(a) se aplică definițiile din Directiva 95/46/CE;

(b) „categorii speciale de date” înseamnă datele prevăzute la articolul 8 din directiva menționată;

(c) „autorități de supraveghere” înseamnă autoritățile prevăzute la articolul 28 din directiva menționată;

(d) „exportator de date” înseamnă operatorul care transferă datele cu caracter personal;

(e) „importator de date” înseamnă operatorul care acceptă să primească date cu caracter personal de la exportatorul de date în vederea prelucrării lor ulterioare în conformitate cu condițiile din prezenta decizie.

1.  Limitarea scopului: datele trebuie prelucrate și folosite sau comunicate ulterior doar în scopurile specificate în apendicele 1 la prezentele clauze. Datele nu trebuie păstrate mai mult decât este necesar în scopurile pentru care sunt transferate.

2.  Calitatea și proporționalitatea datelor: datele trebuie să fie exacte și, dacă este cazul, actualizate. Datele trebuie să fie adecvate, relevante și neexcesive în raport cu scopul în care au fost transferate și prelucrate ulterior.

3.  Transparență: persoanele vizate trebuie să primească informații cu privire la scopurile prelucrării și identitatea operatorului din țara terță, precum și alte informații în măsura în care acestea sunt necesare pentru asigurarea unei prelucrări corecte, dacă astfel de date nu au fost deja furnizate de către exportatorul de date.

4.  Securitatea și confidențialitatea: operatorul trebuie să adopte măsuri tehnice și organizatorice de securitate corespunzătoare în ceea ce privește riscurile pe care le prezintă prelucrarea, cum ar fi accesul neautorizat. Orice persoană care acționează sub autoritatea operatorului, inclusiv persoana împuternicită, nu trebuie să prelucreze datele decât conform instrucțiunilor operatorului.

5.  Drepturile de acces, rectificare, ștergere și opoziție: în conformitate cu articolul 12 din Directiva 95/46/CE, persoana vizată trebuie să aibă drept de acces la toate datele care o privesc și, dacă este cazul, să obțină dreptul de rectificare, ștergere sau opoziție în ceea ce privește datele a căror prelucrare nu respectă principiile stabilite în prezentul apendice, în special datele incomplete sau inexacte. Trebuie, de asemenea, să aibă posibilitatea să se opună prelucrării datelor care o privesc din motive valabile și legitime care țin de situația sa personală.

6.  Limitarea transferurilor ulterioare: transferurile ulterioare de date cu caracter personal efectuate de importatorul de date către alt operator stabilit într-o țară terță care nu oferă un nivel de protecție adecvat sau care nu sunt reglementate printr-o decizie adoptată de Comisie în conformitate cu articolul 25 alineatul (6) din Directiva 95/46/CE (transferuri ulterioare) pot fi autorizate numai dacă:

(a) persoanele vizate au acceptat expres transferul ulterior, în cazul categoriilor speciale de date, sau, în alte cazuri, au avut posibilitatea de a se opune.

— scopurile transferului ulterior;

— identitatea exportatorului de date stabilit în Comunitate;

— categoriile de destinatari ulteriori ai datelor și țările de destinație și

— mențiunea că, după transferul ulterior, datele pot fi prelucrate de către un operator stabilit într-o țară care nu are un nivel adecvat de protecție a vieții private a persoanelor sau

(b) exportatorul și importatorul de date acceptă clauzele unui alt operator, care astfel devine parte la clauze și își asumă aceleași obligații ca și importatorul de date.

7.  Categorii speciale de date: atunci când sunt prelucrate date cu privire la originea rasială sau etnică, opinii politice, convingeri religioase sau filozofice, apartenența sindicală, date referitoare la sănătate și la viața sexuală și date referitoare la infracțiuni, condamnări penale sau măsuri de siguranță, trebuie să fie prevăzute precauții suplimentare în sensul Directivei 95/46/CE, în special măsuri de securitate corespunzătoare, cum ar fi transmiterea criptată sau ținerea unei evidențe cu privire la orice acces la datele sensibile.

8.  Marketingul direct: atunci când datele sunt prelucrate în vederea marketingului direct trebuie să existe proceduri eficace care să permită persoanei vizate „să se opună” ca datele care o privesc să fie, într-un moment sau altul, utilizate în asemenea scopuri.

9.  Decizii individuale automatizate: persoanele vizate au dreptul să nu se supună unei decizii luate numai pe baza prelucrării automatizate a datelor cu excepția cazului în care nu s-au luat alte măsuri pentru apărarea intereselor legitime ale persoanei conform articolului 15 alineatul (2) din Directiva 95/46/CE. Atunci când scopul transferului este luarea unei decizii automatizate, în sensul articolului 15 din Directiva 95/46/CE, care produce efecte juridice în ceea ce privește persoana sau care o afectează în mod semnificativ și care se bazează numai pe prelucrarea automatizată a datelor menite să evalueze anumite aspecte ale personalității sale, cum ar fi randamentul profesional, credibilitatea, încrederea, conduita etc., persoana trebuie să aibă dreptul să cunoască raționamentul care stă la baza acestei decizii.

1.  Limitarea scopului: datele trebuie prelucrate și folosite sau comunicate ulterior doar în scopurile specificate în apendicele 1 la prezentele clauze. Datele nu trebuie păstrate mai mult decât este necesar în scopurile pentru care sunt transferate.

2.  Drepturile de acces, rectificare, ștergere și opoziție: în conformitate cu articolul 12 din Directiva 95/46/CE, persoana vizată trebuie să aibă drept de acces la toate datele care o privesc și, dacă este cazul, să obțină dreptul de rectificare, ștergere sau opoziție în ceea ce privește datele a căror prelucrare nu respectă principiile stabilite în prezentul apendice, în special datele incomplete sau inexacte. Trebuie, de asemenea, să aibă posibilitatea să se opună prelucrării datelor care o privesc din motive valabile și legitime care țin de situația sa personală.

3.  Limitarea transferurilor ulterioare: transferurile ulterioare de date cu caracter personal efectuate de importatorul de date către alt operator stabilit într-o țară terță care nu oferă un nivel de protecție adecvat sau care nu fac obiectul unei decizii adoptate de Comisie în conformitate cu articolul 25 alineatul (6) din Directiva 95/46/CE (transferuri ulterioare) pot fi autorizate numai dacă:

(a) Persoanele vizate au acceptat expres transferul ulterior, în cazul categoriilor speciale de date, sau, în alte cazuri, au avut posibilitatea de a se opune.

— scopurile transferului ulterior;

— identitatea exportatorului de date stabilit în Comunitate;

— categoriile de destinatari ulteriori ai datelor și țările de destinație și

— mențiunea că, după transferul ulterior, datele pot fi prelucrate de către un operator stabilit într-o țară care nu are un nivel adecvat de protecție a vieții private a persoanelor sau

(b) exportatorul și importatorul de date acceptă clauzele unui alt operator, care astfel devine parte la clauze și își asumă aceleași obligații ca și importatorul de date.

(a) „date cu caracter personal”, „categorii speciale de date/date sensibile”, „a prelucra/prelucrare”, „responsabil cu prelucrarea”, „operator”, „persoană vizată” și „autoritate de supraveghere/autoritate” au același sens ca în Directiva 95/46/CE din 24 octombrie 1995 (în care „autoritate” înseamnă autoritatea competentă în materie de protecție a datelor pe al cărei teritoriu este stabilit exportatorul de date);

(b) „exportator de date” înseamnă responsabilul cu prelucrarea care transferă datele cu caracter personal;

(c) „importator de date” înseamnă responsabilul cu prelucrarea, care acceptă să primească, de la exportatorul de date, date cu caracter personal pentru a fi prelucrate în continuare în conformitate cu dispozițiile din prezentele clauze și care nu este supus mecanismului unei țări terțe de asigurare a unei protecții adecvate;

(d) „clauze” înseamnă prezentele clauze contractuale, constituind un document independent care nu cuprinde dispoziții comerciale convenite de către părți în cadrul unor acorduri comerciale separate.

(a) Datele cu caracter personal au fost colectate, prelucrate și transferate conform legilor aplicabile exportatorului de date.

(b) Exportatorul de date a depus eforturi corespunzătoare pentru a se asigura că importatorul de date este în măsură să îndeplinească obligațiile juridice care îi revin în temeiul prezentelor clauze.

(c) Exportatorul de date transmite importatorului de date, la cererea acestuia din urmă, textele reglementărilor pertinente în materie de protecție a datelor sau referințe la acestea (după caz, și fără să includă consultanță juridică) din țara în care este stabilit exportatorul de date.

(d) Exportatorul de date răspunde cererilor de informații din partea persoanelor vizate și din partea autorității cu privire la prelucrarea datelor cu caracter personal efectuată de către importatorul de date, în cazul în care părțile nu au convenit ca importatorul de date să fie acela care răspunde acestor cereri, caz în care exportatorul de date trebuie totuși să răspundă în măsura posibilului, comunicând informațiile de care dispune în mod rezonabil, în cazul în care importatorul de date nu acceptă sau nu este în măsură să răspundă. Răspunsurile sunt transmise într-un termen rezonabil.

(e) Exportatorul de date va remite, la cerere, un exemplar al clauzelor persoanelor vizate care sunt terți beneficiari în conformitate cu clauza III, în cazul în care clauzele nu conțin informații confidențiale, situație în care el poate suprima aceste informații. În cazul în care informațiile sunt suprimate, exportatorul de date informează în scris persoanele vizate cu privire la motivul suprimării și despre dreptul lor de a aduce la cunoștința autorității această suprimare. Cu toate acestea, exportatorul de date se conformează deciziei autorității privind accesul persoanelor vizate la textul integral al clauzelor, în măsura în care persoanele vizate au acceptat să respecte confidențialitatea informațiilor confidențiale suprimate. Exportatorul de date furnizează, de asemenea, un exemplar al clauzelor autorității, în cazul în care aceasta îi cere acest lucru.

(a) Importatorul de date adoptă măsuri tehnice și organizaționale corespunzătoare pentru a proteja datele cu caracter personal împotriva distrugerii accidentale sau ilegale, împotriva pierderii accidentale, modificării, dezvăluirii sau accesului neautorizat. Aceste măsuri asigură un nivel de securitate adaptat riscului legat de prelucrarea și natura datelor care urmează să fie protejate.

(b) Importatorul de date adoptă proceduri pentru a se asigura că terții pe care-i autorizează să aibă acces la date cu caracter personal, inclusiv operatorii, respectă și mențin confidențialitatea și securitatea datelor cu caracter personal. Orice persoană care acționează sub autoritatea importatorului de date, inclusiv un operator de date, nu poate să prelucreze datele cu caracter personal decât în urma instrucțiunilor din partea importatorului de date. Această dispoziție nu se aplică persoanelor autorizate sau care prin acte cu putere de lege sau norme administrative trebuie să aibă acces la date cu caracter personal.

(c) În momentul în care aderă la prezentele clauze, importatorul de date nu are nici un motiv să creadă că există reglementări locale care să aducă atingere într-un mod substanțial garanțiilor oferite în temeiul prezentelor clauze și, în cazul în care află de existența unor asemenea reglementări, îl va informa pe exportatorul de date (care va transmite această notificare mai departe autorității, după caz).

(d) Importatorul de date prelucrează datele cu caracter personal în scopurile prezentate în anexa B și are capacitatea juridică să ofere garanțiile și să ia angajamentele specificate în prezentele clauze.

(e) mportatorul de date va indica exportatorului de date un punct de contact din cadrul organizației sale care este autorizat să răspundă cererilor de informații privind prelucrarea datelor cu caracter personal și va coopera, cu bună credință, cu exportatorul de date, persoanele vizate și autoritatea în ce privește toate aceste cereri de informații într-un termen rezonabil. În caz de dizolvare legală a exportatorului de date sau în cazul în care părțile convin astfel, importatorul de date își va asuma responsabilitatea pentru realizarea conformității cu dispozițiile de la clauza I litera (e).

(f) La cererea exportatorului de date, importatorul de date îi prezintă dovezi că dispune de resurse financiare suficiente pentru îndeplinirea responsabilităților care îi revin în conformitate cu clauza III (care pot include acoperirea prin asigurare).

(g) La cererea rezonabilă a exportatorului de date, importatorul de date prezintă mijloacele sale de prelucrare a datelor, fișierele de date și documentația necesară pentru prelucrare pentru a fi examinate, verificate și/sau certificate de exportatorul de date (sau orice inspector sau auditor independent sau imparțial, selectat de exportatorul de date și pe care importatorul de date nu îl poate recuza în mod rezonabil) pentru a stabili conformitatea cu garanțiile și angajamentele luate în prezentele clauze, cu un preaviz corespunzător și în timpul orelor de lucru obișnuite. Cererea va fi supusă, după caz, autorizării sau aprobării unei autorități de reglementare sau supraveghere din țara importatorului de date, pe care acesta se străduiește să o obțină în timp util.

(h) Importatorul de date prelucrează datele cu caracter personal, la alegere, în conformitate cu:

(i) legislația privind protecția datelor din țara în care este stabilit exportatorul de date sau

(ii) dispozițiile pertinente ( 1 ) ale unei decizii a Comisiei în aplicarea articolului 25 alineatul (6) din Directiva 95/46/CE, în cazul în care importatorul de date se conformează dispozițiilor pertinente ale acestei autorizații sau decizii și este stabilit într-o țară unde se aplică această autorizație sau decizie, dar nu este sub incidența acestei autorizații sau decizii în scopul transferului de date cu caracter personal ( 2 ) sau

(iii) principiile de prelucrare a datelor enunțate în anexa A.

(i) Importatorul de date nu divulgă și nici nu transferă datele cu caracter personal către un responsabil cu prelucrarea datelor dintr-o țară terță situată în afara Spațiului Economic European (SEE), în cazul în care nu notifică acest transfer exportatorului de date și

(i) în cazul în care responsabilul cu prelucrarea datelor din țara terță nu prelucrează datele cu caracter personal în conformitate cu o decizie a Comisiei care stabilește că țara terță respectivă asigură o protecție adecvată sau

(ii) în cazul în care responsabilul cu prelucrarea datelor din țara terță nu devine semnatar al prezentelor clauze sau al unui alt acord de transfer de date aprobat de o autoritate competentă a Uniunii Europene sau

(iii) în cazul în care persoanelor vizate nu li s-a acordat posibilitatea de a se opune, după ce au fost informate despre scopul transferului, despre categoriile de destinatari și despre faptul că țările în care sunt exportate datele pot avea norme diferite de protecție a datelor sau

(iv) în cazul în care persoanele vizate nu și-au dat consimțământul neechivoc la transferul ulterior, în cazul transferurilor ulterioare de date sensibile.

(a) Fiecare parte răspunde față de celelalte părți pentru daunele produse ca urmare a unei încălcări a prezentelor clauze. Răspunderea între părți se limitează la dauna efectivă suferită. Daunele punitive (adică daunele-interese destinate să sancționeze o parte pentru conduita sa ofensatoare) sunt excluse în mod expres. Fiecare parte răspunde față de persoanele vizate pentru daunele pe cale le produce ca urmare a încălcării drepturilor terților în temeiul prezentelor clauze. Acest lucru nu aduce atingere răspunderii exportatorului de date în temeiul legislației sale în materie de protecție a datelor.

(b) Părțile convin că o persoană vizată are dreptul să valorifice, în calitate de terț beneficiar, prezenta clauză, precum și clauzele I (b), I (d), I (e), II (a), II (c), II (d), II (e), II (h), II (i), III (a), V, VI (d) și VII împotriva importatorului de date sau a exportatorului de date, pentru încălcările respective ale obligațiilor contractuale, în privința datelor sale cu caracter personal, și acceptă jurisdicția în acest scop a țării de stabilire a exportatorului de date. În cazurile care implică presupuse încălcări comise de importatorul de date, persoana vizată trebuie mai întâi să ceară exportatorului de date să ia măsuri corespunzătoare pentru valorificarea drepturilor sale împotriva importatorului de date; în cazul în care exportatorul de date nu ia aceste măsuri într-un termen corespunzător (care, în circumstanțe normale, ar fi de o lună), persoana vizată poate să-și valorifice drepturile direct împotriva importatorului de date. O persoană vizată are drept de acțiune directă împotriva unui exportator de date care n-a întreprins acțiuni corespunzătoare pentru a stabili dacă importatorul de date este în măsură să-și îndeplinească obligațiile legale în temeiul prezentelor clauze (revine exportatorului de date sarcina probei că a întreprins acțiuni corespunzătoare).

(a) În cazul unui litigiu sau al unei plângeri intentate împotriva unei părți sau a ambelor părți de o persoană vizată sau de autoritate cu privire la prelucrarea datelor cu caracter personal, părțile se informează reciproc despre aceste litigii sau plângeri și vor coopera în vederea soluționării lor pe cale amiabilă într-un termen corespunzător.

(b) Părțile convin să răspundă oricărei proceduri de mediere neimperativă și general disponibilă inițiată de o persoană vizată sau de autoritate. În cazul în care participă la procedură, părțile pot decide să facă acest lucru de la distanță (prin telefon sau alte mijloace electronice). Părțile convin, de asemenea, să examineze posibilitatea de a participa la orice altă procedură de arbitraj, de mediere sau altă procedură de rezolvare a litigiilor aplicată la litigiile în materie de protecție a datelor.

(c) Fiecare parte se conformează deciziei unei instanțe competente din țara de stabilire a exportatorului de date sau a autorității, care este definitivă și împotriva căreia nu există cale de atac.

(a) În cazul în care importatorul de date nu își îndeplinește obligațiile care îi revin în temeiul prezentelor clauze, exportatorul de date poate suspenda temporar transferul de date cu caracter personal către importatorul de date până la remedierea acestei neîndepliniri sau până la rezilierea contractului.

(b) În cazul în care:

(i) transferul de date cu caracter personal către importatorul de date a fost suspendat temporar de către exportatorul de date pe o perioadă mai mare de o lună în conformitate cu litera (a);

(ii) respectarea de către importatorul de date a prezentelor clauze l-ar pune în situația de a-și încălca obligațiile legale sau normative în țara de import;

(iii) importatorul de date este într-o situație de încălcare gravă sau persistentă a garanțiilor sau angajamentelor pe care le-a făcut în temeiul prezentelor clauze;

(iv) o decizie finală, împotriva căreia nu este posibil recursul din partea unei instanțe competente din țara de stabilire a exportatorului de date sau a autorității, declară că a avut loc o încălcare a clauzelor de către importatorul de date sau de exportatorul de date; sau

(v) este înaintată o petiție în vederea instituirii unei administrări judiciare sau a lichidării importatorului de date, fie că este persoană, fie că este întreprindere, petiție care nu este contestată în termenul aplicabil pentru o astfel de contestație în temeiul dreptului aplicabil; este emis un ordin de lichidare; este numit un administrator judiciar pentru oricare din activele sale; este desemnat un administrator al masei falimentare în cazul în care importatorul de date este o persoană privată; este angajată o procedură de concordat; sau se produce un eveniment echivalent în orice jurisdicție,

(c) Oricare din părți poate rezilia prezentele clauze în cazul în care (i) a fost adoptată de către Comisie o decizie constatatoare a caracterului adecvat de protecție a datelor în conformitate cu articolul 25 alineatul (6) din Directiva 95/46/CE (sau orice text care o înlocuiește) referitoare la țara (sau un sector al acesteia) către care datele sunt transferate și prelucrate de importatorul de date, sau (ii) Directiva 95/46/CE (sau orice text care o înlocuiește) devine direct aplicabilă în această țară.

(d) Părțile convin că rezilierea prezentelor clauze în orice moment, în orice circumstanțe și pentru orice motiv [exceptând pentru rezilierea în temeiul clauzei VI (c)], nu le exonerează de obligațiile și/sau condițiile impuse de clauze în ce privește prelucrarea datelor cu caracter personal transferate.

1.  Limitarea scopului: datele cu caracter personal pot fi prelucrate și folosite sau comunicate ulterior doar în scopurile specificate în anexa B sau autorizate ulterior de persoana vizată.

2.  Calitatea și proporționalitatea datelor: datele cu caracter personal trebuie să fie exacte și, după caz, să fie actualizate. Datele cu caracter personal trebuie să fie adecvate, pertinente și neexcesive în raport cu scopul pentru care sunt transferate și prelucrate ulterior.

3.  Transparență: persoanele vizate trebuie să primească informațiile necesare pentru asigurarea unei prelucrări corecte (cum ar fi informații despre scopurile prelucrării și despre transfer), în cazul în care astfel de informații nu au fost deja furnizate de exportatorul de date.

4.  Securitate și confidențialitate: responsabilul cu prelucrarea datelor trebuie să adopte măsuri de securitate adecvate de natură tehnică și organizatorică în privința riscurilor legate de prelucrare, cum ar fi distrugerea accidentală sau ilegală sau pierderea accidentală, modificarea, divulgarea sau accesul neautorizat. Orice persoană care acționează sub autoritatea responsabilului cu prelucrarea, inclusiv operatorul care face prelucrarea, nu trebuie să prelucreze datele decât în baza instrucțiunilor din partea responsabilului.

5.  Drepturi de acces, rectificare, ștergere și opoziție: în conformitate cu articolul 12 din Directiva 95/46/CE, persoanele vizate trebuie să obțină, direct sau prin intermediul unui terț, informațiile personale care le privesc și pe care le deține o organizație, exceptând cazurile în care cererile sunt evident abuzive având în vedere frecvența lor nerezonabilă, numărul lor sau natura lor repetitivă sau sistematică, sau în cazul în care accesul nu trebuie să fie acordat în conformitate cu dreptul țării exportatorului de date. Cu condiția ca autoritatea să-și fi exprimat acordul prealabil, accesul nu trebuie, de asemenea, să fie acordat în cazul în care riscă să prejudicieze în mod grav interesele importatorului de date sau ale altor organizații care au legături cu importatorul de date și în cazul în care drepturile și libertățile fundamentale ale persoanei vizate nu primează asupra acestor interese. Sursele datelor cu caracter personal nu trebuie să fie identificate în cazul în care acest lucru nu este posibil să se realizeze cu eforturi corespunzătoare sau în cazul în care drepturile persoanelor, altele decât cele vizate, ar fi încălcate. Persoanele vizate au dreptul să obțină rectificarea, modificarea sau ștergerea informațiilor cu caracter personal care îi privesc în cazul în care acestea sunt inexacte sau sunt prelucrate cu nerespectarea acestor principii. În cazul existenței unor temeiuri serioase de a pune la îndoială legitimitatea cererii, organizația poate cere justificări suplimentare înainte de a proceda la rectificare, modificare sau ștergere. Notificarea oricărei rectificări, modificări sau ștergeri către terți cărora le-au fost divulgate datele nu trebuie făcută în cazul în care acest lucru implică un efort disproporționat. O persoană vizată trebuie, de asemenea, să aibă posibilitatea să se opună prelucrării datelor cu caracter personal care o privesc în cazul în care există motive valabile și legitime care țin de situația sa personală. Sarcina probei pentru orice refuz revine importatorului de date și persoana vizată poate oricând să conteste un refuz în fața autorității.

6.  Date sensibile: importatorul de date adoptă măsurile suplimentare (de exemplu în materie de securitate) care sunt necesare pentru a proteja datele sensibile în conformitate cu obligațiile sale în temeiul clauzei II.

7.  Date utilizate în scopul marketingului: atunci când datele sunt prelucrate în vederea marketingului direct, trebuie să existe proceduri eficace care să permită persoanei vizate să se opună ca datele care o privesc să fie utilizate în asemenea scopuri.

8.  Decizii automatizate: în sensul prezentului document, prin „decizie automatizată” se înțelege o decizie a exportatorului de date sau a importatorului de date care produce efecte juridice cu privire la o persoană vizată sau care afectează în mod semnificativ o persoană vizată și care se bazează în exclusivitate pe prelucrarea automată a datelor cu caracter personal destinate să evalueze anumite aspecte personale ale acesteia, cum ar fi randamentul profesional, bonitatea, fiabilitatea, comportamentul acesteia, etc. Persoanele vizate nu pot face obiectul deciziilor automatizate din partea importatorului de date, cu excepția cazurilor în care:

(a)

 

(b) legislația exportatorului de date conține dispoziții diferite.