Voicu & Asociații – Attorneys at law

Hotărârea Schrems II de invalidare a Scutului de Confidențialitate – Ce e de făcut după? Câteva recomandări practice	EU Data transfers after Schrems II – What would be a defensible position going further? A few recommended practical steps

de Marta Popa, Partener Senior Voicu & Filipescu	by Marta Popa, Senior Partner Voicu & Filipescu

La 16 iulie 2020, Curtea de Justiție a Uniunii Europene a hotărât, în cauza C-311/18 – Data Protection Commissioner împotriva Facebook Ireland și Maximillian Schrems, invalidarea Deciziei 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de Confidențialitate UE-SUA și a considerat validă Decizia 2010/87 a Comisiei privind clauzele contractuale standard pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe.	On July 16, 2020, the European Court of Justice has resolved, in its ruling granted in cause C-311/18 – Data Protection Commissioner against Facebook Ireland and Maximillian Schrems, upon invalidation of Decision no. 2016/1250 on the adequate character of protection offered by the EU – U.S. Privacy Shield and rendered valid Decision no. 2010/87 of the Commission regarding the standard contractual clauses for the transfer of personal data to processors established in third countries.

Obiectul cauzei deduse în fața Curții de Justiție a Uniunii Europene (CJUE)	Subject matter of the case brought before the European Court of Justice (ECJ)

Hotărârea CJUE în cauza C-311/18 – Facebook Ireland și Maximillian Schrems are o importanță deosebită, evidențiind dreptul fundamental la protecție în cazul transferului de date personale în țări terțe precum și o serie de vicii în tratamentul datelor personale, în special în ce privește principiul necesității și proporționalității, vicii care au dus în cele din urmă la invalidarea Scutului de Confidențialitate (Privacy Shield) încheiat anterior între Statele Unite ale Americii și Uniunea Europeană.	ECJ Ruling in case C-311/18 – Facebook Ireland and Maximillian Schrems is of special importance, highlighting the fundamental right to privacy in case of transfer of personal data to third countries as well as a series of non-compliances in the treatment of personal data mainly as regards observance of the necessity and proportionality principles, which eventually led to the invalidation of the Privacy Shield previously applicable between the EU and the US.
Cauza a fost inițiată în 2015 de către Max Schrems, activist de protecția datelor care anterior a reușit și invalidarea transferurilor în baza mecanismului “Safe Harbor”. Încurajat de acest succes, Max Schrems și-a îndreptat atenția către utilizarea de către Facebook a clauzelor-model (cunoscute și drept Clauze Contractuale Standard sau “SCC”) la transferul în SUA de date personale către entitatea centrală din aceasta țară și a mai depus o plângere la Autoritatea pentru Protecția Datelor din Irlanda (DPC), clamând faptul că abordarea chestiunii protecției datelor de către Statele Unite ale Americii subminează standardele înalte de protecție a datelor stabilite de Uniunea Europeană și că datele nu ar trebui să fie exportate în Statele Unite ale Americii indiferent de mecanismul de transfer utilizat.	The case was initiated in 2015 by Max Schrems, a data privacy activist who succeeded in getting the previous ‘Safe Harbor’ transfer mechanism invalidated. Following the success of his safe harbor challenge, he turned his attention to Facebook’s use of model clauses (also known as standard contractual clauses or ‘SCCs’) fortransferring personal data to its US headquarters and made a further complaint to the Irish Data Protection Commission (‘DPC’). As part of his complaint, Schrems argued that the US approach to personal data undermined the EU’s high data protection standards, and that personal data should not be exported to the US irrespective of the transfer mechanism.
Și DPC a ridicat preocupări legate de folosirea SCC în general, astfel încât cauza a ajuns în fața CJUE.	The Irish DPC also raised concerns about the use of model clauses in general, and the case ended up before the ECJ).
Curtea Europeană de Justiție a apreciat, în speță, că nici Scutul de Confidențialitate și nici măcar clauzele-model privind transferul de date nu pot constitui o bază validă de transfer de către Facebook Ireland al datelor personale către entitatea centrală din SUA, întrucât Facebook este supus legilor supravegherii din Statele Unite ale Americii.	The ECJ has found that the Privacy Shield is no longer a valid mechanism of transfer of personal data between the EU and the US and although SCCs remain a valid mechanism for cross-border transfers of personal data, they cannot be relied on by Facebook in this instance to transfer personal data to its US headquarters on the basis that Facebook is subject to US surveillance laws.
În concret, în SUA, cerințele de securitate națională (din partea CIA, FBI sau NSA), cele de interes public precum și executarea legilor au prioritate asupra drepturilor fundamentale ale persoanelor ale căror date personale sunt transferate în această țară.	In more concrete words, “the requirements of US national security (from CIA or FBI or NSA – our note) and the requirements of public interest and law enforcement have primacy, thus condoning interference with the fundamental rights of persons whose data are transferred to that third country”.
S-a mai reținut de către ECJ și că mecanismul de plângere prevăzut de Scutul de Confidențialitate nu prevede o modalitate de redresare a persoanelor vizate (cetățenii UE) care doresc să se plângă față de modul cum le sunt prelucrate datele în SUA.	Furthermore, it was found that the complaint mechanism within Privacy Shield (the ombudsman mechanism) did not give any real right of to EU data subjects who wanted to complain about the way their data was being processed in the US.
Astfel, chiar dacă clauzele-model rămân, în principiu, un mecanism valid pentru exportul de date în afara UE, pentru a se putea baza pe acestea, exportatorii și importatorii datelor trebuie să desfășoare o analiză serioasă pentru a demonstra că țara primitoare a datelor garantează același nivel de protecție ca și Uniunea Europeană. Și să ia măsuri/garanții suplimentare de protecție, daca nu există o protecție echivalentă.	Thus, even though SCCs do remain, in principle. a valid mechanism for cross-border transfers of personal data, in order to rely on SCCs the data exporters and the data importers must undertake assessments of the level of protection and take supplementary measures/additional safeguards to show that the receiving country can guarantee the same protections for EU data subjects, if there is no equivalent protection.
Și regulile corporative obligatorii (BCRs) sunt afectate în același mod de hotărârea Schrems II ca și clauzele-model, deoarece și în cazul acestui instrument de transfer legile americane au prioritate.	BCRs are also affected by Schrems II just like the SCCs, as U.S. law has primacy over this transfer tool too.

O decizie importantă, care permite autorităților de supraveghere să dispună ștergerea datelor, suspendarea sau stoparea transferului, mai degrabă decât să impună penalități	A rather unique ruling, as it obligates the Data Protection Authorities to order the deletion of data, suspension or end of unlawful data transfers rather than to impose penalties

Hotărârea CJUE a pus în dificultate operatorii de date și pe împuterniciții lor în ceea ce privește stabilirea nivelului de adecvare a due diligence-ului pe care trebuie să-l efectueze asupra mecanismului de transfer constând în clauzele-model precum și în ce privește adecvarea altor instrumente de transfer după emiterea acestei hotărâri. Alte întrebări dificile sunt cele despre cum vor fi realizate transferurile către țări considerate ca având un nivel și mai mic de protecție, cum ar fi China și Rusia, sau țări din afara UE precum UK sau Japonia.	The ECJ ruling generated many concerns for controllers and processors regarding mainly the level of due diligence they have to carry on in relation to SCCs and whether or not other transfer tools are still valid. Other difficult questions include how to effect transfers to countries where the level of data protection is not deemed adequate, such as China or Rusia, or non-EU countries such as UK or Japan.
În decizia Schrems II, ECJ a mai reținut că autoritățile de supraveghere au dreptul de a audita și a revizui clauzele-model și chiar să suspende sau să dispună încetarea transferului datelor dacă nu există o protecție adecvată în țara primitoare. Aceste măsuri ale autorităților de supraveghere pot afecta mult mai mult o companie sau o linie de business decât o amendă.	Further, the ECJ also emphasized that supervisory authorities (DPAs) have the right to audit and review SCCs and suspend or stop data transfers where they find there is no adequate protection afforded by the receiving country. And these orders that DPAs may take can actually affect much more a company or a business than a fine.
Schrems II a devenit astfel o chestiune la nivel de management/consiliu de conducere al entităților implicate în transferul internațional de date.	Schrems II has thus become a Board/CEO-Level issue for entities involved in the international transfer of data.

Pași practici pe care îi recomandăm în urma hotărârii Schrems II	A few recommended practical steps in consequence of “Schrems II” ruling

Ce fel de analiză trebuie să facă exportatorii și importatorii de date? Este suficient standardul aplicabil în cazul unei decizii de adecvare luată în temeiul art. 45 GDPR? Și ce documente trebuie pregătite pentru control sau în cazul în care autoritățile de supraveghere au o opinie contrară și stopează transferul?	What kind of analysis is required to controllers and processors to demonstrate the due-dilligence they took in regard of the SCCs to comply with EU data protection law? Should it be the same standard applied for an EC adequacy decision under Article 45 GDPR? Could derogations set under Article 49 apply, since even SCCs are sometimes not enough? What paperwork needs to be put in place and what is to be done in case of a control from a supervisory body and what if such body is not in agreement with the due-diligence findings and strikes down the transfers? And how about countries with less protection for the transferred data, such as China or Russia?
În orice caz, la 29.10.2020, Comitetul European pentru Protecția Datelor (CEPD) a precizat, în documentul de aprobare a Strategiei instituțiilor UE privind decizia în cazul Schrems II, că o astfel de strategie trebuie să aibă în centru cooperarea și răspunderea operatorilor în evaluarea standardului în mod esențial echivalent cu cel al UE. Totodată, CEPD a încurajat instituțiile UE:	However, on October 29, 2020, the European Data Protection Board (the “EDPB”) has pointed out, in its document for approval of the Strategy for European institutions regarding Schrems II ruling, that compliance with such ruling should build around cooperation and responsibility of controllers in order to achieve a compliance degree essentially equivalent to that guaranteed within the EU. Also, the ECJ advised EU institutions to:
să nu transfere date în cadrul unor noi activități de prelucrare sau contracte noi cu furnizori de servicii din Statele Unite ale Americii;	not transfer data within new processing activities (which includes US-owned Cloud and SaaS providers, regardless of where servers are located) or conclude new contracts with services provided located in the U.S.;
să realizeze o Analiză de Impact a Transferului (Transfer Impact Assessments – TIAs) pentru toate transferurile internaționale; și	complete Transfer Impact Assessments (TIAs) for all data transfers; and
să aștepte instrucțiuni din partea CEPD, audituri de conformare și acțiuni de sancționare a transferurilor către SUA și alte țări terțe.	expect joint EDPS/EDPB guidance, compliance audits and enforcement actions for transfers towards the U.S. or other third countries on a case-by-case basis.
Sugerăm mai jos câteva din acțiunile posibile, care reduc riscul unei analize și utilizări inadecvate ale clauzelor-model în cadrul transferurilor internaționale în curs și al celor viitoare:	We are proposing below a few steps aimed at minimizing the risk of an inadequate analysis and use of the SCCs in case of ongoing and future international transfers:
cartografierea transferurilor internaționale de date;	Map cross-border transfers;
realizarea de analize de impact al transferului de date (TIA);	Perform Transfer Impact Agreements (TIAs);
analizarea posibilității de aplicare a derogarilor prevăzute în Articolul 49 GDPR;	Look into derogations under Article 49 GDPR;
luarea de măsuri/garanții de protecție suplimentare (cum ar fi, de exemplu, pseudonimizarea);	Put supplementary measures/additional safeguards in place (pseudonymization, for example);
revizuirea contractelor cu împuterniciții pentru a asigura un grad sporit de comfort legal și comercial;	Improve contractual provisions with processors for legal and commercial comfort; and
revizuirea în mod constant a transferurilor de date efectuate de o organizație.	Keep cross-border transfers under review.
La 11.11.2020, EPDB a adoptat recomandări ce conțin o serie de pași și măsuri pe care exportatorii de date trebuie să le implementeze pentru a verifica dacă au atins un grad de conformare și protecție privind transferurile internaționale cel puțin echivalent cu cel al Uniunii Europene, precum și recomandări privind Garanțiile Esențiale Europene în ce privește măsurile de supraveghere. La data acestui articol, recomandările nu erau încă publicate însă vom reveni cu mai multe detalii după publicare.	On November 11, 2020, the EDPB put under public consultation a series of recommendations containing a roadmap of the steps that data exporters must take to find out if they need to put in place supplementary measures to achieve a level of compliance and protection essentially equivalent to that in the EU as well as recommendations on the European Essential Guarantees for surveillance measures. At the date hereof, the recommendations were not yet published; however, we will revert with more details once recommendations will be published.

Modificări legislative publicate în luna noiembrie 2020	Legal Changes of November 2020

Practica Voicu & Filipescu acoperă toate domeniile de expertiză relevante pentru compania dumneavoastră. În această ediţie vă sunt prezentate câteva modificări legislative recente în următoarele domenii:	Voicu & Filipescu is a full service law firm, covering all legal areas relevant to your company’s activity. This issue of our monthly newsletter provides you with a brief description of some of the recent legal amendments in:


Protecția datelor cu caracter personal	Dreptul muncii	Data Protection	Employment


Litigii și arbitraje	Dispute resolution

descarcă versiunea completă în limba română (.pdf)	download full english version (.pdf)

About Voicu & Asociații SCA

News & Events

Voicu & Asociații Supports the Engineers’ Symphony Concert at the Romanian Athenaeum

VA Excellence Through Knowledge series: Lease Agreements in Shopping Centers – Key Considerations for Food vs. Non-Food Retailers

VA Excellence Through Knowledge series: Preventive concordat – a legal mechanism for timely business rescue

Legal Advisory for the Expansion of a Major European Retail Chain into Romania

Latest Articles

The Controversial Tax Perspective on the Mandatory Use of Logbooks

Business transfer in insolvency – Way to revive a business. The case of UCM Reșița

Taxele de reziliere impuse de anumiţi furnizori la încetarea contractelor de furnizare a serviciilor, persoane juridice.

Subscription

Follow Us On