Transferul de date cu caracter personal în India. Implicații și riscuri.

Article Transferul de date cu caracter personal în India. Implicații și riscuri.  | Decalex

De ce prezintǎ relevanțǎ un astfel de transfer de date cu caracter personal?

Începem prin a preciza cǎ nu am ales întâmplǎtor India ca țarǎ în care pot fi transferate date cu caracter personal.

Piața Uniunii Europene este a doua ca mǎrime dupǎ cea din Statele Unite ale Americii,  deservitǎ de companiile indiene de IT. Fie cǎ vorbim de alegerea unui furnizor de servicii cloud cu centrele de date în India, fie cǎ se opteazǎ pentru externalizarea în India a serviciilor de suport care implicǎ prelucrarea de date, în ambele situații, companiile trebuie sǎ aibǎ în vedere implicațiile unui astfel de transfer precum și obligațiile ce le revin sub aspectul prelucrǎrii datelor.

Transferurile de date în India meritǎ o atenție sporitǎ și prin prisma faptului cǎ acestea pot fi mai frecvente decât v-ați astepta, având în vedere cǎ vǎ puteți regǎsi în situația în care subcontractați anumite servicii unor companii care, la rândul lor pot alege modalitǎți de  executare a obligațiilor contractuale asumate ce implicǎ transferul datelor în India.

Care este principiul general al transferurilor de date cu caracter personal către țări terțe sau organizații internaționale?

Regulamentul General privind Protecția Datelor (RGPD) prevede ca principiu al transferurilor de date către țări terțe sau organizații internațional, faptul că transferul datelor prelucrate sau care urmează să fie prelucrate după ce sunt transferate într-o țară terță sau către o organizație internațională, se poate realiza, doar dacă, sub rezerva celorlalte dispoziții ale prezentului regulament, condițiile reglementate de RGPD sunt respectate de operator și de persoana împuternicită de operator, inclusiv în ceea ce privește transferurile ulterioare de date cu caracter personal din țara terță sau de la organizația internațională către o altă țară terță sau către o altă organizație internațională.

Pentru a înțelege implicațiile unui transfer de date într-o țară terță, trebuie să înțelegem ce este aceea o țară terță. Astfel, țările terțe sunt țările aflate în afara Uniunii Europene/Spațiului Economic European.

Cum identificăm dacă suntem în prezența unui transfer de date ?

Trebuie menționat faptul că, RGPD nu oferă o definiție a transferului de date. Cu toate acestea, putem califica transferul de date ca fiind operațiunea de punere la dispoziție a datelor indiferent că aceasta are loc printr-o acțiune directă de transmitere a datelor în țara terță (de exemplu stocarea datelor pe un server aflat în afara Uniunii Europene/Spațiului Economic European), fie prin permiterea accesului la date, realizat dintr-o țară terță sau organizație internațională, în vederea prelucrării.

Ce trebuie reținut cu privire la transferul de date este că, dacă vă hotărâți să realizați un astfel de transfer, trebuie să verificați modalitatea în care veți transfera datele, astfel încât să respectați prevederile RGPD în materie.

Astfel, conform RGPD, transferul de date se poate realiza având ca bază o decizie de adecvare adoptată de Comisia Europeană, sau, în absența unei astfel de decizii, pe baza unor garanții adecvate oferite și condiționat de existența unor drepturi opozabile și căi de atac eficiente pentru persoanele vizate. De asemenea, în lipsa modalităților de mai sus, pot fi luate în considerare anumite derogări specifice astfel cum acestea au fost reglementate în RGPD.

Cum puteți transfera date cu caracter personal în India, respectând prevederile RGPD?

Având în vedere că până în prezent nu a fost adoptată de către Comisia Europeană, o decizie de adecvare în ceea ce privește India, această țară nefiind considerată ca având un nivel de protecție adecvat, dacă doriți să transferați date în India, este necesar să identificați un alt temei de realizare a transferului, de exemplu, din categoria garanțiilor adecvate, precum: (i) reguli corporatiste obligatorii; (ii) clauze standard de protecție a datelor adoptate de Comisia Europeană; (iii) clauze standard de protecție a datelor adoptate de o autoritate de supraveghere și aprobate de Comisia Europeană, etc.

În funcție de nevoile companiei dumneavoastră, este necesară o analiză aprofundată a garanțiilor adecvate, astfel încât să fiți în măsură să le alegeți pe cele mai potrivite profilului afacerii pe care o conduceți.

Astfel, cu titlu de exemplu, puteți opta pentru implementarea unor reguli corporatiste obligatorii, în cazul în care realizați transferurile de date cu caracter personal către un operator sau o persoană împuternicită de operator în una sau mai multe țări terțe, în cadrul unui grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate economică comun, aceste reguli reprezentând politicile în materie de protecție a datelor cu caracter personal care trebuie respectate în cazul realizări transferurile menționate.

Trebuie subliniat faptul că aceste instrumente sunt supuse aprobării autorității de supraveghere competente. Dezavantajul pe care îl reprezintă utilizarea acestui instrument este că, poate presupune un proces de durată, având în vedere obligativitatea supunerii spre aprobarea autorității de supraveghere.

Care este legislația aplicabilă în India în materia protecției datelor cu caracter personal?

În prezent, India nu deține o legislație specifică în materia protecției datelor cu caracter personal. Există însă, mai multe acte normative, precum Legea privind Tehnologia Informației, 2000, precum și Reguli privind Tehnologia Informației (Reguli și Proceduri de Securitate Rezonabile și Date și Informații cu caracter Sensibil), 2011, care cuprind secțiuni dedicate protecției datelor.

Există, de asemenea și un Proiect de lege privind Protecția Datelor cu Caracter Personal, 2019, care vizează companiile guvernamentale din India care prelucrează date cu caracter personal și companii străine care prelucrează date cu caracter personal ale persoanelor fizice în India, dar care nu a fost încă adoptat.

Merită menționat faptul că a fost emisă de către Biroul indian de standarde, certificarea IS 17428.1  care are ca scop oferirea unui cadru de protecție a vieții private, organizațiilor.

Care este autoritatea de supraveghere în India, în materia protecției datelor cu caracter personal?

În prezent, nu există în India o autoritate desemnată, responsabilă în materia protecției datelor cu caracter personal, însă Proiectul de lege privind Protecția Datelor cu Caracter Personal, 2019, prevede constituirea unei astfel de autorități, care să aibă ca scop aplicarea prevederilor acestui act normativ.

La ce trebuie să fim atenți când dorim să transferăm date în India?

Comitetul European pentru Protecția Datelor a adoptat la 10 noiembrie 2020, Recomandările 01/2020 privind măsurile care completează instrumentele de transfer pentru a asigura conformitatea cu nivelul UE  de protecție a datelor cu caracter personal.

Relevanță în adoptarea acestor recomandări a prezentat hotărârea pronunțată de Curtea Europeană de Justiție în cauza C-311/18 (Schrems II), care a decis în ceea ce privește clauzele contractuale standard reglementate de RGPD ca garanții adecvate de transfer, să rămână în continuare valide, condiționate de obligația companiilor care exportă datele, de a se asigura că importatorul datelor (entitatea din țara terță care primește datele) deține un nivel de protecție echivalent cu cel din Uniunea Europeana.

Astfel, dacă decideți să transferați date în India, trebuie să vă asigurați că ați parcurs o serie de pași conform recomandărilor Comitetului European pentru Protecția Datelor.

Pasul 1 – Asigurați-vă că aveți cunoștință de detaliile transferului pe care urmează să le realizați.

Pentru a parcurge acest prim pas, este necesară realizarea unei inventarieri a transferurilor. De asemenea, prezintă relevanță să vă asigurați că datele transferate în India beneficiază de un nivel de protecție, în esență echivalent cu cel din Uniunea Europeană și să verificați dacă datele pe care le transferați sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt transferate și prelucrate în India.

Pasul 2 – Verificați instrumentele de transfer pe care vă întemeiați transferul.

Având în vedere că India nu beneficiază de o decizie privind caracterul adecvat al nivelului de protecție, va trebui să identificați un alt instrument de transfer astfel cum acestea au fost reglementate de RGPD, care să asigure nivelul de protecție adecvat și care să răspundă în același timp și nevoilor companiei dumneavoastră.

Pasul 3 – Realizarea unei evaluări privind identificarea în legislația sau practica din India, a posibilelor elemente care ar putea aduce atingere eficacității garanțiilor adecvate ale instrumentelor de transfer pe care se bazează compania dumneavoastră.

O atenție sporită în cazul acestei evaluări, trebuie acordată modului în care legislația din India reglementează accesul autorităților publice la datele cu caracter personal. Cu titlu de exemplu, trebuie menționate prevederile art. 12 din Proiect de lege privind Protecția Datelor cu Caracter Personal, 2019, care dacă va fi adoptat sub această formă, subliniază puterea guvernului central de a prelucra datele cu caracter personal ale persoanelor vizate fără consimțământul acestora. Astfel, guvernul ar putea să prelucreze date cu caracter personal pentru furnizarea oricărui serviciu sau acordarea oricărui beneficiu de către stat persoanelor vizate, în conformitate cu orice lege aplicabilă și orice hotărâre judecătorească a instanțelor din India.

Pasul 4 – Identificarea și adoptarea măsurilor suplimentare necesare pentru a aduce nivelul de protecție a datelor transferate la standardul UE de echivalență esențială.

La acest pas se va apela doar în situația în care, evaluarea recomandată la Pasul 3, evidențiază faptul că legislația Indiei reduce eficiența instrumentului de transfer ales.

Pasul 5 – Parcurgerea etapelor procedurale ca urmare a identificării măsurilor suplimentare necesare pentru asigurarea nivelului de protecție a datelor transferate la standardele UE de echivalență esențială.

Pasul 6 – Realizarea de evaluări periodice.

Acest ultim pas prezintă relevanță din perspectiva monitorizării permanente a evoluțiilor în materia prelucrării datelor cu caracter personal din India, evoluții care ar putea avea efecte asupra evaluării realizate inițial cu privire la nivelul de protecție și care ar putea conduce la suspendarea sau încetarea imediată a transferurilor pe care compania dumneavoastră le efectuează în India.

Care sunt obligațiile companiei dumneavoastră în cazul în care decideți să transferați date cu caracter personal în India ?

În primul rând, astfel cum am menționat în cuprinsul acestui articole, trebuie să vă asigurați că ați ales instrumentul potrivit din cele puse la dispoziție de RGPD, astfel încât să realizați transferul de date în siguranță.

După cum se poate observa, indicarea celui mai potrivit temei pentru transferarea datelor în India, presupune un proces de analiză complex, care se aplică fiecărui caz în parte, ținând cont de elementele specifice ale transferului ce urmează să aibă loc.

Nerespectarea obligațiilor impuse de RGPD în materia transferurilor de date, atrage după sine aplicarea unor sancțiuni care pot consta în amenzi administrative al căror cuantum poate ajunge pana la 20.000.000 Euro sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală, corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare, dar dă posibilitatea autorității de supraveghere chiar de a impune o limitare temporară sau definitivă, inclusiv o interdicție asupra prelucrării.

Pe lângă identificarea instrumentului pe baza căruia se va realiza transferul, compania dumneavoastră, în calitate de operator, are obligația de a informa persoanele vizate cu privire la intenția de a transfera date cu caracter personal în India și de a face o trimitere la garanțiile adecvate sau corespunzătoare și la mijloacele de a obține o copie a acestora, în cazul în care acestea au fost puse la dispoziție.

În ipoteza în care nu este respectată această obligație de informare, trebuie precizat că, pe lângă amenzile administrative, compania dumneavoastră s-ar putea confrunta cu dreptul conferit persoanelor vizate de prevederile RGPD, de a exercita o cale de atac judiciară, în cazul în care consideră că drepturile de care beneficiază în temeiul RGPD au fost încălcate.

În cazul în care doriți să realizați un transfer de date într-o țară terță și aveți nevoie de suport în documentarea transferului, ne puteți scrie la office@decalex.ro

 

Articol redactat de:

Anca Stîngă | Senior Privacy & Data Protection Consultant 

Share:
Decalex
Autor: DECALEX

PUNE O INTREBARE