PEDOMAN 7/2022 TENTANG SERTIFIKASI SEBAGAI ALAT TRANSFER
Oleh Mugurel Olariu, perlindungan data RPD
ECPD, diadopsi pada bulan Juni, Panduan 7/2022 tentang sertifikasi sebagai alat untuk transfer. Dokumen ini dalam tahap konsultasi publik hingga 30 September 2022.
Panduan tersebut memberikan panduan tentang penerapan Pasal 46(2)(f) GDPR untuk transfer data pribadi ke negara ketiga atau ke organisasi internasional berdasarkan sertifikasi.
Intinya, seni. 46 GDPR mewajibkan eksportir data untuk menerapkan perlindungan yang sesuai untuk transfer data pribadi ke negara ketiga atau organisasi internasional. Untuk tujuan ini, GDPR mendiversifikasi perlindungan yang sesuai yang dapat digunakan oleh pengekspor data berdasarkan Pasal 46 untuk membingkai transfer ke negara ketiga dengan memperkenalkan, antara lain, sertifikasi sebagai mekanisme transfer baru (Pasal 42 (2) dan 46 (2) (f) GDPR).
Panduan ini berisi empat bagian dan lampiran, sebagai berikut:
Bagian pertama dari dokumen ini mengklarifikasi bahwa panduan tersebut melengkapi Pedoman Umum 1/2018 yang sudah ada tentang sertifikasi dan membahas persyaratan khusus Bab V GDPR saat sertifikasi digunakan sebagai alat transfer.
Menurut Pasal 44 RGPD, setiap transfer data pribadi ke negara ketiga atau organisasi internasional harus memenuhi ketentuan ketentuan RGPD lainnya selain kepatuhan dengan Bab V RGPD. Oleh karena itu, pada langkah pertama, kepatuhan terhadap ketentuan umum GDPR harus dipastikan dan, pada langkah kedua, ketentuan Bab V GDPR harus dihormati. Aktor yang terlibat dan peran utama mereka dalam konteks ini dijelaskan, dengan fokus khusus pada peran pengimpor data yang akan diberikan sertifikasi dan pengekspor data yang akan menggunakannya sebagai alat untuk membingkai transfer mereka (kami menganggap tanggung jawab untuk kepatuhan terhadap pemrosesan data tetap menjadi tanggung jawab pengekspor data). Dalam konteks ini, sertifikasi juga dapat mencakup langkah-langkah tambahan yang melengkapi instrumen transfer untuk memastikan kepatuhan dengan tingkat perlindungan data pribadi Uni Eropa. Bagian pertama dari panduan ini juga memuat informasi tentang proses memperoleh sertifikasi yang akan digunakan sebagai alat untuk transfer.
Bagian kedua dari panduan ini mengingatkan bahwa persyaratan untuk akreditasi lembaga sertifikasi terdapat dalam ISO 17065 dan melalui interpretasi Pedoman 4/2018 tentang akreditasi lembaga sertifikasi sesuai dengan Pasal 43 GDPR dan lampirannya di bawah Bab V. Namun, dalam konteks alih fungsi, panduan ini menjelaskan lebih lanjut beberapa persyaratan akreditasi yang berlaku bagi lembaga sertifikasi.
Bagian ketiga dari panduan ini memberikan panduan tentang kriteria sertifikasi yang sudah tercantum dalam Panduan 1/2018 dan menetapkan kriteria khusus tambahan yang harus dimasukkan dalam mekanisme sertifikasi untuk digunakan sebagai alat transfer ke pihak ketiga.
Kriteria ini mencakup penilaian undang-undang negara ketiga, kewajiban umum eksportir dan importir, aturan tentang transfer selanjutnya, ganti rugi dan penegakan, proses dan tindakan untuk situasi di mana undang-undang dan praktik nasional mencegah kepatuhan terhadap komitmen yang dibuat sebagai bagian dari sertifikasi dan permintaan akses ke data dari otoritas negara ketiga.
Bagian keempat dari panduan ini memberikan elemen yang harus dibahas dalam komitmen yang mengikat dan dapat dilaksanakan yang harus dilakukan oleh operator non-GDPR atau orang yang berwenang untuk memberikan perlindungan yang memadai untuk data yang ditransfer ke negara ketiga. Komitmen ini, yang dapat diatur dalam berbagai instrumen, termasuk kontrak, termasuk khususnya jaminan bahwa importir tidak memiliki alasan untuk percaya bahwa hukum dan praktik negara ketiga berlaku untuk pemrosesan yang bersangkutan, termasuk persyaratan apa pun untuk pengungkapan data pribadi atau tindakan yang mengizinkan akses otoritas publik, mencegahnya memenuhi komitmennya yang diasumsikan oleh sertifikasi.
Lampiran panduan berisi beberapa contoh tindakan tambahan sesuai dengan yang tercantum dalam Lampiran II Rekomendasi 01/2020 (Rekomendasi 01/2020 tentang langkah-langkah yang melengkapi instrumen transfer untuk memastikan kepatuhan dengan tingkat perlindungan data pribadi Uni Eropa) dalam konteks menggunakan sertifikasi sebagai instrumen untuk transfer.
