We Are Launching Soon

Dacă transfer date în afara UE, GDPR este sau nu de partea mea?

5 minute • Miruna Casiana Dumitrașcu • 18 martie 2018


GDPR impune restricții privind transferul de date cu caracter personal în afara Uniunii Europene, adică țărilor terțe sau organizațiilor internaționale.
Aceste restricții sunt reglementate tocmaj pentru a se asigura că nivelul de protecție a persoanelor acordat de GDPR este ridicat.
 

Când pot fi transferate date cu caracter personal în afara Uniunii Europene?

Datele cu caracter personal pot fi transferate oricând în afara UE, însă trebuie să fie respectate întocmai condițiile de tran0sfer stabilite în capitolul V din GDPR.
 

Transferurile se efectuează pe baza unei decizii a Comisiei?

Transferurile pot fi efectuate în cazul în care Comisia a decis că o țară terță, un teritoriu sau unul sau mai multe sectoare specifice din țara terță sau o organizație internațională asigură un nivel adecvat de protecție.
 

Ce se întâmplă cu transferurile supuse garanțiilor adecvate?

Puteți transfera date cu caracter personal în cazul în care organizația care primește datele personale a furnizat garanții adecvate. Drepturile persoanelor trebuie să poată fi exercitate și, ca urmare a transferului, trebuie să fie puse la dispoziție căi de atac efective pentru persoanele fizice.
Se pot asigura garanții adecvate prin:

  • un acord obligatoriu din punct de vedere juridic între autoritățile sau organismele publice;
  • norme corporative obligatorii (acorduri care reglementează transferurile efectuate între organizații din cadrul unui grup corporativ);
  • clauzele standard de protecție a datelor, sub forma clauzelor de transfer de șabloane adoptate de Comisie;
  • clauzele standard de protecție a datelor, sub forma clauzelor de transfer de șablon adoptate de o autoritate de supraveghere și aprobate de Comisie;
  • respectarea unui cod de conduită aprobat aprobat de o autoritate de supraveghere;
  • certificarea conform unui mecanism de certificare aprobat, astfel cum este prevăzut în GDPR;
  • clauzele contractuale convenite de autoritatea de supraveghere competentă;
  • dispozițiile introduse în acordurile administrative dintre autoritățile publice sau organismele autorizate de autoritatea de supraveghere competentă.

 

Articolul 29 – Grupul de lucru

Articolul menționat include reprezentanți ai autorităților de protecție a datelor din fiecare stat membru al UE. El adoptă orientări pentru respectarea cerințelor GDPR.
În conformitate cu planul său de lucru, Grupul de lucru “Articolul 29” va publica orientări privind transferurile de date, bazate pe reguli corporative obligatorii și clauze contractuale în 2017.
 

Ce se întâmplă cu transferurile bazate pe evaluarea unei organizații privind garanțiile adecvate?

GDPR vă limitează capacitatea de a transfera date cu caracter personal în afara UE, în cazul în care aceasta se bazează numai pe propria evaluare a caracterului adecvat al protecției acordate datelor cu caracter personal.
Autorizațiile transferurilor efectuate de statele membre sau de autoritățile de supraveghere și deciziile Comisiei privind garanțiile adecvate efectuate în temeiul directivei vor rămâne valabile / vor rămâne în vigoare până la modificarea, înlocuirea sau abrogarea acestora.
 

Există derogări de la interdicția transferurilor de date cu caracter personal în afara UE?

GDPR prevede derogări de la interdicția generală privind transferurile de date cu caracter personal în afara UE pentru anumite situații specifice.
Se poate efectua un transfer sau un set de transferuri în cazul în care transferul este:

  • făcute cu consimțământul informat al persoanei;
  • necesare pentru îndeplinirea unui contract între individ și organizație sau pentru măsurile precontractuale luate la cererea persoanei;
  • necesare pentru executarea unui contract încheiat în interesul persoanei fizice între operator și o altă persoană;
  • necesare din motive importante de interes public;
  • necesare pentru stabilirea, exercitarea sau apărarea revendicărilor legale;
  • necesare pentru a proteja interesele vitale ale persoanei vizate sau ale altor persoane, în cazul în care persoana vizată NU este capabilă din punct de vedere fizic sau legal să-și dea consimțământul;
  • realizat dintr-un registru care are ca scop furnizarea de informații publicului (și care poate fi consultat fie de către public în general, fie de cei care pot demonstra un interes legitim în inspectarea registrului) în conformitate cu legislația britanică sau UE.

Primele trei derogări NU sunt disponibile pentru activitățile autorităților publice în exercitarea puterilor lor publice.
 

Cum rămâne cu transferurile unice (sau rareori) de date cu caracter personal referitoare la relativ puține persoane?

Chiar dacă NU există o decizie a Comisiei de autorizare a transferurilor către țara în cauză, în cazul în care NU este posibil să se demonstreze că drepturile individului sunt protejate prin garanții adecvate și niciuna dintre derogări nu se aplică, GDPR prevede că datele personale pot fi transferate în afara UE.
Cu toate acestea, astfel de transferuri sunt permise numai în cazul în care transferul:

    • nu este făcută de o autoritate publică în exercitarea puterilor sale publice;
    • nu este repetitivă (transferuri similare nu se efectuează în mod regulat);
    • implică date referitoare la un număr limitat de persoane;
    • este necesar pentru scopurile intereselor legitime ale organizației (cu condiția ca aceste interese să nu fie înlăturate de interesele individului);
    • este supus unor garanții adecvate instituite de organizație (în lumina unei evaluări a tuturor împrejurărilor în care se află transferul) pentru a proteja datele cu caracter personal.

 
În aceste cazuri, organizațiile sunt obligate să informeze autoritatea de supraveghere competentă cu privire la transfer și să furnizeze informații suplimentare persoanelor.
 
SURSA

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *