13/Volumul 33

RO

Jurnalul Ofícial al Uniunii Europene

96

L 006/52

JURNALUL OFÍCIAL AL UNIUNII EUROPENE

(1)

În temeiul Directivei 95/46/CE, statelor membre li se solicită să se asigure că transferul de date cu caracter personal către o țară terță are loc numai dacă țara terță în cauză asigură un nivel adecvat de protecție a datelor și dacă legile statelor membre respective, care sunt în conformitate cu celelalte dispoziții ale directivei, sunt respectate înainte de transferul datelor.

(2)

Cu toate acestea, articolul 26 alineatul (2) din Directiva 95/46/CE prevede că statele membre pot autoriza, sub rezerva anumitor garanții, un transfer sau o serie de transferuri de date cu caracter personal către țările terțe care nu asigură un nivel adecvat de protecție. Aceste garanții pot să decurgă în special din stabilirea unor clauze contractuale corespunzătoare.

(3)

În temeiul Directivei 95/46/CE, nivelul de protecție a datelor trebuie evaluat pe baza întregii situații în care are loc operațiunea sau operațiunile de transfer de date. Grupul de lucru privind protecția persoanelor fizice în legătură cu prelucrarea datelor cu caracter personal înființat în temeiul directivei menționate (2) a publicat indicații pentru a facilita această evaluare (3).

(4)

Clauzele contractuale tip se referă numai la protecția datelor. Exportatorul și importatorul de date sunt liberi să includă orice alte clauze comerciale pe care le consideră relevante pentru contract cu condiția ca acestea să nu contravină clauzelor contractuale tip.

(5)

Prezenta decizie nu trebuie să aducă atingere autorizațiilor naționale pe care statele membre le pot acorda conform dispozițiilor interne de punere în aplicare a articolului 26 alineatul (2) din Directiva 95/46/CE. Prezenta decizie are numai efectul de a cere statelor membre să nu refuze să recunoască faptul că aceste clauze prevăzute de prezenta directivă oferă garanții corespunzătoare și ea nu are prin urmare nici un efect asupra altor clauze contractuale.

(6)

Domeniul de aplicare al prezentei decizii se limitează la stabilirea faptului că clauzele pe care le conține pot fi utilizate de un responsabil de date stabilit în Comunitate pentru a oferi garanții corespunzătoare în sensul articolului 26 alineatul (2) din Directiva 95/46/CE privind transferul de date cu caracter personal către un procesator de date stabilit într-o țară terță.

(7)

Prezenta decizie trebuie să pună în aplicare obligația prevăzută la articolul 17 alineatul (3) din Directiva 95/46/CE și nu aduce atingere conținutului contractelor sau actelor juridice stabilite în temeiul dispoziției menționate. Cu toate acestea, unele dintre clauzele contractuale tip, care se referă în special la obligațiile exportatorului de date, trebuie să fie incluse pentru a face mai clare dispozițiile susceptibile de a fi incluse într-un contract încheiat între responsabil și procesator.

(8)

Autoritățile de supraveghere ale statelor membre joacă un rol esențial în acest mecanism contractual, având în vedere că acestea se asigură că datele cu caracter personal sunt corespunzător protejate după efectuarea transferului. În cazurile excepționale în care exportatorii de date refuză sau nu sunt în măsură să-l instruiască pe importatorul de date în mod corespunzător și există un risc iminent de prejudiciere a datelor vizate, clauzele contractuale tip trebuie să permită autorităților de supraveghere să-i controleze pe importatorii de date și, după caz, să ia decizii cu caracter obligatoriu pentru aceștia. Autoritățile de supraveghere trebuie să aibă posibilitatea de a interzice sau suspenda un transfer sau o serie de transferuri de date pe baza clauzelor contractuale tip în acele cazuri excepționale în care s-a stabilit că transferul pe bază de contract este susceptibil să aibă efecte negative asupra garanțiilor și obligațiilor care oferă datelor vizate protecția adecvată.

(9)

În viitor, Comisia poate de asemenea să analizeze dacă clauzele contractuale tip privind transferul datelor cu caracter personal către procesatorii de date stabiliți în țări terțe care nu oferă un nivel corespunzător de protecție a datelor, prezentate de societăți comerciale sau alte părți interesate, oferă garanții corespunzătoare în conformitate cu articolul 26 alineatul (2) din Directiva 95/46/CE.

(10)

Divulgarea datelor cu caracter personal unui procesator de date stabilit în afara Comunității reprezintă un transfer internațional de date protejat în conformitate cu capitolul IV din Directiva 95/46/CE. În consecință, domeniul de aplicare al prezentei decizii nu include transferul datelor cu caracter personal efectuat de responsabili pentru prelucrarea datelor stabiliți în Comunitate către alți responsabili pentru prelucrarea datelor stabiliți în afara Comunității care intră sub incidența Deciziei Comisiei 2001/497/CE din 15 iunie 2001 privind clauzele contractuale tip pentru transferul de date cu caracter personal în țările terțe, conform Directivei 95/46/CE (4).

(11)

Clauzele contractuale tip trebuie să prevadă măsurile tehnice și organizatorice de securitate capabile să asigure nivelul de securitate corespunzător riscurilor reprezentate de prelucrarea și natura datelor care trebuie protejate, pe care trebuie să le aplice procesatorul de date stabilit într-o țară terță care nu oferă protecția adecvată. Părțile trebuie să prevadă în contract măsurile tehnice și organizatorice care, având în vedere legile aplicabile privind protecția datelor, nivelul tehnologic și costul aplicării, sunt necesare pentru a proteja datele cu caracter personal împotriva distrugerii accidentale sau ilicite sau a pierderii accidentale, modificării, divulgării sau accesului neautorizat sau a oricăror altor forme ilicite de prelucrare.

(12)

Pentru a facilita circuitul datelor dinspre Comunitate, este de dorit să se permită procesatorilor care oferă servicii de prelucrare a datelor mai multor responsabili pentru prelucrarea datelor din Comunitate să aplice aceleași măsuri tehnice și organizatorice de securitate indiferent de statul membru în care își are originea transferul de date, în special în cazurile în care importatorul de date le primește, în vederea prelucrării ulterioare, de la diverse structuri ale exportatorului de date din Comunitate, situație în care trebuie să se aplice legea statului membru de stabilire desemnat.

(13)

Este de dorit să se stabilească informațiile minime pe care părțile trebuie să le specifice în contractul de transfer. Statele membre trebuie să-și păstreze dreptul de a preciza informațiile pe care trebuie să le furnizeze părțile. Aplicarea prezentei decizii trebuie revizuită pe baza experienței acumulate.

(14)

Importatorul de date trebuie să prelucreze datele cu caracter personal transferate numai în numele exportatorului de date și în conformitate cu instrucțiunile acestuia și obligațiile cuprinse în clauze. În special, importatorul de date nu trebuie să divulge datele cu caracter personal unei terțe părți decât în conformitate cu anumite condiții. Exportatorul de date trebuie să-l instruiască pe importatorul de date pe toată durata serviciilor de prelucrare a datelor să realizeze această prelucrare în conformitate cu instrucțiunile sale, legislația aplicabilă pentru protecția datelor și obligațiile cuprinse în clauze. Transferul datelor cu caracter personal către procesatorii de date stabiliți în afara Comunității nu aduce atingere faptului că activitățile de prelucrare trebuie să fie reglementate în orice caz de legea aplicabilă privind protecția datelor.

(15)

Clauzele contractuale tip trebuie să aibă caracter executoriu nu numai de către organizațiile ce sunt părți contractuale, dar și de persoanele fizice la care se referă, în special în cazul în care acestea suferă un prejudiciu în urma nerespectării contractului.

(16)

Persoana fizică la care se referă datele trebuie să aibă dreptul la o acțiune în instanță și, după caz, de a primi despăgubiri din partea exportatorului de date care este responsabilul pentru prelucrarea datelor cu caracter personal transferate. În mod excepțional, persoana fizică la care se referă datele trebuie să aibă dreptul de a introduce o acțiune în instanță și, după caz, de a primi despăgubiri din partea importatorului de date pentru nerespectarea uneia dintre obligațiile sale menționate la clauza 3 al doilea paragraf, în situația în care exportatorul de date a dispărut în fapt sau și-a încetat existența de drept sau a devenit insolvabil.

(17)

În cazul în care un diferend între persoana fizică în cauză care invocă clauza terțului beneficiar și importatorul de date nu se rezolvă pe cale amiabilă, importatorul de date trebuie să fie de acord să ofere persoanei în cauză posibilitatea de a alege între mediere, arbitrare sau acțiune în justiție. Persoana în cauză va avea realmente de ales în măsura în care dispune de sisteme de mediere și arbitrare fiabile și recunoscute. Medierea de către autoritățile de supraveghere a protecției datelor din statele membre în care este stabilit exportatorul de date trebuie să fie o opțiune în cazul în care aceste autorități oferă acest serviciu.

(18)

Contractul trebuie să fie guvernat de legea statului membru în care este stabilit exportatorul de date și care permite unui terț beneficiar să execute un contract. Persoanele la care se referă datele trebuie să aibă dreptul de a fi reprezentate de asociații sau alte organisme, dacă doresc acest lucru și dacă dreptul intern îl permite.

(19)

Grupul de lucru privind protecția persoanelor fizice în legătură cu prelucrarea datelor cu caracter personal stabilit în temeiul articolului 29 din Directiva 95/46/CE și-a dat avizul cu privire la nivelul de protecție oferit pe baza clauzelor contractuale tip anexate la prezenta decizie, aviz de care s-a ținut seama la elaborarea prezentei decizii (5).

(20)

Măsurile prevăzute de prezenta decizie sunt în conformitate cu avizul comitetului stabilit conform articolului 31 din Directiva 95/46/CE,

(a)

se aplică definițiile din Directiva 95/46/CE;

(b)

„categorii speciale de date” înseamnă datele menționate la articolul 8 din directiva menționată anterior;

(c)

„autoritate de supraveghere” înseamnă autoritatea menționată la articolul 28 din directiva menționată anterior;

(d)

„exportator de date” înseamnă responsabilul care transferă datele cu caracter personal;

(e)

„importator de date” înseamnă procesatorul stabilit într-o țară terță care este de acord să primească, de la exportatorul de date, datele cu caracter personal destinate prelucrării ulterioare în numele exportatorului în conformitate cu instrucțiunile acestuia și cu condițiile prezentei decizii și care nu este supus unui sistem al unei țări terțe capabil să asigure o protecție adecvată;

(f)

„dreptul aplicabil protecției datelor” înseamnă legislația care protejează drepturile și libertățile fundamentale ale persoanelor fizice și în special dreptul lor la viață privată cu privire la procesarea datelor cu caracter personal, aplicabilă responsabilului de date din statul membru în care este stabilit exportatorul de date;

(g)

„măsuri tehnice și organizatorice de securitate” înseamnă măsurile menite să protejeze datele cu caracter personal împotriva distrugerii accidentale sau ilicite sau a pierderii accidentale, modificării, divulgării sau accesului neautorizat sau a oricăror altor forme ilicite de procesare.

(a)

s-a stabilit că dreptul căruia i se supune importatorul de date îl obligă pe acesta la derogări de la dreptul aplicabil protecției datelor cu caracter personal, care depășesc restricțiile necesare într-o societate democratică conform articolului 13 din Directiva 95/46/CE în situația în care respectivele obligații sunt susceptibile de a avea efecte negative importante asupra garanțiilor oferite de dreptul aplicabil protecției datelor cu caracter personal și clauzele contractuale tip sau

(b)

o autoritate competentă a stabilit că importatorul de date nu a respectat clauzele contractuale din anexă sau

(c)

este foarte probabil că aceste clauze contractuale din anexă nu sunt respectate sau nu vor fi respectate și continuarea transferului de date să creeze un risc iminent de prejudiciere gravă a persoanelor fizice la care se referă.

http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm.

http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp12en.htm al Comisiei Europene.