Update: CJUE a invalidat Scutul de Confidențialitate UE – SUA (Privacy Shield), prin urmare transferurile care se bazau pe Privacy Shield ar trebui să își găsească alt temei în RGPD.
Când vorbim despre transferul de date cu caracter personal în afara Uniunii Europene, ar trebui să știm că acesta nu este interzis întotdeauna, ci este permis în anumite condiții. Vom discuta despre aceste condiții în prezentul articol și despre cum puteți afla dacă transferul de date cu caracter personal în afara UE este legal.
Aspecte teoretice
Scopul Regulamentului GDPR este de a proteja datele personale ale cetățenilor UE indiferent de unde acestea sunt stocate; există cerințe stricte care reglementează locul în care datele personale pot fi transferate și măsurile ce trebuie luate pentru ca un asemenea transfer să fie legal. Sancțiunile pentru nerespectarea Regulamentului GDPR sunt semnificative, iar organizațiile trebuie să se asigure că vor respecta rigorile legale în mod constant.
Concret, transferul de date cu caracter personal în afara SEE nu este interzis, ci este permis în măsura în care există un temei legal. Potrivit RGPD, un transfer de date cu caracter personal în afara SEE este posibil dacă:
- țara terță asigură un nivel adecvat de protecție a datelor cu caracter personal, stabilit de Comisia Europeană („Comisia”); Art. 45 alin. (1) din GDPR prevede că: ”(1) Transferul de date cu caracter personal către o țară terță sau o organizație internațională se poate realiza atunci când Comisia a decis că țara terță, un teritoriu ori unul sau mai multe sectoare specificate din acea țară terță sau organizația internațională în cauză asigură un nivel de protecție adecvat. Transferurile realizate în aceste condiții nu necesită autorizări speciale.”
Până în prezent Comisia a stabilit că următoarele țări prezintă un nivel adecvat de protecție a datelor: Andorra, Insulele Feroe, Canada, Guernsey, Israel, Insula Man, Japonia, Insula Jesey, Noua Zeelandă, Suedia, Uruguay, Guernsey.
Te-ar putea interesa și:
(a) persoana vizată și-a exprimat în mod explicit acordul cu privire la transferul de date cu caracter personal în afara SEE, după ce a fost informată asupra posibilelor riscuri pe care astfel de transferuri le pot implica pentru persoana vizată ca urmare a lipsei unei decizii privind caracterul adecvat al nivelului de protecție și a unor garanții adecvate;
(b) transferul este necesar pentru executarea unui contract între persoana vizată și operator sau pentru aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate;
(c) transferul este necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator și o altă persoană fizică sau juridică;
(d) transferul este necesar din considerente importante de interes public;
(e) transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în instanță;
(f) transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altor persoane, atunci când persoana vizată nu are capacitatea fizică sau juridică de a-și exprima acordul;
(g) transferul se realizează dintr-un registru care, potrivit dreptului Uniunii sau al dreptului intern, are scopul de a furniza informații publicului și care poate fi consultat fie de public în general, fie de orice persoană care poate face dovada unui interes legitim, dar numai în măsura în care sunt îndeplinite condițiile cu privire la consultare prevăzute de dreptul Uniunii sau de dreptul intern în acel caz specific.
Ghid practic pentru transferul de date cu caracter personal în afara UE:
Pasul 1. Identificați transferurile de date internaționale și către ce organizații sunt transmise acestea
Identificați dacă există transferuri internaționale de date (conform RGPD, prin transfer international de date se înțelege un transfer de date în afara Spațiului Economic European), organizațiile care care se realizează transferurile și faceți o listă în acest sens.
Pasul 2. Verificați dacă există o Decizie a Comisiei privind transferul de date în afara SEE
Până în prezent Comisia a stabilit că următoarele țări prezintă un nivel adecvat de protecție a datelor: Andorra, Insulele Feroe, Canada, Guernsey, Israel, Insula Man, Japonia, Insula Jesey, Noua Zeelandă, Suedia, Uruguay, Guernsey. Prin urmare dacă organizații nu se află în țările de mai sus, nu există un nivel adecvat de protecție și treceți la Pasul 3.
Dacă organizațiile către transmiteți datele se află în aceste țări, atunci transferul este legal, dar trebui urmărit în mod continuu site-ul Uniunii Europene pentru a nu interveni modificări.
Pasul 3. Verificați dacă există o derogare pentru situații specifice
