|
13/Volumul 31 |
RO |
Jurnalul Ofícial al Uniunii Europene |
70 |
32001D0497
|
L 181/19 |
JURNALUL OFÍCIAL AL UNIUNII EUROPENE |
DECIZIA COMISIEI
din 15 iunie 2001
privind clauzele contractuale standard pentru transferul de date cu caracter personal către țările terțe în temeiul Directivei 95/46/CE
[notificată cu numărul C(2001) 1539]
(Text cu relevanță pentru SEE)
(2001/497/CE)
COMISIA COMUNITĂȚILOR EUROPENE,
având în vedere Tratatul de instituire al Comunității Europene,
având în vedere Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (1), în special articolul 26 alineatul (4),
întrucât:
|
(1) |
În temeiul Directivei 95/46/CE, statele membre sunt obligate să vegheze ca transferul de date cu caracter personal către o țară terță să nu poată avea loc decât dacă țara terță în cauză asigură un nivel adecvat de protecție a datelor și dacă legislațiile statelor membre, care sunt conforme celorlalte dispoziții ale directivei, sunt respectate înainte de transfer. |
|
(2) |
Cu toate acestea, articolul 26 alineatul (2) din Directiva 95/46/CE prevede că statele membre pot autoriza, sub rezerva anumitor garanții, transferul sau o serie de transferuri de date cu caracter personal către țări terțe care nu asigură un nivel de protecție adecvat. Aceste garanții trebuie să rezulte mai ales din clauze contractuale corespunzătoare. |
|
(3) |
Conform Directivei 95/46/CE, nivelul de protecție a datelor trebuie evaluat ținând seama de toate circumstanțele referitoare la un transfer sau o categorie de transferuri. Grupul de protecție a persoanelor în ceea ce privește prelucrarea datelor cu caracter personal instituit în temeiul directivei menționate anterior (2) a publicat orientări pentru a facilita evaluarea (3). |
|
(4) |
Articolul 26 alineatul (2) din Directiva 95/46/CE, care asigură flexibilitate unei organizații care dorește să transfere date către țări terțe, precum și articolul 26 alineatul (4), care prevede clauzele contractuale standard, sunt esențiale pentru asigurarea fluxului necesar de date cu caracter personal între Comunitate și țările terțe fără să impună sarcini inutile agenților economici. Articolele menționate sunt importante în special pentru faptul că mecanismele care să ateste nivelul adecvat de protecție a datelor nu vor fi probabil adoptate de Comisie, conform articolului 25 alineatul (6), decât pentru un număr limitat de țări pe termen scurt sau chiar pe termen mediu. |
|
(5) |
Clauzele contractuale standard nu constituie decât una dintre diversele posibilități prevăzute de Directiva 95/46/CE pentru transferul legal al datelor cu caracter personal coroborat cu articolul 25 și articolul 26 alineatele (1) și (2). Prin includerea în contract a acestor clauze contractuale, organizațiile vor putea transfera mult mai ușor datele cu caracter personal către țări terțe. Clauzele contractuale standard nu privesc decât protecția datelor, iar exportatorul și importatorul sunt liberi să includă și alte clauze cu caracter comercial, cum ar fi clauze de asistență reciprocă în caz de litigii cu o persoană vizată sau cu o autoritate de supraveghere, pe care ei le consideră ca fiind relevante pentru contract atât timp cât ele nu contrazic clauzele contractuale standard. |
|
(6) |
Prezenta decizie nu trebuie să aducă atingere autorizațiilor naționale pe care statele membre le pot acorda în conformitate cu dispozițiile de drept intern de aplicare a articolului 26 alineatul (2) din Directiva 95/46/CE. Circumstanțele transferurilor specifice îi pot determina pe operatori să prevadă garanții diferite în sensul articolului 26 alineatul (2). În orice caz, prezenta decizie are unicul efect de a obliga statele membre să nu refuze recunoașterea faptului că clauzele contractuale descrise în decizie oferă garanții adecvate și, prin urmare, aceasta nu are nici un efect asupra altor clauze contractuale. |
|
(7) |
Domeniul de aplicare al prezentei decizii se limitează la a constata că clauzele prevăzute în anexă pot fi folosite de un operator stabilit în Comunitate pentru a oferi garanții suficiente în sensul articolului 26 alineatul (2) din Directiva 95/46/CE. Transferul de date cu caracter personal către țări terțe constituie o operațiune de prelucrare într-un stat membru, a cărei legalitate este reglementată de legislația internă. În exercitarea funcțiilor și competențelor conferite prin articolul 28 din Directiva 95/46/CE, autoritățile de supraveghere ale statelor membre au competența de a evalua dacă exportatorul de date a respectat legislația internă punând în aplicare dispozițiile Directivei 95/46/CE și, în special, orice normă specială referitoare la obligația de a furniza informații în temeiul directivei. |
|
(8) |
Prezenta decizie nu reglementează transferul de date cu caracter personal efectuat de operatori stabiliți în Comunitate către destinatari stabiliți în afara teritoriului Comunității care acționează doar în calitate de persoane împuternicite de către operator. Aceste transferuri nu necesită aceleași garanții pentru că persoana împuternicită acționează exclusiv pe seama operatorului. Comisia estimează că este necesar să abordeze acest transfer într-o decizie ulterioară. |
|
(9) |
Este oportun să se stabilească datele minime pe care părțile trebuie să le prevadă în contractul cu privire la transfer. Statele membre trebuie să-și mențină capacitatea de a specifica informațiile pe care trebuie să le furnizeze părțile. Aplicarea prezentei decizii va fi reexaminată în lumina experienței dobândite. |
|
(10) |
Comisia va constata în viitor dacă clauzele contractuale standard prezentate de organizațiile comerciale sau de alte părți vizate oferă suficiente garanții în conformitate cu articolul 26 alineatul (2) din Directiva 95/46/CE. |
|
(11) |
În timp ce părțile trebuie să aibă libertatea de a conveni asupra normelor de protecție a datelor de fond pe care trebuie să le respecte importatorul de date, anumite principii de protecție a datelor trebuie să se aplice în orice situație. |
|
(12) |
Datele nu trebuie să fie prelucrate și utilizate ulterior sau comunicate altora decât în scopuri determinate și nu trebuie păstrate mai mult decât este necesar. |
|
(13) |
În conformitate cu articolul 12 din Directiva 95/46/CE, persoana în cauză trebuie să aibă dreptul de acces la toate datele care o privesc și, dacă este cazul, dreptul de rectificare, de ștergere sau de opoziție în ceea ce privește prelucrarea anumitor date. |
|
(14) |
Alte transferuri de date cu caracter personal către un alt operator stabilit într-o țară terță nu trebuie permise decât în anumite condiții, în special pentru a se garanta că persoanele vizate primesc informații corecte și au posibilitatea de a se opune sau în anumite cazuri de a-și retrage consimțământul. |
|
(15) |
Pe lângă evaluarea conformității transferurilor către țări terțe cu legislația internă, autoritățile de supraveghere trebuie să joace, de asemenea, un rol cheie în acest mecanism contractual garantând protecția adecvată a datelor cu caracter personal după transfer. În circumstanțe speciale, autoritățile de supraveghere ale statelor membre trebuie să-și mențină capacitatea de a interzice sau suspenda un transfer de date sau o serie de transferuri întemeiate pe clauze contractuale standard în cazuri excepționale sau dacă se stabilește că un transfer întemeiat pe condiții contractuale riscă să modifice considerabil garanțiile care oferă un nivel de protecție adecvat persoanei în cauză. |
|
(16) |
Clauzele contractuale standard trebuie să fie executorii, nu numai de către organizațiile care sunt părți la contract, ci și de persoanele în cauză, în special atunci când acestea suferă un prejudiciu ca urmare a nerespectării contractului. |
|
(17) |
Dreptul care guvernează contractul trebuie să fie dreptul statului membru în care exportatorul de date este stabilit, care autorizează un terț beneficiar să execute un contract. Persoanele vizate trebuie să poată fi reprezentate de către asociații sau alte organisme, dacă doresc și dacă faptul este autorizat de legislația internă. |
|
(18) |
Pentru a reduce dificultățile de ordin practic cu care persoanele vizate s-ar putea confrunta atunci când încearcă să-și pună în aplicare drepturile lor în temeiul clauzelor contractuale standard, exportatorul și importatorul de date trebuie să răspundă solidar pentru prejudiciile care rezultă din încălcarea dispozițiilor care fac obiectul clauzei terțului beneficiar. |
|
(19) |
Persoana vizată are dreptul de a introduce o acțiune și de a obține reparații de la exportatorul de date, importatorul de date sau de la ambii pentru orice prejudiciu care rezultă din orice acțiune incompatibilă cu obligațiile prevăzute de clauzele contractuale standard. Cele două părți pot fi exonerate de această răspundere dacă dovedesc că nici una dintre ele nu a fost răspunzătoare. |
|
(20) |
Răspunderea solidară nu se întinde asupra dispozițiilor nereglementate de clauza terțului beneficiar și nu poate face o parte răspunzătoare de prelucrarea ilegală efectuată de cealaltă parte. Deși despăgubirea reciprocă între părți nu este obligatorie pentru garantarea nivelului adecvat de protecție a persoanelor vizate și pentru ca această dispoziție să poată fi prin urmare eliminată, aceasta este inclusă în clauzele contractuale standard în interesul clarificării și pentru a evita ca părțile să fie nevoite să negocieze clauzele de despăgubire separat. |
|
(21) |
Dacă un litigiu între părți și persoana vizată nu este rezolvat pe cale amiabilă și dacă persoana vizată invocă clauza terțului beneficiar, părțile convin să propună persoanei vizate posibilitatea de a alege între mediere, arbitraj sau proces. Persoana vizată va avea posibilitatea efectivă de a alege în măsura în care va putea dispune de sisteme de mediere și de arbitraj de încredere și recunoscute. Medierea de către autoritățile de supraveghere ale unui stat membru trebuie să fie o opțiune atunci când furnizează un astfel de serviciu. |
|
(22) |
Grupul de protecție a persoanelor în ceea ce privește prelucrarea datelor cu caracter personal, instituit în temeiul articolului 29 din Directiva 95/46/CE a emis un aviz cu privire la nivelul de protecție prevăzut în clauzele contractuale standard anexate la prezenta decizie. Acest aviz a fost luat în considerare la pregătirea prezentei decizii (4). |
|
(23) |
Măsurile prevăzute în prezenta decizie sunt în conformitate cu avizul comitetului instituit în temeiul articolului 31 din Directiva 95/46/CE, |
ADOPTĂ PREZENTA DECIZIE:
Articolul 1
Clauzele contractuale standard prevăzute în anexă sunt considerate ca oferind garanții suficiente în materie de protecție a vieții private și a drepturilor fundamentale și libertăților persoanelor și în ceea ce privește exercitarea drepturilor conexe în temeiul articolului 26 alineatul (2) din Directiva 9/46/CE.
Articolul 2
Prezenta decizie privește exclusiv caracterul adecvat al protecției furnizate de clauzele contractuale standard pentru transferul datelor cu caracter personal cuprinse în anexă. Aceasta nu aduce atingere aplicării altor dispoziții de drept intern de punere în aplicare a Directivei 95/46/CE care se referă la prelucrarea datelor cu caracter personal în statele membre.
Prezenta decizie nu se aplică transferului de date cu caracter personal de către operatori stabiliți în Comunitate către destinatari stabiliți în afara Comunității care acționează doar ca persoane împuternicite de către operatori.
Articolul 3
În sensul prezentei decizii:
|
(a) |
se aplică definițiile din Directiva 95/46/CE; |
|
(b) |
„categorii speciale de date” înseamnă datele prevăzute la articolul 8 din directiva menționată; |
|
(c) |
„autorități de supraveghere” înseamnă autoritățile prevăzute la articolul 28 din directiva menționată; |
|
(d) |
„exportator de date” înseamnă operatorul care transferă datele cu caracter personal; |
|
(e) |
„importator de date” înseamnă operatorul care acceptă să primească date cu caracter personal de la exportatorul de date în vederea prelucrării lor ulterioare în conformitate cu condițiile din prezenta decizie. |
Articolul 4
(1) Fără a aduce atingere competențelor lor de a lua măsuri pentru a asigura respectarea dispozițiilor de drept intern adoptate în conformitate cu capitolele II, III, V și VI din Directiva 95/46/CE, autoritățile competente din statele membre își pot exercita competențele de care dispun pentru a interzice sau suspenda fluxurile de date către țările terțe pentru a proteja persoanele în ceea ce privește prelucrarea datelor cu caracter personal în cazurile în care:
|
(a) |
s-a stabilit că legislația căreia i se supune importatorul de date îl obligă pe acesta să deroge de la normele relevante de protecție a datelor care depășesc restricțiile necesare într-o societate democratică, așa cum prevede articolul 13 din Directiva 95/46/CE, atunci când aceste obligații riscă să modifice considerabil garanțiile oferite de clauzele contractuale standard sau |
|
(b) |
o autoritate competentă a stabilit că importatorul de date nu a respectat clauzele contractuale sau |
|
(c) |
există o probabilitate mare că clauzele contractuale standard din anexă nu sunt sau nu vor fi respectate și că transferarea în continuare ar comporta un risc iminent de prejudicii grave aduse persoanelor vizate. |
(2) Interzicerea sau suspendarea, conform alineatului (1), încetează odată cu motivele care au impus-o.
(3) Atunci când statele membre adoptă măsuri în conformitate cu alineatele (1) și (2), trebuie să informeze de îndată Comisia, care transmite informația altor state membre.
Articolul 5
Comisia evaluează aplicarea prezentei decizii pe baza informațiilor disponibile la trei ani după notificarea ei către statele membre. Aceasta prezintă un raport cu privire la constatările făcute comitetului instituit în temeiul articolului 31 din Directiva 95/46/CE. Raportul cuprinde orice element care poate influența evaluarea privind caracterul adecvat al clauzelor contractuale standard din anexă și orice element care demonstrează că prezenta decizie se aplică în mod discriminator.
Articolul 6
Prezenta decizie se aplică de la 3 septembrie 2001.
Articolul 7
Prezenta decizie se adresează statelor membre.
Adoptată la Bruxelles, la 15 iunie 2001.
Pentru Comisie
Frederik BOLKESTEIN
Membru al Comisiei
(1) JO L 281, 23.11.1995, p. 31.
(2) Adresa de Internet a grupului de lucru este:
http://www.europa.eu.intlcomm/internal_market/en/medial/dataprot/wpdocs/index.htm.
(3) WP 4 (5020/97) „Primele orientări cu privire la transferurile de date cu caracter personal către țări terțe – Metode posibile de evaluare a caracterului adecvat al protecției”, un document de dezbatere adoptat de grupul de lucru la 26 iunie 1997.
WP 7 (5057/97) „Evaluarea codurilor de autoreglementare sectoriale: când se poate spune că vor contribui în mod util la protecția datelor într-o țară terță?”, document de lucru: adoptat de grupul de lucru la 14 ianuarie 1998.
WP 9 (3005/98) „Perspective preliminare privind recurgerea la dispoziții contractuale în cadrul transferurilor de date cu caracter personal către țări terțe”, document de lucru: adoptat de grupul de lucru la 22 aprilie 1998.
WP 12: „Transferuri de date cu caracter personal către țări terțe: aplicarea articolelor 25 și 26 din directiva referitoare la protecția datelor”, document de lucru adoptat de grupul de lucru la 24 iulie 1998 și disponibil pe site-ul Internet al Comisiei la adresa „europa.eu.int/comm/internal_market/en/media.dataprot/wpdocs/wp12/en”.
(4) Avizul nr. 1 din 2001 adoptat de grupul de lucru la 26 ianuarie 2001 (DG MARKT 5102/00 WP 38) disponibil pe site-ul de Internet „Europa” al Comisiei Europene.
ANEXĂ
Apendicele 1
la clauzele contractuale standard
Apendicele 2
la clauzele contractuale standard
Principiile obligatorii de protecție a datelor prevăzute în clauza 5 litera (b) primul paragraf
Prezentele principii trebuie citite și interpretate în temeiul dispozițiilor (principiile și excepțiile relevante) Directivei 95/46/CE.
Principiile se aplică sub rezerva cerințelor imperative ale legislației interne aplicabile importatorului de date care nu depășesc ceea ce este necesar într-o societate democratică pe baza unuia dintre interesele prezentate în articolul 13 alineatul (1) din Directiva 95/46/CE, adică dacă constituie o măsură necesară salvgardării siguranței naționale, apărării, securității publice, prevenirii, cercetării, identificării și urmăririi în justiție a infracțiunilor sau a încălcării deontologiei în cazul profesiilor reglementate, unui interes economic sau financiar al statului sau protecției persoanei vizate sau drepturilor și libertăților celorlalți.
|
1. |
Limitarea scopului: datele trebuie prelucrate și folosite sau comunicate ulterior doar în scopurile specificate în apendicele 1 la prezentele clauze. Datele nu trebuie păstrate mai mult decât este necesar în scopurile pentru care sunt transferate. |
|
2. |
Calitatea și proporționalitatea datelor: datele trebuie să fie exacte și, dacă este cazul, actualizate. Datele trebuie să fie adecvate, relevante și neexcesive în raport cu scopul în care au fost transferate și prelucrate ulterior. |
|
3. |
Transparență: persoanele vizate trebuie să primească informații cu privire la scopurile prelucrării și identitatea operatorului din țara terță, precum și alte informații în măsura în care acestea sunt necesare pentru asigurarea unei prelucrări corecte, dacă astfel de date nu au fost deja furnizate de către exportatorul de date. |
|
4. |
Securitatea și confidențialitatea: operatorul trebuie să adopte măsuri tehnice și organizatorice de securitate corespunzătoare în ceea ce privește riscurile pe care le prezintă prelucrarea, cum ar fi accesul neautorizat. Orice persoană care acționează sub autoritatea operatorului, inclusiv persoana împuternicită, nu trebuie să prelucreze datele decât conform instrucțiunilor operatorului. |
|
5. |
Drepturile de acces, rectificare, ștergere și opoziție: în conformitate cu articolul 12 din Directiva 95/46/CE, persoana vizată trebuie să aibă drept de acces la toate datele care o privesc și, dacă este cazul, să obțină dreptul de rectificare, ștergere sau opoziție în ceea ce privește datele a căror prelucrare nu respectă principiile stabilite în prezentul apendice, în special datele incomplete sau inexacte. Trebuie, de asemenea, să aibă posibilitatea să se opună prelucrării datelor care o privesc din motive valabile și legitime care țin de situația sa personală. |
|
6. |
Limitarea transferurilor ulterioare: transferurile ulterioare de date cu caracter personal efectuate de importatorul de date către alt operator stabilit într-o țară terță care nu oferă un nivel de protecție adecvat sau care nu sunt reglementate printr-o decizie adoptată de Comisie în conformitate cu articolul 25 alineatul (6) din Directiva 95/46/CE (transferuri ulterioare) pot fi autorizate numai dacă:
|
|
7. |
Categorii speciale de date: atunci când sunt prelucrate date cu privire la originea rasială sau etnică, opinii politice, convingeri religioase sau filozofice, apartenența sindicală, date referitoare la sănătate și la viața sexuală și date referitoare la infracțiuni, condamnări penale sau măsuri de siguranță, trebuie să fie prevăzute precauții suplimentare în sensul Directivei 95/46/CE, în special măsuri de securitate corespunzătoare, cum ar fi transmiterea criptată sau ținerea unei evidențe cu privire la orice acces la datele sensibile. |
|
8. |
Marketingul direct: atunci când datele sunt prelucrate în vederea marketingului direct trebuie să existe proceduri eficace care să permită persoanei vizate „să se opună” ca datele care o privesc să fie, într-un moment sau altul, utilizate în asemenea scopuri. |
|
9. |
Decizii individuale automatizate: persoanele vizate au dreptul să nu se supună unei decizii luate numai pe baza prelucrării automatizate a datelor cu excepția cazului în care nu s-au luat alte măsuri pentru apărarea intereselor legitime ale persoanei conform articolului 15 alineatul (2) din Directiva 95/46/CE. Atunci când scopul transferului este luarea unei decizii automatizate, în sensul articolului 15 din Directiva 95/46/CE, care produce efecte juridice în ceea ce privește persoana sau care o afectează în mod semnificativ și care se bazează numai pe prelucrarea automatizată a datelor menite să evalueze anumite aspecte ale personalității sale, cum ar fi randamentul profesional, credibilitatea, încrederea, conduita etc., persoana trebuie să aibă dreptul să cunoască raționamentul care stă la baza acestei decizii. |
Apendicele 3
privind clauzele contractuale standard
Principiile obligatorii de protecție a datelor menționate în clauza 5 litera (b) al doilea paragraf
|
1. |
Limitarea scopului: datele trebuie prelucrate și folosite sau comunicate ulterior doar în scopurile specificate în apendicele 1 la prezentele clauze. Datele nu trebuie păstrate mai mult decât este necesar în scopurile pentru care sunt transferate. |
|
2. |
Drepturile de acces, rectificare, ștergere și opoziție: în conformitate cu articolul 12 din Directiva 95/46/CE, persoana vizată trebuie să aibă drept de acces la toate datele care o privesc și, dacă este cazul, să obțină dreptul de rectificare, ștergere sau opoziție în ceea ce privește datele a căror prelucrare nu respectă principiile stabilite în prezentul apendice, în special datele incomplete sau inexacte. Trebuie, de asemenea, să aibă posibilitatea să se opună prelucrării datelor care o privesc din motive valabile și legitime care țin de situația sa personală. |
|
3. |
Limitarea transferurilor ulterioare: transferurile ulterioare de date cu caracter personal efectuate de importatorul de date către alt operator stabilit într-o țară terță care nu oferă un nivel de protecție adecvat sau care nu fac obiectul unei decizii adoptate de Comisie în conformitate cu articolul 25 alineatul (6) din Directiva 95/46/CE (transferuri ulterioare) pot fi autorizate numai dacă:
|