12.2.2010   

RO

Jurnalul Oficial al Uniunii Europene

L 39/5

(1)

În temeiul Directivei 95/46/CE, statelor membre li se solicită să se asigure că transferul de date cu caracter personal către o țară terță poate avea loc numai dacă țara terță în cauză asigură un nivel adecvat de protecție a datelor și dacă legile statelor membre respective, care sunt în conformitate cu celelalte dispoziții ale directivei, sunt respectate înainte de transferul datelor.

(2)

Cu toate acestea, articolul 26 alineatul (2) din Directiva 95/46/CE prevede că statele membre pot autoriza, sub rezerva anumitor garanții, transferul sau o serie de transferuri de date cu caracter personal către țări terțe care nu asigură un nivel de protecție adecvat. Aceste garanții pot rezulta mai ales din clauze contractuale corespunzătoare.

(3)

În temeiul Directivei 95/46/CE, nivelul de protecție a datelor ar trebui evaluat pe baza tuturor circumstanțelor referitoare la un transfer sau la o serie de transferuri. Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal instituit în temeiul directivei menționate a publicat orientări pentru a facilita această evaluare.

(4)

Clauzele contractuale tip ar trebui să se refere numai la protecția datelor. Prin urmare, exportatorul de date și importatorul de date sunt liberi să includă orice alte clauze comerciale pe care le consideră relevante pentru contract, cu condiția ca acestea să nu contravină clauzelor contractuale tip.

(5)

Prezenta decizie nu ar trebui să aducă atingere autorizațiilor naționale pe care statele membre le pot acorda în conformitate cu dispozițiile naționale de punere în aplicare a articolului 26 alineatul (2) din Directiva 95/46/CE. Prezenta decizie ar trebui să aibă numai efectul de a impune statelor membre să nu refuze să recunoască faptul că clauzele contractuale prevăzute de aceasta oferă garanții corespunzătoare, prin urmare decizia nu ar trebui să aibă niciun efect asupra altor clauze contractuale.

(6)

Decizia 2002/16/CE a Comisiei din 27 decembrie 2001 privind clauzele contractuale tip pentru transferul de date cu caracter personal către procesatorii de date stabiliți în țări terțe, în temeiul Directivei 95/46/CE (2), a fost adoptată pentru a facilita transferul de date cu caracter personal de la un operator de date stabilit în Uniunea Europeană către o persoană împuternicită de către operator stabilită într-o țară terță care nu oferă un nivel corespunzător de protecție a datelor.

(7)

De la adoptarea Deciziei 2002/16/CE s-a acumulat o experiență considerabilă. În plus, raportul privind punerea în aplicare a deciziilor privind clauzele contractuale tip pentru transferurile de date cu caracter personal către țările terțe (3) a arătat că există un interes crescând cu privire la promovarea utilizării clauzelor contractuale tip pentru transferurile internaționale de date cu caracter personal către țări terțe care nu oferă un nivel corespunzător de protecție a datelor. În plus, părțile interesate au prezentat propuneri în vederea actualizării clauzelor contractuale prevăzute de Decizia 2002/16/CE, pentru a se lua în considerare creșterea rapidă a activităților de prelucrare a datelor la nivel global, precum și pentru a se aborda anumite aspecte care nu au făcut obiectul deciziei menționate (4).

(8)

Domeniul de aplicare al prezentei decizii ar trebui limitat la stabilirea faptului că clauzele pe care le prevede pot fi utilizate de un operator de date stabilit în Uniunea Europeană pentru a oferi garanții corespunzătoare în sensul articolului 26 alineatul (2) din Directiva 95/46/CE privind transferul de date cu caracter personal către o persoană împuternicită de către operator stabilită într-o țară terță.

(9)

Prezenta decizie nu ar trebui să se aplice transferului de date cu caracter personal efectuat de operatorii de date stabiliți în Uniunea Europeană către operatorii de date stabiliți în afara Uniunii Europene, care intră în domeniul de aplicare al Deciziei 2001/497/CE a Comisiei din 15 iunie 2001 privind clauzele contractuale standard pentru transferul de date cu caracter personal către țările terțe în temeiul Directivei 95/46/CE (5).

(10)

Prezenta decizie ar trebui să pună în aplicare obligația prevăzută la articolul 17 alineatul (3) din Directiva 95/46/CE și nu ar trebui să aducă atingere conținutului contractelor sau actelor juridice stabilite în temeiul dispoziției menționate. Cu toate acestea, ar trebui incluse unele dintre clauzele contractuale tip, în special în ceea ce privește obligațiile exportatorului de date, pentru a face mai clare dispozițiile susceptibile de a fi incluse într-un contract încheiat între un operator de date și o persoană împuternicită de către acesta.

(11)

Autoritățile de supraveghere din statele membre joacă un rol esențial în acest mecanism contractual, asigurând că datele cu caracter personal sunt corespunzător protejate după efectuarea transferului. În cazurile excepționale în care exportatorii de date refuză sau nu sunt în măsură să-l instruiască pe importatorul de date în mod corespunzător și există un risc iminent de prejudiciere a persoanelor vizate, clauzele contractuale tip ar trebui să permită autorităților de supraveghere să efectueze un audit la importatorii de date și la subcontractanți și, după caz, să ia decizii cu caracter obligatoriu pentru aceștia. Autoritățile de supraveghere ar trebui să aibă competența de a interzice sau suspenda un transfer sau o serie de transferuri de date pe baza clauzelor contractuale tip în acele cazuri excepționale în care s-a stabilit că transferul pe bază de contract este susceptibil să aibă efecte negative asupra garanțiilor și obligațiilor care oferă persoanelor vizate protecția adecvată.

(12)

Clauzele contractuale tip ar trebui să prevadă măsurile tehnice și organizatorice de securitate pe care ar trebui să le aplice persoana împuternicită de către operator stabilită într-o țară terță care nu oferă protecția adecvată, care să asigure nivelul de securitate corespunzător pentru riscurile reprezentate de prelucrarea și natura datelor care trebuie protejate. Părțile ar trebui să prevadă în contract măsurile tehnice și organizatorice care, având în vedere legea aplicabilă privind protecția datelor, nivelul tehnologic și costul punerii în aplicare a acestora, sunt necesare pentru a proteja datele cu caracter personal împotriva distrugerii accidentale sau ilicite sau a pierderii accidentale, modificării, divulgării sau accesului neautorizat sau a oricăror alte forme ilegale de prelucrare.

(13)

Pentru a facilita circuitul datelor dinspre Uniunea Europeană, este de dorit să se permită persoanelor împuternicite de către operator care oferă servicii de prelucrare a datelor mai multor operatori de date din Uniunea Europeană să aplice aceleași măsuri tehnice și organizatorice de securitate, indiferent de statul membru în care își are originea transferul de date, în special în cazurile în care importatorul de date le primește, în vederea prelucrării ulterioare, de la diverse structuri ale exportatorului de date din Uniunea Europeană, situație în care ar trebui să se aplice legea statului membru de stabilire desemnat.

(14)

Este oportun să se stabilească informațiile minime pe care părțile ar trebui să le specifice în contractul cu privire la transfer. Statele membre ar trebui să-și mențină competența de a preciza informațiile pe care trebuie să le furnizeze părțile. Aplicarea prezentei decizii ar trebui revizuită prin prisma experienței dobândite.

(15)

Importatorul de date ar trebui să prelucreze datele cu caracter personal transferate numai în numele exportatorului de date și în conformitate cu instrucțiunile acestuia și obligațiile cuprinse în clauze. În special, importatorul de date nu ar trebui să divulge datele cu caracter personal unei părți terțe fără acordul în scris dat în prealabil de exportatorul de date. Exportatorul de date ar trebui să-l instruiască pe importatorul de date pe toată durata serviciilor de prelucrare a datelor să realizeze această prelucrare în conformitate cu instrucțiunile sale, cu legile aplicabile privind protecția datelor și cu obligațiile cuprinse în clauze.

(16)

Raportul referitor la punerea în aplicare a deciziilor privind clauzele contractuale tip pentru transferul de date cu caracter personal către țările terțe a recomandat instituirea unor clauze contractuale tip corespunzătoare privind transferurile ulterioare de la o persoană împuternicită de către operator stabilită într-o țară terță către o altă persoană similară (subcontractare a serviciilor de prelucrare a datelor), pentru a lua în considerare tendințele și practicile comerciale pentru activitatea de prelucrare a datelor, din ce în ce mai globalizată.

(17)

Prezenta decizie ar trebui să cuprindă clauze contractuale tip privind subcontractarea, de către o persoană împuternicită de către operator stabilită într-o țară terță (importatorul de date), a serviciilor sale de prelucrare către alte persoane similare (subcontractanți) stabilite în țări terțe. În plus, această decizie ar trebui să stabilească condițiile pe care ar trebui să le îndeplinească subcontractarea serviciilor de prelucrare a datelor pentru a se asigura că datele cu caracter personal care sunt transferate continuă să fie protejate fără aduce atingere transferului ulterior unui subcontractant.

(18)

În plus, subcontractarea serviciilor de prelucrare a datelor ar trebui să cuprindă numai operațiunile convenite în cadrul contractului încheiat între exportatorul de date și importatorul de date, să includă clauzele contractuale tip prevăzute de prezenta decizie și nu ar trebui să se refere la operațiuni de prelucrare sau scopuri diferite, astfel încât să fie respectat principiul limitării scopului prevăzut de Directiva 95/46/CE. Mai mult, în cazul în care subcontractantul nu își îndeplinește propriile obligații privind prelucrarea datelor în temeiul unui astfel de contract, importatorul de date ar trebui să fie responsabil față de exportatorul de date. Transferul datelor cu caracter personal către persoanele împuternicite de către operator stabilite în afara Uniunii Europene nu aduce atingere faptului că activitățile de prelucrare ar trebui să fie reglementate în orice caz de legea aplicabilă privind protecția datelor.

(19)

Clauzele contractuale tip ar trebui să aibă caracter executoriu nu numai de către organizațiile care sunt părți contractuale, ci și de persoanele vizate, în special în cazul în care acestea suferă un prejudiciu în urma nerespectării contractului.

(20)

Persoana vizată ar trebui să aibă dreptul de a introduce o acțiune în instanță și, după caz, de a primi despăgubiri din partea exportatorului de date care este operatorul de date cu caracter personal transferate. În mod excepțional, persoana vizată ar trebui să aibă și dreptul de a introduce o acțiune în instanță și, după caz, de a primi despăgubiri din partea importatorului de date în cazurile în care importatorul de date sau oricare dintre subcontractanții sub nivelul său nu își respectă una dintre obligațiile prevăzute de clauza 3 alineatul (2), în situația în care exportatorul de date a dispărut în fapt, și-a încetat existența de drept sau a devenit insolvabil. În mod excepțional, persoana vizată ar trebui să aibă și dreptul de a introduce o acțiune în instanță și, după caz, de a primi despăgubiri din partea subcontractantului în cazurile în care atât exportatorul de date, cât și importatorul de date au dispărut în fapt, și-au încetat existența de drept sau au devenit insolvabili. O astfel de răspundere civilă față de terțe părți a subcontractantului ar trebui limitată la propriile operațiuni de prelucrare în temeiul clauzelor contractuale.

(21)

În cazul în care un litigiu între persoana vizată, care invocă clauza terțului beneficiar, și importatorul de date nu se rezolvă pe cale amiabilă, importatorul de date ar trebui să ofere persoanei vizate posibilitatea de a alege între mediere sau introducerea unei acțiuni în justiție. Persoana vizată va avea posibilitate efectivă de a alege în măsura existenței unor sisteme de mediere de încredere și recunoscute. Medierea de către autoritățile de supraveghere a protecției datelor din statele membre în care este stabilit exportatorul de date ar trebui să fie o opțiune în cazul în care aceste autorități oferă acest serviciu.

(22)

Contractul ar trebui să fie guvernat de legea statului membru în care este stabilit exportatorul de date și care permite unui terț beneficiar să execute un contract. Persoanele vizate ar trebui să poată fi reprezentate de către asociații sau alte organisme, dacă o doresc și dacă este permis de legislația națională. Aceeași lege ar trebui să guverneze dispozițiile privind protecția datelor din orice contract cu un subcontractant, în vederea subcontractării activităților de prelucrare a datelor cu caracter personal transferate de exportatorul de date importatorului de date în temeiul clauzelor contractuale.

(23)

Întrucât prezenta decizie se aplică subcontractării operațiunilor de prelucrare a datelor de către un operator stabilit într-o țară terță unui subcontractant stabilit într-o altă țară terță, aceasta n-ar trebui să se aplice situației în care o persoană împuternicită de către operator stabilită în Uniunea Europeană, care efectuează prelucrarea datelor cu caracter personal în numele unui operator stabilit în Uniunea Europeană, își subcontractează operațiunile de prelucrare a datelor unui subcontractant stabilit într-o țară terță. În astfel de situații, statele membre sunt libere să ia în considerare faptul că principiile și garanțiile clauzelor contractuale stabilite în prezenta decizie au fost utilizate pentru a subcontracta serviciile unui subcontractant stabilit într-o țară terță cu intenția de a oferi protecția adecvată a drepturilor persoanelor vizate, ale căror date sunt transferate pentru operațiunile de subcontractare a serviciilor de prelucrare a datelor.

(24)

Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal stabilit în temeiul articolului 29 din Directiva 95/46/CE și-a dat avizul cu privire la nivelul de protecție oferit pe baza clauzelor contractuale tip anexate la prezenta decizie, aviz care a fost luat în considerare în pregătirea prezentei decizii.

(25)

Decizia 2002/16/CE ar trebui abrogată.

(26)

Măsurile prevăzute de prezenta decizie sunt conforme cu avizul comitetului instituit în temeiul articolului 31 din Directiva 95/46/CE,

(a)

„categorii speciale de date” înseamnă datele menționate la articolul 8 din Directiva 95/46/CE;

(b)

„autorități de supraveghere” înseamnă autoritățile menționate la articolul 28 din Directiva 95/46/CE;

(c)

„exportator de date” înseamnă operatorul care transferă datele cu caracter personal;

(d)

„importator de date” înseamnă persoana împuternicită de către operator stabilită într-o țară terță care este de acord să primească de la exportatorul de date datele cu caracter personal destinate prelucrării în numele exportatorului de date, în urma transferului, în conformitate cu instrucțiunile acestuia și cu condițiile prezentei decizii, și care nu este supusă unui sistem al unei țări terțe capabil să asigure o protecție adecvată, în sensul articolului 25 alineatul (1) din Directiva 95/46/CE;

(e)

„subcontractant” înseamnă orice persoană împuternicită de către operator angajată de importatorul de date sau de orice alt subcontractant al acestuia, care este de acord să primească de la importatorul de date sau de la orice alt subcontractant al acestuia datele cu caracter personal destinate exclusiv activităților de prelucrare care urmează să fie efectuate în numele exportatorului de date, în urma transferului, în conformitate cu instrucțiunile acestuia, cu condițiile stabilite în anexă și cu condițiile contractului scris de subcontractare a serviciilor de prelucrare a datelor;

(f)

„legea aplicabilă protecției datelor” înseamnă legislația care protejează drepturile și libertățile fundamentale ale particularilor și, în special, dreptul lor la viață privată cu privire la prelucrarea datelor cu caracter personal, aplicabilă operatorului de date din statul membru în care este stabilit exportatorul de date;

(g)

„măsuri tehnice și organizatorice de securitate” înseamnă măsurile menite să protejeze datele cu caracter personal împotriva distrugerii accidentale sau ilegale sau a pierderii accidentale, modificării, divulgării sau accesului neautorizat, în special atunci când prelucrarea presupune transmiterea datelor într-o rețea, precum și împotriva oricărei alte forme de prelucrare ilegală.

(a)

s-a stabilit că legea căreia i se supune importatorul de date sau subcontractantul îl obligă pe acesta să deroge de la legea aplicabilă protecției datelor cu caracter personal, care depășește restricțiile necesare într-o societate democratică, după cum prevede articolul 13 din Directiva 95/46/CE, atunci când obligațiile respective sunt susceptibile de a avea efecte negative importante asupra garanțiilor oferite de legea aplicabilă protecției datelor cu caracter personal și clauzele contractuale tip;

(b)

o autoritate competentă a stabilit că importatorul de date sau subcontractantul nu a respectat clauzele contractuale tip din anexă; sau

(c)

există o probabilitate mare de nerespectare în prezent sau în viitor a clauzelor contractuale tip din anexă și de creare a unui risc iminent de prejudiciere gravă a persoanelor vizate ca urmare a continuării transferului de date.