GDPR. Clauzele contractuale standard privind transferurile de date cu caracter personal.

Într-un articol anterior am prezentat succint faptul că transferurile de date cu caracter personal către Statele Unite ale Americii nu prezintă suficiente garanții de securitate ca urmare a Hotărârii pronunțate de către Curtea de Justiție a Uniunii Europene în cauza C-311/2018 (Schrems II).

Efectul pronunțării acestei hotărâri a condus la stoparea transferului de date cu caracter personal în special către operatorii americani care colectează datele cetățenilor europeni prin intermediul serviciilor prestate de filialele europene.

Sub acest aspect, conflictele dintre autoritățile însărcinate cu protecția datelor și gigantele companii americane sunt constante pe întreg teritoriul european datorită nerespectării de către acestea a cerințelor minime de protecție a datelor cu caracter personal.

În acest sens, cu titlu de exemplu, arătăm faptul că autoritatea de protecția datelor germană a interzis procesare de către Facebook a datelor cu caracter personal ale utilizatorilor platformei Whatsapp. Mai precis, odată cu noua politică de confidențialitate a datelor cu caracter personal, Whatsapp a întrebat utilizator dacă sunt de acord cu partajarea datelor către Facebook Ireland Ltd. Totuși, s-a constatat că nu există o bază legală pentru această partajare întrucât, astfel cum a precizat și autoritatea germană de protecția a datelor, nu există un consimțământ liber exprimat de persoana vizată dat fiind că Whatsapp solicită acceptarea acestor condiții pentru a putea continua utilizarea serviciilor oferite de acestea.

Revenind la transferul de date către state terțe, aceleași autorități germane care veghează la protecția datelor cu caracter personal, nu cu mult timp în urmă, au început realizarea unor demersuri de audit pe întreg teritoriul Germaniei în ceea ce privește transferurile de date la nivel internațional realizat de diferite societăți comerciale.

Scopul acestor controale este de a verifica respectarea hotărârii Schrems II pronunțate de Curtea Europene de Justiție. Practic, ca urmare a deciziei anterior amintite transferurile de date transfrontaliere au fost suspendate sau interzise, sens în care autoritățile germane au început să efectueze controale pentru a constata posibile încălcări ale dispozițiilor deciziei Schrems II, verificând inclusiv modalității de utilizare a furnizorilor de servicii pentru comunicare de e-mailuri, găzduirea de site-uri web, web tracking, precum și modalitatea de gestionare a datelor solicitanților și schimbul de date despre clienți și angajați în cadrul diferitelor grupuri de firme.

Aceste controale sunt bine venite dat fiind că multe dintre companiile care colectează un număr ridicat de date cu caracter personal sunt filiale ale companiilor americane mamă, iar transferurile de date către acestea au fost, practic, interzise pentru o perioadă de timp.

Totuși, la acest moment, Comisia Europeană a încercat să reglementeze transferurile de date către state terțe, iar la data 04.06.2021 a adoptat două noi clauze contractuale standard: prima dintre ele reglementează raporturile din operatori și împuterniciți, iar a doua reglementează transferurile de date către state terțe.

Astfel, adoptarea acestor noi clauze apar ca fiind o soluție de bun augur pentru soluționare a problemelor apărute în urma pronunțării hotărârii Schrems II a Curții de Justiție a Uniunii Europene întrucât prin acestea se asigură un nivel mult mai sporit de protecția a datelor cu caracter personal ale persoanelor vizate.

Cu alte cuvinte, operatorii de date cu caracter personal prin respectarea clauzelor adoptate de către Comisia Europeană vor cunoaște faptul că cerințele impuse de Regulamentul 679/2016 sunt pe deplin respectate.

În cuprinsul acestor clauze, practic, se prezintă modalitățile, condițiile sau obligațiile pe care părțile implicate în transferurile de date trebuie să le îndeplinească pentru ca cerințele protecției datelor să fie respectate.

Drept urmare, în prezent, prin clauzele adoptate de către Comisia Europeană se vor putea realiza transferuri ale datelor cu caracter personal însă cu respectare unor condiții trasate în mod clar și precis.

 Avocat David Popa

Leave a reply

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *