This document is an excerpt from the EUR-Lex website
Document 32010D0087
2010/87/: Commission Decision of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council (notified under document C(2010) 593) (Text with EEA relevance)
2010/87/: Decizia Comisiei din 5 februarie 2010 privind clauzele contractuale tip pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului [notificată cu numărul C(2010) 593] (Text cu relevanță pentru SEE)
2010/87/: Decizia Comisiei din 5 februarie 2010 privind clauzele contractuale tip pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului [notificată cu numărul C(2010) 593] (Text cu relevanță pentru SEE)
JO L 39, 12.2.2010, p. 5–18
(BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV) Acest document a fost publicat într-o ediţie specială
(HR)
No longer in force, Date of end of validity: 26/09/2021; abrogat prin 32021D0914
12.2.2010 |
RO |
Jurnalul Oficial al Uniunii Europene |
L 39/5 |
DECIZIA COMISIEI
din 5 februarie 2010
privind clauzele contractuale tip pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului
[notificată cu numărul C(2010) 593]
(Text cu relevanță pentru SEE)
(2010/87/UE)
COMISIA EUROPEANĂ,
având în vedere Tratatul privind funcționarea Uniunii Europene,
având în vedere Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (1), în special articolul 26 alineatul (4),
după consultarea Autorității Europene pentru Protecția Datelor,
întrucât:
(1) |
În temeiul Directivei 95/46/CE, statelor membre li se solicită să se asigure că transferul de date cu caracter personal către o țară terță poate avea loc numai dacă țara terță în cauză asigură un nivel adecvat de protecție a datelor și dacă legile statelor membre respective, care sunt în conformitate cu celelalte dispoziții ale directivei, sunt respectate înainte de transferul datelor. |
(2) |
Cu toate acestea, articolul 26 alineatul (2) din Directiva 95/46/CE prevede că statele membre pot autoriza, sub rezerva anumitor garanții, transferul sau o serie de transferuri de date cu caracter personal către țări terțe care nu asigură un nivel de protecție adecvat. Aceste garanții pot rezulta mai ales din clauze contractuale corespunzătoare. |
(3) |
În temeiul Directivei 95/46/CE, nivelul de protecție a datelor ar trebui evaluat pe baza tuturor circumstanțelor referitoare la un transfer sau la o serie de transferuri. Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal instituit în temeiul directivei menționate a publicat orientări pentru a facilita această evaluare. |
(4) |
Clauzele contractuale tip ar trebui să se refere numai la protecția datelor. Prin urmare, exportatorul de date și importatorul de date sunt liberi să includă orice alte clauze comerciale pe care le consideră relevante pentru contract, cu condiția ca acestea să nu contravină clauzelor contractuale tip. |
(5) |
Prezenta decizie nu ar trebui să aducă atingere autorizațiilor naționale pe care statele membre le pot acorda în conformitate cu dispozițiile naționale de punere în aplicare a articolului 26 alineatul (2) din Directiva 95/46/CE. Prezenta decizie ar trebui să aibă numai efectul de a impune statelor membre să nu refuze să recunoască faptul că clauzele contractuale prevăzute de aceasta oferă garanții corespunzătoare, prin urmare decizia nu ar trebui să aibă niciun efect asupra altor clauze contractuale. |
(6) |
Decizia 2002/16/CE a Comisiei din 27 decembrie 2001 privind clauzele contractuale tip pentru transferul de date cu caracter personal către procesatorii de date stabiliți în țări terțe, în temeiul Directivei 95/46/CE (2), a fost adoptată pentru a facilita transferul de date cu caracter personal de la un operator de date stabilit în Uniunea Europeană către o persoană împuternicită de către operator stabilită într-o țară terță care nu oferă un nivel corespunzător de protecție a datelor. |
(7) |
De la adoptarea Deciziei 2002/16/CE s-a acumulat o experiență considerabilă. În plus, raportul privind punerea în aplicare a deciziilor privind clauzele contractuale tip pentru transferurile de date cu caracter personal către țările terțe (3) a arătat că există un interes crescând cu privire la promovarea utilizării clauzelor contractuale tip pentru transferurile internaționale de date cu caracter personal către țări terțe care nu oferă un nivel corespunzător de protecție a datelor. În plus, părțile interesate au prezentat propuneri în vederea actualizării clauzelor contractuale prevăzute de Decizia 2002/16/CE, pentru a se lua în considerare creșterea rapidă a activităților de prelucrare a datelor la nivel global, precum și pentru a se aborda anumite aspecte care nu au făcut obiectul deciziei menționate (4). |
(8) |
Domeniul de aplicare al prezentei decizii ar trebui limitat la stabilirea faptului că clauzele pe care le prevede pot fi utilizate de un operator de date stabilit în Uniunea Europeană pentru a oferi garanții corespunzătoare în sensul articolului 26 alineatul (2) din Directiva 95/46/CE privind transferul de date cu caracter personal către o persoană împuternicită de către operator stabilită într-o țară terță. |
(9) |
Prezenta decizie nu ar trebui să se aplice transferului de date cu caracter personal efectuat de operatorii de date stabiliți în Uniunea Europeană către operatorii de date stabiliți în afara Uniunii Europene, care intră în domeniul de aplicare al Deciziei 2001/497/CE a Comisiei din 15 iunie 2001 privind clauzele contractuale standard pentru transferul de date cu caracter personal către țările terțe în temeiul Directivei 95/46/CE (5). |
(10) |
Prezenta decizie ar trebui să pună în aplicare obligația prevăzută la articolul 17 alineatul (3) din Directiva 95/46/CE și nu ar trebui să aducă atingere conținutului contractelor sau actelor juridice stabilite în temeiul dispoziției menționate. Cu toate acestea, ar trebui incluse unele dintre clauzele contractuale tip, în special în ceea ce privește obligațiile exportatorului de date, pentru a face mai clare dispozițiile susceptibile de a fi incluse într-un contract încheiat între un operator de date și o persoană împuternicită de către acesta. |
(11) |
Autoritățile de supraveghere din statele membre joacă un rol esențial în acest mecanism contractual, asigurând că datele cu caracter personal sunt corespunzător protejate după efectuarea transferului. În cazurile excepționale în care exportatorii de date refuză sau nu sunt în măsură să-l instruiască pe importatorul de date în mod corespunzător și există un risc iminent de prejudiciere a persoanelor vizate, clauzele contractuale tip ar trebui să permită autorităților de supraveghere să efectueze un audit la importatorii de date și la subcontractanți și, după caz, să ia decizii cu caracter obligatoriu pentru aceștia. Autoritățile de supraveghere ar trebui să aibă competența de a interzice sau suspenda un transfer sau o serie de transferuri de date pe baza clauzelor contractuale tip în acele cazuri excepționale în care s-a stabilit că transferul pe bază de contract este susceptibil să aibă efecte negative asupra garanțiilor și obligațiilor care oferă persoanelor vizate protecția adecvată. |
(12) |
Clauzele contractuale tip ar trebui să prevadă măsurile tehnice și organizatorice de securitate pe care ar trebui să le aplice persoana împuternicită de către operator stabilită într-o țară terță care nu oferă protecția adecvată, care să asigure nivelul de securitate corespunzător pentru riscurile reprezentate de prelucrarea și natura datelor care trebuie protejate. Părțile ar trebui să prevadă în contract măsurile tehnice și organizatorice care, având în vedere legea aplicabilă privind protecția datelor, nivelul tehnologic și costul punerii în aplicare a acestora, sunt necesare pentru a proteja datele cu caracter personal împotriva distrugerii accidentale sau ilicite sau a pierderii accidentale, modificării, divulgării sau accesului neautorizat sau a oricăror alte forme ilegale de prelucrare. |
(13) |
Pentru a facilita circuitul datelor dinspre Uniunea Europeană, este de dorit să se permită persoanelor împuternicite de către operator care oferă servicii de prelucrare a datelor mai multor operatori de date din Uniunea Europeană să aplice aceleași măsuri tehnice și organizatorice de securitate, indiferent de statul membru în care își are originea transferul de date, în special în cazurile în care importatorul de date le primește, în vederea prelucrării ulterioare, de la diverse structuri ale exportatorului de date din Uniunea Europeană, situație în care ar trebui să se aplice legea statului membru de stabilire desemnat. |
(14) |
Este oportun să se stabilească informațiile minime pe care părțile ar trebui să le specifice în contractul cu privire la transfer. Statele membre ar trebui să-și mențină competența de a preciza informațiile pe care trebuie să le furnizeze părțile. Aplicarea prezentei decizii ar trebui revizuită prin prisma experienței dobândite. |
(15) |
Importatorul de date ar trebui să prelucreze datele cu caracter personal transferate numai în numele exportatorului de date și în conformitate cu instrucțiunile acestuia și obligațiile cuprinse în clauze. În special, importatorul de date nu ar trebui să divulge datele cu caracter personal unei părți terțe fără acordul în scris dat în prealabil de exportatorul de date. Exportatorul de date ar trebui să-l instruiască pe importatorul de date pe toată durata serviciilor de prelucrare a datelor să realizeze această prelucrare în conformitate cu instrucțiunile sale, cu legile aplicabile privind protecția datelor și cu obligațiile cuprinse în clauze. |
(16) |
Raportul referitor la punerea în aplicare a deciziilor privind clauzele contractuale tip pentru transferul de date cu caracter personal către țările terțe a recomandat instituirea unor clauze contractuale tip corespunzătoare privind transferurile ulterioare de la o persoană împuternicită de către operator stabilită într-o țară terță către o altă persoană similară (subcontractare a serviciilor de prelucrare a datelor), pentru a lua în considerare tendințele și practicile comerciale pentru activitatea de prelucrare a datelor, din ce în ce mai globalizată. |
(17) |
Prezenta decizie ar trebui să cuprindă clauze contractuale tip privind subcontractarea, de către o persoană împuternicită de către operator stabilită într-o țară terță (importatorul de date), a serviciilor sale de prelucrare către alte persoane similare (subcontractanți) stabilite în țări terțe. În plus, această decizie ar trebui să stabilească condițiile pe care ar trebui să le îndeplinească subcontractarea serviciilor de prelucrare a datelor pentru a se asigura că datele cu caracter personal care sunt transferate continuă să fie protejate fără aduce atingere transferului ulterior unui subcontractant. |
(18) |
În plus, subcontractarea serviciilor de prelucrare a datelor ar trebui să cuprindă numai operațiunile convenite în cadrul contractului încheiat între exportatorul de date și importatorul de date, să includă clauzele contractuale tip prevăzute de prezenta decizie și nu ar trebui să se refere la operațiuni de prelucrare sau scopuri diferite, astfel încât să fie respectat principiul limitării scopului prevăzut de Directiva 95/46/CE. Mai mult, în cazul în care subcontractantul nu își îndeplinește propriile obligații privind prelucrarea datelor în temeiul unui astfel de contract, importatorul de date ar trebui să fie responsabil față de exportatorul de date. Transferul datelor cu caracter personal către persoanele împuternicite de către operator stabilite în afara Uniunii Europene nu aduce atingere faptului că activitățile de prelucrare ar trebui să fie reglementate în orice caz de legea aplicabilă privind protecția datelor. |
(19) |
Clauzele contractuale tip ar trebui să aibă caracter executoriu nu numai de către organizațiile care sunt părți contractuale, ci și de persoanele vizate, în special în cazul în care acestea suferă un prejudiciu în urma nerespectării contractului. |
(20) |
Persoana vizată ar trebui să aibă dreptul de a introduce o acțiune în instanță și, după caz, de a primi despăgubiri din partea exportatorului de date care este operatorul de date cu caracter personal transferate. În mod excepțional, persoana vizată ar trebui să aibă și dreptul de a introduce o acțiune în instanță și, după caz, de a primi despăgubiri din partea importatorului de date în cazurile în care importatorul de date sau oricare dintre subcontractanții sub nivelul său nu își respectă una dintre obligațiile prevăzute de clauza 3 alineatul (2), în situația în care exportatorul de date a dispărut în fapt, și-a încetat existența de drept sau a devenit insolvabil. În mod excepțional, persoana vizată ar trebui să aibă și dreptul de a introduce o acțiune în instanță și, după caz, de a primi despăgubiri din partea subcontractantului în cazurile în care atât exportatorul de date, cât și importatorul de date au dispărut în fapt, și-au încetat existența de drept sau au devenit insolvabili. O astfel de răspundere civilă față de terțe părți a subcontractantului ar trebui limitată la propriile operațiuni de prelucrare în temeiul clauzelor contractuale. |
(21) |
În cazul în care un litigiu între persoana vizată, care invocă clauza terțului beneficiar, și importatorul de date nu se rezolvă pe cale amiabilă, importatorul de date ar trebui să ofere persoanei vizate posibilitatea de a alege între mediere sau introducerea unei acțiuni în justiție. Persoana vizată va avea posibilitate efectivă de a alege în măsura existenței unor sisteme de mediere de încredere și recunoscute. Medierea de către autoritățile de supraveghere a protecției datelor din statele membre în care este stabilit exportatorul de date ar trebui să fie o opțiune în cazul în care aceste autorități oferă acest serviciu. |
(22) |
Contractul ar trebui să fie guvernat de legea statului membru în care este stabilit exportatorul de date și care permite unui terț beneficiar să execute un contract. Persoanele vizate ar trebui să poată fi reprezentate de către asociații sau alte organisme, dacă o doresc și dacă este permis de legislația națională. Aceeași lege ar trebui să guverneze dispozițiile privind protecția datelor din orice contract cu un subcontractant, în vederea subcontractării activităților de prelucrare a datelor cu caracter personal transferate de exportatorul de date importatorului de date în temeiul clauzelor contractuale. |
(23) |
Întrucât prezenta decizie se aplică subcontractării operațiunilor de prelucrare a datelor de către un operator stabilit într-o țară terță unui subcontractant stabilit într-o altă țară terță, aceasta n-ar trebui să se aplice situației în care o persoană împuternicită de către operator stabilită în Uniunea Europeană, care efectuează prelucrarea datelor cu caracter personal în numele unui operator stabilit în Uniunea Europeană, își subcontractează operațiunile de prelucrare a datelor unui subcontractant stabilit într-o țară terță. În astfel de situații, statele membre sunt libere să ia în considerare faptul că principiile și garanțiile clauzelor contractuale stabilite în prezenta decizie au fost utilizate pentru a subcontracta serviciile unui subcontractant stabilit într-o țară terță cu intenția de a oferi protecția adecvată a drepturilor persoanelor vizate, ale căror date sunt transferate pentru operațiunile de subcontractare a serviciilor de prelucrare a datelor. |
(24) |
Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal stabilit în temeiul articolului 29 din Directiva 95/46/CE și-a dat avizul cu privire la nivelul de protecție oferit pe baza clauzelor contractuale tip anexate la prezenta decizie, aviz care a fost luat în considerare în pregătirea prezentei decizii. |
(25) |
Decizia 2002/16/CE ar trebui abrogată. |
(26) |
Măsurile prevăzute de prezenta decizie sunt conforme cu avizul comitetului instituit în temeiul articolului 31 din Directiva 95/46/CE, |
ADOPTĂ PREZENTA DECIZIE:
Articolul 1
Se consideră că clauzele contractuale tip prevăzute în anexă oferă garanții corespunzătoare în ceea ce privește protecția vieții private și a drepturilor și libertăților fundamentale ale persoanelor și cu privire la exercitarea drepturilor corespunzătoare în temeiul articolului 26 alineatul (2) din Directiva 95/46/CE.
Articolul 2
Prezenta decizie se referă numai la gradul de adecvare al protecției oferite de clauzele contractuale tip stabilite în anexă privind transferul datelor cu caracter personal către persoanele împuternicite de către operator. Aceasta nu afectează aplicarea altor dispoziții naționale de punere în aplicare a Directivei 95/46/CE care se referă la prelucrarea datelor cu caracter personal în statele membre.
Prezenta decizie se aplică transferului de date cu caracter personal de către operatorii stabiliți în Uniunea Europeană către destinatari stabiliți în afara teritoriului Uniunii Europene, care îndeplinesc în exclusivitate rolul de persoane împuternicite de către operator.
Articolul 3
În sensul prezentei decizii, se aplică următoarele definiții:
(a) |
„categorii speciale de date” înseamnă datele menționate la articolul 8 din Directiva 95/46/CE; |
(b) |
„autorități de supraveghere” înseamnă autoritățile menționate la articolul 28 din Directiva 95/46/CE; |
(c) |
„exportator de date” înseamnă operatorul care transferă datele cu caracter personal; |
(d) |
„importator de date” înseamnă persoana împuternicită de către operator stabilită într-o țară terță care este de acord să primească de la exportatorul de date datele cu caracter personal destinate prelucrării în numele exportatorului de date, în urma transferului, în conformitate cu instrucțiunile acestuia și cu condițiile prezentei decizii, și care nu este supusă unui sistem al unei țări terțe capabil să asigure o protecție adecvată, în sensul articolului 25 alineatul (1) din Directiva 95/46/CE; |
(e) |
„subcontractant” înseamnă orice persoană împuternicită de către operator angajată de importatorul de date sau de orice alt subcontractant al acestuia, care este de acord să primească de la importatorul de date sau de la orice alt subcontractant al acestuia datele cu caracter personal destinate exclusiv activităților de prelucrare care urmează să fie efectuate în numele exportatorului de date, în urma transferului, în conformitate cu instrucțiunile acestuia, cu condițiile stabilite în anexă și cu condițiile contractului scris de subcontractare a serviciilor de prelucrare a datelor; |
(f) |
„legea aplicabilă protecției datelor” înseamnă legislația care protejează drepturile și libertățile fundamentale ale particularilor și, în special, dreptul lor la viață privată cu privire la prelucrarea datelor cu caracter personal, aplicabilă operatorului de date din statul membru în care este stabilit exportatorul de date; |
(g) |
„măsuri tehnice și organizatorice de securitate” înseamnă măsurile menite să protejeze datele cu caracter personal împotriva distrugerii accidentale sau ilegale sau a pierderii accidentale, modificării, divulgării sau accesului neautorizat, în special atunci când prelucrarea presupune transmiterea datelor într-o rețea, precum și împotriva oricărei alte forme de prelucrare ilegală. |
Articolul 4
(1) Fără a aduce atingere competențelor lor de a lua măsuri pentru a asigura respectarea dispozițiilor naționale adoptate în temeiul capitolelor II, III, V și VI din Directiva 95/46/CE, autoritățile competente ale statelor membre își pot exercita competențele existente de interzicere sau suspendare a fluxului de date către țările terțe pentru a proteja persoanele fizice în legătură cu prelucrarea datelor cu caracter personal ale acestora, în cazurile în care:
(a) |
s-a stabilit că legea căreia i se supune importatorul de date sau subcontractantul îl obligă pe acesta să deroge de la legea aplicabilă protecției datelor cu caracter personal, care depășește restricțiile necesare într-o societate democratică, după cum prevede articolul 13 din Directiva 95/46/CE, atunci când obligațiile respective sunt susceptibile de a avea efecte negative importante asupra garanțiilor oferite de legea aplicabilă protecției datelor cu caracter personal și clauzele contractuale tip; |
(b) |
o autoritate competentă a stabilit că importatorul de date sau subcontractantul nu a respectat clauzele contractuale tip din anexă; sau |
(c) |
există o probabilitate mare de nerespectare în prezent sau în viitor a clauzelor contractuale tip din anexă și de creare a unui risc iminent de prejudiciere gravă a persoanelor vizate ca urmare a continuării transferului de date. |
(2) Interzicerea sau suspendarea în temeiul alineatului (1) se ridică de îndată ce motivele care le justifică nu mai există.
(3) În cazul în care statele membre adoptă măsuri în temeiul alineatelor (1) și (2), acestea informează fără întârziere Comisia, care transmite informațiile respective celorlalte state membre.
Articolul 5
Comisia evaluează aplicarea prezentei decizii, pe baza informațiilor disponibile, la trei ani după adoptarea acesteia. Comisia prezintă comitetului înființat în temeiul articolului 31 din Directiva 95/46/CE un raport cu privire la constatările făcute. Raportul cuprinde orice element care poate influența evaluarea privind caracterul adecvat al clauzelor contractuale tip din anexă și orice element care demonstrează că prezenta decizie se aplică în mod discriminatoriu.
Articolul 6
Prezenta decizie se aplică începând cu 15 mai 2010.
Articolul 7
(1) Decizia 2002/16/CE se abrogă începând cu 15 mai 2010.
(2) Un contract încheiat de un exportator de date și un importator de date în temeiul Deciziei 2002/16/CE înainte de 15 mai 2010 rămân în vigoare atât timp cât transferurile și operațiunile de prelucrare a datelor care fac obiectul contractului rămân neschimbate și datele cu caracter personal acoperite de prezenta decizie continuă să fie transferate între părți. În cazul în care părțile contractante decid să facă modificări în acest sens sau să subcontracteze operațiunile de prelucrare care fac obiectul contractului, acestora li se impune încheierea unui nou contract care se conformează clauzelor contractuale stabilite în anexă.
Articolul 8
Prezenta decizie se adresează statelor membre.
Adoptată la Bruxelles, 5 februarie 2010.
Pentru Comisie
Jacques BARROT
Vicepreședinte
(1) JO L 281, 23.11.1995, p. 31.
(3) SEC(2006) 95, 20.1.2006.
(4) Camera Internațională de Comerț (ICC), Consiliul Japonez de Afaceri din Europa (JBCE), Comitetul UE al Camerei de Comerț Americane în Belgia (Amcham) și Federația asociațiilor europene de marketing direct (FEDMA).
(5) JO L 181, 4.7.2001, p. 19.
ANEXĂ
CLAUZE CONTRACTUALE TIP (PERSOANELE ÎMPUTERNICITE DE CĂTRE OPERATOR)
În sensul articolului 26 alineatul (2) din Directiva 95/46/CE privind transferul datelor cu caracter personal către persoane împuternicite de către operator stabilite în țări terțe care nu oferă un nivel corespunzător de protecție a datelor
Denumirea organizației care exportă datele: …
Adresă: …
Tel.: …; fax: …; e-mail: …
Alte informații necesare pentru identificarea organizației
…
(exportatorul de date)
și
Denumirea organizației care importă datele: …
Adresă: …
Tel.: …; fax: …; e-mail: …
Alte informații necesare pentru identificarea organizației
…
(importatorul de date)
fiecare denumită „parte”; împreună denumite „părțile”,
AU CONVENIT cu privire la următoarele clauze contractuale (denumite în continuare „clauzele”) pentru a oferi garanții corespunzătoare privind protecția vieții private și a drepturilor și libertăților fundamentale ale persoanelor în cazul transferului, de la exportatorul de date către importatorul de date, a datelor cu caracter personal menționate în apendicele 1.
Clauza 1
Definiții
În sensul clauzelor:
(a) |
„date cu caracter personal”, „categorii speciale de date”, „prelucrare”, „operator”, „persoană împuternicită de către operator”, „persoană vizată” și „autoritate de supraveghere” au același înțeles ca cel din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (1); |
(b) |
„exportator de date” înseamnă operatorul care transferă datele cu caracter personal; |
(c) |
„importator de date” înseamnă persoana împuternicită de către operator care este de acord să primească, de la exportatorul de date, datele cu caracter personal destinate prelucrării în numele exportatorului, în urma transferului, în conformitate cu instrucțiunile acestuia și cu condițiile prezentelor clauze și care nu este supusă unui sistem al unei țări terțe capabil să asigure o protecție adecvată în sensul articolului 25 alineatul (1) din Directiva 95/46/CE; |
(d) |
„subcontractant” înseamnă orice persoană împuternicită de către operator angajată de importatorul de date sau de orice alt subcontractant al acestuia, care este de acord să primească, de la importatorul de date sau de la oricare alt subcontractant al acestuia, datele cu caracter personal destinate exclusiv activităților de prelucrare care sunt efectuate în numele exportatorului de date, în urma transferului, în conformitate cu instrucțiunile acestuia, cu condițiile stabilite în prezentele clauze și cu condițiile contractului scris de subcontractare; |
(e) |
„legea aplicabilă protecției datelor” înseamnă legislația care protejează drepturile și libertățile fundamentale ale particularilor și, în special, dreptul lor la viață privată cu privire la prelucrarea datelor cu caracter personal, aplicabilă operatorului de date din statul membru în care este stabilit exportatorul de date; |
(f) |
„măsuri tehnice și organizatorice de securitate” înseamnă măsurile menite să protejeze datele cu caracter personal împotriva distrugerii accidentale sau ilegale sau a pierderii accidentale, modificării, divulgării sau accesului neautorizat, în special atunci când prelucrarea presupune transmiterea datelor într-o rețea, precum și împotriva oricărei alte forme ilegale de prelucrare. |
Clauza 2
Date privind transferul
Detaliile transferului și, în special, categoriile speciale de date, atunci când este cazul, sunt precizate în apendicele 1, care face parte integrantă din clauze.
Clauza 3
Clauza terțului beneficiar
(1) |
Persoana vizată poate invoca în fața exportatorului de date prezenta clauză, clauza 4 literele (b)-(i), clauza 5 literele (a)-(e) și (g)-(j), clauza 6 alineatele (1) și (2), clauza 7, clauza 8 alineatul (2), precum și clauzele 9-12 în calitate de terți beneficiari. |
(2) |
Persoana vizată poate invoca în fața importatorului de date prezenta clauză, clauza 5 literele (a)-(e) și (g), clauza 6, clauza 7, clauza 8 alineatul (2) și clauzele 9-12, în situația în care exportatorul de date a dispărut în fapt sau și-a încetat existența de drept, cu excepția cazului în care vreo entitate succesoare și-a asumat toate obligațiile juridice ale exportatorului de date prin contract sau prin efectul legii și, ca rezultat, preia drepturile și obligațiile exportatorului de date, caz în care persoana vizată poate invoca clauzele menționate în fața acestei entități. |
(3) |
Persoana vizată poate invoca în fața subcontractantului prezenta clauză, clauza 5 literele (a)-(e) și (g), clauza 6, clauza 7, clauza 8 alineatul (2) și clauzele 9-12, în situațiile în care atât exportatorul de date, cât și importatorul de date au dispărut în fapt, și-au încetat existența de drept sau au devenit insolvabili, cu excepția cazului în care o entitate succesoare și-a asumat toate obligațiile juridice ale exportatorului de date prin contract sau prin efectul legii și, ca rezultat, își asumă drepturile și obligațiile exportatorului de date, caz în care persoana vizată poate invoca clauzele menționate în raport cu o asemenea entitate. O astfel de răspundere civilă față de terțe părți a subcontractantului se limitează la propriile operațiuni de prelucrare în temeiul prezentelor clauze. |
(4) |
Părțile nu se opun ca persoana vizată să fie reprezentată de o asociație sau alt organism, în cazul în care persoana vizată dorește în mod expres acest lucru și dacă legislația națională permite acest fapt. |
Clauza 4
Obligațiile exportatorului de date
Exportatorul de date este de acord și garantează că:
(a) |
prelucrarea, inclusiv transferul în sine, a datelor cu caracter personal a fost și va continua să fie efectuată în conformitate cu dispozițiile relevante ale legii aplicabile privind protecția datelor (și, atunci când a fost cazul, a fost notificată autorităților competente din statul membru în care este stabilit exportatorul de date) și nu încalcă dispozițiile relevante din statul respectiv; |
(b) |
a instruit și, pe toată durata serviciilor de prelucrare a datelor cu caracter personal, acesta va continua să îl instruiască pe importatorul de date să prelucreze datele cu caracter personal transferate numai în numele exportatorului de date și în conformitate cu legea aplicabilă privind protecția datelor și cu prezentele clauze; |
(c) |
importatorul de date prezintă suficiente garanții referitoare la măsurile tehnice și organizatorice de securitate menționate în apendicele 2 la acest contract; |
(d) |
după evaluarea cerințelor legii aplicabile privind protecția datelor, măsurile de securitate sunt adecvate pentru a proteja datele cu caracter personal împotriva distrugerii accidentale sau ilegale sau a pierderii accidentale, modificării, divulgării sau accesului neautorizat, în special atunci când prelucrarea presupune transmiterea datelor într-o rețea, precum și împotriva oricăror alte forme ilegale de prelucrare, și că aceste măsuri asigură un nivel adecvat de securitate în ceea ce privește riscurile prezentate de prelucrarea sau natura datelor care trebuie protejate, ținând seama de cele mai recente tehnici din sector și de costurile punerii lor în aplicare; |
(e) |
va asigura respectarea măsurilor de securitate; |
(f) |
în cazul în care transferul implică categorii speciale de date, persoana vizată a fost informată sau va fi informată înainte de transferul datelor sale, sau cât de curând posibil în urma transferului, că datele sale ar putea fi transmise către o țară terță care nu oferă protecția adecvată în sensul Directivei 95/46/CE; |
(g) |
transmite orice notificare primită de la importatorul de date sau de la oricare dintre subcontractanți, în temeiul clauzei 5 litera (b) și al clauzei 8 alineatul (3), către autoritatea de supraveghere a protecției datelor, în cazul în care exportatorul de date decide să continue transferul sau să ridice suspendarea; |
(h) |
pune la dispoziția persoanelor vizate, la cerere, o copie a clauzelor, mai puțin apendicele 2, și o descriere pe scurt a măsurilor de securitate, precum și o copie a oricărui contract de subcontractare a serviciilor care trebuie încheiat în conformitate cu clauzele, cu excepția cazului în care clauzele sau contractul conțin informații comerciale, caz în care acesta le poate înlătura; |
(i) |
în cazul subcontractării serviciilor de prelucrare a datelor, activitatea de prelucrare este efectuată în conformitate cu clauza 11 de către un subcontractant care oferă cel puțin același nivel de protecție a datelor cu caracter personal și a drepturilor persoanei vizate ca și importatorul de date, în temeiul prezentelor clauze; precum și |
(j) |
va asigura respectarea clauzei 4 literele (a)-(i). |
Clauza 5
Obligațiile importatorului de date (2)
Importatorul de date este de acord și garantează că:
(a) |
prelucrează datele cu caracter personal exclusiv în numele exportatorului de date și în conformitate cu instrucțiunile acestuia și cu clauzele; în cazul în care, din diverse motive, nu poate garanta conformitatea, acesta este de acord să informeze fără întârziere exportatorul de date cu privire la imposibilitatea sa de a asigura conformitatea, caz în care exportatorul de date are dreptul să suspende transferul de date și/sau să rezilieze contractul; |
(b) |
acesta nu are niciun motiv să creadă că legislația care i se aplică îl împiedică să îndeplinească instrucțiunile primite de la exportatorul de date și obligațiile ce îi revin în temeiul contractului și că, în cazul unei modificări în legislația respectivă, susceptibilă să aibă efecte negative asupra garanțiilor și obligațiilor prevăzute de clauze, va notifica fără întârziere modificarea exportatorului de date, de îndată ce are cunoștință de aceasta, caz în care exportatorul de date are dreptul să suspende transferul de date și/sau să rezilieze contractul; |
(c) |
a pus în aplicare măsurile tehnice și organizatorice de securitate menționate în apendicele 2 înainte de prelucrarea datelor cu caracter personal transferate; |
(d) |
acesta notifică fără întârziere exportatorului de date:
|
(e) |
tratează fără întârziere și în mod adecvat toate întrebările exportatorului de date privind prelucrarea datelor cu caracter personal care fac obiectul transferului și se conformează recomandării făcute de autoritatea de supraveghere în ceea ce privește prelucrarea datelor transferate; |
(f) |
la cererea exportatorului de date, își prezintă facilitățile privind prelucrarea datelor în scopul auditului privind activitățile de prelucrare acoperite de clauze, care va fi efectuat de exportatorul de date sau de un organism de inspecție alcătuit din membri independenți care dețin calificările profesionale și sunt supuși obligației de confidențialitate, selectați de exportatorul de date, după caz, în acord cu autoritatea de supraveghere; |
(g) |
pune la dispoziția persoanelor vizate, la cerere, o copie a clauzelor sau orice contract existent de subcontractare a serviciilor de prelucrare a datelor, cu excepția cazului în care clauzele sau contractul conțin informații comerciale, caz în care acestea pot fi înlăturate, mai puțin apendicele 2, care se înlocuiește cu o descriere pe scurt a măsurilor de securitate, în situația în care persoana vizată nu poate obține o copie de la exportatorul de date; |
(h) |
în cazul subcontractării serviciilor de prelucrare, a informat în prealabil exportatorul de date și a obținut acordul în scris al acestuia; |
(i) |
serviciile de prelucrare efectuate de subcontractant sunt efectuate în conformitate cu clauza 11; |
(j) |
trimite fără întârziere exportatorului de date o copie a oricărui contract de subcontractare încheiat în temeiul prezentelor clauze. |
Clauza 6
Răspundere
(1) |
Părțile convin că orice persoană vizată care a suferit un prejudiciu în urma încălcării obligațiile prevăzute de clauza 3 sau clauza 11 de către oricare dintre părți sau de către subcontractant are dreptul de a primi despăgubiri din partea exportatorului de date pentru prejudiciul suferit. |
(2) |
În cazul în care persoana vizată nu poate introduce împotriva exportatorului de date o acțiune în despăgubiri menționată la alineatul (1), în urma încălcării de către importatorul de date sau subcontractantul acestuia a oricăreia dintre obligațiile prevăzute de clauza 3 sau clauza 11 din motiv că exportatorul de date a dispărut în fapt, și-a încetat existența de drept sau a devenit insolvabil, importatorul de date este de acord ca persoana vizată să poată formula o cerere de despăgubire împotriva importatorului de date, în locul exportatorului de date, cu excepția cazului în care vreo entitate succesoare și-a asumat toate obligațiile juridice ale exportatorului de date prin contract sau prin efectul legii, caz în care persoana vizată își poate cere drepturile de la o astfel de entitate. Importatorul de date nu se poate baza pe o încălcare, de către subcontractant, a obligațiilor sale pentru a evita propria responsabilitate. |
(3) |
În cazul în care persoana vizată nu poate introduce o acțiune împotriva exportatorului de date sau importatorului de date, după cum se menționează la alineatele (1) și (2), în urma încălcării de către subcontractant a oricăreia dintre obligațiile prevăzute de clauza 3 sau clauza 11 din motiv că atât exportatorul de date, cât și importatorul de date au dispărut în fapt, și-au încetat existența de drept sau au devenit insolvabili, subcontractantul este de acord ca persoana vizată să poată formula o cerere de despăgubire împotriva subcontractantului care prelucrează datele în legătură cu propriile operațiuni de prelucrare, în locul exportatorului de date sau al importatorului de date, cu excepția cazului în care o entitate succesoare și-a asumat toate obligațiile juridice ale exportatorului de date sau ale importatorului de date prin contract sau prin efectul legii, caz în care persoana vizată își poate cere drepturile de la o astfel de entitate. Răspunderea civilă față de terțe părți a subcontractantului se limitează la propriile operațiuni de prelucrare în temeiul prezentelor clauze. |
Clauza 7
Mediere și jurisdicție
(1) |
Importatorul de date este de acord ca, în cazul în care persoana vizată invocă împotriva sa drepturile terțului beneficiar și/sau cere despăgubiri pentru prejudiciile suferite, în temeiul clauzelor, importatorul de date va accepta decizia persoanei vizate:
|
(2) |
Părțile convin că opțiunea aleasă de persoana vizată nu va aduce atingere drepturilor materiale sau procedurale ale acestuia de a introduce acțiuni în conformitate cu alte dispoziții din legislația națională sau internațională. |
Clauza 8
Cooperarea cu autoritățile de supraveghere
(1) |
Exportatorul de date convine să depună o copie a prezentului contract la autoritatea de supraveghere, la cererea acesteia sau dacă depunerea copiei este cerută de legea aplicabilă privind protecția datelor. |
(2) |
Părțile convin că autoritatea de supraveghere are dreptul să efectueze un audit la importatorul de date și la oricare dintre subcontractanți, în aceeași măsură și aceleași condiții care s-ar aplica unui audit efectuat la exportatorul de date în temeiul legii aplicabile privind protecția datelor. |
(3) |
Importatorul de date informează fără întârziere exportatorul de date privind existența unei legislații care se aplică în cazul său sau al oricărui subcontractant, care împiedică efectuarea unui audit la importatorul de date, sau la oricare dintre subcontractanți, în temeiul alineatului (2). Într-un astfel de caz, exportatorul de date are dreptul să ia măsurile prevăzute de clauza 5 litera (b). |
Clauza 9
Legea aplicabilă
Clauzele sunt guvernate de legea statului membru în care este stabilit exportatorul de date, anume …
Clauza 10
Modificarea contractului
Părțile se angajează să nu varieze sau modifice termenii clauzelor. Acest lucru nu împiedică părțile să adauge clauze comerciale, după caz, cu condiția ca acestea să nu contravină clauzei.
Clauza 11
Subcontractarea serviciilor de prelucrare a datelor
(1) |
Importatorul de date nu subcontractează niciuna dintre operațiunile de prelucrare efectuate în numele exportatorului de date în temeiul clauzelor fără acordul în scris dat în prealabil de exportatorul de date. În cazul în care importatorul de date, având acordul exportatorului de date, își subcontractează obligațiile în temeiul prezentelor clauze, o face numai prin intermediul unui acord scris cu subcontractantul, care îi impune acestuia aceleași obligații ca cele impuse importatorului de date în temeiul prezentelor clauze (3). În cazul în care subcontractantul nu își îndeplinește obligațiile privind protecția datelor în temeiul unui astfel de acord scris, importatorul de date este pe deplin responsabil față de exportatorul de date pentru respectarea, de către subcontractant, a obligațiilor în temeiul acordului respectiv. |
(2) |
Contractul scris prealabil dintre importatorul de date și subcontractant prevede, de asemenea, o clauză a terțului beneficiar, astfel cum este menționat la clauza 3, pentru cazurile în care persoana vizată nu poate introduce acțiunea în despăgubiri prevăzută de clauza 6 alineatul (1) împotriva exportatorului de date și importatorului de date, întrucât aceștia au dispărut în fapt, și-au încetat existența de drept sau au devenit insolvabili și nici o entitate succesoare nu și-a asumat toate obligațiile juridice ale exportatorului de date și ale importatorului de date prin contract sau prin efectul legii. O astfel de răspundere civilă față de terțe părți a subcontractantului se limitează la propriile operațiuni de prelucrare în temeiul clauzelor. |
(3) |
Dispozițiile privind aspectele de protecție a datelor pentru subcontractarea contractului menționat la alineatul (1) sunt guvernate de legea statului membru în care este stabilit exportatorul de date, anume … |
(4) |
Exportatorul de date păstrează o listă a acordurilor de subcontractare a serviciilor de prelucrare a datelor încheiate în temeiul clauzelor și notificate de către importatorul de date în temeiul clauzei 5 litera (j), care se actualizează cel puțin o dată pe an. Lista este la dispoziția autorității de supraveghere a protecției datelor a exportatorului de date. |
Clauza 12
Obligații după încheierea serviciilor de prelucrare a datelor cu caracter personal
(1) |
Părțile convin că, la încheierea furnizării serviciilor de prelucrare a datelor cu caracter personal, la alegerea exportatorului de date, importatorul de date și subcontractantul returnează toate datele cu caracter personal transferate, precum și copiile acestora, sau distrug toate datele cu caracter personal, confirmând exportatorului de date că au făcut acest lucru, cu excepția cazului în care legislația aplicabilă importatorului de date îl împiedică să returneze sau să distrugă integral sau parțial datele cu caracter personal transferate. În acest caz, importatorul de date garantează că va asigura confidențialitatea datelor cu caracter personal transferate și nu le va mai prelucra în mod activ. |
(2) |
Importatorul de date și subcontractantul garantează că, la cererea exportatorului de date și/sau a autorității de supraveghere, își prezintă facilitățile privind prelucrarea datelor în scopul auditului măsurilor menționate la alineatul (1). |
În numele exportatorului de date:
Numele (în întregime): …
Funcția sau calitatea: …
Adresa: …
Alte informații necesare astfel încât contractul să fie obligatoriu (dacă este cazul):
|
Semnătura … |
În numele importatorului de date:
Numele (în întregime): …
Funcția sau calitatea: …
Adresa: …
Alte informații necesare astfel încât contractul să fie obligatoriu (dacă este cazul):
|
Semnătura … |
(1) Părțile pot reproduce definițiile și sensurile prevăzute de Directiva 95/46/CE în cadrul prezentei clauze în cazul în care consideră că, astfel, contractul este de sine stătător.
(2) Cerințele imperative ale legislației naționale aplicabile importatorului de date care nu depășesc ceea ce este necesar într-o societate democratică pe baza unuia dintre interesele enumerate la articolul 13 alineatul (1) din Directiva 95/46/CE, adică dacă reprezintă o măsură necesară salvgardării siguranței naționale, apărării, securității publice, prevenirii, cercetării, identificării și urmăririi în justiție a infracțiunilor sau a încălcării deontologiei în cazul profesiilor reglementate, unui interes economic sau financiar important al statului sau protecției persoanei vizate sau a drepturilor și libertăților celorlalți, nu sunt în contradicție cu clauzele contractuale tip. Câteva exemple de astfel de cerințe imperative care nu depășesc ceea ce este necesar într-o societate democratică sunt, printre altele, sancțiunile recunoscute la nivel internațional, obligațiile de declarație fiscală sau obligațiile de declarație în cadrul luptei contra spălării banilor.
(3) Această cerință poate fi satisfăcută dacă subcontractantul cosemnează contractul încheiat între exportatorul de date și importatorul de date în temeiul prezentei decizii.
Apendicele 1
La clauzele contractuale TIP
Prezentul apendice face parte integrantă din clauze și trebuie completat și semnat de părți
Statele membre pot completa sau preciza, în conformitate cu propriile proceduri naționale, orice informații suplimentare necesare care să fie incluse în prezentul apendice
Exportatorul de date
Exportatorul de date este (vă rugăm să precizați pe scurt activitățile dumneavoastră, relevante pentru transfer):
…
…
…
Importatorul de date
Importatorul de date este (vă rugăm să precizați pe scurt activitățile relevante pentru transfer):
…
…
…
Persoanele vizate
Datele cu caracter personal se referă la următoarele categorii de persoane vizate (vă rugăm să precizați):
…
…
…
Categorii de date
Datele cu caracter personal se referă la următoarele categorii de date (vă rugăm să precizați):
…
…
…
Categorii speciale de date (dacă este cazul)
Datele cu caracter personal se referă la următoarele categorii speciale de date (vă rugăm să precizați):
…
…
…
Operațiuni de prelucrare
Datele cu caracter personal transferate vor face obiectul următoarelor activități de prelucrare de bază (vă rugăm să precizați):
…
…
…
|
EXPORTATORUL DE DATE Nume: … Semnătură autorizată … |
|
IMPORTATORUL DE DATE Nume: … Semnătură autorizată … |
Apendicele 2
la clauzele contractuale TIP
Prezentul apendice face parte integrantă din clauze și trebuie completat și semnat de părți
Descrierea măsurilor tehnice și organizatorice de securitate puse în aplicare de importatorul de date în conformitate cu clauza 4 litera (d) și clauza 5 litera (c) (sau cu documentele/legislația anexate):
…
…
…
…
EXEMPLU DE CLAUZĂ DE DESPĂGUBIRE (OPțIONALĂ)
Răspundere
Părțile convin ca, în cazul în care una dintre părți este răspunzătoare de o încălcare a clauzelor comisă de cealaltă parte, aceasta din urmă va despăgubi, în măsura responsabilității sale, cealaltă parte pentru costurile, sarcinile, prejudiciile, cheltuielile sau pierderea pe care i le-a provocat.
Despăgubirea este condiționată de următoarele aspecte:
(a) |
exportatorul de date notifică fără întârziere importatorului de date existența unei cereri de despăgubire; și |
(b) |
importatorului de date i se dă posibilitatea de a coopera cu exportatorul de date privind apărarea și soluționarea cererii de despăgubire (1). |
(1) Paragraful privind responsabilitatea este opțional.