GHIDUL 7/2022 PRIVIND CERTIFICAREA CA INSTRUMENT DE TRANSFERURI

De Mugurel Olariu, RPD protectie date

CEPD, a adoptat în luna iunie, Ghidul 7/2022 privind certificarea ca instrument pentru transferuri. Acest document se află în faza de consultare publică până la data de 30 septembrie 2022.

Ghidul oferă îndrumări cu privire la aplicarea articolului 46 alineatul (2) litera (f) din RGPD privind transferurile de date cu caracter personal către țări terțe sau către organizații internaționale pe baza certificării.

În esență, art. 46 din RGPD prevede ca exportatorii de date să pună în aplicare măsuri de protecție adecvate pentru transferurile de date cu caracter personal către țări terțe sau organizații internaționale. În acest scop, RGPD diversifică garanțiile adecvate care pot fi utilizate de exportatorii de date în temeiul articolului 46 pentru încadrarea transferurilor către țări terțe prin introducerea, printre altele, a certificării ca un nou mecanism de transfer (articolele 42 (2) și 46 (2) (f) RGPD).

Ghidul conține patru secțiuni și o anexă, astfel:

Prima parte a acestui document clarifică faptul că ghidul completează Orientările generale deja existente 1/2018 privind certificarea și abordează cerințele specifice din Capitolul V din RGPD atunci când certificarea este utilizată ca instrument de transfer.
Conform articolului 44 din RGPD, orice transfer de date cu caracter personal către țări terțe sau organizații internaționale, trebuie să îndeplinească condițiile celorlalte prevederi ale RGPD pe lângă respectarea capitolului V din RGPD. Prin urmare, într-o primă etapă, trebuie asigurată conformitatea cu prevederile generale ale RGPD și, în a doua etapă, trebuie respectate prevederile capitolului V din RGPD. Sunt descriși actorii implicați și rolurile lor principale în acest context, cu un accent special pe rolul importatorului de date căruia i se va acorda o certificare și al exportatorului de date care o va folosi ca instrument pentru a încadra transferurile sale (considerăm că responsabilitatea pentru conformitatea cu prelucrarea datelor rămâne în sarcina exportatorului de date). În acest context, certificarea poate include și măsuri suplimentare care completează instrumentele de transfer pentru a asigura conformitatea cu nivelul UE de protecție a datelor cu caracter personal. Partea întâi a ghidului conține, de asemenea, informații despre procesul de obținere a unei certificări care să fie utilizată ca instrument pentru transferuri.

A doua parte a acestui ghid reamintește că cerințele pentru acreditarea unui organism de certificare se regăsesc în ISO 17065 și prin interpretarea Ghidurilor 4/2018 privind acreditarea organismelor de certificare în conformitate cu articolul 43 din RGPD și anexa acestuia pe fondul capitolului V. Cu toate acestea, în contextul unui transfer, acest ghid explică în continuare unele dintre cerințele de acreditare aplicabile organismului de certificare.

A treia parte a acestui ghid oferă îndrumări cu privire la criteriile de certificare deja enumerate în Ghidul 1/2018 și stabilește criterii specifice suplimentare care ar trebui incluse într-un mecanism de certificare care să fie utilizat ca instrument pentru transferurile către terți.
Aceste criterii acoperă evaluarea legislației țărilor terțe, obligațiile generale ale exportatorilor și importatorilor, regulile privind transferurile ulterioare, reparațiile și executarea, procesele și acțiunile pentru situațiile în care legislația și practicile naționale împiedică respectarea angajamentelor asumate ca parte a certificării și solicitările de acces la date din partea autorităților din țări terțe.

Partea a patra a acestui ghid oferă elemente care ar trebui abordate în angajamentele obligatorii și executorii pe care ar trebui să le asume operatorii sau persoanele împuternicite care nu fac obiectul RGPD în scopul de a oferi garanții adecvate datelor transferate către țări terțe. Aceste angajamente, care pot fi stabilite în diferite instrumente, inclusiv contracte, includ în special o garanție conform căreia importatorul nu are motive să creadă că legile și practicile din țara terță se aplică prelucrării în cauză, inclusiv orice cerințe de divulgare a datelor cu caracter personal sau măsurile care autorizează accesul autorităților publice, îl împiedică să își îndeplinească angajamentele asumate prin certificare.

Anexa la ghid conține câteva exemple de măsuri suplimentare în conformitate cu cele enumerate în Anexa II la Recomandările 01/2020 (Recomandările 01/2020 privind măsurile care completează instrumentele de transfer pentru a asigura conformitatea cu nivelul UE de protecție a datelor cu caracter personal) în contextul utilizării unei certificări ca instrument pentru transferuri.

Articolul precedentReportul la Loto 6/49 se apropie de 3 milioane de euro
Articolul următorCu Florentina Ispas despre soluțiile EasyPay