Invalidarea Privacy Shield UE-SUA. Implicații practice asupra organizațiilor

Ciprian Timofte • Tuca Zbarcea & Asociatii

Pe 16 iulie, CJUE a pronunțat hotărârea Schrems II care invalidează decizia privind Scutul de Confidențialitate (Privacy Shield) și oferă clarificări asupra Clauzelor Contractuale Standard (CCS). Mult zgomot și „ceață” în rândul organizațiilor, în special asupra efectelor hotărârii Schrems II. Urmează ca autoritățile de supraveghere din UE și EDPB să reacționeze în curând și să aducă mai multă lumină privind acest subiect.

Ciprian TimofteFoto: Tuca Zbarcea & Asociatii

Până atunci, redăm mai jos câteva aspecte cheie pe care ar trebui să le luați în considerare.

1. Ce înseamnă că Privacy Shield UE-SUA a fost invalidat?

Privacy Shield UE-SUA a permis organizațiilor UE să exporte date către organizații din SUA, enumerate în Lista Privacy Shield UE-SUA. Privacy Shield UE-SUA a fost emis în baza articolului 45 din GDPR, care conferă Comisiei dreptul de a decide că anumite state terțe sau teritorii asigură un nivel de protecție adecvat pentru persoanele vizate și, prin urmare, organizațiilor li se permite să transfere date în astfel de state sau teritorii.

Prin articolul 1 alineatul (1) din Decizia privind Privacy Shield, Comisia a constatat că SUA asigură un nivel de protecție adecvat al datelor cu caracter personal transferate din UE către organizații din SUA pe baza Privacy Shield UE-SUA.

Prin hotărârea Schrems II, CJUE a constatat că, dimpotrivă, SUA nu asigură un nivel de protecție adecvat (echivalent cu cel asigurat de țările UE) și, prin urmare, a stabilit că decizia Comisiei privind Privacy Shield UE-SUA este invalidă.

Aceasta presupune că organizațiile UE nu ar mai trebui să se bazeze pe Privacy Shield UE-SUA pentru transferul de date către organizații din SUA.

2. Ce se întâmplă cu transferurile în curs de desfășurare în baza Privacy Shield UE-SUA?

CJUE a fost destul de directă pe acest subiect extrem de sensibil și a statuat că organizațiile ar trebui să utilizeze mijloacele alternative de transfer de date prevăzute de articolul 49 din GDPR.

Important de menționat, Secretarul comerțului din SUA, Wilbur Ross, a declarat în 16 iulie 2020 că Departamentul de Comerț al SUA va continua să gestioneze programul Privacy Shield și, în particular, va continua să proceseze cererile de înregistrare (pe bază de auto-certificare) în Privacy Shield.

Deși este destul de devreme să tragem concluzii, cu excepția cazului în care Comisia va adopta o nouă decizie privind nivelul de protecție adecvat oferit de SUA, cel mai probabil Privacy Shield UE- SUA își va încheia în curând existența.

În viitorul apropiat, ne așteptăm ca autoritățile de supraveghere a UE și EDPB să emită poziții (comune) și îndrumări suplimentare către organizații de a nu (mai) utiliza Privacy Shield UE-SUA și de a încerca să se bazeze pe mijloace alternative valabile de transfer de date.

3. Există vreo perioadă de grație pentru conformare în ceea ce privește transferurile în curs în temeiul Privacy Shield UE-SUA?

Nu. Organizațiile ar trebui să ia în considerare imediat mijloace alternative valide pentru transferul de date în SUA. Acestea ar putea consta fie în punerea în aplicare a CCS adecvate sau a regulilor corporative obligatorii - RCO (fezabilitatea de evaluat de la caz la caz) sau utilizarea oricăruia dintre mecanismele alternative de transfer descrise la articolul 49 din GDPR.

4. Sunt clauzele contractuale standard (CCS) în continuare valide?

În principiu, da. Totuși, principala provocare va fi ca organizațiile UE care exportă datele în țări terțe în baza CCS să poată demonstra că importatorul de date din țara terță este în fapt capabil să îndeplinească garanțiile stipulate în cadrul CCS. Acest lucru ar presupune că organizațiile care se bazează pe CCS verifică dacă legislația țării terțe asigură un nivel similar de protecție în conformitate cu legislația UE în ceea ce privește drepturile persoanelor vizate.

5. La ce ar trebui să se aștepte organizațiile pe viitor?

În primul rând, organizațiile ar trebui să se aștepte la o creștere semnificativă a numărului de solicitări de acces ale persoanelor vizate vizând transferurile de date către țări terțe. Putem presupune în mod rezonabil că cele mai expuse industrii vor fi telecomunicațiile, industria financiar-bancară, asigurările, sănătatea, retail etc.

În mod corespunzător, anticipăm o creștere a numărului de reclamații ale persoanelor vizate și, în acest sens, a investigațiilor inițiate de autoritățile UE (inclusiv ANSPDCP) în legătură cu transferurile de date către țări terțe (indiferent dacă sunt făcute pe baza Privacy Shield UE-SUA, CCS sau RCO).

De asemenea, nu putem exclude ca autoritățile naționale să deschidă investigații din oficiu cu privire la validitatea mecanismelor de transfer de date utilizate de organizații, cu accent pe transferurile de date către țări terțe. În special, unele autorități de supraveghere ale UE au subliniat deja necesitatea unei abordări unitare în ceea ce privește deciziile pe care le vor lua în privința companiilor care transferă date în țări terțe (1).

Însă, probabil cel mai dramatic impact pentru organizații este că, în conformitate cu articolului 58 din GDPR, autoritățile de supraveghere din UE (inclusiv ANSPDCP) vor putea interzice (temporar sau definitiv) sau ordona suspendarea unui transfer de date sau a unui set de transferuri bazate pe CCS, dacă constată că transferul ar putea să aibă un efect negativ semnificativ asupra garanțiilor oferite persoanei vizate (inclusiv în cazul în care s-ar constata că, în fapt, legislația importatorului de date îl împiedică să se conformeze cu garanțiile oferite formal prin CCS).

În sfârșit, din perspectiva cadrului de conformare, cel mai probabil Comisia va emite versiuni actualizate ale CCS (2). Este de așteptat ca aceste versiuni să includă mecanisme mai dure pentru asigurarea unei protecții adecvate și eficiente a persoanelor vizate și, cel mai probabil, organizațiile vor fi obligate să încheie noi CCS pe modelul acestor versiuni actualizate.

6. Ce ar trebui să facă organizațiile în continuare?

Puteți lua în considerare următorii pași:

a. Identificați urgent și țineți o evidență a tuturor transferurilor către țări terțe pentru care v-ați bazat pe Privacy Shield UE-SUA, CCS or RCO.

b. Pentru transferurile către SUA:

i. Suspendați sau încetați temporar orice transfer de date pe baza Privacy Shield UE-SUA. Monitorizați îndeaproape orice evoluție pe această temă, în special emiterea de către Comisie a unei noi decizii privind asigurarea unui nivel de protecția adecvat de către SUA.

ii. Identificați mecanisme alternative de transfer conform GDPR, precum CCS, RCO sau derogările enumerate la articolul 49 din GDPR.

iii. Dacă nicio variantă dintre cele de mai sus nu este posibilă, evaluați impactul asupra afacerii care rezultă din încetarea acestor transferuri de date imediat și analizați opțiuni alternative (cum ar fi mutarea bazei de date în UE sau într-o țară terță recunoscută ca asigurând un nivel de protecție adecvat).

c. Pentru transferurile de date către țări terțe altele decât SUA desfășurate în baza CCS:

i. Evaluați dacă legislația țării terțe asigură un nivel similar de protecție ca și legislația UE.Inter alia, ar trebui să verificați garanțiile legale legate de orice acces potențial la date al autorităților publice din țara terță și capacitatea reală a importatorului de date de a respecta angajamentele din CCS.

ii. Dacă nu este cazul, ar trebui să luați în considerare următoarele:

Verificați dacă țara terță beneficiază de o decizie privind recunoașterea unui nivel de protecție adecvat emisă de Comisie. Dacă există o astfel de decizie, inițiați negocieri pentru încetarea CCS și bazați-vă în continuare pe această decizie privind nivelul de protecție adecvat.
În cazul în care nu există nicio decizie privind nivelul de protecție adecvat, puteți lua în considerare punerea în aplicare a unor garanții suplimentare CCS pentru a face eficientă protecția persoanelor vizate.
Dacă nu sunt disponibile sau fezabile garanții suplimentare, puteți lua în considerare încetarea CCS și aplicare unor mecanisme alternative de transfer valabile în conformitate cu GDPR (cum ar fi RCO sau una dintre derogările enumerate la articolul 49 GDPR).

Note de subsol:

(1) A se vedea comunicatul emis de autoritatea de protecție a datelor din Germania HmbBfDI - https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/paukenschlag-eugh-schreddert- den-privacy-shield-datenuebermittlung-in-staaten-jenseits-der-eu-aber/.

(2) În observațiile introductive cu privire la hotărârea CJUE Schrems II, comisarul Reynders a subliniat că „lucrăm deja de ceva timp la modernizarea [CCS] și la asigurarea că setul nostru de instrumente pentru transferurile internaționale de date este potrivit scopului. [...] Acum suntem într-un stadiu avansat al acestui proiect și vom ține cont, desigur, de cerințele hotărârii” - a se vedea https://ec.europa.eu/commission/presscorner/detail/en/statement_20_1366.

Articol semnat de Ciprian TIMOFTE, Partener al Țuca Zbârcea & Asociații

Invalidarea Privacy Shield UE-SUA. Implicații practice asupra organizațiilor

„Un mesaj pentru Teheran: Ar fi putut fi mai rău”. Ce se află în spatele atacului de azi, atribuit Israelului, în orașul strategic Isfahan

Surpriza fiscală neplăcută pe care Finanțele le-o fac firmelor: prevederea legată de TVA care așteaptă să intre în vigoare

fanatik.ro: Cazul dramatic al băiatului de șase ani din Oradea, luat de lângă mama lui și dus de tată în Ungaria: "Ea a vrut ca el să învețe doar...

Banca Transilvania continuă și în acest an acțiunile de împădurire: Peste 21.000 de puieți plantați și 430 de voluntari implicați

lovedeco.ro: Au renovat și consolidat o casă pe deal, pentru care au construit mobilier dintr-un fost pridvor

Pacientă a dr. Cîrstoiu: „Când a fost grav, de operație, am mers la stat. Când era de consultații, analize și de scos firele, la clinica privată Anemona”

Rusia acuză România că vrea să „anuleze" cultura rusă. Două filme interzise vor fi difuzate de „Clubul Rus" de la București

Ce cred despre România străini stabiliți la noi, din Mexic, Rwanda și din alte șase țări. „Și noi și mexicanii avem complexul celui cucerit”

panorama.ro: „Erecția” economică a lui Ciolacu în Qatar și adâncirea în penibil a medicului Cîrstoiu, la București

totuldespremame.ro: Cum a ajuns teama de autism să scadă numărul vaccinărilor pentru rujeolă

Donald Trump cere Europei să ''se mişte'' în cazul Ucrainei

VIDEO Primele imagini cu presupusul atac israelian, difuzate de un canal iranian de știri

SUA vor trimite „imediat” armament în Ucraina dacă fondurile sunt aprobate în Congres, afirmă Casa Albă

Nimeni nu are de câştigat de pe urma unui alt război în Orientul Mijlociu, afirmă șeful NATO

Microsoft lucrează la o inteligență artificială care transformă fotografiile în videoclipuri cu „fețe vorbitoare”

Ungaria: Guvernul ia din nou în considerare o intervenţie asupra preţului la carburanţi

Un bărbat a încearcat să își dea foc în fața instanței care îl judecă pe Trump

Semifinaliștii turneului ATP de la Barcelona

Lucian Bode: PNL va da preşedintele României / Șansele sunt de partea noastră

IMM Plus 2024: S-a publicat ordinul cu plafoanele de garantare. Atenție la termenul 30 iunie 2024!

Căpitanul celor de la CFR Cluj, discurs categoric după umilința cu Farul: „Nu merităm să purtăm acest tricou”

Gaza: Emiratele Arabe Unite anunță „livrări masive” de ajutoare către Khan Younès

Olaf Scholz: Războiul din Ucraina ar putea continua mai mulţi ani

Juriu complet pentru procesul istoric al lui Donald Trump

Clubul unui internațional român a retrogradat din prima ligă olandeză după o depunctare uriașă

Acord în NATO asupra trimiterii de sisteme de apărare antiaeriană Ucrainei. Stoltenberg: „În plus faţă de Patriot, există alte arme pe care aliaţii le pot livra”

Administrația Biden limitează producția de petrol într-o zonă vastă din Alaska / Mesaj pentru electoratul tânăr

Donald Trump cere Europei să ''se mişte'' în cazul Ucrainei

VIDEO Cîrstoiu, întrebat de ce pacienților le-a fost recomandat să meargă la Anemona: Pacienții se duc unde se simt în siguranță / Ziaristă: Și nu se simt în siguranță la spitalul manageriat de dumneavoastră?

„Un mesaj pentru Teheran: Ar fi putut fi mai rău”. Ce se află în spatele atacului de azi, atribuit Israelului, în orașul strategic Isfahan

Pacient cu cancer de colon în stadiu avansat, operat de dr. Decebal Fodor de la Spitalul Regina Maria Brașov. Fără colostomă, fără recidive și cu analize perfecte!

CULISE Suma imensă de bani pe care PSD și PNL o țin „pe hold” în campania candidatului Cătălin Cîrstoiu

Surpriza fiscală neplăcută pe care Finanțele le-o fac firmelor: prevederea legată de TVA care așteaptă să intre în vigoare

Examen de maturitate

În marș forțat spre „lumea celor patru războaie”. Demisia Occidentului ca hegemon...

A avut și Securitatea un Rocambole al său!

Infrastructură energetică pentru război. Lecții din Ucraina.

Rusia încearcă să facă din Găgăuzia o nouă „Transnistrie”. Același scenariu ca în anii ‘90

„Schema de ajutor de stat IMM Plus este oficial operațională” - ministru. Atenție la termenul 30 iunie 2024!

Brașov: Idei de afaceri concepute de elevi români, premiate la un concurs. De la uleiuri esențiale la costume populare și haine SH

Tesla recheamă în service mașinile electrice Cybertruck pentru risc de tamponare

Generator online de anunțuri mass-media pentru beneficiarii de fonduri europene din Programul Regional Vest - Vest Design

Vin fondurile PNRR de max. 70.000 EUR pentru ONG-uri: Schemă de ajutoare publicată în Monitorul Oficial. eFactura, printre cheltuielile eligibile

Cătălin Cîrstoiu a ieșit în mult așteptata conferința de presă, marcată de văicăreli și victimizări

Povestea fermei de la Hetiur. Locul unde și copiii își pot culege roșiile gustoase, bio

Bugetarea participativă: Pariul Europei de a crește încrederea în guvernare (ll)

Ultimatum pentru Cîrstoiu de la Ciolacu: Conferință de presă, altfel nu putem merge mai departe

UE - majoritatea țărilor nu doresc să realizeze reformele pentru Uniunea piețelor de capital