Bruxelles, 20 iulie — În cadrul celei de a 34-a ședințe plenare, CEPD a adoptat o declarație cu privire la hotărârea CJUE în cauza Facebook Ireland/Schrems. Comitetul a adoptat Orientări privind interacțiunea dintre a doua Directivă privind serviciile de plată (DSP2) și RGPD, precum și o scrisoare de răspuns adresată deputatei în Parlamentul European Ďuriš Nicholsonová cu privire la depistarea contacților, interoperabilitatea aplicațiilor și evaluările impactului asupra protecției datelor.
CEPD a adoptat o declarație privind hotărârea Curții de Justiție a Uniunii Europene în cauza C-311/18 - Data Protection Commissioner împotriva Facebook Ireland și Maximillian Schrems, care invalidează Decizia 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA și consideră validă Decizia 2010/87 a Comisiei privind clauzele contractuale standard pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe.
În ceea ce privește Scutul de confidențialitate, CEPD subliniază că UE și SUA ar trebui să realizeze un cadru complet și eficace care să garanteze că nivelul de protecție acordat datelor cu caracter personal în SUA este, în esență, echivalent cu cel garantat în UE, conform hotărârii. CEPD are intenția să joace în continuare un rol constructiv în asigurarea unui transfer transatlantic de date cu caracter personal care să aducă beneficii cetățenilor și organizațiilor din SEE și este pregătit să ofere Comisiei Europene asistență și consiliere pentru a contribui la construirea, împreună cu SUA, a unui nou cadru care să respecte pe deplin legislația UE în materie de protecție a datelor.
În ceea ce privește clauzele contractuale standard, CEPD ia act de responsabilitatea principală a exportatorului și a importatorului, atunci când analizează oportunitatea intrării în clauzele contractuale standard, pentru a se asigura că acestea mențin un nivel de protecție care este în esență echivalent cu cel garantat de RGPD în lumina Cartei UE. Când efectuează această evaluare prealabilă, exportatorul (dacă este necesar, cu sprijinul importatorului) ia în considerare conținutul clauzelor contractuale standard, circumstanțele specifice ale transferului, precum și regimul juridic aplicabil în țara importatorului. Curtea subliniază că exportatorul ar trebui să aibă în vedere instituirea de măsuri suplimentare față de cele incluse în clauzele contractuale tip. CEPD va analiza în continuare în ce ar putea consta aceste măsuri suplimentare.
CEPD ia de asemenea notă de obligațiile autorităților de supraveghere competente de a suspenda sau de a interzice transferul de date către o țară terță în temeiul clauzelor contractuale standard dacă, în opinia autorității de supraveghere competente și având în vedere toate circumstanțele acestui transfer, aceste clauze nu sunt sau nu pot fi respectate în țara terță respectivă, iar protecția datelor transferate nu poate fi asigurată prin alte mijloace, în special în cazul în care operatorul sau o persoană împuternicită de operator nu a suspendat sau nu a încetat deja transferul.
CEPD reamintește că a adoptat orientări privind articolul 49 din RGPD și că aceste derogări trebuie aplicate de la caz la caz.
CEPD va evalua hotărârea în detaliu și va oferi părților interesate clarificări suplimentare și orientări privind utilizarea instrumentelor pentru transferul de date cu caracter personal către țări terțe în temeiul hotărârii. CEPD și autoritățile sale europene de supraveghere sunt de asemenea pregătite, așa cum a declarat CJUE, să asigure coerența în cadrul SEE.
Declarația integrală este disponibilă aici: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_en
CEPD a adoptat Orientări cu privire la a doua Directivă privind serviciile de plată (DSP2). DSP2 modernizează cadrul juridic pentru piața serviciilor de plată. Un fapt important este că DSP2 introduce un cadru legal pentru noile servicii de inițiere a plății (PISP) și serviciile de informare cu privire la conturi (AISP). Utilizatorii pot solicita ca acești noi prestatori de servicii de plată să aibă acces la conturile lor de plăți. În urma unui atelier de lucru al părților interesate din februarie 2019, Comitetul european pentru protecția datelor a elaborat orientări privind aplicarea RGPD la aceste noi servicii de plată.
Orientările arată că, în acest context, prelucrarea categoriilor speciale de date cu caracter personal este, în general, interzisă [conform articolului 9 alineatul (1) din RGPD], cu excepția cazului în care persoana vizată își dă consimțământul explicit [articolul 9 alineatul (2) litera (a) din RGPD] sau prelucrarea este necesară din motive de interes public semnificativ [articolul 9 alineatul (2) litera (g) din RGPD].
Orientările abordează, de asemenea, condițiile în care PSISP acordă acces la informațiile privind contul de plăți către PSIP și AISP, în special accesul granular la conturile de plăți.
Orientările clarifică faptul că nici articolul 66 alineatul (3) litera (g), nici articolul 67 alineatul (2) litera (f) din DSP2 nu permit prelucrarea ulterioară, cu excepția cazului în care persoana vizată și-a dat consimțământul în temeiul articolului 6 alineatul (1) litera (a) din RGPD sau prelucrarea este prevăzută de dreptul Uniunii sau de dreptul intern al statelor membre. Orientările vor fi supuse unei consultări publice.
În cele din urmă, Comitetul a adoptat o scrisoare de răspuns la întrebările formulate de deputata în Parlamentul European Ďuriš Nicholsonová cu privire la protecția datelor în contextul luptei împotriva COVID-19. Scrisoarea adresează întrebări privind armonizarea și interoperabilitatea aplicațiilor de depistare a contacților, cerința unei evaluări a impactului asupra protecției datelor pentru o astfel de prelucrare și durata pentru care poate fi pusă în aplicare prelucrarea.
EDPB_Press Release_2020_12
