10 minute read
Instrumentele cepd pentru transferul de date personale în țările terțe / EDPB Instruments for transfer of personal data to third countries
Comitetul European pentru Protecția Datelor (CEPD) a adoptat în cea de a 41-a sesiunea plenară din 09/10 noiembrie 2020 - desfășurată on-line, două instrumente specializate în materia transferurilor de date, respectiv: - Recomandările 01/2020 privind măsurile care suplimentează instrumentele de transfer pentru a asigura conformitatea cu nivelul UE de protecție a datelor cu caracter personal1. Recomandările sunt deschise pentru consultare publică până la 21 decembrie 2020. - Recomandările 02/2020 privind Garanțiile Esențiale Europene pentru măsurile de supraveghere2 .
Importanța instrumentelor menționate este majoră, pentru operatorii și persoanele împuternicite care efectuează transferuri de date în țări terțe3. Astfel, operatorii și persoanele împuternicite care efectu-
Advertisement
The European Data Protection Board (EDPB) adopted at its 41st plenary session on 09/10 November 2020 - remonte meeting, two specialized tools on data transfers, namely: - Recommendations 01/2020 on measures to supplement transfer instruments to ensure compliance with the EU level of protection of personal data1. The recommendations are open for public consultation until 21 December 2020. - Recommendations 02/2020 on Essential European Guarantees for surveillance measures.2
The importance of these instruments is major for controllers and processors who transfer personal data to third countries.3 Thus, controllers and processors carrying out personal data transfers outside the EU Member States (the 27) and Iceland,
Instrumentele CEPD pentru transferul de date personale în țările terțe
by Mugurel Olariu, RPD protectie date
1 A se vedea la https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_en 2 A se vedea la https://edpb.europa.eu/our-work-tools/our-documents/ recommendations/edpb-recommendations-022020-european-essential_ en 3 Precizăm faptul că, potrivit definițiilor din Anexa nr.1 la Recomandările 1/2020 ale CEPD, „țară terță” înseamnă orice țară care nu este un Stat Membru al SEE, iar „SEE” înseamnă Spațiul Economic European și include Statele Membre ale Uniunii Europene (cele 27) și Islanda, Norvegia și Liechtenstein. RGPD se aplică acestuia din urmă în virtutea Acordului SEE , în special Anexa XI și Protocolul 37. 1 See at https://edpb.europa.eu/our-work-tools/public-consultations-art-704 / 2020 / recommendations-012020-measures-supplement-transfer_en. 2 See at https://edpb.europa.eu/our-work-tools/public-consultations-art-704 / 2020 / recommendations-012020-measures-supplement-transfer_en. 3 Please note that, as definitions in Annex 1 to EDPB Recommendations 1/2020, “third country” means any country that is not an EEA Member State, and “EEA” means the European Economic Area and includes the Member States of the European Union (the 27) and Iceland, Norway and Liechtenstein. The GDPR applies to the latter under the EEA Agreement, and in particular Annex XI and Protocol 37.
ează transferuri de date în afara Statelor Membre ale UE (cele 27) și ale Islandei, Norvegiei și Lichtenstein, trebuie să ia măsuri de analiză specializată și de conformare a transferurilor la cele două instrumente nou adoptate.
Dreptul la protecția datelor are un caracter activ. Este nevoie ca exportatorii și importatorii (indiferent dacă aceștia sunt operatori și/sau persoane împuternicite) să efectueze o recunoaștere sau o conformitate pasivă cu acest drept.4 Operatorii și persoanele împuternicite trebuie să caute să respecte dreptul la protecția datelor într-un mod activ și continuu prin implementarea măsurilor legale, tehnice și organizatorice care să le asigure eficacitate. Operatorii și persoanele împuternicite trebuie, de asemenea, să poată demonstra aceste eforturi către persoanele vizate, publicul larg și autoritățile de supraveghere a protecției datelor. Acesta Norway and Lichtenstein should take measures for specialized analysis and compliance of transfers to the two newly adopted instruments.
The right to data protection is active. Exporters and importers (regardless of whether they are controllers and/or processors) need to carry out a recognition or passive compliance with this right4. Controllers and processors must seek to respect the right to data protection in an active and continuous manner by implementing legal, technical and organizational measures to ensure their effectiveness. Controllers and processors must also be able to demonstrate these efforts to data subjects, the general public and competent supervisory authority. This is the so-called liability principle5 .
The principle of liability, which is necessary to ensure that the
EDPB Instruments for transfer of personal data to third countries
este așa-numitul principiu al responsabilității.5
Principiul responsabilității, care este necesar pentru a asigura că aplicarea eficientă a nivelului de protecție conferit de RGPD se aplică și transferurilor de date către țări terțe6, deoarece acestea sunt o formă de prelucrare a datelor în sine7. După cum a subliniat Curtea în hotărârea sa, un nivel de protecție echivalent în esență cu cel garantat în cadrul Uniunii Europene, de RGPD citit în lumina Cartei trebuie garantat acestui transfer, indiferent de prevederile acelui capitol, pe baza cărora se efectuează transferul de date cu caracter personal către o țară terță.
Analiza specializată se îndreaptă către cele două paliere impuse de instrumentele nou adoptate de organismul european specializat - CEPD, respectiv conformarea transferurilor la Garanțiile Esențiale Europene și măsurile care suplimentează instrumentele de transfer pentru a asigura conformitatea cu nivelul UE de protecție a datelor cu caracter personal.
Garanțiile Esențiale Europene, dezvoltate prin Recomandările 2/2020, se bazează pe drepturile fundamentale la confidențialitate și la protecția datelor care se aplică oricărei persoane, indiferent de naționalitate și vizează patru condiționări sau repere semificative de îndeplinit, respectiv:
Prelucrarea ar trebui să se bazeze pe reguli clare, precise și accesibile.
Necesitatea și proporționalitatea cu privire la obiectivele legitime urmărite trebuie să fie demonstrate.
Ar trebui să existe un mecanism independent de supraveghere.
Remediile eficiente trebuie să fie disponibile pentru fiecare persoană.
Măsurile care suplimentează instrumentele de transfer pentru a asigura conformitatea cu nivelul UE de protecție a datelor cu caracter personal, din Recomandările 1/2020 ale CEPD, au în vedere o serie de opeeffective application of the level of protection conferred by the GDPR also applies to data transfers to third countries6, because they are a form of data processing per se7. As the Court pointed out in its judgment, a level of protection essentially equivalent to that guaranteed in the European Union, by the GDPR read in the light of the Charter must be guaranteed to this transfer, regardless of the provisions of that chapter, on the basis of which the transfer of personal data to a third country.
The specialized analysis goes to the two levels imposed by the instruments newly adopted by the European specialized body - EDPB, namely the compliance of transfers with European Essential Guarantees and the measures supplementing the transfer instruments to ensure compliance with the EU level of protection of personal data.
The European Essential Guarantees, developed by Recommendations 2/2020, are based on the fundamental rights to privacy and data protection that apply to any person, regardless of nationality, and cover four conditions or significant benchmarks to be met, namely: 1.Processing should be based on clear, precise and accessible rules. 2. The necessity and proportionality of the legitimate objectives pursued must be demonstrated. 3. There should be an independent oversight mechanism. 4. Effective remedies must be available to every person.
Measures supplementing the transfer instruments to ensure compliance with the EU level of protection of personal data, in EDPB Recommendations 1/2020, envisage a number of practical operations
4 Cauza C-92/09 și C-93/02, Volker und Markus Schecke GbR împotriva Land Hessen, Concluziile avocatului general Sharpston, 17 iunie 2010, punctul 71. 5 Articolul 5 alineatul 2 și Articolul 28 alineatul 3 litera h) din RGPD. 6 Articolul 44 și considerentul 101 din RGPD, precum și Articolul 47 alineatul (2) litera d) din RGPD. 7 Hotărârea CJUE din 6 octombrie 2015, în Cauza C-362/14 Maximillian Schrems împotriva comisarului pentru protecția datelor, punctul 45. 4 Case C-92/09 and C-93/02, Volker und Markus Schecke GbR v. Land Hessen, Opinion of Advocate General Sharpston delivered on 17 June 2010, point 71. 5 Article 5 (2) and Article 28 (3) (h) of the GDPR. 6 Article 44 and recital 101 of the GDPR, as well as Article 47 (2) (d) of the GDPR. 7 Judgment of the CJEU of 6 October 2015 in Case C-362/14 Maximillian Schrems v Data Protection Commissioner, paragraph 45.
rațiuni practice la îndemâna exportatorilor de date8 și ale importatorilor de date9, care trebuie analizate și luate efectiv de aceștia, în mod particular și adaptat la operațiunile proprii, pentru desfășurarea în siguranță a transferului de date către țări terțe.
Operațiunile practice se desfășoară printr-o analiză specializată și graduală, de către cei doi actori - exportatorul de date către țări terțe și respectiv, importatorul datelor transferate, prin șase pași, care pot fi sintetizați astfel: ✔ Pasul 1: Cunoaște-ți transferurile. ✔ Pasul 2: Identificați instrumentele de transfer pe care vă bazați. ✔ Pasul 3: Evaluați dacă instrumentul de transfer din Articolul 46 RGPD pe care vă bazați este eficient având în vedere toate circumstanțele transferului. ✔ Pasul 4: Adoptați măsuri suplimentare. ✔ Pasul 5: Etape procedurale dacă ați identificat măsuri suplimentare eficiente. ✔ Pasul 6: Reevaluați la intervale adecvate.
Operatorii și persoanele împuternicite, în cazul în care - în urma analizei specializate efectuate, nu puteți găsi sau implementa măsuri suplimentare eficiente care să asigure că datele cu caracter personal transferate se bucură de un nivel de protecție echivalent esențial, nu trebuie să începeți transferul de date cu caracter personal către țara terță în cauză pe baza instrumentului de transfer ales. Dacă efectuați deja transferuri, vi se cere să suspendați imediat sau să încheiați transferul de date personale. Autoritatea de supraveghere competentă are puterea de a suspenda sau de a interzice transferurile de date cu caracter personal către țara terță în cazul în care protecția datelor transferate impusă de legislația UE, în special respectarea Articolelor 45 și 46 din RGPD și Carta Drepturilor Fundamentale a UE nu este asigurată10 .
Concluzionăm prin aceea că, până la adoptarea Codului de conduită, ca unul dintre instrumentele de garantare a transferurilor, această activitate se poate efectua - cu sprijinul specializat al firmei noastre11, ca analiză particulară pentru operațiunile care sunt în desfășurare sau se intenționează a fi desfășurate de către operatori și/sau persoane împuternicite, pentru transferurile de date cu caracter personal în țările terțe. available to data exporters8 and data importers9, which must be analyzed and actually taken by them, in particular and adapted to own operations for the secure transfer of data to third countries.
The practical operations are carried out through a specialized and gradual analysis, by the two actors - the data exporter to third countries and, respectively, the importer of the transferred data, through six steps, which can be summarized as follows: ✔ tep 1: Know your transfers. ✔ tep 2: Identify the transfer tools you are relying on. ✔ tep 3: Assess whether the transfer instrument in Article 46 GDPR you are relying on is effective given all the circumstances of the transfer. ✔ tep 4: Take additional action. ✔ tep 5: Procedural steps if you have identified effective additional measures. ✔ tep 6: Reassess at appropriate intervals.
Controllers and processors, if - following the specialized analysis performed, you cannot find or implement supplement effective measures to ensure that the transferred personal data enjoys an essential equivalent level of protection, you do not have to start the data transfer personal data to the third country concerned on the basis of the chosen transfer instrument. If you are already making transfers, you are required to suspend or terminate the transfer of personal data immediately. The competent supervisory authority has the power to suspend or end transfers of personal data to the third country if the protection of the transferred data required by EU law, in particular compliance with Articles 45 and 46 of the RGPD and the EU Charter of Fundamental Rights, is not ensured10 .
We conclude that, until the adoption of the Code of Conduct, as one of the tools to guarantee transfers, this activity can be performed - with the specialized support of our company11, as a particular analysis for operations that are in progress or are intended to be carried out by controllers and / or processors, for transfers of personal data in third countries.
8 „Exportator de date” înseamnă operatorul sau persoana împuternicită de operator din SEE care transferă date cu caracter personal către un operator sau persoană împuternicită dintr-o țară terță, potrivit Anexei nr.1 la Recomandările 1/2020. 9 „Importator de date” înseamnă operatorul sau persoana împuternicită de operator dintr-o țară terță care primește sau primește acces la datele personale transferate din SEE, potrivit Anexei nr.1 la Recomandările 1/2020. 10 Andrea Jelinek, Președintele CEPD, în Concluziile din Recomandările 1/2020. 11 Se poate solicita la e-mail: office@rpd-protectiedate.ro sau tel. 0723067601. 8 “Data exporter” means the data controller or processor within the EEA who transfers personal data to a controller or processor in a third country, in accordance with Annex 1 to Recommendations 1/2020. 9 “Data importer” means the data controller or processor in a third country who receives or gets access to personal data transferred from the EEA, in accordance with Annex 1 to Recommendations 1/2020. 10 Andrea Jelinek, The Chair of the EDPB, in the Conclusions of Recommendations 1/2020. 11 Can be requested by e-mail: office@rpd-protectiedate.ro or tel. 0723067601.
grisogono
www.grisogono.ro
