|
17.12.2016 |
RO |
Jurnalul Oficial al Uniunii Europene |
L 344/100 |
DECIZIA DE PUNERE ÎN APLICARE (UE) 2016/2297 A COMISIEI
din 16 decembrie 2016
de modificare a Deciziilor 2001/497/CE și 2010/87/UE privind clauzele contractuale standard pentru transferul de date cu caracter personal către țările terțe și către persoanele împuternicite de către operator stabilite în țări terțe, în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului
[notificată cu numărul C(2016) 8471]
(Text cu relevanță pentru SEE)
COMISIA EUROPEANĂ,
având în vedere Tratatul privind funcționarea Uniunii Europene,
având în vedere Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (1), în special articolul 26 alineatul (4),
după consultarea Autorității Europene pentru Protecția Datelor,
întrucât:
|
(1) |
În hotărârea sa din 6 octombrie 2015 în cauza C-362/14 Maximillian Schrems/Data Protection Commissioner (comisarul pentru protecția datelor) (2), Curtea de Justiție a Uniunii Europene a constatat că, prin adoptarea articolului 3 din Decizia 2000/520/CE (3), Comisia și-a depășit competențele care îi sunt conferite la articolul 25 alineatul (6) din Directiva 95/46/CE, interpretat în lumina Cartei drepturilor fundamentale a Uniunii, și a declarat nevalid articolul 3 din decizia respectivă. |
|
(2) |
În pofida constatării Comisiei referitoare la caracterul adecvat al protecției, articolul 3 alineatul (1) primul paragraf din Decizia 2000/520/CE prevedea condiții restrictive în care autoritățile naționale de supraveghere puteau hotărî să suspende fluxurile de date către o societate americană autocertificată. |
|
(3) |
În hotărârea sa în cauza Schrems, Curtea de Justiție a clarificat faptul că supravegherea transferului datelor cu caracter personal către o țară terță care a făcut obiectul unei decizii a Comisiei privind caracterul adecvat al protecției datelor rămâne în continuare de competența autorităților naționale de supraveghere, iar Comisia nu are competența de a restrânge competențele autorităților respective, astfel cum sunt prevăzute la articolul 28 din Directiva 95/46/CE. În temeiul articolului respectiv, autoritățile în cauză dețin în special competențe de investigare, cum ar fi competența de a colecta toate informațiile necesare pentru îndeplinirea atribuțiilor lor de supraveghere, competențe efective de intervenție, cum ar fi cea de a aplica o interdicție temporară sau definitivă cu privire la prelucrarea datelor, și competența de a acționa în justiție (4). |
|
(4) |
În aceeași hotărâre, Curtea de Justiție consideră că, în conformitate cu articolul 25 alineatul (6) al doilea paragraf din Directiva 95/46/CE, statele membre și organele acestora trebuie să ia măsurile necesare pentru a se conforma actelor instituțiilor Uniunii, întrucât acestea din urmă beneficiază, în principiu, de o prezumție de legalitate și produc, așadar, efecte juridice atât timp cât nu au fost revocate, anulate în cadrul unei acțiuni în anulare sau declarate nevalide în urma unei trimiteri preliminare sau a unei excepții de nelegalitate. |
|
(5) |
Prin urmare, mutatis mutandis, o decizie a Comisiei privind caracterul adecvat, adoptată în temeiul articolului 26 alineatul (4) din Directiva 95/46/CE, este obligatorie pentru toate organele statelor membre cărora le este adresată, inclusiv pentru autoritățile independente de supraveghere ale statelor respective, în măsura în care are drept efect recunoașterea faptului că transferurile care au loc în baza clauzelor contractuale standard prevăzute în decizia respectivă oferă garanții suficiente, astfel cum se prevede la articolul 26 alineatul (2) din directiva menționată anterior. Acest lucru nu împiedică o autoritate națională de supraveghere să își exercite competența de supraveghere a fluxurilor de date, inclusiv competența de a suspenda sau de a interzice un transfer de date cu caracter personal în cazul în care constată că transferul în cauză are loc cu încălcarea legislației UE sau a legislației naționale în materie de protecție a datelor, de exemplu atunci când importatorul de date nu respectă clauzele contractuale standard. |
|
(6) |
Deciziile 2001/497/CE (5) și 2010/87/UE ale Comisiei (6) prevăd o limitare a competențelor autorităților naționale de supraveghere comparabilă cu cea prevăzută la articolul 3 alineatul (1) primul paragraf din Decizia 2000/520/CE, articol declarat nevalid de Curtea de Justiție. |
|
(7) |
În lumina hotărârii Schrems și în temeiul articolului 266 din tratat, ar trebui, prin urmare, să se înlocuiască dispozițiile din aceste decizii care limitează competențele autorităților naționale de supraveghere. |
|
(8) |
Pentru a facilita monitorizarea eficace a funcționării deciziilor privind clauzele contractual standard care sunt în prezent în vigoare, Comisia ar trebui să fie informată de către statele membre în legătură cu acțiunile relevante întreprinse de către autoritățile naționale de supraveghere. |
|
(9) |
Grupul de lucru pentru protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal, înființat în temeiul articolului 29 din Directiva 95/46/CE, a emis un aviz, de care s-a ținut seama la elaborarea prezentei decizii. |
|
(10) |
Măsurile prevăzute în prezenta decizie sunt conforme cu avizul comitetului instituit în temeiul articolului 31 alineatul (1) din Directiva 95/46/CE. |
|
(11) |
Prin urmare, Deciziile 2001/497/CE și 2010/87/UE ar trebui modificate în consecință, |
ADOPTĂ PREZENTA DECIZIE:
Articolul 1
Articolul 4 din Decizia 2001/497/CE se înlocuiește cu următorul text:
„Articolul 4
Ori de câte ori autoritățile competente din statele membre își exercită competențele prevăzute la articolul 28 alineatul (3) din Directiva 95/46/CE, antrenând suspendarea sau interdicția definitivă a fluxurilor de date către țări terțe în vederea asigurării protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal, statul membru în cauză informează fără întârziere Comisia, care va transmite mai departe informațiile respective celorlalte state membre.”
Articolul 2
Articolul 4 din Decizia 2010/87/UE se înlocuiește cu următorul text:
„Articolul 4
Ori de câte ori autoritățile competente din statele membre își exercită competențele prevăzute la articolul 28 alineatul (3) din Directiva 95/46/CE, antrenând suspendarea sau interdicția definitivă a fluxurilor de date către țări terțe în vederea asigurării protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal, statul membru în cauză informează fără întârziere Comisia, care va transmite mai departe informațiile respective celorlalte state membre.”
Articolul 3
Prezenta decizie se adresează statelor membre.
Adoptată la Bruxelles, 16 decembrie 2016.
Pentru Comisie
Věra JOUROVÁ
Membru al Comisiei
(1) JO L 281, 23.11.1995, p. 31.
(2) ECLI:EU:C:2015:650.
(3) Decizia 2000/520/CE a Comisiei din 26 iulie 2000 în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind caracterul adecvat al protecției oferite de principiile „sferei de siguranță” privind protecția vieții private și întrebările de bază aferente, publicate de Departamentul Comerțului al S.U.A. (JO L 215, 25.8.2000, p. 7).
(4) Schrems, punctele 40 și urm., 101-103.
(5) Decizia 2001/497/CE a Comisiei din 15 iunie 2001 privind clauzele contractuale standard pentru transferul de date cu caracter personal către țările terțe în temeiul Directivei 95/46/CE (JO L 181, 4.7.2001, p. 19).
(6) Decizia 2010/87/UE a Comisiei din 5 februarie 2010 privind clauzele contractuale tip pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului (JO L 39, 12.2.2010, p. 5).