Datele cu caracter personal pot fi transferate catre o tara terta daca aceasta din urma asigura un nivel adecvat de protectie a acestor date

Potrivit avocatului general Saugmandsgaard Oe, Decizia 2010/87/UE a Comisiei privind clauzele contractuale tip pentru transferul de date cu caracter personal catre persoane imputernicite de catre operator stabilite in tari terte este valida Regulamentul general privind protectia datelor (RGPD)1 , asemenea Directivei privind prelucrarea datelor cu caracter personal pe care a inlocuit-o 2 , prevede ca datele cu caracter personal pot fi transferate catre o tara terta daca aceasta din urma asigura un nivel adecvat de protectie a acestor date .

In lipsa unei decizii a Comisiei prin care se constata caracterul adecvat al nivelului de protectie asigurat in tara terta in cauza, operatorul poate totusi efectua transferul daca acesta este prevazut cu garantii corespunzatoare. Aceste garantii pot in special lua forma unui contract intre exportatorul si importatorul de date care sa contina clauze tip de protectie prevazute intr-o decizie a Comisiei.

Prin Decizia 2010/87/UE ³ , Comisia a instituit clauze contractuale tip pentru transferul de date cu caracter personal catre persoane imputernicite de catre operator stabilite in tari terte. Prezenta cauza priveste validitatea acestei decizii. Situatia de fapt si istoricul litigiului principal Litigiul principal are in istoricul sau o procedura initiata de domnul Maximillian Schrems, un utilizator austriac al Facebook, si in care s-a pronuntat deja o Hotarare a Curtii de Justitie la 6 octombrie 2015 (denumita in continuare ``Hotararea SchremsE®) ⁴ .

Datele utilizatorilor de Facebook care au resedinta in Uniune, precum domnul Schrems, sunt transferate, in tot sau in parte, de la Facebook Ireland, filiala irlandeza a Facebook Inc., pe servere situate pe teritoriul Statelor Unite, unde fac obiectul unei prelucrari.

In 2013, domnul Schrems a depus o plangere la autoritatea irlandeza responsabila de supravegherea aplicarii dispozitiilor de protectie a datelor cu caracter personal (denumita in continuare ``autoritatea de supraveghereE®), considerand ca, avand in vedere dezvaluirile facute de domnul Edward Snowden cu privire la activitatile serviciilor de informatii ale Statelor Unite (in special National Security Agency sau ``NSA``), dreptul si practicile din Statele Unite nu asigura o protectie suficienta a datelor transferate catre aceasta tara impotriva supravegherii de catre autoritatile publice . Autoritatea de supraveghere a respins aceasta plangere, in special pentru motivul ca in decizia sa din 26 iulie 2000 <sup>5</sup> , Comisia a apreciat ca in cadrul regimului denumit al ``sferei de sigurantaE® ⁶ , Statele Unite asigura un nivel adecvat de protectie a datelor cu caracter personal transferate. Prin Hotararea Schrems, Curtea de Justitie, raspunzand la o intrebare adresata de High Court (Inalta Curte de Justitie, Irlanda), a declarat nevalida Decizia ``Sfera de sigurantaE®.

Ca urmare a Hotararii Schrems, instanta de trimitere a anulat decizia prin care autoritatea de supraveghere a respins plangerea domnului Schrems si a trimis-o la aceasta autoritate spre reexaminare. Aceasta a deschis o investigatie si a solicitat domnului Schrems sa isi reformuleze plangerea tinand seama de declararea caracterului nevalid al Deciziei ``Sfera de sigurantaE®. In acest scop, domnul Schrems a solicitat Facebook Ireland sa precizeze temeiurile juridice pe care sunt intemeiate transferurile datelor cu caracter personal ale utilizatorilor Facebook din Uniune catre Statele Unite. Facebook Ireland a mentionat un acord de transfer si de prelucrare a datelor (data transfer processing agreement) incheiat intre ea insasi si Facebook Inc., aplicabil incepand cu 20 noiembrie 2015, si a invocat Decizia 2010/87. In plangerea sa reformulata, domnul Schrems sustine, pe de o parte, ca clauzele continute in acest acord nu sunt conforme cu clauzele contractuale tip prevazute de Decizia 2010/87 si, pe de alta parte, ca aceste clauze contractuale tip nu ar putea, indiferent de situatie, sa justifice transferul datelor cu caracter personal care il privesc catre Statele Unite.

Domnul Schrems afirma, astfel, ca nicio cale de atac nu permite persoanelor vizate sa isi valorifice in Statele Unite drepturile la respectarea vietii private si la protectia datelor cu caracter personal. In aceste conditii, domnul Schrems solicita autoritatii de supraveghere sa suspende acest transfer in temeiul Deciziei 2010/87. Prin investigatia sa, autoritatea de supraveghere urmarea sa stabileasca daca Statele Unite asigura o protectie adecvata a datelor cu caracter personal ale cetatenilor Uniunii si, in cazul unui raspuns negativ, daca utilizarea clauzelor contractuale tip prezinta garantii suficiente in ceea ce priveste protectia libertatilor si a drepturilor fundamentale ale acestora din urma. Apreciind ca instrumentarea plangerii domnului Schrems depinde de aspectul daca Decizia 2010/87 este valida, autoritatea de supraveghere a initiat o procedura in fata High Court pentru ca aceasta sa se adreseze Curtii in legatura cu acest subiect .

High Court a efectuat trimiterea preliminara solicitata de aceasta autoritate . In concluziile prezentate astazi, avocatul general Henrik Saugmandsgaard A˜e propune Curtii de Justitie sa raspunda ca analiza intrebarilor nu a evidentiat elemente de natura sa afecteze validitatea Deciziei 2010/87. Avocatul general observa cu titlu introductiv ca litigiul principal are unica miza de a se stabili daca Decizia 2010/87, prin care Comisia a instituit clauzele contractuale tip invocate in sprijinul transferurilor vizate in plangerea domnului Schrems, este valida.

Avocatul general considera in primul rand ca dreptul Uniunii se aplica transferurilor de date cu caracter personal catre o tara terta atunci cand aceste transferuri sunt subordonate unor finalitati comerciale, desi datele transferate sunt susceptibile sa faca obiectul unei prelucrari in scopuri de securitate din partea autoritatilor publice din aceasta tara terta. In al doilea rand, avocatul general constata ca dispozitiile RGPD referitoare la transferurile catre tari terte au scopul de a asigura continuitatea unui nivel ridicat de protectie a datelor cu caracter personal, indiferent daca datele sunt transferate in temeiul unei decizii privind caracterul adecvat sau pe baza unor garantii adecvate furnizate de exportator. In opinia lui, modul de atingere a acestui obiectiv difera insa in functie de temeiul juridic al transferului. Pe de o parte, o decizie privind caracterul adecvat are ca obiect constatarea faptului ca o tara terta determinata asigura, in considerarea dreptului si a practicilor aplicabile in aceasta, un nivel de protectie a drepturilor fundamentale ale persoanelor ale caror date sunt transferate care sa fie in esenta echivalent celui rezultat din RGPD, interpretat in lumina cartei.

Pe de alta parte, garantiile adecvate furnizate de exportator, in special pe cale contractuala, trebuie sa asigure in sine un asemenea nivel de protectie . In acest sens, clauzele contractuale tip adoptate de Comisie prevad un mecanism general aplicabil transferurilor indiferent de tara terta de destinatie si de nivelul de protectie asigurat in aceasta.

Avocatul general efectueaza in al treilea rand o analiza a validitatii Deciziei 2010/87 din perspectiva cartei. El apreciaza ca faptul ca aceasta decizie si clauzele contractuale tip pe care le prevede nu sunt obligatorii pentru autoritatile tarii terte de destinatie si asadar nu le impiedica sa impuna importatorului obligatii incompatibile cu respectarea acestor clauze nu determina in sine caracterul nevalid al deciziei amintite.

Conformitatea Deciziei 2010/87 cu carta depinde de aspectul daca exista mecanisme suficient de solide care permit sa se asigure suspendarea sau interzicerea transferurilor intemeiate pe clauze contractuale tip in cazul incalcarii acestor clauze sau al imposibilitatii de a le respecta. In opinia lui, aceasta situatie se regaseste in masura in care exista o obligatie - ce revine operatorilor si, in cazul inactiunii acestora din urma, autoritatilor de supraveghere - de a suspenda sau de a interzice un transfer atunci cand, din cauza unui conflict intre obligatiile care decurg din clauzele tip si cele impuse de dreptul tarii terte de destinatie, aceste clauze nu pot fi respectate. Avocatul general constata pe de alta parte ca instanta de trimitere repune in discutie in mod indirect anumite aprecieri efectuate de Comisie in Decizia din 12 iulie 2016, denumita ``Scutul de confidentialitateE® ⁷ .

In aceasta decizie, Comisia a constatat ca Statele Unite asigura un nivel adecvat de protectie a datelor transferate din Uniune in cadrul regimului stabilit prin aceasta decizie, avand in vedere in special garantiile cu privire la accesul autoritatilor din serviciul de informatii americane la aceste date, precum si protectia juridica oferita persoanelor ale caror date sunt transferate⁸ . In opinia avocatului general, solutionarea litigiului principal nu necesita pronuntarea Curtii cu privire la validitatea Deciziei ``Scutul de confidentialitateE® intrucat acest litigiu are ca obiect numai validitatea Deciziei 2010/87. Avocatul general prezinta insa cu titlu subsidiar motivele care il fac sa ridice problema validitatii Deciziei ``Scutul de confidentialitateE® din perspectiva drepturilor la respectarea vietii private si la protectia datelor cu caracter personal, precum si a dreptului la o cale de atac eficienta.

Concluziile avocatului general in cauza C-311/18 Data Protection Commissioner/Facebook Ireland Limited, Maximilian Schrems

1 Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (JO 2016, L 119, p. 1).

2 Directiva 95/46/CE a Parlamentului European si a Consiliului din 24 octombrie 1995 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date (JO 1995, L 281, p. 31, Editie speciala 13/vol. 17, p. 10).

3 Decizia Comisiei din 5 februarie 2010 privind clauzele contractuale tip pentru transferul de date cu caracter personal catre persoanele imputernicite de catre operator stabilite in tari terte in temeiul Directivei 95/46/CE a Parlamentului European si a Consiliului (JO 2010, L 39, p. 5), astfel cum a fost modificata prin Decizia de punere in aplicare (UE) 2016/2297 a Comisiei din 16 decembrie 2016 (JO 2016, L 344, p. 100).

4 Hotararea Curtii din 6 octombrie 2015, Schrems, C-362/14, a se vedea de asemenea CP nr.o117/15)

5 Decizia 2000/520/CE a Comisiei din 26 iulie 2000 in temeiul Directivei 95/46/CE privind caracterul adecvat al protectiei oferite de principiile ``sferei de sigurantaE® privind protectia vietii private si intrebarile de baza aferente, publicate de Departamentul Comertului al S.U.A (JO 2000, L 215, p. 7, Editie speciala 16/vol. 1, p. 64).

6 Regimul sferei de siguranta cuprinde o serie de principii privind protectia datelor cu caracter personal la care intreprinderile americane pot adera in mod voluntar.

7 Decizia de punere in aplicare (UE) 2016/1250 a Comisiei din 12 iulie 2016 in temeiul [Directivei 95/46] privind caracterul adecvat al protectiei oferite de Scutul de confidentialitate UE-SUA (JO 2016, L 207, p. 1).

8 Asemenea Deciziei ``Sfera de sigurantaE® care a precedat-o, Decizia ``Scutul de confidentialitateE® se bazeaza pe aderarea in mod voluntar a intreprinderilor la o serie de principii referitoare la protectia datelor cu caracter personal.