Help Print this page 

Document 32010D0087

Title and reference
2010/87/: Decisão da Comissão, de 5 de Fevereiro de 2010 , relativa a cláusulas contratuais-tipo aplicáveis à transferência de dados pessoais para subcontratantes estabelecidos em países terceiros nos termos da Directiva 95/46/CE do Parlamento Europeu e do Conselho [notificada com o número C(2010) 593] (Texto relevante para efeitos do EEE)
  • In force
OJ L 39, 12.2.2010, p. 5–18 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
Special edition in Croatian: Chapter 13 Volume 052 P. 250 - 263

ELI: http://data.europa.eu/eli/dec/2010/87/oj
Multilingual display
Text

12.2.2010   

PT

Jornal Oficial da União Europeia

L 39/5


DECISÃO DA COMISSÃO

de 5 de Fevereiro de 2010

relativa a cláusulas contratuais-tipo aplicáveis à transferência de dados pessoais para subcontratantes estabelecidos em países terceiros nos termos da Directiva 95/46/CE do Parlamento Europeu e do Conselho

[notificada com o número C(2010) 593]

(Texto relevante para efeitos do EEE)

(2010/87/UE)

A COMISSÃO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia,

Tendo em conta a Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (1), nomeadamente o artigo 26.o, n.o 4,

Após consulta da Autoridade Europeia para a Protecção de Dados,

Considerando o seguinte:

(1)

Nos termos da Directiva 95/46/CE, os Estados-Membros devem assegurar que a transferência de dados pessoais para um país terceiro só possa realizar-se se o país terceiro em questão garantir um nível adequado de protecção de dados e se a legislação dos Estados-Membros conforme com as outras disposições da directiva tiver sido respeitada antes da transferência.

(2)

Todavia, o artigo 26.o, n.o 2, da Directiva 95/46/CE prevê que os Estados-Membros possam autorizar uma transferência ou um conjunto de transferências de dados pessoais para países terceiros que não assegurem um nível de protecção adequado se forem apresentadas determinadas garantias. Essas garantias podem, designadamente, resultar de cláusulas contratuais adequadas.

(3)

Nos termos da Directiva 95/46/CE, o nível de protecção dos dados pessoais deve ser apreciado em função de todas as circunstâncias relativas à transferência ou ao conjunto de transferências de dados. O grupo de trabalho sobre a protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, instituído pela referida directiva, apresentou orientações destinadas a contribuir para essa apreciação.

(4)

As cláusulas contratuais-tipo devem dizer unicamente respeito à protecção dos dados. Por conseguinte, o exportador e o importador de dados podem incluir outras cláusulas de carácter comercial que considerem pertinentes para o contrato, desde que não sejam incompatíveis com as cláusulas contratuais-tipo.

(5)

A presente decisão não obsta a que os Estados-Membros possam conceder autorizações em conformidade com as disposições nacionais de aplicação do artigo 26.o, n.o 2, da Directiva 95/46/CE. A presente decisão visa apenas obrigar os Estados-Membros a não recusarem reconhecer que as cláusulas contratuais-tipo nela estabelecidas oferecem garantias adequadas, não devendo, portanto, ter qualquer efeito sobre outras cláusulas contratuais.

(6)

A Decisão 2002/16/CE da Comissão, de 27 de Dezembro de 2001, relativa a cláusulas contratuais-tipo aplicáveis à transferência de dados pessoais para subcontratantes estabelecidos em países terceiros, nos termos da Directiva 95/46/CE (2), foi adoptada para facilitar a transferência dos dados pessoais de um responsável pelo tratamento de dados estabelecido na União Europeia para um subcontratante estabelecido num país terceiro que não ofereça um nível de protecção adequado.

(7)

Foi adquirida uma experiência considerável desde a adopção da Decisão 2002/16/CE. Além disso, o relatório sobre a aplicação das decisões relativas às cláusulas contratuais-tipo aplicáveis às transferências de dados pessoais para países terceiros (3) demonstrou que existe um interesse crescente na promoção da utilização das cláusulas contratuais-tipo para as transferências internacionais de dados pessoais para países terceiros que não assegurem um nível de protecção adequado. Por outro lado, as partes interessadas apresentaram propostas com vista a actualizar as cláusulas contratuais-tipo constantes da Decisão 2002/16/CE, a fim de terem em conta o rápido desenvolvimento das actividades de tratamento de dados a nível mundial e abordarem algumas questões que não foram tratadas nessa decisão (4).

(8)

O âmbito da presente decisão deve limitar-se a estabelecer que as cláusulas nela enunciadas podem ser utilizadas por um responsável pelo tratamento de dados estabelecido na União Europeia para oferecer garantias adequadas, na acepção do artigo 26.o, n.o 2, da Directiva 95/46/CE, aquando de uma transferência de dados pessoais para um subcontratante estabelecido num país terceiro.

(9)

A presente decisão não deve aplicar-se à transferência de dados pessoais efectuada por responsáveis pelo tratamento de dados estabelecidos na União Europeia para responsáveis pelo tratamento de dados estabelecidos fora da União Europeia que estejam abrangidos pelo âmbito de aplicação da Decisão 2001/497/CE da Comissão, de 15 de Junho de 2001, relativa às cláusulas contratuais-tipo aplicáveis às transferências de dados pessoais para países terceiros, nos termos da Directiva 95/46/CE (5).

(10)

A presente decisão deve executar a obrigação prevista no artigo 17.o, n.o 3, da Directiva 95/46/CE e não deve afectar o teor dos contratos ou actos jurídicos celebrados nos termos daquela disposição. Todavia, devem ser incluídas algumas das cláusulas contratuais-tipo, em especial no que respeita às obrigações do exportador de dados, a fim de aumentar a clareza no que se refere às disposições que podem ser incluídas num contrato entre um responsável pelo tratamento de dados e um subcontratante.

(11)

As autoridades de controlo dos Estados-Membros desempenham um papel fundamental neste mecanismo contratual, assegurando uma protecção adequada dos dados após a sua transferência. Nos casos excepcionais em que os exportadores de dados se recusem ou não estejam em condições de fornecer instruções adequadas aos importadores de dados, podendo, dessa forma, prejudicar gravemente os titulares dos dados, as cláusulas contratuais-tipo devem permitir às autoridades de controlo realizar auditorias junto dos importadores de dados e dos seus subcontratantes e, se for caso disso, tomar decisões que vinculem esses importadores de dados e os seus subcontratantes. As autoridades de controlo dos Estados-Membros devem poder proibir ou suspender uma transferência ou um conjunto de transferências de dados com base nas cláusulas contratuais-tipo, nos casos excepcionais em que se verifique que uma transferência efectuada numa base contratual é susceptível de ter um efeito adverso importante nas garantias e obrigações que oferecem uma protecção adequada ao titular dos dados.

(12)

As cláusulas contratuais-tipo devem definir quais as medidas de segurança técnicas e organizativas que um subcontratante estabelecido num país terceiro que não assegure uma protecção adequada deve aplicar para garantir um nível de segurança adequado em relação aos riscos que o tratamento representa e à natureza dos dados pessoais a proteger. As partes devem incluir no contrato uma disposição relativa às medidas técnicas e organizativas que, atendendo à legislação sobre protecção de dados aplicável, aos conhecimentos técnicos disponíveis e aos custos resultantes da sua aplicação, são necessárias para proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizados e contra qualquer outra forma de tratamento ilícito.

(13)

Por forma a facilitar o fluxo de dados da União Europeia, é desejável que os subcontratantes que prestem serviços de tratamento de dados a vários responsáveis pelo tratamento de dados na União Europeia sejam autorizados a aplicar as mesmas medidas de segurança técnicas e organizativas independentemente do Estado-Membro de onde provenha a transferência dos dados, em particular nos casos em que o importador de dados receba dados para tratamento posterior provenientes de diferentes estabelecimentos do exportador de dados na União Europeia, caso em que deve aplicar-se a legislação do Estado-Membro de estabelecimento designado.

(14)

Convém estabelecer as informações mínimas que as partes devem especificar no contrato relativo à transferência. Os Estados-Membros devem conservar a faculdade de especificar quais as informações que as partes devem fornecer. O funcionamento da presente decisão deve ser revisto à luz da experiência adquirida.

(15)

O importador de dados deve tratar os dados pessoais transferidos apenas por conta do exportador de dados e segundo as suas instruções e as obrigações contidas nas cláusulas. Em particular, o importador de dados não deve comunicar os dados pessoais a terceiros sem o consentimento escrito prévio do exportador de dados. O exportador de dados deve instruir o importador de dados ao longo de toda a duração dos serviços de tratamento de dados para que este último proceda ao tratamento dos dados de acordo com as suas instruções, a legislação sobre protecção de dados aplicável e as obrigações contidas nas cláusulas.

(16)

No relatório sobre a aplicação de decisões relativas às cláusulas contratuais-tipo aplicáveis às transferências de dados pessoais para países terceiros foi recomendado o estabelecimento de cláusulas contratuais-tipo adequadas nas transferências subsequentes de um subcontratante de dados estabelecido num país terceiro para outro subcontratante (subcontratação ulterior), a fim de ter em conta a evolução das práticas das empresas, que tendem para uma globalização cada vez maior da actividade de tratamento de dados.

(17)

A presente decisão deve conter cláusulas contratuais-tipo específicas relativas à subcontratação ulterior efectuada por um subcontratante estabelecido num país terceiro (o importador de dados) dos seus serviços de tratamento de dados a outros subcontratantes (subcontratantes ulteriores) estabelecidos em países terceiros. Além disso, deve estabelecer as condições que esta subcontratação ulterior deve respeitar para assegurar que os dados pessoais transferidos continuem a ser protegidos, não obstante a transferência subsequente para um subcontratante ulterior.

(18)

Além disso, a subcontratação ulterior deve limitar-se às actividades acordadas no contrato celebrado entre o exportador de dados e o importador de dados que inclui as cláusulas contratuais-tipo previstas na presente decisão e não deve dizer respeito a outras actividades ou finalidades de tratamento de dados, de modo que o princípio da limitação da finalidade estabelecido na Directiva 95/46/CE seja respeitado. Por outro lado, sempre que o subcontratante ulterior falte às obrigações a que está obrigado em matéria de tratamento de dados por força do contrato, o importador de dados continua a ser responsável perante o exportador de dados. A transferência de dados pessoais para subcontratantes estabelecidos fora da União Europeia não deve invalidar o facto de as actividades de tratamento deverem ser regidas pela legislação sobre protecção de dados aplicável.

(19)

As cláusulas contratuais-tipo devem ter força executiva, não apenas para as organizações que são partes no contrato, mas também para os titulares dos dados, nomeadamente quando estes últimos sofram danos na sequência de uma violação do contrato.

(20)

O titular dos dados deve ter o direito de intentar uma acção e, se for caso disso, obter uma indemnização do exportador de dados responsável pelo tratamento dos dados pessoais transferidos. A título excepcional, o titular dos dados deve ter também o direito de intentar uma acção e, se for caso disso, obter uma indemnização do importador de dados, com base numa violação por parte deste ou de qualquer dos seus subcontratantes de uma das suas obrigações referidas no segundo parágrafo da cláusula 3, sempre que o exportador de dados tenha desaparecido de facto ou tenha sido extinto legalmente ou se tenha tornado insolvente. A título excepcional, o titular dos dados deve ter igualmente o direito de intentar uma acção e, se for caso disso, obter uma indemnização de um subcontratante ulterior quando o exportador de dados e o importador de dados tenham desaparecido de facto ou tenham sido extintos legalmente ou se tenham tornado insolventes. Esta responsabilidade civil do subcontratante ulterior deve ser limitada às suas próprias operações de tratamento de dados ao abrigo das cláusulas contratuais.

(21)

No caso de um litígio entre um titular de dados que invoque a cláusula do terceiro beneficiário e o importador de dados que não possa ser resolvido de forma amigável, o importador de dados deve oferecer ao titular dos dados a escolha entre mediação e acção judicial. A possibilidade de escolha efectiva do titular dos dados dependerá da disponibilidade de sistemas de mediação fiáveis e reconhecidos. A mediação das autoridades de controlo responsáveis pela protecção dos dados do Estado-Membro em que o exportador de dados está estabelecido deve ser uma opção, sempre que tal entidade faculte esses serviços.

(22)

A lei aplicável ao contrato deve ser a do Estado-Membro em que o exportador de dados está estabelecido, quando a mesma permita a um terceiro beneficiário fazer executar um contrato. Os titulares dos dados devem ter a possibilidade de ser representados por associações ou outros organismos, se assim o desejarem e a legislação nacional o permitir. A mesma lei deve igualmente reger as disposições em matéria de protecção de dados de qualquer contrato celebrado com um subcontratante ulterior para a subcontratação das actividades de tratamento de dados pessoais transferidos pelo exportador de dados para o importador de dados ao abrigo das cláusulas contratuais.

(23)

Uma vez que a presente decisão só é aplicável à subcontratação por parte de um subcontratante estabelecido num país terceiro dos seus serviços de tratamento de dados a um subcontratante ulterior estabelecido num país terceiro, não deve aplicar-se às situações em que um subcontratante estabelecido na União Europeia que procede ao tratamento de dados pessoais em nome de um responsável pelo tratamento de dados estabelecido na União Europeia subcontrate as suas actividades de tratamento de dados a um subcontratante ulterior estabelecido num país terceiro. Nessas situações, os Estados-Membros são livres de tomar ou não em consideração o facto de os princípios e as garantias das cláusulas contratuais-tipo previstas na presente decisão terem sido utilizados para subcontratar actividades a um subcontratante ulterior estabelecido num país terceiro com o intuito de proporcionar uma protecção adequada dos direitos dos titulares cujos dados pessoais estejam a ser transferidos no âmbito de actividades de subcontratação ulterior.

(24)

O grupo de trabalho sobre a protecção das pessoas no que diz respeito ao tratamento de dados pessoais, instituído nos termos do artigo 29.o da Directiva 95/46/CE, emitiu um parecer sobre o nível de protecção oferecido pelas cláusulas contratuais-tipo anexas à presente decisão, que foi tomado em consideração na sua elaboração.

(25)

A Decisão 2002/16/CE deve ser revogada.

(26)

As medidas previstas na presente decisão são conformes com o parecer do Comité instituído ao abrigo do artigo 31.o da Directiva 95/46/CE,

ADOPTOU A PRESENTE DECISÃO:

Artigo 1.o

Considera-se que as cláusulas contratuais-tipo constantes do anexo oferecem garantias adequadas de protecção da vida privada e dos direitos e liberdades fundamentais das pessoas, assim como do exercício dos respectivos direitos, tal como exigido no artigo 26.o, n.o 2, da Directiva 95/46/CE.

Artigo 2.o

A presente decisão diz apenas respeito à adequação do nível de protecção concedido pelas cláusulas contratuais-tipo estabelecidas no anexo aplicáveis à transferência de dados pessoais para subcontratantes, não afectando a aplicação de outras disposições nacionais de transposição da Directiva 95/46/CE relativas ao tratamento de dados pessoais nos Estados-Membros.

A presente decisão aplica-se à transferência de dados pessoais efectuada por responsáveis pelo tratamento estabelecidos na União Europeia para destinatários estabelecidos fora do território da União Europeia que actuem apenas como subcontratantes.

Artigo 3.o

Para efeitos do disposto na presente decisão, entende-se por:

a)

«Categorias especiais de dados», os dados referidos no artigo 8.o da Directiva 95/46/CE;

b)

«Autoridade de controlo», a autoridade a que se refere o artigo 28.o da Directiva 95/46/CE;

c)

«Exportador de dados», o responsável pelo tratamento que transfere dados pessoais;

d)

«Importador de dados», o subcontratante estabelecido num país terceiro que concorda em receber, do exportador de dados, dados pessoais para serem tratados por conta deste depois da transferência, em conformidade com as suas instruções e nos termos da presente decisão, e que não está sujeito a um sistema de um país terceiro que assegure uma protecção adequada, na acepção do artigo 25.o, n.o 1, da Directiva 95/46/CE;

e)

«Subcontratante ulterior», qualquer subcontratante do importador de dados ou de qualquer outro subcontratante do importador de dados que aceite receber do importador de dados ou de outro seu subcontratante dados pessoais destinados exclusivamente a actividades de tratamento a efectuar em nome do exportador de dados após a transferência, em conformidade com as instruções do exportador de dados, as cláusulas contratuais-tipo previstas no anexo e as condições do contrato escrito de subcontratação;

f)

«Legislação sobre protecção de dados aplicável», a legislação que protege os direitos e as liberdades fundamentais das pessoas e, em especial, o seu direito à protecção da vida privada no que diz respeito ao tratamento dos seus dados pessoais, aplicável a um responsável pelo tratamento dos dados no Estado-Membro em que o exportador de dados está estabelecido;

g)

«Medidas de segurança técnicas e organizativas», as medidas destinadas a proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede, e contra qualquer outra forma de tratamento ilícito.

Artigo 4.o

1.   Sem prejuízo das suas competências para tomar medidas que garantam o cumprimento das disposições nacionais adoptadas por força dos capítulos II, III, V e VI da Directiva 95/46/CE, as autoridades competentes dos Estados-Membros podem exercer as suas competências para proibir ou suspender o fluxo de dados para países terceiros, de forma a proteger as pessoas no que diz respeito ao tratamento dos seus dados pessoais, nos casos em que:

a)

Esteja comprovado que a legislação a que o importador de dados ou um subcontratante ulterior está sujeito lhe impõe requisitos que lhe permitem derrogar à legislação sobre protecção de dados aplicável e que ultrapassam as restrições necessárias numa sociedade democrática, tal como previsto no artigo 13.o da Directiva 95/46/CE, sempre que estes requisitos possam ter um efeito adverso substancial nas garantias fornecidas pela legislação sobre protecção de dados aplicável e pelas cláusulas contratuais-tipo;

b)

Seja determinado, por uma entidade competente, que o importador de dados ou um subcontratante ulterior não respeitou as cláusulas contratuais-tipo constantes do anexo; ou

c)

Existam fortes probabilidades de as cláusulas contratuais-tipo constantes do anexo não estarem a ser ou não virem a ser cumpridas e de a continuação da transferência dos dados poder causar graves prejuízos aos titulares dos dados.

2.   A proibição ou suspensão prevista no n.o 1 é levantada assim que as razões que estiveram na sua origem deixarem de existir.

3.   Quando os Estados-Membros adoptarem medidas em conformidade com os n.os 1 e 2, informarão o mais rapidamente possível a Comissão, a qual, por sua vez, informará os outros Estados-Membros.

Artigo 5.o

A Comissão avalia a aplicação da presente decisão com base nas informações disponíveis três anos após a sua adopção e apresenta um relatório sobre as respectivas conclusões ao Comité instituído pelo artigo 31.o da Directiva 95/46/CE. A Comissão deve incluir qualquer elemento susceptível de afectar a avaliação no que diz respeito à adequação das cláusulas contratuais-tipo contidas no anexo e qualquer elemento comprovativo de que a presente decisão está a ser aplicada de forma discriminatória.

Artigo 6.o

A presente decisão é aplicável a partir de 15 de Maio de 2010.

Artigo 7.o

1.   É revogada a Decisão 2002/16/CE com efeitos a partir de 15 de Maio de 2010.

2.   Qualquer contrato celebrado entre um exportador de dados e um importador de dados nos termos da Decisão 2002/16/CE antes de 15 de Maio de 2010 continua em vigor enquanto as transferências e as actividades de tratamento de dados objecto do contrato permanecerem inalteradas e os dados pessoais abrangidos pela presente decisão continuarem a ser transferidos entre as partes. Sempre que as partes contratantes decidam introduzir alterações a este respeito ou subcontratem as operações de tratamento de dados objecto do contrato, devem celebrar um novo contrato que respeite as cláusulas contratuais-tipo constantes do anexo.

Artigo 8.o

Os Estados-Membros são os destinatários da presente decisão.

Feito em Bruxelas, em 5 de Fevereiro de 2010.

Pela Comissão

Jacques BARROT

Vice-Presidente


(1)  JO L 281 de 23.11.1995, p. 31.

(2)  JO L 6 de 10.1.2002, p. 52.

(3)  SEC(2006) 95 de 20.1.2006.

(4)  A Câmara de Comércio Internacional (CCI), o Conselho Empresarial japonês na Europa (JBCE), o Comité UE da Câmara de Comércio Americana na Bélgica (Amcham) e a Federação das Associações Europeias de Marketing Directo (FEDMA).

(5)  JO L 181 de 4.7.2001, p. 19.


ANEXO

CLÁUSULAS CONTRATUAIS-TIPO (SUBCONTRATANTES)

Para efeitos do artigo 26.o, n.o 2, da Directiva 95/46/CE, aplicáveis à transferência de dados pessoais para subcontratantes estabelecidos em países terceiros que não assegurem um nível adequado de protecção de dados.

Nome da organização exportadora de dados: …

Endereço: …

Telefone: …; fax: …; e-mail: …

Outras informações necessárias para identificar a organização

(o exportador de dados)

E

Nome da organização importadora de dados: …

Endereço: …

Telefone: …; fax: …; e-mail: …

Outras informações necessárias para identificar a organização

(o importador de dados)

a seguir denominadas individualmente «parte» e colectivamente «partes»,

ACORDARAM as seguintes cláusulas contratuais (a seguir denominadas «cláusulas»), de modo a apresentarem garantias adequadas relativas à protecção da vida privada e dos direitos e liberdades fundamentais das pessoas para a transferência, pelo exportador de dados para o importador, dos dados pessoais especificados no apêndice 1.

Cláusula 1

Definições

Para efeitos das presentes cláusulas:

a)

«Dados pessoais», «categorias especiais de dados», «tratamento», «responsável pelo tratamento», «subcontratante», «titular dos dados» e «autoridade de controlo» têm o mesmo significado que na Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (1);

b)

«Exportador de dados» é o responsável pelo tratamento que transfere os dados pessoais;

c)

«Importador de dados» é o subcontratante que concorda em receber, do exportador de dados, dados pessoais para serem tratados por conta deste depois da transferência, em conformidade com as suas instruções e nos termos das cláusulas e que não está sujeito a um sistema de um país terceiro que assegure uma protecção adequada na acepção do artigo 25.o, n.o 1, da Directiva 95/46/CE;

d)

«Subcontratante ulterior» é qualquer subcontratante do importador de dados ou de qualquer outro subcontratante do importador de dados que aceite receber do importador de dados ou de qualquer outro seu subcontratante dados pessoais destinados exclusivamente a actividades de tratamento a realizar por conta do exportador de dados após a transferência, em conformidade com as suas instruções, as condições previstas nas cláusulas e as condições do subcontrato escrito;

e)

«Legislação sobre protecção de dados aplicável» é a legislação que protege os direitos e as liberdades fundamentais das pessoas e, em especial, o seu direito à protecção da vida privada no que diz respeito ao tratamento dos seus dados pessoais, aplicável a um responsável pelo tratamento dos dados no Estado-Membro em que o exportador de dados está estabelecido;

f)

«Medidas de segurança técnicas e organizativas» são as medidas destinadas a proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede, e contra qualquer outra forma de tratamento ilícito.

Cláusula 2

Pormenores da transferência

Os pormenores da transferência e em especial as categorias especiais de dados pessoais, quando aplicável, são especificados no apêndice 1, que faz parte integrante das presentes cláusulas.

Cláusula 3

Cláusula do terceiro beneficiário

1.

O titular dos dados pode fazer aplicar contra o exportador de dados a presente cláusula, a cláusula 4, alíneas b) a i), a cláusula 5, alíneas a) a e) e g) a j), a cláusula 6, n.os 1 e 2, a cláusula 7, a cláusula 8, n.o 2, e as cláusulas 9 a 12, na qualidade de terceiro beneficiário.

2.

O titular dos dados pode fazer aplicar, contra o importador de dados a presente cláusula, a cláusula 5, alíneas a) a e) e g), as cláusulas 6 e 7, a cláusula 8, n.o 2, e as cláusulas 9 a 12, em caso de desaparecimento de facto ou de extinção legal do exportador de dados, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador de dados mediante contrato ou por força da lei, e consequentemente assuma os direitos e obrigações do exportador de dados, podendo nesse caso o titular dos dados invocá-los contra tal entidade.

3.

O titular dos dados pode fazer aplicar, contra o subcontratante ulterior a presente cláusula, a cláusula 5, alíneas a) a e) e g), as cláusulas 6 e 7, a cláusula 8, n.o 2, e as cláusulas 9 a 12, em caso de desaparecimento de facto ou de extinção legal do exportador e do importador de dados, ou se estes se tornaram insolventes, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador de dados mediante contrato ou por força da lei, e consequentemente assuma os direitos e obrigações do exportador de dados, podendo nesse caso o titular dos dados invocá-los contra tal entidade. Esta responsabilidade civil do subcontratante ulterior é limitada às suas próprias actividades de tratamento de dados ao abrigo das presentes cláusulas.

4.

As partes não se opõem a que o titular dos dados seja representado por uma associação ou outro organismo se, expressamente, assim o desejar e a legislação nacional o permitir.

Cláusula 4

Obrigações do exportador de dados

O exportador de dados acorda e garante:

a)

Que o tratamento dos dados pessoais, incluindo a própria transferência, foi e continuará a ser feito de acordo com as disposições pertinentes da legislação sobre protecção de dados aplicável (e que, se aplicável, foi notificada às entidades competentes do Estado-Membro em que o exportador de dados está estabelecido) e que não viola as disposições pertinentes desse Estado;

b)

Que deu e continuará a dar instruções ao importador de dados durante os serviços de tratamento de dados pessoais para tratar os dados pessoais transferidos apenas por conta do exportador de dados e em conformidade com a legislação sobre protecção de dados aplicável e com as cláusulas;

c)

Que o importador de dados oferecerá garantias suficientes em relação às medidas de segurança técnicas e organizativas especificadas no Apêndice 2 do presente contrato;

d)

Que, depois de avaliar os requisitos da legislação sobre protecção de dados aplicável, as medidas de segurança são adequadas para proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a divulgação ou o acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede, e contra qualquer outra forma de tratamento ilícito e que estas medidas asseguram um nível de segurança adequado em relação aos riscos que o tratamento representa e à natureza dos dados a proteger, atendendo aos conhecimentos técnicos disponíveis e aos custos resultantes da sua aplicação;

e)

Que zelará pelo cumprimento das medidas de segurança;

f)

Que, se a transferência envolver categorias especiais de dados, o titular dos dados foi informado ou será informado antes ou o mais depressa possível após a transferência, de que os seus dados poderão ser transmitidos para um país terceiro que não garante um nível de protecção adequado na acepção da Directiva 95/46/CE;

g)

Que enviará qualquer notificação recebida do importador de dados ou de qualquer subcontratante ulterior à autoridade de controlo responsável pela protecção dos dados, nos termos da cláusula 5, alínea b), e da cláusula 8, n.o 3, se decidir continuar a transferência ou levantar a suspensão;

h)

Que disponibilizará aos titulares dos dados, mediante pedido, um exemplar das cláusulas, com excepção do Apêndice 2, e uma descrição sumária das medidas de segurança, bem como um exemplar de qualquer contrato de serviços de subcontratação ulterior que tenha de ser celebrado em conformidade com as cláusulas, a menos que estas ou o contrato contenham informações comerciais, caso em que poderá suprimir essas informações;

i)

Que, em caso de subcontratação ulterior, a actividade de tratamento é realizada em conformidade com a cláusula 11 por um subcontratante que assegure pelo menos o mesmo nível de protecção dos dados pessoais e dos direitos dos titulares dos dados que o importador de dados em conformidade com as cláusulas; e

j)

Que zelará pelo cumprimento da cláusula 4, alíneas a) a i).

Cláusula 5

Obrigações do importador de dados  (2)

O importador de dados acorda e garante:

a)

Que tratará os dados pessoais apenas por conta do exportador de dados e em conformidade com as suas instruções e as cláusulas; no caso de não poder cumprir estas obrigações por qualquer razão, concorda em informar imediatamente o exportador de dados desse facto, tendo neste caso o exportador de dados o direito de suspender a transferência de dados e/ou de rescindir o contrato;

b)

Que não tem qualquer razão para crer que a legislação que lhe é aplicável o impede de respeitar as instruções recebidas do exportador de dados e as obrigações que lhe incumbem por força do contrato e que, no caso de haver uma alteração nesta legislação que possa ter um efeito adverso substancial nas garantias e obrigações conferidas pelas cláusulas, notificará imediatamente essa alteração ao exportador de dados, logo que dela tiver conhecimento, tendo neste caso o exportador de dados o direito de suspender a transferência de dados e/ou de rescindir o contrato;

c)

Que aplicou as medidas de segurança técnicas e organizativas previstas no Apêndice 2 antes de tratar os dados pessoais transferidos;

d)

Que notificará imediatamente o exportador de dados no que respeita a:

i)

qualquer pedido juridicamente vinculativo de divulgação dos dados pessoais por parte de uma autoridade competente para a aplicação da lei, a não ser que exista uma proibição em contrário, como uma proibição prevista no direito penal para preservar a confidencialidade de uma investigação policial;

ii)

qualquer acesso acidental ou não autorizado; e

iii)

qualquer pedido recebido directamente dos titulares de dados, sem responder a esse pedido, a não ser que tenha sido autorizado a fazê-lo;

e)

Que responderá rápida e adequadamente a todos os pedidos de informação do exportador de dados relacionados com o tratamento por si efectuado dos dados pessoais objecto da transferência e que se submeterá aos conselhos da autoridade de controlo relativamente ao tratamento dos dados transferidos;

f)

Que, a pedido do exportador de dados, apresentará os seus meios de tratamento de dados para auditoria das actividades de tratamento abrangidas pelas cláusulas, que será efectuada pelo exportador de dados ou por um organismo de inspecção, composto por membros independentes que possuam as qualificações profissionais exigidas e estejam vinculados por um dever de confidencialidade, escolhido pelo exportador de dados e, se necessário, de acordo com a autoridade de controlo;

g)

Que porá à disposição do titular dos dados, mediante pedido, um exemplar das cláusulas ou de qualquer contrato existente de subcontratação ulterior, a menos que as cláusulas ou o contrato contenham informações comerciais, caso em que poderá suprimir as informações comerciais, com excepção do Apêndice 2, que é substituído por uma descrição sumária das medidas de segurança, no caso de o titular dos dados não poder obter um exemplar do exportador de dados;

h)

Que, em caso de subcontratação ulterior, informou previamente o exportador de dados e obteve o seu consentimento escrito prévio;

i)

Que os serviços de tratamento de dados efectuados pelo subcontratante ulterior serão prestados em conformidade com a cláusula 11;

j)

Que envia rapidamente ao exportador de dados uma cópia de qualquer acordo de subcontratação ulterior que celebrar ao abrigo das cláusulas.

Cláusula 6

Responsabilidade

1.

As partes acordam que qualquer titular dos dados que tenha sofrido danos resultantes de qualquer incumprimento das obrigações referidas nas cláusulas 3 ou 11 por qualquer parte ou subcontratante ulterior tem o direito de obter reparação do exportador de dados pelos danos sofridos.

2.

Se o titular dos dados não puder intentar uma acção de reparação em conformidade com o n.o 1 contra o exportador de dados, por incumprimento pelo importador de dados ou o seu subcontratante de quaisquer das suas obrigações referidas nas cláusulas 3 e 11, devido ao desaparecimento de facto ou extinção legal ou à insolvência do exportador de dados, o importador de dados aceita que o titular dos dados lhe possa intentar uma acção como se fosse o exportador de dados, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador de dados, mediante contrato ou por força da lei, caso em que o titular dos dados pode invocar os seus direitos contra essa entidade.

O importador de dados não pode invocar o incumprimento por um subcontratante ulterior das suas obrigações para se eximir às suas próprias responsabilidades.

3.

Se o titular dos dados não puder intentar a acção referida nos n.os 1 e 2 contra o exportador ou o importador de dados, por incumprimento pelo subcontratante ulterior de quaisquer das suas obrigações referidas nas cláusulas 3 ou 11, devido ao desaparecimento de facto ou extinção legal ou à insolvência do exportador e do importador de dados, o subcontratante ulterior aceita que o titular dos dados lhe possa intentar uma acção relativamente às suas próprias actividades de tratamento de dados ao abrigo das cláusulas, como se fosse o exportador ou o importador de dados, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador ou do importador de dados, mediante contrato ou por força da lei, caso em que o titular dos dados pode invocar os seus direitos contra essa entidade. A responsabilidade do subcontratante ulterior é limitada às suas próprias actividades de tratamento de dados ao abrigo das cláusulas.

Cláusula 7

Mediação e jurisdição

1.

O importador de dados acorda que se o titular dos dados invocar contra ele os direitos de terceiro beneficiário e/ou exigir uma indemnização por perdas e danos ao abrigo das cláusulas, aceita a decisão do titular dos dados de:

a)

Submeter o litígio a mediação de uma pessoa independente ou, quando aplicável, da autoridade de controlo;

b)

Submeter o litígio aos tribunais do Estado-Membro em que o exportador de dados está estabelecido.

2.

As partes acordam que a opção do titular dos dados não prejudicará os direitos materiais ou processuais do mesmo de obter reparação em conformidade com outras disposições do direito nacional ou internacional.

Cláusula 8

Cooperação com as autoridades de controlo

1.

O exportador de dados acorda depositar um exemplar do presente contrato junto da autoridade de controlo se esta o solicitar ou se a legislação sobre protecção de dados aplicável assim o exigir.

2.

As partes acordam que a autoridade de controlo tem o direito de realizar auditorias ao importador de dados ou a qualquer subcontratante ulterior com o mesmo âmbito e nas mesmas condições das auditorias efectuadas ao exportador de dados, em conformidade com a legislação sobre protecção de dados aplicável.

3.

O importador de dados notifica imediatamente o exportador de dados da existência de legislação que lhe é aplicável ou a qualquer subcontratante ulterior e que impede a realização de uma auditoria ao importador de dados ou a qualquer subcontratante ulterior, nos termos do n.o 2. Nesse caso, o exportador de dados tem o direito de adoptar as medidas previstas na cláusula 5, alínea b).

Cláusula 9

Direito aplicável

As cláusulas são regidas pelo direito do Estado-Membro onde o exportador de dados está estabelecido, a saber, …

Cláusula 10

Alteração do contrato

As partes comprometem-se a não alterar as cláusulas. Tal não impede que as partes aditem cláusulas de carácter comercial sempre que necessário, desde que as mesmas não contrariem a cláusula.

Cláusula 11

Subcontratação ulterior

1.

O importador de dados não subcontrata nenhuma das suas actividades de tratamento executadas por conta do exportador de dados ao abrigo das cláusulas sem o consentimento escrito prévio deste. Sempre que o importador de dados subcontratar as suas obrigações ao abrigo das presentes cláusulas, com o consentimento do exportador de dados, fá-lo apenas mediante acordo escrito com o subcontratante ulterior que imponha a este último as mesmas obrigações do importador de dados ao abrigo das cláusulas (3). Em caso de incumprimento pelo subcontratante ulterior das obrigações em matéria de protecção de dados que lhe incumbem nos termos do referido acordo escrito, o importador de dados continua a ser plenamente responsável perante o exportador de dados pelo cumprimento destas obrigações ao abrigo do referido acordo.

2.

O contrato escrito prévio entre o importador de dados e o subcontratante ulterior deve prever igualmente uma cláusula do terceiro beneficiário, tal como previsto na cláusula 3, para os casos em que o titular dos dados não puder intentar a acção de reparação referida na cláusula 6, n.o 1, contra o exportador ou o importador de dados por estes terem desaparecido de facto ou terem sido extintos legalmente ou por se terem tornado insolventes e nenhuma entidade sucessora ter assumido a totalidade das obrigações do exportador ou do importador de dados, mediante contrato ou por força da lei. Esta responsabilidade civil do subcontratante ulterior é limitada às suas próprias actividades de tratamento de dados ao abrigo das presentes cláusulas.

3.

As disposições relativas aos aspectos ligados à protecção de dados no que se refere à subcontratação ulterior referida no n.o 1 são regidas pelo direito do Estado-Membro onde o exportador de dados está estabelecido, a saber, …

4.

O exportador de dados mantém uma lista dos acordos de subcontratação ulterior celebrados ao abrigo das cláusulas e notificados pelo importador de dados em conformidade com a cláusula 5, alínea j), que será actualizada pelo menos uma vez por ano. Esta lista é colocada à disposição da autoridade de controlo da protecção de dados do exportador de dados.

Cláusula 12

Obrigação depois de terminados os serviços de tratamento de dados pessoais

1.

As partes acordam que, após terminada a prestação de serviços de tratamento de dados, o importador de dados e o seu subcontratante, conforme preferência do exportador de dados, devolverão todos os dados pessoais transferidos e as suas cópias ao exportador de dados ou destruirão todos os dados pessoais e certificarão ao exportador de dados que o fizeram, excepto se a legislação imposta ao importador de dados o impedir de devolver ou destruir a totalidade ou parte dos dados pessoais transferidos. Nesse caso, o importador de dados garante a confidencialidade dos dados pessoais transferidos e não volta a tratar activamente os dados pessoais transferidos.

2.

O importador de dados e o seu subcontratante garantem que, a pedido do exportador de dados e/ou da autoridade de controlo, submeterão os seus meios de tratamento de dados a uma auditoria das medidas referidas no n.o 1.

Em nome do exportador de dados:

Nome completo: …

Cargo: …

Endereço: …

Outras informações necessárias para que o contrato seja vinculativo (se for caso disso):

Image

Assinatura …

Em nome do importador de dados:

Nome completo: …

Cargo: …

Endereço: …

Outras informações necessárias para que o contrato seja vinculativo (se for caso disso):

Image

Assinatura …


(1)  As partes podem reproduzir as definições e significados da Directiva 95/46/CE no âmbito desta cláusula, se considerarem preferível, para que o contrato seja autónomo.

(2)  Os requisitos obrigatórios da legislação nacional aplicáveis ao importador de dados que não excedam o necessário numa sociedade democrática, com base num dos interesses enunciados no artigo 13.o, n.o 1, da Directiva 95/46/CE, ou seja, se constituírem uma medida necessária à protecção da segurança e da defesa do Estado, da segurança pública, da prevenção, investigação, detecção e repressão de infracções penais, ou de violações da deontologia das profissões regulamentadas, de um importante interesse económico ou financeiro do Estado, ou da protecção do titular dos dados ou dos direitos e liberdades de outrem, não são contrários ao disposto nas cláusulas contratuais-tipo. Constituem exemplos de requisitos obrigatórios que não excedem o necessário numa sociedade democrática, nomeadamente, as sanções reconhecidas internacionalmente, as obrigações de comunicação em matéria fiscal ou de comunicação no âmbito do combate ao branqueamento de capitais.

(3)  Este requisito pode ser satisfeito pelo subcontratante ulterior co-assinando o contrato celebrado entre o exportador de dados e o importador de dados ao abrigo da presente decisão.

Apêndice 1

Das cláusulas contratuais-tipo

O presente apêndice faz parte integrante das cláusulas e tem de ser preenchido e assinado pelas partes

Os Estados-Membros podem completar ou especificar, de acordo com os procedimentos nacionais, qualquer informação adicional necessária a incluir no presente apêndice.

Exportador de dados

O exportador de dados é (descrever resumidamente as actividades pertinentes para a transferência):

Importador de dados

O importador de dados é (descrever resumidamente as actividades pertinentes para a transferência):

Titulares dos dados

Os dados pessoais transferidos dizem respeito às seguintes categorias de titulares de dados (especificar):

Categorias de dados

Os dados pessoais transferidos dizem respeito às seguintes categorias de dados (especificar):

Categorias especiais de dados (se for caso disso)

Os dados pessoais transferidos dizem respeito às seguintes categorias especiais de dados (especificar):

Tratamento de dados

Os dados pessoais transferidos serão sujeitos às seguintes actividades básicas de tratamento (especificar):

 

EXPORTADOR DE DADOS

Nome: …

Assinatura autorizada …

 

IMPORTADOR DE DADOS

Nome: …

Assinatura autorizada …

Apêndice 2

das cláusulas contratuais-tipo

O presente apêndice faz parte integrante das cláusulas e tem de ser preenchido e assinado pelas partes

Descrição das medidas de segurança técnicas e organizativas aplicadas pelo importador de dados em conformidade com a cláusula 4, alínea d), e a cláusula 5, alínea c) (ou documento/legislação em anexo):

EXEMPLO DE CLÁUSULA DE INDEMNIZAÇÃO (FACULTATIVA)

Responsabilidade

As partes acordam que, se uma delas for considerada responsável por qualquer violação das cláusulas cometida pela outra parte, esta última, na medida em que for responsável, indemnizará a primeira parte por quaisquer custos, encargos, prejuízos, despesas ou perdas que tenha sofrido.

A indemnização está subordinada ao seguinte:

a)

O exportador de dados notifica imediatamente o pedido ao importador de dados; e

b)

É dada ao importador de dados a possibilidade de cooperar com o exportador de dados na defesa e regularização do pedido (1).


(1)  O número relativo à responsabilidade é facultativo.


Top