Documente Academic
Documente Profesional
Documente Cultură
Transferurile și fluxurile
internaționale de date
cu caracter personal
UE Aspecte vizate CoE
Transferurile de date cu caracter personal
Regulamentul general Concept Convenția 108
privind protecția datelor, modernizată,
articolul 44 articolul 14
alineatele (1)
și (2)
Fluxul liber al datelor cu caracter personal
Regulamentul general Între statele membre ale UE
privind protecția datelor,
articolul 1 alineatul (3) și
considerentul 170
Între părțile contractante la Convenția 108
Convenția 108 modernizată,
articolul 14
alineatul (1)
Transferurile de date cu caracter personal către țări terțe sau organizații
internaționale
Regulamentul general Decizie privind caracterul adecvat al Convenția 108
privind protecția datelor, nivelului de protecție/țări terțe sau modernizată,
articolul 45 organizații internaționale cu niveluri articolul 14
Hotărârea CJUE [MC] în adecvate de protecție alineatul (2)
cauza C‑362/14, Maximillian
Schrems/Data Protection
Commissioner, 2015
275
Manual de legislație europeană privind protecția datelor
În cadrul legislației UE, Regulamentul general privind protecția datelor prevede fluxul
liber al datelor în cadrul Uniunii Europene. Cu toate acestea, regulamentul conține
cerințe specifice referitoare la transferurile de date cu caracter personal către țări
terțe din afara UE și către organizații internaționale. Regulamentul recunoaște
importanța acestor transferuri, în special în perspectiva comerțului și a cooperării
internaționale, dar recunoaște, de asemenea, riscul crescut pentru datele cu caracter
personal. Prin urmare, regulamentul urmărește să asigure, pentru datele cu carac‑
ter personal transferate în țări terțe, același nivel de protecție de care se bucură în
cadrul UE658. Legislația CoE recunoaște, de asemenea, importanța punerii în aplicare
a normelor privind fluxurile de date transfrontaliere, bazate pe un flux liber între păr‑
țile membre și pe cerințe specifice privind transferurile către părți nemembre.
276
Transferurile și fluxurile internaționale de date cu caracter personal
• Asigurarea protecției drepturilor persoanelor vizate atunci când datele sunt transferate
în afara UE permite ca protecția acordată de legislația UE să însoțească datele cu carac‑
ter personal originare din UE.
277
Manual de legislație europeană privind protecția datelor
În temeiul legislației CoE, trebuie să existe un flux liber de date cu caracter personal
între părțile contractante la Convenția 108 modernizată. Cu toate acestea, transferul
poate fi interzis dacă există un „risc real și grav ca transferul către o altă parte să
conducă la eludarea dispozițiilor convenției” sau dacă o parte are obligația să proce‑
deze astfel în temeiul unor „norme armonizate de protecție comune statelor mem‑
bre ale unei organizații internaționale regionale”662.
În temeiul legislației UE, restricțiile sau interdicțiile privind libera circulație a datelor
cu caracter personal între statele membre ale UE pentru motive legate de protecția
persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal sunt
interzise663. Zona fluxului gratuit de date a fost extinsă prin Acordul privind Spațiul
Economic European (SEE)664, în temeiul căruia Islanda, Liechtenstein și Norvegia au
fost incluse în piața internă.
278
Transferurile și fluxurile internaționale de date cu caracter personal
665 Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția
persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în
scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor
și privind libera circulație a acestor date și de abrogare a Deciziei‑cadru 2008/977/JAI a Consiliului,
JO 2016 L 119.
279
Manual de legislație europeană privind protecția datelor
• Atât CoE, cât și EU permit transferul datelor cu caracter personal către țări terțe sau
organizații internaționale, sub rezerva îndeplinirii anumitor condiții de protecție a date‑
lor cu caracter personal.
• În conformitate cu legislația UE, transferurile pot avea loc în cazul în care țara terță
asigură un nivel adecvat de protecție sau dacă operatorul de date sau persoana
împuternicită de acesta oferă garanții adecvate, inclusiv drepturi opozabile și căi
de atac pentru persoanele vizate, prin intermediul unor clauze standard de protec‑
ție a datelor sau a unor reguli corporatiste obligatorii.
• Atât legislația CoE, cât și a UE prevăd clauze de derogare care permit transferul datelor
cu caracter personal în anumite circumstanțe chiar dacă nu există nici un nivel adecvat
de protecție, nici garanții adecvate.
Deși atât legislația CoE, cât și legislația UE permit fluxurile de date către țări terțe sau
către organizații internaționale, cele două ordini juridice prevăd condiții diferite. Fie‑
care set de condiții ia în considerare structura și scopurile organizației în cauză.
280
Transferurile și fluxurile internaționale de date cu caracter personal
• unei legi a statului sau a organizației internaționale în cauză, inclusiv tratate sau
acorduri internaționale aplicabile, care asigură garanții adecvate;
În mod similar cu legislația UE, în lipsa unui nivel adecvat de protecție a datelor, sunt
disponibile o serie de derogări.
281
Manual de legislație europeană privind protecția datelor
671 Pentru a vedea lista actualizată în mod constant a țărilor care au primit o constatare privind caracterul
adecvat al nivelului de protecție, vezi pagina de start a Direcției Generale Justiție a Comisiei Europene.
672 Hotărârea CJUE [MC] din 6 octombrie 2015 în cauza C-362/14, Maximillian Schrems/Data Protection
Commissioner, punctele 63 și 65-66.
673 Decizia 2002/2/CE a Comisiei din 20 decembrie 2001 în conformitate cu Directiva 95/46/CE
a Parlamentului European și a Consiliului privind caracterul adecvat al protecției datelor cu caracter
personal asigurat prin legea canadiană referitoare la protecția informațiilor cu caracter personal și
documentele electronice (Personal Information Protection and Electronic Documents Act), JO 2002 L 2.
282
Transferurile și fluxurile internaționale de date cu caracter personal
674 Decizia 2000/520/CE a Comisiei din 26 iulie 2000 în temeiul Directivei 95/46/CE a Parlamentului
European și a Consiliului privind caracterul adecvat al protecției oferite de principiile „sferei de siguranță”
privind protecția vieții private și întrebările de bază aferente, publicate de Departamentul Comerțului al
S.U.A., JO 2000 L 215. Decizia a fost anulată de CJUE [MC] prin Hotărârea pronunțată în cauza C-362/14,
Maximillian Schrems/Data Protection Commissioner.
675 Hotărârea CJUE [MC] din 6 octombrie 2015 în cauza C‑362/14, Maximillian Schrems/Data Protection
Commissioner.
283
Manual de legislație europeană privind protecția datelor
Prin urmare, nivelul de protecție din SUA nu era „în esență echivalent” cu
drepturile și libertățile fundamentale garantate de UE680. CJUE a susținut că au
fost încălcate mai multe articole din Carta drepturilor fundamentale a UE. În
primul rând, s-a adus atingere substanței articolului 7, deoarece reglementa‑
rea SUA în cauză „permite autorităților publice să acceadă în mod generalizat
la conținutul comunicărilor electronice”. În al doilea rând, s-a adus atingere,
de asemenea, substanței articolului 47, întrucât reglementarea în cauză nu
prevedea nicio posibilitate a justițiabililor de a exercita căi legale pentru
a avea acces la datele cu caracter personal sau pentru a obține rectificarea
sau ștergerea unor astfel de date. În sfârșit, întrucât regimul sferei de sigu‑
ranță încălcase articolele menționate mai sus, datele cu caracter personal nu
mai erau prelucrate în mod legal, ceea ce a condus la încălcarea articolului 8.
284
Transferurile și fluxurile internaționale de date cu caracter personal
a adoptat o decizie prin care a declarat că SUA asigură un nivel adecvat de protec‑
ție a datelor cu caracter personal transferate din Uniune către organizații din SUA în
temeiul Scutului de confidențialitate UE-SUA681.
681 Decizia de punere în aplicare (UE) 2016/1250 a Comisiei din 12 iulie 2016 în temeiul Directivei
95/46/CE a Parlamentului European și a Consiliului privind caracterul adecvat al protecției oferite de
Scutul de confidențialitate UE-SUA, JO 2016 L 207. Grupul de lucru „Articolul 29” a salutat îmbunătățirile
aduse de mecanismul „scutului de confidențialitate” în comparație cu decizia privind „sfera de siguranță”
și a felicitat Comisia și autoritățile SUA pentru luarea în considerare în versiunea finală a documentelor
aferente „scutului de confidențialitate” preocupările exprimate în avizul său WP 238 referitor la proiectul
de decizie privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA. Grupul
de lucru „Articolul 29” a subliniat totuși o serie de preocupări nesoluționate. Pentru mai multe detalii,
vezi Avizul 1/2016 al Grupului de lucru „Articolul 29” referitor la proiectul de decizie privind caracterul
adecvat al protecției oferite de Scutul de confidențialitate UE-SUA, adoptat la 13 aprilie 2016, 16/
EN WP 238.
682 Pentru mai multe informații, vezi Fișa informativă privind Scutul de confidențialitate UE-SUA.
683 Pentru mai multe informații, vezi pagina web a Comisiei Europene dedicată Scutului de confidențialitate
UE-SUA.
684 Comisia Europeană, Raport al Comisiei către Parlamentul European și Consiliu privind prima
evaluare anuală privind f uncționarea Scutului de confidențialitate UESUA, COM(2017) 611 final din
18 octombrie 2017. Vezi, de asemenea, Grupul de lucru „Articolul 29”, Scutul de confidențialitate UE-SUA
– Prima evaluare anuală comună, document adoptat la 28 noiembrie 2017, 17/EN WP 255.
285
Manual de legislație europeană privind protecția datelor
Guvernul SUA a adoptat angajamente și asigurări scrise, care însoțesc decizia privind
caracterul adecvat al protecției oferite de scutul de confidențialitate. Acestea prevăd
limitări și garanții privind accesul guvernului SUA la datele cu caracter personal în
scopuri legate de aplicarea legii și de securitatea națională.
• coduri de conduită;
• mecanisme de certificare686.
286
Transferurile și fluxurile internaționale de date cu caracter personal
În conformitate cu legislația CoE, sunt permise fluxurile de date către un stat sau
o organizație internațională care nu este parte la Convenția 108 modernizată, cu
condiția să se asigure un nivel de protecție adecvat. Acest lucru se poate realiza:
• prin garanții ad hoc sau standardizate integrate într-un document obligatoriu din
punct de vedere juridic688.
Atât legislația CoE, cât și legislația UE recunosc clauzele contractuale prevăzute între
operatorul care exportă date și destinatarul din țara terță ca fiind un mijloc posibil de
asigurare a unui nivel suficient de protecție a datelor la destinatar689.
287
Manual de legislație europeană privind protecția datelor
Cele mai importante caracteristici ale unei clauze contractuale standard sunt:
• o clauză privind un beneficiar terț, care permite persoanelor vizate să își exercite
drepturile contractuale, chiar dacă acestea nu sunt o parte contractantă;
692 Hotărârea CJUE [MC] din 6 octombrie 2015 în cauza C-362/14, Maximillian Schrems/Data Protection
Commissioner, punctele 96-98 și 102-105.
693 Pentru a ține seama de poziția CJUE în cauza Schrems, Comisia și-a modificat decizia privind clauzele
contractuale standard. Decizia de punere în aplicare (UE) 2016/2297 a Comisiei din 16 decembrie 2016
de modificare a Deciziilor 2001/497/CE și 2010/87/UE privind clauzele contractuale standard pentru
transferul de date cu caracter personal către țările terțe și către persoanele împuternicite de către
operator stabilite în țări terțe, în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului,
JO 2016 L 344.
694 Regulamentul general privind protecția datelor, articolul 46 alineatul (3) litera (a).
695 Ibidem, articolul 63 și articolul 64 alineatul (1) litera (e).
696 Ibidem, articolele 64 și 65.
288
Transferurile și fluxurile internaționale de date cu caracter personal
În prezent, operatorul care exportă date are posibilitatea de a alege între două seturi
de clauze standard pentru transferurile de la operator la operator697. Pentru trans
ferurile de la operator la persoana împuternicită de operator există un singur set de
clauze contractuale standard698. Cu toate acestea, clauzele contractuale standard
menționate fac în prezent obiectul unor proceduri judiciare.
697 Setul I este inclus în anexa la Decizia 2001/497/CE a Comisiei din 15 iunie 2001 privind clauzele
contractuale standard pentru transferul de date cu caracter personal către țările terțe în temeiul
Directivei 95/46/CE, JO 2001 L 181; setul II este inclus în anexa la Decizia 2004/915/CE a Comisiei
din 27 decembrie 2004 de modificare a Deciziei 2001/497/CE privind introducerea unui set alternativ
de clauze contractuale standard pentru transferul de date cu caracter personal către țări terțe,
JO 2004 L 385.
698 Decizia 2010/87/UE a Comisiei din 5 februarie 2010 privind clauzele contractuale tip pentru transferul
de date cu caracter personal către persoanele împuternicite de către operatori stabilite în țări terțe
în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului, JO 2010 L 39. La momentul
redactării manualului, utilizarea clauzelor contractuale standard ca temei al transferurilor de date cu
caracter personal către SUA făcea obiectul unei proceduri judiciare în fața Înaltei Curți a Irlandei.
699 Hotărârea CJUE [MC] din 6 octombrie 2015 în cauza C‑362/14, Maximillian Schrems/Data Protection
Commissioner.
700 Decizia de punere în aplicare (UE) 2016/1250 a Comisiei din 12 iulie 2016 în temeiul Directivei
95/46/CE a Parlamentului European și a Consiliului privind caracterul adecvat al protecției oferite de
Scutul de confidențialitate UE-SUA, JO 2016 L 207.
289
Manual de legislație europeană privind protecția datelor
a legii din această țară, iar persoanele vizate din Europa nu dispun de nicio
cale de atac prin care să conteste această practică701. Pentru aceste motive,
CJUE a concluzionat că Decizia privind sfera de siguranță este nulă și, deși
hotărârea Curții se limita la examinarea acestei decizii, reclamantul a consi‑
derat că problemele ridicate sunt la fel de pertinente atunci când transferul
se întemeiază pe clauze contractuale. La momentul redactării prezentului
manual, cauza era examinată în fața Înaltei Curți a Irlandei. Se pare că recla‑
mantul intenționează să sesizeze CJUE, în fața căreia urmărește să conteste
valabilitatea deciziei Comisiei Europene întemeiate pe clauze contractuale
standard. Astfel cum s-a descris la capitolul 5, numai CJUE are competența
de a declara nul un instrument al UE.
Pentru a fi aprobate, regulile corporatiste obligatorii trebuie să fie obligatorii din
punct de vedere juridic, să includă toate principiile esențiale în materie de protec‑
ție a datelor și să se aplice fiecărui membru vizat al grupului, precum și să fie puse
în aplicare de membrii în cauză. Acestea trebuie să confere, în mod expres, drep‑
turi opozabile persoanelor vizate, să includă toate principiile esențiale în materie
de protecție a datelor și să îndeplinească anumite cerințe formale, de exemplu să
descrie structura întreprinderii, transferurile și modul în care vor fi aplicate princi‑
piile în materie de protecție a datelor. Aici se include furnizarea acestor informații
persoanelor vizate. Regulile corporatiste obligatorii trebuie să precizeze, printre
altele, drepturile persoanelor vizate și dispozițiile privind răspunderea pentru orice
încălcare a acestor reguli703. Atunci când se aprobă reguli corporatiste obligatorii
701 Pentru mai multe informații, vezi plângerea revizuită împotriva Facebook Ireland Ltd depusă la
1 decembrie 2015 de către Maximillian Schrems în fața comisarului însărcinat cu protecția datelor din
Irlanda.
702 Regulamentul general privind protecția datelor, articolul 47.
703 Pentru o descriere mai detaliată, vezi Regulamentul general privind protecția datelor, articolul 47.
290
Transferurile și fluxurile internaționale de date cu caracter personal
704 Ibidem, articolul 57 alineatul (1) litera (s), articolul 58 alineatul (1) litera (j), articolul 64 alineatul (1)
litera (f), articolul 65 alineatele (1) și (2).
705 Convenția 108 modernizată, articolul 14 alineatul (3) litera (b).
291
Manual de legislație europeană privind protecția datelor
292
Transferurile și fluxurile internaționale de date cu caracter personal
712 Documentul de poziție din 14 iulie 2014 al Autorității Europene pentru Protecția Datelor intitulat The
transfer of personal data to third countries and international organisations by EU institutions and bodies
(Transferul de date cu caracter personal către țări terțe și organizații internaționale de către instituțiile și
organismele UE), Bruxelles, p. 15.
713 Regulamentul general privind protecția datelor, articolul 49 alineatul (5).
293
Manual de legislație europeană privind protecția datelor
294
Transferurile și fluxurile internaționale de date cu caracter personal
„Directiva UE privind PNR”. Această directivă instituie un cadru juridic pe baza căruia
statele membre ale UE pot transfera datele PNR către autoritățile competente din
țări terțe în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiuni‑
lor de terorism și a altor infracțiuni grave. Transferurile de date PNR către autoritățile
din țări terțe se autorizează de la caz la caz, fac obiectul unei evaluări individuale
a necesității transferului din perspectiva scopurilor specificate în directivă și sunt
condiționate de respectarea drepturilor fundamentale.
295
Manual de legislație europeană privind protecția datelor
Date de mesagerie
296
Transferurile și fluxurile internaționale de date cu caracter personal
Din perspectiva UE, nu exista un temei juridic suficient pentru a divulga aceste date –
în special date privind cetățeni ai UE – autorităților SUA pentru simplul motiv că unul
dintre centrele SWIFT de prelucrare a datelor era localizat în această țară.
Un acord specific între UE și SUA, cunoscut sub numele de Acordul SWIFT, a fost
încheiat în 2010, pentru a furniza temeiul juridic necesar și pentru a asigura stan‑
darde adecvate de protecție a datelor722.
• să fie formulată cât mai precis pentru a reduce la minimum cantitatea de date
solicitate;
721 Vezi, în acest context, Avizul 14/2011 din 13 iunie 2011 al Grupului de lucru „Articolul 29” privind
aspecte de protecție a datelor legate de prevenirea spălării banilor și a finanțării terorismului, WP 186,
Bruxelles; Avizul 10/2006 din 22 noiembrie 2006 al Grupului de lucru „Articolul 29” privind prelucrarea
datelor cu caracter personal de către Societatea pentru Telecomunicații Financiare Interbancare
Mondiale (SWIFT), WP 128, Bruxelles; Decizia din 9 decembrie 2008 a Comisiei pentru protecția vieții
private din Belgia (Commission de la protection de la vie privée), intitulată „Procedură de control și
recomandare inițiată în legătură cu societatea SWIFT scrl”.
722 Decizia 2010/412/UE a Consiliului din 13 iulie 2010 privind încheierea Acordului dintre Uniunea
Europeană și Statele Unite ale Americii privind prelucrarea și transferul datelor de mesagerie financiară
din Uniunea Europeană către Statele Unite ale Americii în cadrul Programului de urmărire a finanțărilor în
scopuri teroriste, JO 2010 L 195, pp. 3 și 4. Textul acordului este anexat la această decizie, JO 2010 L 195,
pp. 5-14.
723 Ibidem, articolul 4 alineatul (2).
297
Manual de legislație europeană privind protecția datelor
724 Organismul comun de supraveghere al Europol a efectuat audituri asupra activităților Europol din acest
domeniu.
298
Transferurile și fluxurile internaționale de date cu caracter personal
persoana vizată trebuie informată în scris cu privire la refuz și la dreptul său de a uti‑
liza căile de atac administrative și juridice din SUA.
Acordul SWIFT rămâne in vigoare pentru o perioadă de cinci ani; prima perioadă
de valabilitate a acestuia a durat până în luna august 2015. Acordul se prelungește
automat cu perioade ulterioare de câte un an – cu un preaviz de cel puțin șase luni
– cu excepția cazului în care una dintre părți notifică celeilalte intenția sa de a nu
prelungi acordul. Prelungirea automată a fost aplicată în august 2015, 2016 și 2017,
valabilitatea Acordului SWIFT fiind asigurată cel puțin până în august 2018725.
299