Instrumentele cepd pentru transferul de date personale în țările terțe
De Mugurel Olariu, RPD protectie date
Comitetul European pentru Protecția Datelor (CEPD) a adoptat în cea de a 41-a sesiunea plenară din 09/10 noiembrie 2020 – desfășurată on-line, două instrumente specializate în materia transferurilor de date, respectiv:
– Recomandările 01/2020 privind măsurile care suplimentează instrumentele de transfer pentru a asigura conformitatea cu nivelul UE de protecție a datelor cu caracter personal ·1. Recomandările sunt deschise pentru consultare publică până la 21 decembrie 2020.
– Recomandările 02/2020 privind Garanțiile Esențiale Europene pentru măsurile de supraveghere ·2.
Importanța instrumentelor menționate este majoră, pentru operatorii și persoanele împuternicite care efectuează transferuri de date în țări terțe ·3. Astfel, operatorii și persoanele împuternicite care efectuează transferuri de date în afara Statelor Membre ale UE (cele 27) și ale Islandei, Norvegiei și Lichtenstein, trebuie să ia măsuri de analiză specializată și de conformare a transferurilor la cele două instrumente nou adoptate.
Dreptul la protecția datelor are un caracter activ. Este nevoie ca exportatorii și importatorii (indiferent dacă aceștia sunt operatori și/sau persoane împuternicite) să efectueze o recunoaștere sau o conformitate pasivă cu acest drept. ·4 Operatorii și persoanele împuternicite trebuie să caute să respecte dreptul la protecția datelor într-un mod activ și continuu prin implementarea măsurilor legale, tehnice și organizatorice care să le asigure eficacitate. Operatorii și persoanele împuternicite trebuie, de asemenea, să poată demonstra aceste eforturi către persoanele vizate, publicul larg și autoritățile de supraveghere a protecției datelor. Acesta este așa-numitul principiu al responsabilității. ·5
Principiul responsabilității, care este necesar pentru a asigura că aplicarea eficientă a nivelului de protecție conferit de RGPD se aplică și transferurilor de date către țări terțe ·6, deoarece acestea sunt o formă de prelucrare a datelor în sine ·7. După cum a subliniat Curtea în hotărârea sa, un nivel de protecție echivalent în esență cu cel garantat în cadrul Uniunii Europene, de RGPD citit în lumina Cartei trebuie garantat acestui transfer, indiferent de prevederile acelui capitol, pe baza cărora se efectuează transferul de date cu caracter personal către o țară terță.
Analiza specializată se îndreaptă către cele două paliere impuse de instrumentele nou adoptate de organismul european specializat – CEPD, respectiv conformarea transferurilor la Garanțiile Esențiale Europene și măsurile care suplimentează instrumentele de transfer pentru a asigura conformitatea cu nivelul UE de protecție a datelor cu character personal.
Garanțiile Esențiale Europene, dezvoltate prin Recomandările 2/2020, se bazează pe drepturile fundamentale la confidențialitate și la protecția datelor care se aplică oricărei persoane, indiferent de naționalitate și vizează patru condiționări sau repere semificative de îndeplinit, respectiv:
Prelucrarea ar trebui să se bazeze pe reguli clare, precise și accesibile.
Necesitatea și proporționalitatea cu privire la obiectivele legitime urmărite trebuie să fie demonstrate.
Ar trebui să existe un mecanism independent de supraveghere.
Remediile eficiente trebuie să fie disponibile pentru fiecare persoană.
Măsurile care suplimentează instrumentele de transfer pentru a asigura conformitatea cu nivelul UE de protecție a datelor cu caracter personal, din Recomandările 1/2020 ale CEPD, au în vedere o serie de operațiuni practice la îndemâna exportatorilor de date ·8 și ale importatorilor de date ·9, care trebuie analizate și luate efectiv de aceștia, în mod particular și adaptat la operațiunile proprii, pentru desfășurarea în siguranță a transferului de date către țări terțe.
Operațiunile practice se desfășoară printr-o analiză specializată și graduală, de către cei doi actori – exportatorul de date către țări terțe și respectiv, importatorul datelor transferate, prin șase pași, care pot fi sintetizați astfel:
✔ Pasul 1: Cunoaște-ți transferurile.
✔ Pasul 2: Identificați instrumentele de transfer pe care vă bazați.
✔ Pasul 3: Evaluați dacă instrumentul de transfer din Articolul 46 RGPD pe care vă bazați este eficient având în vedere toate circumstanțele transferului.
✔ Pasul 4: Adoptați măsuri suplimentare.
✔ Pasul 5: Etape procedurale dacă ați identificat măsuri suplimentare eficiente.
✔ Pasul 6: Reevaluați la intervale adecvate.
Operatorii și persoanele împuternicite, în cazul în care – în urma analizei specializate efectuate, nu puteți găsi sau implementa măsuri suplimentare eficiente care să asigure că datele cu caracter personal transferate se bucură de un nivel de protecție echivalent esențial, nu trebuie să începeți transferul de date cu caracter personal către țara terță în cauză pe baza instrumentului de transfer ales. Dacă efectuați deja transferuri, vi se cere să suspendați imediat sau să încheiați transferul de date personale. Autoritatea de supraveghere competentă are puterea de a suspenda sau de a interzice transferurile de date cu caracter personal către țara terță în cazul în care protecția datelor transferate impusă de legislația UE, în special respectarea Articolelor 45 și 46 din RGPD și Carta Drepturilor Fundamentale a UE nu este asigurată ·10.
Concluzionăm prin aceea că, până la adoptarea Codului de conduită, ca unul dintre instrumentele de garantare a transferurilor, această activitate se poate efectua – cu sprijinul specializat al firmei noastre ·11, ca analiză particulară pentru operațiunile care sunt în desfășurare sau se intenționează a fi desfășurate de către operatori și/sau persoane împuternicite, pentru transferurile de date cu caracter personal în țările terțe.
––––––––––––––––––––––––
1. A se vedea la https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_en
2. A se vedea la https://edpb.europa.eu/our-work-tools/our-documents/recommendations/edpb-recommendations-022020-european-essential_en
3. Precizăm faptul că, potrivit definițiilor din Anexa nr.1 la Recomandările 1/2020 ale CEPD, „țară terță” înseamnă orice țară care nu este un Stat Membru al SEE, iar „SEE” înseamnă Spațiul Economic European și include Statele Membre ale Uniunii Europene (cele 27) și Islanda, Norvegia șiLiechtenstein. RGPD se aplică acestuia din urmă în virtutea Acordului SEE, în special Anexa XI și Protocolul 37.
4. Cauza C-92/09 și C-93/02, Volker und Markus Schecke GbR împotriva Land Hessen, Concluziile avocatului general Sharpston, 17 iunie 2010, punctul 71.
5. Articolul 5 alineatul 2 și Articolul 28 alineatul 3 litera h) din RGPD.
6. Articolul 44 și considerentul 101 din RGPD, precum și Articolul 47 alineatul (2) litera d) din RGPD.
7. Hotărârea CJUE din 6 octombrie 2015, în Cauza C-362/14 Maximillian Schrems împotriva comisarului pentru protecția datelor, punctul 45.
8. „Exportator de date” înseamnă operatorul sau persoana împuternicită de operator din SEE care transferă date cu caracter personal către un operator sau persoană împuternicită dintr-o țară terță, potrivit Anexei nr.1 la Recomandările 1/2020.
9. „Importator de date” înseamnă operatorul sau persoana împuternicită de operator dintr-o țară terță care primește sau primește acces la datele personale transferate din SEE, potrivit Anexei nr.1 la Recomandările 1/2020.
10. Andrea Jelinek, Președintele CEPD, în Concluziile din Recomandările 1/2020.
11. Se poate solicita la e-mail: office@rpd-protectiedate.ro sau tel. 0723067601.