|
17.12.2016 |
RO |
Jurnalul Oficial al Uniunii Europene |
L 344/83 |
DECIZIA DE PUNERE ÎN APLICARE (UE) 2016/2295 A COMISIEI
din 16 decembrie 2016
de modificare a Deciziilor 2000/518/CE, 2002/2/CE, 2003/490/CE, 2003/821/CE, 2004/411/CE, 2008/393/CE, 2010/146/UE, 2010/625/UE și 2011/61/UE și a Deciziilor de punere în aplicare 2012/484/UE și 2013/65/UE referitoare la protejarea adecvată a datelor cu caracter personal de către anumite țări, în temeiul articolului 25 alineatul (6) din Directiva 95/46/CE a Parlamentului European și a Consiliului
[notificată cu numărul C(2016) 8353]
(Text cu relevanță pentru SEE)
COMISIA EUROPEANĂ,
având în vedere Tratatul privind funcționarea Uniunii Europene,
având în vedere Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (1), în special articolul 25 alineatul (6),
după consultarea Autorității Europene pentru Protecția Datelor,
întrucât:
|
(1) |
În hotărârea sa din 6 octombrie 2015 în cauza C-362/14 Maximillian Schrems/Data Protection Commissioner (comisarul pentru protecția datelor) (2), Curtea de Justiție a Uniunii Europene a constatat că, prin adoptarea articolului 3 din Decizia 2000/520/CE (3), Comisia și-a depășit competențele care îi sunt conferite la articolul 25 alineatul (6) din Directiva 95/46/CE, interpretat în lumina Cartei drepturilor fundamentale a Uniunii, și a declarat nevalid articolul 3 din decizia respectivă. |
|
(2) |
În pofida constatării Comisiei referitoare la caracterul adecvat al protecției, articolul 3 alineatul (1) primul paragraf din Decizia 2000/520/CE prevedea condiții restrictive în care autoritățile naționale de supraveghere puteau hotărî să suspende fluxurile de date către o societate americană autocertificată. |
|
(3) |
În hotărârea sa în cauza Schrems, Curtea de Justiție a clarificat faptul că supravegherea transferului datelor cu caracter personal către o țară terță care a făcut obiectul unei decizii a Comisiei privind caracterul adecvat al protecției datelor rămâne în continuare de competența autorităților naționale de supraveghere, iar Comisia nu are competența de a restrânge competențele autorităților respective, astfel cum sunt prevăzute la articolul 28 din Directiva 95/46/CE. În temeiul articolului respectiv, autoritățile în cauză dețin în special competențe de investigare, cum ar fi competența de a colecta toate informațiile necesare pentru îndeplinirea atribuțiilor lor de supraveghere, competențe efective de intervenție, cum ar fi cea de a aplica o interdicție temporară sau definitivă cu privire la prelucrarea datelor, și competența de a acționa în justiție (4). |
|
(4) |
Curtea de Justiție a amintit în hotărârea Schrems faptul că, în conformitate cu articolul 25 alineatul (6) al doilea paragraf din Directiva 95/46/CE, statele membre și organele acestora trebuie să ia măsurile necesare pentru a se conforma actelor instituțiilor Uniunii, întrucât acestea din urmă beneficiază, în principiu, de o prezumție de legalitate și produc, așadar, efecte juridice atât timp cât nu au fost revocate, anulate în cadrul unei acțiuni în anulare sau declarate nevalide în urma unei trimiteri preliminare sau a unei excepții de nelegalitate. |
|
(5) |
Prin urmare, o decizie a Comisiei privind caracterul adecvat, adoptată în temeiul articolului 25 alineatul (6) din Directiva 95/46/CE, este obligatorie pentru toate organele statelor membre cărora le este adresată, inclusiv pentru autoritățile independente de supraveghere ale statelor respective, în măsura în care are drept efect autorizarea transferurilor de date cu caracter personal de către statul membru respectiv către țara terță care face obiectul deciziei respective (5). Așadar, autoritățile naționale de supraveghere nu pot adopta măsuri contrare unei decizii a Comisiei privind caracterul adecvat, de exemplu acte prin care decizia respectivă este declarată nevalidă sau care sunt menite să stabilească cu efect obligatoriu că țara terță care face obiectul deciziei respective nu asigură un nivel adecvat de protecție. Astfel cum se preciza în hotărârea Schrems, acest lucru nu împiedică o autoritate națională de supraveghere să examineze plângerea unei persoane referitoare la nivelul de protecție a datelor cu caracter personal garantat într-o țară terță care face obiectului unei decizii a Comisiei privind caracterul adecvat și, în cazul în care consideră întemeiată respectiva plângere, să introducă o acțiune în fața instanțelor naționale pentru ca acestea, în cazul în care au și ele îndoieli cu privire la valabilitatea deciziei Comisiei, să poate introduce o trimitere preliminară pentru a examina valabilitatea deciziei respective (6). |
|
(6) |
Deciziile 2000/518/CE (7), 2002/2/CE (8), 2003/490/CE (9), 2003/821/CE (10), 2004/411/CE (11), 2008/393/CE (12), 2010/146/UE (13), 2010/625/UE (14) și 2011/61/UE (15) ale Comisiei și Deciziile de punere în aplicare 2012/484/UE (16) și 2013/65/UE (17) ale Comisiei, care sunt decizii privind caracterul adecvat, prevăd o limitare a competențelor autorităților naționale de supraveghere comparabilă cu cea prevăzută la articolul 3 alineatul (1) primul paragraf din Decizia 2000/520/CE, articol declarat nevalid de Curtea de Justiție. |
|
(7) |
În lumina hotărârii Schrems și în temeiul articolului 266 din tratat, ar trebui, prin urmare, să se înlocuiască dispozițiile din aceste decizii care limitează competențele autorităților naționale de supraveghere. |
|
(8) |
În hotărârea pronunțată în cauza Schrems, Curtea de Justiție a clarificat, de asemenea, faptul că, întrucât nivelul de protecție asigurat de o țară terță poate suferi modificări, este responsabilitatea Comisiei, după ce a adoptat o decizie în temeiul articolului 25 alineatul (6) din Directiva 95/46/CE, să verifice la intervale regulate dacă este în continuare justificată din punct de vedere factual și juridic (18) constatarea sa referitoare la caracterul adecvat al nivelului de protecție asigurat de țara terță în cauză. În lumina celor statuate în hotărârea respectivă cu privire la accesul autorităților publice la datele cu caracter personal, normele și practicile care reglementează accesul la date ar trebui și ele să facă obiectul monitorizării. |
|
(9) |
Prin urmare, pentru țările în cazul cărora a adoptat o decizie privind caracterul adecvat, Comisia va monitoriza în permanență evoluțiile legislative și de ordin practic care ar putea afecta aplicarea deciziilor în cauză, inclusiv evoluțiile în ceea ce privește accesul autorităților publice la datele cu caracter personal. |
|
(10) |
Pentru a facilita monitorizarea eficace a funcționării deciziilor în vigoare privind caracterul adecvat, Comisia ar trebui să fie informată de către statele membre în legătură cu acțiunile relevante întreprinse de către autoritățile lor de supraveghere. |
|
(11) |
Grupul de lucru pentru protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal, înființat în temeiul articolului 29 din Directiva 95/46/CE, a emis un aviz, de care s-a ținut seama la elaborarea prezentei decizii. |
|
(12) |
Măsurile prevăzute în prezenta decizie sunt conforme cu avizul comitetului instituit în temeiul articolului 31 alineatul (1) din Directiva 95/46/CE. |
|
(13) |
Deciziile 2000/518/CE, 2002/2/CE, 2003/490/CE, 2003/821/CE, 2004/411/CE, 2008/393/CE, 2010/146/UE, 2010/625/UE și 2011/61/UE ale Comisiei și Deciziile de punere în aplicare 2012/484/UE și 2013/65/UE ale Comisiei ar trebui, prin urmare, să fie modificate în consecință, |
ADOPTĂ PREZENTA DECIZIE:
Articolul 1
Decizia 2000/518/CE se modifică după cum urmează:
|
1. |
Articolul 3 se înlocuiește cu următorul text: „Articolul 3 Ori de câte ori autoritățile competente din statele membre își exercită competențele prevăzute la articolul 28 alineatul (3) din Directiva 95/46/CE, antrenând suspendarea sau interdicția definitivă a fluxurilor de date către Elveția în vederea asigurării protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal, statul membru în cauză informează fără întârziere Comisia, care va transmite mai departe informațiile respective celorlalte state membre.” |
|
2. |
Se introduce următorul articol 3a: „Articolul 3a (1) Comisia monitorizează în permanență evoluțiile cadrului legislativ din Elveția care ar putea afecta punerea în aplicare a prezentei decizii, inclusiv evoluțiile legate de accesul autorităților publice la datele cu caracter personal, pentru a putea aprecia dacă Elveția continuă să asigure un nivel adecvat de protecție a datelor cu caracter personal. (2) Statele membre și Comisia se informează reciproc cu privire la cazurile în care măsurile luate de organismele responsabile cu asigurarea respectării standardelor de protecție în Elveția nu își ating scopul. (3) Statele membre și Comisia se informează reciproc cu privire la orice indicații că ar exista, din partea autorităților publice din Elveția responsabile cu securitatea națională, asigurarea respectării legii sau alte interese publice, ingerințe în ceea ce privește dreptul persoanelor fizice la protecția datelor lor cu caracter personal care depășesc ceea ce este strict necesar sau că nu ar exista o protecție juridică eficace împotriva unor astfel de ingerințe. (4) În cazul în care din dovezile colectate reiese că nu mai este asigurat un nivel adecvat de protecție, inclusiv în situațiile menționate la prezentul articol alineatele (2) și (3), Comisia informează autoritatea competentă din Elveția și, în cazul în care este necesar, prezintă un proiect de măsuri în conformitate cu procedura menționată la articolul 31 alineatul (2) din Directiva 95/46/CE, în vederea abrogării sau a suspendării prezentei decizii ori a limitării sferei sale de aplicare.” |
Articolul 2
Decizia 2002/2/CE se modifică după cum urmează:
|
1. |
Articolul 3 se înlocuiește cu următorul text: „Articolul 3 Ori de câte ori autoritățile competente din statele membre își exercită competențele prevăzute la articolul 28 alineatul (3) din Directiva 95/46/CE, antrenând suspendarea sau interdicția definitivă a fluxurilor de date către un destinatar din Canada ale cărui activități intră sub incidența Legii canadiene referitoare la protecția informațiilor cu caracter personal și documentele electronice în vederea asigurării protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal, statul membru în cauză informează fără întârziere Comisia, care va transmite mai departe informațiile respective celorlalte state membre.” |
|
2. |
Se introduce următorul articol 3a: „Articolul 3a (1) Comisia monitorizează în permanență evoluțiile cadrului legislativ din Canada care ar putea afecta punerea în aplicare a prezentei decizii, inclusiv evoluțiile legate de accesul autorităților publice la datele cu caracter personal, pentru a putea aprecia dacă în Canada continuă să se asigure un nivel adecvat de protecție a datelor cu caracter personal. (2) Statele membre și Comisia se informează reciproc cu privire la cazurile în care măsurile luate de organismele responsabile cu asigurarea respectării standardelor de protecție în Canada nu își ating scopul. (3) Statele membre și Comisia se informează reciproc cu privire la orice indicații că ar exista, din partea autorităților publice din Canada responsabile cu securitatea națională, asigurarea respectării legii sau alte interese publice, ingerințe în ceea ce privește dreptul persoanelor fizice la protecția datelor lor cu caracter personal care depășesc ceea ce este strict necesar sau că nu ar exista o protecție juridică eficace împotriva unor astfel de ingerințe. (4) În cazul în care din dovezile colectate reiese că nu mai este asigurat un nivel adecvat de protecție, inclusiv în situațiile menționate la prezentul articol alineatele (2) și (3), Comisia informează autoritatea competentă din Canada și, în cazul în care este necesar, prezintă un proiect de măsuri în conformitate cu procedura menționată la articolul 31 alineatul (2) din Directiva 95/46/CE în vederea abrogării sau a suspendării prezentei decizii ori a limitării sferei sale de aplicare.” |
Articolul 3
Decizia 2003/490/CE se modifică după cum urmează:
|
1. |
Articolul 3 se înlocuiește cu următorul text: „Articolul 3 Ori de câte ori autoritățile competente din statele membre își exercită competențele prevăzute la articolul 28 alineatul (3) din Directiva 95/46/CE, antrenând suspendarea sau interdicția definitivă a fluxurilor de date către Argentina, în vederea asigurării protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal, statul membru în cauză informează fără întârziere Comisia, care va transmite mai departe informațiile respective celorlalte state membre.” |
|
2. |
Se introduce următorul articol 3a: „Articolul 3a (1) Comisia monitorizează în permanență evoluțiile cadrului legislativ din Argentina care ar putea afecta punerea în aplicare a prezentei decizii, inclusiv evoluțiile legate de accesul autorităților publice la datele cu caracter personal, pentru a putea aprecia dacă Argentina continuă să asigure un nivel adecvat de protecție a datelor cu caracter personal. (2) Statele membre și Comisia se informează reciproc cu privire la cazurile în care măsurile luate de organismele responsabile cu asigurarea respectării standardelor de protecție în Argentina nu își ating scopul. (3) Statele membre și Comisia se informează reciproc cu privire la orice indicații că ar exista, din partea autorităților publice din Argentina responsabile cu securitatea națională, asigurarea respectării legii sau alte interese publice, ingerințe în ceea ce privește dreptul persoanelor fizice la protecția datelor lor cu caracter personal care depășesc ceea ce este strict necesar sau că nu ar exista o protecție juridică eficace împotriva unor astfel de ingerințe. (4) În cazul în care din dovezile colectate reiese că nu mai este asigurat un nivel adecvat de protecție, inclusiv în situațiile menționate la prezentul articol alineatele (2) și (3), Comisia informează autoritatea competentă din Argentina și, în cazul în care este necesar, prezintă un proiect de măsuri, în conformitate cu procedura menționată la articolul 31 alineatul (2) din Directiva 95/46/CE, în vederea abrogării sau a suspendării prezentei decizii ori a limitării sferei sale de aplicare.” |
Articolul 4
În Decizia 2003/821/CE, articolele 3 și 4 se înlocuiesc cu următorul text:
„Articolul 3
Ori de câte ori autoritățile competente din statele membre își exercită competențele prevăzute la articolul 28 alineatul (3) din Directiva 95/46/CE, antrenând suspendarea sau interdicția definitivă a fluxurilor de date către Domeniul Guernsey în vederea asigurării protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal, statul membru în cauză informează fără întârziere Comisia, care va transmite mai departe informațiile respective celorlalte state membre.
Articolul 4
(1) Comisia monitorizează în permanență evoluțiile cadrului legislativ din Guernsey care ar putea afecta punerea în aplicare a prezentei decizii, inclusiv evoluțiile legate de accesul autorităților publice la datele cu caracter personal, pentru a putea aprecia dacă Guernsey continuă să asigure un nivel adecvat de protecție a datelor cu caracter personal.
(2) Statele membre și Comisia se informează reciproc cu privire la cazurile în care măsurile luate de organismele responsabile cu asigurarea respectării standardelor de protecție în Guernsey nu își ating scopul.
(3) Statele membre și Comisia se informează reciproc cu privire la orice indicații că ar exista, din partea autorităților publice din Guernsey responsabile cu securitatea națională, asigurarea respectării legii sau alte interese publice, ingerințe în ceea ce privește dreptul persoanelor fizice la protecția datelor lor cu caracter personal care depășesc ceea ce este strict necesar sau că nu ar exista o protecție juridică eficace împotriva unor astfel de ingerințe.
(4) În cazul în care din dovezile colectate reiese că nu mai este asigurat un nivel adecvat de protecție, inclusiv în situațiile menționate la prezentul articol alineatele (2) și (3), Comisia informează autoritatea competentă din Guernsey și, în cazul în care este necesar, prezintă un proiect de măsuri, în conformitate cu procedura menționată la articolul 31 alineatul (2) din Directiva 95/46/CE, în vederea abrogării sau a suspendării prezentei decizii ori a limitării sferei sale de aplicare.”
Articolul 5
În Decizia 2004/411/CE, articolele 3 și 4 se înlocuiesc cu următorul text:
„Articolul 3
Ori de câte ori autoritățile competente din statele membre își exercită competențele prevăzute la articolul 28 alineatul (3) din Directiva 95/46/CE, antrenând suspendarea sau interdicția definitivă a fluxurilor de date către Insula Man în vederea asigurării protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal, statul membru în cauză informează fără întârziere Comisia, care va transmite mai departe informațiile respective celorlalte state membre.
Articolul 4
(1) Comisia monitorizează în permanență evoluțiile cadrului legislativ din Insula Man care ar putea afecta punerea în aplicare a prezentei decizii, inclusiv evoluțiile legate de accesul autorităților publice la datele cu caracter personal, pentru a putea aprecia dacă Insula Man continuă să asigure un nivel adecvat de protecție a datelor cu caracter personal.
(2) Statele membre și Comisia se informează reciproc cu privire la cazurile în care măsurile luate de organismele responsabile cu asigurarea respectării standardelor de protecție în Insula Man nu își ating scopul.
(3) Statele membre și Comisia se informează reciproc cu privire la orice indicații că ar exista, din partea autorităților publice din Insula Man responsabile cu securitatea națională, asigurarea respectării legii sau alte interese publice, ingerințe în ceea ce privește dreptul persoanelor fizice la protecția datelor lor cu caracter personal care depășesc ceea ce este strict necesar sau că nu ar exista o protecție juridică eficace împotriva unor astfel de ingerințe.
(4) În cazul în care din dovezile colectate reiese că nu mai este asigurat un nivel adecvat de protecție, inclusiv în situațiile menționate la prezentul articol alineatele (2) și (3), Comisia informează autoritatea competentă din Insula Man și, în cazul în care este necesar, prezintă un proiect de măsuri, în conformitate cu procedura menționată la articolul 31 alineatul (2) din Directiva 95/46/CE, în vederea abrogării sau a suspendării prezentei decizii ori a limitării sferei sale de aplicare.”
Articolul 6
În Decizia 2008/393/CE, articolele 3 și 4 se înlocuiesc cu următorul text:
„Articolul 3
Ori de câte ori autoritățile competente din statele membre își exercită competențele prevăzute la articolul 28 alineatul (3) din Directiva 95/46/CE, antrenând suspendarea sau interdicția definitivă a fluxurilor de date către Jersey în vederea asigurării protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal, statul membru în cauză informează fără întârziere Comisia, care va transmite mai departe informațiile respective celorlalte state membre.
Articolul 4
(1) Comisia monitorizează în permanență evoluțiile cadrului legislativ din Jersey care ar putea afecta punerea în aplicare a prezentei decizii, inclusiv evoluțiile legate de accesul autorităților publice la datele cu caracter personal, pentru a putea aprecia dacă Jersey continuă să asigure un nivel adecvat de protecție a datelor cu caracter personal.
(2) Statele membre și Comisia se informează reciproc cu privire la cazurile în care măsurile luate de organismele responsabile cu asigurarea respectării standardelor de protecție în Jersey nu își ating scopul.
(3) Statele membre și Comisia se informează reciproc cu privire la orice indicații că ar exista, din partea autorităților publice din Jersey responsabile cu securitatea națională, asigurarea respectării legii sau alte interese publice, ingerințe în ceea ce privește dreptul persoanelor fizice la protecția datelor lor cu caracter personal care depășesc ceea ce este strict necesar sau că nu ar exista o protecție juridică eficace împotriva unor astfel de ingerințe.
(4) În cazul în care din dovezile colectate reiese că nu mai este asigurat un nivel adecvat de protecție, inclusiv în situațiile menționate la prezentul articol alineatele (2) și (3), Comisia informează autoritatea competentă din Jersey și, în cazul în care este necesar, prezintă un proiect de măsuri, în conformitate cu procedura menționată la articolul 31 alineatul (2) din Directiva 95/46/CE, în vederea abrogării sau a suspendării prezentei decizii ori a limitării sferei sale de aplicare.”
Articolul 7
În Decizia 2010/146/UE, articolele 3 și 4 se înlocuiesc cu următorul text:
„Articolul 3
Ori de câte ori autoritățile competente din statele membre își exercită competențele prevăzute la articolul 28 alineatul (3) din Directiva 95/46/CE, antrenând suspendarea sau interdicția definitivă a fluxurilor de date către un destinatar din Insulele Feroe ale cărui activități intră sub incidența Legii feroeze privind prelucrarea datelor cu caracter personal în vederea asigurării protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal, statul membru în cauză informează fără întârziere Comisia, care va transmite mai departe informațiile respective celorlalte state membre.
Articolul 4
(1) Comisia monitorizează în permanență evoluțiile cadrului legislativ din Insulele Feroe care ar putea afecta punerea în aplicare a prezentei decizii, inclusiv evoluțiile legate de accesul autorităților publice la datele cu caracter personal, pentru a putea aprecia dacă Insulele Feroe continuă să asigure un nivel adecvat de protecție a datelor cu caracter personal.
(2) Statele membre și Comisia se informează reciproc cu privire la cazurile în care măsurile luate de organismele responsabile cu asigurarea respectării standardelor de protecție în Insulele Feroe nu își ating scopul.
(3) Statele membre și Comisia se informează reciproc cu privire la orice indicații că ar exista, din partea autorităților publice din Insulele Feroe responsabile cu securitatea națională, asigurarea respectării legii sau alte interese publice, ingerințe în ceea ce privește dreptul persoanelor fizice la protecția datelor lor cu caracter personal care depășesc ceea ce este strict necesar sau că nu ar exista o protecție juridică eficace împotriva unor astfel de ingerințe.
(4) În cazul în care din dovezile colectate reiese că nu mai este asigurat un nivel adecvat de protecție, inclusiv în situațiile menționate la prezentul articol alineatele (2) și (3), Comisia informează autoritatea competentă din Insulele Feroe și, în cazul în care este necesar, prezintă un proiect de măsuri, în conformitate cu procedura menționată la articolul 31 alineatul (2) din Directiva 95/46/CE, în vederea abrogării sau a suspendării prezentei decizii ori a limitării sferei sale de aplicare.”
Articolul 8
În Decizia 2010/625/UE, articolele 3 și 4 se înlocuiesc cu următorul text:
„Articolul 3
Ori de câte ori autoritățile competente din statele membre își exercită competențele prevăzute la articolul 28 alineatul (3) din Directiva 95/46/CE, antrenând suspendarea sau interdicția definitivă a fluxurilor de date către Andorra în vederea asigurării protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal, statul membru în cauză informează fără întârziere Comisia, care va transmite mai departe informațiile respective celorlalte state membre.
Articolul 4
(1) Comisia monitorizează în permanență evoluțiile cadrului legislativ din Andorra care ar putea afecta punerea în aplicare a prezentei decizii, inclusiv evoluțiile legate de accesul autorităților publice la datele cu caracter personal, pentru a putea aprecia dacă Andorra continuă să asigure un nivel adecvat de protecție a datelor cu caracter personal.
(2) Statele membre și Comisia se informează reciproc cu privire la cazurile în care măsurile luate de organismele responsabile cu asigurarea respectării standardelor de protecție în Andorra nu își ating scopul.
(3) Statele membre și Comisia se informează reciproc cu privire la orice indicații că ar exista, din partea autorităților publice din Andorra responsabile cu securitatea națională, asigurarea respectării legii sau alte interese publice, ingerințe în ceea ce privește dreptul persoanelor fizice la protecția datelor lor cu caracter personal care depășesc ceea ce este strict necesar sau că nu ar exista o protecție juridică eficace împotriva unor astfel de ingerințe.
(4) În cazul în care din dovezile colectate reiese că nu mai este asigurat un nivel adecvat de protecție, inclusiv în situațiile menționate la prezentul articol alineatele (2) și (3), Comisia informează autoritatea competentă din Andorra și, în cazul în care este necesar, prezintă un proiect de măsuri, în conformitate cu procedura menționată la articolul 31 alineatul (2) din Directiva 95/46/CE, în vederea abrogării sau a suspendării prezentei decizii ori a limitării sferei sale de aplicare.”
Articolul 9
În Decizia 2011/61/UE, articolele 3 și 4 se înlocuiesc cu următorul text:
„Articolul 3
Ori de câte ori autoritățile competente din statele membre își exercită competențele prevăzute la articolul 28 alineatul (3) din Directiva 95/46/CE, antrenând suspendarea sau interdicția definitivă a fluxurilor de date către Statul Israel în vederea asigurării protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal, statul membru în cauză informează fără întârziere Comisia, care va transmite mai departe informațiile respective celorlalte state membre.
Articolul 4
(1) Comisia monitorizează în permanență evoluțiile cadrului legislativ din Israel care ar putea afecta punerea în aplicare a prezentei decizii, inclusiv evoluțiile legate de accesul autorităților publice la datele cu caracter personal, pentru a putea aprecia dacă Statul Israel continuă să asigure un nivel adecvat de protecție a datelor cu caracter personal.
(2) Statele membre și Comisia se informează reciproc cu privire la cazurile în care măsurile luate de organismele responsabile cu asigurarea respectării standardelor de protecție în Statul Israel nu își ating scopul.
(3) Statele membre și Comisia se informează reciproc cu privire la orice indicații că ar exista, din partea autorităților publice israeliene responsabile cu securitatea națională, asigurarea respectării legii sau alte interese publice, ingerințe în ceea ce privește dreptul persoanelor fizice la protecția datelor lor cu caracter personal care depășesc ceea ce este strict necesar sau că nu ar exista o protecție juridică eficace împotriva unor astfel de ingerințe.
(4) În cazul în care din dovezile colectate reiese că nu mai este asigurat un nivel adecvat de protecție, inclusiv în situațiile menționate la prezentul articol alineatele (2) și (3), Comisia informează autoritatea israeliană competentă și, în cazul în care este necesar, prezintă un proiect de măsuri, în conformitate cu procedura menționată la articolul 31 alineatul (2) din Directiva 95/46/CE, în vederea abrogării sau a suspendării prezentei decizii ori a limitării sferei sale de aplicare.”
Articolul 10
În Decizia de punere în aplicare 2012/484/UE, articolele 2 și 3 se înlocuiesc cu următorul text:
„Articolul 2
Ori de câte ori autoritățile competente din statele membre își exercită competențele prevăzute la articolul 28 alineatul (3) din Directiva 95/46/CE, antrenând suspendarea sau interdicția definitivă a fluxurilor de date către Republica Orientală a Uruguayului în vederea asigurării protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal, statul membru în cauză informează fără întârziere Comisia, care va transmite mai departe informațiile respective celorlalte state membre.
Articolul 3
(1) Comisia monitorizează în permanență evoluțiile cadrului legislativ din Republica Orientală a Uruguayului care ar putea afecta punerea în aplicare a prezentei decizii, inclusiv evoluțiile legate de accesul autorităților publice la datele cu caracter personal, pentru a putea aprecia dacă Republica Orientală a Uruguayului continuă să asigure un nivel adecvat de protecție a datelor cu caracter personal.
(2) Statele membre și Comisia se informează reciproc cu privire la cazurile în care măsurile luate de organismele responsabile cu asigurarea respectării standardelor de protecție în Republica Orientală a Uruguayului nu își ating scopul.
(3) Statele membre și Comisia se informează reciproc cu privire la orice indicații că ar exista, din partea autorităților publice din Republica Orientală a Uruguayului responsabile cu securitatea națională, asigurarea respectării legii sau alte interese publice, ingerințe în ceea ce privește dreptul persoanelor fizice la protecția datelor lor cu caracter personal care depășesc ceea ce este strict necesar sau că nu ar exista o protecție juridică eficace împotriva unor astfel de ingerințe.
(4) În cazul în care din dovezile colectate reiese că nu mai este asigurat un nivel adecvat de protecție, inclusiv în situațiile menționate la prezentul articol alineatele (2) și (3), Comisia informează autoritatea competentă din Republica Orientală a Uruguayului și, în cazul în care este necesar, prezintă un proiect de măsuri, în conformitate cu procedura menționată la articolul 31 alineatul (2) din Directiva 95/46/CE, în vederea abrogării sau a suspendării prezentei decizii ori a limitării sferei sale de aplicare.”
Articolul 11
În Decizia de punere în aplicare 2013/65/UE, articolele 2 și 3 se înlocuiesc cu următorul text:
„Articolul 2
Ori de câte ori autoritățile competente din statele membre își exercită competențele prevăzute la articolul 28 alineatul (3) din Directiva 95/46/CE, antrenând suspendarea sau interdicția definitivă a fluxurilor de date către Noua Zeelandă în vederea asigurării protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal, statul membru în cauză informează fără întârziere Comisia, care va transmite mai departe informațiile respective celorlalte state membre.
Articolul 3
(1) Comisia monitorizează în permanență evoluțiile cadrului legislativ din Noua Zeelandă care ar putea afecta punerea în aplicare a prezentei decizii, inclusiv evoluțiile legate de accesul autorităților publice la datele cu caracter personal, pentru a putea aprecia dacă Noua Zeelandă continuă să asigure un nivel adecvat de protecție a datelor cu caracter personal.
(2) Statele membre și Comisia se informează reciproc cu privire la cazurile în care măsurile luate de organismele responsabile cu asigurarea respectării standardelor de protecție în Noua Zeelandă nu își ating scopul.
(3) Statele membre și Comisia se informează reciproc cu privire la orice indicații că ar exista, din partea autorităților publice din Noua Zeelandă responsabile cu securitatea națională, asigurarea respectării legii sau alte interese publice, ingerințe în ceea ce privește dreptul persoanelor fizice la protecția datelor lor cu caracter personal care depășesc ceea ce este strict necesar sau că nu ar exista o protecție juridică eficace împotriva unor astfel de ingerințe.
(4) În cazul în care din dovezile colectate reiese că nu mai este asigurat un nivel adecvat de protecție, inclusiv în situațiile menționate la prezentul articol alineatele (2) și (3), Comisia informează autoritatea competentă din Noua Zeelandă și, în cazul în care este necesar, prezintă un proiect de măsuri, în conformitate cu procedura menționată la articolul 31 alineatul (2) din Directiva 95/46/CE, în vederea abrogării sau a suspendării prezentei decizii ori a limitării sferei sale de aplicare.”
Articolul 12
Prezenta decizie se adresează statelor membre.
Adoptată la Bruxelles, 16 decembrie 2016.
Pentru Comisie
Věra JOUROVÁ
Membru al Comisiei
(1) JO L 281, 23.11.1995, p. 31.
(2) ECLI:EU:C:2015:650.
(3) Decizia 2000/520/CE a Comisiei din 26 iulie 2000 în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind caracterul adecvat al protecției oferite de principiile „sferei de siguranță” privind protecția vieții private și întrebările de bază aferente, publicate de Departamentul Comerțului al S.U.A. (JO L 215, 25.8.2000, p. 7).
(4) Schrems, punctele 40 și urm., 101-103.
(5) Schrems, punctele 51, 52 și 62.
(6) Schrems, punctele 52, 62 și 65.
(7) Decizia 2000/518/CE a Comisiei din 26 iulie 2000 în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind protecția adecvată a datelor cu caracter personal în Elveția (JO L 215, 25.8.2000, p. 1).
(8) Decizia 2002/2/CE a Comisiei din 20 decembrie 2001 în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind caracterul adecvat al protecției datelor cu caracter personal asigurat prin legea canadiană referitoare la protecția informațiilor cu caracter personal și documentele electronice (Personal Information Protection and Electronic Documents Act) (JO L 2, 4.1.2002, p. 13).
(9) Decizia 2003/490/CE a Comisiei din 30 iunie 2003 în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului de constatare a nivelului adecvat de protecție a datelor cu caracter personal în Argentina (JO L 168, 5.7.2003, p. 19).
(10) Decizia 2003/821/CE a Comisiei din 21 noiembrie 2003 privind nivelul adecvat de protecție a datelor cu caracter personal în Guernsey (JO L 308, 25.11.2003, p. 27).
(11) Decizia 2004/411/CE a Comisiei din 28 aprilie 2004 de constatare a nivelului adecvat de protecție a datelor cu caracter personal pe Insula Man (JO L 151, 30.4.2004, p. 48).
(12) Decizia 2008/393/CE a Comisiei din 8 mai 2008 în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind nivelul de protecție adecvat a datelor cu caracter personal în Jersey (JO L 138, 28.5.2008, p. 21).
(13) Decizia 2010/146/UE a Comisiei din 5 martie 2010 în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind nivelul de protecție adecvat asigurat de Legea feroeză privind prelucrarea datelor cu caracter personal (JO L 58, 9.3.2010, p. 17).
(14) Decizia 2010/625/UE a Comisiei din 19 octombrie 2010 în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind nivelul adecvat de protecție a datelor cu caracter personal în Andorra (JO L 277, 21.10.2010, p. 27).
(15) Decizia 2011/61/UE a Comisiei din 31 ianuarie 2011 în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind nivelul de protecție adecvat asigurat de Statul Israel privind prelucrarea automată a datelor cu caracter personal (JO L 27, 1.2.2011, p. 39).
(16) Decizia de punere în aplicare 2012/484/UE a Comisiei din 21 august 2012 în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind nivelul de protecție adecvat asigurat de Republica Orientală a Uruguayului privind prelucrarea automată a datelor cu caracter personal (JO L 227, 23.8.2012, p. 11).
(17) Decizia de punere în aplicare 2013/65/UE a Comisiei din 19 decembrie 2012 în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind nivelul adecvat de protecție a datelor cu caracter personal asigurat de Noua Zeelandă (JO L 28, 30.1.2013, p. 12).
(18) Schrems, punctul 76. O astfel de verificare este necesară, de altfel, atunci când Comisia obține orice informații care dau naștere unor îndoieli justificate în această privință.