Direct la conținutul principal
Logoul Comisiei Europene
roro

Ce norme se aplică dacă organizația mea transferă date în afara UE?

Răspuns

În lumea globalizată actuală, se transferă în plan transfrontalier cantități mari de date cu caracter personal, care sunt stocate uneori pe servere aflate în țări diferite. Protecția conferită de Regulamentul general privind protecția datelor (RGPD) însoțește datele în călătoria lor, ceea ce înseamnă că normele care protejează datele continuă să se aplice indiferent unde ajung aceste date. Acest lucru este valabil și când datele se transferă într-o țară care nu este membră a UE (denumită în continuare „țară terță”).

RGPD pune la dispoziție diferite instrumente pentru încadrarea transferurilor de date din UE într-o țară terță:

  • uneori, o țară terță poate fi declarată ca oferind un nivel adecvat de protecție printr-o decizie a Comisiei Europene („decizie privind caracterul adecvat al nivelului de protecție”), ceea ce înseamnă că se pot transfera date cu o altă societate în acea țară terță fără ca exportatorul datelor să aibă obligația de a asigura garanții suplimentare sau să fie supus unor condiții suplimentare. Cu alte cuvinte, transferurile într-o țară terță cu „un caracter adecvat al nivelului de protecție” va fi asimilată unei transmiteri de date în interiorul UE.
  • în absența unei decizii privind caracterul adecvat al nivelului de protecție, transferul se poate face prin asigurarea unor garanții adecvate și cu condiția ca persoanele fizice să beneficieze de drepturi opozabile și de căi de atac eficace. Printre asemenea garanții adecvate se numără:
  • în cazul unui grup de întreprinderi sau de societăți implicat într-o activitate economică comună, societățile pot transfera datele cu caracter personal pe baza unor reguli corporatiste obligatorii;
  • acorduri contractuale cu destinatarul datelor cu caracter personal, folosind, de exemplu, clauzele contractuale standard aprobate de Comisia Europeană;
  • aderarea la un cod de conduită sau la un mecanism de certificare, precum și obținerea unor angajamente obligatorii și executorii din partea destinatarului de a aplica garanții adecvate pentru protecția datelor transferate.
  • în sfârșit, dacă se are în vedere un transfer de date cu caracter personal într-o țară terță care nu face obiectul unei decizii privind caracterul adecvat al nivelului de protecție și dacă lipsesc garanțiile adecvate, transferul se poate realiza pe baza mai multor derogări pentru situații specifice, de exemplu, în cazul în care o persoană fizică și-a exprimat în mod explicit acordul cu privire la transferul propus după ce a primit toate informațiile necesare privind riscurile asociate transferului.

Exemplu

Sunteți o societate franceză care intenționează să își extindă serviciile în America de Sud, în special în Argentina, Uruguay și Brazilia. Primul pas ar fi să verificați dacă țările terțe respective fac obiectul unei decizii privind caracterul adecvat al nivelului de protecție. În acest caz, atât Argentina, cât și Uruguay au fost declarate ca având un caracter adecvat. Ați putea transfera date cu caracter personal în aceste două țări terțe fără nicio garanție suplimentară, dar pentru transferurile în Brazilia, în privința căreia nu s-a emis o decizie privind caracterul adecvat, va trebui să vă încadrați transferurile asigurând garanții adecvate.

Referințe

[1] COM(2017)7 finală

Example

You're a French company intending to expand its services to South America, notably Argentina, Uruguay and Brazil. The first step would be to check whether those third countries are subject to an Adequacy Decision. In this case, both Argentina and Uruguay have been declared adequate. You’d be able to transfer personal data to those two third countries without any additional safeguards while for transfers to Brazil which is not the subject of Adequacy Decision, you’ll have to frame your transfers by providing appropriate safeguards.

References

1 COM(2017)7 final