Comitetul european pentru protecția datelor - a 35-a ședință plenară: Notă de informare privind regulile corporatiste obligatorii având autoritatea de supraveghere din Regatul Unit în calitate de autoritate principală

23 July 2020

Bruxelles, 23 iulie — Având în vedere încheierea în scurt timp a perioadei de tranziție pentru Brexit, CEPD a adoptat o notă de informare în care sunt prezentate acțiunile pe care trebuie să le întreprindă autoritățile de supraveghere, titularii de reguli corporatiste obligatorii aprobate (BCR-uri) și organizațiile care au BCR-uri în așteptare la autoritatea de supraveghere din Regatul Unit pentru a garanta posibilitatea de a utiliza în continuare aceste BCR-uri ca instrument de transfer valabil, după încheierea perioadei de tranziție. Întrucât, la sfârșitul perioadei de tranziție, autoritatea de supraveghere din Regatul Unit nu va mai putea fi considerată autoritate de supraveghere competentă în temeiul RGPD, deciziile de adoptare ale autorității de supraveghere din Regatul Unit în temeiul RGPD nu vor mai avea efecte juridice în SEE. În plus, conținutul BCR-urilor respective ar trebui modificat înainte de încheierea perioadei de tranziție, întrucât aceste BCR-uri conțin, în general, trimiteri la ordinea juridică din Regatul Unit. Aceasta se aplică, de asemenea, BCR-urilor aprobate deja în temeiul Directivei 94/46/CE.

Titularii de BCR-uri a căror autoritate de supraveghere principală pentru BCR-uri este autoritatea de supraveghere din Regatul Unit trebuie să ia toate măsurile organizatorice pentru a identifica o nouă autoritate de supraveghere principală pentru BCR-uri în SEE. Schimbarea autorității de supraveghere principale pentru BCR-uri va trebui efectuată înainte de încheierea perioadei de tranziție pentru Brexit.

Solicitanții de BCR-uri din prezent sunt încurajați să pună în aplicare toate modalitățile organizatorice pentru a identifica o nouă autoritate de supraveghere principală pentru BCR-uri în SEE, cu suficient de mult timp înainte de încheierea perioadei de tranziție pentru Brexit, inclusiv contactarea autorității de supraveghere în cauză pentru a furniza toate informațiile necesare privind motivul pentru care această autoritate de supraveghere este considerată noua autoritate de supraveghere pentru BCR-uri. Aceasta din urmă va prelua cererea și va iniția oficial o procedură de aprobare sub rezerva avizului CEPD. Pentru orice BCR-uri aprobate de autoritatea de supraveghere din Regatul Unit în temeiul RGPD, noua autoritate de supraveghere principală pentru BCR-uri din SEE va trebui să emită o nouă decizie de aprobare înainte de încheierea perioadei de tranziție, pe baza unui aviz din partea CEPD. De asemenea, CEPD a adoptat o anexă care conține o listă de verificare a elementelor care trebuie modificate în documentele privind BCR-urile, în contextul Brexitului.

Această notă de informare nu aduce atingere analizei întreprinse în prezent de CEPD privind consecințele hotărârii CJUE în cauza Data Protection Commissioner împotriva Facebook Ireland și Schrems  pentru regulile corporatiste obligatorii ca instrumente de transfer.

CEPD_Comunicat de presă_2020_13