7.6.2021   

RO

Jurnalul Oficial al Uniunii Europene

L 199/31


DECIZIA DE PUNERE ÎN APLICARE (UE) 2021/914 A COMISIEI

din 4 iunie 2021

privind clauzele contractuale standard pentru transferul de date cu caracter personal către țări terțe în temeiul Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului

(Text cu relevanță pentru SEE)

COMISIA EUROPEANĂ,

având în vedere Tratatul privind funcționarea Uniunii Europene,

având în vedere Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (1), în special articolul 28 alineatul (7) și articolul 46 alineatul (2) litera (c),

întrucât:

(1)

Evoluțiile tehnologice facilitează fluxurile transfrontaliere de date necesare pentru extinderea cooperării internaționale și a comerțului internațional. În același timp, este necesar să se asigure faptul că nivelul de protecție a persoanelor fizice garantat de Regulamentul (UE) 2016/679 nu este afectat în cazul în care se transferă date cu caracter personal către țări terțe, inclusiv în cazul transferurilor ulterioare (2). Dispozițiile referitoare la transferurile de date prevăzute în capitolul V din Regulamentul (UE) 2016/679 sunt menite să asigure continuitatea acestui nivel ridicat de protecție în cazul în care se transferă date cu caracter personal către o țară terță (3).

(2)

În temeiul articolului 46 alineatul (1) din Regulamentul (UE) 2016/679, în absența unei decizii a Comisiei privind caracterul adecvat al nivelului de protecție în temeiul articolului 45 alineatul (3), un operator sau o persoană împuternicită de operator poate transfera date cu caracter personal către o țară terță numai dacă a oferit garanții adecvate și cu condiția să existe drepturi opozabile și căi de atac eficiente pentru persoanele vizate. Aceste garanții pot fi furnizate prin clauze standard de protecție a datelor adoptate de Comisie în temeiul articolului 46 alineatul (2) litera (c).

(3)

Rolul clauzelor contractuale standard este limitat la asigurarea unor garanții adecvate în materie de protecție a datelor pentru transferurile internaționale de date. Prin urmare, operatorul sau persoana împuternicită de operator care transferă datele cu caracter personal către o țară terță („exportatorul de date”) și operatorul sau persoana împuternicită de operator care primește datele cu caracter personal („importatorul de date”) au libertatea de a include aceste clauze contractuale standard într-un contract mai amplu și de a adăuga alte clauze sau garanții suplimentare, atât timp cât acestea nu contravin, direct sau indirect, clauzelor contractuale standard sau nu aduc atingere drepturilor sau libertăților fundamentale ale persoanelor vizate. Operatorii și persoanele împuternicite de operatori sunt încurajate să furnizeze garanții suplimentare prin intermediul unor angajamente contractuale care să completeze clauzele contractuale standard (4). Utilizarea clauzelor contractuale standard nu aduce atingere niciunei obligații contractuale a exportatorului de date și/sau a importatorului de date de a asigura respectarea privilegiilor și a imunităților aplicabile.

(4)

Pe lângă utilizarea clauzelor contractuale standard pentru a oferi garanții adecvate pentru transferurile efectuate în temeiul articolului 46 alineatul (1) din Regulamentul (UE) 2016/679, exportatorul de date trebuie să își îndeplinească responsabilitățile generale care îi revin în calitate de operator sau de persoană împuternicită de operator în temeiul Regulamentului (UE) 2016/679. Printre aceste responsabilități se numără obligația operatorului de a informa persoanele vizate cu privire la intenția sa de a transfera datele lor cu caracter personal către o țară terță în temeiul articolului 13 alineatul (1) litera (f) și al articolului 14 alineatul (1) litera (f) din Regulamentul (UE) 2016/679. În cazul transferurilor efectuate în temeiul articolului 46 din Regulamentul (UE) 2016/679, această informare trebuie să includă o trimitere la garanțiile adecvate și la mijloacele prin care se poate obține o copie a acestora sau informații privind locul în care acestea au fost puse la dispoziție.

(5)

Deciziile 2001/497/CE (5) și 2010/87/UE (6) ale Comisiei conțin clauze contractuale standard pentru a facilita transferul de date cu caracter personal de la un operator de date stabilit în Uniune către un operator stabilit sau o persoană împuternicită de operator stabilită într-o țară terță care nu oferă un nivel adecvat de protecție. Aceste decizii s-au întemeiat pe Directiva 95/46/CE a Parlamentului European și a Consiliului (7).

(6)

În temeiul articolului 46 alineatul (5) din Regulamentul (UE) 2016/679, Decizia 2001/497/CE și Decizia 2010/87/UE rămân în vigoare până la data la care sunt modificate, înlocuite sau abrogate, dacă este necesar, printr-o decizie a Comisiei adoptată în temeiul articolului 46 alineatul (2) din regulamentul menționat. Clauzele contractuale standard prevăzute în decizii trebuie să fie actualizate în lumina noilor cerințe ale Regulamentului (UE) 2016/679. În plus, de la adoptarea deciziilor, economia digitală a cunoscut evoluții semnificative, cu utilizarea pe scară largă a unor operațiuni de prelucrare noi și mai complexe, care implică adesea mai mulți importatori și exportatori de date, lanțuri de prelucrare lungi și complexe, precum și evoluția relațiilor de afaceri. Prin urmare, este necesar să se modernizeze clauzele contractuale standard pentru a reflecta mai bine aceste realități, prin includerea unor situații suplimentare de prelucrare și de transfer, și pentru a autoriza o abordare mai flexibilă, de exemplu în ceea ce privește numărul de părți care pot adera la contract.

(7)

Un operator sau o persoană împuternicită de operator poate recurge la clauzele contractuale standard prevăzute în anexa la prezenta decizie pentru a oferi garanții adecvate în sensul articolului 46 alineatul (1) din Regulamentul (UE) 2016/679 pentru transferul de date cu caracter personal către o persoană împuternicită de operator stabilită într-o țară terță sau către un operator stabilit într-o țară terță, fără a aduce atingere interpretării noțiunii de transfer internațional prevăzute în Regulamentul (UE) 2016/679. Clauzele contractuale standard pot fi utilizate pentru aceste transferuri numai în măsura în care prelucrarea efectuată de importator nu se încadrează în domeniul de aplicare al Regulamentului (UE) 2016/679. Aceasta include și transferul de date cu caracter personal de către un operator care nu este stabilit în Uniune sau o persoană împuternicită de operator care nu este stabilită în Uniune, în măsura în care prelucrarea face obiectul Regulamentului (UE) 2016/679 [în temeiul articolului 3 alineatul (2) din regulamentul menționat], deoarece se referă la oferirea de bunuri sau servicii persoanelor vizate în Uniune sau la monitorizarea comportamentului lor, dacă acesta se manifestă în cadrul Uniunii.

(8)

Având în vedere alinierea generală a Regulamentului (UE) 2016/679 și a Regulamentului (UE) 2018/1725 al Parlamentului European și al Consiliului (8), ar trebui să fie posibil să se recurgă la clauzele contractuale standard și în contextul unui contract, astfel cum se prevede la articolul 29 alineatul (4) din Regulamentul (UE) 2018/1725, pentru transferul de date cu caracter personal către un subcontractant dintr-o țară terță de către un operator care nu este o instituție sau un organ al Uniunii, dar care face obiectul Regulamentului (UE) 2016/679 și care prelucrează date cu caracter personal în numele unei instituții sau al unui organ al Uniunii în conformitate cu articolul 29 din Regulamentul (UE) 2018/1725. Atât timp cât contractul reflectă aceleași obligații privind protecția datelor ca cele prevăzute în contractul sau în alt act juridic încheiat între operator și persoana împuternicită de operator în temeiul articolului 29 alineatul (3) din Regulamentul (UE) 2018/1725, în special prin oferirea de garanții suficiente pentru măsurile tehnice și organizatorice menite să asigure faptul că prelucrarea respectă cerințele regulamentului menționat, se va asigura conformitatea cu articolul 29 alineatul (4) din Regulamentul (UE) 2018/1725. În special, acest lucru va fi valabil în cazul în care operatorul și persoana împuternicită de operator utilizează clauzele contractuale standard prevăzute în Decizia de punere în aplicare a Comisiei privind clauzele contractuale standard dintre operatori și persoanele împuternicite de operatori prevăzute la articolul 28 alineatul (7) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului și la articolul 29 alineatul (7) din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (9).

(9)

În cazul în care prelucrarea implică transferuri de date de la operatori care fac obiectul Regulamentului (UE) 2016/679 către persoane împuternicite de operatori care nu intră sub incidența domeniului de aplicare teritorială a regulamentului menționat sau de la persoane împuternicite de operatori care fac obiectul Regulamentului (UE) 2016/679 către subcontractanți care nu intră sub incidența domeniului de aplicare teritorială a regulamentului menționat, ar trebui, de asemenea, ca clauzele contractuale standard prevăzute în anexa la prezenta decizie să permită îndeplinirea cerințelor prevăzute la articolul 28 alineatele (3) și (4) din Regulamentul (UE) 2016/679.

(10)

Clauzele contractuale standard prevăzute în anexa la prezenta decizie îmbină clauze generale cu o abordare modulară pentru a răspunde diverselor scenarii de transfer și complexității lanțurilor moderne de prelucrare. Pe lângă clauzele generale, operatorii și persoanele împuternicite de operatori ar trebui să selecteze modulul aplicabil situației lor, pentru a adapta obligațiile care le revin în temeiul clauzelor contractuale standard la rolul și la responsabilitățile pe care le au în ceea ce privește prelucrarea datelor în cauză. Ar trebui să fie posibil ca la clauzele contractuale standard să adere mai mult de două părți. În plus, ar trebui să se permită unui număr suplimentar de operatori și persoane împuternicite de operatori să adere la clauzele contractuale standard în calitate de exportatori sau importatori de date pe parcursul întregului ciclu de viață al contractului din care fac parte aceste clauze.

(11)

Pentru a oferi garanții adecvate, clauzele contractuale standard ar trebui să asigure faptul că datele cu caracter personal transferate pe această bază beneficiază de un nivel de protecție în esență echivalent cu cel garantat pe teritoriul Uniunii (10). În vederea asigurării transparenței prelucrării, persoanele vizate ar trebui să primească o copie a clauzelor contractuale standard și să fie informate, în special, cu privire la categoriile de date cu caracter personal prelucrate, la dreptul de a obține o copie a clauzelor contractuale standard și la orice transfer ulterior. Transferurile ulterioare efectuate de importatorul de date către un terț într-o altă țară terță ar trebui permise numai dacă terțul aderă la clauzele contractuale standard, dacă se asigură continuitatea protecției în alt mod sau în situații specifice, de exemplu pe baza consimțământului explicit și în cunoștință de cauză al persoanei vizate.

(12)

Cu unele excepții, în special în ceea ce privește anumite obligații care se referă exclusiv la relația dintre exportatorul de date și importatorul de date, persoanele vizate ar trebui să poată invoca și, dacă este necesar, să obțină executarea clauzele contractuale standard în calitate de terți beneficiari. Prin urmare, deși părților ar trebui să li se permită să aleagă legislația unuia dintre statele membre care să reglementeze clauzele contractuale standard, legislația respectivă trebuie să recunoască drepturile terților beneficiari. Pentru a facilita acțiunile individuale în despăgubire, clauzele contractuale standard ar trebui să prevadă obligația importatorului de date de a informa persoanele vizate cu privire la punctul de contact căruia i se pot adresa și de a soluționa cu promptitudine orice plângeri sau cereri. În cazul unui litigiu între importatorul de date și o persoană vizată care își invocă drepturile în calitate de terț beneficiar, persoana vizată ar trebui să poată să depună o plângere la autoritatea de supraveghere competentă sau să sesizeze instanțele din UE competente să soluționeze litigiul.

(13)

Pentru a se asigura o aplicare efectivă, importatorul de date ar trebui să aibă obligația de a se supune jurisdicției unei astfel de autorități și a unor astfel de instanțe și de a se angaja să respecte orice decizie cu caracter obligatoriu adoptată în temeiul legislației aplicabile a statului membru. În special, importatorul de date ar trebui să fie de acord să răspundă cererilor de informații, să facă obiectul unor audituri și să se conformeze măsurilor adoptate de autoritatea de supraveghere, inclusiv măsurilor reparatorii și compensatorii. În plus, importatorul de date ar trebui să fie în măsură să ofere persoanelor vizate posibilitatea de a introduce fără costuri acțiuni în despăgubire în fața unui organism independent de soluționare a litigiilor. În conformitate cu articolul 80 alineatul (1) din Regulamentul (UE) 2016/679, persoanelor vizate ar trebui să li se permită să fie reprezentate de asociații sau de alte organisme în litigii împotriva importatorului de date, dacă doresc acest lucru.

(14)

Clauzele contractuale standard ar trebui să prevadă norme privind răspunderea între părți și privind persoanele vizate, precum și norme privind despăgubirile dintre părți. În cazul în care persoana vizată suferă prejudicii materiale sau morale ca urmare a încălcării drepturilor pe care le are terțul beneficiar în temeiul clauzelor contractuale standard, aceasta ar trebui să aibă dreptul la despăgubiri. Acest lucru nu ar trebui să aducă atingere răspunderii în temeiul Regulamentului (UE) 2016/679.

(15)

În cazul unui transfer către un importator de date care acționează în calitate de persoană împuternicită de operator sau de subcontractant, ar trebui să se aplice cerințe specifice în conformitate cu articolul 28 alineatul (3) din Regulamentul (UE) 2016/679. Clauzele contractuale standard ar trebui să prevadă obligația importatorului de date de a pune la dispoziție toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute în clauze, precum și de a permite efectuarea de către exportatorul de date de audituri ale activităților sale de prelucrare și de a contribui la aceste audituri. În ceea ce privește recrutarea unui subcontractant de către importatorul de date, în conformitate cu articolul 28 alineatele (2) și (4) din Regulamentul (UE) 2016/679, clauzele contractuale standard ar trebui să stabilească în special procedura aplicabilă autorizației generale sau specifice din partea exportatorului de date și cerința încheierii unui contract scris cu subcontractantul care să asigure același nivel de protecție ca cel prevăzut în clauze.

(16)

Este oportun să se prevadă garanții diferite în clauzele contractuale standard care să includă situația specifică a unui transfer de date cu caracter personal efectuat de o persoană împuternicită de operator din Uniune către operatorul său dintr-o țară terță și să reflecte obligațiile autonome limitate care le revin persoanelor împuternicite de operatori în temeiul Regulamentului (UE) 2016/679. În special, clauzele contractuale standard ar trebui să prevadă obligația persoanei împuternicite de operator să îl informeze pe operator dacă nu este în măsură să îi urmeze instrucțiunile, inclusiv dacă aceste instrucțiuni încălcă legislația Uniunii în materie de protecție a datelor, și obligația operatorului de a nu întreprinde nicio acțiune care ar împiedica persoana împuternicită de operator să își îndeplinească obligațiile care îi revin în temeiul Regulamentului (UE) 2016/679. De asemenea, clauzele contractuale standard ar trebui să prevadă obligația părților de a-și acorda asistență pentru a răspunde cererilor de informații și cererilor formulate de persoanele vizate în temeiul legislației locale aplicabile importatorului de date sau, în cazul prelucrării datelor în Uniune, în temeiul Regulamentului (UE) 2016/679. Ar trebui să se aplice cerințe suplimentare pentru a remedia orice efecte ale legislației țării terțe de destinație asupra respectării de către operator a clauzelor și, în special, modul în care se tratează cererile obligatorii din partea autorităților publice din țara terță care au ca obiect divulgarea datelor cu caracter personal transferate, în cazul în care persoana împuternicită de operator din Uniune combină datele cu caracter personal primite de la operatorul din țara terță cu date cu caracter personal pe care le-a colectat în Uniune. În schimb, astfel de cerințe nu sunt justificate atunci când externalizarea implică doar prelucrarea și transferarea înapoi a datelor cu caracter personal care au fost primite de la operator și care, în orice caz, au fost și vor rămâne sub jurisdicția țării terțe în cauză.

(17)

Părțile ar trebui să poată demonstra respectarea clauzelor contractuale standard. În special, importatorul de date ar trebui să aibă obligația de a păstra documentația corespunzătoare pentru activitățile de prelucrare desfășurate sub responsabilitatea sa și de a-l informa cu promptitudine pe exportatorul de date dacă nu este în măsură să respecte clauzele, indiferent de motiv. La rândul său, exportatorul de date ar trebui să suspende transferul și, în cazuri deosebit de grave, să aibă dreptul de a rezilia contractul, în măsura în care acesta are ca obiect prelucrarea datelor cu caracter personal în temeiul clauzelor contractuale standard, în cazul în care importatorul de date încalcă clauzele sau nu este în măsură să le respecte. Ar trebui să se aplice norme specifice în cazul în care legislația locală afectează respectarea clauzelor. Datele cu caracter personal care au fost transferate înainte de rezilierea contractului și orice copii ale acestora ar trebui, la alegerea exportatorului de date, să fie returnate exportatorului de date sau distruse în întregime.

(18)

Clauzele contractuale standard ar trebui să prevadă garanții specifice, în special având în vedere jurisprudența Curții de Justiție (11), pentru a remedia orice efecte ale legislației țării terțe de destinație asupra respectării clauzelor de către importatorul de date, în special modul în care se tratează cererile obligatorii din partea autorităților publice din respectiva țară care au ca obiect divulgarea datelor cu caracter personal transferate.

(19)

Transferul și prelucrarea datelor cu caracter personal în temeiul clauzelor contractuale standard nu ar trebui să aibă loc dacă legislația și practicile țării terțe de destinație îl împiedică pe importatorul de date să respecte aceste clauze. În acest context, legislația și practicile care respectă esența drepturilor și a libertăților fundamentale și nu depășesc ceea ce este necesar și proporțional într-o societate democratică pentru a garanta unul dintre obiectivele enumerate la articolul 23 alineatul (1) din Regulamentul (UE) 2016/679 nu ar trebui considerate ca fiind în conflict cu clauzele contractuale standard. Părțile ar trebui să garanteze că, la momentul acceptării clauzelor contractuale standard, nu au motive să creadă că legislația și practicile aplicabile importatorului de date nu sunt conforme cu aceste cerințe.

(20)

Părțile ar trebui să ia în considerare, în special, circumstanțele specifice ale transferului (cum ar fi conținutul și durata contractului, natura datelor care urmează să fie transferate, tipul de destinatar, scopul prelucrării), legislația și practicile țării terțe de destinație care sunt relevante având în vedere circumstanțele transferului și orice garanții instituite pentru a le completa pe cele prevăzute în clauzele contractuale standard (inclusiv măsurile contractuale, tehnice și organizatorice relevante care se aplică transmiterii datelor cu caracter personal și prelucrării acestora în țara de destinație). În ceea ce privește impactul acestei legislații și al acestor practici asupra respectării clauzelor contractuale standard, pot fi luate în considerare diferite elemente în cadrul unei evaluări generale, inclusiv informații fiabile privind aplicarea în practică a legislației (de exemplu, jurisprudența și rapoartele întocmite de organisme independente de supraveghere), existența sau absența cererilor în cadrul aceluiași sector și, în condiții stricte, experiența practică dovedită cu documente a exportatorului de date și/sau a importatorului de date.

(21)

Importatorul de date ar trebui să notifice exportatorului de date dacă, după ce a acceptat clauzele contractuale standard, are motive să creadă că nu este în măsură să le respecte. Dacă exportatorul de date primește o astfel de notificare sau ia cunoștință în alt mod de faptul că importatorul de date nu mai este în măsură să respecte clauzele contractuale standard, acesta ar trebui să identifice măsuri adecvate pentru a remedia situația, dacă este necesar împreună cu autoritatea de supraveghere competentă. Printre aceste măsuri se pot număra măsuri suplimentare adoptate de exportatorul de date și/sau de importatorul de date, cum ar fi măsuri tehnice sau organizatorice de asigurare a securității și a confidențialității. Exportatorul de date ar trebui să aibă obligația de a suspenda transferul în cazul în care consideră că nu pot fi asigurate garanții adecvate sau dacă a primit instrucțiuni în acest sens din partea autorității de supraveghere competente.

(22)

În măsura posibilului, importatorul de date ar trebui să transmită o notificare exportatorului de date și persoanei vizate dacă primește din partea unei autorități publice (inclusiv judiciare) o cerere obligatorie din punct de vedere juridic în temeiul legislației țării de destinație care are ca obiect divulgarea datelor cu caracter personal transferate în temeiul clauzelor contractuale standard. De asemenea, importatorul de date ar trebui să transmită o notificare exportatorului de date și persoanei vizate dacă ia cunoștință de orice accesare directă de către autoritățile publice a acestor date cu caracter personal, în conformitate cu legislația țării terțe de destinație. Dacă, în pofida faptului că a depus toate eforturile, importatorul de date nu este în măsură să transmită exportatorului de date și/sau persoanei vizate o notificare referitoare la cererile de divulgare specifice, acesta ar trebui să furnizeze exportatorului de date cât mai multe informații relevante posibil cu privire la cererile primite. În plus, importatorul de date ar trebui să îi furnizeze exportatorului de date informații agregate la intervale regulate. Importatorul de date ar trebui, de asemenea, să aibă obligația de a consemna în evidențe orice cerere de divulgare primită și răspunsul furnizat și să pună aceste informații la dispoziția exportatorului de date sau a autorității de supraveghere competente, sau atât la dispoziția exportatorului de date, cât și la dispoziția autorității de supraveghere competente, la cerere. Dacă, în urma efectuării unui control al legalității unei astfel de cereri în temeiul legislației țării de destinație, importatorul de date ajunge la concluzia că există motive întemeiate să considere că cererea este ilegală în temeiul legislației țării terțe de destinație, acesta ar trebui să o conteste, inclusiv, dacă este cazul, prin epuizarea tuturor căilor de atac disponibile. În orice caz, dacă importatorul de date nu mai este în măsură să respecte clauzele contractuale standard, acesta ar trebui să îl informeze pe exportatorul de date, inclusiv dacă acest fapt este consecința unei cereri de divulgare.

(23)

Având în vedere că este posibil ca nevoile părților interesate, tehnologia și operațiunile de prelucrare să evolueze, Comisia ar trebui să evalueze, în lumina experienței acumulate, modul în care funcționează clauzele contractuale standard, în cadrul evaluării periodice a Regulamentului (UE) 2016/679, prevăzută la articolul 97 din regulamentul menționat.

(24)

Decizia 2001/497/CE și Decizia 2010/87/UE ar trebui abrogate la trei luni de la intrarea în vigoare a prezentei decizii. Pe durata acestei perioade, exportatorii de date și importatorii de date ar trebui, în sensul articolului 46 alineatul (1) din Regulamentul (UE) 2016/679, să poată recurge în continuare la clauzele contractuale standard prevăzute în Deciziile 2001/497/CE și 2010/87/UE. Pentru o perioadă suplimentară de 15 luni, exportatorii de date și importatorii de date ar trebui, în sensul articolului 46 alineatul (1) din Regulamentul (UE) 2016/679, să poată recurge în continuare la clauzele contractuale standard prevăzute în Deciziile 2001/497/CE și 2010/87/UE pentru executarea contractelor încheiate între ei înainte de data abrogării acestor decizii, cu condiția ca operațiunile de prelucrare care fac obiectul contractului să rămână neschimbate și ca, prin recurgerea la clauze, să se asigure faptul că transferul de date cu caracter personal face obiectul unor garanții adecvate în sensul articolului 46 alineatul (1) din Regulamentul (UE) 2016/679. În cazul în care contractul face obiectul unor modificări relevante, exportatorul de date ar trebui să aibă obligația de a recurge la un nou temei pentru transferurile de date efectuate în baza contractului, în special prin înlocuirea clauzelor contractuale standard existente cu clauzele contractuale standard prevăzute în anexa la prezenta decizie. Aceeași obligație ar trebui să aplice în cazul oricărei subcontractări a operațiunilor de prelucrare care fac obiectul contractului către o persoană împuternicită de operator sau un subcontractant.

(25)

Autoritatea Europeană pentru Protecția Datelor și Comitetul european pentru protecția datelor au fost consultate în conformitate cu articolul 42 alineatele (1) și (2) din Regulamentul (UE) 2018/1725 și au emis un aviz comun la 14 ianuarie 2021 (12), care a fost luat în considerare în cadrul activității de elaborare a prezentei decizii.

(26)

Măsurile prevăzute în prezenta decizie sunt conforme cu avizul comitetului instituit în temeiul articolului 93 din Regulamentul (UE) 2016/679,

ADOPTĂ PREZENTA DECIZIE:

Articolul 1

(1)   Se consideră că clauzele contractuale standard prevăzute în anexă oferă garanții adecvate în sensul articolului 46 alineatul (1) și al articolului 46 alineatul (2) litera (c) din Regulamentul (UE) 2016/679 pentru transferul de către un operator sau o persoană împuternicită de operator a datelor cu caracter personal prelucrate care fac obiectul regulamentului menționat (exportatorul de date) către un operator sau o persoană împuternicită de operator sau un subcontractant a cărui activitate de prelucrare a datelor nu face obiectul regulamentului menționat (importatorul de date).

(2)   Clauzele contractuale standard stabilesc, de asemenea, drepturile și obligațiile operatorilor și ale persoanelor împuternicite de operatori referitoare la aspectele menționate la articolul 28 alineatele (3) și (4) din Regulamentul (UE) 2016/679, în ceea ce privește transferul de date cu caracter personal de la un operator către o persoană împuternicită de operator sau de la o persoană împuternicită de operator către un subcontractant.

Articolul 2

În cazul în care autoritățile competente ale statului membru își exercită competențele corective în temeiul articolului 58 din Regulamentul (UE) 2016/679 ca răspuns la faptul că importatorul de date este sau intră sub incidența unei legislații sau a unor practici din țara terță de destinație care îl împiedică să respecte clauzele contractuale standard prevăzute în anexă, ceea ce conduce la suspendarea sau la interzicerea transferurilor de date către țări terțe, statul membru în cauză informează fără întârziere Comisia, care va transmite informațiile celorlalte state membre.

Articolul 3

Comisia evaluează aplicarea practică a clauzelor contractuale standard prezentate în anexă pe baza tuturor informațiilor disponibile, în cadrul evaluării periodice prevăzute la articolul 97 din Regulamentul (UE) 2016/679.

Articolul 4

(1)   Prezenta decizie intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

(2)   Decizia 2001/497/CE se abrogă de la 27 septembrie 2021.

(3)   Decizia 2010/87/UE se abrogă de la 27 septembrie 2021.

(4)   În ceea ce privește contractele încheiate înainte de 27 septembrie 2021 pe baza Deciziei 2001/497/CE sau a Deciziei 2010/87/UE, se consideră că acestea oferă garanții adecvate în sensul articolului 46 alineatul (1) din Regulamentul (UE) 2016/679 până la 27 decembrie 2022, cu condiția ca operațiunile de prelucrare care fac obiectul contractului să rămână neschimbate și ca recurgerea la aceste clauze să asigure faptul că transferul de date cu caracter personal se efectuează în baza unor garanții adecvate.

Adoptată la Bruxelles, 4 iunie 2021.

Pentru Comisie

Președintele

Ursula VON DER LEYEN


(1)  JO L 119, 4.5.2016, p. 1.

(2)  Articolul 44 din Regulamentul (UE) 2016/679.

(3)  A se vedea, de asemenea, hotărârea Curții de Justiție din 16 iulie 2020 în cauza C-311/18, Data Protection Commissioner/Facebook Ireland Ltd și Maximillian Schrems („hotărârea Schrems II”), ECLI:EU:C:2020:559, punctul 93.

(4)  Considerentul 109 din Regulamentul (UE) 2016/679.

(5)  Decizia 2001/497/CE a Comisiei din 15 iunie 2001 privind clauzele contractuale standard pentru transferul de date cu caracter personal către țările terțe în temeiul Directivei 95/46/CE (JO L 181, 4.7.2001, p. 19).

(6)  Decizia 2010/87/UE a Comisiei din 5 februarie 2010 privind clauzele contractuale tip pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului (JO L 39, 12.2.2010, p. 5).

(7)  Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO L 281, 23.11.1995, p. 31).

(8)  Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39); a se vedea considerentul 5.

(9)  C(2021) 3701.

(10)  Hotărârea Schrems II, punctele 96 și 103. A se vedea, de asemenea, Regulamentul (UE) 2016/679, considerentele 108 și 114.

(11)  Hotărârea Schrems II.

(12)  Avizul comun 2/2021 al CEPD și AEPD referitor la Decizia de punere în aplicare a Comisiei Europene privind clauzele contractuale standard pentru transferul de date cu caracter personal către țări terțe în cazul aspectelor menționate la articolul 46 alineatul (2) litera (c) din Regulamentul (UE) 2016/679.


ANEXĂ

CLAUZE CONTRACTUALE STANDARD

SECȚIUNEA I

Clauza 1

Scopul și domeniul de aplicare

(a)

Scopul prezentelor clauze contractuale standard este de a asigura respectarea cerințelor Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (Regulamentul general privind protecția datelor) (1) în cazul transferului de date cu caracter personal către o țară terță.

(b)

Părțile:

(i)

persoana (persoanele) fizică (fizice) sau juridică (juridice), autoritatea (autoritățile) publică (publice), agenția (agențiile) sau alt(e) organism(e) [denumit(ă)(e) în continuare „entitatea (entitățile)”] care transferă datele cu caracter personal, astfel cum sunt enumerate în anexa I.A. [denumit(ă)(e) în continuare individual „exportatorul de date”] și

(ii)

entitatea (entitățile) dintr-o țară terță care primește (primesc) datele cu caracter personal de la exportatorul de date, direct sau indirect, prin intermediul unei alte entități care este, de asemenea, parte la prezentele clauze, astfel cum sunt enumerate în anexa I.A. [denumită (denumite) în continuare individual „importatorul de date”]

au convenit asupra prezentelor clauze contractuale standard (denumite în continuare „clauzele”).

(c)

Prezentele clauze se aplică transferului de date cu caracter personal, astfel cum se specifică în anexa I.B.

(d)

Apendicele la prezentele clauze, care conține anexele menționate în acestea, face parte integrantă din prezentele clauze.

Clauza 2

Efectul și caracterul invariabil al clauzelor

(a)

Prezentele clauze stabilesc garanții adecvate, inclusiv drepturi opozabile ale persoanelor vizate și căi de atac eficiente, în temeiul articolului 46 alineatul (1) și al articolului 46 alineatul (2) litera (c) din Regulamentul (UE) 2016/679 și, în ceea ce privește transferurile de date de la operatori către persoane împuternicite de operatori și/sau de la persoane împuternicite de operatori către persoane împuternicite de operatori, clauze contractuale standard în temeiul articolului 28 alineatul (7) din Regulamentul (UE) 2016/679, cu condiția să nu fie modificate, cu excepția selectării modulului (modulelor) corespunzător (corespunzătoare) sau a adăugării de informații în apendice ori a actualizării informațiilor prevăzute în apendice. Acest lucru nu împiedică părțile să includă clauzele contractuale standard prevăzute în prezentele clauze în cadrul unui contract mai amplu și/sau să adauge alte clauze sau garanții suplimentare, atât timp cât acestea nu contravin, direct sau indirect, prezentelor clauze sau nu aduc atingere drepturilor sau libertăților fundamentale ale persoanelor vizate.

(b)

Prezentele clauze nu aduc atingere obligațiilor care îi revin exportatorului de date în temeiul Regulamentului (UE) 2016/679.

Clauza 3

Terți beneficiari

(a)

Persoanele vizate pot invoca și obține executarea prezentelor clauze, în calitate de terți beneficiari, împotriva exportatorului de date și/sau a importatorului de date, cu următoarele excepții:

(i)

clauza 1, clauza 2, clauza 3, clauza 6, clauza 7;

(ii)

clauza 8 – modulul unu: clauza 8.5 litera (e) și clauza 8.9 litera (b); modulul doi: clauza 8.1 litera (b), clauza 8.9 literele (a), (c), (d) și (e); modulul trei: clauza 8.1 literele (a), (c) și (d) și clauza 8.9 literele (a), (c), (d), (e), (f) și (g); modulul patru: clauza 8.1 litera (b) și clauza 8.3 litera (b);

(iii)

clauza 9 – modulul doi: clauza 9 literele (a), (c), (d) și (e); modulul trei: clauza 9 literele (a), (c), (d) și (e);

(iv)

clauza 12 – modulul unu: clauza 12 literele (a) și (d); modulele doi și trei: clauza 12 literele (a), (d) și (f);

(v)

clauza 13;

(vi)

clauza 15.1 literele (c), (d) și (e);

(vii)

clauza 16 litera (e);

(viii)

clauza 18 – modulele unu, doi și trei: clauza 18 literele (a) și (b); modulul patru: clauza 18.

(b)

Litera (a) nu aduce atingere drepturilor pe care le au persoanele vizate în temeiul Regulamentului (UE) 2016/679.

Clauza 4

Interpretare

(a)

În cazul în care prezentele clauze utilizează termenii definiți în Regulamentul (UE) 2016/679, acești termeni au același sens ca în regulament.

(b)

Prezentele clauze trebuie citite și interpretate în lumina dispozițiilor Regulamentului (UE) 2016/679.

(c)

Prezentele clauze nu trebuie interpretate într-un mod care contravine drepturilor și obligațiilor prevăzute în Regulamentul (UE) 2016/679.

Clauza 5

Ierarhie

În cazul unei contradicții între prezentele clauze și dispozițiile acordurilor conexe dintre părți care există la momentul în care sunt convenite prezentele clauze sau care sunt încheiate ulterior, prevalează prezentele clauze.

Clauza 6

Descrierea transferului (transferurilor)

Detaliile transferului (transferurilor) și, în special, categoriile de date cu caracter personal care sunt transferate și scopul (scopurile) în care sunt transferate acestea sunt specificate în anexa I.B.

Clauza 7 – Opțională

Clauză privind aderarea unor părți noi

(a)

O entitate care nu este parte la prezentele clauze poate adera, cu acordul părților, la prezentele clauze în orice moment în calitate de exportator de date sau de importator de date prin completarea apendicelui și prin semnarea anexei I.A.

(b)

După completarea apendicelui și semnarea anexei I.A, entitatea care a aderat devine parte la prezentele clauze și are drepturile și obligațiile unui exportator de date sau ale unui importator de date, în conformitate cu desemnarea sa prevăzută în anexa I.A.

(c)

Entitatea care a aderat nu are drepturi sau obligații ce decurg din prezentele clauze pentru perioada anterioară dobândirii calității de parte.

SECȚIUNEA II – OBLIGAȚIILE PĂRȚILOR

Clauza 8

Garanții privind protecția datelor

Exportatorul de date garantează că a depus eforturi rezonabile pentru a se asigura că importatorul de date este în măsură să îndeplinească obligațiile care îi revin în temeiul prezentelor clauze, prin implementarea măsurilor tehnice și organizatorice adecvate.

MODULUL UNU: Transfer operator – operator

8.1.   Limitarea scopului

Importatorul de date prelucrează datele cu caracter personal numai în scopul (scopurile) specific(e) al(e) transferului, astfel cum se prevede în anexa I.B. Acesta poate prelucra datele cu caracter personal în alt scop numai:

(i)

în cazul în care a obținut consimțământul prealabil al persoanei vizate;

(ii)

în cazul în care acest lucru este necesar pentru constatarea, exercitarea sau apărarea unui drept în instanță în contextul unor proceduri administrative, de reglementare sau judiciare specifice; sau

(iii)

în cazul în care acest lucru este necesar pentru a proteja interesele vitale ale persoanei vizate sau ale unei alte persoane fizice.

8.2.   Transparența

(a)

Pentru ca persoanele vizate să își poată exercită în mod efectiv drepturile prevăzute la clauza 10, importatorul de date le informează, fie direct, fie prin intermediul exportatorului de date:

(i)

cu privire la identitatea sa și datele sale de contact;

(ii)

cu privire la categoriile de date cu caracter personal prelucrate;

(iii)

cu privire la dreptul de a obține o copie a prezentelor clauze;

(iv)

în cazul în care intenționează să transfere ulterior datele cu caracter personal către un terț (terți), cu privire la destinatar sau categoriile de destinatari (după caz, în vederea furnizării de informații relevante), precum și cu privire la scopul și la motivul unui astfel de transfer ulterior în temeiul clauzei 8.7.

(b)

Litera (a) nu se aplică în cazul în care persoana vizată deține deja informațiile, inclusiv atunci când aceste informații au fost deja furnizate de exportatorul de date, sau în cazul în care furnizarea acestor informații se dovedește imposibilă sau ar implica un efort disproporționat din partea importatorului de date. În acest din urmă caz, importatorul de date pune informațiile la dispoziția publicului, în măsura posibilului.

(c)

La cerere, părțile pun gratuit la dispoziția persoanei vizate o copie a prezentelor clauze, inclusiv a apendicelui, astfel cum a fost completat de către părți. În măsura în care acest lucru este necesar pentru a proteja secretele de afaceri sau alte informații confidențiale, inclusiv date cu caracter personal, părțile pot să mascheze o parte din textul apendicelui înainte de a transmite o copie, dar trebuie să furnizeze un rezumat relevant dacă, fără un astfel de rezumat, persoana vizată nu ar putea să înțeleagă conținutul acestuia sau nu și-ar putea exercita drepturile. La cerere, părțile trebuie să informeze persoana vizată cu privire la motivele mascării textului, pe cât de mult posibil fără a dezvălui informațiile mascate.

(d)

Literele (a)-(c) nu aduc atingere obligațiilor care îi revin exportatorului de date în temeiul articolelor 13 și 14 din Regulamentul (UE) 2016/679.

8.3.   Exactitatea și reducerea la minimum a datelor

(a)

Fiecare parte se asigură că datele cu caracter personal sunt exacte și, dacă este necesar, actualizate. Importatorul de date ia toate măsurile rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopul (scopurile) prelucrării, sunt șterse sau rectificate fără întârziere.

(b)

În cazul în care una dintre părți constată că datele cu caracter personal pe care le-a transferat sau le-a primit sunt inexacte sau nu mai sunt de actualitate, aceasta informează cealaltă parte fără întârzieri nejustificate.

(c)

Importatorul de date se asigură că datele cu caracter personal sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopul (scopurile) prelucrării.

8.4.   Limitarea stocării

Importatorul de date păstrează datele cu caracter personal doar atât timp cât este necesar în scopul (scopurile) în care sunt prelucrate. Acesta implementează măsuri tehnice sau organizatorice adecvate pentru a asigura respectarea acestei obligații, inclusiv ștergerea sau anonimizarea (2) datelor și a tuturor copiilor de rezervă ale acestora la sfârșitul perioadei de păstrare.

8.5.   Securitatea prelucrării

(a)

Importatorul de date și, de asemenea, în timpul transmiterii, exportatorul de date implementează măsuri tehnice și organizatorice adecvate pentru a asigura securitatea datelor cu caracter personal, inclusiv protecția împotriva unei încălcări a securității datelor care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată a datelor cu caracter personal sau accesul neautorizat la acestea (denumită în continuare „încălcarea securității datelor cu caracter personal”). La evaluarea nivelului adecvat de securitate, aceștia iau în considerare în mod corespunzător stadiul actual al tehnologiei, costurile implementării, natura, domeniul de aplicare, contextul și scopul (scopurile) prelucrării, precum și riscurile la care sunt expuse persoanele vizate ca urmare a prelucrării. Părțile iau în considerare, în special, recurgerea la criptare sau la pseudonimizare, inclusiv în timpul transmiterii, în cazul în care acest lucru nu împiedică îndeplinirea scopului prelucrării.

(b)

Părțile au convenit asupra măsurilor tehnice și organizatorice prevăzute în anexa II. Importatorul de date efectuează verificări periodice pentru a se asigura că aceste măsuri garantează în continuare un nivel adecvat de securitate.

(c)

Importatorul de date se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea sau au o obligație statutară adecvată de confidențialitate.

(d)

În cazul unei încălcări a securității datelor cu caracter personal în ceea ce privește datele cu caracter personal prelucrate de importatorul de date în temeiul prezentelor clauze, importatorul de date ia măsurile corespunzătoare pentru a remedia încălcarea securității datelor cu caracter personal, inclusiv măsuri de atenuare a eventualelor sale efecte negative.

(e)

În cazul unei încălcări a securității datelor cu caracter personal care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice, importatorul de date notifică, fără întârzieri nejustificate, această încălcare atât exportatorului de date, cât și autorității de supraveghere competente în temeiul clauzei 13. O astfel de notificare conține (i) o descriere a caracterului încălcării securității datelor (inclusiv, dacă este posibil, categoriile de persoane vizate în cauză, precum și numărul aproximativ de persoane vizate și de înregistrări de date în cauză); (ii) consecințele probabile ale încălcării securității datelor; (iii) măsurile luate sau propuse spre a fi luate pentru a remedia încălcarea securității datelor și (iv) coordonatele unui punct de contact de unde se pot obține mai multe informații. În măsura în care importatorul de date nu poate să furnizeze toate informațiile în același timp, acesta le poate furniza în etape, fără alte întârzieri nejustificate.

(f)

În cazul unei încălcări a securității datelor cu caracter personal care este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, importatorul de date notifică, de asemenea, fără întârzieri nejustificate, încălcarea securității datelor cu caracter personal și natura acesteia persoanelor vizate afectate de respectiva încălcare, dacă este necesar în cooperare cu exportatorul de date, și furnizează informațiile menționate la litera (e) punctele (ii)-(iv), cu excepția cazului în care importatorul de date a implementat măsuri menite să reducă în mod semnificativ riscul pentru drepturile sau libertățile persoanelor fizice sau cu excepția cazului în care notificarea ar implica eforturi disproporționate. În acest din urmă caz, importatorul de date efectuează, în schimb, o informare publică sau ia o măsură similară de informare a publicului cu privire la încălcarea securității datelor cu caracter personal.

(g)

Importatorul de date păstrează documente referitoare la toate elementele relevante care au legătură cu încălcarea securității datelor cu caracter personal, inclusiv documente referitoare la efectele respectivei încălcări și la orice măsură de remediere întreprinsă, și ține o evidență a acestora.

8.6.   Date sensibile

În cazul în care transferul implică date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate, date genetice sau date biometrice pentru identificarea unică a unei persoane fizice, date privind sănătatea sau date privind viața sexuală sau orientarea sexuală a unei persoane sau date referitoare la condamnări penale și infracțiuni (denumite în continuare „date sensibile”), importatorul de date aplică restricții specifice și/sau garanții suplimentare, adaptate naturii specifice a datelor și riscurilor implicate. Printre acestea se pot număra limitarea accesului la datele cu caracter personal la membri autorizați ai personalului, măsuri de securitate suplimentare (cum ar fi pseudonimizarea) și/sau restricții suplimentare în ceea ce privește divulgarea ulterioară.

8.7.   Transferuri ulterioare

Importatorul de date nu divulgă datele cu caracter personal unui terț din afara Uniunii Europene (3) (situat în aceeași țară ca importatorul de date sau în altă țară terță, denumit în continuare „transfer ulterior”), cu excepția cazului în care terțul are obligații sau este de acord să își asume obligații în temeiul prezentelor clauze, în cadrul modulului corespunzător. În caz contrar, un transfer ulterior realizat de importatorul de date poate avea loc numai dacă:

(i)

se efectuează către o țară care beneficiază de o decizie privind caracterul adecvat al nivelului de protecție în temeiul articolului 45 din Regulamentul (UE) 2016/679 care acoperă transferul ulterior;

(ii)

terțul asigură în alt mod garanții adecvate în temeiul articolului 46 sau 47 din Regulamentul (UE) 2016/679 în ceea ce privește prelucrarea în cauză;

(iii)

terțul încheie cu importatorul de date un act juridic obligatoriu care asigură același nivel de protecție a datelor ca cel furnizat în temeiul prezentelor clauze, iar importatorul de date îi transmite exportatorului de date o copie a acestor garanții;

(iv)

este necesar pentru constatarea, exercitarea sau apărarea unui drept în instanță în contextul unor proceduri administrative, de reglementare sau judiciare specifice;

(v)

este necesar pentru a proteja interesele vitale ale persoanei vizate sau ale unei alte persoane fizice; sau

(vi)

atunci când nu se aplică niciuna dintre celelalte condiții, importatorul de date a obținut consimțământul explicit al persoanei vizate pentru un transfer ulterior într-o situație specifică, după ce a informat-o cu privire la scopul (scopurile) acestuia, la identitatea destinatarului și la posibilele riscuri ale unui astfel de transfer pentru persoana vizată din cauza lipsei unor garanții adecvate în materie de protecție a datelor. În acest caz, importatorul de date îl informează pe exportatorul de date și, la cererea acestuia, îi transmite o copie a informațiilor furnizate persoanei vizate.

Orice transfer ulterior este condiționat de respectarea de către importatorul de date a tuturor celorlalte garanții prevăzute în prezentele clauze, în special a limitării scopului.

8.8.   Desfășurarea activității de prelucrare sub autoritatea importatorului de date

Importatorul de date se asigură că nicio persoană care acționează sub autoritatea sa, inclusiv o persoană împuternicită de operator, nu prelucrează datele decât în baza instrucțiunilor sale.

8.9.   Documentație și conformitate

(a)

Fiecare parte trebuie să poată demonstra respectarea obligațiilor care îi revin în temeiul prezentelor clauze. În special, importatorul de date păstrează documentația corespunzătoare privind activitățile de prelucrare desfășurate sub responsabilitatea sa.

(b)

Importatorul de date pune această documentație la dispoziția autorității de supraveghere competente, la cerere.

MODULUL DOI: Transfer operator – persoană împuternicită de operator

8.1.   Instrucțiuni

(a)

Importatorul de date prelucrează datele cu caracter personal numai pe baza unor instrucțiuni documentate din partea exportatorului de date. Exportatorul de date poate da astfel de instrucțiuni pe toată durata contractului.

(b)

Importatorul de date îl informează imediat pe exportatorul de date dacă nu este în măsură să urmeze aceste instrucțiuni.

8.2.   Limitarea scopului

Importatorul de date prelucrează datele cu caracter personal numai în scopul (scopurile) specific(e) al(e) transferului, astfel cum se prevede în anexa I.B, cu excepția cazului în care primește instrucțiuni suplimentare din partea exportatorului de date.

8.3.   Transparența

La cerere, exportatorul de date pune gratuit la dispoziția persoanei vizate o copie a prezentelor clauze, inclusiv a apendicelui, astfel cum a fost completat de către părți. În măsura în care acest lucru este necesar pentru a proteja secretele de afaceri sau alte informații confidențiale, inclusiv măsurile prevăzute în anexa II și datele cu caracter personal, exportatorul de date poate să mascheze o parte din textul apendicelui la prezentele clauze înainte de a transmite o copie, dar trebuie să furnizeze un rezumat relevant dacă, fără un astfel de rezumat, persoana vizată nu ar putea să înțeleagă conținutul sau nu și-ar putea exercita drepturile. La cerere, părțile trebuie să informeze persoana vizată cu privire la motivele mascării textului, pe cât de mult posibil fără a dezvălui informațiile mascate. Această clauză nu aduce atingere obligațiilor care îi revin exportatorului de date în temeiul articolelor 13 și 14 din Regulamentul (UE) 2016/679.

8.4.   Exactitate

Dacă importatorul de date constată că datele cu caracter personal pe care le-a primit sunt inexacte sau nu mai sunt de actualitate, acesta îl informează pe exportatorul de date fără întârzieri nejustificate. În acest caz, importatorul de date cooperează cu exportatorul de date pentru a șterge sau a rectifica datele.

8.5.   Durata prelucrării și ștergerea sau returnarea datelor

Prelucrarea de către importatorul de date are loc numai pe durata specificată în anexa I.B. După încheierea prestării serviciilor de prelucrare, importatorul de date, la alegerea exportatorului de date, șterge toate datele cu caracter personal prelucrate în numele exportatorului de date și îi prezintă exportatorului de date dovada faptului că întreprins această acțiune sau îi returnează exportatorului de date toate datele cu caracter personal prelucrate în numele acestuia și șterge copiile existente. Până la ștergerea sau returnarea datelor, importatorul de date trebuie să continue să asigure respectarea acestor clauze. În cazul în care legislația locală aplicabilă importatorului de date interzice returnarea sau ștergerea datelor cu caracter personal, importatorul de date garantează că va continua să asigure conformitatea cu prezentele clauze și că va prelucra datele numai în măsura în care și atât timp cât prelucrarea este permisă de respectiva legislație locală. Această dispoziție nu aduce atingere clauzei 14, în special obligației care îi revine importatorului de date în temeiul clauzei 14 litera (e) de a transmite o notificare exportatorului de date pe întreaga durată a contractului dacă are motive să creadă că este sau a intrat sub incidența unei legislații sau a unor practici care nu sunt conforme cu dispozițiile clauzei 14 litera (a).

8.6.   Securitatea prelucrării

(a)

Importatorul de date și, de asemenea, în timpul transmiterii, exportatorul de date implementează măsuri tehnice și organizatorice adecvate pentru a asigura securitatea datelor, inclusiv protecția împotriva unei încălcări a securității datelor care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată a datelor cu caracter personal sau accesul neautorizat la acestea (denumită în continuare „încălcarea securității datelor cu caracter personal”). La evaluarea nivelului adecvat de securitate, părțile iau în considerare în mod corespunzător stadiul actual al tehnologiei, costurile implementării, natura, domeniul de aplicare, contextul și scopul (scopurile) prelucrării, precum și riscurile la care sunt expuse persoanele vizate ca urmare a prelucrării. Părțile iau în considerare, în special, recurgerea la criptare sau la pseudonimizare, inclusiv în timpul transmiterii, în cazul în care acest lucru nu împiedică îndeplinirea scopului prelucrării. În cazul pseudonimizării, informațiile suplimentare care permit atribuirea datelor cu caracter personal unei anumite persoane vizate rămân, dacă este posibil, sub controlul exclusiv al exportatorului de date. La respectarea obligațiilor care îi revin în temeiul prezentului paragraf, importatorul de date pune în aplicare cel puțin măsurile tehnice și organizatorice specificate în anexa II. Importatorul de date efectuează verificări periodice pentru a se asigura că aceste măsuri garantează în continuare un nivel adecvat de securitate.

(b)

Importatorul de date acordă membrilor personalului său acces la datele cu caracter personal numai în măsura în care acest lucru este strict necesar pentru executarea, gestionarea și monitorizarea contractului. Exportatorul de date se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea sau au o obligație legală adecvată de confidențialitate.

(c)

În cazul unei încălcări a securității datelor cu caracter personal în ceea ce privește datele cu caracter personal prelucrate de importatorul de date în temeiul prezentelor clauze, importatorul de date ia măsurile corespunzătoare pentru a remedia încălcarea securității datelor, inclusiv măsuri de atenuare a efectelor sale negative. De asemenea, după ce a luat cunoștință de respectiva încălcare a securității datelor, importatorul de date transmite, fără întârzieri nejustificate, o notificare exportatorului de date. Această notificare trebuie să conțină coordonatele unui punct de contact de unde se pot obține mai multe informații, o descriere a caracterului încălcării securității datelor (inclusiv, dacă este posibil, categoriile de persoane vizate în cauză, precum și numărul aproximativ de persoane vizate și de înregistrări de date în cauză), consecințele probabile ale încălcării securității datelor și măsurile luate sau propuse spre a fi luate pentru a remedia încălcarea securității datelor, inclusiv, după caz, măsuri de atenuare a eventualelor sale efecte negative. Atunci când și în măsura în care nu este posibil să se furnizeze toate informațiile în același timp, notificarea inițială trebuie să conțină informațiile disponibile la momentul respectiv, informațiile suplimentare urmând să fie puse la dispoziție ulterior, fără întârzieri nejustificate, pe măsură ce devin disponibile.

(d)

Importatorul de date cooperează cu exportatorul de date și îi acordă asistența necesară pentru ca acesta să își respecte obligațiile care îi revin în temeiul Regulamentului (UE) 2016/679, în special aceea de a informa autoritatea de supraveghere competentă și persoanele vizate afectate, ținând seama de natura prelucrării și de informațiile aflate la dispoziția importatorului de date.

8.7.   Date sensibile

În cazul în care transferul implică date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate, date genetice sau date biometrice pentru identificarea unică a unei persoane fizice, date privind sănătatea sau date privind viața sexuală sau orientarea sexuală a unei persoane sau date referitoare la condamnări penale și infracțiuni (denumite în continuare „date sensibile”), importatorul de date aplică restricțiile specifice și/sau garanțiile suplimentare descrise în anexa I.B.

8.8.   Transferuri ulterioare

Importatorul de date divulgă datele cu caracter personal unui terț numai pe baza unor instrucțiuni documentate din partea exportatorului de date. În plus, datele pot fi divulgate unui terț din afara Uniunii Europene (4) (situat în aceeași țară ca importatorul de date sau în altă țară terță, denumit în continuare „transfer ulterior”) doar dacă terțul în cauză are obligații sau este de acord să își asume obligații în temeiul prezentelor clauze, în cadrul modulului corespunzător, sau dacă:

(i)

transferul ulterior este efectuat către o țară care beneficiază de o decizie privind caracterul adecvat al nivelului de protecție în temeiul articolului 45 din Regulamentul (UE) 2016/679 care acoperă transferul ulterior;

(ii)

terțul asigură în alt mod garanții adecvate în temeiul articolului 46 sau 47 din Regulamentul (UE) 2016/679 în ceea ce privește prelucrarea în cauză;

(iii)

transferul ulterior este necesar pentru constatarea, exercitarea sau apărarea unui drept în instanță în contextul unor proceduri administrative, de reglementare sau judiciare specifice; sau

(iv)

transferul ulterior este necesar pentru a proteja interesele vitale ale persoanei vizate sau ale unei alte persoane fizice.

Orice transfer ulterior este condiționat de respectarea de către importatorul de date a tuturor celorlalte garanții prevăzute în prezentele clauze, în special a limitării scopului.

8.9.   Documentație și conformitate

(a)

Importatorul de date răspunde cu promptitudine și în mod adecvat cererilor de informații din partea exportatorului de date care se referă la prelucrarea efectuată în temeiul prezentelor clauze.

(b)

Părțile trebuie să poată demonstra respectarea obligațiilor care le revin în temeiul prezentelor clauze. În special, importatorul de date păstrează documentația corespunzătoare privind activitățile de prelucrare efectuate în numele exportatorului de date.

(c)

Importatorul de date pune la dispoziția exportatorului de date toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute în prezentele clauze și, la cererea exportatorului de date, permite efectuarea de audituri ale activităților de prelucrare acoperite de prezentele clauze și contribuie la aceste audituri, la intervale rezonabile sau dacă există indicii de neconformitate. În luarea unei decizii privind efectuarea unei analize sau a unui audit, exportatorul de date poate ține seama de certificările relevante deținute de importatorul de date.

(d)

Exportatorul de date poate alege să efectueze el însuși auditul sau să mandateze în acest scop un auditor independent. Auditurile pot include inspecții la sediile sau la instalațiile fizice ale importatorului de date și se efectuează, dacă este cazul, în urma transmiterii unui preaviz rezonabil.

(e)

La cerere, părțile pun la dispoziția autorității de supraveghere competente informațiile prevăzute la literele (b) și (c), inclusiv rezultatele oricărui audit.

MODULUL TREI: Transfer persoană împuternicită de operator – persoană împuternicită de operator

8.1.   Instrucțiuni

(a)

Exportatorul de date l-a informat pe importatorul de date că acționează în calitate de persoană împuternicită de operator în conformitate cu instrucțiunile operatorului (operatorilor) său (săi), pe care exportatorul de date le pune la dispoziția importatorului de date înainte de prelucrare.

(b)

Importatorul de date prelucrează datele cu caracter personal numai pe baza unor instrucțiuni documentate din partea operatorului, astfel cum au fost comunicate importatorului de date de către exportatorul de date, precum și pe baza oricăror instrucțiuni suplimentare documentate din partea exportatorului de date. Aceste instrucțiuni suplimentare nu contravin instrucțiunilor din partea operatorului. Operatorul sau exportatorul de date poate da instrucțiuni documentate suplimentare cu privire la prelucrarea datelor pe întreaga durată a contractului.

(c)

Importatorul de date îl informează imediat pe exportatorul de date dacă nu este în măsură să urmeze aceste instrucțiuni. În cazul în care importatorul de date nu este în măsură să urmeze instrucțiunile operatorului, exportatorul de date notifică imediat acest fapt operatorului.

(d)

Exportatorul de date garantează că a impus importatorului de date aceleași obligații în materie de protecție a datelor ca cele prevăzute în contractul sau în alt act juridic în temeiul dreptului Uniunii sau al dreptului intern încheiat între operator și exportatorul de date (5).

8.2.   Limitarea scopului

Importatorul de date prelucrează datele cu caracter personal numai în scopul (scopurile) specific(e) al(e) transferului, astfel cum se prevede în anexa I.B, cu excepția cazului în care primește instrucțiuni suplimentare din partea operatorului, astfel cum au fost comunicate importatorului de date de către exportatorul de date, sau din partea exportatorului de date.

8.3.   Transparența

La cerere, exportatorul de date pune gratuit la dispoziția persoanei vizate o copie a prezentelor clauze, inclusiv a apendicelui, astfel cum a fost completat de către părți. În măsura în care acest lucru este necesar pentru a proteja secretele de afaceri sau alte informații confidențiale, inclusiv date cu caracter personal, exportatorul de date poate să mascheze o parte din textul apendicelui înainte de a transmite o copie, dar trebuie să furnizeze un rezumat relevant dacă, fără un astfel de rezumat, persoana vizată nu ar putea să înțeleagă conținutul acestuia sau nu și-ar putea exercita drepturile. La cerere, părțile trebuie să informeze persoana vizată cu privire la motivele mascării textului, pe cât de mult posibil fără a dezvălui informațiile mascate.

8.4.   Exactitate

Dacă importatorul de date constată că datele cu caracter personal pe care le-a primit sunt inexacte sau nu mai sunt de actualitate, acesta îl informează pe exportatorul de date fără întârzieri nejustificate. În acest caz, importatorul de date cooperează cu exportatorul de date pentru a rectifica sau a șterge datele.

8.5.   Durata prelucrării și ștergerea sau returnarea datelor

Prelucrarea de către importatorul de date are loc numai pe durata specificată în anexa I.B. După încheierea prestării serviciilor de prelucrare, importatorul de date, la alegerea exportatorului de date, șterge toate datele cu caracter personal prelucrate în numele operatorului și îi prezintă exportatorului de date dovada faptului că întreprins această acțiune sau îi returnează exportatorului de date toate datele cu caracter personal prelucrate în numele acestuia și șterge copiile existente. Până la ștergerea sau returnarea datelor, importatorul de date trebuie să continue să asigure respectarea acestor clauze. În cazul în care legislația locală aplicabilă importatorului de date interzice returnarea sau ștergerea datelor cu caracter personal, importatorul de date garantează că va continua să asigure conformitatea cu prezentele clauze și că va prelucra datele numai în măsura în care și atât timp cât prelucrarea este permisă de respectiva legislație locală. Această dispoziție nu aduce atingere clauzei 14, în special obligației care îi revine importatorului de date în temeiul clauzei 14 litera (e) de a transmite o notificare exportatorului de date pe întreaga durată a contractului dacă are motive să creadă că este sau a intrat sub incidența unei legislații sau a unor practici care nu sunt conforme cu dispozițiile clauzei 14 litera (a).

8.6.   Securitatea prelucrării

(a)

Importatorul de date și, de asemenea, în timpul transmiterii, exportatorul de date implementează măsuri tehnice și organizatorice adecvate pentru a asigura securitatea datelor, inclusiv protecția împotriva unei încălcări a securității datelor care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată a datelor cu caracter personal sau accesul neautorizat la acestea (denumită în continuare „încălcarea securității datelor cu caracter personal”). La evaluarea nivelului adecvat de securitate, aceștia iau în considerare în mod corespunzător stadiul actual al tehnologiei, costurile implementării, natura, domeniul de aplicare, contextul și scopul (scopurile) prelucrării, precum și riscurile la care sunt expuse persoanele vizate ca urmare a prelucrării. Părțile iau în considerare, în special, recurgerea la criptare sau la pseudonimizare, inclusiv în timpul transmiterii, în cazul în care acest lucru nu împiedică îndeplinirea scopului prelucrării. În cazul pseudonimizării, informațiile suplimentare care permit atribuirea datelor cu caracter personal unei anumite persoane vizate rămân, dacă este posibil, sub controlul exclusiv al exportatorului de date sau al operatorului. La respectarea obligațiilor care îi revin în temeiul prezentului paragraf, importatorul de date pune în aplicare cel puțin măsurile tehnice și organizatorice specificate în anexa II. Importatorul de date efectuează verificări periodice pentru a se asigura că aceste măsuri garantează în continuare un nivel adecvat de securitate.

(b)

Importatorul de date acordă membrilor personalului său acces la date numai în măsura în care acest lucru este strict necesar pentru executarea, gestionarea și monitorizarea contractului. Exportatorul de date se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea sau au o obligație legală adecvată de confidențialitate.

(c)

În cazul unei încălcări a securității datelor cu caracter personal în ceea ce privește datele cu caracter personal prelucrate de importatorul de date în temeiul prezentelor clauze, importatorul de date ia măsurile corespunzătoare pentru a remedia încălcarea securității datelor, inclusiv măsuri de atenuare a efectelor sale negative. De asemenea, după ce a luat cunoștință de respectiva încălcare a securității datelor, importatorul de date transmite, fără întârzieri nejustificate, o notificare exportatorului de date și, dacă este oportun și fezabil, operatorului. Această notificare trebuie să conțină coordonatele unui punct de contact de unde se pot obține mai multe informații, o descriere a caracterului încălcării securității datelor (inclusiv, dacă este posibil, categoriile de persoane vizate în cauză, precum și numărul aproximativ de persoane vizate și de înregistrări de date în cauză), consecințele probabile ale încălcării securității datelor și măsurile luate sau propuse spre a fi luate pentru a remedia încălcarea securității datelor, inclusiv, după caz, măsuri de atenuare a eventualelor sale efecte negative. Atunci când și în măsura în care nu este posibil să se furnizeze toate informațiile în același timp, notificarea inițială trebuie să conțină informațiile disponibile la momentul respectiv, informațiile suplimentare urmând să fie puse la dispoziție ulterior, fără întârzieri nejustificate, pe măsură ce devin disponibile.

(d)

Importatorul de date cooperează cu exportatorul de date și îi acordă asistența necesară pentru ca acesta să își respecte obligațiile care îi revin în temeiul Regulamentului (UE) 2016/679, în special aceea de a transmite o notificare operatorului său, astfel încât acesta din urmă să poată informa la rândul său autoritatea de supraveghere competentă și persoanele vizate afectate, ținând seama de natura prelucrării și de informațiile aflate la dispoziția importatorului de date.

8.7.   Date sensibile

În cazul în care transferul implică date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate, date genetice sau date biometrice pentru identificarea unică a unei persoane fizice, date privind sănătatea sau date privind viața sexuală sau orientarea sexuală a unei persoane sau date referitoare la condamnări penale și infracțiuni (denumite în continuare „date sensibile”), importatorul de date aplică restricțiile specifice și/sau garanțiile suplimentare descrise în anexa I.B.

8.8.   Transferuri ulterioare

Importatorul de date divulgă datele cu caracter personal unui terț numai pe baza unor instrucțiuni documentate din partea operatorului, astfel cum au fost comunicate importatorului de date de către exportatorul de date. În plus, datele pot fi divulgate unui terț din afara Uniunii Europene (6) (situat în aceeași țară ca importatorul de date sau în altă țară terță, denumit în continuare „transfer ulterior”) doar dacă terțul în cauză are obligații sau este de acord să își asume obligații în temeiul prezentelor clauze, în cadrul modulului corespunzător, sau dacă:

(i)

transferul ulterior este efectuat către o țară care beneficiază de o decizie privind caracterul adecvat al nivelului de protecție în temeiul articolului 45 din Regulamentul (UE) 2016/679 care acoperă transferul ulterior;

(ii)

terțul asigură în alt mod garanții adecvate în temeiul articolului 46 sau 47 din Regulamentul (UE) 2016/679;

(iii)

transferul ulterior este necesar pentru constatarea, exercitarea sau apărarea unui drept în instanță în contextul unor proceduri administrative, de reglementare sau judiciare specifice; sau

(iv)

transferul ulterior este necesar pentru a proteja interesele vitale ale persoanei vizate sau ale unei alte persoane fizice.

Orice transfer ulterior este condiționat de respectarea de către importatorul de date a tuturor celorlalte garanții prevăzute în prezentele clauze, în special a limitării scopului.

8.9.   Documentație și conformitate

(a)

Importatorul de date răspunde cu promptitudine și în mod adecvat cererilor de informații din partea exportatorului de date sau a operatorului care se referă la prelucrarea efectuată în temeiul prezentelor clauze.

(b)

Părțile trebuie să poată demonstra respectarea obligațiilor care le revin în temeiul prezentelor clauze. În special, importatorul de date păstrează documentația corespunzătoare privind activitățile de prelucrare efectuate în numele operatorului.

(c)

Importatorul de date pune la dispoziția exportatorului de date toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute în prezentele clauze, iar acesta le furnizează operatorului.

(d)

Importatorul de date permite efectuarea de către exportatorul de date de audituri ale activităților de prelucrare acoperite de prezentele clauze și contribuie la aceste audituri, la intervale rezonabile sau în cazul în care există indicii de neconformitate. Aceeași dispoziție se aplică în cazul în care exportatorul de date solicită efectuarea unui audit la instrucțiunile operatorului. În luarea unei decizii privind efectuarea unui audit, exportatorul de date poate ține seama de certificările relevante deținute de importatorul de date.

(e)

În cazul în care auditul se efectuează la instrucțiunile operatorului, exportatorul de date pune rezultatele la dispoziția operatorului.

(f)

Exportatorul de date poate alege să efectueze el însuși auditul sau să mandateze în acest scop un auditor independent. Auditurile pot include inspecții la sediile sau la instalațiile fizice ale importatorului de date și se efectuează, dacă este cazul, în urma transmiterii unui preaviz rezonabil.

(g)

La cerere, părțile pun la dispoziția autorității de supraveghere competente informațiile prevăzute la literele (b) și (c), inclusiv rezultatele oricărui audit.

MODULUL PATRU: Transfer persoană împuternicită de operator – operator

8.1.   Instrucțiuni

(a)

Exportatorul de date prelucrează datele cu caracter personal numai pe baza unor instrucțiuni documentate din partea importatorului de date care acționează în calitate de operator.

(b)

Exportatorul de date îl informează imediat pe importatorul de date dacă nu este în măsură să urmeze aceste instrucțiuni, inclusiv dacă aceste instrucțiuni încalcă Regulamentul (UE) 2016/679 sau alte dispoziții ale dreptului Uniunii sau ale dreptului intern în materie de protecție a datelor.

(c)

Importatorul de date nu întreprinde nicio acțiune care l-ar împiedica pe exportatorul de date să își îndeplinească obligațiile care îi revin în temeiul Regulamentului (UE) 2016/679, inclusiv în contextul subcontractării sau în ceea ce privește cooperarea cu autoritățile de supraveghere competente.

(d)

După încheierea prestării serviciilor de prelucrare, exportatorul de date, la alegerea importatorului de date, șterge toate datele cu caracter personal prelucrate în numele importatorului de date și îi prezintă importatorului de date dovada faptului că întreprins această acțiune sau îi returnează importatorului de date toate datele cu caracter personal prelucrate în numele său și șterge copiile existente.

8.2.   Securitatea prelucrării

(a)

Părțile implementează măsuri tehnice și organizatorice adecvate pentru a asigura securitatea datelor, inclusiv în timpul transmiterii, și protecția împotriva unei încălcări a securității datelor care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată a datelor sau accesul neautorizat la acestea (denumită în continuare „încălcarea securității datelor cu caracter personal”). La evaluarea nivelului adecvat de securitate, acestea iau în considerare în mod corespunzător stadiul actual al tehnologiei, costurile implementării, natura datelor cu caracter personal (7), natura, domeniul de aplicare, contextul și scopul (scopurile) prelucrării și riscurile pe care le implică prelucrarea pentru persoanele vizate și, în special, iau în considerare recurgerea la criptare sau la pseudonimizare, inclusiv în timpul transmiterii, în cazul în care acest lucru nu împiedică îndeplinirea scopului prelucrării.

(b)

Exportatorul de date îi acordă asistență importatorului de date pentru a asigura securitatea adecvată a datelor în conformitate cu dispozițiile prevăzute la litera (a). În cazul unei încălcări a securității datelor cu caracter personal în ceea ce privește datele cu caracter personal prelucrate de exportatorul de date în temeiul prezentelor clauze, exportatorul de date notifică această încălcare importatorului de date fără întârzieri nejustificate după ce a luat cunoștință de aceasta și îi acordă asistență importatorului de date în remedierea încălcării.

(c)

Exportatorul de date se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea sau au o obligație legală adecvată de confidențialitate.

8.3.   Documentație și conformitate

(a)

Părțile trebuie să poată demonstra respectarea obligațiilor care le revin în temeiul prezentelor clauze.

(b)

Exportatorul de date pune la dispoziția importatorului de date toate informațiile necesare pentru a demonstra respectarea obligațiilor care îi revin în temeiul prezentelor clauze și permite efectuarea de audituri și contribuie la aceste audituri.

Clauza 9

Recurgerea la subcontractanți

MODULUL DOI: Transfer operator – persoană împuternicită de operator

(a)

OPȚIUNEA 1: AUTORIZAȚIE PREALABILĂ SPECIFICĂ Importatorul de date nu subcontractează niciuna dintre activitățile sale de prelucrare efectuate în numele exportatorului de date în temeiul prezentelor clauze către un subcontractant fără autorizația scrisă specifică prealabilă a exportatorului de date. Importatorul de date depune cererea de acordare a autorizației specifice cu cel puțin [a se specifica perioada] înainte de recrutarea subcontractantului în cauză, însoțită de informațiile de care exportatorul de date are nevoie pentru a lua o decizie privind acordarea autorizației. Lista subcontractanților care sunt deja autorizați de exportatorul de date este prevăzută în anexa III. Părțile au obligația să se asigure că anexa III este actualizată.

OPȚIUNEA 2: AUTORIZAȚIE SCRISĂ GENERALĂ Importatorul de date deține autorizația generală din partea exportatorului de date de a recruta subcontractantul (subcontractanții) care figurează pe o listă convenită. Importatorul de date îl informează în mod specific în scris pe exportatorul de date cu privire la orice modificări preconizate ale listei prin adăugarea sau înlocuirea subcontractanților cu cel puțin [a se specifica perioada] înainte, oferindu-i astfel exportatorului de date suficient timp pentru a putea formula obiecții referitoare la aceste modificări înainte de recrutarea subcontractantului (subcontractanților). Importatorul de date îi furnizează exportatorului de date informațiile de care acesta are nevoie pentru a-și exercita dreptul la opoziție.

(b)

În cazul în care importatorul de date recrutează un subcontractant pentru desfășurarea unor activități de prelucrare specifice (în numele exportatorului de date), acesta efectuează recrutarea printr-un contract scris care prevede, pe fond, aceleași obligații în materie de protecție a datelor ca cele care îi revin importatorului de date în temeiul prezentelor clauze, inclusiv în ceea ce privește drepturile terților beneficiari pentru persoanele vizate (8). Părțile convin că, prin respectarea prezentei clauze, importatorul de date își îndeplinește obligațiile care îi revin în temeiul clauzei 8.8. Importatorul de date se asigură că subcontractantul respectă obligațiile care îi revin importatorului de date în temeiul prezentelor clauze.

(c)

Importatorul de date furnizează exportatorului de date, la cererea acestuia, o copie a unui astfel de contract de subcontractare și orice modificări ulterioare ale acestuia. În măsura în care acest lucru este necesar pentru a proteja secretele de afaceri sau alte informații confidențiale, inclusiv date cu caracter personal, importatorul de date poate să mascheze textul contractului înainte de a transmite o copie.

(d)

Importatorul de date rămâne pe deplin responsabil față de exportatorul de date pentru îndeplinirea obligațiilor subcontractantului în temeiul contractului său cu importatorul de date. Importatorul de date notifică exportatorului de date orice neîndeplinire de către subcontractant a obligațiilor care îi revin în temeiul contractului respectiv.

(e)

Importatorul de date convine cu subcontractantul asupra unei clauze privind terțul beneficiar, conform căreia – în cazul în care importatorul de date a dispărut în fapt, și-a încetat existența de drept sau a devenit insolvabil – exportatorul de date are dreptul de a rezilia contractul cu subcontractantul și de a-i da subcontractantului instrucțiuni să șteargă sau să returneze datele cu caracter personal.

MODULUL TREI: Transfer persoană împuternicită de operator – persoană împuternicită de operator

(a)

OPȚIUNEA 1: AUTORIZAȚIE PREALABILĂ SPECIFICĂ Importatorul de date nu subcontractează niciuna dintre activitățile sale de prelucrare efectuate în numele exportatorului de date în temeiul prezentelor clauze către un subcontractant fără autorizația scrisă specifică prealabilă a operatorului. Importatorul de date depune cererea de acordare a autorizației specifice cu cel puțin [a se specifica perioada] înainte de recrutarea subcontractantului în cauză, însoțită de informațiile de care operatorul are nevoie pentru a lua o decizie privind acordarea autorizației. Acesta îl informează pe exportatorul de date cu privire la o astfel de recrutare. Lista subcontractanților care sunt deja autorizați de operator este prevăzută în anexa III. Părțile au obligația să se asigure că anexa III este actualizată.

OPȚIUNEA 2: AUTORIZAȚIE SCRISĂ GENERALĂ Importatorul de date deține autorizația generală din partea operatorului de a recruta subcontractantul (subcontractanții) care figurează pe o listă convenită. Importatorul de date îl informează în mod specific în scris pe operator cu privire la orice modificări preconizate ale listei prin adăugarea sau înlocuirea subcontractanților cu cel puțin [a se specifica perioada] înainte, oferindu-i astfel operatorului suficient timp pentru a putea formula obiecții referitoare la aceste modificări înainte de recrutarea subcontractantului (subcontractanților). Importatorul de date îi furnizează operatorului informațiile de care acesta are nevoie pentru a-și exercita dreptul la opoziție. Importatorul de date îl informează pe exportatorul de date cu privire la recrutarea subcontractantului (subcontractanților).

(b)

În cazul în care importatorul de date recrutează un subcontractant pentru desfășurarea unor activități de prelucrare specifice (în numele operatorului), acesta efectuează recrutarea printr-un contract scris care prevede, pe fond, aceleași obligații în materie de protecție a datelor ca cele care îi revin importatorului de date în temeiul prezentelor clauze, inclusiv în ceea ce privește drepturile terților beneficiari pentru persoanele vizate (9). Părțile convin că, prin respectarea prezentei clauze, importatorul de date își îndeplinește obligațiile care îi revin în temeiul clauzei 8.8. Importatorul de date se asigură că subcontractantul respectă obligațiile care îi revin importatorului de date în temeiul prezentelor clauze.

(c)

Importatorul de date furnizează, la cererea exportatorului de date sau a operatorului, o copie a acestui contract de subcontractare și a oricăror modificări ulterioare. În măsura în care acest lucru este necesar pentru a proteja secretele de afaceri sau alte informații confidențiale, inclusiv date cu caracter personal, importatorul de date poate să mascheze textul contractului înainte de a transmite o copie.

(d)

Importatorul de date rămâne pe deplin responsabil față de exportatorul de date pentru îndeplinirea obligațiilor subcontractantului în temeiul contractului său cu importatorul de date. Importatorul de date notifică exportatorului de date orice neîndeplinire de către subcontractant a obligațiilor care îi revin în temeiul contractului respectiv.

(e)

Importatorul de date convine cu subcontractantul asupra unei clauze privind terțul beneficiar, conform căreia – în cazul în care importatorul de date a dispărut în fapt, și-a încetat existența de drept sau a devenit insolvabil – exportatorul de date are dreptul de a rezilia contractul cu subcontractantul și de a-i da subcontractantului instrucțiuni să șteargă sau să returneze datele cu caracter personal.

Clauza 10

Drepturile persoanelor vizate

MODULUL UNU: Transfer operator – operator

(a)

Importatorul de date, dacă este cazul cu asistența exportatorului de date, răspunde tuturor cererilor de informații și cererilor de alt tip din partea unei persoane vizate care se referă la prelucrarea datelor sale cu caracter personal și la exercitarea drepturilor sale în temeiul prezentelor clauze, fără întârzieri nejustificate, în termen de maximum o lună de la primirea acestora (10). Importatorul de date ia măsurile corespunzătoare pentru a facilita formularea acestor cereri de informații și cereri de alt tip de către persoanele vizate, precum și exercitarea drepturilor persoanelor vizate. Orice informații furnizate persoanei vizate trebuie să fie prezentate într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu.

(b)

În special, la cererea persoanei vizate și gratuit, importatorul de date:

(i)

îi confirmă persoanei vizate dacă datele cu caracter personal care o privesc sunt prelucrate și, într-un astfel de caz, îi furnizează o copie a datelor care o privesc și îi aduce la cunoștință informațiile prevăzute în anexa I; dacă date cu caracter personal ale persoanei vizate au făcut sau vor face obiectul unor transferuri ulterioare, îi comunică persoanei vizate informații privind destinatarii sau categoriile de destinatari (în măsura adecvată, în vederea furnizării de informații relevante) către care au fost sau vor fi transferate ulterior datele cu caracter personal, scopul și motivele unor astfel de transferuri ulterioare în temeiul clauzei 8.7; și îi comunică persoanei vizate informații privind dreptul de a depune o plângere la o autoritate de supraveghere în conformitate cu clauza 12 litera (c) punctul (i);

(ii)

rectifică datele inexacte sau incomplete referitoare la persoana vizată;

(iii)

șterge datele cu caracter personal referitoare la persoana vizată dacă aceste date sunt sau au fost prelucrate cu încălcarea oricăreia dintre prezentele clauze care garantează drepturile terților beneficiari sau dacă persoana vizată își retrage consimțământul pe care se bazează prelucrarea.

(c)

În cazul în care importatorul de date prelucrează datele cu caracter personal în scopuri de marketing direct, acesta încetează prelucrarea în astfel de scopuri dacă persoana vizată se opune respectivei prelucrări.

(d)

Importatorul de date nu ia o decizie bazată exclusiv pe prelucrarea automată a datelor cu caracter personal transferate (denumită în continuare „decizie automatizată”), care ar produce efecte juridice care privesc persoana vizată sau care ar afecta-o în mod similar într-o măsură semnificativă, cu excepția cazului în care face acest lucru cu consimțământul explicit al persoanei vizate sau dacă este autorizat să facă acest lucru în temeiul legislației țării de destinație, cu condiția ca legislația respectivă să prevadă măsuri adecvate de protecție a drepturilor și intereselor legitime ale persoanei vizate. În acest caz, dacă este necesar în cooperare cu exportatorul de date, importatorul de date:

(i)

informează persoana vizată cu privire la decizia automatizată avută în vedere și la consecințele preconizate, precum și cu privire la logica implicată, și

(ii)

pune în aplicare garanții adecvate, care să îi permită cel puțin persoanei vizate să conteste decizia, să își exprime punctul de vedere și să obțină examinarea deciziei de o ființă umană.

(e)

În cazul în care cererile din partea unei persoane vizate sunt excesive, în special din cauza caracterului lor repetitiv, importatorul de date poate fie să perceapă o taxă rezonabilă, ținând seama de costurile administrative aferente soluționării cererii, fie să refuze să dea curs cererii.

(f)

Importatorul de date poate refuza cererea unei persoane vizate dacă refuzul este permis în temeiul legislației țării de destinație și este necesar și proporțional într-o societate democratică pentru a proteja unul dintre obiectivele enumerate la articolul 23 alineatul (1) din Regulamentul (UE) 2016/679.

(g)

În cazul în care importatorul de date intenționează să refuze o cerere a unei persoane vizate, acesta trebuie să informeze persoana vizată cu privire la motivele refuzului și la posibilitatea de a depune o plângere la autoritatea de supraveghere competentă și/sau de a ataca în instanță acest refuz.

MODULUL DOI: Transfer operator – persoană împuternicită de operator

(a)

Importatorul de date notifică prompt exportatorului de date orice cerere primită din partea unei persoane vizate. Acesta nu răspunde cererii respective decât după ce a fost autorizat în acest sens de către exportatorul de date.

(b)

Importatorul de date îi acordă asistență exportatorului de date în îndeplinirea obligațiilor sale de a răspunde cererilor persoanelor vizate privind exercitarea drepturilor lor în temeiul Regulamentului (UE) 2016/679. În acest sens, părțile stabilesc în anexa II măsurile tehnice și organizatorice adecvate, ținând seama de natura prelucrării, prin care se acordă asistența, precum și domeniul de aplicare și amploarea asistenței necesare.

(c)

În îndeplinirea obligațiilor care îi revin în temeiul literelor (a) și (b), importatorul de date respectă instrucțiunile din partea exportatorului de date.

MODULUL TREI: Transfer persoană împuternicită de operator – persoană împuternicită de operator

(a)

Importatorul de date notifică prompt exportatorului de date și, după caz, operatorului orice cerere primită din partea unei persoane vizate, fără să răspundă cererii respective, cu excepția cazului în care a fost autorizat în acest sens de către operator.

(b)

Importatorul de date, dacă este necesar în cooperare cu exportatorul de date, acordă asistență operatorului în îndeplinirea obligațiilor care îi revin de a răspunde cererilor persoanelor vizate care au ca obiect exercitarea drepturilor în temeiul Regulamentului (UE) 2016/679 sau al Regulamentului (UE) 2018/1725, după caz. În acest sens, părțile stabilesc în anexa II măsurile tehnice și organizatorice adecvate, ținând seama de natura prelucrării, prin care se acordă asistența, precum și domeniul de aplicare și amploarea asistenței necesare.

(c)

În îndeplinirea obligațiilor care îi revin în temeiul literelor (a) și (b), importatorul de date respectă instrucțiunile din partea operatorului, astfel cum sunt comunicate de către exportatorul de date.

MODULUL PATRU: Transfer persoană împuternicită de operator – operator

Părțile își acordă reciproc asistență pentru a răspunde cererilor de informații și cererilor de alt tip formulate de persoanele vizate în temeiul legislației locale aplicabile importatorului de date sau, în cazul prelucrării datelor de către exportatorul de date în UE, în temeiul Regulamentului (UE) 2016/679.

Clauza 11

Căi de atac

(a)

Importatorul de date informează persoanele vizate într-un format transparent și ușor accesibil, printr-o notificare individuală sau pe site-ul său web, cu privire la punctul de contact autorizat să soluționeze plângerile. Acesta soluționează cu promptitudine orice plângeri primite din partea unei persoane vizate.

[OPȚIUNE: Importatorul de date este de acord cu faptul că persoanele vizate pot să depună, de asemenea, o plângere la un organism independent de soluționare a litigiilor (11), fără să suporte niciun cost. Acesta informează persoanele vizate, în modul prevăzut la litera (a), cu privire la acest mecanism de exercitare a unei căi de atac și le aduce la cunoștință faptul că nu sunt obligate să recurgă la acesta sau să exercite căile de atac într-o anumită ordine.]

MODULUL UNU: Transfer operator – operator

MODULUL DOI: Transfer operator – persoană împuternicită de operator

MODULUL TREI: Transfer persoană împuternicită de operator – persoană împuternicită de operator

(b)

În cazul unui litigiu între o persoană vizată și una dintre părți în ceea ce privește respectarea prezentelor clauze, partea în cauză depune toate eforturile pentru a soluționa litigiul pe cale amiabilă în timp util. Părțile se informează reciproc cu privire la astfel de litigii și, după caz, cooperează pentru soluționarea acestora.

(c)

În cazul în care persoana vizată invocă un drept al terțului beneficiar în temeiul clauzei 3, importatorul de date acceptă decizia persoanei vizate:

(i)

de a depune o plângere la autoritatea de supraveghere din statul membru în care își are reședința obișnuită sau locul de muncă sau la autoritatea de supraveghere competentă în temeiul clauzei 13;

(ii)

de a sesiza instanțele competente în sensul clauzei 18.

(d)

Părțile acceptă faptul că persoana vizată poate fi reprezentată de un organism, de o organizație sau de o asociație fără scop lucrativ, în condițiile prevăzute la articolul 80 alineatul (1) din Regulamentul (UE) 2016/679.

(e)

Importatorul de date respectă o decizie obligatorie în temeiul dreptului aplicabil al UE sau al dreptului intern aplicabil.

(f)

Importatorul de date este de acord cu faptul că alegerea făcută de persoana vizată nu va aduce atingere drepturilor sale materiale și procedurale de a introduce acțiuni în despăgubire în conformitate cu legislația aplicabilă.

Clauza 12

Răspundere

MODULUL UNU: Transfer operator – operator

MODULUL PATRU: Transfer persoană împuternicită de operator – operator

(a)

Fiecare parte este răspunzătoare față de cealaltă (celelalte) parte (părți) pentru orice prejudicii pe care le cauzează celeilalte (celorlalte) părți prin orice încălcare a prezentelor clauze.

(b)

Fiecare parte este răspunzătoare față de persoana vizată, iar persoana vizată are dreptul de a primi despăgubiri pentru orice prejudicii materiale sau morale pe care partea le cauzează persoanei vizate prin încălcarea drepturilor terțului beneficiar în temeiul prezentelor clauze. Această dispoziție nu aduce atingere răspunderii care îi revine exportatorului de date în temeiul Regulamentului (UE) 2016/679.

(c)

În cazul în care mai multe părți sunt responsabile pentru un prejudiciu cauzat persoanei vizate ca urmare a încălcării prezentelor clauze, toate părțile responsabile sunt răspunzătoare în solidar, iar persoana vizată are dreptul de a introduce o acțiune în justiție împotriva oricăreia dintre aceste părți.

(d)

Părțile convin că, în cazul în care răspunderea uneia dintre părți este stabilită în temeiul literei (c), aceasta are dreptul de a solicita de la cealaltă (celelalte) parte (părți) recuperarea acelei părți din despăgubiri care corespunde părții (părților) sale (lor) de răspundere pentru prejudiciul cauzat.

(e)

Importatorul de date nu poate să invoce comportamentul unei persoane împuternicite de operator sau al unui subcontractant pentru a nu fi tras la răspundere.

MODULUL DOI: Transfer operator – persoană împuternicită de operator

MODULUL TREI: Transfer persoană împuternicită de operator – persoană împuternicită de operator

(a)

Fiecare parte este răspunzătoare față de cealaltă (celelalte) parte (părți) pentru orice prejudicii pe care le cauzează celeilalte (celorlalte) părți prin orice încălcare a prezentelor clauze.

(b)

Importatorul de date este răspunzător față de persoana vizată, iar persoana vizată are dreptul de a primi despăgubiri pentru orice prejudicii materiale sau morale pe care importatorul de date sau subcontractantul acestuia le cauzează persoanei vizate prin încălcarea drepturilor terțului beneficiar în temeiul prezentelor clauze.

(c)

Fără a aduce atingere dispozițiilor prevăzute la litera (b), exportatorul de date este răspunzător față de persoana vizată, iar persoana vizată are dreptul de a primi despăgubiri pentru orice prejudicii materiale sau morale pe care exportatorul de date sau importatorul de date (sau subcontractantul acestuia) le cauzează persoanei vizate prin încălcarea drepturilor terțului beneficiar în temeiul prezentelor clauze. Această dispoziție nu aduce atingere răspunderii exportatorului de date și, în cazul în care exportatorul de date este o persoană împuternicită de operator care acționează în numele unui operator, răspunderii operatorului în temeiul Regulamentului (UE) 2016/679 sau al Regulamentului (UE) 2018/1725, după caz.

(d)

Părțile convin că, în cazul în care răspunderea exportatorului de date este stabilită în temeiul literei (c) pentru prejudiciile cauzate de importatorul de date (sau de subcontractantul acestuia), acesta are dreptul de a solicita de la importatorul de date recuperarea acelei părți din despăgubiri care corespunde părții de răspundere a importatorului de date pentru prejudiciul cauzat.

(e)

În cazul în care mai multe părți sunt responsabile pentru un prejudiciu cauzat persoanei vizate ca urmare a încălcării prezentelor clauze, toate părțile responsabile sunt răspunzătoare în solidar, iar persoana vizată are dreptul de a introduce o acțiune în justiție împotriva oricăreia dintre aceste părți.

(f)

Părțile convin că, în cazul în care răspunderea uneia dintre părți este stabilită în temeiul literei (e), aceasta are dreptul de a solicita de la cealaltă (celelalte) parte (părți) recuperarea acelei părți din despăgubiri care corespunde părții (părților) sale (lor) de răspundere pentru prejudiciul cauzat.

(g)

Importatorul de date nu poate să invoce comportamentul unei persoane împuternicite de operator sau al unui subcontractant pentru a nu fi tras la răspundere.

Clauza 13

Supraveghere

MODULUL UNU: Transfer operator – operator

MODULUL DOI: Transfer operator – persoană împuternicită de operator

MODULUL TREI: Transfer persoană împuternicită de operator – persoană împuternicită de operator

(a)

[În cazul în care exportatorul de date este stabilit într-un stat membru al UE:] Autoritatea de supraveghere responsabilă cu asigurarea respectării de către exportatorul de date a Regulamentului (UE) 2016/679 în ceea ce privește transferul de date, astfel cum se prevede în anexa I.C, acționează în calitate de autoritate de supraveghere competentă.

[În cazul în care exportatorul de date nu este stabilit într-un stat membru al UE, dar intră sub incidența domeniului de aplicare teritorială a Regulamentului (UE) 2016/679 în conformitate cu articolul 3 alineatul (2) din regulamentul menționat și a desemnat un reprezentant în temeiul articolului 27 alineatul (1) din Regulamentul (UE) 2016/679:] Autoritatea de supraveghere a statului membru în care este stabilit reprezentantul în sensul articolului 27 alineatul (1) din Regulamentul (UE) 2016/679, astfel cum se prevede în anexa I.C, acționează în calitate de autoritate de supraveghere competentă.

[În cazul în care exportatorul de date nu este stabilit într-un stat membru al UE, dar intră sub incidența domeniului de aplicare teritorială a Regulamentului (UE) 2016/679 în conformitate cu articolul 3 alineatul (2) din regulamentul menționat, fără a avea însă obligația de a desemna un reprezentant în temeiul articolului 27 alineatul (2) din Regulamentul (UE) 2016/679:] Autoritatea de supraveghere a unuia dintre statele membre în care se află persoanele vizate ale căror date cu caracter personal sunt transferate în temeiul prezentelor clauze în legătură cu oferirea de bunuri sau servicii sau al căror comportament este monitorizat, astfel cum se prevede în anexa I.C, acționează în calitate de autoritate de supraveghere competentă.

(b)

Importatorul de date este de acord să se supună jurisdicției autorității de supraveghere competente și să coopereze cu aceasta în cadrul oricăror proceduri menite să asigure respectarea prezentelor clauze. În special, importatorul de date este de acord să răspundă cererilor de informații, să facă obiectul unor audituri și să se conformeze măsurilor adoptate de autoritatea de supraveghere, inclusiv măsurilor reparatorii și compensatorii. Acesta furnizează autorității de supraveghere o confirmare scrisă a faptului că s-au întreprins acțiunile necesare.

SECȚIUNEA III – LEGISLAȚIA LOCALĂ ȘI OBLIGAȚIILE APLICABILE ÎN CAZUL ACCESULUI AUTORITĂȚILOR PUBLICE

Clauza 14

Legislația locală și practicile locale care afectează respectarea clauzelor

MODULUL UNU: Transfer operator – operator

MODULUL DOI: Transfer operator – persoană împuternicită de operator

MODULUL TREI: Transfer persoană împuternicită de operator – persoană împuternicită de operator

MODULUL PATRU: Transfer persoană împuternicită de operator – operator (în cazul în care persoana împuternicită de operator din UE combină datele cu caracter personal primite de la operatorul din țara terță cu datele cu caracter personal colectate în UE de persoana împuternicită de operator)

(a)

Părțile garantează că nu au niciun motiv să creadă că legislația și practicile din țara terță de destinație aplicabile prelucrării datelor cu caracter personal de către importatorul de date, inclusiv orice cerințe de divulgare a datelor cu caracter personal sau orice măsuri de autorizare a accesului autorităților publice, îl împiedică pe importatorul de date să își îndeplinească obligațiile care îi revin în temeiul prezentelor clauze. Această dispoziție are la bază premisa că legislația și practicile care respectă esența drepturilor și a libertăților fundamentale și nu depășesc ceea ce este necesar și proporțional într-o societate democratică pentru a garanta unul dintre obiectivele enumerate la articolul 23 alineatul (1) din Regulamentul (UE) 2016/679 nu sunt în contradicție cu prezentele clauze.

(b)

Părțile declară că, la acordarea garanției prevăzute la litera (a), au ținut seama în mod corespunzător, în special, de următoarele elemente:

(i)

circumstanțele specifice ale transferului, inclusiv de lungimea lanțului de prelucrare, de numărul de actori implicați și de canalele de transmitere utilizate; transferurile ulterioare intenționate; tipul de destinatar; scopul prelucrării; categoriile și formatul datelor cu caracter personal transferate; sectorul economic în care are loc transferul; locul în care sunt stocate datele transferate;

(ii)

legislația și practicile țării terțe de destinație – inclusiv cele care prevăd obligația de a divulga date autorităților publice sau autorizarea accesului acestor autorități – care sunt relevante având în vedere circumstanțele specifice ale transferului, precum și limitările și garanțiile aplicabile (12);

(iii)

orice garanții contractuale, tehnice sau organizatorice relevante instituite pentru a completa garanțiile prevăzute în prezentele clauze, inclusiv măsurile aplicate în timpul transmiterii și prelucrării datelor cu caracter personal în țara de destinație.

(c)

Importatorul de date garantează că, în cadrul evaluării prevăzute la litera (b), a depus toate eforturile pentru a-i furniza exportatorului de date informațiile relevante și este de acord să coopereze în continuare cu exportatorul de date pentru a asigura respectarea prezentelor clauze.

(d)

Părțile convin să consemneze în evidențe evaluarea prevăzută la litera (b) și să o pună la dispoziția autorității de supraveghere competente, la cerere.

(e)

Importatorul de date este de acord să transmită cu promptitudine o notificare exportatorului de date dacă, după ce a acceptat prezentele clauze și pe durata contractului, are motive să creadă că este sau a intrat sub incidența unei legislații sau a unor practici care nu sunt conforme cu dispozițiile prevăzute la litera (a), inclusiv în urma unei modificări a legislației țării terțe sau a unei măsuri (cum ar fi o cerere de divulgare) care indică o aplicare în practică a acestei legislații care nu este conformă cu dispozițiile prevăzute la litera (a). [Pentru modulul trei: Exportatorul de date transmite notificarea operatorului.]

(f)

În urma unei notificări în temeiul literei (e) sau în cazul în care exportatorul de date are alte motive să creadă că importatorul de date nu își mai poate îndeplini obligațiile care îi revin în temeiul prezentelor clauze, exportatorul de date identifică cu promptitudine măsurile adecvate (de exemplu, măsuri tehnice sau organizatorice pentru asigurarea securității și a confidențialității) pe care exportatorul de date și/sau importatorul de date trebuie să le adopte pentru a remedia situația [pentru modulul trei:, dacă este cazul, în consultare cu operatorul]. Exportatorul de date suspendă transferul de date în cazul în care consideră că nu pot fi asigurate garanții adecvate pentru un astfel de transfer sau în cazul în care primește instrucțiuni în acest sens din partea [pentru modulul trei: operatorului sau a] autorității de supraveghere competente. În acest caz, exportatorul de date are dreptul de a rezilia contractul în măsura în care acesta are ca obiect prelucrarea datelor cu caracter personal în temeiul prezentelor clauze. În cazul în care contractul implică mai mult de două părți, exportatorul de date își poate exercita dreptul de reziliere numai în ceea ce privește partea în cauză, cu excepția cazului în care părțile au convenit altfel. În cazul în care contractul este reziliat în temeiul prezentei clauze, se aplică clauza 16 literele (d) și (e).

Clauza 15

Obligațiile importatorului de date în cazul accesului autorităților publice

MODULUL UNU: Transfer operator – operator

MODULUL DOI: Transfer operator – persoană împuternicită de operator

MODULUL TREI: Transfer persoană împuternicită de operator – persoană împuternicită de operator

MODULUL PATRU: Transfer persoană împuternicită de operator – operator (în cazul în care persoana împuternicită de operator din UE combină datele cu caracter personal primite de la operatorul din țara terță cu datele cu caracter personal colectate în UE de persoana împuternicită de operator)

15.1.   Notificare

(a)

Importatorul de date este de acord să transmită cu promptitudine o notificare exportatorului de date de date și, în măsura posibilului, persoanei vizate (dacă este necesar cu ajutorul exportatorului de date) în cazul în care:

(i)

primește din partea unei autorități publice, inclusiv din partea autorităților judiciare, o cerere obligatorie din punct de vedere juridic în temeiul legislației țării de destinație care are ca obiect divulgarea datelor cu caracter personal transferate în temeiul prezentelor clauze; o astfel de notificare include informații cu privire la datele cu caracter personal solicitate, la autoritatea solicitantă, la temeiul juridic al cererii și la răspunsul furnizat; sau

(ii)

ia cunoștință de orice acces direct al autorităților publice la datele cu caracter personal transferate în temeiul prezentelor clauze în conformitate cu legislația țării de destinație; o astfel de notificare include toate informațiile de care dispune importatorul.

[Pentru modulul trei: Exportatorul de date transmite notificarea operatorului.]

(b)

În cazul în care importatorului de date i se interzice să transmită o notificare exportatorului de date și/sau a persoanei vizate în temeiul legislației țării de destinație, importatorul de date este de acord să depună toate eforturile pentru a obține o derogare de la această interdicție, în vederea comunicării a cât mai multor informații posibil, în cel mai scurt timp posibil. Importatorul de date este de acord să consemneze în evidențe toate eforturile depuse pentru a putea face dovada acestora la cererea exportatorului de date.

(c)

În cazul în care legislația țării de destinație permite acest lucru, importatorul de date este de acord să furnizeze exportatorului de date, la intervale regulate pe durata contractului, cât mai multe informații relevante posibil cu privire la cererile primite (în special, numărul de cereri, tipul de date solicitate, autoritatea solicitantă sau autoritățile solicitante, eventuala contestare a cererilor și rezultatul contestațiilor respective etc.). [Pentru modulul trei: Exportatorul de date transmite informațiile operatorului.]

(d)

Importatorul de date este de acord să păstreze informațiile prevăzute la literele (a)-(c) pe durata contractului și să le pună la dispoziția autorității de supraveghere competente, la cerere.

(e)

Literele (a)-(c) nu aduc atingere obligației care îi revine importatorului de date în temeiul clauzei 14 litera (e) și al clauzei 16 de a-l informa cu promptitudine pe exportatorul de date dacă nu este în măsură să respecte prezentele clauze.

15.2.   Controlul legalității și reducerea la minimum a datelor

(a)

Importatorul de date este de acord să examineze legalitatea cererii de divulgare, în special dacă aceasta se încadrează în competențele conferite autorității publice solicitante, și să conteste cererea dacă, după o evaluare atentă, ajunge la concluzia că există motive întemeiate să considere că cererea este ilegală în temeiul legislației țării de destinație, al obligațiilor aplicabile în temeiul dreptului internațional și al principiilor curtoaziei internaționale. Importatorul de date exercită, în aceleași condiții, căile de atac disponibile Atunci când contestă o cerere, importatorul de date solicită măsuri provizorii în vederea suspendării efectelor cererii până când autoritatea judiciară competentă se pronunță asupra fondului cererii. Acesta nu divulgă datele cu caracter personal solicitate decât după ce i se impune să facă acest lucru în temeiul normelor procedurale aplicabile. Aceste cerințe nu aduc atingere obligațiilor care îi revin importatorului de date în temeiul clauzei 14 litera (e).

(b)

Importatorul de date este de acord să consemneze în evidențe evaluarea sa juridică, precum și orice acțiune de contestare a cererii de divulgare și, în măsura în care legislația țării de destinație permite acest lucru, să le pună la dispoziția exportatorului de date. De asemenea, acesta le pune la dispoziția autorității de supraveghere competente, la cerere. [Pentru modulul trei: Exportatorul de date pune evaluarea la dispoziția operatorului.]

(c)

Importatorul de date este de acord ca, atunci când răspunde unei cereri de divulgare, să furnizeze volumul minim de informații permis, pe baza unei interpretări rezonabile a cererii.

SECȚIUNEA IV – DISPOZIȚII FINALE

Clauza 16

Nerespectarea clauzelor și rezilierea

(a)

Importatorul de date îl informează cu promptitudine pe exportatorul de date dacă nu este în măsură să respecte prezentele clauze, indiferent de motiv.

(b)

În cazul în care importatorul de date încalcă prezentele clauze sau nu este în măsură să respecte prezentele clauze, exportatorul de date suspendă transferul de date cu caracter personal către importatorul de date până la restabilirea conformității sau până la încetarea contractului. Această dispoziție nu aduce atingere clauzei 14 litera (f).

(c)

Exportatorul de date are dreptul de a rezilia contractul, în măsura în care acesta are ca obiect prelucrarea datelor cu caracter personal în temeiul prezentelor clauze, în cazul în care:

(i)

exportatorul de date a suspendat transferul de date cu caracter personal către importatorul de date în temeiul literei (b) și respectarea prezentelor clauze nu este restabilită într-un termen rezonabil și, în orice caz, în termen de o lună de la suspendare;

(ii)

importatorul de date a încălcat în mod substanțial sau repetat prezentele clauze; sau

(iii)

importatorul de date nu respectă o decizie cu caracter obligatoriu pronunțată de o instanță competentă sau emisă de o autoritate de supraveghere competentă în legătură cu obligațiile care îi revin în temeiul prezentelor clauze.

În aceste cazuri, acesta informează autoritatea de supraveghere competentă [pentru modulul trei: și operatorul] cu privire la nerespectarea deciziei. În cazul în care contractul implică mai mult de două părți, exportatorul de date își poate exercita dreptul de reziliere numai în ceea ce privește partea în cauză, cu excepția cazului în care părțile au convenit altfel.

(d)

[Pentru modulele unu, doi și trei: Datele cu caracter personal care au fost transferate înainte de rezilierea contractului în temeiul literei (c) sunt returnate imediat exportatorului de date sau sunt șterse în întregime, la alegerea exportatorului de date. Aceeași dispoziție se aplică în cazul oricăror copii ale datelor.] [Pentru modulul patru: Datele cu caracter personal colectate de exportatorul de date din UE care au fost transferate înainte de rezilierea contractului în temeiul literei (c) sunt șterse imediat în întregime, inclusiv orice copie a acestora.] Importatorul de date îi prezintă exportatorului de date dovada ștergerii datelor. Până la ștergerea sau returnarea datelor, importatorul de date trebuie să continue să asigure respectarea acestor clauze. În cazul în care legislația locală aplicabilă importatorului de date interzice returnarea sau ștergerea datelor cu caracter personal transferate, importatorul de date garantează că va continua să asigure conformitatea cu prezentele clauze și că va prelucra datele numai în măsura în care și atât timp cât prelucrarea este permisă de respectiva legislație locală.

(e)

Oricare dintre părți își poate revoca acordul de a-și asuma obligații în temeiul prezentelor clauze în cazul în care (i) Comisia Europeană adoptă o decizie în temeiul articolului 45 alineatul (3) din Regulamentul (UE) 2016/679 care se referă la transferul de date cu caracter personal cărora li se aplică prezentele clauze; sau (ii) Regulamentul (UE) 2016/679 este integrat în cadrul juridic al țării către care sunt transferate datele cu caracter personal. Această dispoziție nu aduce atingere altor obligații care se aplică prelucrării în cauză în temeiul Regulamentului (UE) 2016/679.

Clauza 17

Legislația aplicabilă

MODULUL UNU: Transfer operator – operator

MODULUL DOI: Transfer operator – persoană împuternicită de operator

MODULUL TREI: Transfer persoană împuternicită de operator – persoană împuternicită de operator

[OPȚIUNEA 1: Prezentele clauze sunt reglementate de legislația unuia dintre statele membre ale UE, cu condiția ca această legislație să permită drepturi ale terților beneficiari. Părțile convin că aceasta este legislația din _______ (a se preciza statul membru).]

[OPȚIUNEA 2 (pentru modulele doi și trei): Prezentele clauze sunt reglementate de legislația statului membru al UE în care este stabilit exportatorul de date. În cazul în care această legislație nu permite drepturi ale terților beneficiari, acestea sunt reglementate de legislația unui alt stat membru al UE care permite astfel de drepturi. Părțile convin că aceasta este legislația din _______ (a se preciza statul membru).]

MODULUL PATRU: Transfer persoană împuternicită de operator – operator

Prezentele clauze sunt reglementate de legislația unei țări care permite drepturi ale terților beneficiari. Părțile convin că aceasta este legislația din _______ (a se preciza țara).]

Clauza 18

Alegerea forului și a jurisdicției

MODULUL UNU: Transfer operator – operator

MODULUL DOI: Transfer operator – persoană împuternicită de operator

MODULUL TREI: Transfer persoană împuternicită de operator – persoană împuternicită de operator

(a)

Orice litigiu care decurge din prezentele clauze este soluționat de instanțele unui stat membru al UE.

(b)

Părțile convin că acestea sunt instanțele din _____ (a se preciza statul membru).

(c)

O persoană vizată poate să introducă o acțiune în justiție împotriva exportatorului de date și/sau a importatorului de date în statul membru în care își are reședința obișnuită.

(d)

Părțile convin să se supună jurisdicției acestor instanțe.

MODULUL PATRU: Transfer persoană împuternicită de operator – operator

 

Orice litigiu care decurge din prezentele clauze este soluționat de instanțele din ___ (a se preciza țara).


(1)  În cazul în care exportatorul de date este o persoană împuternicită de operator care face obiectul Regulamentului (UE) 2016/679 și care acționează în numele unei instituții sau al unui organ al Uniunii în calitate de operator, recurgerea la prezentele clauze atunci când se recrutează o altă persoană împuternicită de operator (subcontractant) care nu face obiectul Regulamentului (UE) 2016/679 asigură, de asemenea, conformitatea cu articolul 29 alineatul (4) din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39), în măsura în care prezentele clauze și obligațiile în materie de protecție a datelor prevăzute în contract sau în alt act juridic dintre operator și persoana împuternicită de operator în temeiul articolului 29 alineatul (3) din Regulamentul (UE) 2018/1725 sunt aliniate. În special, acest lucru va fi valabil în cazul în care operatorul și persoana împuternicită de operator recurg la clauzele contractuale standard prevăzute în Decizia (UE) 2021/915.

(2)  În acest scop este necesar ca datele să fie anonimizate într-un mod care să asigure faptul că persoana fizică nu mai poate fi identificată de nimeni, în conformitate cu considerentul 26 din Regulamentul (UE) 2016/679, și că acest proces este ireversibil.

(3)  Acordul privind Spațiul Economic European (Acordul privind SEE) prevede extinderea pieței interne a Uniunii Europene la cele trei state care fac parte din SEE, și anume Islanda, Liechtenstein și Norvegia. Legislația Uniunii privind protecția datelor, inclusiv Regulamentul (UE) 2016/679, intră sub incidența Acordului privind SEE și a fost încorporată în anexa XI la acesta. Prin urmare, orice divulgare de către importatorul de date către un terț din SEE nu constituie un transfer ulterior în sensul prezentelor clauze.

(4)  Acordul privind Spațiul Economic European (Acordul privind SEE) prevede extinderea pieței interne a Uniunii Europene la cele trei state care fac parte din SEE, și anume Islanda, Liechtenstein și Norvegia. Legislația Uniunii privind protecția datelor, inclusiv Regulamentul (UE) 2016/679, intră sub incidența Acordului privind SEE și a fost încorporată în anexa XI la acesta. Prin urmare, orice divulgare de către importatorul de date către un terț din SEE nu constituie un transfer ulterior în sensul prezentelor clauze.

(5)  A se vedea articolul 28 alineatul (4) din Regulamentul (UE) 2016/679 și, în cazul în care operatorul este o instituție sau un organ al UE, articolul 29 alineatul (4) din Regulamentul (UE) 2018/1725.

(6)  Acordul privind Spațiul Economic European (Acordul privind SEE) prevede extinderea pieței interne a Uniunii Europene la cele trei state care fac parte din SEE, și anume Islanda, Liechtenstein și Norvegia. Legislația Uniunii privind protecția datelor, inclusiv Regulamentul (UE) 2016/679, intră sub incidența Acordului privind SEE și a fost încorporată în anexa XI la acesta. Prin urmare, orice divulgare de către importatorul de date către un terț din SEE nu constituie un transfer ulterior în sensul prezentelor clauze.

(7)  Se analizează dacă transferul și prelucrarea ulterioară implică date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate, date genetice sau date biometrice pentru identificarea unică a unei persoane fizice, date privind sănătatea sau viața sexuală sau orientarea sexuală a unei persoane sau date referitoare la condamnări penale sau la infracțiuni.

(8)  Această cerință poate fi îndeplinită prin aderarea subcontractantului la prezentele clauze în cadrul modulului corespunzător, în conformitate cu clauza 7.

(9)  Această cerință poate fi îndeplinită prin aderarea subcontractantului la prezentele clauze în cadrul modulului corespunzător, în conformitate cu clauza 7.

(10)  Această perioadă poate fi prelungită cu cel mult două luni, în măsura în care este necesar, ținând seama de complexitatea și de numărul cererilor. Importatorul de date informează în mod corespunzător și cu promptitudine persoana vizată cu privire la orice astfel de prelungire.

(11)  Importatorul de date poate să propună o soluționare independentă a litigiilor prin intermediul unei instanțe de arbitraj numai dacă este stabilit într-o țară care a ratificat Convenția de la New York privind executarea hotărârilor arbitrale.

(12)  În ceea ce privește impactul acestor legi și practici asupra respectării prezentelor clauze, diferite elemente pot fi considerate ca făcând parte dintr-o evaluare generală. Printre aceste elemente se pot număra experiența practică relevantă și dovedită cu documente în cazuri anterioare de cereri de divulgare din partea autorităților publice sau absența unor astfel de cereri, care să acopere un interval de timp suficient de reprezentativ. Acest lucru se referă în special la evidențele interne sau la alte documente, întocmite în mod continuu în conformitate cu obligația de diligență și certificate la nivelul conducerii superioare, cu condiția ca aceste informații să poată fi comunicate în mod legal unor terți. În cazul în care această experiență practică este invocată pentru a concluziona că importatorul de date nu va fi împiedicat să respecte prezentele clauze, ea trebuie să fie susținută de alte elemente relevante și obiective, iar părților le revine sarcina de a analiza cu atenție dacă toate aceste elemente cumulate au o pondere suficientă, din punctul de vedere al fiabilității și al reprezentativității lor, pentru a justifica această concluzie. În special, părțile trebuie să analizeze dacă experiența lor practică este coroborată și nu este contrazisă de informații puse la dispoziția publicului sau accesibile în alt mod, de informații fiabile privind existența sau absența cererilor în cadrul aceluiași sector și/sau de aplicarea în practică a legislației, cum ar fi jurisprudența și rapoartele întocmite de organisme independente de supraveghere.


APENDICE

NOTĂ EXPLICATIVĂ:

Este necesar să fie posibil să se facă o distincție clară între informațiile aplicabile fiecărui transfer sau fiecărei categorii de transferuri și, în acest sens, să se stabilească rolul (rolurile) părților în calitate de exportator(i) de date și/sau de importator(i) de date. În acest scop nu este necesar în mod obligatoriu să se completeze și să se semneze apendice separate pentru fiecare transfer/categorie de transferuri și/sau relație contractuală, în cazul în care este posibil ca obligația de transparență să fie respectată dacă se utilizează un singur apendice. Totuși, ar trebui să se recurgă la apendice separate, în cazul în care acest lucru este necesar pentru a se asigura o claritate suficientă.


ANEXA I

A.   LISTA PĂRȚILOR

MODULUL UNU: Transfer operator – operator

MODULUL DOI: Transfer operator – persoană împuternicită de operator

MODULUL TREI: Transfer persoană împuternicită de operator – persoană împuternicită de operator

MODULUL PATRU: Transfer persoană împuternicită de operator – operator

Exportatorul (exportatorii) de date: [Identitatea și datele de contact ale exportatorului (exportatorilor) de date și, după caz, ale responsabilului acestuia (acestora) cu protecția datelor și/sau ale reprezentantului acestuia (acestora) în Uniunea Europeană]

1.

Nume: …

Adresă: …

Numele, funcția și datele de contact ale persoanei de contact: …

Activități relevante pentru datele transferate în temeiul prezentelor clauze: …

Semnătura și data: …

Rol (operator/persoană împuternicită de operator): …

2.

Importatorul (importatorii) de date: [Identitatea și datele de contact ale importatorului (importatorilor) de date, inclusiv orice persoană de contact responsabilă cu protecția datelor]

1.

Nume: …

Adresă: …

Numele, funcția și datele de contact ale persoanei de contact: …

Activități relevante pentru datele transferate în temeiul prezentelor clauze: …

Semnătura și data: …

Rol (operator/persoană împuternicită de operator): …

2.

B.   DESCRIEREA TRANSFERULUI

MODULUL UNU: Transfer operator – operator

MODULUL DOI: Transfer operator – persoană împuternicită de operator

MODULUL TREI: Transfer persoană împuternicită de operator – persoană împuternicită de operator

MODULUL PATRU: Transfer persoană împuternicită de operator – operator

Categorii de persoane vizate ale căror date cu caracter personal sunt transferate

Categorii de date cu caracter personal transferate

Datele sensibile transferate (dacă este cazul) și restricțiile sau garanțiile aplicate care țin pe deplin seama de caracterul datelor și de riscurile implicate, cum ar fi, de exemplu, limitarea strictă a scopului, restricții legate de acces (inclusiv permiterea accesului doar pentru membrii personalului care au urmat o formare specializată), ținerea unei evidențe a accesului la date, restricții aplicabile transferurilor ulterioare sau măsuri de securitate suplimentare.

Frecvența transferului (de exemplu, dacă datele sunt transferate o singură dată sau în mod continuu)

Natura prelucrării

Scopul (scopurile) transferului de date și al (ale) prelucrării ulterioare

Perioada de păstrare a datelor cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a se stabili această perioadă

Pentru transferurile către persoane împuternicite de operatori (subcontractanți), a se preciza, de asemenea, obiectul, natura și durata prelucrării

C.   AUTORITATEA DE SUPRAVEGHERE COMPETENTĂ

MODULUL UNU: Transfer operator – operator

MODULUL DOI: Transfer operator – persoană împuternicită de operator

MODULUL TREI: Transfer persoană împuternicită de operator – persoană împuternicită de operator

A se identifica autoritatea (autoritățile) de supraveghere competentă (competente) în conformitate cu clauza 13


ANEXA II

MĂSURI TEHNICE ȘI ORGANIZATORICE, INCLUSIV MĂSURI TEHNICE ȘI ORGANIZATORICE MENITE SĂ ASIGURE SECURITATEA DATELOR

MODULUL UNU: Transfer operator – operator

MODULUL DOI: Transfer operator – persoană împuternicită de operator

MODULUL TREI: Transfer persoană împuternicită de operator – persoană împuternicită de operator

NOTĂ EXPLICATIVĂ:

Măsurile tehnice și organizatorice trebuie să fie descrise în mod concret (nu generic). A se vedea, de asemenea, observația generală prevăzută în prima pagină a apendicelui, în special cu privire la necesitatea de a indica în mod clar ce măsuri se aplică fiecărui transfer/set de transferuri.

Descrierea măsurilor tehnice și organizatorice puse în aplicare de importatorul (importatorii) de date (inclusiv toate certificările relevante) pentru a asigura un nivel de securitate adecvat, având în vedere natura, domeniul de aplicare, contextul și scopul prelucrării, precum și riscurile la adresa drepturilor și libertăților persoanelor fizice.

[Exemple de măsuri posibile:

măsuri de pseudonimizare și criptare a datelor cu caracter personal;

măsuri de asigurare a confidențialității, a integrității, a disponibilității și a rezilienței continue ale sistemelor și serviciilor de prelucrare;

măsuri de asigurare a capacității de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;

procese de testare, evaluare și apreciere cu regularitate a eficacității măsurilor tehnice și organizatorice pentru a se asigura securitatea prelucrării;

măsuri de identificare și autorizare a utilizatorilor;

măsuri de asigurare a protecției datelor cu caracter personal pe durata transmiterii;

măsuri de asigurare a protecției datelor cu caracter personal pe durata stocării;

măsuri de asigurare a securității fizice a locurilor în care sunt prelucrate date cu caracter personal;

măsuri de asigurare a înregistrării evenimentelor;

măsuri de asigurare a configurării sistemului, inclusiv a configurării implicite;

măsuri privind guvernanța și gestionarea sistemelor informatice interne și a securității informatice;

măsuri de certificare/asigurare a proceselor și a produselor;

măsuri de asigurare a reducerii la minimum a datelor;

măsuri de asigurare a calității datelor;

măsuri de asigurare a păstrării limitate a datelor;

măsuri de asigurare a asumării responsabilității;

măsuri care permit portabilitatea datelor și asigură ștergerea acestora]

În cazul transferurilor către persoane împuternicite de operator (subcontractanți), a se descrie și măsurile tehnice și organizaționale specifice pe care trebuie să le ia persoana împuternicită de operator (subcontractantul) pentru a putea să îi acorde asistență operatorului și, în cazul transferurilor de la o persoană împuternicită de operator la un subcontractant, pentru a putea să îi acorde asistență exportatorului de date.


ANEXA III

LISTA SUBCONTRACTANȚILOR

MODULUL DOI: Transfer operator – persoană împuternicită de operator

MODULUL TREI: Transfer persoană împuternicită de operator – persoană împuternicită de operator

NOTĂ EXPLICATIVĂ:

Prezenta anexă trebuie să fie completată pentru modulele doi și trei, în cazul autorizării specifice a subcontractanților [clauza 9 litera (a), opțiunea 1].

Operatorul a autorizat recurgerea la următorii subcontractanți:

1.

Nume: …

Adresă: …

Numele, funcția și datele de contact ale persoanei de contact: …

Descrierea prelucrării (inclusiv o delimitare clară a responsabilităților în cazul în care sunt autorizați mai mulți subcontractanți): …

2.