*Official source:
Versiunea în română: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_ro.pdf
Versiunea în engleză: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf
Comitetul european pentru protecția datelor
Având în vedere articolul 70 alineatul literele (j) și (e) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE,
ADOPTĂ URMĂTOARELE ORIENTĂRI:
1. GENERAL
Prezentul document urmărește să furnizeze orientări în ceea ce privește aplicarea articolului 49 din Regulamentul general privind protecția datelor (RGPD)[1] referitor la derogările aplicabile în contextul transferurilor de date cu caracter personal către țări terțe.
Documentul se bazează pe lucrările anterioare[2] 2 desfășurate de Grupul de lucru al autorităților UE pentru protecția datelor instituit în temeiul articolului 29 din Directiva privind protecția datelor (GL29), care au fost preluate de Comitetul european pentru protecția datelor (CEPD), cu privire la principalele chestiuni generate de aplicarea derogărilor în contextul transferurilor de date cu caracter personal către țări terțe. Prezentul document va fi revizuit și actualizat, după caz, pe baza experienței practice acumulate prin aplicarea RGPD.
Atunci când se aplică articolul 49, trebuie avut în vedere faptul că, în conformitate cu articolul 44, exportatorul de date care transferă date cu caracter personal către țări terțe sau organizații internaționale trebuie să îndeplinească și condițiile prevăzute de celelalte dispoziții ale RGPD. Fiecare activitate de prelucrare trebuie să respecte dispozițiile relevante privind protecția datelor, în special articolele 5 și 6. Prin urmare, trebuie să se aplice un test în două etape: în primul rând, trebuie să se aplice un temei juridic pentru prelucrarea datelor ca atare, împreună cu toate dispozițiile relevante din RGPD; și, într-o a doua etapă, trebuie să fie respectate dispozițiile capitolului V.
Articolul 49 alineatul (1) prevede că, în absența unei decizii privind caracterul adecvat al nivelului de protecție sau a unor garanții adecvate, un transfer sau un set de transferuri de date cu caracter personal către o țară terță sau o organizație internațională poate avea loc numai în anumite condiții. În același timp, articolul 44 prevede că toate dispozițiile capitolului V trebuie să fie aplicate astfel încât să se asigure faptul că nivelul de protecție a persoanelor fizice garantat prin RGPD nu este subminat. Aceasta înseamnă, de asemenea, că recurgerea la derogările prevăzute la articolul 49 nu trebuie să conducă niciodată la o situație în care drepturile fundamentale ar putea fi încălcate.[3]
GL29, în calitate de predecesor al CEPD, susține de mult timp că cea mai bună practică este o abordare pe mai multe niveluri[4] a transferurilor, constând în examinarea, în primul rând, a faptului dacă țara terță asigură un nivel adecvat de protecție și în asigurarea faptului că datele exportate vor fi protejate în țara terță în cauză. În cazul în care nivelul de protecție nu este adecvat având în vedere toate circumstanțele, exportatorul de date ar trebui să ofere garanții adecvate. Prin urmare, exportatorii de date ar trebui, în primul rând, să depună eforturi pentru a identifica posibilitățile de încadrare a transferului utilizând unul dintre mecanismele prevăzute la articolele 45 și 46 din RGPD și, numai în absența acestora, să utilizeze derogările prevăzute la articolul 49 alineatul (1)..
Prin urmare, derogările prevăzute la articolul 49 constituie excepții de la principiul general conform căruia datele cu caracter personal pot fi transferate către țări terțe numai în cazul în care se oferă un nivel corespunzător de protecție în țara terță sau în cazul în care au fost prezentate garanții adecvate, iar persoanele vizate se bucură de drepturi opozabile și efective pentru a beneficia în continuare de drepturile lor fundamentale și de garanții.[5] Din acest motiv și în conformitate cu principiile inerente dreptului european[6], derogările trebuie să fie interpretate în mod restrictiv, astfel încât excepția să nu devină regulă.[7] Acest fapt este sprijinit, de asemenea, de formularea titlului articolului 49, care prevede că derogările trebuie să fie utilizate pentru situații specifice („Derogări pentru situații specifice”).
Prin urmare, atunci când au în vedere transferul de date cu caracter personal către țări terțe sau organizații internaționale, exportatorii de date ar trebui să acorde prioritate soluțiilor care oferă persoanelor vizate garanția că vor beneficia în continuare de drepturile fundamentale și de garanțiile la care au dreptul în ceea ce privește prelucrarea datelor lor, odată ce aceste date au fost transferate. Întrucât derogările nu oferă un nivel de protecție adecvat sau garanții adecvate pentru datele cu caracter personal transferate și deoarece nu este necesar ca transferurile bazate pe o derogare să aibă vreun fel de autorizare prealabilă din partea autorităților de supraveghere, transferul de date cu caracter personal către țări terțe în baza unor derogări conduce la creșterea riscurilor pentru drepturile și libertățile persoanelor vizate în cauză.
De asemenea, exportatorii de date ar trebui să fie conștienți de faptul că, în lipsa unei decizii privind caracterul adecvat al nivelului de protecție, dreptul Uniunii sau dreptul intern poate, din considerente importante de interes public, să limiteze în mod expres transferurile unor categorii specifice de date cu caracter personal către o țară terță sau o organizație internațională [articolul 49 alineatul (5)].
Transferurile ocazionale și nerepetitive
CEPD ia act de faptul că termenul „ocazional” este utilizat în considerentul 111 și expresia „nu este repetitiv” este utilizată în derogarea referitoare la „interesele legitime majore” prevăzută la articolul 49 alineatul (1) al doilea paragraf. Acești termeni indică faptul că astfel de transferuri pot avea, loc de mai multe ori, dar nu în mod regulat, precum și că acestea ar avea loc în afara cursului obișnuit al acțiunilor, de exemplu în circumstanțe necunoscute și aleatorii și la intervale de timp arbitrare. De exemplu, un transfer de date care are loc periodic în cadrul unei relații stabile între exportatorul de date și un anumit importator de date poate fi considerat, în principiu, drept sistematic și repetat și, prin urmare, nu poate fi considerat ca fiind ocazional sau nerepetitiv. În afară de aceasta, un transfer va fi considerat, de exemplu, în mod obișnuit ca fiind neocazional sau repetitiv în cazul în care importatorului de date i se acordă acces direct la o bază de date (de exemplu, prin intermediul unei interfețe la o aplicație informatică) în mod general.
Considerentul 111 face distincția între derogări, menționând în mod expres că derogările privind „contractul” și „dreptul în instanță” [articolul 49 alineatul (1) primul paragraf literele (b), (c) și (e)] se limitează la transferurile „ocazionale”, în timp ce o astfel de limitare lipsește din „derogarea referitoare la consimțământul explicit”, „derogarea referitoare la considerente importante de interes public”, „derogarea referitoare la interese vitale” și „derogarea referitoare la registru” în temeiul articolului 49 alineatul (1) primul paragraf 1 literele (a), (d), (f) și, respectiv, (g).
Cu toate acestea, trebuie evidențiat faptul că inclusiv aceste derogări care nu sunt limitate în mod expres la transferuri „ocazionale” sau „nerepetitive” trebuie să fie interpretate într-un mod care nu contrazice însăși natura derogărilor ca excepții de la regula conform căreia datele cu caracter personal nu pot fi transferate către o țară terță decât dacă țara respectivă asigură un nivel adecvat de protecție a datelor sau, în mod alternativ, se instituie garanții adecvate[8].
Testul de necesitate
O condiție generală pentru utilizarea mai multor derogări este aceea că transferul de date trebuie să fie „necesar” pentru un anumit scop. Testul de necesitate ar trebui să fie aplicat pentru a evalua posibila utilizare a derogărilor prevăzute la articolul 49 alineatul (1) literele (b), (c), (d), (e) și (f). Acest test implică o evaluare efectuată de către exportatorul de date din UE prin care să se stabilească dacă un transfer de date cu caracter personal poate fi considerat drept necesar în scopul specific al derogării care urmează să fie utilizată. Pentru mai multe informații cu privire la aplicarea specifică a testului de necesitate în cazul fiecăreia dintre derogările respective, a se consulta secțiunile relevante de mai jos.
Articolul 48 în raport cu derogările
RGPD introduce o nouă dispoziție la articolul 48, care trebuie să fie luată în considerare atunci când se are în vedere transferul datelor cu caracter personal. Articolul 48 și considerentul corespunzător 115 prevăd că deciziile autorităților din țări terțe, ale instanțelor sau ale tribunalelor nu reprezintă în sine motive legitime pentru transferuri de date către țări terțe. Prin urmare, un transfer efectuat ca răspuns la o decizie a autorităților din țările terțe este în orice caz legal doar dacă este conform cu condițiile prevăzute în capitolul V[9].
În situațiile în care există un acord internațional, cum ar fi un tratat în materie de asistență judiciară reciprocă, întreprinderile din UE ar trebui să refuze în general cererile directe și să trimită autoritatea solicitantă din țara terță la tratatul sau acordul existent.
Această interpretare urmează îndeaproape, și articolul 44, care stabilește un principiu general ce se aplică tuturor dispozițiilor prevăzute în capitolul V, pentru a se asigura că nu este subminat nivelul de protecție a persoanelor fizice garantat prin RGPD.
2. INTERPRETAREA SPECIFICĂ A DISPOZIȚIILOR ARTICOLULUI 49
2.1 Persoana vizată și-a exprimat în mod explicit acordul cu privire la transferul propus, după ce a fost informată asupra posibilelor riscuri pe care astfel de transferuri le pot implica pentru persoana vizată ca urmare a lipsei unei decizii privind caracterul adecvat al nivelului de protecție și a unor garanții adecvate – [articolul 49 alineatul (1) litera (a)]
Condițiile generale pentru a considera consimțământul ca fiind valabil sunt definite la articolul 4 alineatul (11)[10] și articolul 7 din RGPD[11]. GL29 oferă orientări cu privire la aceste condiții generale privind consimțământul într-un document separat, care este aprobat de CEPD[12].
Aceste condiții se aplică, de asemenea, consimțământului în contextul articolului 49 alineatul (1) litera (a). Cu toate acestea, există anumite elemente suplimentare care sunt necesare pentru a considera consimțământul ca fiind un temei juridic valabil pentru transferurile internaționale de date către țări terțe și organizații internaționale, astfel cum se prevede la articolul 49 alineatul (1) litera (a), iar prezentul document se va concentra asupra acestora.
Prin urmare, această secțiune (1) din prezentele orientări trebuie să fie citită în coroborare cu orientările GL29 privind consimțământul, aprobate de CEPD, care oferă o analiză mai detaliată cu privire la interpretarea condițiilor generale și a criteriilor de consimțământ în temeiul RGPD[13]. De asemenea, trebuie remarcat faptul că, în conformitate cu articolul 49 alineatul (3), autoritățile publice nu pot recurge la această derogare în exercitarea competențelor lor publice.
Articolul 49 alineatul (1) litera (a) prevede că un transfer de date cu caracter personal către o țară terță sau o organizație internațională poate fi efectuat în absența unei decizii privind caracterul adecvat al nivelului de protecție în conformitate cu articolul 45 alineatul (3) sau a unor garanții adecvate în conformitate cu articolul 46, inclusiv a regulilor corporatiste obligatorii, în condițiile în care „persoana vizată și-a exprimat în mod explicit acordul cu privire la transferul propus, după ce a fost informată asupra posibilelor riscuri pe care astfel de transferuri le pot implica pentru persoana vizată ca urmare a lipsei unei decizii privind caracterul adecvat al nivelului de protecție și a unor garanții adecvate”.
2.1.1 Consimțământul trebuie să fie explicit
În conformitate cu articolul 4 alineatul (11) din RGPD, consimțământul ar trebui să fie liber exprimat, specific, informat și lipsit de ambiguitate. Cu privire la această ultimă condiție, articolul 49 alineatul (1) litera (a) este mai strict deoarece prevede consimțământul „explicit”. Aceasta este, de asemenea, o cerință nouă în raport cu articolul 26 alineatul (1) litera (a) din Directiva 95/46/CE, care prevedea doar consimțământul „neechivoc”. RGPD prevede consimțământul explicit în situațiile în care pot apărea riscuri specifice de protecție a datelor și, prin urmare, este necesar un înalt nivel individual de control asupra datelor cu caracter personal, astfel cum este cazul prelucrării categoriilor speciale de date [articolul 9 alineatul (2) litera (a)]și al deciziilor automatizate [articolul 22 alineatul (2) litera (c)]. Astfel de riscuri specifice apar, de asemenea, în contextul transferurilor internaționale de date.
Pentru orientări suplimentare cu privire la cerința consimțământului explicit, precum și la celelalte cerințe aplicabile necesare pentru a considera consimțământul ca fiind valabil, a se consulta Orientările GL29 asupra consimțământului, care sunt aprobate de către CEPD[14].
2.1.2 Consimțământul trebuie să fie specific pentru un anumit transfer de date/set de transferur
Una dintre cerințele privind un consimțământ valabil este că acesta trebuie să fie specific. Prin urmare, pentru a constitui un temei valabil pentru un transfer de date în temeiul articolului 49 alineatul (1) litera (a), consimțământul trebuie să fie acordat în mod specific pentru un anumit transfer de date sau set de transferuri.
Elementul „specific” din definiția consimțământului urmărește să asigure un grad de control al utilizatorului și transparență pentru persoana vizată. Acest element este, de asemenea, strâns legat de cerința ca respectivul consimțământ să fie „în cunoștință de cauză”.
Întrucât consimțământul trebuie să fie specific, este uneori imposibil să se obțină acordul prealabil al persoanei vizate pentru un viitor transfer în momentul colectării datelor, de exemplu dacă apariția și circumstanțele specifice ale unui transfer nu sunt cunoscute în momentul în care se solicită consimțământul, atunci impactul asupra persoanei vizate nu poate fi evaluat. De exemplu, o societate din UE colectează datele clienților săi pentru un anumit scop (livrare de bunuri), fără a lua în considerare transferul acestor date, la acel moment, către un terț din afara UE. Cu toate acestea, câțiva ani mai târziu, aceeași societate este achiziționată de o societate din afara UE care dorește să transfere date cu caracter personal cu privire la clienții săi către o altă societate din afara UE. Pentru ca acest transfer să fie valabil pe baza derogării referitoare la consimțământ, persoana vizată trebuie să își dea consimțământul pentru respectivul transfer specific, în momentul în care se are în vedere transferul. Prin urmare, consimțământul acordat la momentul colectării datelor de către societatea din UE în scopul livrării nu este suficient pentru a justifica utilizarea acestei derogări pentru transferul datelor cu caracter personal în afara UE care este avut în vedere mai târziu.
Prin urmare, exportatorul de date trebuie să se asigure că obține consimțământul specific înainte ca transferul să fie pus în practică, inclusiv dacă acesta are loc după efectuarea colectării datelor. Această cerință este legată, de asemenea, de necesitatea ca acordarea consimțământului să fie în cunoștință de cauză. Este posibil să se obțină consimțământul specific al unei persoane vizate înainte de realizarea transferului și la momentul colectării datelor cu caracter personal, atât timp cât respectivul transfer specific este adus la cunoștința persoanei vizate și circumstanțele transferului nu se modifică după acordarea consimțământului specific de către persoana vizată. Prin urmare, exportatorul de date trebuie să se asigure că sunt respectate, de asemenea, dispozițiile prevăzute în secțiunea 1.3 de mai jos.
2.1.3 Consimțământul trebuie să fie în cunoștință de cauză[15], în special cu privire la posibilele riscuri legate de transfer
Această condiție este deosebit de importantă deoarece întărește și specifică în continuare cerința generală privind consimțământul „în cunoștință de cauză” ca fiind aplicabilă oricărui consimțământ, astfel cum este prevăzută la articolul 4 alineatul (11)[16] As such, the general
requirement of “informed” consent, requires, in the case of conseCa atare, cerința generală privind consimțământul „în cunoștință de cauză” prevede, în cazul consimțământului ca bază legală în temeiul articolului 6 alineatul (1) litera (a) pentru un transfer de date, ca persoana vizată să fie informată în mod corespunzător în prealabil cu privire la circumstanțele specifice ale transferului (și anume, identitatea operatorului de date, scopul transferului, tipul de date, existența dreptului de a retrage consimțământul, identitatea destinatarilor sau categoriile de destinatari)[17].
În plus față de această cerință generală privind consimțământul „în cunoștință de cauză”, în cazul în care datele cu caracter personal sunt transferate către o țară terță în temeiul articolului 49 alineatul (1) litera (a), această dispoziție impune ca persoanele vizate să fie informate, de asemenea, cu privire la riscurile specifice care rezultă din faptul că datele vor fi transferate către o țară care nu oferă un nivel adecvat de protecție și că nu sunt puse în aplicare garanții adecvate care să vizeze asigurarea protecției datelor. Furnizarea acestor informații este esențială pentru a permite persoanei vizate să își dea consimțământul în deplină cunoștință de cauză în ceea ce privește aceste elementele specifice privind transferul și, prin urmare, în cazul în care acestea nu sunt furnizate, derogarea nu se aplică.
Informațiile furnizate persoanelor vizate în vederea obținerii consimțământului pentru transferul datelor lor cu caracter personal către terți stabiliți în țări terțe ar trebui să specifice, de asemenea, toți destinatarii datelor sau categoriile de destinatari, toate țările către care sunt transferate datele cu caracter personal, că acest consimțământ constituie temeiul legal pentru transfer și că țara terță către care vor fi transferate datele nu oferă un nivel adecvat de protecție a datelor pe baza unei decizii a Comisiei Europene[18]. În plus, așa cum s-a menționat mai sus, trebuie să fie furnizate informații cu privire la posibilele riscuri pentru persoana vizată care rezultă din absența unui nivel adecvat de protecție în țara terță și lipsa garanțiilor adecvate. O astfel de notificare, care ar putea fi standardizată, ar trebui să includă, de exemplu, informații despre faptul că în țara terță este posibil să nu existe o autoritate de supraveghere și/sau principii de prelucrare a datelor și/sau drepturile persoanelor vizate ar putea să nu fie prevăzute în legislația țării terțe.
În cazul specific în care se efectuează un transfer după colectarea datelor cu caracter personal de la persoana vizată, exportatorul de date ar trebui să informeze persoana vizată cu privire la transfer și la riscurile sale înainte ca acesta să aibă loc, astfel încât să obțină consimțământul său explicit cu privire la transferul „propus”.
Astfel cum reiese din analiza de mai sus, RGPD stabilește un prag ridicat pentru utilizarea derogării referitoare la consimțământ. Acest prag ridicat, combinat cu faptul că un consimțământ acordat de persoana vizată poate fi retras în orice moment, înseamnă că consimțământul ar putea să nu se dovedească o soluție fezabilă pe termen lung pentru transferurile către țări terțe.
2.2 2 Transferul este necesar pentru executarea unui contract între persoana vizată și operator sau pentru aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate – [articolul 49 alineatul (1) litera (b)]
Având în vedere considerentul 111, transferurile de date pe baza acestei derogări pot avea loc în cazul „în care transferul este ocazional și necesar în legătură cu un contract (…)”[19]
În general, deși derogările legate de executarea unui contract pot părea potențial destul de ample, acestea sunt limitate de criteriile „necesității” și „transferurilor ocazionale”.
Necesitatea transferului de date
„Testul de necesitate”[20] limitează numărul de cazuri în care se poate recurge la articolul 49 alineatul (1) litera (b)[21]. Acesta necesită o legătură strânsă și substanțială între transferul de date și obiectivele contractului.
Această derogare nu poate fi utilizată, de exemplu, atunci când un grup de întreprinderi a centralizat, în scopuri comerciale, funcțiile sale de gestionare a plăților și a resurselor umane pentru întreg personalul acestuia dintr-o țară terță, întrucât nu există o legătură directă și obiectivă între executarea contractului de muncă și un astfel de transfer[22]. Cu toate acestea, alte temeiuri de transfer prevăzute la capitolul V, cum ar fi clauzele contractuale standard sau regulile corporatiste obligatorii, pot să fie adecvate pentru transferul respectiv.
Dimpotrivă, transferul din partea agențiilor de voiaj către hoteluri sau către alți parteneri comerciali a datelor cu caracter personal referitoare la clienții lor individuali care ar fi necesare pentru organizarea șederii clienților respectivi în străinătate poate fi considerat necesar în scopul contractului încheiat de agentul de turism și client, întrucât în acest caz există o legătură strânsă și substanțială între transferul de date și scopul contractului (organizarea călătoriei clienților).
On the other hand, the transfer by travel agents of personal data concerning their individual clients to hotels or to other commercial partners that would be called upon in the organization of these clients’ stay abroad can be deemed necessary for the purposes of the contract entered into by the travel agent and the client, since, in this case, there is a sufficient close and substantial connection between the data transfer and the purposes of the contract (organization of clients’ travel).
Această derogare nu poate fi aplicată transferurilor de informații suplimentare care nu sunt necesare pentru executarea contractului sau, respectiv, pentru punerea în aplicare a măsurilor precontractuale solicitate de persoana vizată[23]; pentru date suplimentare ar fi necesare, prin urmare, alte instrumente.
Transferurile ocazionale
Datele cu caracter personal pot fi transferate în temeiul acestei derogări numai atunci când transferul este ocazional2[24]. Ar trebui să se stabilească, de la caz la caz, dacă transferurile de date sau un ransfer de date ar fi considerate ca fiind „ocazionale” sau „neocazionale”
Un transfer în acest caz poate fi considerat ocazional, de exemplu, dacă datele cu caracter personal ale unui manager de vânzări care, în contextul contractului său de muncă, călătorește către diverși clienți din țări terțe, trebuie trimise respectivilor clienți pentru a organiza reuniunile. De asemenea, un transfer ar putea fi considerat ocazional dacă o bancă din UE transferă date cu caracter personal unei bănci dintr-o țară terță pentru a executa cererea unui client de a efectua o plată, atât timp cât acest transfer nu are loc în cadrul unei relații stabile de cooperare dintre cele două bănci.
Dimpotrivă, transferurile nu se califică drept „ocazionale” în cazul în care o societate multinațională organizează cursuri de formare într-un centru de formare dintr-o țară terță și transferă în mod sistematic datele cu caracter personal ale angajaților care participă la un curs de formare (de exemplu, date precum numele și funcția, dar și, eventual, preferințele alimentare sau restricțiile privind mobilitatea). Transferurile de date care au loc regulat într-o relație stabilă ar fi considerate drept sistematice și repetate, depășind astfel un caracter „ocazional”. Prin urmare, în acest caz, multe transferuri de date în cadrul unei relații de afaceri nu se pot baza pe articolul 49 alineatul (1) litera (b).
În conformitate cu articolul 49 alineatul (1) al treilea paragraf, această derogare nu se poate aplica în cazul activităților desfășurate de autoritățile publice în exercitarea competențelor lor publice.
2.3 Transferul este necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator și o altă persoană fizică sau juridică – [articolul 49 alineatul (1) litera (c)]
Interpretarea acestei dispoziții este în mod necesar similară cu cea a dispoziției de la articolul 49 alineatul (1) litera (b); și anume că transferul de date către o țară terță sau o organizație internațională în absența unei decizii privind caracterul adecvat al nivelului de protecție în temeiul articolului 45 alineatul (3) sau a unor garanții adecvate în temeiul articolului 46 poate fi considerat a se încadra la derogarea prevăzută la articolul 49 alineatul (1) litera (c) în cazul în care acesta poate fi considerat „necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator și o altă persoană fizică sau juridică”.
Pe lângă caracterul necesar, considerentul 111 indică faptul că transferurile de date nu pot avea loc decât în cazul „în care transferul este ocazional și necesar în legătură cu un contract (…)”. Prin urmare, în afară de „testul de necesitate”, datele cu caracter personal pot fi transferate în temeiul acestei derogări numai atunci când transferul este ocazional.
Necesitatea transferului de date și încheierea contractului în interesul persoanei vizate
În cazul în care o organizație are, în scopuri comerciale, activități externalizate, cum ar fi gestionarea salarizării furnizorilor de servicii din afara UE, această derogare nu va constitui baza pentru transferurile de date în astfel de scopuri, întrucât nu poate fi stabilită nicio legătură strânsă și substanțială între transfer și un contract încheiat în interesul persoanei vizate, chiar dacă scopul final al transferului este gestionarea salariului angajatului[25]. Alte instrumente de transfer prevăzute în capitolul V pot oferi o bază mai adecvată pentru astfel de transferuri, cum ar fi clauzele contractuale standard sau regulile corporatiste obligatorii.
Transferurile ocazionale
În plus, datele cu caracter personal pot fi transferate în temeiul acestei derogări numai în cazul în care transferul este ocazional, așa cum se întâmplă în cazul derogării prevăzute la articolul 49 alineatul (1) litera (b). Prin urmare, pentru a evalua dacă un astfel de transfer este ocazional, trebuie să se efectueze același test[26].
În sfârșit, în conformitate cu articolul 49 alineatul (3), această derogare nu se poate aplica în cazul activităților desfășurate de autoritățile publice în exercitarea competențelor lor publice[27].
2.4 Transferul este necesar din considerente importante de interes public – [articolul 49 alineatul (1) litera (d)]
Această derogare, denumită în mod obișnuit „derogare din considerente importante de interes public”, este foarte asemănătoare cu dispoziția din Directiva 95/46/CE[28] prevăzută la articolul 26 alineatul (1) litera (d), care prevede că transferul are loc numai atunci când este necesar sau impus prin lege pentru apărarea unui interes public important.
În conformitate cu articolul 49 alineatul (4), numai interesele publice recunoscute în dreptul Uniunii sau în legislația statului membru care se aplică operatorului pot conduce la aplicarea acestei derogări.
Cu toate acestea, pentru aplicarea acestei derogări, nu este suficient ca transferul de date să fie solicitat (de exemplu, de către o autoritate din țara terță) pentru o investigație care servește interesului public al unei țări terțe care, într-un sens abstract, există, de asemenea, în dreptul UE sau în dreptul intern. În cazul în care, de exemplu, o autoritate din țara terță solicită un transfer de date pentru o investigație care are ca scop combaterea terorismului, simpla existență a unei legislații UE sau a statelor membre care vizează, de asemenea, combaterea terorismului nu este suficientă pentru aplicarea articolului 49 alineatul (1) litera (d) în cazul unui astfel de transfer. Dimpotrivă, astfel cum a subliniat GL29, predecesorul CEPD, în declarații anterioare[29], derogarea se aplică numai atunci când se poate deduce, de asemenea, din legislația UE sau din legislația statului membru care se aplică operatorului că astfel de transferuri de date sunt permise din motive de interes public important, inclusiv în spiritul reciprocității pentru cooperarea internațională. Existența unui acord sau a unei convenții internaționale care recunoaște un anumit obiectiv și care prevede cooperarea internațională în vederea promovării acestui obiectiv poate constitui un indicator atunci când se evaluează existența unui interes public în conformitate cu articolul 49 alineatul (1) litera (d), atât timp cât UE sau statele membre sunt parte la acordul sau convenția respectivă.
Deși conceput, în principal, pentru a fi utilizate de autoritățile publice, articolul 49 alineatul (1) litera (d) poate fi invocat, de asemenea, de entități private. Acest lucru este susținut de unele dintre exemplele enumerate în considerentul 112 care menționează transferurile efectuate atât de autoritățile publice, cât și de entitățile private[30].
Ca atare, cerința esențială pentru aplicabilitatea acestei derogări este constatarea unui interes public important și nu natura organizației (organizație publică, privată sau internațională) care transferă și/sau primește datele.
Considerentele 111 și 112 indică faptul că această derogare nu se limitează la transferurile de date care sunt „ocazionale[31].Totuși, acest lucru nu înseamnă că transferurile de date pe baza derogării din considerente importante de interes public în temeiul articolului 49 alineatul (1) litera (d) pot avea loc pe scară largă și într-un mod sistematic. Dimpotrivă, trebuie să se respecte principiul general conform căruia derogările prevăzute la articolul 49 nu devin „regula” în practică, ci este necesar să se limiteze la situații specifice, iar fiecare exportator de date trebuie să se asigure că transferul respectă testul strict de necesitate[32].
În cazul în care transferurile se efectuează în cursul obișnuit al activității sau practicii, CEPD încurajează ferm toți exportatorii de date (în special organismele publice[33]) să le încadreze prin instituirea unor garanții adecvate în conformitate cu articolul 46 și nu bazându-se pe derogarea prevăzută la articolul 49 alineatul (1) litera (d).
2.5 Transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în instanță – [articolul 49 alineatul (1) litera (e)]
Stabilirea, exercitarea sau apărarea unui drept în instanță
În temeiul articolului 49 alineatul (1) litera (e), transferurile pot avea loc atunci când „transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în instanță”. Considerentul 111 prevede că transferul se poate efectua atunci când acesta este „ocazional și necesar în legătură cu un contract sau cu o acțiune în justiție, indiferent dacă este în contextul unei proceduri judiciare sau în contextul unei proceduri administrative sau extrajudiciare, inclusiv în cadrul procedurilor înaintate organismelor de reglementare”. Aceasta include o serie de activități, de exemplu în contextul unei investigații penale sau administrative într-o țară terță (cum ar fi legea antitrust, corupție, tranzacții bazate pe informații privilegiate sau alte situații similare), atunci când derogarea se poate aplica unui transfer de date în scopuri de apărare sau de a obține o reducere sau o scutire de la obligația de a plăti o amendă prevăzută în mod legal, de exemplu în cadrul investigațiilor antitrust. De asemenea, transferurile de date în scopul procedurilor de utilizare a elementelor de probă în etapa anterioară procesului în cadrul litigiilor civile pot face obiectul acestei derogări. Aceasta poate să includă, de asemenea, acțiunile exportatorului de date în vederea instituirii de proceduri într-o țară terță, de exemplu inițierea unui litigiu sau solicitarea aprobării unei fuziuni. Derogarea nu poate fi utilizată pentru a justifica transferul datelor cu caracter personal pe baza simplei posibilități că în viitor ar putea fi inițiate proceduri legale sau proceduri oficiale.
Această derogare se poate aplica activităților desfășurate de autoritățile publice în exercitarea competențelor lor publice [articolul 49 alineatul (3)].
Combinația termenilor „acțiune în justiție” și „procedură” implică faptul că procedura relevantă trebuie să aibă un temei juridic, inclusiv un proces formal, definit legal, dar nu se limitează neapărat la procedurile judiciare sau administrative („sau orice procedură extrajudiciară”). Întrucât un transfer trebuie să fie efectuat în cadrul unei proceduri, este necesară existența unei legături strânse între un transfer de date și o procedură specifică cu privire la situația în cauză. Aplicabilitatea abstractă a unui anumit tip de procedură nu ar fi suficientă.
Operatorii de date și persoanele împuternicite de către operatori trebuie să fie conștienți de faptul că dreptul intern poate conține, de asemenea, așa-numitele „legi de blocare”, care interzic sau restricționează transferul de date cu caracter personal către instanțe străine sau eventual alte organisme oficiale străine.
Necesitatea transferului de date
Un transfer de date în cauză poate avea loc numai atunci când este necesar pentru constatarea, exercitarea sau apărarea dreptului în instanță în cauză. Acest „test de necesitate” implică o legătură strânsă și substanțială între datele în cauză și constatarea, exercitarea sau apărarea dreptului în instanță specific[34]. Simplul interes al autorităților din țările terțe sau posibila „bunăvoință” care ar putea fi obținută de la autoritatea țării terțe ca atare nu ar fi suficientă.
Deși ar putea exista o tentație pentru un exportator de date de a transfera toate datele cu caracter personal eventual relevante ca răspuns la o cerere sau pentru instituirea unor proceduri judiciare, acest lucru nu ar fi în conformitate cu derogarea sau cu RGPD în general, întrucât acesta (prin principiul minimizării datelor) subliniază necesitatea ca datele cu caracter personal să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile pentru care sunt prelucrate.
În ceea ce privește procedurile judiciare, GL29, predecesorul CEPD, a stabilit deja o abordare stratificată a chestiunii dacă datele cu caracter personal ar trebui transferate, inclusiv aplicarea acestui principiu. Ca o primă etapă, ar trebui efectuată o evaluare atentă pentru a stabili dacă datele anonimizate ar fi suficiente într-un caz particular. În caz contrar, s-ar putea lua în considerare transferul de date pseudoanonimizate. În cazul în care este necesar să se trimită date cu caracter personal către o țară terță, relevanța acestora pentru chestiunea respectivă ar trebui evaluată înainte de transfer, astfel încât să fie transferat și divulgat doar un set de date cu caracter personal care este efectiv necesar.
Transferul ocazional
Astfel de transferuri ar trebui efectuate numai dacă sunt ocazionale. Pentru informații privind definiția transferurilor ocazionale, a se consulta secțiunea relevantă privind transferurile „ocazionale” și „nerepetitive”[35]. Exportatorii de date ar trebui să evalueze cu atenție fiecare caz specific.
2.6 Transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altor persoane, atunci când persoana vizată nu are capacitatea fizică sau juridică de a-și exprima acordul – [articolul 49 alineatul (1) litera (f)]
Derogarea prevăzută la articolul 49 alineatul (1) litera (f) se aplică în mod evident în cazul transferului de date în caz de urgență medicală și în cazul în care se consideră că acest transfer este în mod direct necesar pentru a acorda asistența medicală necesară.
Astfel, de exemplu, trebuie să fie posibil din punct de vedere legal ca transferul de date (inclusiv anumite date cu caracter personal) să fie efectuat în cazul în care persoana vizată, în timp ce se află în afara UE, este inconștientă și are nevoie de îngrijiri medicale urgente, iar numai un exportator (de exemplu, medicul său obișnuit), stabilit într-un stat membru al UE, este în măsură să furnizeze aceste date. În astfel de cazuri, legea presupune că riscul iminent al persoanei vizate de a suferi prejudicii grave depășește preocupările legate de protecția datelor.
Transferul trebuie să se refere la interesul individual al persoanei vizate sau la cel al unei alte persoane și, atunci când vizează date privind sănătatea, trebuie să fie necesar pentru un diagnostic esențial. În consecință, această derogare nu poate fi utilizată pentru a justifica transferul datelor medicale cu caracter personal în afara UE în cazul în care scopul transferului nu este tratarea cazului particular al persoanei vizate sau a celui al unei alte persoane ci, de exemplu, efectuarea de cercetări medicale generale care nu vor da rezultate până la un moment dat în viitor.
Într-adevăr, RGPD nu limitează utilizarea acestei derogări la integritatea fizică a unei persoane ci permite, de exemplu, luarea în considerare a cazurilor în care integritatea mentală a unei persoane ar trebui protejată. În acest caz, persoana vizată ar fi, de asemenea, incapabilă – din punct de vedere fizic sau legal – să își dea consimțământul pentru transferul datelor sale cu caracter personal. În plus, persoana vizată ale cărei date cu caracter personal fac obiectul transferului trebuie să nu fie în măsură – din punct de vedere fizic sau legal – să își dea consimțământul cu privire la transfer.
Cu toate acestea, în cazul în care persoana vizată are capacitatea de a lua o decizie valabilă și se poate solicita consimțământul său, această derogare nu se poate aplica.
De exemplu, în cazul în care datele cu caracter personal sunt necesare pentru a împiedica evacuarea dintr-un imobil, acest lucru nu ar intra sub incidența derogării în discuție deoarece, chiar dacă locuința ar fi considerată un interes vital, persoana în cauză poate să își dea consimțământul pentru transferul datelor sale.
Această capacitate de a lua o decizie valabilă poate depinde de incapacitatea fizică, mentală, dar și juridică. O incapacitate juridică poate include de exemplu, fără a aduce atingere mecanismelor naționale de reprezentare, cazul unui minor. Incapacitatea juridică trebuie să fie dovedită, după caz, fie prin intermediul unui certificat medical care indică incapacitatea mentală a persoanei în cauză, fie printr-un document guvernamental care confirmă situația juridică a persoanei în cauză.
Transferurile de date către o organizație umanitară internațională care sunt necesare pentru a îndeplini o sarcină în temeiul convențiilor de la Geneva sau pentru a se conforma dreptului umanitar internațional aplicabil în conflictele armate pot, de asemenea, să intre sub incidența articolului 49 alineatul (1) litera (f), a se vedea considerentul 112. De asemenea, în astfel de cazuri persoana vizată trebuie să fie incapabilă din punct de vedere fizic sau legal să își dea consimțământul.
Transferul de date cu caracter personal după producerea unor dezastre naturale și în contextul schimbului de informații cu caracter personal cu entități și persoane în scopul operațiunilor de salvare și recuperare (de exemplu, cu rudele victimelor dezastrelor, precum și cu serviciile guvernamentale și de urgență) poate fi justificat în temeiul acestei derogări. Astfel de evenimente neprevăzute (inundații, cutremure, uragane etc.) pot justifica transferul urgent al anumitor date cu caracter personal pentru a afla, de exemplu, locația și situația victimelor. În astfel de situații, se consideră că persoana vizată în cauză nu este în măsură să își dea consimțământul pentru transferul datelor sale.
2.7. . Transferul se realizează dintr-un registru public – [articolul 49 alineatul (1) litera (g) și articolul 49 alineatul (2)]
Articolul 49 alineatul (1) litera (g) și articolul 49 alineatul (2) permit transferul datelor cu caracter personal din registre în anumite condiții. Un registru, în general, este definit ca o „consemnare (scrisă) care conține înregistrări regulate ale elementelor sau detaliilor” sau ca „o listă oficială sau o înregistrare a numelor sau elementelor”[36], caz în care, în contextul articolului 49, un registru poate fi în formă scrisă sau electronică.
Registrul în cauză trebuie, în conformitate cu dreptul Uniunii sau cu dreptul intern, să vizeze furnizarea de informații publicului. Prin urmare, registrele private (cele aflate în responsabilitatea organismelor private) nu intră în domeniul de aplicare a acestei derogări (de exemplu, registrele private prin care se evaluează bonitatea).
Registrul trebuie să poată fi consultat de:
(a) publicul în general sau
(b) orice persoană care poate demonstra un interes legitim.
Acestea ar putea fi, de exemplu: registre ale societăților, registre ale asociațiilor, registre ale condamnărilor penale, registre ale titlurilor de proprietate (funciare) sau registre publice de vehicule.
În afara cerințelor generale privind constituirea registrelor în sine, transferurile din aceste registre pot avea loc numai dacă și în măsura în care, în fiecare caz specific, sunt îndeplinite condițiile de consultare stabilite de dreptul Uniunii sau dreptul intern [cu privire la aceste condiții generale, a se vedea articolul 49 alineatul (1) litera (g)].
Operatorii de date și persoanele împuternicite de operatorii de date care doresc să transfere date cu caracter personal în temeiul acestei derogări trebuie să fie conștienți de faptul că un transfer nu poate include toate datele cu caracter personal sau întreaga categorie de date cu caracter personal conținute în registru [articolul 49 alineatul (2)]. În cazul în care transferul este efectuat dintr-un registru instituit prin lege și dacă acesta urmează să fie consultat de persoane care au un interes legitim, transferul poate fi efectuat numai la cererea respectivelor persoane sau în cazul în care acestea sunt destinatarii, ținând seama de interesele și drepturile fundamentale ale persoanelor vizate[37]. De la caz la caz, pentru a evalua dacă transferul este adecvat, exportatorii de date ar trebui întotdeauna să ia în considerare interesele și drepturile persoanei vizate.
Utilizarea ulterioară a datelor cu caracter personal din astfel de registre, astfel cum s-a menționat mai sus, poate avea loc numai în conformitate cu legislația aplicabilă privind protecția datelor.
Această derogare se poate aplica, de asemenea, activităților desfășurate de autoritățile publice în exercitarea competențelor lor publice [articolul 49 alineatul (3)].
2.8. Interesele legitime majore – [articolul 49 alineatul (1) al doilea paragraf]
Articolul 49 alineatul (1) al doilea paragraf introduce o nouă derogare care nu a fost inclusă anterior în directivă. În anumite condiții specifice, enumerate în mod expres, datele cu caracter personal pot fi transferate dacă acest lucru este necesar în scopul realizării intereselor legitime majore urmărite de exportatorul de date.
Această derogare este prevăzută de lege în ultimă instanță, întrucât ea se va aplica numai în cazul în care „un transfer nu ar putea să se întemeieze pe o dispoziție prevăzută la articolul 45 sau 46, inclusiv dispoziții privind reguli corporatiste obligatorii și nu este aplicabilă niciuna dintre derogările pentru situații specifice”.[38]
Această abordare pe mai multe niveluri privind examinarea utilizării derogărilor ca bază pentru transferuri necesită luarea în considerare a posibilității de a utiliza un instrument de transfer prevăzut la articolul 45 sau articolul 46 sau una dintre derogările specifice prevăzute la articolul 49 alineatul (1) primul paragraf înainte de a recurge la derogarea prevăzută la articolul 49 alineatul (1) al doilea paragraf. Aceasta poate fi utilizată numai în cazuri reziduale, conform considerentului 113, și depinde de un număr semnificativ de condiții prevăzute în mod expres de lege. În conformitate cu principiul responsabilității consacrat în RGPD[39], exportatorul de date trebuie, prin urmare, să poată demonstra că nu a fost posibilă nici încadrarea transferului de date prin garanții adecvate în conformitate cu articolul 46, nici aplicarea uneia dintre derogările prevăzute la articolul 49 alineatul (1) primul paragraf.
Aceasta implică faptul că exportatorul de date poate demonstra că a depus eforturi serioase în acest sens, ținând cont de circumstanțele transferului de date. De exemplu, în funcție de caz, aceste eforturi pot să includă demonstrarea verificării posibilității de a efectua transferul de date în baza consimțământului explicit al persoanei vizate cu privire la transfer, în temeiul articolului 49 alineatul (1) litera (a). Cu toate acestea, în anumite circumstanțe, utilizarea altor instrumente ar putea să nu fie posibilă din punct de vedere practic. De exemplu, anumite tipuri de garanții adecvate prevăzute la articolul 46 ar putea să nu reprezinte o opțiune realistă pentru un exportator de date care este o întreprindere mică sau mijlocie[40]. De asemenea, acest lucru poate fi valabil, de exemplu, în cazul în care importatorul de date a refuzat în mod expres să încheie un contract de transfer de date pe baza clauzelor standard de protecție a datelor [articolul 46 alineatul (2) litera (c)] și nu există nicio altă opțiune (inclusiv, în funcție de caz, alegerea unui alt „importator de date”) – a se vedea și alineatul de mai jos cu privire la interesul legitim „major”.
Interesele legitime majore ale operatorului
În conformitate cu textul derogării, transferul trebuie să fie necesar în scopul realizării intereselor legitime majore urmărite de operator, asupra cărora nu prevalează interesele sau drepturile și libertățile persoanei vizate. Examinarea intereselor unui exportator de date în calitatea sa de persoană împuternicită de către operatorul de date sau ale importatorului de date nu este relevantă.
În plus, doar interesele care pot fi recunoscute ca fiind „majore” sunt relevante, iar acest lucru limitează considerabil domeniul de aplicare al derogărilor deoarece nu toate „interesele legitime” prevăzute la articolul 6 alineatul (1) litera (f) se aplică în acest caz. Se va aplica mai degrabă un anumit prag mai ridicat, care impune ca interesul legitim major să fie esențial pentru operatorul de date. De exemplu, acesta ar putea fi cazul atunci când un operator de date este obligat să transfere datele cu caracter personal pentru a-și proteja organizația sau sistemele de prejudicii grave imediate sau de sancțiuni deosebit de severe care ar afecta grav activitatea sa.
Nerepetitiv
Conform formulării sale exprese, articolul 49 alineatul(1) al doilea paragraf se poate aplica numai în cazul unui transfer care nu este repetitiv[41].
Numărul limitat de persoane vizate
În plus, transferul trebuie să se refere numai la un număr limitat de persoane vizate. Nu a fost stabilit un prag absolut, întrucât acest lucru depinde de context, dar numărul trebuie să fie corespunzător de mic având în vedere tipul de transfer în cauză.
Într-un context practic, noțiunea „număr limitat de persoane vizate” depinde de situația reală de față. De exemplu, dacă un operator de date trebuie să transfere date cu caracter personal pentru a depista un incident de securitate unic și grav în scopul de a-și proteja organizația, întrebarea în acest caz ar fi legată de numărul de angajați ale căror date ar trebui să le transfere operatorul de date pentru a realiza acest interes legitim major.
Ca atare, pentru ca derogarea să se aplice, transferul nu ar trebui să se aplice tuturor angajaților operatorului de date, ci mai degrabă unui număr limitat de persoane.
Echilibrarea „intereselor legitime majore ale operatorului” în raport cu „interesele sau drepturile și libertățile persoanei vizate” pe baza unei evaluări a tuturor împrejurărilor legate de transferul de date și prevederea de garanții adecvate
Ca o cerință suplimentară, trebuie să se efectueze un test de echilibru între interesul legitim (major) al unui exportator de date și interesele sau drepturile și libertățile persoanei vizate. În acest sens, legea prevede în mod expres ca exportatorul de date să evalueze toate circumstanțele transferului de date în cauză și, pe baza acestei evaluări, să ofere „garanții adecvate” în ceea ce privește protecția datelor transferate. Această cerință evidențiază rolul special pe care îl pot îndeplini garanțiile în reducerea impactului nedorit al transferului de date asupra persoanelor vizate și, prin urmare, în eventuala influențare a echilibrului drepturilor și intereselor astfel încât acestea să nu prevaleze asupra intereselor operatorului de date[42].
În ceea ce privește interesele, drepturile și libertățile persoanei vizate care trebuie luate în considerare, eventualele efecte negative, și anume riscurile pe care le poate prezenta transferului de date pentru orice tip de interes (legitim) al persoanei vizate trebuie să fie atent previzionate și evaluate, luând în considerare probabilitatea și severitatea acestora[43]. În acest sens, este necesar să se țină seama, în special, de eventualele prejudicii (fizice și materiale, dar și morale, de exemplu legate de pierderea reputației)[44]. Atunci când evaluează aceste riscuri și ceea ce s-ar putea considera, în circumstanțele date, drept „garanții adecvate” pentru drepturile și libertățile persoanei vizate, exportatorul de date trebuie să țină seama în special de natura datelor, de scopul și de durata prelucrării, precum și de situația din țara de origine, din țara terță și, dacă este cazul, din țara de destinație finală a transferului[45].
În plus, legea impune exportatorului de date să aplice măsuri suplimentare ca garanții pentru a minimiza riscurile identificate cauzate de transferul de date pentru persoana vizată[46]. Aceasta este prevăzută prin lege ca o cerință obligatorie, astfel încât rezultă că, în absența garanțiilor suplimentare, interesele sau drepturile și libertățile persoanei vizate vor prevala în orice caz asupra intereselor operatorului în ceea ce privește transferul[47]. Referitor la natura acestor garanții, nu este posibil să se stabilească cerințe generale aplicabile în toate cazurile în această privință, ci mai degrabă acestea depind foarte mult de transferul specific de date în cauză. Garanțiile ar putea include, după caz, măsuri care vizează asigurarea ștergerii datelor cât mai curând posibil după transfer sau limitarea scopurilor pentru care datele pot fi prelucrate în urma transferului. Ar trebui acordată o atenție deosebită posibilității de a transfera date pseudoanonimizate sau criptate[48] . În plus, ar trebui examinate măsurile tehnice și organizaționale care au ca scop asigurarea faptului că datele transferate nu pot fi utilizate în alte scopuri decât cele strict prevăzute de către exportatorul de date.
Informarea autorității de supraveghere
Obligația de a informa autoritatea de supraveghere nu înseamnă că transferul trebuie să fie autorizat de autoritatea de supraveghere, ci că acesta servește drept garanție suplimentară, permițând autorității de supraveghere să evalueze transferul de date (în cazul în care aceasta consideră că este necesar) în ceea ce privește posibilul său impact asupra drepturilor și libertăților persoanelor vizate afectate. În contextul respectării principiului responsabilității, se recomandă ca exportatorul de date să înregistreze toate aspectele relevante ale transferului de date, de exemplu interesele legitime majore urmărite, interesele „concurente” ale persoanelor, natura datelor transferate și scopul transferului.
Furnizarea de informații privind transferul și interesele legitime majore urmărite de persoana vizată
Operatorul de date trebuie să informeze persoana vizată cu privire la transfer și la interesele legitime majore urmărite. Aceste informații trebuie să fie furnizate în plus față de cele care trebuie furnizate în temeiul articolelor 13 și 14 din RGPD.
Pentru Comitetul european pentru protecția datelor,
Președintele
(Andrea Jelinek)
_____________________________________________________________________________________________________________________
[1] REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).
[2] 2 Grupul de lucru „articolul 29”, „Document de lucru privind o interpretare comună a articolului 26 alineatul (1) din Directiva 95/46/CE din 24 octombrie 1995”, 25 noiembrie 2005 (WP114).
[3] Grupul de lucru „articolul 29”, WP 114, p. 9, și Grupul de lucru „articolul 29”, „Document de lucru privind supravegherea comunicațiilor electronice în scopul colectării de date operative și al asigurării securității naționale” (WP 228), p. 39.
[4] Grupul de lucru „articolul 29”, WP 114, p. 9.
[5] Considerentul 114.
[6] Grupul de lucru „articolul 29”, WP114, p. 7.
[7] A se vedea Grupul de lucru „articolul 29”, WP114, p. 7. Curtea Europeană de Justiție a subliniat în repetate rânduri că „protecția dreptului fundamental la respectarea vieții private la nivelul Uniunii impune ca derogările de la protecția datelor cu caracter personal și limitările acesteia să fie efectuate în limitele strictului necesar” (Hotărârea din 16 decembrie 2008, Satakunnan Markkinapörssi și Satamedia, C-73/07, punctul 56; Hotărârea din 9 noiembrie 2010, Volker und Markus Schecke și Eifert, C-92/09 și C-93/09, punctul 77; Hotărârea Digital Rights, punctul 52, precum și Hotărârea din 6 octombrie 2015, Schrems, C-362/14, punctul 92 și Hotărârea din 21 decembrie 2016, Tele2 Sverige AB, C 203/15, punctul 96). A se vedea, de asemenea, raportul privind Protocolul adițional la Convenția 108 privind autoritățile de control și fluxurile transfrontaliere de date, articolul 2 alineatul (2) litera (a), p. 6, care poate fi consultat la adresa https://www.coe.int/en/web/conventions/full-list/- /conventions/treaty/181)
[9] A se vedea considerentul 115 a patra teză.
[10] În conformitate cu articolul 4 alineatul (11) din RGPD, „consimțământul” persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;
[11] de asemenea considerentele 32, 33, 42 și 43 oferă orientări suplimentare privind consimțământul.
[12] A se vedea Grupul de lucru „articolul 29”, „Orientări asupra consimțământului în temeiul Regulamentului 2016/679” (WP259).
[13] Idem.
[14] Idem.
[15] Cerințele generale privind transparența prevăzute la articolele 13 și 14 din RGPD ar trebui, de asemenea, să fie respectate. Pentru informații suplimentare, a se vedea Orientările privind transparența în temeiul Regulamentului 2016/679 (WP 260)
[16] A se vedea Grupul de lucru „articolul 29”, „Orientări asupra consimțământului în temeiul Regulamentului 2016/679” (WP259).
[17] Idem, pagina 13.
[18] Această din urmă cerință rezultă, de asemenea, din obligația de a informa persoanele vizate [articolul 13 alineatul (1) litera (f), articolul 14 alineatul (1) litera (e)].
[19] Criteriul transferurilor „ocazionale” se regăsește la considerentul 111 și se aplică derogărilor prevăzute la articolul 49 alineatul (1) literele (b), (c) și (e).
[20] A se vedea, de asemenea, Avizul 06/2014 al Grupului de lucru „articolul 29” privind „noțiunea de interes legitim al operatorului de date în temeiul articolului 7 din Directiva 95/46/CE” (WP 217).
[21] Cerința privind „necesitatea” se regăsește, de asemenea, în derogările prevăzute la articolul 49 alineatul (1) literele (c)-(f).
[22] În plus, nu va fi considerat ca fiind ocazional (a se vedea mai jos).
[23] La un nivel mai general, toate derogările prevăzute la articolul 49 alineatul (1) literele (b)-(f) permit doar transferul datelor care sunt necesare în scopul transferului.
[24] În ceea ce privește definiția generală a termenului „ocazional”, a se vedea pagina 4.
[25] În plus, acesta nu va fi considerat ca fiind ocazional (a se vedea mai jos).
[26] În ceea ce privește definiția generală a termenului „ocazional”, a se consulta pagina 4.
[27] Pentru mai multe informații, a se vedea secțiunea 1 pagina 5 de mai sus
[28] DIRECTIVA 95/46/CE A PARLAMENTULUI EUROPEAN ȘI A CONSILIULUI din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date.
[29] Grupul de lucru „articolul 29”, Avizul 10/2006 privind prelucrarea datelor cu caracter personal de către Societatea Internațională pentru Telecomunicații Financiare Interbancare (SWIFT) (WP128), p. 25.
[30] „schimbul internațional de date între autoritățile din domeniul concurenței, administrațiile fiscale sau vamale, între autoritățile de supraveghere financiară, între serviciile competente în materie de securitate socială sau de sănătate publică, de exemplu în cazul depistării punctelor de contact pentru bolile contagioase sau pentru reducerea și/sau eliminarea dopajului în sport.”
[31] În ceea ce privește definiția generală a termenului „ocazional”, a se vedea pagina 4.
[32] A se vedea, de asemenea pagina 3.
[33] De exemplu, autoritățile de supraveghere financiară care fac schimb de date în contextul transferurilor internaționale de date cu caracter personal în scopul cooperării administrative
[34] Considerentul 111: „necesar în legătură cu un contract sau o acțiune în justiție”.
[35] Pagina 4.
[36] Dicționarul Merriam Webster, https://www.merriam-webster.com/dictionary/register (22.01.2018); Dicționarul Oxford https://en.oxforddictionaries.com/definition/register (22.01.2018).
[37] Considerentul 111 din RGPD.
[38] Articolul 49 alineatul (1) al doilea paragraf din RGPD.
[39] Articolul 5 alineatul (2) și articolul 24 alineatul (1).
[40] De exemplu, regulile corporatiste obligatorii ar putea adesea să nu reprezinte o opțiune fezabilă pentru întreprinderile mici și mijlocii, din cauza investițiilor administrative considerabile pe care le implică acestea
[41] Pentru mai multe informații despre termenul „nerepetitiv”, a se vedea pagina 4.
[42] Rolul important al garanțiilor în contextul echilibrării intereselor operatorului de date și ale persoanelor vizate a fost deja evidențiat de Grupul de lucru „articolul 29” în WP 217, p. 31.
[43] A se vedea considerentul 75: „Riscul pentru drepturile și libertățile persoanelor fizice, prezentând grade diferite de probabilitate de materializare și de gravitate (…)”.
[44] 4 A se vedea considerentul 75: „Riscul pentru drepturile și libertățile persoanelor fizice, prezentând grade diferite de probabilitate de materializare și de gravitate, poate fi rezultatul unei prelucrări a datelor cu caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală”.
[45] Considerentul 113.
[46] Deși în contextul unui test de echilibru „obișnuit” prevăzut de lege, astfel de măsuri (suplimentare) ar putea să nu fie necesare în fiecare caz (a se vedea Documentul de lucru al Grupului de lucru „articolul 29” privind proiectul de clauze contractuale ad hoc „Persoană împuternicită de către operator din UE către subcontractanți din afara UE” (WP 214), p. 41), formularea de la articolul 49 alineatul (1) al doilea paragraf sugerează că sunt necesare măsuri suplimentare pentru ca transferul de date să fie conform cu „testul de echilibru” și, prin urmare, să fie realizabil în temeiul acestei derogări.
[47] Deși în contextul unui test de echilibru „obișnuit” prevăzut de lege, astfel de măsuri (suplimentare) ar putea să nu fie necesare în fiecare caz (a se vedea Avizul 06/2014 al Grupului de lucru „articolul 29” privind „noțiunea de interes legitim al operatorului de date în temeiul articolului 7 din Directiva 95/46/CE”, WP 217, p. 41), formularea de la articolul 49 alineatul (1) al doilea paragraf sugerează că sunt necesare măsuri suplimentare pentru ca transferul de date să fie conform cu „testul de echilibru” și, prin urmare, să fie realizabil în temeiul acestei derogări.
[48] Pentru alte exemple de posibile garanții, a se consulta Documentul de lucru al Grupului de lucru „articolul 29” privind proiectul de clauze contractuale ad hoc „Persoană împuternicită de către operator din UE către subcontractanți din afara UE” (WP 214), p. 41-43.