13/Volumul 47

RO

Jurnalul Ofícial al Uniunii Europene

72


32004D0915


L 385/74

JURNALUL OFÍCIAL AL UNIUNII EUROPENE


DECIZIA COMISIEI

din 27 decembrie 2004

de modificare a Deciziei 2001/497/CE privind introducerea unui set alternativ de clauze contractuale standard pentru transferul de date cu caracter personal către țări terțe

[notificată cu numărul C(2004) 5271]

(Text cu relevanță pentru SEE)

(2004/915/CE)

COMISIA COMUNITĂȚILOR EUROPENE,

având în vedere Tratatul de instituire a Comunității Europene,

având în vedere Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (1), în special articolul 26 alineatul (4),

întrucât:

(1)

Pentru a facilita fluxurile de date provenind din Comunitate, este de dorit ca responsabilii cu prelucrarea datelor să poată efectua transferurile de date în mod global, pe baza unui singur set de norme de protecție a datelor. În absența unor standarde universale în materie de protecție a datelor, clauzele contractuale standard furnizează un instrument important care permite transferul de date cu caracter personal provenind din toate statele membre conform unui set comun de reguli. Decizia 2001/497/CE a Comisiei din 15 iunie 2001 privind clauzele contractuale standard pentru transferul de date cu caracter personal către țări terțe în temeiul Directivei 95/46/CE (2) stabilește prin urmare un model de set de clauze contractuale standard care oferă garanții adecvate pentru transferul de date către țări terțe.

(2)

De la adoptarea deciziei menționate s-a acumulat o experiență considerabilă. În afară de aceasta, o coaliție de asociații profesionale (3) a prezentat un set alternativ de clauze contractuale standard conceput pentru a oferi un nivel de protecție a datelor echivalent celui oferit de setul de clauze contractuale standard stabilit în Decizia 2001/497/CE, dar recurgând la mecanisme diferite.

(3)

Deoarece utilizarea clauzelor contractuale standard pentru transferurile de date internaționale este voluntară întrucât clauzele contractuale standard reprezintă doar una dintre posibilitățile prevăzute de Directiva 95/46/CE pentru a transfera în mod legal date cu caracter personal către o țară terță, exportatorii de date în Comunitate și importatorii de date în țări terțe trebuie să fie liberi să aleagă unul din seturile de clauze contractuale standard sau să aleagă o altă bază juridică pentru transferul de date. Întrucât fiecare set complet constituie un model, exportatorilor de date nu trebuie să li se permită să modifice aceste seturi sau să le contopească, total sau parțial, într-o anume manieră.

(4)

Clauzele contractuale standard prezentate de asociațiile profesionale urmăresc sporirea utilizării clauzelor contractuale între agenți prin mecanisme cum sunt cerințe de audit mai flexibile și reguli mai detaliate în ce privește dreptul de acces.

(5)

Pe lângă acestea, ca alternativă la sistemul de răspundere solidară prevăzut de Decizia 2001/497/CE, setul prezentat acum conține un regim de răspundere având la bază obligații privind identificarea si analiza riscurilor asociate (de tip due diligence) în temeiul cărora exportatorul de date și importatorul de date pot fi responsabili, față de persoanele vizate, pentru încălcările lor respective ale obligațiilor contractuale pe care și le-au asumat; exportatorul de date este de asemenea răspunzător în cazul în care nu a făcut eforturile corespunzătoare pentru a se asigura că importatorul de date este în măsură să îndeplinească obligațiile juridice care îi revin în temeiul clauzelor (culpa in eligendo), iar persoana vizată poate introduce o acțiune în justiție împotriva exportatorului de date în această privință. Aplicarea clauzei I litera (b) din noul set de clauze contractuale standard are o mare importanță în această privință, în special în ceea ce privește posibilitatea ca exportatorul de date să procedeze la efectuarea de audituri la sediul importatorului de date sau să ceară acestuia să dovedească faptul că dispune de resurse financiare suficiente pentru a-și îndeplini responsabilitățile.

(6)

În ce privește exercitarea drepturilor de terț beneficiar de persoanele vizate, se prevede o implicare mai mare a exportatorului de date în rezolvarea plângerilor persoanelor respective, exportatorul de date fiind obligat să contacteze importatorul de date și, după caz, să asigure aplicarea contractului în termenul normal de o lună. În cazul în care exportatorul de date refuză să asigure aplicarea contractului și neîndeplinirea acestuia de către importatorul de date persistă, persoana vizată poate în acest caz să aplice clauzele împotriva importatorului de date și în cele din urmă să-l acționeze în justiție într-un stat membru. Această acceptare de jurisdicție și angajamentul de a se conforma deciziei pronunțate de un tribunal competent sau de o autoritate responsabilă cu protecția datelor nu afectează niciunul din drepturile procedurale ale importatorilor de date stabiliți în țări terțe, cum ar fi dreptul la recurs.

(7)

Cu toate acestea, pentru a preveni un abuz în temeiul acestei flexibilități sporite, este oportun să se prevadă că autoritățile având în sarcină protecția datelor pot cu mai mare ușurință să interzică sau să suspende transferurile de date pe baza noului set de clauze contractuale standard în acele cazuri în care exportatorul de date refuză să ia măsuri adecvate pentru a face să se aplice obligațiile contractuale împotriva importatorului de date sau în cazul în care acesta din urmă refuză să coopereze cu bună credință cu autoritățile competente de supraveghere a protecției datelor.

(8)

Utilizarea clauzelor contractuale standard se va face fără a aduce atingere aplicării dispozițiilor interne adoptate în temeiul Directivei 95/46/CE sau al Directivei 2002/58/CE a Parlamentului European și a Consiliului privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice (Directiva privind viața privată și comunicațiile electronice) (4), în special în ceea ce privește transmiterea de comunicări comerciale în scopul marketingului direct.

(9)

Pe această bază, garanțiile conținute în clauzele contractuale standard prezentate pot fi considerate drept adecvate în sensul articolului 26 alineatul (2) din Directiva 95/46/CE.

(10)

Grupul de lucru pentru protecția persoanelor în privința prelucrării datelor cu caracter personal, instituit în temeiul articolului 29 din Directiva 95/46/CE, a emis un aviz (5) privind nivelul de protecție asigurat de clauzele contractuale standard prezentate, care a fost luat în considerare.

(11)

Pentru a evalua efectul amendamentelor la Decizia 2001/497/CE, este oportun ca acestea să fie evaluate de către Comisie la trei ani după ce acestea au fost notificate statelor membre.

(12)

Decizia 2001/497/CE trebuie modificată în consecință.

(13)

Măsurile prevăzute de prezenta decizie sunt în conformitate cu avizul comitetului instituit în temeiul articolului 31 din Directiva 95/46/CE,

ADOPTĂ PREZENTA DECIZIE:

Articolul 1

Decizia 2001/497/CE se modifică după cum urmează:

1.

La articolul 1 se adaugă următorul paragraf:

„Responsabilii cu prelucrarea datelor pot să aleagă oricare dintre seturile I sau II din anexă. Cu toate acestea, ei nu pot să modifice clauzele, nici să combine clauzele individuale sau seturile.”

2.

La articolul 4, alineatele (2) și (3) se înlocuiesc cu următoarele texte:

„(2)   În sensul alineatului (1), în cazul în care responsabilul cu prelucrarea datelor oferă garanții adecvate pe baza clauzelor contractuale standard cuprinse în setul II din anexă, autoritățile competente în materie de protecție a datelor au dreptul să-și exercite împuternicirile de care dispun pentru a interzice sau a suspenda fluxurile de date în cazurile următoare:

(a)

refuzul importatorului de date de a coopera cu bună credință cu autoritățile în materie de protecție a datelor sau de a se conforma obligațiilor lor clar enunțate în contract;

(b)

refuzul exportatorului de date de a lua măsuri adecvate pentru a face să se aplice contractul împotriva importatorului de date în termenul normal de o lună de la primirea notificării din partea autorității în materie de protecție a datelor.

În sensul primului paragraf, refuzul cu rea credință sau refuzul de a aplica contractul de către importatorul de date nu include cazurile în care cooperarea sau aplicarea ar veni în conflict cu cerințele obligatorii din legislația internă, aplicabile importatorului de date, care nu depășesc ceea ce este necesar într-o societate democratică pe baza unuia din interesele enunțate la articolul 13 alineatul (1) din Directiva 95/46/CE, în special sancțiunile prevăzute în actele internaționale și/sau interne, obligațiile de declarație fiscală sau obligațiile de declarație în cadrul luptei contra spălării banilor.

În sensul dispozițiilor de la litera (a) din primul paragraf, cooperarea poate include, în special, prezentarea pentru verificare a mijloacelor de prelucrare a datelor deținute de importatorul de date sau obligația de a se conforma recomandării făcute de autoritatea de supraveghere în materie de protecție a datelor din Comunitate.

(3)   Interdicția sau suspendarea prevăzute la alineatele (1) și (2) se ridică de îndată ce motivele pentru impunerea lor au încetat să mai existe.

(4)   Atunci când statele membre adoptă măsuri în conformitate cu alineatele (1), (2) și (3), ele informează fără întârziere Comisia, care va transmite informațiile celorlalte state membre.”.

3.

La articolul 5, prima teză se înlocuiește cu următorul text:

„Comisia evaluează efectul acestei decizii pe baza informațiilor disponibile după scurgerea a trei ani de la notificarea acesteia statelor membre, precum și după notificarea oricărei modificări aduse acesteia.”.

4.

Anexa se modifică după cum urmează:

1.

după titlu, se inserează „SETUL I”;

2.

se adaugă textul conținut în anexa la prezenta decizie.

Articolul 2

Prezenta decizie se aplică de la 1 aprilie 2005.

Articolul 3

Prezenta decizie se adresează statelor membre.

Adoptată la Bruxelles, 27 decembrie 2004.

Pentru Comisie

Charlie McCREEVY

Membru al Comisiei


(1)  JO L 281, 23.11.1995, p. 31, astfel cum a fost modificată prin Regulamentul (CE) nr. 1883/2003 (JO L 284, 31.10.2003, p. 1).

(2)  JO L 181, 4.7.2001, p. 19.

(3)  Camera de Comerț Internațională (ICC), Consiliul Japonez de Afaceri din Europa (JBCE), Asociația europeană de tehnologii ale informației și de comunicații (EICTA), Comitetul UE al Camerei de Comerț Americane în Belgia (Amcham), Confederația Industriei Britanice (CBI), Masa rotundă internațională a comunicării (ICRT) și Federația asociațiilor europene de marketing direct (FEDMA).

(4)  JO L 201, 31.7.2002, p. 37.

(5)  Avizul nr. 8/2003, disponibil la: http://europa.eu.int/comm/privacy


ANEXĂ

SETUL II

Clauze contractuale standard pentru transferul de date cu caracter personal din Comunitate către țări terțe (transferuri de la responsabil cu prelucrarea la responsabil cu prelucrarea)

Acord de transfer de date

între

… (nume)

… (adresa și țara de stabilire)

în continuare «exportator de date»

și

… (nume)

… (adresa și țara de stabilire)

în continuare «importator de date»

denumite împreună «părțile», separat «partea».

Definiții

În sensul clauzelor:

(a)

«date cu caracter personal», «categorii speciale de date/date sensibile», «a prelucra/prelucrare», «responsabil cu prelucrarea», «operator», «persoană vizată» și «autoritate de supraveghere/autoritate» au același sens ca în Directiva 95/46/CE din 24 octombrie 1995 (în care «autoritate» înseamnă autoritatea competentă în materie de protecție a datelor pe al cărei teritoriu este stabilit exportatorul de date);

(b)

«exportator de date» înseamnă responsabilul cu prelucrarea care transferă datele cu caracter personal;

(c)

«importator de date» înseamnă responsabilul cu prelucrarea, care acceptă să primească, de la exportatorul de date, date cu caracter personal pentru a fi prelucrate în continuare în conformitate cu dispozițiile din prezentele clauze și care nu este supus mecanismului unei țări terțe de asigurare a unei protecții adecvate;

(d)

«clauze» înseamnă prezentele clauze contractuale, constituind un document independent care nu cuprinde dispoziții comerciale convenite de către părți în cadrul unor acorduri comerciale separate.

Detaliile transferului (precum și datele cu caracter personal cuprinse) sunt specificate în anexa B, care face parte integrantă din clauze.

I.   Obligații ale exportatorului de date

Exportatorul de date oferă garanții și se angajează precum urmează:

(a)

Datele cu caracter personal au fost colectate, prelucrate și transferate conform legilor aplicabile exportatorului de date.

(b)

Exportatorul de date a depus eforturi corespunzătoare pentru a se asigura că importatorul de date este în măsură să îndeplinească obligațiile juridice care îi revin în temeiul prezentelor clauze.

(c)

Exportatorul de date transmite importatorului de date, la cererea acestuia din urmă, textele reglementărilor pertinente în materie de protecție a datelor sau referințe la acestea (după caz, și fără să includă consultanță juridică) din țara în care este stabilit exportatorul de date.

(d)

Exportatorul de date răspunde cererilor de informații din partea persoanelor vizate și din partea autorității cu privire la prelucrarea datelor cu caracter personal efectuată de către importatorul de date, în cazul în care părțile nu au convenit ca importatorul de date să fie acela care răspunde acestor cereri, caz în care exportatorul de date trebuie totuși să răspundă în măsura posibilului, comunicând informațiile de care dispune în mod rezonabil, în cazul în care importatorul de date nu acceptă sau nu este în măsură să răspundă. Răspunsurile sunt transmise într-un termen rezonabil.

(e)

Exportatorul de date va remite, la cerere, un exemplar al clauzelor persoanelor vizate care sunt terți beneficiari în conformitate cu clauza III, în cazul în care clauzele nu conțin informații confidențiale, situație în care el poate suprima aceste informații. În cazul în care informațiile sunt suprimate, exportatorul de date informează în scris persoanele vizate cu privire la motivul suprimării și despre dreptul lor de a aduce la cunoștința autorității această suprimare. Cu toate acestea, exportatorul de date se conformează deciziei autorității privind accesul persoanelor vizate la textul integral al clauzelor, în măsura în care persoanele vizate au acceptat să respecte confidențialitatea informațiilor confidențiale suprimate. Exportatorul de date furnizează, de asemenea, un exemplar al clauzelor autorității, în cazul în care aceasta îi cere acest lucru.

II.   Obligații ale importatorului de date

Importatorul de date oferă garanții și se angajează precum urmează:

(a)

Importatorul de date adoptă măsuri tehnice și organizaționale corespunzătoare pentru a proteja datele cu caracter personal împotriva distrugerii accidentale sau ilegale, împotriva pierderii accidentale, modificării, dezvăluirii sau accesului neautorizat. Aceste măsuri asigură un nivel de securitate adaptat riscului legat de prelucrarea și natura datelor care urmează să fie protejate.

(b)

Importatorul de date adoptă proceduri pentru a se asigura că terții pe care-i autorizează să aibă acces la date cu caracter personal, inclusiv operatorii, respectă și mențin confidențialitatea și securitatea datelor cu caracter personal. Orice persoană care acționează sub autoritatea importatorului de date, inclusiv un operator de date, nu poate să prelucreze datele cu caracter personal decât în urma instrucțiunilor din partea importatorului de date. Această dispoziție nu se aplică persoanelor autorizate sau care prin acte cu putere de lege sau norme administrative trebuie să aibă acces la date cu caracter personal.

(c)

În momentul în care aderă la prezentele clauze, importatorul de date nu are nici un motiv să creadă că există reglementări locale care să aducă atingere într-un mod substanțial garanțiilor oferite în temeiul prezentelor clauze și, în cazul în care află de existența unor asemenea reglementări, îl va informa pe exportatorul de date (care va transmite această notificare mai departe autorității, după caz).

(d)

Importatorul de date prelucrează datele cu caracter personal în scopurile prezentate în anexa B și are capacitatea juridică să ofere garanțiile și să ia angajamentele specificate în prezentele clauze.

(e)

mportatorul de date va indica exportatorului de date un punct de contact din cadrul organizației sale care este autorizat să răspundă cererilor de informații privind prelucrarea datelor cu caracter personal și va coopera, cu bună credință, cu exportatorul de date, persoanele vizate și autoritatea în ce privește toate aceste cereri de informații într-un termen rezonabil. În caz de dizolvare legală a exportatorului de date sau în cazul în care părțile convin astfel, importatorul de date își va asuma responsabilitatea pentru realizarea conformității cu dispozițiile de la clauza I litera (e).

(f)

La cererea exportatorului de date, importatorul de date îi prezintă dovezi că dispune de resurse financiare suficiente pentru îndeplinirea responsabilităților care îi revin în conformitate cu clauza III (care pot include acoperirea prin asigurare).

(g)

La cererea rezonabilă a exportatorului de date, importatorul de date prezintă mijloacele sale de prelucrare a datelor, fișierele de date și documentația necesară pentru prelucrare pentru a fi examinate, verificate și/sau certificate de exportatorul de date (sau orice inspector sau auditor independent sau imparțial, selectat de exportatorul de date și pe care importatorul de date nu îl poate recuza în mod rezonabil) pentru a stabili conformitatea cu garanțiile și angajamentele luate în prezentele clauze, cu un preaviz corespunzător și în timpul orelor de lucru obișnuite. Cererea va fi supusă, după caz, autorizării sau aprobării unei autorități de reglementare sau supraveghere din țara importatorului de date, pe care acesta se străduiește să o obțină în timp util.

(h)

Importatorul de date prelucrează datele cu caracter personal, la alegere, în conformitate cu:

(i)

legislația privind protecția datelor din țara în care este stabilit exportatorul de date sau

(ii)

dispozițiile pertinente (1) ale unei decizii a Comisiei în aplicarea articolului 25 alineatul (6) din Directiva 95/46/CE, în cazul în care importatorul de date se conformează dispozițiilor pertinente ale acestei autorizații sau decizii și este stabilit într-o țară unde se aplică această autorizație sau decizie, dar nu este sub incidența acestei autorizații sau decizii în scopul transferului de date cu caracter personal (2) sau

(iii)

principiile de prelucrare a datelor enunțate în anexa A.

Importatorul de date indică opțiunea pe care o selecționează: …

Parafa importatorului de date: …

(i)

Importatorul de date nu divulgă și nici nu transferă datele cu caracter personal către un responsabil cu prelucrarea datelor dintr-o țară terță situată în afara Spațiului Economic European (SEE), în cazul în care nu notifică acest transfer exportatorului de date și

(i)

în cazul în care responsabilul cu prelucrarea datelor din țara terță nu prelucrează datele cu caracter personal în conformitate cu o decizie a Comisiei care stabilește că țara terță respectivă asigură o protecție adecvată sau

(ii)

în cazul în care responsabilul cu prelucrarea datelor din țara terță nu devine semnatar al prezentelor clauze sau al unui alt acord de transfer de date aprobat de o autoritate competentă a Uniunii Europene sau

(iii)

în cazul în care persoanelor vizate nu li s-a acordat posibilitatea de a se opune, după ce au fost informate despre scopul transferului, despre categoriile de destinatari și despre faptul că țările în care sunt exportate datele pot avea norme diferite de protecție a datelor sau

(iv)

în cazul în care persoanele vizate nu și-au dat consimțământul neechivoc la transferul ulterior, în cazul transferurilor ulterioare de date sensibile.

III.   Responsabilitatea și drepturile terților

(a)

Fiecare parte răspunde față de celelalte părți pentru daunele produse ca urmare a unei încălcări a prezentelor clauze. Răspunderea între părți se limitează la dauna efectivă suferită. Daunele punitive (adică daunele-interese destinate să sancționeze o parte pentru conduita sa ofensatoare) sunt excluse în mod expres. Fiecare parte răspunde față de persoanele vizate pentru daunele pe cale le produce ca urmare a încălcării drepturilor terților în temeiul prezentelor clauze. Acest lucru nu aduce atingere răspunderii exportatorului de date în temeiul legislației sale în materie de protecție a datelor.

(b)

Părțile convin că o persoană vizată are dreptul să valorifice, în calitate de terț beneficiar, prezenta clauză, precum și clauzele I (b), I (d), I (e), II (a), II (c), II (d), II (e), II (h), II (i), III (a), V, VI (d) și VII împotriva importatorului de date sau a exportatorului de date, pentru încălcările respective ale obligațiilor contractuale, în privința datelor sale cu caracter personal, și acceptă jurisdicția în acest scop a țării de stabilire a exportatorului de date. În cazurile care implică presupuse încălcări comise de importatorul de date, persoana vizată trebuie mai întâi să ceară exportatorului de date să ia măsuri corespunzătoare pentru valorificarea drepturilor sale împotriva importatorului de date; în cazul în care exportatorul de date nu ia aceste măsuri într-un termen corespunzător (care, în circumstanțe normale, ar fi de o lună), persoana vizată poate să-și valorifice drepturile direct împotriva importatorului de date. O persoană vizată are drept de acțiune directă împotriva unui exportator de date care n-a întreprins acțiuni corespunzătoare pentru a stabili dacă importatorul de date este în măsură să-și îndeplinească obligațiile legale în temeiul prezentelor clauze (revine exportatorului de date sarcina probei că a întreprins acțiuni corespunzătoare).

IV.   Dreptul aplicabil clauzelor

Prezentele clauze sunt guvernate de dreptul țării în care este stabilit exportatorul de date, cu excepția actelor cu putere de lege și a normelor administrative referitoare la prelucrarea datelor cu caracter personal de către importatorul de date în temeiul clauzei II (h), care se aplică numai în cazul în care importatorul de date le alege în temeiul acelei clauze.

V.   Soluționarea litigiilor cu persoanele vizate sau cu autoritatea

(a)

În cazul unui litigiu sau al unei plângeri intentate împotriva unei părți sau a ambelor părți de o persoană vizată sau de autoritate cu privire la prelucrarea datelor cu caracter personal, părțile se informează reciproc despre aceste litigii sau plângeri și vor coopera în vederea soluționării lor pe cale amiabilă într-un termen corespunzător.

(b)

Părțile convin să răspundă oricărei proceduri de mediere neimperativă și general disponibilă inițiată de o persoană vizată sau de autoritate. În cazul în care participă la procedură, părțile pot decide să facă acest lucru de la distanță (prin telefon sau alte mijloace electronice). Părțile convin, de asemenea, să examineze posibilitatea de a participa la orice altă procedură de arbitraj, de mediere sau altă procedură de rezolvare a litigiilor aplicată la litigiile în materie de protecție a datelor.

(c)

Fiecare parte se conformează deciziei unei instanțe competente din țara de stabilire a exportatorului de date sau a autorității, care este definitivă și împotriva căreia nu există cale de atac.

VI.   Rezilierea

(a)

În cazul în care importatorul de date nu își îndeplinește obligațiile care îi revin în temeiul prezentelor clauze, exportatorul de date poate suspenda temporar transferul de date cu caracter personal către importatorul de date până la remedierea acestei neîndepliniri sau până la rezilierea contractului.

(b)

În cazul în care:

(i)

transferul de date cu caracter personal către importatorul de date a fost suspendat temporar de către exportatorul de date pe o perioadă mai mare de o lună în conformitate cu litera (a);

(ii)

respectarea de către importatorul de date a prezentelor clauze l-ar pune în situația de a-și încălca obligațiile legale sau normative în țara de import;

(iii)

importatorul de date este într-o situație de încălcare gravă sau persistentă a garanțiilor sau angajamentelor pe care le-a făcut în temeiul prezentelor clauze;

(iv)

o decizie finală, împotriva căreia nu este posibil recursul din partea unei instanțe competente din țara de stabilire a exportatorului de date sau a autorității, declară că a avut loc o încălcare a clauzelor de către importatorul de date sau de exportatorul de date; sau

(v)

este înaintată o petiție în vederea instituirii unei administrări judiciare sau a lichidării importatorului de date, fie că este persoană, fie că este întreprindere, petiție care nu este contestată în termenul aplicabil pentru o astfel de contestație în temeiul dreptului aplicabil; este emis un ordin de lichidare; este numit un administrator judiciar pentru oricare din activele sale; este desemnat un administrator al masei falimentare în cazul în care importatorul de date este o persoană privată; este angajată o procedură de concordat; sau se produce un eveniment echivalent în orice jurisdicție,

atunci exportatorul de date, fără a aduce atingere oricăror altor drepturi pe care le poate invoca împotriva importatorului de date, are dreptul să rezilieze prezentele clauze, în acest caz fiind informată autoritatea, după caz. În cazurile prevăzute la punctele (i), (ii) sau (iv) de mai sus, importatorul de date poate, de asemenea, rezilia prezentele clauze.

(c)

Oricare din părți poate rezilia prezentele clauze în cazul în care (i) a fost adoptată de către Comisie o decizie constatatoare a caracterului adecvat de protecție a datelor în conformitate cu articolul 25 alineatul (6) din Directiva 95/46/CE (sau orice text care o înlocuiește) referitoare la țara (sau un sector al acesteia) către care datele sunt transferate și prelucrate de importatorul de date, sau (ii) Directiva 95/46/CE (sau orice text care o înlocuiește) devine direct aplicabilă în această țară.

(d)

Părțile convin că rezilierea prezentelor clauze în orice moment, în orice circumstanțe și pentru orice motiv [exceptând pentru rezilierea în temeiul clauzei VI (c)], nu le exonerează de obligațiile și/sau condițiile impuse de clauze în ce privește prelucrarea datelor cu caracter personal transferate.

VII.   Modificarea prezentelor clauze

Părțile nu pot modifica prezentele clauze decât pentru aducerea la zi a informațiilor din anexa B, în acest caz ele informând autoritatea, după caz. Acest lucru nu împiedică părțile să adauge clauze comerciale suplimentare, după caz.

VIII.   Descrierea transferului

Detaliile transferului și ale datelor cu caracter personal sunt specificate în anexa B. Părțile convin că anexa B poate conține informații profesionale confidențiale pe care nu le vor divulga unor terți, exceptând cazul în care legea le cere acest lucru sau divulgarea se face ca răspuns la cererea unei agenții oficiale sau de reglementare competente sau în cazul în care sunt obligate în temeiul clauzei I litera (e). Părțile pot executa anexele suplimentare pentru a acoperi transferurile suplimentare, care vor fi supuse autorității, după caz. Ca alternativă, anexa B poate fi redactată astfel încât să acopere transferuri multiple.

Data:…

 

PENTRU IMPORTATORUL DE DATE

PENTRU EXPORTATORUL DE DATE

ANEXA A

PRINCIPII DE PRELUCRARE A DATELOR

1.

Limitarea scopului: datele cu caracter personal pot fi prelucrate și folosite sau comunicate ulterior doar în scopurile specificate în anexa B sau autorizate ulterior de persoana vizată.

2.

Calitatea și proporționalitatea datelor: datele cu caracter personal trebuie să fie exacte și, după caz, să fie actualizate. Datele cu caracter personal trebuie să fie adecvate, pertinente și neexcesive în raport cu scopul pentru care sunt transferate și prelucrate ulterior.

3.

Transparență: persoanele vizate trebuie să primească informațiile necesare pentru asigurarea unei prelucrări corecte (cum ar fi informații despre scopurile prelucrării și despre transfer), în cazul în care astfel de informații nu au fost deja furnizate de exportatorul de date.

4.

Securitate și confidențialitate: responsabilul cu prelucrarea datelor trebuie să adopte măsuri de securitate adecvate de natură tehnică și organizatorică în privința riscurilor legate de prelucrare, cum ar fi distrugerea accidentală sau ilegală sau pierderea accidentală, modificarea, divulgarea sau accesul neautorizat. Orice persoană care acționează sub autoritatea responsabilului cu prelucrarea, inclusiv operatorul care face prelucrarea, nu trebuie să prelucreze datele decât în baza instrucțiunilor din partea responsabilului.

5.

Drepturi de acces, rectificare, ștergere și opoziție: în conformitate cu articolul 12 din Directiva 95/46/CE, persoanele vizate trebuie să obțină, direct sau prin intermediul unui terț, informațiile personale care le privesc și pe care le deține o organizație, exceptând cazurile în care cererile sunt evident abuzive având în vedere frecvența lor nerezonabilă, numărul lor sau natura lor repetitivă sau sistematică, sau în cazul în care accesul nu trebuie să fie acordat în conformitate cu dreptul țării exportatorului de date. Cu condiția ca autoritatea să-și fi exprimat acordul prealabil, accesul nu trebuie, de asemenea, să fie acordat în cazul în care riscă să prejudicieze în mod grav interesele importatorului de date sau ale altor organizații care au legături cu importatorul de date și în cazul în care drepturile și libertățile fundamentale ale persoanei vizate nu primează asupra acestor interese. Sursele datelor cu caracter personal nu trebuie să fie identificate în cazul în care acest lucru nu este posibil să se realizeze cu eforturi corespunzătoare sau în cazul în care drepturile persoanelor, altele decât cele vizate, ar fi încălcate. Persoanele vizate au dreptul să obțină rectificarea, modificarea sau ștergerea informațiilor cu caracter personal care îi privesc în cazul în care acestea sunt inexacte sau sunt prelucrate cu nerespectarea acestor principii. În cazul existenței unor temeiuri serioase de a pune la îndoială legitimitatea cererii, organizația poate cere justificări suplimentare înainte de a proceda la rectificare, modificare sau ștergere. Notificarea oricărei rectificări, modificări sau ștergeri către terți cărora le-au fost divulgate datele nu trebuie făcută în cazul în care acest lucru implică un efort disproporționat. O persoană vizată trebuie, de asemenea, să aibă posibilitatea să se opună prelucrării datelor cu caracter personal care o privesc în cazul în care există motive valabile și legitime care țin de situația sa personală. Sarcina probei pentru orice refuz revine importatorului de date și persoana vizată poate oricând să conteste un refuz în fața autorității.

6.

Date sensibile: importatorul de date adoptă măsurile suplimentare (de exemplu în materie de securitate) care sunt necesare pentru a proteja datele sensibile în conformitate cu obligațiile sale în temeiul clauzei II.

7.

Date utilizate în scopul marketingului: atunci când datele sunt prelucrate în vederea marketingului direct, trebuie să existe proceduri eficace care să permită persoanei vizate să se opună ca datele care o privesc să fie utilizate în asemenea scopuri.

8.

Decizii automatizate: în sensul prezentului document, prin «decizie automatizată» se înțelege o decizie a exportatorului de date sau a importatorului de date care produce efecte juridice cu privire la o persoană vizată sau care afectează în mod semnificativ o persoană vizată și care se bazează în exclusivitate pe prelucrarea automată a datelor cu caracter personal destinate să evalueze anumite aspecte personale ale acesteia, cum ar fi randamentul profesional, bonitatea, fiabilitatea, comportamentul acesteia, etc. Persoanele vizate nu pot face obiectul deciziilor automatizate din partea importatorului de date, cu excepția cazurilor în care:

(a)

(i)

aceste decizii sunt luate de importatorul de date în cadrul încheierii sau executării unui contract cu persoana vizată și

(ii)

persoanei vizate i se dă posibilitatea să discute rezultatele unei decizii automatizate care o privește cu un reprezentant al părții care ia o astfel de decizie sau să protesteze pe lângă această parte în legătură cu decizia

sau

(b)

legislația exportatorului de date conține dispoziții diferite.

ANEXA B

DESCRIEREA TRANSFERULUI

(de completat de către părți)

Persoane vizate

Datele cu caracter personal transferate privesc următoarele categorii de persoane vizate:

Scopurile transferului (transferurilor)

Transferul se face în următoarele scopuri:

Categorii de date

Datele cu caracter personal transferate privesc următoarele categorii de date:

Destinatari

Datele cu caracter personal transferate nu pot fi divulgate decât următorilor destinatari sau categorii de destinatari:

Date sensibile (după caz)

Datele cu caracter personal transferate privesc următoarele categorii de date sensibile:

Înregistrări ale exportatorului de date referitoare la protecția datelor (după caz)

Alte informații utile (limite de stocare și alte informații pertinente)

Puncte de contact pentru cererile de informații privind protecția datelor

Importatorul de date

Exportatorul de date

EXEMPLE DE CLAUZE COMERCIALE (OPȚIONAL)

Despăgubire între exportatorul de date și importatorul de date:

«Părțile se despăgubesc reciproc și nu își impută nici un fel de costuri, plăți, daune, cheltuieli sau pierderi pe care și le cauzează reciproc ca rezultat al neîndeplinirii de către ele a uneia din dispozițiile din prezentele clauze. Despăgubirea este subordonată condițiilor următoare: (a) partea care urmează fie despăgubită sau părțile care urmează să fie despăgubite („partea despăgubită sau părțile despăgubite”) notifică în mod rapid cealaltă parte sau celelalte părți („partea sau părțile despăgubitoare”) cu privire la orice pretenție, (b) partea sau părțile despăgubitoare au control exclusiv referitor la apărarea și reglementarea unei astfel de revendicări și (c) partea despăgubită sau părțile despăgubite cooperează în mod corespunzător cu partea sau părțile despăgubitoare și le acordă sprijin în acțiunea de apărare a revendicării.»

Rezolvarea litigiilor între exportatorul de date și importatorul de date (părțile pot, desigur, să opteze pentru o altă soluție sau clauză jurisdicțională de soluționare a litigiilor):

«În eventualitatea unui litigiu între importatorul de date și exportatorul de date privind o presupusă încălcare a unei dispoziții din prezentele clauze, litigiul se soluționează în ultimă instanță în conformitate cu regulile de arbitraj ale Camerei de Comerț Internaționale de unul sau mai mulți arbitri desemnați potrivit regulilor menționate. Arbitrajul are loc la [ ]. Numărul arbitrilor este de [ ].»

Repartiția cheltuielilor:

«Fiecare parte își îndeplinește obligațiile care-i revin în temeiul prezentelor clauze pe propria cheltuială.»

Clauză de reziliere suplimentară:

«În eventualitatea rezilierii prezentelor clauze, importatorul de date trebuie să returneze imediat exportatorului de date toate datele cu caracter personal și toate copiile datelor cu caracter personal care fac obiectul prezentelor clauze sau, la alegerea exportatorului de date, va distruge toate copiile acestora și va certifica exportatorului de date că a procedat în acest fel, exceptând cazul în care importatorul de date nu este împiedicat de dreptul său intern sau de normativele locale să distrugă sau să returneze datele în întregime sau parțial, în această situație datele fiind păstrate în regim confidențial și neputând fi prelucrate în mod activ pentru niciun scop. Importatorul de date acceptă să permită accesul exportatorului de date, la cererea acestuia din urmă sau unui inspector selectat de acesta și pe care importatorul de date nu-l poate recuza în mod rezonabil, la sediul organizației sale pentru a verifica că acest lucru s-a realizat, în urma unui preaviz corespunzător și în timpul programului de lucru.»


(1)  «Dispoziții pertinente» înseamnă acele dispoziții conținute într-o autorizație sau decizie cu excepția dispozițiilor de aplicare a unei autorizații sau decizii (care sunt reglementate de prezentele clauze).

(2)  Cu toate acestea, dispozițiile din anexa 5 privind drepturile de acces, rectificare, ștergere și opunere trebuie să fie aplicate în cazul în care se recurge la această opțiune, ele primând asupra dispozițiilor corespunzătoare din decizia Comisiei selectată.