Scurt istoric

Hotărârea pronunțată în cauza Schrems II (C-113/18) de către Curtea de Justiție a Uniunii Europene (CJUE) are la origine o plângere a domnului Maximilian Schrems prin care a solicitat autorității competente privind protecția datelor (Data Protection Commissioner) dispunerea suspendării sau interzicerea transferului datelor sale cu caracter personal efectuat de Facebook Ireland a către Facebook Inc.

Ca urmare a plângerii, Data Protection Commissioner a sesizat instanța din Irlanda (High Court), pentru ca aceasta din urmă să sesizeze CJUE cu trimiterea preliminară.

Soluția trimiterii preliminare

În urma acestei hotărâri s-au stabilit, în principal, următoarele:

• invalidarea Deciziei 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA (EU-US Privacy Shield) – documentul care permitea transferul datelor cu caracter personal din UE către o societate din Statele Unite ale Americii;
• clauzele contractuale standard (SCC) sunt valabile doar dacă mențin un nivel de protecție care este în esență echivalent cu cel garantat de GDPR în lumina Cartei UE.

Consecințele hotărârii Schrems II:

• invalidarea Scutului de confidențialitate are efect imediat – aceasta însemnând că operatorii nu se mai pot baza pe caracterul adecvat al nivelului de protecție a confidențialității atunci când transferă date cu caracter personal în SUA;
• în cazul utilizării clauzelor contractuale standard (SCC), mai înainte de a le folosi ca temei pentru transferul datelor, operatorii și persoanele împuternicite, în colaborare cu destinatarul datelor, trebuie să verifice, de la caz la caz dacă legea țării terțe de destinație asigură o protecție adecvată, în conformitate cu legislația UE;
• autoritatea de supraveghere competentă este obligată să suspende sau să interzică un transfer de date întemeiat pe clauze contractuale standard (SCC) către un stat terț atunci când consideră că acele clauze nu pot fi respectate în statul terț.

Comunicatul ANSPDCP referitor la Invalidarea Scutului de confidențialitate UE-SUA

Conform comunicatului ANSPDCP, „în absența unei decizii privind caracterul adecvat în temeiul art. 45 alin. (3) din Regulamentul (UE) 2016/679, transferul de date cu caracter personal către Statele Unite poate fi efectuat în conformitate cu unul din următoarele instrumente prevăzute de art. 46 din Regulamentul (UE) 2016/679:

• clauze standard de protecție a datelor,
• reguli corporatiste obligatorii,
• coduri de conduită și mecanisme de certificare,

De asemenea, transferul de date cu caracter personal către Statele Unite se poate realiza în temeiul derogărilor prevăzute la art. 49 din Regulamentul (UE) 2016/679.”

Ce trebuie să facă operatorii care transferă date în SUA sau state terțe?

Până la identificarea unei alternative, operatorii ar trebui să oprească transferurile de date către SUA și alte state terțe. Organizațiile trebuie să aibă în vedere posibila utilizare a clauzelor contractuale standard (SCC) ca temei al transferului. Pentru utilizarea corectă a acestora, trebuie efectuată o evaluare a caracterului adecvat al protecției oferite de statul terț. Dacă este aplicabil art. 49 din GDPR, se poate invoca una dintre situațiile prevăzute acolo ca temei al transferului.

Urmează să vedem cum va soluționa instanța din Irlanda (High Court) procesul inițial și care va fi soluția adoptată de autoritatea pentru protecția datelor (Data Protection Commissioner).