In Jurnalul Oficial al Uniunii Europene nr. L199 din 7 iunie 2021 s-a publicat Decizia Comisiei Europene nr. 914/2021 din 4 iunie 2021, prin care, in aplicarea Regulamentului UE 679/2016 cunoscut ca GDPR, se aproba noi „Clauze contractuale standard” (SCC) pe baza carora se pot trasfera din Uniunea Europeana in afara acesteia date cu caracter personal.
Noua decizie va intra in vigoare in 27 septembrie 2021 si va inlocui de la acea data vechile „Clauze contractuale standard” (SCC) aprobate de Comisia UE prin Deciziile 497/2001 (SCC pentru transfer intre operatori) si 87/2010 ( SCC pentru tansfer intre operator si imputernicit), care se abroga.
SCC sunt principalul instrument juridic prin care a fost in continuare posibila utilizarea de catre institutiile si organizatiile din Uniunea Europeana a serviciilor electronice oferite de multe dintre marile companii de IT din lume, care, avand sediul firmei-mama pe teritoriul USA, se considerau ca respectand GDPR prin aderarea la asa-numitul „EU-US Privacy Shield”, dupa ce acesta a fost declarat invalid de catre Curtea de Justitie a Uniunii Europene prin celebra Hotarare CJUE din 16 iulie 2020 în cauza C-311/18 cunoscuta ca „Schrems II”, asa cum prin Hotararea Schrems I fusese invalidat predecesorul EU-US Privacy Shield, cunoscut drept „Safe Harbor”.
Vechile SCC insa nu erau pe deplin corespunzatoare cerintelor GDPR si riscau sa fie si ele declarate invalide, ceea ce ar fi dus la o perturbare majora a serviciilor electronice transfrontaliere in lume, pentru ca USA si alte state cu bogata ofeta in domeniul acestor servicii sunt considerate de Comisia Europeana ca neoferind suficiente garantii legale contra prelucrarilor neautorizate de date cu caracter personal vizand cetatenii UE sau alte persoane cu rezidenta in Uniunea Europeana, iar alte instrumente, precum „regulile corporatiste obligatorii” (BCR) nu sunt in cele mai multe cazuri o alternativa fezabila.
Urmeaza, in perioada urmatoare, ca toti operatorii de date cu caracter personal din Romania si din celelalte state UE / SEE care ajung sa exporte date cu caracter personal in afara UE / SEE pe baza SCC catre operatori, operatori asociati sau imputerniciti (in sensul definitiilor din GDPR) sa se asigure ca partea din sau anexa la contractele cu furnizorii respectivi de servicii de hosting, e-mail, stocare sau alte diverse tipuri de servicii care implica prelucrari de date cu caracter personal, se actualizeaza pentru a reflecta noul continut impus pentru SCC, in caz contrar nemafiind dupa 27 septembrie legala utilizarea acelor servicii, incalcarea acelei interdictii fiind aspru sanctionata de Regulamentul General de Protectia Datelor (GDPR).