Comitetul european pentru protecția datelor - Avize referitoare la proiectele de decizii privind caracterul adecvat al nivelului de protecție a datelor din Regatul Unit, Orientări privind aplicarea articolului 65 alineatul (1) litera (a) din RGPD, Orientă

14 April 2021 EDPB

Bruxelles, 14 aprilie - În cadrul sesiunii sale plenare, CEPD a adoptat două Avize referitoare la proiectele de decizii privind caracterul adecvat al nivelului de protecție a datelor din Regatul Unit. Avizul 14/2021 se bazează pe RGPD și evaluează atât aspectele generale privind protecția datelor, cât și accesul autorităților la datele cu caracter personal transferate din SEE în scopul aplicării legii și al securității naționale, incluse în proiectul de decizie privind caracterul adecvat. Această evaluare se bazează pe Criteriile de referință privind caracterul adecvat al nivelului de protecție (WP254). Avizul 15/2021 se bazează pe Directiva privind protecția datelor în materie de aplicare a legii și analizează proiectul de decizie privind caracterul adecvat în lumina Recomandărilor 01/2021 referitoare la criteriile de referință privind caracterul adecvat în conformitate cu Directiva privind protecția datelor în materie de aplicare a legii, precum și a jurisprudenței relevante reflectate în Recomandările 02/2020 privind garanțiile esențiale europene pentru măsurile de supraveghere. Acesta este primul proiect de decizie de punere în aplicare cu privire la caracterul adecvat al nivelului de protecție dintr-o țară terță în temeiul Directivei privind protecția datelor în materie de aplicare a legii prezentat vreodată de Comisia Europeană și evaluat de CEPD.

CEPD ia act de faptul că există domenii-cheie în care se constată o strânsă aliniere între cadrele de protecție a datelor din UE și din Regatul Unit cu privire la anumite dispoziții esențiale, cum ar fi: motivele care justifică prelucrarea legală și echitabilă în scopuri legitime; limitarea scopului; calitatea și proporționalitatea datelor; păstrarea, securitatea și confidențialitatea datelor; transparența; categoriile speciale de date, precum și cu privire la procesul decizional automatizat și crearea de profiluri.

Președinta CEPD, Andrea Jelinek, a făcut declarația următoare: „Cadrul de protecție a datelor din Regatul Unit se bazează în mare parte pe cadrul UE privind protecția datelor. Legea Regatului Unit privind protecția datelor din 2018 precizează în continuare aplicarea RGPD în legislația Regatului Unit, pe lângă transpunerea Directivei privind protecția datelor în materie de aplicare a legii, precum și conferirea de competențe și impunerea de obligații autorității naționale de supraveghere a protecției datelor, Oficiul Comisarului pentru Informații (ICO). Prin urmare, CEPD recunoaște că Regatul Unit a reflectat, în cea mai mare parte, RGPD și Directiva privind protecția datelor în materie de aplicare a legii în cadrul său de protecție a datelor și, atunci când a analizat legislația și practicile Regatului Unit, CEPD a identificat multe aspecte ca fiind, în esență, echivalente. Cu toate acestea, legislația poate evolua, însă această aliniere ar trebui menținută. De aceea, salutăm atât decizia Comisiei de a limita în timp aprobarea acordată în ceea ce privește caracterul adecvat privind nivelul de protecție, cât și intenția de a monitoriza îndeaproape evoluțiile din Regatul Unit.”

CEPD subliniază că mai multe elemente ar trebui evaluate și/sau monitorizate mai îndeaproape de Comisia Europeană în decizia sa bazată pe RGPD, cum ar fi:

  • exceptarea în materie de imigrație și consecințele asupra restricțiilor privind drepturile persoanelor vizate;
  • aplicarea de restricții transferurilor ulterioare de date cu caracter personal din SEE transferate către Regatul Unit, de exemplu, pe baza viitoarelor decizii privind caracterul adecvat adoptate de Regatul Unit și a acordurilor internaționale încheiate între Regatul Unit și țări terțe sau a derogărilor.

În ceea ce privește accesul autorităților publice în scopuri legate de securitatea națională la date cu caracter personal transferate către Regatul Unit, CEPD salută instituirea Tribunalului pentru competențe de investigare (Investigatory Powers Tribunal) în scopul soluționării problemelor legate de căile de atac în domeniul securității naționale și introducerea comisarilor judiciari în Legea privind competențele de investigare (Investigatory Power Act - IPA) din 2016 pentru a asigura o mai bună supraveghere în același domeniu. CEPD identifică încă o serie de aspecte care necesită clarificări suplimentare și/sau monitorizare:

  • interceptările în masă;
  • evaluarea independentă și supravegherea utilizării instrumentelor de prelucrare automată;
  • garanții prevăzute de legislația Regatului Unit în ceea ce privește divulgarea în străinătate, în special având în vedere aplicarea derogărilor referitoare la securitatea națională.

Comitetul a adoptat Orientările privind aplicarea articolului 65 alineatul (1) litera (a) din RGPD pentru a delimita principalele etape ale procedurii și pentru a clarifica competența CEPD atunci când adoptă o decizie obligatorie din punct de vedere juridic în temeiul articolului 65 alineatul (1) litera (a) din RGPD. Orientările includ și o descriere a garanțiilor procedurale și a căilor de atac aplicabile. Orientările vor fi supuse consultării publice pe o perioadă de șase săptămâni.

După încheierea consultării publice, CEPD a adoptat versiunea finală a Orientărilor privind direcționarea conținutului către utilizatorii platformelor de comunicare socială. Obiectivul orientărilor este de a clarifica rolurile și responsabilitățile furnizorilor de platforme de comunicare socială și ale persoanelor către care este direcționat conținutul. Versiunea finală include o formulare actualizată menită să răspundă observațiilor și feedback-ului primite în cursul consultării publice.

CEPD a adoptat o Declarație privind acordurile internaționale care includ transferuri. CEPD invită statele membre ale UE să evalueze și, după caz, să revizuiască acordurile internaționale care implică transferuri internaționale de date cu caracter personal și care au fost încheiate înainte de 24 mai 2016 (în cazul celor relevante pentru RGPD) și înainte de 6 mai 2016 (în cazul celor relevante pentru Directiva privind protecția datelor în materie de aplicare a legii) în scopul alinierii acestora, după caz, cu legislația UE de protecție a datelor.

 

Notă în atenția presei:
Vă atragem atenția asupra faptului că toate documentele adoptate în cadrul sesiunii plenare a CEPD fac obiectul verificărilor juridice, lingvistice și de formatare necesare și vor fi publicate pe site-ul web al CEPD de îndată ce aceste verificări vor fi finalizate.

EDPB_Press Release_2021_03