Curtea de Justiție a Uniunii Europene a declarat nevalidă Decizia 2016/1250 privind caracterul adecvat al protecției datelor oferite de Scutul de confidențialitate UE-SUA
Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre Decizia Curții de Justiție a Uniunii Europene prin care se declară nevalidă Decizia 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA, totodată menționând că Decizia 2010/87 a Comisiei privind clauzele contractuale tip pentru transferul de date cu caracter personal către persoanele împuternicite de către operator, stabilite în țări terțe, este validă.
Decizia a fost luată urmare a plângerii depuse de către un resortisant austriac cu reședința în Austria, utilizator al Facebook din anul 2008. La fel ca în cazul celorlalți utilizatori cu reședința în UE, datele cu caracter personal ale acestuia sunt, în tot sau în parte, transferate de Facebook către servere situate pe teritoriul Statelor Unite ale Americii, unde fac obiectul unei prelucrări. Petentul susține că dreptul și practicile SUA nu oferă o protecție suficientă împotriva accesului autorităților publice la datele transferate către această țară.
Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE prevede că transferul unor astfel de date către o țară terță, în principiu, se poate realiza numai dacă țara terță în cauză asigură un nivel de protecție adecvat în privința acestor date sau stabileşte condițiile în care se poate realiza un astfel de transfer în absența unei decizii privind caracterul adecvat al nivelului de protecție sau a unor garanții adecvate.
În cazul petentului, potrivit Curții, limitările protecției datelor cu caracter personal care decurg din reglementarea internă a SUA privind accesul și utilizarea de către autoritățile publice americane a unor astfel de date transferate din UE către această țară terță și pe care Comisia le-a evaluat în Decizia 2016/1250 nu sunt circumscrise astfel încât să îndeplinească cerințe în esență echivalente cu cele prevăzute în dreptul UE, de principiul proporționalității, în sensul că programele de supraveghere întemeiate pe această reglementare nu sunt limitate la strictul necesar. Totodată, mecanismul de tip Ombudsman prevăzut de decizia menționată nu furnizează acestor persoane o cale de atac în fața unui organ care oferă garanții în esență echivalente cu cele impuse de dreptul UE de natură să asigure atât independența Ombudsmanului prevăzut de acest mecanism, cât și existența unor norme care să abiliteze Ombudsmanul menționat să adopte decizii obligatorii în privința serviciilor americane de informații.
Pentru toate aceste motive, Curtea declară nevalidă Decizia 2016/1250.
Decizia integrală a Curții de Justiție a Uniunii Europene prin care se declară nevalidă Decizia 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA, o puteți găsi accesând următorul link:
https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091ro.pdf