Bruxelles, 10.1.2017

COM(2017) 7 final

COMUNICARE A COMISIEI CĂTRE PARLAMENTUL EUROPEAN ȘI CONSILIU

Schimbul de date cu caracter personal și protecția acestora într-o lume globalizată


1. Introducere

Protecția datelor cu caracter personal face parte din structura constituțională comună a Europei și este consacrată la articolul 8 din Carta drepturilor fundamentale a UE. Aceasta este o componentă esențială a dreptului UE de mai bine de 20 de ani, de la Directiva privind protecția datelor din 1995 1 (denumită în continuare „Directiva din 1995”) până la adoptarea Regulamentului general privind protecția datelor (RGPD) 2 și a Directivei privind poliția 3 în 2016.

Astfel cum a subliniat președintele Juncker în discursul său privind starea Uniunii Europene la 14 septembrie 2016, „[s]ă fii european înseamnă dreptul ca datele tale cu caracter personal să fie protejate de legi europene solide. [...] Și asta pentru că, în Europa, protejarea vieții private contează. Această chestiune ține de demnitatea umană.”

Cererea pentru protecția datelor cu caracter personal nu este însă limitată la Europa. Consumatorii din întreaga lume își prețuiesc și apreciază din ce în ce mai mult viața privată. La rândul lor, întreprinderile recunosc că un sistem solid de protecție a vieții private le oferă un avantaj competitiv deoarece sporește încrederea în serviciile acestora. Multe dintre acestea, în special cele cu acoperire globală, își aliniază politicile în materie de protecție a vieții private la RGPD pentru că doresc să facă afaceri în UE, dar și pentru că îl consideră un model de urmat.

De asemenea, mai multe țări și organizații regionale din afara UE, de la cele din imediata noastră vecinătate la cele din Asia, America Latină și Africa, adoptă noi legi privind protecția datelor sau le actualizează pe cele existente pentru a beneficia de oportunitățile oferite de economia digitală globală și pentru a răspunde cererii tot mai mari pentru o mai bună protecție a securității datelor și a vieții private. În timp ce există diferențe între țări în ceea ce privește abordarea acestora și nivelul de dezvoltare legislativă, există semne ale unei convergențe ascendente în direcția unor principii importante privind protecția datelor, în special în anumite regiuni ale lumii 4 . O mai mare compatibilitate între diferitele sisteme de protecție a datelor ar facilita fluxurile internaționale de date cu caracter personal, fie în scopuri comerciale sau pentru cooperarea între autoritățile publice (de exemplu, de aplicare a legii). UE ar trebui să valorifice această oportunitate pentru a-și promova valorile de protecție a datelor și pentru a facilita fluxurile de date prin încurajarea realizării convergenței sistemelor juridice. Prin urmare, astfel cum s-a anunțat în programul de lucru al Comisiei 5 , prezenta comunicare stabilește cadrul strategic al Comisiei pentru „deciziile privind caracterul adecvat al nivelului de protecție”, precum și alte instrumente pentru transferurile de date și instrumente internaționale de protecție a datelor.

2. Pachetul UE de reforme privind protecția datelor – Un cadru legislativ modern care sprijină fluxurile internaționale de date cu un grad ridicat de protecție

Reforma legislației UE privind protecția datelor, adoptată în aprilie 2016, stabilește un sistem care asigură un nivel ridicat de protecție și care este totodată deschis la oportunitățile oferite de societatea informațională globală. Oferind cetățenilor mai mult control asupra propriilor date cu caracter personal, reforma consolidează încrederea consumatorilor în economia digitală. Armonizând și simplificând cadrul juridic, aceasta facilitează și face mai puțin împovărătoare desfășurarea activităților economice în UE de către întreprinderi, atât interne, cât și externe, inclusiv prin intermediul schimburilor internaționale de date. În prezent, UE combină deschiderea către fluxurile internaționale de date cu cel mai ridicat nivel de protecție pentru cetățeni. Aceasta are potențialul de a deveni o platformă pentru serviciile de date care necesită atât fluxuri libere, cât și încredere.

2.1 Un cadru UE privind protecția datelor cuprinzător, unitar și simplificat

Reforma UE stabilește un cadru cuprinzător care reglementează prelucrarea datelor cu caracter personal, atât în sectorul privat, cât și în sectorul public, precum ;i în sectorul comercial și în cel de aplicare a legii (RGPD și Directiva privind poliția).

În temeiul RGPD, începând din mai 2018, va exista un singur set de norme paneuropean spre deosebire de cele 28 de legislații naționale în prezent. Mecanismul ghișeului unic, creat de curând, va garanta faptul că o singură autoritate pentru protecția datelor („APD”) va fi responsabilă pentru supravegherea operațiunilor transfrontaliere de prelucrare a datelor efectuate de o întreprindere din UE. Consecvența interpretării noilor norme va fi garantată. În special, în cazurile transfrontaliere în care sunt implicate mai multe autorități naționale pentru protecția datelor, va fi adoptată o singură decizie pentru a se garanta faptul că problemele comune primesc soluții comune. În plus, RGPD creează condiții de concurență echitabile între întreprinderile din UE și cele străine prin faptul că întreprinderile cu sediul în afara UE vor trebui să aplice aceleași norme ca întreprinderile europene în cazul în care acestea oferă bunuri și servicii în UE sau monitorizează comportamentul unor persoane din UE. Un nivel sporit de încredere a consumatorilor va aduce beneficii atât operatorilor comerciali din UE, cât și celor externi.

Directiva privind poliția prevede norme comune pentru prelucrarea datelor cu caracter personal ale persoanelor fizice implicate în proceduri penale, în calitate de suspecți, victime sau martori, ținând seama totodată de caracterul specific al domeniului poliției și justiției penale. Armonizarea normelor privind protecția datelor în domeniul aplicării legii, inclusiv a normelor privind transferurile internaționale, va facilita cooperarea transfrontalieră între poliție și autoritățile judiciare, atât în cadrul UE, cât și cu partenerii internaționali, și va crea astfel condițiile pentru o combatere mai eficientă a criminalității. Aceasta reprezintă o contribuție importantă la Agenda europeană privind securitatea 6 .

2.2 Un set de instrumente reînnoit și diversificat pentru transferurile internaționale

Încă de la începuturile sale, legislația UE privind protecția datelor a furnizat mai multe mecanisme care permit transferurile internaționale de date. Scopul principal al acestor norme este de a garanta faptul că, atunci când datele cu caracter personal ale cetățenilor europeni sunt transferate în străinătate, este transferată concomitent și protecția asociată acestora. De-a lungul anilor, aceste norme au stabilit standardul în ceea ce privește fluxurile internaționale de date în numeroase jurisdicții. Deși structura rămâne în esență aceeași ca în directiva din 1995, reforma normelor privind transferurile internaționale clarifică și simplifică utilizarea acestora și introduce noi instrumente pentru transferuri.

În temeiul legislației UE, o modalitate de a transfera date cu caracter personal în străinătate este pe baza unei „decizii privind caracterul adecvat al nivelului de protecție” adoptate de Comisie prin care se stabilește că o țară terță asigură un nivel de protecție a datelor care este „în esență echivalent” 7 cu cel din UE. Efectul unei astfel de decizii este de a permite fluxul liber de date cu caracter personal către țara terță în cauză fără a fi nevoie ca exportatorul de date să ofere garanții suplimentare sau să obțină vreo autorizație. Un set precis și detaliat de elemente pe care Comisia trebuie să le ia în considerare în momentul evaluării caracterului adecvat al nivelului de protecție oferit de un sistem străin este disponibil pentru țările interesate sau organizațiile internaționale 8 . În prezent, Comisia poate adopta decizii privind caracterul adecvat al nivelului de protecție inclusiv pentru sectorul de aplicare a legii 9 . De asemenea, pe baza practicii în temeiul Directivei din 1995, reforma permite în mod explicit ca stabilirea caracterului adecvat să vizeze un anumit teritoriu al unei țări terțe sau un anumit sector sau o industrie dintr-o țară terță (așa-numitul caracter adecvat „parțial”) 10 . 

În absența unei decizii privind caracterul adecvat al nivelului de protecție, transferurile internaționale pot avea loc pe baza unui număr de instrumente alternative de transfer care oferă garanții adecvate în ceea ce privește protecția datelor 11 . Reforma oficializează și extinde posibilitățile de utilizare a instrumentelor existente, cum ar fi clauzele contractuale standard (CCS) 12 și regulile corporatiste obligatorii (BCR) 13 . De exemplu, CCS pot fi incluse în prezent în cadrul unui contract între persoane împuternicite de către operator cu sediul în UE și persoane împuternicite de către operator dintr-o țară terță (așa-numitele clauze standard „de la persoană împuternicită de către operator la persoană împuternicită de către operator”) 14 . În ceea ce privește BCR, care, până în prezent, au fost limitate la acordurile între entități aparținând aceluiași grup corporativ, acestea pot fi utilizate acum de către un grup de întreprinderi angajate într-o activitate economică comună, dar care nu fac neapărat parte din același grup corporativ 15 . De asemenea, reforma reduce birocrația prin eliminarea cerințelor generale de notificare prealabilă și de autorizare de către autoritățile pentru protecția datelor a transferurilor către o țară terță bazate pe CCS sau a BCR 16 . Aceasta reprezintă o simplificare importantă a sistemului UE de transferuri internaționale de date, întrucât existența unor astfel de cerințe care, în prezent, variază de la un stat membru la altul, este deseori percepută ca un obstacol semnificativ pentru fluxurile de date, în special pentru întreprinderile mai mici 17 .

În plus, reforma introduce noi instrumente pentru transferurile internaționale 18 . Operatorii și persoanele împuternicite de către operatori vor putea să folosească, în anumite condiții 19 , coduri de conduită sau mecanisme de certificare aprobate (cum ar fi sigilii sau mărci de protecție a vieții private) pentru a stabili „garanții adecvate”. Acest lucru ar trebui să permită dezvoltarea unor soluții mai adaptate pentru transferurile internaționale, reflectând, de exemplu, caracteristicile și nevoile specifice ale unui anumit sector sau industrii sau ale anumitor fluxuri de date. Aceasta oferă, de asemenea, posibilitatea de a oferi garanții adecvate pentru transferurile de date între autorități sau organisme publice în baza unor acorduri internaționale sau acorduri administrative 20 . În sfârșit, RGPD clarifică utilizarea așa-numitelor „derogări” 21 (de exemplu, consimțământ, executarea unui contract sau considerente importante de interes public) pe care entitățile aflate în anumite situații își pot întemeia transferurile de date în absența unei decizii privind caracterul adecvat al nivelului de protecție și indiferent de utilizarea unuia dintre instrumentele menționate mai sus. Acesta conține, în special, o nouă derogare, chiar dacă limitată, referitoare la transferurile care pot avea loc în urmărirea intereselor legitime 22 ale unei întreprinderi.

În sfârșit, reforma împuternicește Comisia să dezvolte mecanisme de cooperare internațională pentru a facilita aplicarea normelor privind protecția datelor, inclusiv prin acorduri de asistență reciprocă 23 . Aceasta recunoaște contribuția pe care formele de cooperare mai strânsă între autoritățile de supraveghere la nivel internațional ar putea să o aibă în garantarea atât a unei protecții mai eficace a drepturilor individuale, cât și a unei mai mari securități juridice pentru întreprinderi.

3. Transferurile internaționale de date în sectorul comercial: facilitarea comerțului prin protejarea vieții private

Respectarea vieții private este o condiție pentru fluxuri comerciale globale stabile, sigure și competitive. Respectarea vieții private nu este o marfă supusă comercializării 24 . Internetul și digitalizarea bunurilor și serviciilor au transformat economia globală, iar transferul de date, inclusiv de date cu caracter personal, la nivel transfrontalier face parte din operațiunile zilnice ale întreprinderilor europene de toate dimensiunile și din toate sectoarele. Întrucât schimburile comerciale se bazează din ce în ce mai mult pe fluxurile de date cu caracter personal, confidențialitatea și securitatea acestor date a devenit un factor esențial al încrederii consumatorilor. De exemplu, două treimi dintre europeni declară că își fac griji cu privire la faptul că nu au control asupra informațiilor pe care le furnizează online, în timp ce jumătate dintre respondenți sunt preocupați să nu devină o victimă a fraudelor 25 . În același timp, întreprinderile europene care își desfășoară activitatea în anumite țări terțe se confruntă din ce în ce mai mult cu restricții protecționiste care nu pot fi justificate de considerente legitime legate de protecția vieții private.

Prin urmare, în era digitală, promovarea unor standarde ridicate de protecție a datelor și facilitarea schimburilor comerciale internaționale trebuie, în mod necesar, să meargă mână în mână. În timp ce protecția datelor cu caracter personal nu se negociază 26 în cadrul acordurilor comerciale, regimul UE privind transferurile internaționale de date, astfel cum a fost descris anterior, prevede o gamă largă și variată de instrumente pentru a permite fluxurile de date în situații diferite, asigurându-se totodată un nivel ridicat de protecție.

3.1 Deciziile privind caracterul adecvat al nivelului de protecție

O constatare a caracterului adecvat permite libera circulație a datelor cu caracter personal din UE fără ca exportatorul de date din UE să fie nevoit să pună în aplicare garanții suplimentare sau să fie supus unor condiții suplimentare. Prin constatarea faptului că sistemul juridic al unei țări prevede un nivel de protecție adecvat, decizia recunoaște faptul că sistemul respectiv se apropie de cele din statele membre ale UE. Prin urmare, transferurile către țara în cauză vor fi asimilate transmiterilor de date în interiorul UE, oferind astfel un acces privilegiat la piața unică a UE și deschizând în același timp canalele comerciale pentru operatorii din UE. Astfel cum s-a explicat mai sus, această recunoaștere implică în mod necesar un nivel de protecție comparabil (sau „în esență echivalent”) 27 cu cel garantat în Uniune. Aceasta implică o evaluare globală a sistemului din țara terță, inclusiv a normelor sale privind accesul la date cu caracter personal de către autoritățile publice pentru aplicarea legii, securitate națională și alte scopuri de interes public.

În același timp, astfel cum a fost confirmat în 2015 de Curtea de Justiție în hotărârea Schrems, standardul caracterului adecvat nu necesită o reproducere punct cu punct a normelor UE 28 . Mai curând, testul constă în faptul dacă, prin fondul drepturilor la viață privată și punerea în aplicare efectivă, exercitarea și supravegherea acestora, sistemul străin în cauză, în ansamblul său, oferă nivelul ridicat de protecție necesar. Astfel cum indică deciziile privind caracterul adecvat adoptate până în prezent, este posibilă recunoașterea de către Comisie ca fiind adecvate a unei game variate de sisteme de protecție a vieții private, reprezentând diferite tradiții juridice. Aceste decizii se referă la țări care sunt strâns integrate cu Uniunea Europeană și statele sale membre (Elveția, Andorra, insulele Feroe, Guernsey, Jersey, Insula Man), la parteneri comerciali importanți (Argentina, Canada, Israel, Statele Unite) și la țări care joacă un rol de pionierat în elaborarea de legi privind protecția datelor în regiunea lor (Noua Zeelandă, Uruguay).

Deciziile privind Canada și Statele Unite sunt constatări „parțiale” privind caracterul adecvat. Decizia privind Canada se aplică doar entităților private care intră sub incidența Legii canadiene privind protecția informațiilor cu caracter personal și documentele electronice. Decizia adoptată recent privind Scutul de confidențialitate UE-SUA 29 este un caz special, în sensul că, în absența unei legislații generale privind protecția datelor în SUA 30 , aceasta se bazează pe angajamentele asumate de întreprinderile participante de a aplica standardele ridicate de protecție a datelor stabilite prin acest acord care, la rândul lor, sunt executorii în temeiul legislației SUA. În plus, Scutul de confidențialitate se bazează pe declarațiile și asigurările specifice prezentate de guvernul SUA în ceea ce privește accesul în scopuri de securitate națională 31 care stau la baza constatării caracterului adecvat. Respectarea acestor angajamente va fi monitorizată îndeaproape de către Comisie și face parte din revizuirea anuală cu privire la funcționarea cadrului.

În ultimii ani, tot mai multe țări din întreaga lume au adoptat noi legi în domeniul protecției datelor și a vieții private sau sunt pe cale să facă acest lucru. În 2015, numărul țărilor care au adoptat legi privind protecția datelor a ajuns la 109, o creștere semnificativă de la 76 la jumătatea anului 2011 32 . În plus, aproximativ 35 de țări sunt, în prezent, în curs de elaborare a unor legi privind protecția datelor 33 . Aceste legi noi sau modernizate tind să se bazeze pe un set fundamental de principii comune, inclusiv, printre altele, recunoașterea protecției datelor ca fiind un drept fundamental, adoptarea unei legislații cuprinzătoare în domeniu, existența drepturilor individuale exercitabile la viață privată și înființarea unei autorități de supraveghere independente. Aceasta oferă noi oportunități, în special prin intermediul constatărilor privind caracterul adecvat, de a facilita și mai mult fluxurile de date, garantând, în același timp, menținerea nivelului ridicat de protecție a datelor cu caracter personal.

În temeiul legislației UE, o constatare a caracterului adecvat necesită existența unor norme privind protecția datelor comparabile cu cele din UE 34 . Acest lucru se referă atât la măsurile de protecție de fond a datelor cu caracter personal, cât și la mecanismele relevante de supraveghere și de recurs disponibile în țara terță.

În temeiul cadrului său privind constatările caracterului adecvat, Comisia consideră că următoarele criterii ar trebui să fie luate în considerare atunci când se evaluează țările terțe cu care ar trebui purtat un dialog privind caracterul adecvat 35 :

(i)    amploarea relațiilor comerciale (actuale sau potențiale) ale UE cu o anumită țară terță, inclusiv existența unui acord de liber schimb sau a unor negocieri aflate în desfășurare;

(ii)    amploarea fluxurilor de date cu caracter personal din UE, reflectând legături geografice și/sau culturale;

(iii)    rolul de pionierat pe care țara terță respectivă îl joacă în domeniul protecției vieții private și a datelor care ar putea servi drept model pentru alte țări din regiunea în care se află aceasta 36 ; și

(iv)    relațiile politice globale cu țara terță în cauză, în special în ceea ce privește promovarea valorilor comune și obiectivele comune la nivel internațional.

Pe baza acestor considerente, Comisia se va angaja în mod activ în relații cu principalii parteneri comerciali din Asia de Est și de Sud-Est, începând cu Japonia și Coreea în 2017 37 și, în funcție de progresul în direcția modernizării legilor sale privind protecția datelor, cu India, dar și cu țări din America Latină, în special Mercosur, și cu țări din vecinătatea Europei care și-au exprimat interesul de a obține o „constatare a caracterului adecvat”. În plus, Comisia salută manifestările de interes din partea altor țări terțe care sunt dispuse să abordeze aceste chestiuni. Discuțiile privind o posibilă constatare a caracterului adecvat constituie un dialog bilateral care include furnizarea tuturor clarificărilor necesare cu privire la normele UE privind protecția datelor și examinarea modalităților de a spori convergența între legile și practicile din țările terțe.

În anumite situații, mai degrabă decât adoptarea unei abordări la nivelul întregii țări, ar putea fi mai adecvată utilizarea unor alte opțiuni, cum ar fi caracterul adecvat parțial sau sectorial (de exemplu, pentru sectorul serviciilor financiare sau pentru sectorul tehnologiei informației), care se pot referi la zone geografice sau sectoare industriale care reprezintă o parte importantă a economiei unei anumite țări terțe. Acest lucru va trebui să fie analizat având în vedere elemente cum ar fi, de exemplu, natura și stadiul de dezvoltare al sistemului de protecție a vieții private (drept de sine stătător, legi multiple sau sectoriale etc.), structura constituțională a țării terțe sau dacă anumite sectoare ale economiei sunt expuse în mod deosebit la fluxuri de date provenind din UE.

Adoptarea unei decizii privind caracterul adecvat al nivelului de protecție implică instituirea unui dialog specific și a unor forme de cooperare strânsă cu țara terță în cauză. Deciziile privind caracterul adecvat al nivelului de protecție sunt documente „dinamice” care trebuie să fie monitorizate îndeaproape de către Comisie și adaptate în cazul unor evoluții care afectează nivelul de protecție asigurat de către țara terță în cauză 38 . În acest scop, vor fi efectuate revizuiri periodice, cel puțin o dată la patru ani, pentru a aborda aspectele emergente și pentru a face schimb de bune practici între partenerii apropiați 39 . Această abordare dinamică se aplică, de asemenea, deciziilor existente privind caracterul adecvat, adoptate în temeiul directivei din 1995, care vor trebui să fie revizuite în cazul în care acestea nu mai îndeplinesc standardul aplicabil. 40 . Prin urmare, țările terțe în cauză sunt invitate să informeze Comisia cu privire la orice modificare relevantă a legislației și a practicilor care a avut loc după adoptarea deciziei privind caracterul adecvat referitoare la acestea. Acest lucru este esențial pentru a asigura continuitatea deciziilor respective în conformitate cu noile norme ale reformei 41 . 

Normele UE de protecție a datelor nu pot face obiectul negocierilor în cadrul unui acord de liber schimb 42 . În timp ce dialogurile în materie de protecție a datelor și negocierile comerciale cu țările terțe trebuie să urmeze căi separate, o decizie privind caracterul adecvat, inclusiv una parțială sau sectorială, este cea mai bună modalitate de a clădi încrederea reciprocă, garantând un flux de date cu caracter personal fără probleme, și de a facilita astfel schimburile comerciale care implică transferuri de date cu caracter personal către țara terță în cauză. Astfel de decizii pot ușura, prin urmare, negocierile comerciale sau pot completa acordurile comerciale existente, permițându-le astfel să-și amplifice beneficiile. În același timp, stimulând convergența nivelului de protecție în UE și în țara terță, o constatare a caracterului adecvat reduce riscul de invocare de către țara respectivă a unor motive legate de protecția datelor cu caracter personal pentru a impune cerințe nejustificate privind localizarea sau stocarea de date. În afară de aceasta, astfel cum este indicat în Comunicarea „Comerț pentru toți”, Comisia va urmări să utilizeze acordurile comerciale ale UE pentru a stabili norme pentru comerțul electronic și fluxurile transfrontaliere de date și pentru a aborda noi forme de protecționism digital, în deplină conformitate cu normele UE privind protecția datelor și fără a le aduce atingere 43 . 

Comisia:

va acorda prioritate discuțiilor cu privire la eventuale decizii privind caracterul adecvat al nivelului de protecție cu parteneri comerciali cheie din Asia de Est și de Sud-Est, începând cu Japonia și Coreea în 2017, dar luând în considerare și alți parteneri strategici precum India, precum și cu țări din America Latină, în special Mercosur, și cu țări din vecinătatea Europei.

va monitoriza cu atenție funcționarea deciziilor existente privind caracterul adecvat al nivelului de protecție. Aceasta include, în particular, punerea în aplicare a cadrului privind Scutul de confidențialitate UE-SUA, în special prin intermediul mecanismului comun de revizuire anuală.

va colabora și va acorda asistență țărilor interesate să adopte legi solide privind protecția datelor și va sprijini convergența acestora cu principiile UE privind protecția datelor.

3.2 Mecanisme alternative pentru transferul de date

Normele UE privind protecția datelor au recunoscut întotdeauna că nu există o abordare de tip universal în ceea ce privește transferurile internaționale de date. Acest lucru este cu atât mai valabil în cazul normelor care rezultă din reformă. În timp ce constatările privind caracterul adecvat vor fi disponibile numai pentru țările terțe care îndeplinesc criteriile relevante, RGPD prevede o serie de mecanisme care sunt suficient de flexibile pentru a se adapta la o varietate de situații diferite de transfer. Pot fi dezvoltate instrumente pentru a lua în considerare nevoile sau condițiile specifice ale industriilor, ale modelelor de afaceri și/sau ale operatorilor specifici. Aceasta ar putea, de exemplu, să ia forma unor CCS care vizează cerințele unui anumit sector, de exemplu garanții specifice în momentul prelucrării de date sensibile în sectorul sănătății, sau ale unui anumit tip de activități de prelucrare care predomină în anumite țări terțe, de exemplu externalizarea serviciilor care sunt efectuate pentru întreprinderile europene. Acest lucru ar putea fi realizat fie prin adoptarea unor noi seturi de clauze standard, fie prin completarea celor existente cu garanții suplimentare care ar putea varia de la soluții tehnice și organizatorice la soluții legate de modelele de afaceri 44 . Anumite necesități sectoriale specifice pot fi acoperite, de asemenea, prin intermediul unor BCR aplicabile grupurilor de întreprinderi implicate într-o activitate economică comună, de exemplu în sectorul turismului. Transferurile internaționale între persoane împuternicite de către operatori ar putea beneficia de pe urma elaborării unor CCS de la persoană împuternicită de către operator la persoană împuternicită de către operator și/sau a unor BCR pentru persoanele împuternicite de către operatori. În sfârșit, noile mecanisme de transfer precum codurile de conduită aprobate și certificările acreditate emise de părți terțe oferă industriei posibilitatea de a introduce soluții personalizate pentru transferurile internaționale, beneficiind în același timp de avantajele competitive asociate, de exemplu, unui sigiliu sau mărci de protecție a vieții private. Unele dintre aceste instrumente pot fi dezvoltate ca mecanisme specifice de transfer sau ca parte a instrumentelor mai generale pentru a demonstra conformitatea cu toate dispozițiile prevăzute în RGPD, cum ar fi în cazul unui cod de conduită aprobat.

Comisia va colabora cu industria, societatea civilă și autoritățile pentru protecția datelor în vederea exploatării întregului potențial al setului de instrumente prevăzut în RGPD pentru transferurile internaționale. Dialogul continuu cu părțile interesate în contextul punerii în aplicare a reformei va contribui la identificarea domeniilor de acțiune prioritare în acest sens. Acest lucru poate include finalizarea lucrărilor care au început deja, cum ar fi cele privind elaborarea, în colaborare cu Grupul de lucru „articolul 29” (care urmează să fie înlocuit în 2018 de Comitetul european pentru protecția datelor), a unor CCS de la persoană împuternicită de către operator la persoană împuternicită de către operator 45 . Aceasta poate implica dezvoltarea de noi componente ale infrastructurii de conformitate a UE, de exemplu prin intermediul definirii de către Comisie a cerințelor și a standardelor tehnice pentru instituirea și funcționarea mecanismelor de certificare, inclusiv pentru aspectele referitoare la transferurile internaționale 46 . Unele dintre aceste acțiuni pot fi completate de activitatea desfășurată la nivel internațional, în special cu organizațiile care au dezvoltat mecanisme de transfer similare. De exemplu, ar putea fi examinate modalitățile de promovare a convergenței între BCR elaborate în temeiul legislației UE și Normele transfrontaliere de protecție a vieții private elaborate de Cooperarea Economică Asia-Pacific (APEC) 47 , în ceea ce privește atât standardele aplicabile, cât și procesul de punere în aplicare în cadrul fiecărui sistem. Acest lucru ar trebui să contribuie la promovarea unor standarde ridicate de protecție a datelor la nivel global cu atenuarea în același timp a diferențelor de abordare a protecției vieții private și a datelor, sprijinind operatorii comerciali să navigheze între diferitele sisteme și elaborând politici conforme cu acestea.

Comisia:

va colabora cu părțile interesate pentru a elabora mecanisme alternative pentru transferul de date cu caracter personal adaptate la nevoile sau la condițiile specifice ale industriilor, ale modelelor de afaceri și/sau ale operatorilor specifici.

 

3.3 Cooperarea internațională în domeniul protecției datelor cu caracter personal

3.3.1. Promovarea standardelor de protecție a datelor prin instrumente și foruri multilaterale

Cadrul juridic privind protecția datelor din UE a servit deseori drept punct de referință pentru țările terțe care elaborează legislație în domeniu. UE va continua să se implice în mod activ în dialogul cu partenerii săi internaționali, atât la nivel bilateral, cât și la nivel multilateral, pentru a promova convergența prin dezvoltarea unor standarde ridicate și interoperabile de protecție a datelor cu caracter personal la nivel global. Acest lucru contribuie la protecția mai eficace a drepturilor cetățenilor și, în același timp, reduce obstacolele în calea fluxului transfrontalier de date ca un element important al liberului schimb.

În special, Comisia încurajează aderarea țărilor terțe la Convenția 108 a Consiliului Europei și la Protocolul adițional la aceasta 48 . Convenția, care este deschisă țărilor care nu sunt membre ale Consiliului Europei și care a fost deja ratificată de 50 de țări, inclusiv de state din Africa și America de Sud 49 , este singurul instrument multilateral obligatoriu din punct de vedere juridic în domeniul protecției datelor. Aceasta se află în prezent în curs de revizuire, iar Comisia va promova în mod activ adoptarea rapidă a textului modernizat astfel încât UE să devină parte. Aceasta va reflecta aceleași principii precum cele consacrate în cadrul noilor norme UE privind protecția datelor și, prin urmare, va contribui la convergența către un set de standarde ridicate de protecție a datelor.

Reuniunea G20 din 2017 va oferi o nouă ocazie pentru UE să depună eforturi pentru realizarea convergenței în jurul principiului conform căruia standardele ridicate de protecție a datelor sunt o componentă esențială a dezvoltării în continuare a unei societăți informaționale globale, capabilă să promoveze inovarea, creșterea economică și bunăstarea socială 50 .

De asemenea, Comisia așteaptă cu interes colaborarea cu noi actori importanți, cum ar fi Raportorul special al ONU privind dreptul la viață privată 51 , precum și să își dezvolte în continuare relațiile de lucru cu organizații regionale, cum ar fi APEC, pentru a promova o cultură la nivel mondial cu privire la respectarea drepturilor la viața privată și a protecției datelor cu caracter personal.

Ca parte a eforturilor sale mai ample de sporire a gradului de conștientizare cu privire la protecția vieții private și de introducere a garanțiilor în materie de protecție a datelor la nivel internațional, la 15 noiembrie 2016, Comisia Europeană a aprobat un proiect în cadrul Instrumentului de parteneriat pentru consolidarea cooperării cu țările partenere în domeniu 52 . Acesta va include finanțarea de activități precum activități de formare și de sensibilizare. La rândul său, în contextul punerii în aplicare a reformei, UE poate beneficia de schimbul de cele mai bune practici și de experiența altor sisteme cu privire la noi provocări pentru protecția vieții private și noi soluții juridice sau tehnice, inclusiv în ceea ce privește aplicarea legii, instrumentele de conformitate (de exemplu, mecanisme de certificare, evaluări ale impactului asupra vieții private) sau măsurile de protecție pentru anumite seturi de date (de exemplu, date ale copiilor).

3.3.2. Cooperarea în domeniul aplicării legii

Consolidarea cooperării cu autoritățile de asigurare a respectării vieții private și cu autoritățile de supraveghere relevante din țările terțe este din ce în ce mai necesară având în vedere acoperirea globală a întreprinderilor multinaționale care prelucrează volume semnificative de date cu caracter personal într-un număr mare de țări. Deseori, problemele legate de neconformitatea cu normele privind protecția datelor sau încălcările securității datelor afectează în mod simultan persoane din mai multe jurisdicții. În aceste cazuri, protecția persoanelor ar putea deveni mai eficace printr-o acțiune comună. În același timp, operatorii economici ar beneficia de pe urma unui cadru juridic mai clar în cadrul căruia instrumentele comune de interpretare și practicile în materie de aplicare a legii sunt elaborate la nivel global.

Prin urmare, în lumea fără frontiere și conectată a fluxurilor de date, este momentul să se intensifice cooperarea între autoritățile de punere în aplicare 53 . UE este pregătită să își îndeplinească rolul. Astfel cum s-a amintit mai sus, RGPD împuternicește Comisia să dezvolte mecanisme de cooperare internațională pentru a facilita punerea efectivă în aplicare a legislației privind protecția datelor, inclusiv prin acorduri de asistență reciprocă. În acest context, ar trebui examinată posibilitatea elaborării unui acord-cadru de cooperare între autoritățile pentru protecția datelor din UE și autoritățile de punere în aplicare din anumite țări terțe, inclusiv pe baza experienței dobândite de Comisie în alte domenii de aplicare a legii, cum ar fi concurența și protecția consumatorilor.

Comisia:

va promova adoptarea rapidă a textului modernizat al Convenției 108 a Consiliului Europei pentru ca UE să devină parte la aceasta și va încuraja aderarea țărilor terțe.

va utiliza forurile multilaterale precum Organizația Națiunilor Unite, G20 și APEC pentru a încuraja o cultură globală a respectului pentru drepturile în materie de protecție a datelor.

va dezvolta mecanisme de cooperare internațională cu parteneri internaționali cheie pentru a facilita aplicarea eficace.

4. O cooperare mai eficace în domeniul aplicării legii cu garanții solide în materie de protecție a datelor

Schimburile de date cu caracter personal fac parte integrantă din prevenirea, investigarea și urmărirea penală a infracțiunilor. Într-o lume interconectată în care criminalitatea se oprește rareori la frontierele naționale, schimbul rapid de date cu caracter personal este esențial pentru succesul cooperării în domeniul aplicării legii și pentru a contracara în mod eficient criminalitatea. Aceste schimburi trebuie să fie susținute de garanții solide în materie de protecție a datelor. Acest lucru contribuie, de asemenea, la clădirea încrederii între autoritățile de aplicare a legii (AAL) și la consolidarea securității juridice atunci când se colectează și/sau se face schimb de informații.

Normele privind transferurile internaționale prevăzute în Directiva privind poliția reglementează schimburile de date dintre autoritățile de aplicare a legii din UE și cele din afara UE, precum și, în anumite situații, transferurile de la autoritățile de aplicare a legii către alte entități. Directiva introduce posibilitatea adoptării unor constatări privind caracterul adecvat în sectorul aplicării dreptului penal. Comisia va promova posibilitatea unor astfel de constatări privind caracterul adecvat cu țările terțe eligibile, în special cu țările cu care este necesară o colaborare strânsă și rapidă în lupta împotriva criminalității și a terorismului și unde au loc deja schimburi de date cu caracter personal la un nivel semnificativ. Pe această bază, Comisia va acorda prioritate discuțiilor cu privire la deciziile privind caracterul adecvat cu țările terțe care sunt parteneri-cheie în cadrul acestui demers.

În mod alternativ, Acordul-cadru UE-SUA privind protecția datelor 54 , încheiat în decembrie 2016, reprezintă un exemplu de succes al modului în care cooperarea în domeniul aplicării legii cu un important partener internațional poate fi îmbunătățită prin negocierea unui set solid de garanții în materie de protecție a datelor. Completând în mod automat instrumentele juridice existente pe care se bazează schimburile de date (în special acordurile bilaterale, atât la nivelul UE, cât și la nivelul statelor membre), acordul-cadru aduce beneficii imediate și directe persoanelor și consolidează cooperarea în domeniul aplicării legii prin facilitarea schimbului de informații. În plus, prin stabilirea unei linii de referință pentru viitoarele acorduri privind transferul de date cu SUA, acordul-cadru elimină necesitatea de a renegocia în mod repetat aceleași garanții. Acordul-cadru reprezintă primul acord internațional bilateral cu un set cuprinzător de drepturi și obligații privind protecția datelor în conformitate cu acquis-ul UE. Prin urmare, acesta poate servi drept bază pentru negocierea unor acorduri similare cu țări terțe, nu numai în domeniul cooperării judiciare și polițienești, dar și în alte domenii ale aplicării legii la nivel public (de exemplu, politica în domeniul concurenței, protecția consumatorilor). Aceasta ar cuprinde atât schimburile între guverne, cât și transferurile de date între întreprinderi private și autoritățile de aplicare a legii. Acordul-cadru ar putea facilita, de asemenea, încheierea de către Uniune a unor acorduri privind schimbul de date între agențiile relevante ale UE (în special Europol și Eurojust) și țările terțe 55 . Prin urmare, Comisia va examina posibilitatea de a încheia acorduri-cadru similare cu partenerii săi importanți în domeniul aplicării legii.

De asemenea, Directiva privind poliția prevede posibilitatea, sub rezerva unor garanții stricte și în circumstanțe specifice, ca autoritățile de aplicare a legii din UE să solicite informații direct de la o societate privată într-o țară terță și să transmită informații cu caracter personal (de regulă, un nume sau o adresă IP) în solicitarea respectivă 56 . În același timp, RGPD abordează în mod specific cazuri în care entități private din UE transmit date cu caracter personal către autoritățile de aplicare a legii dintr-o țară terță ca urmare a unei solicitări: astfel de transferuri în afara UE sunt permise numai în anumite condiții, de exemplu, pe baza unui acord internațional sau atunci când divulgarea este necesară dintr-un motiv important de interes public recunoscut în dreptul Uniunii sau al statelor membre 57 .

Această cooperare, care a devenit esențială pentru succesul investigării și urmăririi penale a infracțiunilor și a terorismului, este evidențiată în concluziile Consiliului privind îmbunătățirea justiției penale în spațiul cibernetic. Consiliul a invitat Comisia să ia măsuri concrete, pe baza unei abordări comune a UE, pentru îmbunătățirea cooperării cu prestatorii de servicii, eficientizarea asistenței judiciare reciproce și propunerea de soluții la problemele legate de stabilirea și aplicarea jurisdicției în spațiul cibernetic 58 . Aceste acțiuni acoperă atât schimburile între autoritățile de aplicare a legii și furnizorii de servicii cu sediul în UE și schimburile cu autorități și companii din afara UE. Comisia va prezenta opțiuni pentru accesul la probe electronice în iunie 2017, luând în considerare nevoia de cooperare rapidă și fiabilă susținută de standardele puternice de protecție a datelor din Directiva privind poliția și RGPD atât în situații interne în cadrul UE, cât și pentru transferuri internaționale.

În sfârșit, în conformitate cu noul temei juridic al Europol, Comisia va evalua dispozițiile cuprinse în acordurile de cooperare operațională între Europol și părți terțe, încheiate în conformitate cu Decizia 2009/371/JAI a Consiliului, inclusiv dispozițiile acestora privind protecția datelor 59 . De asemenea, astfel cum este prevăzut în Agenda europeană privind securitatea pentru anul 2015, abordarea viitoare a Comisiei în ceea ce privește schimbul de date din registrele cu numele pasagerilor cu țări din afara UE va lua în considerare nevoia de a aplica standarde coerente și protecții specifice ale drepturilor fundamentale. Comisia va lucra la soluții solide din punct de vedere juridic și durabile pentru schimbul de date din registrele cu numele pasagerilor (PNR) cu țări terțe, inclusiv prin luarea în considerare a unui model de acord privind registrele cu numele pasagerilor care prevede cerințele pe care țările terțe trebuie să le îndeplinească pentru a primi date PNR din UE. Cu toate acestea, orice politică viitoare în domeniu va depinde, în special, de viitorul aviz al Curții de Justiție a Uniunii Europene cu privire la acordul preconizat UE-Canada privind PNR 60 . 

O cooperare mai eficace în domeniul aplicării legii cu garanții solide în materie de protecție a datelor

Comisia:

va promova posibilitatea adoptării unor decizii privind caracterul adecvat al nivelului de protecție în conformitate cu Directiva privind poliția cu țările terțe eligibile.

va promova negocierea de acorduri în domeniul aplicării legii cu parteneri internaționali importanți în concordanță cu modelul furnizat de acordul umbrelă cu SUA.

va da curs Concluziilor Consiliului privind îmbunătățirea justiției penale în spațiul cibernetic pentru a facilita schimbul transfrontalier de probe electronice în conformitate cu normele privind protecția datelor.

5. Concluzie

Protecția și schimbul datelor cu caracter personal nu se exclud reciproc. Un sistem solid de protecție a datelor facilitează fluxurile de date prin consolidarea încrederii consumatorilor în întreprinderile cărora le pasă de modul în care gestionează datele cu caracter personal ale clienților lor. Standardele ridicate în materie de protecție a datelor devin astfel un avantaj în economia digitală globală. Același lucru este valabil pentru cooperarea în domeniul aplicării legii: garanțiile privind protecția vieții private fac parte integrantă din schimbul rapid și eficace de informații în cadrul luptei împotriva criminalității, pe baza încrederii reciproce și a securității juridice.

După finalizarea reformei normelor sale privind protecția datelor, UE ar trebui să se implice în mod proactiv cu țările terțe în acest domeniu. Aceasta ar trebui să urmărească să obțină o mai mare convergență pozitivă a principiilor privind protecția datelor la nivel internațional, atât în plan bilateral, cât și multilateral. Acest lucru este în interesul și în beneficiul cetățenilor și al întreprinderilor deopotrivă. Noul cadru legislativ privind protecția datelor oferă UE instrumentele necesare și adecvate pentru atingerea acestor obiective. Pe baza abordării strategice descrise în prezenta comunicare, Comisia se va angaja în mod activ cu țările terțe cheie în vederea examinării posibilității de a adopta constatări privind caracterul adecvat, începând cu Japonia și Coreea în 2017, în scopul promovării convergenței în materie de reglementare în direcția standardelor UE și al facilitării relațiilor comerciale. În același timp, UE va utiliza pe deplin setul de instrumente alternative de transfer pentru a proteja drepturile în materie de protecție a datelor și pentru a sprijini operatorii economici în cazul în care datele sunt transferate în țări al căror drept intern nu asigură un nivel adecvat de protecție a datelor. Aceste instrumente ar trebui, de asemenea, să fie utilizate pentru a facilita în continuare cooperarea între autoritățile de supraveghere și autoritățile de aplicare a legii din UE și partenerii internaționali ai acestora. Comisia va asigura coerența dintre dimensiunea internă și cea externă a politicii UE în materie de protecție a datelor și va promova o protecție solidă a datelor la nivel internațional pentru a îmbunătăți cooperarea în domeniul aplicării legii, pentru a contribui la liberul schimb și pentru a dezvolta standarde ridicate de protecție a datelor cu caracter personal la nivel global.

(1)

     Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, JO L 281, 23.11.1995.

(2)

     Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), JO L 119, 4.5.2016, p. 1-88. Acesta a intrat în vigoare la 24 mai 2016 și se aplică de la 25 mai 2018.

(3)

     Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului, JO L 119, 4.5.2016, p. 89-131. Aceasta a intrat în vigoare la 5 mai 2016. Statele membre ale UE trebuie să o transpună în legislația lor națională până la data de 6 mai 2018.

(4)

     A se vedea „Reglementările în materie de protecție a datelor și fluxurile internaționale de date: Implicații pentru comerț și dezvoltare”, UNCTAD (2016): http://unctad.org/en/PublicationsLibrary/dtlstict2016d1_en.pdf.

(5)

     Programul de lucru al Comisiei pentru 2017, Construirea unei Europe care le oferă cetățenilor săi protecție, îi ajută să își afirme drepturile și îi apără, COM(2016) 710 final, 25.10.2016, p. 12 și anexa 1.

(6)

     Comunicarea Comisiei către Parlamentul European, Consiliu, Comitetul Economic și Social și Comitetul Regiunilor „Agenda europeană privind securitatea”, COM(2015) 185 final, 28.4.2015.

(7)

     Hotărârea Curții de Justiție a UE din 6 octombrie 2015 în cauza C-362/14, Maximillian Schrems/Comisarul pentru protecția datelor, punctele 73, 74 și 96. A se vedea, de asemenea, considerentul 104 din RGPD și considerentul 67 din Directiva privind poliția care se referă la standardul echivalenței esențiale.

(8)

     A se vedea articolul 45 din RGPD. Astfel cum se prevede la articolul 45 alineatul (2), în evaluarea sa, Comisia trebuie să ia în considerare, printre altele, statul de drept, respectarea drepturilor omului și a libertăților fundamentale și legislația relevantă, inclusiv în domeniul protecției datelor, al securității publice, al apărării, al securității naționale și al dreptului penal și accesul autorităților publice la datele cu caracter personal. Acestea trebuie să fie susținute de drepturi efective și executorii, inclusiv de căi de atac administrative și judiciare pentru persoanele fizice și de către o autoritate de supraveghere independentă care funcționează în mod efectiv pentru a garanta și a impune respectarea normelor privind protecția datelor. Aderarea la convenții cu caracter obligatoriu din punct de vedere juridic, în special la Convenția 108 a Consiliului Europei, și participarea la sisteme multilaterale sau regionale care se ocupă de protecția datelor vor fi, de asemenea, luate în considerare.

(9)

     A se vedea articolul 36 alineatul (2) din Directiva privind poliția pentru elementele specifice ale evaluării caracterului adecvat.

(10)

     A se vedea articolul 45 alineatul (1) din RGPD și articolul 36 alineatul (1) din Directiva privind poliția.

(11)

     A se vedea, de exemplu, Comunicarea Comisiei către Parlamentul European și Consiliu privind transferul datelor cu caracter personal dinspre UE către Statele Unite ale Americii în temeiul Directivei 95/46/CE în urma hotărârii pronunțate de Curtea de Justiție în cauza C-362/14 (Schrems), COM(2015) 566 final, 6.11.2015.

(12)

     CCS stabilesc obligațiile respective în materie de protecție a datelor între exportatorul UE și importatorul din țara terță.

(13)

     BCR sunt norme interne adoptate de un grup multinațional de întreprinderi pentru efectuarea de transferuri de date din cadrul aceluiași grup corporativ către entități situate în țări care nu asigură un nivel de protecție adecvat. În timp ce BCR sunt deja în uz în temeiul Directivei din 1995, RGPD codifică și oficializează rolul acestora ca instrument pentru transferuri.

(14)

     A se vedea articolul 46 alineatul (2) literele (c) și (d) și considerentul 168 din RGPD.

(15)

     A se vedea articolele 46 alineatul (2) litera (b), articolul 47 și considerentul 110 din RGPD.

(16)

     A se vedea articolul 46 alineatul (2) din RGPD.

(17)

     Faptul că cerințele de înregistrare creează o barieră în calea comerțului pentru multe întreprinderi, în special IMM-uri, a fost evidențiat, de exemplu, în raportul UNCTAD, p. 34.

(18)

     A se vedea articolul 46 alineatul (2) literele (e) și (f) din RGPD.

(19)

     Operatorii din afara UE vor putea să adere la un cod european de conduită sau la un mecanism de certificare prin asumarea de angajamente cu caracter obligatoriu și executoriu, prin intermediul angajamentelor contractuale sau al altor angajamente obligatorii din punct de vedere juridic pentru a aplica garanțiile privind protecția datelor cuprinse în aceste instrumente. A se vedea articolul 42 alineatul (2) din RGPD.

(20)

     A se vedea articolul 46 alineatul (2) litera (a) și alineatul (3) litera (b) din RGPD.

(21)

     A se vedea articolul 49 din RGPD.

(22)

     A se vedea articolul 49 alineatul (1) al doilea paragraf.

(23)

     A se vedea articolul 50 din RGPD.

(24)

     A se vedea, de exemplu, Comunicarea Comisiei către Parlamentul European, Consiliu, Comitetul Economic și Social și Comitetul Regiunilor „Comerț pentru toți: Către o politică comercială și de investiții mai responsabilă”, COM(2015) 497 final, 14.10.2015, p. 7.

(25)

     Eurobarometru special 431 - Protecția datelor, iunie 2015.

(26)

     Orientările politice ale președintelui Juncker: Un nou început pentru Europa: Agenda mea pentru locuri de muncă, creștere, echitate și schimbări democratice

(27)

     A se vedea nota de subsol 7.

(28)

     Cf. punctul 74 din hotărârea Schrems.

(29)

     Decizia de punere în aplicare UE(2016) 1260 din 12 iulie 2016.

(30)

     Comisia încurajează SUA să depună eforturi în direcția unui sistem cuprinzător de protecție a vieții private și a datelor care să permită convergența între cele două sisteme pe termen lung. A se vedea Comunicarea Comisiei către Parlamentul European și Consiliu, „Fluxuri de date transatlantice: restabilirea încrederii prin garanții puternice”, COM(2016) 117 final, 29.2.2016.

(31)

     Acest lucru include, în special, aplicarea Directivei nr. 28 privind politica prezidențială (PPD-28), care impune o serie de limitări și garanții pentru operațiunile de „colectare de informații pe baza semnalelor electromagnetice”, precum și numirea unui Ombudsman special pentru plângerile depuse de persoane din UE în această privință.

(32)

     G. Greenleaf, „Global data privacy laws 2015: 109 countries, with European laws now in a minority”, (2015) 133 Privacy Laws & Business International Report, 14-17.

(33)

     Studiu UNCTAD, p. 8 și 42 (nota de subsol 4 de mai sus).

(34)

     În acest sens, atunci când efectuează o evaluare cu privire la caracterul adecvat, Comisia ține seama, de asemenea, de obligațiile țării terțe care decurg din convenții cu caracter obligatoriu din punct de vedere juridic, în special aderarea acesteia la Convenția 108 și la Protocolul adițional la aceasta. A se vedea articolul 45 alineatul (2) litera (c) și considerentul 105 din RGPD.

(35)

     Pentru țările cu privire la care există interese relevante pentru cooperare în domeniul securității interne și al aplicării legii, Comisia va examina posibilitatea adoptării unor constatări specifice privind caracterul adecvat în conformitate cu Directiva privind poliția, a se vedea secțiunea 4.

(36)

     Acest lucru poate fi deosebit de relevant pentru țările în curs de dezvoltare și în tranziție, întrucât protecția datelor cu caracter personal este atât un element esențial al statului de drept, cât și un important factor al competitivității economice.

(37)

     Japonia și Coreea au adoptat recent sau și-au modernizat legislația pentru a pune în practică regimuri cuprinzătoare de protecție a datelor.

(38)

     Articolul 45 alineatele (4) și (5) din RGPD obligă Comisia să monitorizeze permanent evoluțiile din țările terțe și îi conferă competența de a anula, a modifica sau a suspenda o decizie privind caracterul adecvat al nivelului de protecție în cazul în care constată că țara respectivă nu mai asigură un nivel de protecție adecvat.

(39)

     A se vedea articolul 45 alineatul (3) din RGPD.

(40)

     Articolul 97 alineatul (2) litera (a) din RGPD solicită, de asemenea, Comisiei să prezinte până în 2020 un raport de evaluare Parlamentului European și Consiliului.

(41)

     Pentru a deduce consecințele care decurg din hotărârea Schrems în care s-a constatat că Comisia și-a depășit competențele în ceea ce privește restricționarea competențelor autorităților pentru protecția datelor de a suspenda sau de a interzice fluxurile de date în Decizia privind sfera de siguranță, Comisia a adoptat, la 16 decembrie 2016, o decizie de modificare „omnibus” care elimină dispoziții similare prevăzute în deciziile existente privind caracterul adecvat și care le înlocuiește cu dispoziții care se limitează să prevadă cerințe privind informațiile între statele membre și Comisie în cazul în care o APD suspendă sau interzice transferurile către o țară terță. Decizia omnibus introduce, de asemenea, o cerință conform căreia Comisia trebuie să monitorizeze evoluțiile relevante din țara terță. A se vedea JO L355, 17.12.2016, p. 83.

(42)

     În special, o constatare a caracterului adecvat este o decizie unilaterală de punere în aplicare adoptată de către Comisie în conformitate cu legislația UE privind protecția datelor, pe baza criteriilor prevăzute în aceasta.

(43)

     A se vedea Comunicarea „Comerț pentru toți”, p. 12 (nota de subsol 24 de mai sus).

(44)

     A se vedea articolul 46 alineatul (2) literele (c) și (d) și considerentul 109 din RGPD care clarifică faptul că adaptări ale clauzelor standard aprobate sunt posibile atât timp cât acestea nu sunt contradictorii, direct sau indirect, cu respectivele clauze standard sau nu aduc atingere drepturilor sau libertăților fundamentale ale persoanelor.

(45)

     În prezent, nu sunt elaborate CCS de la persoană împuternicită de către operator din UE la persoană împuternicită de către operator din afara UE.

(46)

     Articolul 43 alineatele (8) și (9) din RGPD.

(47)

     A se vedea Cadrul comun de referință APEC/UE din 2014 pentru structura regulilor corporatiste obligatorii ale UE și sistemul APEC de norme transfrontaliere de protecție a vieții private (CBPR), care compară cerințele de conformitate și de certificare ale celor două sisteme: http://www.apec.org/~/media/Files/Groups/ECSG/20140307_Referential-BCR-CBPR-reqs.pdf.

(48)

     Convenția Consiliului Europei din 28 ianuarie 1981 pentru protecția persoanelor cu privire la prelucrarea automată a datelor cu caracter personal (ETS nr. 180) și Protocolul adițional la Convenția privind protecția persoanelor fizice în ceea ce privește prelucrarea automată a datelor cu caracter personal cu privire la autoritățile de control și fluxul transfrontalier al datelor (ETS nr. 181), semnat în 2001.

(49)

Mauritius, Senegal și Uruguay au ratificat convenția. În plus, Capul Verde, Maroc și Tunisia au fost invitate să adere.

(50)

   A se vedea, de asemenea, Declarația ministerială a OCDE privind economia digitală: inovare, creștere economică și bunăstare socială („Declarația de la Cancun”), 23 iunie 2016.

(51)

     A se vedea: http://www.ohchr.org/EN/Issues/Privacy/SR/Pages/SRPrivacyIndex.aspx .

(52)

     Decizia de punere în aplicare C(2016) 7198 a Comisiei de aprobare a celei de a doua etape a programului anual de acțiune 2016 (PAA 2016) al Instrumentului de parteneriat.

(53)

     Rețelele existente includ Rețeaua globală de asigurare a respectării legislației în materie de viață privată (Global Privacy Enforcement Network - GPEN) lansată în 2010 sub auspiciile OCDE. Aceasta este o rețea informală a autorităților de asigurare a respectării legislației în materie de viață privată, în care sunt implicate APD din UE, care are drept sarcini, printre altele, cooperarea în domeniul aplicării legii, schimbul de cele mai bune practici în abordarea provocărilor transfrontaliere și sprijinirea inițiativelor comune în materie de aplicare a legii și campanii de sensibilizare. Aceasta nu creează noi obligații juridice în rândul participanților și se axează, în special, pe facilitarea cooperării în materie de aplicare a legilor privind viața privată care reglementează sectorul privat. A se vedea https://privacyenforcement.net/ .

(54)

     Acord între UE și SUA privind protecția datelor cu caracter personal atunci când acestea sunt transferate și prelucrate în scopul prevenirii, investigării, detectării sau urmăririi infracțiunilor, inclusiv a terorismului, în cadrul cooperării polițienești și al cooperării judiciare în materie penală: http://ec.europa.eu/justice/data-protection/files/dp-umbrella-agreement_en.pdf („acordul-cadru”)

(55)

     Încheierea de acorduri operaționale cu Europol și Eurojust a constituit, de asemenea, un punct de referință în cadrul dialogurilor privind liberalizarea regimului vizelor cu anumite țări terțe, inclusiv, de exemplu, în contextul dialogului în curs cu Turcia.

(56)

     A se vedea articolul 39 și considerentul 73 din Directiva privind poliția.

(57)

     A se vedea articolul 48 și considerentul 115 din RGPD.

(58)

     Concluziile Consiliului Uniunii Europene privind îmbunătățirea justiției penale în spațiul cibernetic, 9 iunie 2016: www.consilium.europa.eu/en/meetings/jha/2016/06/cyberspace--en_pdf/. În urma raportului său privind progresele înregistrate prezentat Consiliului în decembrie 2016, Comisia a fost însărcinată să prezinte Consiliului rezultatele cu privire la aceste aspecte până în iunie 2017.

(59)

     A se vedea articolul 25 alineatul (4) din Regulamentul (UE) 2016/794 al Parlamentului European și al Consiliului din 11 mai 2016 privind Agenția Uniunii Europene pentru Cooperare în Materie de Aplicare a Legii (Europol) și de înlocuire și de abrogare a Deciziilor 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI și 2009/968/JAI ale Consiliului JO L 135, 24.5.2016 (p. 53-114) Comisia trebuie să prezinte un raport de evaluare până la 14 iunie 2021 privind acordurile de cooperare ale Europol încheiate înainte de 1 mai 2017.

(60)

     Avizul Curții de Justiție privind proiectul de acord UE-Canada privind PNR din 2014 înaintat Curții de către Parlamentul European (Avizul 1/15). Curtea a fost solicitată să evalueze compatibilitatea proiectului de acord cu Carta drepturilor fundamentale a UE.