Update: CJUE a invalidat Scutul de Confidențialitate UE – SUA (Privacy Shield), prin urmare transferurile care se bazau pe Privacy Shield ar trebui să își găsească alt temei în RGPD.
Regulamentul UE privind protecția generală a datelor (GDPR), care a intrat în vigoare începând cu 25 mai 2018, impune organizațiilor să respecte anumite standarde atunci când transferă date cu caracter personal către țări non-UE sau țări terțe. Cerințele majore privind transferul datelor cu caracter personal către SUA, rolul Privacy Shield UE-SUA și alte opțiuni de confidențialitate sunt enumerate mai jos.
Unde întâlnim transferul de date către SUA?
Datele personale pot fi transferate către SUA ca parte a unei gestionări centralizate a datelor de către o societate-mamă americană sau dacă o companie utilizează furnizori de servicii din SUA pentru managementul resurselor umane. Datele pot fi, de asemenea, transferate „în culise” dacă o companie utilizează un cloud pentru datele despre clienți, iar serverele furnizorului sunt situate în SUA. Datele personale pot fi accesate numai din SUA (dezvăluirea prin transfer, a se vedea articolul 4 nr. 2 GDPR). Pur și simplu, oricine introduce date personale într-o rețea de date accesibilă în SUA, transferă date către SUA.
Ce trebuie luat în considerare în cazul transferului de date?
Potrivit GDPR, orice transfer de date cu caracter personal într-o țară terță (sau într-o organizație internațională) necesită o dublă revizuire. Justificarea prelucrării datelor nu este suficientă, cum ar fi în Legea germană privind protecția datelor. GDPR stabilește cerințele legale privind transferul de date către o țară terță, inclusiv deciziile privind caracterul adecvat, garanțiile corespunzătoare și consimțământul persoanei vizate.
- Transferuri pe baza unei decizii privind caracterul adecvat, articolul 45 GDPR
Este destul de simplă transferarea datelor către o țară terță dacă această țară, în opinia Comisiei Europene (CE), beneficiază de un nivel adecvat de protecție.
Anterior, în conformitate cu Directiva 95/46 / CE, CE a stabilit o protecție adecvată prin aplicarea unei decizii privind caracterul adecvat, pe baza angajamentelor internaționale ale țării terțe. Deciziile privind caracterul adecvat ale CE adoptate înainte de 25 mai 2018 vor rămâne în vigoare în cadrul GDPR și în prezent includ Canada, Noua Zeelandă, Argentina și Elveția, care sunt considerate „țări terțe sigure pentru protecția datelor”. CE nu a adoptat o decizie generală privind caracterul adecvat pentru SUA, dar a stabilit condiții pentru transferul de date acolo (a se vedea al patrulea punct de mai jos), iar datele pot fi transferate către orice țară terță care îndeplinește acest standard.
- Măsuri de protecție adecvate, articolul 46 GDPR
În absența unei decizii din partea CE, datele cu caracter personal pot fi transferate către o țară terță numai dacă sunt disponibile garanții adecvate, date cu caracter executoriu, sunt disponibile drepturi de autor și căi de atac pentru persoanele vizate (articolul 46 din GDPR), cum ar fi conținutul contractului standard al UE sau reguli corporatiste obligatorii.
În principiu, întreprinderile pot transfera date către o țară terță (articolul 49 din GDPR) dacă obțin consimțământul persoanei vizate, dar trebuie să poată demonstra acest lucru (articolul 7).
În Germania, Legea privind protecția datelor consideră raportul de muncă drept justificare pentru a solicita consimțământul. Cu toate acestea, potrivit articolului 26 alineatul (2) din Legea privind Protecția Datelor, angajatorul trebuie să evalueze în fiecare caz în parte dacă acordul a fost dat în mod liber: „În special, gradul de dependență al angajatului în raportul de muncă și circumstanțele în care a fost dat consimțământul trebuie luate în considerare.” Începând cu data de 25 mai 2018, angajații germani trebuie să depună declarații scrise de consimțământ și trebuie să primească o declarație scrisă din partea companiei cu privire la scopul prelucrării datelor și dreptul lor de a-și retrage consimțământul în orice moment.
În general, consimțământul nu este sigur din punct de vedere juridic și nici practic pentru transferurile de date către țări terțe, deoarece angajații își dau consimțământul doar în anumite cazuri. De asemenea, angajații își pot retrage consimțământul în orice moment, iar obținerea consimțământului generează multă birocrație.
De ce a negociat CE Privacy Shield?
Precursorul Privacy Shield a fost decizia Comisiei privind Safe Harbour din 2000, care a aplicat principiile „Safe Harbour Principles Privacy” ale Departamentului de Comerț al Statelor Unite. Mai mult de 3.200 de companii americane au folosit această autocertificare, însă la 16 octombrie 2015, Curtea de Justiție a UE a declarat că decizia „Safe Harbour” este invalidă, deoarece promovează securitatea națională a Statelor Unite împotriva principiilor „safe harbour”. Autoritățile americane au fost în măsură să solicite date cu caracter personal fără restricții chiar și de la companiile auto-certificate. CJUE a afirmat că acordarea accesului SUA la comunicări care nu pot fi monitorizate de instanțe este incompatibilă cu legislația UE în domeniul protecției datelor.
După această hotărâre, CE a negociat Privacy Shield ca succesor al acesteia.
Ce este Privacy Shield?
Privacy Shield este alimentat de o nouă decizie a CE, de supravegherea autorităților americane și de principiile esențiale de protecție a datelor.
În cea mai recentă decizie, CE a declarat că transferul de date către SUA este permis în anumite condiții (Decizia de punere în aplicare (UE) 2016/1250 a Comisiei Europene din 12 iulie 2016), inclusiv auto-certificarea prevăzută în decizia privind „safe harbour” și hotărârea de a respecta principiile protecției datelor care figurează într-o anexă la decizie. Certificarea trebuie reînnoită în fiecare an. Departamentul de Comerț al Statelor Unite, care publică o listă a companiilor auto-certificate, va verifica dacă companiile certificate respectă reglementările.
În Anexa la Privacy Shield, autoritățile americane au stabilit garanții împotriva „prelucrării restrictive a datelor”, dar își rezervă dreptul de a colecta date în scopul securității naționale.
În paralel cu monitorizarea din partea Departamentului Comerțului din SUA, CE și-a rezervat dreptul de a evalua dacă Statele Unite ale Americii mențin un nivel adecvat de protecție și se angajează să publice un raport anual privind caracterul adecvat al protecției împotriva confidențialității (articolul 4 alineatul (4) Decizia de punere în aplicare 2016/1250).
CE asigură protecția juridică a cetățenilor UE, solicitând companiilor americane auto-certificate să ofere servicii gratuite, cum ar fi Avocatul Poporului. Departamentul de Stat al SUA va oferi un avocat parlamentar care să abordeze plângerile cetățenilor UE cu privire la datele accesate în scopuri de securitate națională. Angajații din cadrul UE pot depune plângeri privind protecția datelor la autoritatea competentă din țara în care lucrează. Companiile americane trebuie să coopereze în orice anchetă ulterioară și să se conformeze avizelor date de autoritățile UE.
De ce este nevoie ca organizațiile să ia în considerare alte opțiuni?
Privacy Shield a criticat încă de la început. Grupul de Lucru pentru Protecția Datelor, precursorul Comitetului European pentru Protecția Datelor, a pus la îndoială accesul la date al agenției americane de securitate și i-a respins garanțiile de limitare a accesului arbitrar la datele personale ca fiind vagi.
CE a stabilit că era necesar un nivel adecvat de protecție a datelor în Privacy Shield în cadrul unei revizuiri anuale din 18 octombrie 2017. În raportul său, CE a recomandat SUA să îmbunătățească protecția datelor prin monitorizarea proactivă și regulată a respectării și stabilirea unui Avocat al Poporului care să se ocupe de plângerile cetățenilor UE.
Statele Unite nu au respectat aceste solicitări. În 2018, Congresul a prelungit acordarea de asistență pentru informații externe și nu a acordat cetățenilor străini – inclusiv cetățenilor UE – drepturi împotriva supravegherii de către agențiile de securitate americane. În iulie 2018, Parlamentul European a adoptat o rezoluție care a concluzionat că Privacy Shield nu a oferit un nivel adecvat de protecție. După ce SUA nu a demonstrat conformitatea până la 1 septembrie 2018, Parlamentul European a promis că va cere Comisiei să se retragă din decizia privind caracterul adecvat. În octombrie 2018, comisarul european pentru justiție, Vera Jourová, a cerut Secretarului de Comerț al Statelor Unite să-și îndeplinească angajamentele și a spuns că CE ar putea concluziona în cel de-al doilea raport (la sfârșitul lunii) că protecția datelor furnizată de Privacy Shield este inadecvată.
- Dreptul CJUE de a respinge
Privacy Shield este, de asemenea, în raza unui control riguros al CJEU, care l-a putut monitoriza prin proceduri preliminare într-un caz în care un cetățean UE care a făcut o plângere la ICO cu privire la transferul de date cu caracter personal de către Facebook Ireland Ltd la compania-mamă din SUA. Cazul s-a referit în mod explicit la caracterul adecvat al protecției oferite de Privacy Shield și de Avocatul Poporului. De vreme ce autoritățile americane au posibilitatea de a accesa în mod secret date cu caracter personal, cetățenii UE în cauză ar trebui să afle dacă datele lor au fost accesate înainte de a solicita protecție din partea Avocatului Poporului, ceea ce este în prezent imposibil în cadrul Privacy Shield. În decizia lor „Safe Harbour”, CJUE și-a subliniat poziția: protecția adecvată a datelor include o protecție juridică efectivă. Prin urmare, rămâne de văzut dacă CJEU va decide că Privacy Shield oferă o protecție juridică eficientă.
Există alternative la Privacy Shield?
Companiile vor trebui să caute alte opțiuni în cazul în care CEC abrogă sau suspendă Privacy Shield sau CJEU hotătăște că este ineficient. (Orice decizie ar face ilegal transferul datelor cu caracter personal către Statele Unite ale Americii în cadrul GDPR.) În practică, o opțiune pe care companiile europene o pot accesa ar fi clauzele standard UE privind protecția datelor (adică clauzele contractuale standard UE).
- Clauzele standard UE privind protecția datelor, articolul 46 alineatul (2) d) GDPR
Clauzele contractuale standard UE reprezintă modele de contracte și companiile pot asigura un nivel adecvat de protecție a datelor prin includerea acestor clauze într-un acord privind transferurile de date către țări terțe. În prezent, există trei modele: un model pentru transferul operator-împuternicit și două pentru transferul către alți operatori. Clauzele contractuale standard UE emise înainte de intrarea în vigoare a GDPR vor continua să se aplice (articolul 46 alineatul (5) teza 2 GDPR).
Dezavantajul acestor clauze este că utilizatorii nu le pot modifica. Protecția datelor este garantată, iar transferul de date către o țară terță este permis numai dacă utilizatorii sunt pe deplin de acord cu modelul, fără a aduce modificări. Modelul impune, de asemenea, ca utilizatorii să completeze anexele, necesitând includerea unor date precise și scopul prelucrării.
În ciuda acestui fapt, avantajul pentru grupurile mari de companii este acela că, clauzele standard de protecție a datelor pot fi incluse într-un acord-cadru mai mare, care simplifică prelucrarea datelor în cadrul grupurilor.
- Reguli corporatiste obligatorii (Binding Corporate Rules), articolul 47 GDPR
Țările se pot baza, de asemenea, pe reguli corporatiste obligatorii (BCR) atunci când transferă date către țări terțe. Dacă o companie dintr-un grup corporatist este stabilită în UE și este de acord să se conformeze cu BCR, transferul de date este permis în cadrul grupului, dar nu și către părțile externe.
BCR aplică principiile generale de protecție a datelor, conferă drepturi persoanelor vizate (adică prin proceduri de reclamație) și solicită formarea în domeniul protecției datelor pentru personalul organizațiilor.
- Certificări, articolul 46 (2) f) GDPR
Datele pot fi transferate într-o țară terță în cazul în care există o certificare aprobată, însă detaliile acestui proces de certificare nu au fost încă clarificate. Aceasta nu este o opțiune sigură din punct de vedere legal, cât timp nu vor fi emise instrucțiuni.
- Clauze individuale, articolul 46 (3) a) GDPR
GDPR permite transferul de date către țări terțe pe baza altor garanții, care necesită aprobarea separată din partea autoritatății naționale de reglementare.
În cazul în care transferul de date necesită reglementări speciale care nu sunt incluse în clauzele standard UE privind protecția datelor, pot fi redactate „acorduri individuale de export de date”. Cu toate acestea, aceste acorduri nu pot stabili nivelul de protecție sub standardele UE, iar autoritatea de supraveghere competentă trebuie să le aprobe.
Nu există o certitudine juridică absolută
În concluzie, Privacy Shield nu oferă companiilor certitudine juridică absolută atunci când transferă date cu caracter personal către SUA. Datorită viitorului incert al Privacy Shield, companiile sunt sfătuite să revizuiască periodic propriile politici privind transferul internațional de date și să ia în considerare alte opțiuni. Aceasta este singura modalitate de a fi pregătit în fața unor eventuale schimbări ale sistemului actual.