Hotărârea Schrems II – Cum mai transferăm datele personale către țări terțe? Câteva recomandări practice

La 16 iulie 2020, Curtea de Justiție a Uniunii Europene a hotărât, în cauza C-311/18 – Data Protection Commissioner împotriva Facebook Ireland și Maximillian Schrems, invalidarea Deciziei 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de Confidențialitate UE-SUA și a considerat validă Decizia 2010/87 a Comisiei privind clauzele contractuale standard pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe.

Obiectul cauzei deduse în fața Curții de Justiție a Uniunii Europene (CJUE)

Hotărârea CJUE în cauza C-311/18 – Facebook Ireland și Maximillian Schrems are o importanță unică, evidențiind dreptul fundamental la protecție în cazul transferului în țări terțe de date personale ale cetățenilor UE. CJUE a considerat că există, în spetă, o serie de vicii în tratamentul datelor personale, în special în ce privește principiul necesității și proporționalității, vicii care au dus în cele din urmă la invalidarea Scutului de Confidențialitate (Privacy Shield) încheiat anterior între Statele Unite ale Americii și Uniunea Europeană.

Cauza a fost inițiată în 2015 de către Max Schrems, activist de protecția datelor care anterior a reușit invalidarea transferurilor în baza mecanismului „Safe Harbor”. Încurajat de acest succes, Max Schrems și-a îndreptat atenția către utilizarea de către Facebook a clauzelor-model (cunoscute și drept Clauze Contractuale Standard sau „SCC”) la transferul în SUA de date personale către entitatea centrală din aceasta țară și a mai depus o plângere la Autoritatea pentru Protecția Datelor din Irlanda (DPC), clamând faptul că abordarea chestiunii protecției datelor de către Statele Unite ale Americii subminează standardele înalte de protecție a datelor stabilite de Uniunea Europeană, astfel că datele nu ar trebui să fie exportate în Statele Unite ale Americii indiferent de mecanismul de transfer utilizat.

Și DPC din Irlanda a ridicat preocupări legate de folosirea SCC în general, astfel încât cauza a ajuns în fața CJUE.

CJUE a apreciat, în speță, că nici Scutul de Confidențialitate și nici măcar clauzele-model privind transferul de date nu pot constitui o bază validă de transfer de către Facebook Ireland al datelor personale către entitatea centrală din SUA, întrucât Facebook este supus legilor supravegherii din Statele Unite ale Americii. În concret, în SUA, cerințele de securitate națională (din partea CIA, FBI sau NSA – n.n.), cele de interes public precum și executarea legilor au prioritate asupra drepturilor fundamentale ale persoanelor ale căror date personale sunt transferate în această țară.

S-a mai reținut de către ECJ și că mecanismul de plângere prevăzut de Scutul de Confidențialitate nu prevede o modalitate de redresare a persoanelor vizate (cetățenii UE) care doresc să se plângă față de modul cum le sunt prelucrate datele în SUA.

Urmare a acestei hotărâri, chiar dacă clauzele-model rămân, în principiu, un mecanism valid pentru exportul de date în afara UE, pentru a se putea baza pe acestea, exportatorii și importatorii datelor vor trebui să desfășoare o analiză serioasă pentru a demonstra că țara primitoare a datelor garantează același nivel de protecție ca și Uniunea Europeană. Și să ia măsuri/garanții suplimentare de protecție, daca nu există o protecție echivalentă.

Regulile corporative obligatorii (BCRs) sunt afectate în același mod de hotărârea Schrems II ca și clauzele-model, deoarece și în cazul acestui instrument de transfer legile americane au prioritate.

O decizie importantă, care permite autorităților de supraveghere să dispună ștergerea datelor, suspendarea sau stoparea transferului, mai degrabă decât să impună penalități

Hotărârea CJUE a pus în dificultate operatorii de date și pe împuterniciții lor în ceea ce privește stabilirea nivelului de adecvare a due diligence-ului pe care trebuie să-l efectueze asupra mecanismului de transfer constând în clauzele-model precum și în ce privește adecvarea altor instrumente de transfer dupa emiterea acestei hotărâri. Alte întrebări dificile sunt cele despre cum vor fi realizate transferurile către țări (non-UE) considerate ca având un nivel și mai mic de protecție, cum ar fi China, Rusia, UK sau Japonia.

În decizia Schrems II, ECJ a mai reținut că autoritățile de supraveghere au dreptul de a audita și a revizui clauzele-model și chiar să suspende sau să dispună încetarea transferului datelor dacă nu există o protecție adecvată în țara primitoare. În practică, aceste măsuri ale autorităților de supraveghere pot afecta mult mai mult o companie sau o linie de business decât o amendă, putând merge până la închidere operațională.

Schrems II a devenit astfel o chestiune la nivel de management/consiliu de conducere al entităților implicate în transferul internațional de date.

Pași practici pe care îi recomandăm în urma hotărârii Schrems II

Ce fel de analiză trebuie să facă exportatorii și importatorii de date? Este suficient standardul aplicabil în cazul unei decizii de adecvare luată în temeiul art. 45 GDPR? Și ce documente trebuie pregătite pentru control sau în cazul în care autoritățile de supraveghere au o opinie contrară și stopează transferul?

În orice caz, la 29.10.2020, Comitetul European pentru Protecția Datelor (CEPD) a precizat, în documentul de aprobare a Strategiei pentru instituțiile UE privind conformarea la decizia Schrems II, că o astfel de strategie  trebuie să aibă în centru cooperarea și răspunderea operatorilor în evaluarea standardului în mod esențial echivalent cu cel al UE. Totodată, CEPD a încurajat instituțiile UE:

(i) să nu transfere date în cadrul unor noi activități de prelucrare sau contracte noi cu furnizori de servicii din Statele Unite ale Americii;

(ii) să realizeze o Analiză de Impact a Transferului (Transfer Impact Assessments – TIAs) pentru toate transferurile internaționale; și

(iii) să aștepte instrucțiuni din partea CEPD, audituri de conformare și acțiuni de sancționare a transferurilor către SUA și alte țări terțe.

Sugerăm mai jos câteva din acțiunile posibile, care reduc riscul unei analize și utilizări inadecvate ale clauzelor-model în cadrul transferurilor internaționale în curs și al celor viitoare:

1. cartografierea transferurilor internaționale de date;

2. realizarea de analize de impact al transferului de date (TIA);

3. analizarea posibilității de aplicare a derogarilor prevăzute în Articolul 49 GDPR;

4. luarea de măsuri/garanții de protecție suplimentare (cum ar fi, de exemplu, pseudonimizarea);

5. revizuirea contractelor cu împuterniciții pentru a asigura un grad sporit de comfort legal și comercial;

6. revizuirea în mod constant a transferurilor de date efectuate de o organizație.

La 11.11.2020, EPDB a adoptat recomandări ce conțin o serie de pași și măsuri pe care exportatorii de date trebuie să le implementeze pentru a verifica dacă au atins un grad de conformare și protecție privind transferurile internaționale cel puțin echivalent cu cel al Uniunii Europene, precum și recomandări privind Garanțiile Esențiale Europene în ceea ce privește măsurile de supraveghere. La data acestui articol, recomandările nu erau încă publicate, însă vom reveni cu mai multe detalii după publicare.