PROTECȚIA DATELOR ÎN DECEMBRIE 2024

De Mugurel Olariu, RPD protectie date

În ședința plenară din 2/3 decembrie 2024, CEPD a adoptat mai multe instrumente de lucru, între care semnalăm pentru operatorii din industrie Orientările nr. 2 / 2024, privind articolul 48 din RGPD[1].

Articolul 48 RGPD – cu titlul „Transferuri sau dezvăluiri neautorizate de dreptul Uniunii” – prevede că: „Orice hotărâre a unei instanțe și orice decizie a unei autorități administrative dintr-o țară terță care solicită unui operator sau împuternicit să transfere sau dezvăluirea datelor cu caracter personal poate fi recunoscută sau aplicabilă în orice mod numai dacă se bazează pe un acord internațional, cum ar fi un tratat de asistență juridică reciprocă, în vigoare între țara terță solicitantă și Uniune sau un membru Stat, fără a aduce atingere altor motive de transfer în conformitate cu prezentul capitol”.

Scopul acestor orientări este de a clarifica rațiunea și obiectivul articolului 48 RGPD, inclusiv interacțiunea acestuia cu celelalte prevederi ale capitolului V din RGPD și de a oferi recomandări practice pentru operatorii și persoanele împuternicite de operator din UE care pot primi solicitări de la autoritățile din țări terțe să dezvăluie sau să transfere date cu caracter personal.

Aceste orientări se concentrează pe cereri care vizează cooperarea directă între o autoritate publică dintr-o țară terță și o entitate privată din UE (spre deosebire de alte scenarii în care datele cu caracter personal sunt schimbate direct între autoritățile publice din UE și, respectiv, din țări terțe, de exemplu pe baza unui tratat de asistență reciprocă). Astfel de solicitări pot veni de la toate tipurile de autorități publice, inclusiv cele care supraveghează sectorul privat, cum ar fi autoritățile de reglementare bancare și autoritățile fiscale, precum și autoritățile care se ocupă de aplicarea legii și securitatea națională.

Articolul 48 se aplică în situațiile în care operatorul sau persoana împuternicită de operator din UE primește o decizie sau o hotărâre de la o autoritate administrativă sau o instanță dintr-o țară terță care solicită transferul sau divulgarea datelor cu caracter personal. Formularea dispoziției, „instanță”, „tribunal” și „autoritate administrativă”, se referă la un organism public dintr-o țară terță. CEPD constată că terminologia utilizată de organismul public din țara terță pentru a-și califica cererea drept „decizie” sau „hotărâre” nu este decisivă pentru aplicarea articolului 48, atât timp cât este o cerere oficială din partea unei autorități din țara terță.

Articolul 48 face parte din capitolul V din RGPD privind „Transferurile de date cu caracter personal către țări terțe sau organizații internaționale” și trebuie citit coroborat cu articolul 44 din RGPD, care prevede că „orice transfer de date cu caracter personal care este în curs de prelucrare, sau sunt destinate prelucrării după transferul către o țară terță sau către o organizație internațională au loc numai dacă, sub rezerva celorlalte dispoziții ale prezentului regulament, condițiile prevăzute în prezentul capitol sunt îndeplinite de către operatorul și persoana împuternicită de operator, inclusiv pentru transferurile ulterioare de date cu caracter personal din țara terță sau o organizație internațională către o altă țară terță sau către o altă organizație internațională”. În plus, considerentul 115 RGPD clarifică faptul că transferurile ar trebui permise numai în cazul în care sunt îndeplinite condițiile RGPD. Aceasta înseamnă că orice transfer sau dezvăluire de date cu caracter personal ca răspuns la o solicitare din partea unei autorități dintr-o țară terță necesită un temei legal pentru prelucrare (articolul 6 RGPD) și respectarea cerințelor pentru transferurile de date cu caracter personal către țări terțe sau organizații internaționale (capitolul V RGPD).

În anexă sunt prezentați schematic pașii procedurali pentru susținerea determinării și calificării corecte a demersurilor în ceea ce privește efectuarea operațiunilor de transfer al datelor cu caracter personal către state terțe, respectiv:

  1. Cererea se bazează pe o hotărâre sau o decizie a unei instanțe sau tribunal sau a unei autorități administrative a unei țări terțe?
  2. Hotărârea sau decizia se bazează pe un acord internațional aplicabil?
  3. Acordul internațional prevede un temei juridic în temeiul articolului 6 alineatul (1) litera (c) sau al articolului 6 alineatul (1) litera (e) RGPD pentru datele de transfer?
  4. Conține acordul internațional garanțiile adecvate în conformitate cu articolul 46 alineatul (2) litera (a) din RGPD și cu Ghidurile CEPD 2/2020?

Menționăm că doar răspunsurile afirmative la toate cele patru întrebări fac posibil transferul datelor către statul terț, ca asigurare a îndeplinirii oricăror prevederi relevante din RGPD.

În caz contrar, la un răspuns negativ de la oricare din primele trei întrebări se aplică testul în doi pași – transferul legal de date se efectuează cu respectarea prevederilor art.6 RGPD și a prevederilor din Capitolul V RGPD privind condițiile transferului. În cazul unui răspuns negativ la întrebarea 4, trebuie să revedeți/identificați pe un alt motiv pentru transfer în capitolul V.

Dacă nu este posibil să se identifice un temei juridic în articolul 6 RGPD și un motiv pentru transfer în capitolul V RGPD, transferul nu poate avea loc în mod legal.

[1] https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2024/guidelines-022024-article-48-gdpr_ro

Articolul precedentSBC Summit Rio se extinde cu lansarea Affiliate Leaders Summit
Articolul următorAffPapa: 2024 în analiză

ARTICOLE SIMILAREDE LA ACELAȘI AUTOR