Transferurile de date EU-UK în pericol în urma deciziilor CJUE

Article Transferurile de date EU-UK în pericol în urma deciziilor CJUE| Decalex

Preambul

Marea Britanie a părăsit UE la 31 ianuarie 2020 și a intrat într-o perioadă de tranziție, care se încheie la 31 decembrie 2020. Odată cu încheierea perioadei de tranziție, Regatul Unit va deveni o țară terță. 

Țările terțe sunt state care se află în afara ariei de aplicare a Regulamentului (EU) 679/2016 (state membre ale UE plus Norvegia, Liechtenstein și Islanda). 

GDPR-ul restricționează transferurile de date cu caracter personal către țări terțe, cu excepția cazului în care aceasta beneficiază de o decizie de adecvare sau cazul în care operatorul sau persoana împuternicită de operator oferă garanții adecvate, drepturi opozabile și căi de atac eficiente pentru persoanele vizate.

Transferul de date post Brexit

Sfârșitul acestui an va fi unul foarte tensionat pentru mii de companii a căror activitate se bazează pe transferul de date între Marea Britanie și țările din Spațiul Economic European (SEE).

Nu se știe încă cum va arăta peisajul protecției datelor la sfârșitul perioadei de tranziție.” declară autoritatea de supraveghere a Marii Britanii (ICO), pe site-ul său.

Deși era de așteptat ca Marea Britanie să beneficieze de o decizie de privind caracterul adecvat al nivelului de protecție din partea Comisiei Europene, deciziile recente ale Curții de Justitie a Uniunii Europene au scăzut drastic șansele ca decizia Comisiei să fie una favorabilă.

Invalidarea acordului transatlantic de protecție a datelor cunoscut sub numele de Privacy Shield, a pus agențiile de informații din Marea Britanie într-o lumină negativă, în special pentru că Marea Britanie este membră al alianței de schimb de informații Five Eyes, alături de Statele Unite.

Lovitură de grație a venit însă în cursul săptămânii trecute [6 octombrie 2020], când Curtea de Justiție a Uniunii Europene a anunțat, printr-un comunicat de presă, poziția sa cu privire la activitatea agențiilor de securitate națională ale statelor membre.

Hotărârea Curții de Justiție a vizat patru cazuri din Franța, Belgia și Marea Britanie în care guvernele au solicitat extinderea instrumentelor de supraveghere invocând protecția cetățenilor lor, însă efectele vor fi resimíte la nivelul tuturor statelor membre UE.

Problema pentru Marea Britanie este că va fi în același loc cu SUA după Schrems II dacă instanța va ieși și va spune că legislația britanică nu respectă standardele UE. Acest lucru va face o decizie de adecvare problematică fără modificări ale legii de supraveghere din Marea Britanie, dar va face, de asemenea, discutabilă utilizarea [clauzelor contractuale standard]”, a declarat la începutul acestei săptămâni Théodore Christakis, expert în drept european la Université Grenoble Alpes, citat de politico.eu.

Conform CJUE, supravegherea nerestricționată în masă a telefoanelor și datelor de pe internet este ilegală. Curtea consideră că păstrarea generală și nediscriminatorie a acestor date poate fi permisă numai atunci când guvernele se confruntă cu o „amenințare gravă la adresa securității naționale care se dovedește a fi autentică și prezentă sau previzibilă”.

În aceste condiții este puțin probabil să avem o decizie de adecvare adoptată de Comisie în favoarea Marii Britanii, înainte ca legislația securității naționale să fie modificată astfel încât să ofere garanții suficiente privind protejarea drepturilor fundamentale.

Ce este o decizie de adecvare?

Comisia Europeană are puterea de a stabili dacă o țară terță oferă un nivel adecvat de protecție a datelor. Efectul unei decizii de adecvare este că datele cu caracter personal pot fi trimise dintr-un stat SEE către o țară terță fără a fi necesară nicio altă garanție.

Clauze contractuale standard (SCC) erau considerate principalul mecanism legal. alternativ. care ar putea asigura continuarea transferului de date între Marea Britanie și UE. Având în vedere că SCC-urile sunt supuse adoptării de către Comisie, în umbra deciziilor Curții de Justiție, specialiștii în protecția datelor se așteaptă ca acestea să urmeze soarta deciziilor de adecvare.

Poate ar trebui să subliniem că atât autoritatea de supraveghere britanică (ICO) cât și Comitetul european pentru protecția datelor (EDPB), anunțau clauzele contractuale standard ca fiind principalul mecanism de rezerva pentru asigurarea legalității acestor de transferuri de date.

Dacă nicio decizie de adecvare nu acoperă transferul restricționat, ar trebui să luați în considerare punerea în aplicare una dintre garanțiile adecvate pentru a acoperi transferul restricționat.” [vezi art.46 din GDPR]

Pentru majoritatea întreprinderilor, o măsură de protecție adecvată este convenabilă utilizarea clauzelor contractuale standard. Guvernul Regatului Unit intenționează să recunoască clauzele contractuale standard aprobate de CE ca oferind o garanție adecvată pentru transferurile restricționate din Regatul Unit.” 

Extras din Ghidurile ICO privind  Protecția datelor la sfârșitul perioadei de tranziție - Transferul internațional de date

Comisia Europeană anunța noi SCC-uri anul acesta

Vicepreședintele executiv al Comisiei Europene, Margrethe Vestage, anunța în septembrie că un mecanism revizuit care să permită companiilor să transfere datele europenilor în întreaga lume ar putea fi gata înainte de Crăciun. 

Colegii mei Vera Jourova și Didiers Reynders lucrează foarte, foarte mult pentru a analiza clauzele contractuale standard, cel puțin pentru ca acestea să intervină ca o soluție intermediară. Sunt foarte ambițioși și sperăm că vor putea fi puse în aplicare înainte de Crăciun”, a declarat, Margrethe Vestager, citată de reuters.com

Aceasta decizie era o consecință a faptului că, deși Curtea de Justiție a Uniunii Europene a confirmat legalitatea clauzelor contractuale standard (SCC), acestea trebuie să ofere un nivel adecvat de protecție. 

Conform deciziei curții în disputa între Max Schrems și Facebook, clauze contractuale standard pot constitui o soluție doar în țările a căror legislație națională nu afectează nivelul adecvat de protecție pe care îl garantează, în special în ceea ce privește supravegherea în masă a comunicațiilor sau a traficului de internet.

CJUE a lăsat însă o portiță deschisă, care implică implementarea unor măsuri suplimentare pentru care au rolul de a asigura un nivelul adecvat de protecție pe care SCC-urile trebuie să îl ofere.

Prin „măsuri suplimentare” trebuie să înțelegem garanțiile adecvate, drepturile executorii și căile de atac legale eficiente. Scopul acestora este de a garanta persoanelor vizate că transferul de date în baza SCC-urilor oferă un nivel de protecție echivalent cu cel garantat în cadrul Uniunii Europene. 

În ciuda așteptărilor, Comitetul European pentru Protecția Datelor nu a putut specifică cu exactitate în ce constau aceste măsuri suplimentare, anunțând că va analiza acest aspect. 

„EDPB analizează în prezent hotărârea Curții pentru a determina tipul de măsuri suplimentare care ar putea fi furnizate în plus față de SCC sau BCR [regulile corporatiste obligatorii], indiferent dacă sunt măsuri legale, tehnice sau organizaționale, pentru a transfera date către țări terțe în care SCC sau BCR nu vor oferi nivelul suficient de garanții pe cont propriu”, EDPB, Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18

Măsurile luate de guvernul britanic

Guvernul Regatului Unit intenționează să adopte GDPR-ul în legislația internă până la sfârșitul perioadei de tranziție. Deși se așteaptă ca principiile, drepturile și obligațiile operatorilor de date să rămână aceleași, rămâne de văzut ce modificări vor fi aduse și cât de mult vor influența transferul de date între Marea Britanie și UE.

Guvernul Regatului Unit a declarat că, la sfârșitul perioadei de tranziție, transferurile de date din Regatul Unit către SEE vor fi permise. Mai mult, acesta intenționează să recunoască clauzele contractuale standard aprobate de CE ca oferind o garanție adecvată. Acest lucru va permite efectuarea transferurilor de date din Marea Britanie către majoritatea organizațiilor, țărilor, teritoriilor sau sectoarelor acoperite de o decizie de adecvare a UE. 

De asemenea, guvernul britanic va recunoaște regulile corporatiste obligatorii (BCR) aprobate înainte de sfârșitul perioadei de tranziție. În baza acestora, dacă la sfârșitul perioadei de tranziție exista în vigoare reguli corporatiste obligatorii în cadrul organizației, care acoperă un expeditor de date din Marea Britanie și destinatarul (oriunde se află), transferul de date va putea continua. Totuși aceste reguli vor trebui actualizate, astfel încât Regatul Unit să fie listat ca țară terță în afara SEE.

Regulile corporatiste obligatorii (BCR) pot constitui o soluție pentru grupurile de întreprinderi, spre exemplu multinaționalele, pentru a efectua transferuri în și din Marea Britanie.

Un alt aspect important este faptul că Guvernul britanic intenționează ca „GDPR-ul britanic” să se aplice și operatorilor și împuterniciților din afara Marii Britanii dacă prelucrarea lor se referă la oferirea de bunuri sau servicii persoanelor fizice din Regatul Unit sau monitorizarea comportamentului indivizilor care are loc în Marea Britanie

Trebuie să subliniem totuși că, deși Curtea de Justitie a Uniunii Europene în disputa între Max Schrems și Facebook nu a analizat legalitatea Regulile corporatiste obligatori, Comitetul European pentru Protecția Datelor a confirmat că toate condițiile impuse SCC-urilor sunt aplicabile și BCR-urilor.

„Curtea a indicat că, de regulă, SCC-urile pot fi utilizate în continuare pentru a transfera date către o țară terță, totuși pragul stabilit de Curte pentru transferurile către SUA se aplică pentru orice țară terță. Același lucru este valabil și pentru BCR-uri”, EDPB, Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18

Ghidurile autorității de supraveghere din Marea Britanie

ICO a elaborat o serie de ghiduri pentru a ajuta companiile britanice să înțeleagă cum va fi afectat business-ul lor de aceasta tranziție și ce măsuri ar trebui să adopte pentru a se asigura că vor putea continua transferul de date cu SEE și după terminarea perioadei de tranziție. 

Autoritatea britanică atrage atenția că vor exista două seturi de reguli de luat în considerare la sfârșitul perioadei de tranziție. În primul rând, transferul de date din Regatul Unit va fi reglementat prin legislația națională ce urmează să fie adoptată. În al doilea rând, datele care sunt transferate din SEE către Regatul Unit vor fi supuse normelor impuse de GDPR. 

În ambele cazuri, sunt prevăzute aceleași mecanisme prin care transferurile de date se pot realiza: decizie de adecvare, garanțiile adecvate sau una dintre derogările pentru situații specifice prevăzute la art 49 din GDPR.

În ceea ce privește transferuri în baza unor garanții adecvate, ICO identificat clauzele contractuale standard și regulile corporatiste obligatorii ca fiind cele mai importante mecanisme de asigurare a transferului de date. Cu toate acestea, ICO admite că teoretic și alte mecanisme contractuale sau bazate pe politici care pot oferi garanții adecvate, însă până în prezent nu au fost aprobate asemenea garanții.

Codurile de conduită ar putea constitui o alternativă viabilă pentru companii. De asemenea, un mecanism de certificare aprobat de ICO ar putea fi o soluție la îndemâna operatorilor pentru a demonstra că oferă garanții adecvate, însă la mai bine de 2 ani de la intrarea în vigoare a GDPR-ului asemenea instrumente încă au fost supuse aprobarii.

„Dacă sunteți o afacere mică sau mijlocie sau un ONG, atunci clauzele contractuale standard sunt de obicei cea mai bună opțiune. Este puțin probabil să aveți o alternativă realistă.”, declara ICO pe site-ul sau

Desigur, excepțiile prevăzute la art. 49 din GDPR pot constitui o alternativă în cazul în care un transfer restricționat care nu este acoperit de o decizie de adecvare sau de garanții adecvate, însă acestea nu pot viza o prelucrare continuă. În baza acestor excepții transferul restricționat poate avea loc de mai multe ori, dar nu în mod regulat. 

Este clar că, în acest moment, este prematur să avem o imagine clară a modului în care se vor putea realiza transferurile de date cu Marea Britanie la începutul anului următor, iar acest lucru l-a înțeles și autoritatea britanică. Aceasta a specificat în ghidurile sale că va actualiza îndrumările și va oferi asistență ori de câte ori vor exista evoluții. 

Desemnarea unui reprezentant în Uniune

Ieșirea Marii Britanii din UE aduce schimbări semnificative pentru operatorii britanici care au clienți în SEE sau monitorizează persoane în SEE. GDPR-ul se va aplica în continuare acestor prelucrări, dar interacțiunea cu autoritățile europene pentru protecția datelor se va schimba.

Astfel, dacă un operator stabilit în Regatul Unit și nu are o sucursală, birou sau altă formă de reprezentare în niciun alt stat UE sau SEE, dar fie:

  • oferă bunuri sau servicii persoanelor fizice din SEE; sau
  • monitorizează comportamentul indivizilor din SEE,

va trebui să respecte GDPR-ul cu privire la această prelucrare chiar și după sfârșitul perioadei de tranziție.

Astfel, după încheierea perioadei de tranziție, mulți operatori britanici vor fi nevoiți să desemneze un reprezentant în SEE. Acest reprezentant va trebui să fie înființat într-un stat UE sau SEE, de regula acolo unde sunt cele mai multe persoane vizate de activitățile de prelucrare.

Acest reprezentant va trebui autorizat în scris, rolul său fiind de a acționa în numele operatorului în ceea ce privește conformitatea cu GDPR în relația cu autoritatea de supraveghere sau persoanele vizate de prelucrare.

Reprezentantul dvs. poate fi o persoană fizică sau o companie sau organizație stabilită în SEE și trebuie să vă poată reprezenta în ceea ce privește obligațiile dvs. în temeiul GDPR UE (de exemplu, o firmă de avocatură, o firmă de consultanță sau o companie privată). În practică, cel mai simplu mod de a numi un reprezentant poate fi în baza unui contract de servicii simplu.” ICO - European representatives 

Concluzii

Transferul de date între SEE și Marea Britanie (în oricare dintre sensuri) va da bătăi de cap multor business-uri a căror activitate se bazează pe acest transfer.

Estimăm ca mii de organizații din Marea Britanie și din SEE sunt sau vor fi în căutarea unor soluții pentru a se asigura că își vor putea desfășura în continuare activitatea după terminarea perioadei de tranziție.

Timpul scurt rămas până la acel moment, precum și lipsa predictibilității cauzată de deciziile Curții de Justiție a Uniunii Europene, alimentează îngrijorarea mediului de business asupra posibilității acestora de a asigura continuitatea afacerii.

În acest moment nu putem identifica cu certitudine o soluție cu aplicabilitate generală. O analiză punctuală a specificului transferurilor este necesară pentru a putea evalua posibilitatea de a realiza prelucrarea în baza unuia dintre instrumentele alternative prevăzute de GDPR. 

Sfatul nostru rezonează cu recomandările autorității britanice. Operatorii implicați în transferuri de date între UK și EU trebuie să-și analizeze atent activitatea pentru a înțelege fluxurile internaționale de date cu caracter special, în special cele în care Regatul Unit este destinatar.

De asemenea, unii operatori vor fi nevoiți să-și prioritizeze transferurile, în special atunci când sunt implicate date cu caracter special, date privind condamnări și infracțiuni, volume mari de date, sau transferuri esențiale pentru afaceri.

 

Daca ai o afacere care activeaza si in UK, sau te adresezi si consumatorilor din UK, ne poti scrie la office@decalex.ro, colaborarea cu un specialist in protectia datelor în aceasta perioada ar putea fi de mare ajutor companiilor în gestionarea acestui aparent blocaj provocat ca urmare a ieșirii din Uniunea Europeană.

Share:
Cristian Donciu
Autor: Cristian Donciu

Junior Privacy & Data Protection Consultant

PUNE O INTREBARE