GDPR Explicitat (12): Transferul internațional de date

După o pauză mai mare de o lună în care s-au întâmplat fel de fel de lucruri legate de evenimente, cursuri, preluări de articole apărute în Catalogul GDPR Ready, reiau seria de articole dedicate analizei orizontale a prevederilor GDPR.

Mai sunt câteva lucruri de discutat la modul general, precum Transferul internațional de date, notificarea breșelor de Securitate, aplicabilitatea regulilor corporative și demitizarea unei amenințări cu care mulți încearcă să vă sperie: penalitățile care se aplică pentru nerespectarea regulilor GDPR. Pentru început, să aruncăm o privire către ce înseamnă transferul internațional de date.

Ce spune principiul transferului de date?

GDPR impune restricții privind transferul de date cu caracter personal în afara Uniunii Europene, țărilor terțe sau organizațiilor internaționale. Aceste restricții sunt în vigoare pentru a se asigura că nivelul de protecție a persoanelor acordat de GDPR nu este subminat.

În Articolul 44 – ”Principiul general al transferurilor” se specifică faptul că: „Orice transfer de date cu caracter personal care sunt supuse procesării sau care sunt destinate prelucrării după transferul într-o țară terță sau într-o organizație internațională are loc numai dacă, sub rezerva celorlalte dispoziții din prezentul regulament, sunt respectate condițiile stabilite de către operator și de către procesator, inclusiv pentru transferurile ulterioare de date cu caracter personal din țara terță sau de la o organizație internațională către o altă țară terță sau la o altă organizație internațională. Toate dispozițiile din prezentul capitol se aplică pentru a se asigura că nivelul de protecție a persoanelor fizice garantat prin prezentul regulament nu este subminat.”

Ce este important să reținem este că orice transfer internațional de date cu caracter personal de către un operator sau un procesator are loc numai dacă sunt îndeplinite anumite condiții:

  • Transferuri pe baza adecvării;
  • Transferuri supuse garanțiilor adecvate
  • Aplicabilitatea unor reguli corporative obligatorii.

Toate prevederile vor fi aplicate pentru a asigura faptul că protecția persoanelor fizice nu este subminată.

Când se poate face transferul de date în afara Uniunii Europene?

Regulamentul interzice transferul de date cu caracter personal în afara UE într-o țară terță care nu dispune de o protecție adecvată a datelor. Comisia Europeană are competența de a aproba anumite țări pentru a asigura un nivel adecvat de protecție a datelor, luând în considerare legislația privind protecția datelor în vigoare în țara respective și angajamentele internaționale ale acesteia.

În Articolul 45 – ”Transferuri în temeiul unei decizii privind caracterul adecvat al nivelului de protecţie”, Alineatul 1 se spune că: ”Transferul de date cu caracter personal către o ţară terţă sau o organizaţie internaţională se poate realiza atunci când Comisia a decis că ţara terţă, un teritoriu ori unul sau mai multe sectoare specificate din acea ţară terţă sau organizaţia internaţională în cauză asigură un nivel de protecţie adecvat. Transferurile realizate în aceste condiţii nu necesită autorizări speciale.”

Conform Considerentului 103 din GDPR, Comisia poate decide că o ţară terţă oferă un nivel adecvat de protecţie a datelor, asigurând astfel securitate juridică şi uniformitate în Uniune în ceea ce priveşte ţara terţă sau organizaţia internaţională care este considerată a furniza un astfel de nivel de protecţie. În aceste cazuri, transferurile de date cu caracter personal către ţara terţă sau organizaţia internaţională respectivă pot avea loc fără a fi necesar să se obţină autorizări suplimentare.

În prezent, pe listă țărilor considerate de UE că pot oferi un nivel adecvat de protecție a datelor personale putem întâlni următoarele 11 state, clasificate pe zone geografice.

  • Europa: Andora, Elveția, Insulele Feroe, Guernsey, Insula Man, Jersey
  • Orientul Mijlociu: Israel
  • America de Nord: Canada
  • America de Sud: Argentina și Uruguay
  • Asia-Pacific: Noua Zeelandă.

Sursa: http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm

Pentru transferurile de date dintre UE și Statele Unite există acordul internațional bine cunoscut sub denumirea de EU-US Privacy Shield. Un acord de cooperare cunoscut ca EU-US Safe Harbor exista încă din anul 2000. După o evoluție destul de controversată, cu o scurtă perioadă de întrerupere datorată unor litigii internaționale, în 12 iulie 2016 Comisia Europeană recunoaște caracterul adecvat de protecție asigurat de acest acord prin Decizia 1250/ 2016.

Dar ce ne facem cu transferurile de date către orice țară care nu este pe listă? În principiu, fiecare transfer de date către o țară care nu beneficiază în mod explicit de aprobarea UE pe bază de acorduri internaționale sau condiții de adecvare se poate realiza numai după solicitarea acordului pentru transfer. Ţara terţă ar trebui să ofere garanții care să asigure un nivel adecvat de protecţie, echivalent cu cel asigurat în cadrul Uniunii. Țara terţă ar trebui să asigure o supraveghere efectivă independentă în materie de protecţie a datelor şi să prevadă mecanisme de cooperare cu autoritățile statelor membre, iar persoanele vizate ar trebui să beneficieze de drepturi efective şi opozabile şi de reparaţii efective pe cale administrativă şi judiciară.

Conform Considerentului 108 din GDPR: ”În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie, operatorul sau procesatorul ar trebui să adopte măsuri pentru a compensa lipsa protecţiei datelor într-o ţară terţă prin intermediul unor garanţii adecvate pentru persoana vizată. Astfel de garanţii adecvate pot consta în utilizarea regulilor corporatiste obligatorii, a clauzelor standard de protecţie a datelor adoptate de Comisie, a clauzelor standard de protecţie a datelor adoptate de o autoritate de supraveghere sau a clauzelor contractuale autorizate de o autoritate de supraveghere. Respectivele garanţii ar trebui să asigure respectarea cerinţelor în materie de protecţie a datelor şi drepturi ale persoanelor vizate corespunzătoare prelucrării în interiorul Uniunii, inclusiv disponibilitatea unor drepturi opozabile ale persoanelor vizate şi a unor căi de atac eficiente, printre care dreptul de acces la reparaţii efective pe cale administrativă sau judiciară şi dreptul de a solicita despăgubiri, în Uniune sau într-o ţară terţă. Acestea ar trebui să se refere în special la respectarea principiilor generale privind prelucrarea datelor cu caracter personal: principiul protecţiei datelor începând cu momentul conceperii şi principiul protecţiei implicite a datelor.”

Care sunt condițiile unui transfer în siguranță?

Conform Articolului 46 ”Transferuri în baza unor garanții adecvate” puteți transfera date cu caracter personal în cazul în care organizația care primește datele personale a furnizat garanții de siguranță adecvate. Drepturile persoanelor trebuie să fie executorii și ca urmare a transferului trebuie să fie disponibile căi de atac efective pentru persoanele fizice.

Se pot asigura garanții adecvate prin:

  • un instrument obligatoriu din punct de vedere juridic şi executoriu între autorităţile sau organismele publice;
  • reguli corporatiste obligatorii în conformitate cu articolul 47;
  • clauze standard de protecţie a datelor adoptate de Comisie în conformitate cu procedura de examinare menţionată la articolul 93 alineatul (2);
  • clauze standard de protecţie a datelor adoptate de o autoritate de supraveghere şi aprobate de Comisie în conformitate cu procedura de examinare menţionată la articolul 93 alineatul (2);
  • un cod de conduită aprobat în conformitate cu articolul 40, însoţit de un angajament obligatoriu şi executoriu din partea operatorului sau a persoanei împuternicite de operator din ţara terţă de a aplica garanţii adecvate, inclusiv cu privire la drepturile persoanelor vizate;
  • un mecanism de certificare aprobat în conformitate cu articolul 42, însoţit de un angajament obligatoriu şi executoriu din partea operatorului sau a persoanei împuternicite de operator din ţara terţă de a aplica garanţii adecvate, inclusiv cu privire la drepturile persoanelor vizate.

Sub rezerva autorizării din partea autorităţii de supraveghere competente, garanţiile adecvate menţionate la Alineatul (1) pot fi furnizate de asemenea, în special, prin:

  • clauze contractuale între operator sau persoana împuternicită de operator şi operatorul, persoana împuternicită de operator sau destinatarul datelor cu caracter personal din ţara terţă sau organizaţia internaţională;
  • dispoziţii care urmează să fie incluse în acordurile administrative dintre autorităţile sau organismele publice, care includ drepturi opozabile şi efective pentru persoanele vizate.

Ce se întâmplă cu transferurile bazate pe evaluarea unei organizații privind adecvarea protecției? GDPR vă limitează capacitatea de a transfera date cu caracter personal în afara UE, în cazul în care aceasta se bazează numai pe propria evaluare a caracterului adecvat al protecției acordate datelor cu caracter personal. Conform Articolului 84.5.c orice altă încercare de transfer, care nu se încadrează în prevederile Articolelor 44-49 este pasibilă de pedeapsa administrativa maximă.

Care sunt excepțiile aprobate?

Dar ne-am obișnuit ca orice reglementare strictă să vină și cu o serie de excepții. Care sunt excepțiile acceptate pentru transferul internațional de date? Potrivit Articolului 49 ”Derogări pentru situații specifice”, se poate efectua un transfer sau un set de transferuri în cazul în care transferul este:

  • făcut cu consimțământul informat al persoanei;
  • necesar pentru îndeplinirea unui contract între individ și organizație sau pentru măsurile precontractuale luate la cererea persoanei;
  • necesare pentru executarea unui contract încheiat în interesul persoanei fizice între operator și o altă persoană;
  • necesare din motive importante de interes public;
  • necesare pentru stabilirea, exercitarea sau apărarea revendicărilor legale;
  • necesare pentru a proteja interesele vitale ale persoanei vizate sau ale altor persoane, în cazul în care persoana vizată nu este capabilă din punct de vedere fizic sau legal să-și dea consimțământul;
  • făcut dintr-un registru care are drept scop furnizarea de informații publicului

De reținut că primele trei derogări nu sunt valabile pentru activitățile autorităților publice în exercitarea puterilor lor publice.

În fine, în cazul transferurilor de date neautorizate de dreptul Uniunii Europene, Articolul 48 din GDPR specifică faptul că orice hotărâre a unei instanţe sau a unui tribunal şi orice decizie a unei autorităţi administrative a unei ţări terţe care impun unui operator sau procesator de operator să transfere sau să divulge date cu caracter personal ”poate fi recunoscută sau executată în orice fel numai dacă se bazează pe un acord internaţional, cum ar fi un tratat de asistenţă judiciară reciprocă în vigoare între ţara terţă solicitantă şi Uniune sau un stat membru”.

Celor care nu le-au citit încă, le recomand precedentele articole ale seriei GDPR Explicitat:

ondițiile de numire ale unui Data Protection Officer (DPO), precum și principalele sarcini ale acestuia.

Advertisements

About Radu Crahmaliuc
Independent IT&C analyst, GDPR advisor, digital transformation & Cloud computing evangelist, start-ups developer, eBooks author, freelancer, storyteller, events moderator & keynote speaker

6 Responses to GDPR Explicitat (12): Transferul internațional de date

  1. Pingback: GDPR Explicitat (13): Notificarea breșelor de securitate | cloud☁mania

  2. Pingback: GDPR Explicitat (14): Coduri de Conduită și Mecanisme de Certificare | cloud☁mania

  3. Pingback: GDPR Explicitat (15): Penalitățile cu care vine GDPR | cloud☁mania

  4. Pingback: GDPR Explicitat (12): Transferul internațional de date – GDPR Ready!

  5. Pingback: Casă nouă pentru GDPR Ready! – GDPR Ready!

  6. Pingback: Casă nouă pentru GDPR Ready! | cloud☁mania

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: