Recomandarea CEPD 1/2022 – Reguli Corporatiste Obligatorii
De Mugurel Olariu, RPD protecție date
În ședința din 14.11.2022, Comitetul European pentru Protecția Datelor (denumit în continuare CEPD) a adoptat pentru consultare publică – până la 10.01.2023, Recomandarea 1/2022 privind cererea de aprobare și elementele și principiile care se regăsesc în regulile corporatiste obligatorii pentru operator (art. 47 RGPD).
RGPD prevede în mod expres utilizarea unor Reguli Corporatiste Obligatorii (denumite în continuare RCO) de către un grup de întreprinderi sau un grup de întreprinderi angajate într-un activitate economică comună (denumită în continuare Grup) pentru transferuri de date cu caracter personal în sensul articolului 44 RGPD.
La 6 februarie 2018, Grupul de lucru Articolul 29 (denumit în continuare WP29) a adoptat un tabel cu elementele și principiile care se regăsesc în RCO pentru a reflecta cerințele referitoare la RCO (denumit în continuare WP256 rev.01). CEPD a aprobat WP256 rev.01 la 25 mai 2018. De asemenea, aceste recomandări abrogă și înlocuiesc WP256 rev.01, în timp ce, în esență, se bazează pe acesta.
La 11 aprilie 2018, Grupul de lucru pentru articolul 29 (denumit în continuare WP29) a adoptat Recomandări privind cererea standard de aprobare a regulilor corporatiste obligatorii de operator pentru transferul de date cu caracter personal (denumite în continuare: WP264). CEPD a aprobat WP256 rev.01 la 25 mai 2018. Aceste recomandări abrogă și înlocuiesc WP264, în timp ce, în esență, se bazează pe acesta.
Aceste recomandări sunt menite să:
√ Furnizeze un formular tip pentru cererea de aprobare a RCO pentru operatori (în continuare RCO-O);
√ Clarifice conținutul necesar al RCO-O, așa cum este menționat la articolul 47 RGPD;
√ Facă o distincție între ceea ce trebuie inclus în RCO-O și ceea ce trebuie prezentat Autorității de Supraveghere Principală a RCO (denumită în continuare RCO Lead) în aplicația RCO; și
√ Ofere explicații și comentarii cu privire la cerințe.
RCO-O sunt potrivite pentru încadrarea transferurilor de date cu caracter personal de la operatori care fac obiectul domeniului geografic de aplicare al RGPD în temeiul articolului 3 RGPD către alți operatori sau către persoane împuternicite de operator (stabiliți în afara SEE) din cadrul aceluiași grup, în timp ce RCO pentru persoane împuternicite (denumite în continuare RCO-P) se aplică datelor primite de la un operator care nu este membru al Grupului și care sunt apoi prelucrate de membrii Grupului în cauză în calitate de persoane împuternicite și/sau subprocesatori.
Prin urmare, obligațiile prevăzute în RCO-O se aplică în ceea ce privește entitățile din cadrul aceluiași Grup care acționează ca operatori și entităților care acționează ca persoane împuternicite interne.
În ceea ce privește chiar acest ultim caz, merită amintit că, pe lângă RCO-O, un contract sau alt act juridic în temeiul dreptului Uniunii sau al statului membru, care este obligatoriu pentru operator în ceea ce privește operatorul și care cuprinde toate cerințele stabilite, prevăzute la articolul 28 alineatul (3) RGPD, trebuie să fie semnate de fiecare operator care acționează ca exportator de date cu toate persoanele împuternicite interne. Într-adevăr, obligațiile prevăzute în RCO-O se aplică entităților din Grup care primesc date cu caracter personal în calitate de persoane împuternicite (interne) în măsura în care acest lucru nu conduce la o contradicție cu contractul sau alt act juridic încheiat în temeiul articolului 28(3) RGPD (adică, persoanele împutenicite, membri ai Grupului care prelucrează în numele operatorilor membri ai Grupului ar trebui să respecte în primul rând acest contract).
Legislația UE privind protecția datelor aplicabilă membrilor Grupului trebuie să fie respectată și nu poate fi anulată de prevederile RCO-O, cu excepția cazului în care RCO principală a RCO (denumită în continuare RCO-O) asigură în mod voluntar un nivel mai ridicat de protecție.
În conformitate cu articolul 46 alineatul (2) litera (b) RGPD, RCO reprezintă garanții adecvate pentru transferurile de date cu caracter personal către țări terțe. RCO creează drepturi executorii și își stabilesc angajamente pentru a crea, pentru datele cu caracter personal transferate în temeiul RCO, un nivel de protecție esențial echivalent cu cel prevăzut de RGPD.
Prin urmare, nu este suficient ca RCO-O să facă referire doar la prevederile RGPD, iar solicitanții RCO-O ar trebui mai degrabă să formuleze în mod expres cerințele în cadrul RCO-O proprii.
RCO sunt supuse aprobării din partea responsabilului RCO. În acest sens, merită subliniată diferența dintre Lead-ul RCO care este competent să emită aprobarea RCO – și a Autorității de Supraveghere care este competentă pentru un anumit transfer efectuat de un anumit operator sub acel RCO-O.
Cu toate acestea, aprobarea nu include o evaluare a faptului dacă fiecare prelucrare este în conformitate cu toate cerințele RGPD și RCO. De exemplu, fiecare exportator de date trebuie să se asigure că cerințele prevăzute la articolul 6 RGPD (legalitatea prelucrării) și articolul 28 RGPD (pentru transferurile către persoane împuternicite) sau orice formalități suplimentare specificate de legislația națională a unui stat membru, dacă există, sunt îndeplinite pentru fiecare transfer. În plus, este, de exemplu, responsabilitatea fiecărui exportator de date să evalueze, pentru fiecare transfer, de la caz la caz, dacă este necesar să se pună în aplicare măsuri suplimentare pentru a asigura un nivel de protecție în esență echivalent, la cel prevăzut de RGPD. Astfel de măsuri suplimentare sunt în responsabilitatea exportatorului de date și, ca atare, nu sunt evaluate de Autoritățile de Supraveghere ca parte a procesului de aprobare a RCO.
CEPD se așteaptă ca toți deținătorii de RCO-O să-și aducă RCO-O în conformitate cu cerințele stabilite în recomandare. Aceasta include RCO-O care au fost aprobate înainte de publicarea acestor Recomandări. Astfel de modificări vor trebui făcute în conformitate cu angajamentele asumate în RCO-O proprii, în conformitate cu Secțiunea Natura obligatorie a RCO-O din tabelul prezentat în recomandare.