13/Volumul 47 |
RO |
Jurnalul Ofícial al Uniunii Europene |
72 |
32004D0915
L 385/74 |
JURNALUL OFÍCIAL AL UNIUNII EUROPENE |
DECIZIA COMISIEI
din 27 decembrie 2004
de modificare a Deciziei 2001/497/CE privind introducerea unui set alternativ de clauze contractuale standard pentru transferul de date cu caracter personal către țări terțe
[notificată cu numărul C(2004) 5271]
(Text cu relevanță pentru SEE)
(2004/915/CE)
COMISIA COMUNITĂȚILOR EUROPENE,
având în vedere Tratatul de instituire a Comunității Europene,
având în vedere Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (1), în special articolul 26 alineatul (4),
întrucât:
(1) |
Pentru a facilita fluxurile de date provenind din Comunitate, este de dorit ca responsabilii cu prelucrarea datelor să poată efectua transferurile de date în mod global, pe baza unui singur set de norme de protecție a datelor. În absența unor standarde universale în materie de protecție a datelor, clauzele contractuale standard furnizează un instrument important care permite transferul de date cu caracter personal provenind din toate statele membre conform unui set comun de reguli. Decizia 2001/497/CE a Comisiei din 15 iunie 2001 privind clauzele contractuale standard pentru transferul de date cu caracter personal către țări terțe în temeiul Directivei 95/46/CE (2) stabilește prin urmare un model de set de clauze contractuale standard care oferă garanții adecvate pentru transferul de date către țări terțe. |
(2) |
De la adoptarea deciziei menționate s-a acumulat o experiență considerabilă. În afară de aceasta, o coaliție de asociații profesionale (3) a prezentat un set alternativ de clauze contractuale standard conceput pentru a oferi un nivel de protecție a datelor echivalent celui oferit de setul de clauze contractuale standard stabilit în Decizia 2001/497/CE, dar recurgând la mecanisme diferite. |
(3) |
Deoarece utilizarea clauzelor contractuale standard pentru transferurile de date internaționale este voluntară întrucât clauzele contractuale standard reprezintă doar una dintre posibilitățile prevăzute de Directiva 95/46/CE pentru a transfera în mod legal date cu caracter personal către o țară terță, exportatorii de date în Comunitate și importatorii de date în țări terțe trebuie să fie liberi să aleagă unul din seturile de clauze contractuale standard sau să aleagă o altă bază juridică pentru transferul de date. Întrucât fiecare set complet constituie un model, exportatorilor de date nu trebuie să li se permită să modifice aceste seturi sau să le contopească, total sau parțial, într-o anume manieră. |
(4) |
Clauzele contractuale standard prezentate de asociațiile profesionale urmăresc sporirea utilizării clauzelor contractuale între agenți prin mecanisme cum sunt cerințe de audit mai flexibile și reguli mai detaliate în ce privește dreptul de acces. |
(5) |
Pe lângă acestea, ca alternativă la sistemul de răspundere solidară prevăzut de Decizia 2001/497/CE, setul prezentat acum conține un regim de răspundere având la bază obligații privind identificarea si analiza riscurilor asociate (de tip due diligence) în temeiul cărora exportatorul de date și importatorul de date pot fi responsabili, față de persoanele vizate, pentru încălcările lor respective ale obligațiilor contractuale pe care și le-au asumat; exportatorul de date este de asemenea răspunzător în cazul în care nu a făcut eforturile corespunzătoare pentru a se asigura că importatorul de date este în măsură să îndeplinească obligațiile juridice care îi revin în temeiul clauzelor (culpa in eligendo), iar persoana vizată poate introduce o acțiune în justiție împotriva exportatorului de date în această privință. Aplicarea clauzei I litera (b) din noul set de clauze contractuale standard are o mare importanță în această privință, în special în ceea ce privește posibilitatea ca exportatorul de date să procedeze la efectuarea de audituri la sediul importatorului de date sau să ceară acestuia să dovedească faptul că dispune de resurse financiare suficiente pentru a-și îndeplini responsabilitățile. |
(6) |
În ce privește exercitarea drepturilor de terț beneficiar de persoanele vizate, se prevede o implicare mai mare a exportatorului de date în rezolvarea plângerilor persoanelor respective, exportatorul de date fiind obligat să contacteze importatorul de date și, după caz, să asigure aplicarea contractului în termenul normal de o lună. În cazul în care exportatorul de date refuză să asigure aplicarea contractului și neîndeplinirea acestuia de către importatorul de date persistă, persoana vizată poate în acest caz să aplice clauzele împotriva importatorului de date și în cele din urmă să-l acționeze în justiție într-un stat membru. Această acceptare de jurisdicție și angajamentul de a se conforma deciziei pronunțate de un tribunal competent sau de o autoritate responsabilă cu protecția datelor nu afectează niciunul din drepturile procedurale ale importatorilor de date stabiliți în țări terțe, cum ar fi dreptul la recurs. |
(7) |
Cu toate acestea, pentru a preveni un abuz în temeiul acestei flexibilități sporite, este oportun să se prevadă că autoritățile având în sarcină protecția datelor pot cu mai mare ușurință să interzică sau să suspende transferurile de date pe baza noului set de clauze contractuale standard în acele cazuri în care exportatorul de date refuză să ia măsuri adecvate pentru a face să se aplice obligațiile contractuale împotriva importatorului de date sau în cazul în care acesta din urmă refuză să coopereze cu bună credință cu autoritățile competente de supraveghere a protecției datelor. |
(8) |
Utilizarea clauzelor contractuale standard se va face fără a aduce atingere aplicării dispozițiilor interne adoptate în temeiul Directivei 95/46/CE sau al Directivei 2002/58/CE a Parlamentului European și a Consiliului privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice (Directiva privind viața privată și comunicațiile electronice) (4), în special în ceea ce privește transmiterea de comunicări comerciale în scopul marketingului direct. |
(9) |
Pe această bază, garanțiile conținute în clauzele contractuale standard prezentate pot fi considerate drept adecvate în sensul articolului 26 alineatul (2) din Directiva 95/46/CE. |
(10) |
Grupul de lucru pentru protecția persoanelor în privința prelucrării datelor cu caracter personal, instituit în temeiul articolului 29 din Directiva 95/46/CE, a emis un aviz (5) privind nivelul de protecție asigurat de clauzele contractuale standard prezentate, care a fost luat în considerare. |
(11) |
Pentru a evalua efectul amendamentelor la Decizia 2001/497/CE, este oportun ca acestea să fie evaluate de către Comisie la trei ani după ce acestea au fost notificate statelor membre. |
(12) |
Decizia 2001/497/CE trebuie modificată în consecință. |
(13) |
Măsurile prevăzute de prezenta decizie sunt în conformitate cu avizul comitetului instituit în temeiul articolului 31 din Directiva 95/46/CE, |
ADOPTĂ PREZENTA DECIZIE:
Articolul 1
Decizia 2001/497/CE se modifică după cum urmează:
1. |
La articolul 1 se adaugă următorul paragraf: „Responsabilii cu prelucrarea datelor pot să aleagă oricare dintre seturile I sau II din anexă. Cu toate acestea, ei nu pot să modifice clauzele, nici să combine clauzele individuale sau seturile.” |
2. |
La articolul 4, alineatele (2) și (3) se înlocuiesc cu următoarele texte: „(2) În sensul alineatului (1), în cazul în care responsabilul cu prelucrarea datelor oferă garanții adecvate pe baza clauzelor contractuale standard cuprinse în setul II din anexă, autoritățile competente în materie de protecție a datelor au dreptul să-și exercite împuternicirile de care dispun pentru a interzice sau a suspenda fluxurile de date în cazurile următoare:
În sensul primului paragraf, refuzul cu rea credință sau refuzul de a aplica contractul de către importatorul de date nu include cazurile în care cooperarea sau aplicarea ar veni în conflict cu cerințele obligatorii din legislația internă, aplicabile importatorului de date, care nu depășesc ceea ce este necesar într-o societate democratică pe baza unuia din interesele enunțate la articolul 13 alineatul (1) din Directiva 95/46/CE, în special sancțiunile prevăzute în actele internaționale și/sau interne, obligațiile de declarație fiscală sau obligațiile de declarație în cadrul luptei contra spălării banilor. În sensul dispozițiilor de la litera (a) din primul paragraf, cooperarea poate include, în special, prezentarea pentru verificare a mijloacelor de prelucrare a datelor deținute de importatorul de date sau obligația de a se conforma recomandării făcute de autoritatea de supraveghere în materie de protecție a datelor din Comunitate. (3) Interdicția sau suspendarea prevăzute la alineatele (1) și (2) se ridică de îndată ce motivele pentru impunerea lor au încetat să mai existe. (4) Atunci când statele membre adoptă măsuri în conformitate cu alineatele (1), (2) și (3), ele informează fără întârziere Comisia, care va transmite informațiile celorlalte state membre.”. |
3. |
La articolul 5, prima teză se înlocuiește cu următorul text: „Comisia evaluează efectul acestei decizii pe baza informațiilor disponibile după scurgerea a trei ani de la notificarea acesteia statelor membre, precum și după notificarea oricărei modificări aduse acesteia.”. |
4. |
Anexa se modifică după cum urmează:
|
Articolul 2
Prezenta decizie se aplică de la 1 aprilie 2005.
Articolul 3
Prezenta decizie se adresează statelor membre.
Adoptată la Bruxelles, 27 decembrie 2004.
Pentru Comisie
Charlie McCREEVY
Membru al Comisiei
(1) JO L 281, 23.11.1995, p. 31, astfel cum a fost modificată prin Regulamentul (CE) nr. 1883/2003 (JO L 284, 31.10.2003, p. 1).
(2) JO L 181, 4.7.2001, p. 19.
(3) Camera de Comerț Internațională (ICC), Consiliul Japonez de Afaceri din Europa (JBCE), Asociația europeană de tehnologii ale informației și de comunicații (EICTA), Comitetul UE al Camerei de Comerț Americane în Belgia (Amcham), Confederația Industriei Britanice (CBI), Masa rotundă internațională a comunicării (ICRT) și Federația asociațiilor europene de marketing direct (FEDMA).
(4) JO L 201, 31.7.2002, p. 37.
(5) Avizul nr. 8/2003, disponibil la: http://europa.eu.int/comm/privacy
ANEXĂ
„
SETUL II
Clauze contractuale standard pentru transferul de date cu caracter personal din Comunitate către țări terțe (transferuri de la responsabil cu prelucrarea la responsabil cu prelucrarea)
Acord de transfer de date
între
… (nume)
… (adresa și țara de stabilire)
în continuare «exportator de date»
și
… (nume)
… (adresa și țara de stabilire)
în continuare «importator de date»
denumite împreună «părțile», separat «partea».
Definiții
În sensul clauzelor:
(a) |
«date cu caracter personal», «categorii speciale de date/date sensibile», «a prelucra/prelucrare», «responsabil cu prelucrarea», «operator», «persoană vizată» și «autoritate de supraveghere/autoritate» au același sens ca în Directiva 95/46/CE din 24 octombrie 1995 (în care «autoritate» înseamnă autoritatea competentă în materie de protecție a datelor pe al cărei teritoriu este stabilit exportatorul de date); |
(b) |
«exportator de date» înseamnă responsabilul cu prelucrarea care transferă datele cu caracter personal; |
(c) |
«importator de date» înseamnă responsabilul cu prelucrarea, care acceptă să primească, de la exportatorul de date, date cu caracter personal pentru a fi prelucrate în continuare în conformitate cu dispozițiile din prezentele clauze și care nu este supus mecanismului unei țări terțe de asigurare a unei protecții adecvate; |
(d) |
«clauze» înseamnă prezentele clauze contractuale, constituind un document independent care nu cuprinde dispoziții comerciale convenite de către părți în cadrul unor acorduri comerciale separate. |
Detaliile transferului (precum și datele cu caracter personal cuprinse) sunt specificate în anexa B, care face parte integrantă din clauze.
I. Obligații ale exportatorului de date
Exportatorul de date oferă garanții și se angajează precum urmează:
(a) |
Datele cu caracter personal au fost colectate, prelucrate și transferate conform legilor aplicabile exportatorului de date. |
(b) |
Exportatorul de date a depus eforturi corespunzătoare pentru a se asigura că importatorul de date este în măsură să îndeplinească obligațiile juridice care îi revin în temeiul prezentelor clauze. |
(c) |
Exportatorul de date transmite importatorului de date, la cererea acestuia din urmă, textele reglementărilor pertinente în materie de protecție a datelor sau referințe la acestea (după caz, și fără să includă consultanță juridică) din țara în care este stabilit exportatorul de date. |
(d) |
Exportatorul de date răspunde cererilor de informații din partea persoanelor vizate și din partea autorității cu privire la prelucrarea datelor cu caracter personal efectuată de către importatorul de date, în cazul în care părțile nu au convenit ca importatorul de date să fie acela care răspunde acestor cereri, caz în care exportatorul de date trebuie totuși să răspundă în măsura posibilului, comunicând informațiile de care dispune în mod rezonabil, în cazul în care importatorul de date nu acceptă sau nu este în măsură să răspundă. Răspunsurile sunt transmise într-un termen rezonabil. |
(e) |
Exportatorul de date va remite, la cerere, un exemplar al clauzelor persoanelor vizate care sunt terți beneficiari în conformitate cu clauza III, în cazul în care clauzele nu conțin informații confidențiale, situație în care el poate suprima aceste informații. În cazul în care informațiile sunt suprimate, exportatorul de date informează în scris persoanele vizate cu privire la motivul suprimării și despre dreptul lor de a aduce la cunoștința autorității această suprimare. Cu toate acestea, exportatorul de date se conformează deciziei autorității privind accesul persoanelor vizate la textul integral al clauzelor, în măsura în care persoanele vizate au acceptat să respecte confidențialitatea informațiilor confidențiale suprimate. Exportatorul de date furnizează, de asemenea, un exemplar al clauzelor autorității, în cazul în care aceasta îi cere acest lucru. |
II. Obligații ale importatorului de date
Importatorul de date oferă garanții și se angajează precum urmează:
(a) |
Importatorul de date adoptă măsuri tehnice și organizaționale corespunzătoare pentru a proteja datele cu caracter personal împotriva distrugerii accidentale sau ilegale, împotriva pierderii accidentale, modificării, dezvăluirii sau accesului neautorizat. Aceste măsuri asigură un nivel de securitate adaptat riscului legat de prelucrarea și natura datelor care urmează să fie protejate. |
(b) |
Importatorul de date adoptă proceduri pentru a se asigura că terții pe care-i autorizează să aibă acces la date cu caracter personal, inclusiv operatorii, respectă și mențin confidențialitatea și securitatea datelor cu caracter personal. Orice persoană care acționează sub autoritatea importatorului de date, inclusiv un operator de date, nu poate să prelucreze datele cu caracter personal decât în urma instrucțiunilor din partea importatorului de date. Această dispoziție nu se aplică persoanelor autorizate sau care prin acte cu putere de lege sau norme administrative trebuie să aibă acces la date cu caracter personal. |
(c) |
În momentul în care aderă la prezentele clauze, importatorul de date nu are nici un motiv să creadă că există reglementări locale care să aducă atingere într-un mod substanțial garanțiilor oferite în temeiul prezentelor clauze și, în cazul în care află de existența unor asemenea reglementări, îl va informa pe exportatorul de date (care va transmite această notificare mai departe autorității, după caz). |
(d) |
Importatorul de date prelucrează datele cu caracter personal în scopurile prezentate în anexa B și are capacitatea juridică să ofere garanțiile și să ia angajamentele specificate în prezentele clauze. |
(e) |
mportatorul de date va indica exportatorului de date un punct de contact din cadrul organizației sale care este autorizat să răspundă cererilor de informații privind prelucrarea datelor cu caracter personal și va coopera, cu bună credință, cu exportatorul de date, persoanele vizate și autoritatea în ce privește toate aceste cereri de informații într-un termen rezonabil. În caz de dizolvare legală a exportatorului de date sau în cazul în care părțile convin astfel, importatorul de date își va asuma responsabilitatea pentru realizarea conformității cu dispozițiile de la clauza I litera (e). |
(f) |
La cererea exportatorului de date, importatorul de date îi prezintă dovezi că dispune de resurse financiare suficiente pentru îndeplinirea responsabilităților care îi revin în conformitate cu clauza III (care pot include acoperirea prin asigurare). |
(g) |
La cererea rezonabilă a exportatorului de date, importatorul de date prezintă mijloacele sale de prelucrare a datelor, fișierele de date și documentația necesară pentru prelucrare pentru a fi examinate, verificate și/sau certificate de exportatorul de date (sau orice inspector sau auditor independent sau imparțial, selectat de exportatorul de date și pe care importatorul de date nu îl poate recuza în mod rezonabil) pentru a stabili conformitatea cu garanțiile și angajamentele luate în prezentele clauze, cu un preaviz corespunzător și în timpul orelor de lucru obișnuite. Cererea va fi supusă, după caz, autorizării sau aprobării unei autorități de reglementare sau supraveghere din țara importatorului de date, pe care acesta se străduiește să o obțină în timp util. |
(h) |
Importatorul de date prelucrează datele cu caracter personal, la alegere, în conformitate cu:
|
(i) |
Importatorul de date nu divulgă și nici nu transferă datele cu caracter personal către un responsabil cu prelucrarea datelor dintr-o țară terță situată în afara Spațiului Economic European (SEE), în cazul în care nu notifică acest transfer exportatorului de date și
|
III. Responsabilitatea și drepturile terților
(a) |
Fiecare parte răspunde față de celelalte părți pentru daunele produse ca urmare a unei încălcări a prezentelor clauze. Răspunderea între părți se limitează la dauna efectivă suferită. Daunele punitive (adică daunele-interese destinate să sancționeze o parte pentru conduita sa ofensatoare) sunt excluse în mod expres. Fiecare parte răspunde față de persoanele vizate pentru daunele pe cale le produce ca urmare a încălcării drepturilor terților în temeiul prezentelor clauze. Acest lucru nu aduce atingere răspunderii exportatorului de date în temeiul legislației sale în materie de protecție a datelor. |
(b) |
Părțile convin că o persoană vizată are dreptul să valorifice, în calitate de terț beneficiar, prezenta clauză, precum și clauzele I (b), I (d), I (e), II (a), II (c), II (d), II (e), II (h), II (i), III (a), V, VI (d) și VII împotriva importatorului de date sau a exportatorului de date, pentru încălcările respective ale obligațiilor contractuale, în privința datelor sale cu caracter personal, și acceptă jurisdicția în acest scop a țării de stabilire a exportatorului de date. În cazurile care implică presupuse încălcări comise de importatorul de date, persoana vizată trebuie mai întâi să ceară exportatorului de date să ia măsuri corespunzătoare pentru valorificarea drepturilor sale împotriva importatorului de date; în cazul în care exportatorul de date nu ia aceste măsuri într-un termen corespunzător (care, în circumstanțe normale, ar fi de o lună), persoana vizată poate să-și valorifice drepturile direct împotriva importatorului de date. O persoană vizată are drept de acțiune directă împotriva unui exportator de date care n-a întreprins acțiuni corespunzătoare pentru a stabili dacă importatorul de date este în măsură să-și îndeplinească obligațiile legale în temeiul prezentelor clauze (revine exportatorului de date sarcina probei că a întreprins acțiuni corespunzătoare). |
IV. Dreptul aplicabil clauzelor
Prezentele clauze sunt guvernate de dreptul țării în care este stabilit exportatorul de date, cu excepția actelor cu putere de lege și a normelor administrative referitoare la prelucrarea datelor cu caracter personal de către importatorul de date în temeiul clauzei II (h), care se aplică numai în cazul în care importatorul de date le alege în temeiul acelei clauze.
V. Soluționarea litigiilor cu persoanele vizate sau cu autoritatea
(a) |
În cazul unui litigiu sau al unei plângeri intentate împotriva unei părți sau a ambelor părți de o persoană vizată sau de autoritate cu privire la prelucrarea datelor cu caracter personal, părțile se informează reciproc despre aceste litigii sau plângeri și vor coopera în vederea soluționării lor pe cale amiabilă într-un termen corespunzător. |
(b) |
Părțile convin să răspundă oricărei proceduri de mediere neimperativă și general disponibilă inițiată de o persoană vizată sau de autoritate. În cazul în care participă la procedură, părțile pot decide să facă acest lucru de la distanță (prin telefon sau alte mijloace electronice). Părțile convin, de asemenea, să examineze posibilitatea de a participa la orice altă procedură de arbitraj, de mediere sau altă procedură de rezolvare a litigiilor aplicată la litigiile în materie de protecție a datelor. |
(c) |
Fiecare parte se conformează deciziei unei instanțe competente din țara de stabilire a exportatorului de date sau a autorității, care este definitivă și împotriva căreia nu există cale de atac. |
VI. Rezilierea
(a) |
În cazul în care importatorul de date nu își îndeplinește obligațiile care îi revin în temeiul prezentelor clauze, exportatorul de date poate suspenda temporar transferul de date cu caracter personal către importatorul de date până la remedierea acestei neîndepliniri sau până la rezilierea contractului. |
(b) |
În cazul în care:
atunci exportatorul de date, fără a aduce atingere oricăror altor drepturi pe care le poate invoca împotriva importatorului de date, are dreptul să rezilieze prezentele clauze, în acest caz fiind informată autoritatea, după caz. În cazurile prevăzute la punctele (i), (ii) sau (iv) de mai sus, importatorul de date poate, de asemenea, rezilia prezentele clauze. |
(c) |
Oricare din părți poate rezilia prezentele clauze în cazul în care (i) a fost adoptată de către Comisie o decizie constatatoare a caracterului adecvat de protecție a datelor în conformitate cu articolul 25 alineatul (6) din Directiva 95/46/CE (sau orice text care o înlocuiește) referitoare la țara (sau un sector al acesteia) către care datele sunt transferate și prelucrate de importatorul de date, sau (ii) Directiva 95/46/CE (sau orice text care o înlocuiește) devine direct aplicabilă în această țară. |
(d) |
Părțile convin că rezilierea prezentelor clauze în orice moment, în orice circumstanțe și pentru orice motiv [exceptând pentru rezilierea în temeiul clauzei VI (c)], nu le exonerează de obligațiile și/sau condițiile impuse de clauze în ce privește prelucrarea datelor cu caracter personal transferate. |
VII. Modificarea prezentelor clauze
Părțile nu pot modifica prezentele clauze decât pentru aducerea la zi a informațiilor din anexa B, în acest caz ele informând autoritatea, după caz. Acest lucru nu împiedică părțile să adauge clauze comerciale suplimentare, după caz.
VIII. Descrierea transferului
Detaliile transferului și ale datelor cu caracter personal sunt specificate în anexa B. Părțile convin că anexa B poate conține informații profesionale confidențiale pe care nu le vor divulga unor terți, exceptând cazul în care legea le cere acest lucru sau divulgarea se face ca răspuns la cererea unei agenții oficiale sau de reglementare competente sau în cazul în care sunt obligate în temeiul clauzei I litera (e). Părțile pot executa anexele suplimentare pentru a acoperi transferurile suplimentare, care vor fi supuse autorității, după caz. Ca alternativă, anexa B poate fi redactată astfel încât să acopere transferuri multiple.
Data:… |
|
… |
… |
PENTRU IMPORTATORUL DE DATE |
PENTRU EXPORTATORUL DE DATE |
… |
… |
… |
… |
… |
… |
ANEXA A
PRINCIPII DE PRELUCRARE A DATELOR
1. |
Limitarea scopului: datele cu caracter personal pot fi prelucrate și folosite sau comunicate ulterior doar în scopurile specificate în anexa B sau autorizate ulterior de persoana vizată. |
2. |
Calitatea și proporționalitatea datelor: datele cu caracter personal trebuie să fie exacte și, după caz, să fie actualizate. Datele cu caracter personal trebuie să fie adecvate, pertinente și neexcesive în raport cu scopul pentru care sunt transferate și prelucrate ulterior. |
3. |
Transparență: persoanele vizate trebuie să primească informațiile necesare pentru asigurarea unei prelucrări corecte (cum ar fi informații despre scopurile prelucrării și despre transfer), în cazul în care astfel de informații nu au fost deja furnizate de exportatorul de date. |
4. |
Securitate și confidențialitate: responsabilul cu prelucrarea datelor trebuie să adopte măsuri de securitate adecvate de natură tehnică și organizatorică în privința riscurilor legate de prelucrare, cum ar fi distrugerea accidentală sau ilegală sau pierderea accidentală, modificarea, divulgarea sau accesul neautorizat. Orice persoană care acționează sub autoritatea responsabilului cu prelucrarea, inclusiv operatorul care face prelucrarea, nu trebuie să prelucreze datele decât în baza instrucțiunilor din partea responsabilului. |
5. |
Drepturi de acces, rectificare, ștergere și opoziție: în conformitate cu articolul 12 din Directiva 95/46/CE, persoanele vizate trebuie să obțină, direct sau prin intermediul unui terț, informațiile personale care le privesc și pe care le deține o organizație, exceptând cazurile în care cererile sunt evident abuzive având în vedere frecvența lor nerezonabilă, numărul lor sau natura lor repetitivă sau sistematică, sau în cazul în care accesul nu trebuie să fie acordat în conformitate cu dreptul țării exportatorului de date. Cu condiția ca autoritatea să-și fi exprimat acordul prealabil, accesul nu trebuie, de asemenea, să fie acordat în cazul în care riscă să prejudicieze în mod grav interesele importatorului de date sau ale altor organizații care au legături cu importatorul de date și în cazul în care drepturile și libertățile fundamentale ale persoanei vizate nu primează asupra acestor interese. Sursele datelor cu caracter personal nu trebuie să fie identificate în cazul în care acest lucru nu este posibil să se realizeze cu eforturi corespunzătoare sau în cazul în care drepturile persoanelor, altele decât cele vizate, ar fi încălcate. Persoanele vizate au dreptul să obțină rectificarea, modificarea sau ștergerea informațiilor cu caracter personal care îi privesc în cazul în care acestea sunt inexacte sau sunt prelucrate cu nerespectarea acestor principii. În cazul existenței unor temeiuri serioase de a pune la îndoială legitimitatea cererii, organizația poate cere justificări suplimentare înainte de a proceda la rectificare, modificare sau ștergere. Notificarea oricărei rectificări, modificări sau ștergeri către terți cărora le-au fost divulgate datele nu trebuie făcută în cazul în care acest lucru implică un efort disproporționat. O persoană vizată trebuie, de asemenea, să aibă posibilitatea să se opună prelucrării datelor cu caracter personal care o privesc în cazul în care există motive valabile și legitime care țin de situația sa personală. Sarcina probei pentru orice refuz revine importatorului de date și persoana vizată poate oricând să conteste un refuz în fața autorității. |
6. |
Date sensibile: importatorul de date adoptă măsurile suplimentare (de exemplu în materie de securitate) care sunt necesare pentru a proteja datele sensibile în conformitate cu obligațiile sale în temeiul clauzei II. |
7. |
Date utilizate în scopul marketingului: atunci când datele sunt prelucrate în vederea marketingului direct, trebuie să existe proceduri eficace care să permită persoanei vizate să se opună ca datele care o privesc să fie utilizate în asemenea scopuri. |
8. |
Decizii automatizate: în sensul prezentului document, prin «decizie automatizată» se înțelege o decizie a exportatorului de date sau a importatorului de date care produce efecte juridice cu privire la o persoană vizată sau care afectează în mod semnificativ o persoană vizată și care se bazează în exclusivitate pe prelucrarea automată a datelor cu caracter personal destinate să evalueze anumite aspecte personale ale acesteia, cum ar fi randamentul profesional, bonitatea, fiabilitatea, comportamentul acesteia, etc. Persoanele vizate nu pot face obiectul deciziilor automatizate din partea importatorului de date, cu excepția cazurilor în care:
|
ANEXA B
DESCRIEREA TRANSFERULUI
(de completat de către părți)
Persoane vizate
Datele cu caracter personal transferate privesc următoarele categorii de persoane vizate:
…
…
…
…
Scopurile transferului (transferurilor)
Transferul se face în următoarele scopuri:
…
…
…
…
Categorii de date
Datele cu caracter personal transferate privesc următoarele categorii de date:
…
…
…
…
Destinatari
Datele cu caracter personal transferate nu pot fi divulgate decât următorilor destinatari sau categorii de destinatari:
…
…
…
Date sensibile (după caz)
Datele cu caracter personal transferate privesc următoarele categorii de date sensibile:
…
…
…
…
Înregistrări ale exportatorului de date referitoare la protecția datelor (după caz)
…
…
Alte informații utile (limite de stocare și alte informații pertinente)
…
…
Puncte de contact pentru cererile de informații privind protecția datelor
Importatorul de date |
Exportatorul de date |
… |
… |
… |
… |
… |
… |
EXEMPLE DE CLAUZE COMERCIALE (OPȚIONAL)
Despăgubire între exportatorul de date și importatorul de date:«Părțile se despăgubesc reciproc și nu își impută nici un fel de costuri, plăți, daune, cheltuieli sau pierderi pe care și le cauzează reciproc ca rezultat al neîndeplinirii de către ele a uneia din dispozițiile din prezentele clauze. Despăgubirea este subordonată condițiilor următoare: (a) partea care urmează fie despăgubită sau părțile care urmează să fie despăgubite („partea despăgubită sau părțile despăgubite”) notifică în mod rapid cealaltă parte sau celelalte părți („partea sau părțile despăgubitoare”) cu privire la orice pretenție, (b) partea sau părțile despăgubitoare au control exclusiv referitor la apărarea și reglementarea unei astfel de revendicări și (c) partea despăgubită sau părțile despăgubite cooperează în mod corespunzător cu partea sau părțile despăgubitoare și le acordă sprijin în acțiunea de apărare a revendicării.»
«În eventualitatea unui litigiu între importatorul de date și exportatorul de date privind o presupusă încălcare a unei dispoziții din prezentele clauze, litigiul se soluționează în ultimă instanță în conformitate cu regulile de arbitraj ale Camerei de Comerț Internaționale de unul sau mai mulți arbitri desemnați potrivit regulilor menționate. Arbitrajul are loc la [ ]. Numărul arbitrilor este de [ ].»
«Fiecare parte își îndeplinește obligațiile care-i revin în temeiul prezentelor clauze pe propria cheltuială.»
«În eventualitatea rezilierii prezentelor clauze, importatorul de date trebuie să returneze imediat exportatorului de date toate datele cu caracter personal și toate copiile datelor cu caracter personal care fac obiectul prezentelor clauze sau, la alegerea exportatorului de date, va distruge toate copiile acestora și va certifica exportatorului de date că a procedat în acest fel, exceptând cazul în care importatorul de date nu este împiedicat de dreptul său intern sau de normativele locale să distrugă sau să returneze datele în întregime sau parțial, în această situație datele fiind păstrate în regim confidențial și neputând fi prelucrate în mod activ pentru niciun scop. Importatorul de date acceptă să permită accesul exportatorului de date, la cererea acestuia din urmă sau unui inspector selectat de acesta și pe care importatorul de date nu-l poate recuza în mod rezonabil, la sediul organizației sale pentru a verifica că acest lucru s-a realizat, în urma unui preaviz corespunzător și în timpul programului de lucru.»
”
(1) «Dispoziții pertinente» înseamnă acele dispoziții conținute într-o autorizație sau decizie cu excepția dispozițiilor de aplicare a unei autorizații sau decizii (care sunt reglementate de prezentele clauze).
(2) Cu toate acestea, dispozițiile din anexa 5 privind drepturile de acces, rectificare, ștergere și opunere trebuie să fie aplicate în cazul în care se recurge la această opțiune, ele primând asupra dispozițiilor corespunzătoare din decizia Comisiei selectată.