Curtea superioară a UE a decis că un pact de schimb de date cu SUA nu este valabil: ”Cerințele stabilite de GDPR trebuie interpretate, astfel încât clauzele contractuale convenite între exportatorul de date stabilit în UE și statele terțe să fie respectate”

O instanță superioară europeană a decis joi că companiile care mută datele personale ale utilizatorilor din UE în alte jurisdicții vor trebui să ofere aceleași protecții date în interiorul blocului.

Hotărârea ar putea avea impact asupra modului în care companiile transferă datele utilizatorilor europeni în Statele Unite și în alte țări, precum U.K.

Bătălia legală a început în 2013, când activistul de confidențialitate Max Schrems a depus o plângere la comisarul irlandez pentru protecția datelor. El a susținut că, având în vedere revelațiile lui Edward Snowden, legea americană nu oferea suficientă protecție împotriva supravegherii din partea autorităților publice.

Schrems a ridicat plângerea împotriva rețelei de socializare Facebook care, la fel ca multe alte firme, transfera datele sale și ale altor utilizatori către state.

În 2015, CJUE a stabilit că Acordul de la acea vreme nu era valid și nu era în interesul cetățenilor europeni, iar companiile din Europa au trecut la clauze contractuale standard sau SCC

A ajuns la Curtea Europeană de Justiție (CEJ), care în 2015 a decis că Acordul de port sigur atunci, care permite transferul datelor utilizatorilor europeni în S.U.A., nu era valid și nu proteja în mod adecvat cetățenii europeni.

Drept urmare, companiile care operează în Europa au trecut la clauze contractuale standard sau SCC, care s-au asigurat că pot muta în continuare datele peste Atlantic. Între timp, Uniunea Europeană și Statele Unite au elaborat un nou acord, cadrul Privacy Shield, pentru a înlocui acordul Safe Harbor.

Utilizarea cadrului de protecție a confidențialității, invalidată de CEJ, joi

CEJ a decis joi că aceste SCC-uri erau o modalitate valabilă de a transfera date, dar au invalidat utilizarea cadrului de protecție a confidențialității.

În termeni practici, acest lucru înseamnă că țările din afara UE sau companiile care doresc să mute datele utilizatorilor europeni în străinătate, vor trebui să asigure un nivel echivalent de protecție la legile europene stricte privind datele.

„În ceea ce privește nivelul de protecție necesar pentru un astfel de transfer, Curtea consideră că cerințele stabilite în acest scop de GDPR (Regulamentul general privind protecția datelor) privind garanțiile corespunzătoare, drepturile executorii și căile de atac efective trebuie interpretate în sensul că persoanelor vizate ale căror date personale sunt transferate într-o țară terță în conformitate cu clauzele standard de protecție a datelor trebuie să li se acorde un nivel de protecție în esență echivalent cu cel garantat de GDPR în cadrul UE ”, a declarat joi instanța.

Regulamentul GDPR, introdus în 2018, le-a permis utilizatorilor europeni să spună mai puternic modul în care companiile își folosesc informațiile.

„În aceste condiții, Curtea specifică că evaluarea acestui nivel de protecție trebuie să țină seama atât de clauzele contractuale convenite între exportatorul de date stabilit în UE, cât și beneficiarul transferului stabilit în țara terță în cauză și, în ceea ce privește orice accesul autorităților publice din țara terță la datele transferate, aspectele relevante ale sistemului juridic al țării terțe ”, a adăugat instanța.