a respins plângerea domnului Schrems și a trimis-o la această autoritate spre reexaminare. Aceasta a deschis o investigație și a solicitat domnului Schrems să își reformuleze plângerea ținând seama de declararea caracterului nevalid al Deciziei „Sfera de siguranțăˮ.

În acest scop, domnul Schrems a solicitat Facebook Ireland să precizeze temeiurile juridice pe care sunt întemeiate transferurile datelor cu caracter personal ale utilizatorilor Facebook din Uniune către Statele Unite. Facebook Ireland a menționat un acord de transfer și de prelucrare a datelor (data transfer processing agreement) încheiat între ea însăși și Facebook Inc., aplicabil începând cu 20 noiembrie 2015, și a invocat Decizia 2010/87.

În plângerea sa reformulată, domnul Schrems susține, pe de o parte, că clauzele conținute în acest acord nu sunt conforme cu clauzele contractuale tip prevăzute de Decizia 2010/87 și, pe de altă parte, că aceste clauze contractuale tip nu ar putea, indiferent de situație, să justifice transferul datelor cu caracter personal care îl privesc către Statele Unite. Domnul Schrems afirmă, astfel, că nicio cale de atac nu permite persoanelor vizate să își valorifice în Statele Unite drepturile la respectarea vieții private și la protecția datelor cu caracter personal. În aceste condiții, domnul Schrems solicită autorității de supraveghere să suspende acest transfer în temeiul Deciziei 2010/87.

Prin investigația sa, autoritatea de supraveghere urmărea să stabilească dacă Statele Unite asigură o protecție adecvată a datelor cu caracter personal ale cetățenilor Uniunii și, în cazul unui răspuns negativ, dacă utilizarea clauzelor contractuale tip prezintă garanții suficiente în ceea ce privește protecția libertăților și a drepturilor fundamentale ale acestora din urmă. Apreciind că instrumentarea plângerii domnului Schrems depinde de aspectul dacă Decizia 2010/87 este validă, autoritatea de supraveghere a inițiat o procedură în fața High Court pentru ca aceasta să se adreseze Curții în legătură cu acest subiect. High Court a efectuat trimiterea preliminară solicitată de această autoritate.

În concluziile prezentate astăzi, avocatul general Henrik Saugmandsgaard Øe propune Curții de Justiție să răspundă că analiza întrebărilor nu a evidențiat elemente de natură să afecteze validitatea Deciziei 2010/87.

Avocatul general observă cu titlu introductiv că litigiul principal are unica miză de a se stabili dacă Decizia 2010/87, prin care Comisia a instituit clauzele contractuale tip invocate în sprijinul transferurilor vizate în plângerea domnului Schrems, este validă.

Avocatul general consideră în primul rând că dreptul Uniunii se aplică transferurilor de date cu caracter personal către o țară terță atunci când aceste transferuri sunt subordonate unor finalități comerciale, deși datele transferate sunt susceptibile să facă obiectul unei prelucrări în scopuri de securitate din partea autorităților publice din această țară terță

KIT GDPR Premium

 

În al doilea rând, avocatul general constată că dispozițiile RGPD referitoare la transferurile către țări terțe au scopul de a asigura continuitatea unui nivel ridicat de protecție a datelor cu caracter personal, indiferent dacă datele sunt transferate în temeiul unei decizii privind caracterul adecvat sau pe baza unor garanții adecvate furnizate de exportator. În opinia lui, modul de atingere a acestui obiectiv diferă însă în funcție de temeiul juridic al transferului. Pe de o parte, o decizie privind caracterul adecvat are ca obiect constatarea faptului că o țară terță determinată asigură, în considerarea dreptului și a practicilor aplicabile în aceasta, un nivel de protecție a drepturilor fundamentale ale persoanelor ale căror date sunt transferate care să fie în esență echivalent celui rezultat din RGPD, interpretat în lumina cartei. Pe de altă parte, garanțiile adecvate furnizate de exportator, în special pe cale contractuală, trebuie să asigure în sine un asemenea nivel de protecție. În acest sens, clauzele contractuale tip adoptate de Comisie prevăd un mecanism general aplicabil transferurilor indiferent de țara terță de destinație și de nivelul de protecție asigurat în aceasta.

Te-ar putea interesa și:

Avocatul general efectuează în al treilea rând o analiză a validității Deciziei 2010/87 din perspectiva cartei. El apreciază că faptul că această decizie și clauzele contractuale tip pe care le prevede nu sunt obligatorii pentru autoritățile țării terțe de destinație și așadar nu le împiedică să impună importatorului obligații incompatibile cu respectarea acestor clauze nu determină în sine caracterul nevalid al deciziei amintite. Conformitatea Deciziei 2010/87 cu carta depinde de aspectul dacă există mecanisme suficient de solide care permit să se asigure suspendarea sau interzicerea transferurilor întemeiate pe clauze contractuale tip în cazul încălcării acestor clauze sau al imposibilității de a le respecta.

 

În opinia lui, această situație se regăsește în măsura în care există o obligație – ce revine operatorilor și, în cazul inacțiunii acestora din urmă, autorităților de supraveghere – de a suspenda sau de a interzice un transfer atunci când, din cauza unui conflict între obligațiile care decurg din clauzele tip și cele impuse de dreptul țării terțe de destinație, aceste clauze nu pot fi respectate.

Avocatul general constată pe de altă parte că instanța de trimitere repune în discuție în mod indirect anumite aprecieri efectuate de Comisie în Decizia din 12 iulie 2016, denumită „Scutul de confidențialitateˮ. În această decizie, Comisia a constatat că Statele Unite asigură un nivel
adecvat de protecție a datelor transferate din Uniune în cadrul regimului stabilit prin această decizie, având în vedere în special garanțiile cu privire la accesul autorităților din serviciul de informații americane la aceste date, precum și protecția juridică oferită persoanelor ale căror date sunt transferate. În opinia avocatului general, soluționarea litigiului principal nu necesită pronunțarea Curții cu privire la validitatea Deciziei „Scutul de confidențialitateˮ întrucât acest litigiu are ca obiect numai validitatea Deciziei 2010/87. Avocatul general prezintă însă cu titlu subsidiar motivele care îl fac să ridice problema validității Deciziei „Scutul de confidențialitateˮ din perspectiva drepturilor la respectarea vieții private și la protecția datelor cu caracter personal, precum și a dreptului la o cale de atac eficientă.

Sursa

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]


Ruxandra Sava

Ruxandra Sava

Pasiunea m-a condus către avocatură. Experiența în jurnalism m-a condus către blogging. Viziunea m-a condus către dreptul tehnologiei. În iunie 2017, am adunat resursele și am fondat LegalUp.ro. Cu o viziune optimistă asupra vieții, în prezent, mă orientez spre descoperirea și depășirea propriilor limite.

Despre LegalUp

LegalUp Innovators at Law. Creativi, vizionari și inovatori, noi avem cea mai bună soluție acolo unde tehnologia se intersectează cu dreptul.

Articole recente

Fii la curent cu noi

Servicii și produse recomandate

Vreau să fiu la curent cu articolele LegalUp

Prin abonarea la newsletter, declari că ai peste 16 ani, că ai citit și că ești de acord cu Politica de confidențialitate 

  • Contract de prelucrare date Operatori Asociați

    350lei
  • Pachet GDPR supraveghere video (CCTV)

    500lei
  • KIT GDPR magazin online

    600lei
  • Termeni si conditii magazin online

    350lei
  • Analiză interes legitim monitorizare CCTV

    190lei
  • Regulamentul General privind Protectia Datelor (GDPR) pe întelesul tău. Sinteză teoretică și recomandări practice. Carte GDPR

    97lei
cjue-ag-validitatea-clauzelor-contractuale-standard-pentru-transferul-de-date-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord