Comitetul European pentru Protecția Datelor a răspuns la cele mai frecvente întrebări cu privire la căderea Scutului de confidențialitate UE-SUA („Privacy Shield”).
1.Ce a decis Curtea de Justiție în hotărârea sa?
În hotărârea sa, Curtea a examinat validitatea Deciziei 2010/87/CE a Comisiei Europene privind clauzele contractuale standard („CCS”) și a considerat că este validă. Într-adevăr, validitatea acestei decizii nu este pusă în discuție prin simplul fapt că, având în vedere natura lor
contractuală, clauzele standard de protecție a datelor din decizia respectivă nu obligă autoritățile din țăriile terțe în care pot fi transferate datele. Cu toate acestea, această validitate, a adăugat Curtea, depinde de faptul dacă Decizia din 2010/87/CE include mecanisme eficiente care fac posibilă, în practică, asigurarea respectării nivelului de protecție în esență echivalent cu cel garantat de RGPD în UE și că transferurile de date cu caracter personal în conformitate cu aceste clauze sunt suspendate sau interzise în cazul încălcării acestor clauze sau este imposibilă onorarea acestora.
În această privință, Curtea subliniază, în special, că Decizia din 2010/87/CE impune obligația unui exportator de date și a destinatarului („importatorul de date”) de a verifica, înainte de orice transfer și, ținând seama de circumstanțele transferului, dacă acest nivel de protecție este respectat în țara terță și că Decizia din 2010/87/CE impune importatorului de date să informeze exportatorul de date cu privire la orice incapacitate de a respecta clauzele standard de protecție a datelor și, dacă este necesar, orice măsuri suplimentare celor oferite de clauza respectivă, acesta din urmă fiind, la rândul său, obligat să suspende transferul de date și/sau să rezilieze contractul cu primul.
De asemenea, Curtea a examinat validitatea Deciziei privind Scutul de confidențialitate (Decizia 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UESUA), deoarece transferurile în joc, în contextul litigiului național care conduce la solicitarea unei decizie preliminare, a avut loc între UE și Statele Unite („SUA”).
Curtea a considerat că cerințele legislației interne americane, în special anumite programe care permit accesul autorităților publice americane la datele cu caracter personal transferate din UE în SUA în scopuri de securitate națională, duc la limitarea protecției datelor cu caracter personal care nu sunt circumscrise într-un mod care satisface cerințele ce sunt în esență echivalente cu cele impuse de legislația UE și că această legislație nu acordă persoanelor vizate drepturi acționabile în fața instanțelor împotriva autorităților americane. Ca urmare a unui astfel de grad de interferență cu drepturile fundamentale ale persoanelor ale căror date sunt transferate în țara terță, Curtea a declarat invalidă Decizia privind caracterul adecvat al Scutului de confidențialitate.
2. Hotărârea Curții are implicații asupra instrumentelor de transfer, altele decât Scutul de confidențialitate?
În general, pentru țările terțe, pragul stabilit de Curte se aplică, de asemenea, tuturor garanțiilor adecvate prevăzute la articolul 46 din RGPD utilizate pentru a transfera date din SEE în orice țară terță. Legea americană menționată de Curte (de exemplu, secțiunea 702 FISA și EO 12333) se aplică oricărui transfer către SUA prin mijloace electronice care intră în sfera de aplicare a acestei legislații, indiferent de instrumentul de transfer utilizat pentru transfer.
3. Există vreo perioadă de grație în care pot continua transferul de date în SUA fără a evalua temeiul meu legal pentru trasnfer?
Nu, Curtea a invalidat Decizia privind Scutul de confidențialitate fără a-i păstra efectele, deoarece legea americană evaluată de Curte nu oferă un nivel esențial de protecție echivalent nu cel din UE. Această evaluare trebuie luată în considerare pentru orice transfer în S.U.A.
4. Am transferat date către un importat de date din SUA care a aderat la Scutul de confidențialitate, ce ar trebui să fac acum?
Transferurile îm baza acestui cadru legal sunt ilegale. Dacă doriți să continuați să transferați date în SUA, trebuie să verificați dacă puteți face acest lucru în condițiile prezentate mai jos.
Te-ar putea interesa și:
5. Folosesc CCS cu un importator din SUA, ce ar trebui să fac?
Curtea a constatat că legislația din SUA (adică Secțiunea 702 FISA și EO 12333) nu asigură un nivel esențial de protecție echivalent.
Dacă puteți sau nu transfera date cu caracter personal pe baza CCS, va depinde de rezultatul evaluării dvs., ținând cont de circumstanțele transferurilor și de măsurile suplimentare pe care le-ați putea pune în aplicare. Măsurile suplimentare, împreună cu CCS, în urma unei analize de la caz la caz a circumstanțelor din jurul transferului, ar trebui să se asigure că legislația SUA nu afectează nivelul adecvat de protecție pe care îl garantează.
Dacă ajungeți la concluzia că, luând în considerare circumstanțele transferului și eventualele măsuri suplimentare, nu ar fi asigurate garanții adecvate, vi se cere să suspendați sau să încetați transferul de date cu caracter personal. Cu toate acestea, dacă intenționați să continuați transferul de date, trebuie să anunțați Autoritatea de supraveghere a dvs. competentă.
6. Folosesc Reguli corporatiste obligatorii („BCRs”) cu o entitate din SUA, ce ar trebui să fac?
Având în vedere hotărârea Curții, care a invalidat Scutul de confidențialitate din cauza gradului de interferență creat de legea SUA cu drepturile fundamentale ale persoanelor ale căror date sunt transferate în țara terță și a faptului că Scutul de confidențialitate a fost de asemenea conceput pentru a oferi garanții pentru datele transferate cu alte instrumente, cum ar fi BCRsurile, evaluarea Curții se aplică și în contextul BCRs-urilor, deoarece legislația americană va avea, de asemenea, întâietate asupra acestui instrument.
Dacă puteți sau nu transfera date cu caracter personal pe baza BCRs-urilor va depinde de rezultatul evaluării dvs., ținând cont de circumstanțele transferurilor și de măsurile suplimentare pe care le-ați putea pune în aplicare. Aceste măsuri suplimentare, împreună cu BCRs-urile, în urma unei analize de la caz la caz a circumstanțelor din jurul transferului, ar trebui să se asigure că legislația SUA nu afectează nivelul adecvat de protecție pe care îl garantează.
Dacă ajungeți la concluzia că, luând în considerare circumstanțele transferului și eventualele măsuri suplimentare, nu ar fi asigurate garanții adecvate, vi se cere să suspendați sau să încetați transferul de date cu caracter personal. Cu toate acestea, dacă intenționați să continuați transferul de date, trebuie să anunțați Autoritatea de supraveghere competentă.
7. Ce se întâmplă cu celelalte instrumente de transfer în conforimitate cu articolul 46 din RGPD?
CEPD va evalua consecințele hotărârii asupra instrumentelor de transfer, altele decât CCS și BCRs. Hotărârea clarifică faptul că standardul pentru garanțiile adecvate la articolul 46 din RGPD este cel al „echivalenței esențiale”.
După cum a subliniat Curtea, trebuie menționat că articolul respectiv apare în capitolul V din RGPD și, în consecință, trebuie citit ținând cont de articolului 44 din RGPD, care prevede că „toate dispozițiile din prezentul capitol se aplică pentru a se asigura că nivelul de protecție a persoanelor fizice garantat prin prezentul regulamentul nu este subminat”.
8. Pot să mă bazez pe una dintre derogările de la articolul 49 din RGPD pentru a transfera date în SUA?
Este încă posibil să se transfere date din SEE în SUA pe baza derogărilor prevăzute la articolul 49 din RGPD, cu condiția să se aplice condițiile prevăzute în prezentul articol. CEPD face trimitere la orientările sale cu privire la această prevedere.
Trebuie reamintit, în special, că atunci când transferurile se bazează pe consimțământul persoanei, acesta ar trebui să fie:
explicit,
specific pentru transferul de date sau setul de transferuri specifice (ceea ce înseamnă că
exportatorul de date trebuie să se asigure că obține consimțământul specific înainte de
punerea în aplicare a transferului, chiar dacă acest lucru se produce după colectarea
datelor), și
informat, în special cu privire la riscurile posibile ale transferului (în sensul că persoana vizată
ar trebui să fie, de asemenea, informată cu privire la riscurile specifice care rezultă din
faptul că datele sale vor fi transferate într-o țară care nu oferă o protecție adecvată și că nu
sunt implementate garanții adecvate pentru a asigura protecția datelor).
În ceea ce privește transferurile necesare pentru executarea unui contract între persoana vizată și operator, trebuie avut în vedere faptul că datele cu caracter personal pot fi transferate numai atunci când transferul este ocazional. Ar trebui să fie stabilit de la caz la caz dacă transferurile de date ar fi determinate ca fiind „ocazionale” sau „neocazionale”. În orice caz, această derogare poate fi bazată doar atunci când transferul este obiectiv necesar pentru îndeplinirea contractului.
În legătură cu transferurile necesare din motive importante de interes public (care trebuie recunoscute în legislația UE sau a statelor membre), CEPD reamintește că cerința esențială pentru aplicabilitatea acestei derogări este constatarea unui interes public important și nu a naturii organizației și, deși această derogare nu se limitează la transferuri de date care sunt „ocazionale”, acest lucru nu înseamnă că transferurile de date pe baza derogării de interes public important pot avea loc pe scară largă și în mod sistematic. Mai degrabă, trebuie
respectat principiul general, conform căruia derogările prevăzute la articolul 49 din RGPD nu artrebui să devină „regula” în practică, ci trebuie să fie limitate la situații specifice și fiecare exportator de date trebuie să se asigure că transferul îndeplinește testul strict de necesitate.
9. Pot continua să folosesc CCS și BCRs pentru a transfera date într-o altă țară terță decât SUA?
Curtea a indicat că CCS, de regulă, pot fi utilizate în continuare pentru a transfera date într-o țară terță, cu toate că pragul stabilit de Curte pentru transferurile în SUA se aplică pentru orice țară terță. Același lucru este valabil și pentru BCRs. Curtea a subliniat că este responsabilitatea exportatorului de date și a importatorului de date să evalueze dacă nivelul de protecție cerut de legislația UE este respectat în țara terță în cauză pentru a stabili dacă garanțiile oferite de CCS sau de BCRs pot fi respectate în practică. Dacă acest lucru nu este cazul, ar trebui să evaluați dacă puteți oferi măsuri suplimentare pentru a asigura un nivel esențial echivalent de protecție, astfel cum este prevăzut în SEE și dacă legea țării terțe nu va afecta aceste măsuri suplimentare pentru a preveni eficacitate.
Puteți contacta importatorul dvs. de date pentru a verifica legislația țării sale și pentru a colabora pentru evaluarea acesteia. În cazul în care dumneavoastră sau importatorul de date din țara terță stabiliți că datelor transferate în conformitate cu CCS sau cu BCRs nu li se oferă un nivel de protecție în esență echivalent cu cel garantat în SEE, ar trebui să suspendați imediat transferurile. În caz contrat, trebuie să notificați Autoritatea de supraveghere competentă.
Cu toate că, după cum a subliniat Curtea, este responsabilitatea principală a exportatorilor de date și a importatorilor de date să autoevalueze dacă legislația țării terțe de destinație permite importatorului de date să respecte clauzele standard de protecție a datelor sau BCRs-urile înainte de a transfera date cu caracter personal către respectiva țară terță, AS vor avea, de asemenea, un rol esențial atunci când se aplică RGPD și atunci când se emit alte decizii cu privire la transferurile către țări terțe.
Așa cum a fost menționat de Curte, pentru a evita deciziile divergente, acestea vor lucra în continuare în cadrul CEPD pentru a asigura coerența, în special dacă transferurile către țări terțe trebuie interzise.
10. Ce fel de măsuri suplimentare pot introduce dacă folosesc CCS sau BCRs pentru a transfera date în țări terțe?
Măsurile suplimentare pe care le-ați putea prevedea acolo unde este necesar ar trebui să fie furnizate de la caz la caz, ținând cont de toate circumstanțele transferului și în urma evaluării legislației țării terțe, pentru a verifica dacă aceasta asigură un nivel adecvat de protecție.
Curtea a subliniat că este responsabilitatea principală a exportatorului de date și a importatorului de date să facă această evaluare și să prevadă măsurile suplimentare necesare. CEPD analizează în prezent hotărârea Curții pentru a determina tipul de măsuri suplimentare
care ar putea fi furnizate în plus față de CCS sau BCRs, fie că sunt măsuri legale, tehnice sau organizatorice, pentru a transfera date către țări terțe în care CCS sau BCRs nu vor oferi un nivel suficient de garanții pe cont propriu.
CEPD analizează în ce ar putea consta aceste măsuri suplimentare și va oferi mai multe îndrumări în continuare.
11. Folosesc o persoană împuternicită care prelucrează date pentru care sunt responsabil în calitate de operatori, cum pot ști dacă această persoană împuternicită transferă date în SUA sau în altă țară terță?
Contractul pe care l-ați încheiat cu persoana dvs. împuternicită în conformitate cu articolul 28 alineatul (3) din RGPD va prevedea dacă transferurile sunt autorizate sau nu (trebuie avut în vedere că chiar și furnizarea accesului la date dintr-o țară terță, de exemplu în scopuri de administrare, reprezintă la un transfer).
De asemenea, persoanele împuternicite trebuie să primească autorizație pentru a încredința altor persoane împuternicite să transfere date în țări terțe. Ar trebui să fiți atenți deoarece o mare varietate de soluții de calcul poate implica transferul datelor cu caracter personal într-o
țară terță (de exemplu, în scopuri de stocare sau întreținere).
12. Ce pot face pentru a continua să folososesc serviciile persoanei împuternicite dacă contractul semnat în conformitate cu articolul 28 alineatul (3) din RGPD indică faptul că datele pot fi transferate în SUA sau într-o altă țară terță?
Dacă datele dvs. pot fi transferate în SUA și nu pot fi furnizate măsuri suplimentare pentru a se asigura că legislația SUA nu afectează nivelul esențial echivalent de protecție prevăzut în SEE, furnizat de instrumentele de transfer, și nici nu se aplică derogările prevăzute la articolul 49 din RGPD, singura soluție este să negociați o modificare sau o clauză suplimentară a contractului dvs. pentru a interzice transferurile în SUA. Datele nu trebuie doar stocate, ci și administrate în altă parte decât în SUA.
Dacă datele dvs. pot fi transferate într-o altă țară terță, trebuie să verificați și legislația țării terțe pentru a vedea dacă acestea sunt conforme cu cerințele Curții și cu nivelul de protecție a datelor cu caracter personal. Dacă nu se găsește un motiv adecvat pentru transferuri către o țară terță, datele personale nu ar trebui transferate în afara teritoriului SEE și toate activitățile de prelucrare ar trebui să aibă loc în SEE.