Bruxelles, 15 ianuarie – CEPD și AEPD au adoptat avize comune cu privire la două seturi de clauze contractuale standard (CCS). Un aviz privind CCS-urile pentru contractele încheiate între operatori și persoanele împuternicite de operatori și un aviz privind CCS-urile pentru transferul de date cu caracter personal către țări terțe.
CCS-urile dintre operatori și persoanele împuternicite de operatori vor avea un efect la nivelul UE și vor urmări să asigure armonizarea deplină și securitatea juridică la nivelul întregii Uniuni în ceea ce privește contractele dintre operatori și persoanele împuternicite de operatori.
Andrea Jelinek, președintele CEPD, a declarat: „CEPD și AEPD salută CCS-urile dintre operatori și persoanele împuternicite de operatori ca fiind un instrument unic, puternic și la nivelul UE de responsabilizare, care va facilita respectarea dispozițiilor Regulamentului general privind protecția datelor (RGPD) și ale RPDUE. Printre altele, CEPD și AEPD solicită să se ofere părților suficientă claritate în ceea ce privește situațiile în care se pot baza pe aceste CCS-uri și subliniază faptul că situațiile care implică transferuri în afara UE nu ar trebui excluse.”
Au fost solicitate mai multe modificări pentru a clarifica textul și pentru a asigura utilitatea practică a acestuia în operațiunile zilnice pe care le desfășoară operatorii și persoanele împuternicite de operatori. Printre aceste modificări se numără interacțiunea dintre cele două documente, așa-numita „clauză de andocare”, care le permite altor entități să adere la CCS, precum și alte aspecte legate de obligațiile care le revin persoanelor împuternicite de către operator. În plus, CEPD și AEPD sugerează că anexele la CCS clarifică pe cât posibil rolurile și responsabilitățile fiecăreia dintre părți cu privire la fiecare activitate de prelucrare – orice ambiguitate ar îngreuna îndeplinirea de către operatori sau de către persoanele împuternicite de operatori a obligațiilor care le revin în temeiul principiului responsabilității.
Wojciech Wiewiórowski, președintele AEPD, a declarat: „Suntem convinși că aceste CCS-uri pot facilita respectarea de către operatori și de către persoanele împuternicite de operatori a obligațiilor care le revin, atât în temeiul RGPD, cât și în temeiul cadrului juridic al instituțiilor și al organismelor UE. În plus, sperăm că aceste CCS-uri vor asigura o mai mare armonizare și securitate juridică pentru persoanele fizice și pentru datele lor cu caracter personal. În acest context, ne propunem ca aceste documente să fie cât mai adaptate exigențelor viitorului.”
Proiectele de CCS pentru transferul de date cu caracter personal către țări terțe în temeiul articolului 46 alineatul (2) litera (c) din RGPD vor înlocui CCS-urile existente pentru transferurile internaționale care au fost adoptate în temeiul Directivei 95/46 și care trebuiau actualizate atât pentru a le alinia la cerințele RGPD, cât și pentru a ține seama de hotărârea CJUE „Schrems II” și pentru a reflecta mai bine utilizarea pe scară largă a unor noi operațiuni de prelucrare, mai complexe, care implică adesea mai mulți importatori și exportatori de date. Mai precis, noile CCS-uri includ garanții mai specifice în cazul în care legislația țării de destinație afectează respectarea clauzelor, în special în cazul cererilor obligatorii din partea autorităților publice de divulgare a datelor cu caracter personal.
Wojciech Wiewiórowski, președintele AEPD, a adăugat: „Având în vedere experiența noastră practică, am formulat aceste observații pentru a îmbunătăți CCS-urile, cu scopul de a asigura pe deplin faptul că datele cu caracter personal ale cetățenilor UE beneficiază de un nivel de protecție echivalent, în esență, atunci când au loc transferuri către țări terțe. Considerăm că aceste sugestii și modificări sunt esențiale pentru atingerea acestor obiective în practică.”
În general, CEPD și AEPD sunt de părere că proiectele de CCS prezintă un nivel consolidat de protecție pentru persoanele vizate. În special, CEPD și AEPD salută dispozițiile specifice menite să abordeze câteva dintre principalele probleme identificate în hotărârea Schrems II. Cu toate acestea, CEPD și AEPD sunt de părere că mai multe dispoziții ar putea fi îmbunătățite sau clarificate, de exemplu: domeniul de aplicare al CCS, anumite drepturi ale terților beneficiari, anumite obligații privind transferurile ulterioare, aspecte ale evaluării legislației țărilor terțe privind accesul autorităților publice la datele publice și notificarea către autoritatea de supraveghere.
Președintele CEPD, Andrea Jelinek, a adăugat: „Condițiile în care pot fi utilizate CCS-urile trebuie să fie clare pentru organizații, iar persoanele vizate ar trebui să beneficieze de drepturi și căi de atac eficace. În plus, CCS-urile ar trebui să includă o distribuție clară a rolurilor și a regimului de răspundere între părți. În ceea ce privește necesitatea, în anumite cazuri, a unor măsuri suplimentare ad-hoc pentru a se asigura că persoanele vizate beneficiază de un nivel de protecție echivalent, în esență, cu cel garantat în UE, noile CCS-uri vor trebui utilizate împreună cu recomandările CEPD privind măsurile suplimentare.”
CEPD și AEPD invită Comisia să facă trimitere la versiunea finală a recomandărilor CEPD privind măsurile suplimentare, în cazul în care versiunea finală a recomandărilor va fi adoptată înainte de decizia Comisiei privind CCS. Acest document a fost supus consultării publice până la 21 decembrie 2020 și este posibil să facă în continuare obiectul unor modificări suplimentare în funcție de rezultatele consultării publice.
Notă pentru editori:
Vă atragem atenția asupra faptului că toate documentele adoptate în cadrul sesiunii plenare a CEPD fac obiectul verificărilor juridice, lingvistice și de formatare necesare și vor fi publicate pe site-ul web al CEPD de îndată ce vor fi finalizate aceste verificări.
EDPB_Press Release_statement_2021_01