Privire de ansamblu

  • Transferurile de date cu caracter personal către destinatarii din „țările terțe” (i.e. din afara Spațiului Economic European („SEE”)) continuă să fie reglementate și restricționate în anumite circumstanțe.
  • Obligațiile RGPD sunt în mare măsură similare cu cele impuse de Directiva privind protecția datelor, cu unele îmbunătățiri ale mecanismului de respectare a dispozițiilor, în special eliminarea necesității de a notifica autorităților de supraveghere clauzele contractuale standard și încurajarea elaborării codurilor de practică privind transferul de date și sistemele de certificare.
  • Conformitatea privind transferul de date va rămâne o problemă semnificativă pentru organizațiile multinaționale și pentru oricine utilizează lanțuri de aprovizionare care prelucrează date cu caracter personal în afara SEE.
  • Încălcarea prevederilor RGPD privind transferul de date este identificată în grupul de probleme de neconformitate pentru care se poate impune nivelul maxim al amenzilor (până la 4% din cifra de afaceri anuală globală).
  • Operatorii și/sau procesatorii pot fi acționați în judecată pentru neconformitate.

Lista de acțiuni

  • Examinați și cartografiați fluxurile-cheie de date internaționale.
  • Analizați mecanismele de transfer de date pe care le aveți și dacă acestea vor continua să fie adecvate.
  • Consultați întrebările incluse în șabloanele de achiziții standard și clauzele contractuale pentru a vă asigura că informațiile despre transferul propus de furnizorul de date cu caracter personal pentru care sunteți responsabil sunt înțelese și efectuate într-un mod compatibil.
  • Dacă dumneavoastră sau furnizorii dumneavoastră v-ați bazat anterior pe o certificare Safe Harbor pentru a asigura adecvarea, aceasta nu mai este valabilă. Puteți însă lua în considerare obținerea certificării înlocuitoare, Scutul de confidențialitate. În orice caz, vă recomandăm să vă reevaluați relațiile cu furnizorii de servicii și/sau cu clienții pentru a stabili o nouă bază legală care să justifice transferurile de date transatlantice în curs.

Pentru transferurile de date intra-grup, analizați dacă BCR ar fi o opțiune viabilă.

Dacă transferați date cu caracter personal în afara SEE în timp ce furnizați bunuri sau servicii, așteptați-vă să primiți întrebări de la clienți referitoare la maniera în care dumneavoastră (și furnizorul dumneavoastră) abordați conformitatea privind transferul de date.

Urmăriți evoluțiile privind codurile de conduită aprobate și schemele de certificare implementate în contextul activităților unei organizații.

Comentarii

Transferurile de date cu caracter personal către „țări terțe” (i.e. din afara SEE) continuă să fie restricționate în temeiul RGPD. Aceasta va rămâne o problemă semnificativă pentru orice organizație multinațională. Totuși, cerințele actuale se vor menține, în mare, neschimbate, exceptând unele îmbunătățiri.

Principala îmbunătățire constă în eliminarea procesului actual prin care transferurile bazate pe clauze contractuale standard trebuie notificate sau aprobate de autoritățile de protecție a datelor.

Comisia va avea puterea de a stabili că anumite țări, teritorii, sectoare specifice sau organizații internaționale oferă un nivel adecvat de protecție pentru transferurile de date. Lista țărilor deja aprobate de Comisie va rămâne în vigoare, și anume: Andorra, Argentina, Canada (unde se aplică PIPEDA), Elveția, Insulele Faroe, Guernsey, Israel, Insula Man, Jersey, Republica de Est Uruguay și Noua Zeelandă. Numele țărilor care urmează a fi adăugate sau eliminate de pe această listă se publică în Jurnalul Oficial.

Schema de securitate a SUA, care a fost aprobată anterior de Comisie, nu mai este valabilă. Cu toate acestea, la 12 iulie 2016, la numai 9 luni de la invalidarea Safe Harbor, Comisia Europeană a adoptat în mod oficial o decizie care confirmă adecvarea înlocuirii sale –  Scutul de confidențialitate UE-SUA. Organizațiile americane se pot auto-certifica conform standardelor stabilite în Scutul de confidențialitate începând cu 1 august 2016. Scutul de confidențialitate prevede efectuarea de către Comisia Europeană a unor revizuiri periodice pentru a evalua nivelul de protecție oferit de Scutul de confidențialitate după intrarea în vigoare a RGPD. Scutul de confidențialitate nu este menționat în RGPD, deși RGPD nu include cerințele-cheie care evaluează gradul de adecvare, așa cum se prevede în decizia Schrems.

Documentul RGPD oferă mai multe detalii cu privire la procedurile și criteriile specifice pe care Comisia ar trebui să le ia în considerare la stabilirea gradului de adecvare, subliniind necesitatea de a garanta că țara terță oferă niveluri de protecție „în mod esențial echivalente cu cele asigurate în cadrul Uniunii” și care le conferă persoanelor vizate drepturi și mijloace de recurs eficiente și executorii. Comisia se consultă cu CEPD atunci când evaluează nivelurile de protecție și asigură monitorizarea și revizuirea continuă a oricăror decizii de adecvare (cel puțin o dată la patru ani). De asemenea, Comisia are competența de a abroga, modifica sau suspenda orice decizie de adecvare.

Alte metode existente de transfer de date cu caracter personal continuă să fie recunoscute: Clauzele contractuale standard (fie adoptate de către Comisie, fie adoptate de o autoritate de supraveghere și aprobate de Comisie) vor rămâne o opțiune, iar seturile existente de clauze aprobate vor rămâne în vigoare.

Vor fi acceptate și alte garanții adecvate, cum ar fi regulile corporative obligatorii (BCR) și instrumentele obligatorii și aplicabile din punct de vedere juridic între autoritățile publice. În mod semnificativ, transferurile vor fi permise în cazul în care se utilizează un cod de conduită aprobat (bazat pe noua schemă de la Articolul 40) sau un mecanism de certificare aprobat (bazat pe noua schemă de la Articolul 42), cu condiția ca operatorii sau procesatorii din țara terță să își asume angajamentul obligatoriu și executoriu de a aplica garanțiile corespunzătoare, inclusiv în ceea ce privește drepturile persoanelor vizate. Există, de asemenea, dispoziții privind garanțiile ad-hoc care trebuie convenite, sub rezerva autorizării de către autoritatea de supraveghere competentă.

În ceea ce privește BCR, RGPD transformă în lege cerințele actuale privind BCR, pentru operatori și procesatori. Acestea vor necesita în continuare aprobarea autorității competente de supraveghere, care însă va trebui stabilită în conformitate cu un mecanism de coerență. Acest lucru va fi util în cele câteva state membre care încă nu sunt în măsură să accepte BCR.

Există în continuare o serie de derogări care permit transferuri de date cu caracter personal în circumstanțe limitate, care sunt similare cu derogările existente și includ: consimțământul explicit, necesitatea contractuală, motive importante de interes public, revendicări legale, interese vitale și date din registrul public. Există, de asemenea, o derogare nouă (limitată) pentru transferurile nerepetitive care implică un număr limitat de persoane vizate, în cazul în care transferul este necesar pentru exercitarea unor interese legitime ale operatorilor (care nu sunt suprimate de interesele sau drepturile persoanei vizate, iar operatorul a evaluat (și documentat) toate circumstanțele legate de transferul de date și a concluzionat că există o adecvare. Operatorul trebuie să informeze autoritatea de supraveghere și persoanele vizate atunci când se bazează pe această derogare.

În cele din urmă, așa cum era de așteptat, RGPD clarifică faptul că nu este legal transferul datelor cu caracter personal în afara SEE ca răspuns la o cerință legală din partea unei țări terțe, cu excepția cazului în care cerința se bazează pe un acord internațional sau când se aplică unul dintre celelalte temeiuri pentru transfer. Regatul Unit a renunțat la această dispoziție.