privind aprobarea Clauzelor contractuale standard în cazul transferurilor de date cu caracter personal către un împuternicit stabilit într-un stat a cărui legislaţie nu prevede un nivel de protecţie cel puţin egal cu cel oferit de legea română
Având în vedere prevederile art. 3 alin. (5) şi (6) şi ale art. 10 lit. b), c) şi d) din Legea nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu modificările şi completările ulterioare,având în vedere prevederile art. 6 alin. (2) lit. b) din Regulamentul de organizare şi funcţionare a Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, aprobat prin Hotărârea Biroului Permanent al Senatului nr. 16/2005,în aplicarea dispoziţiilor art. 29 alin. (4) din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare, conform cărora Autoritatea Naţionala de Supraveghere a Prelucrării Datelor cu Caracter Personal, în calitate de autoritate de supraveghere, poate autoriza transferul de date cu caracter personal către un stat a cărui legislaţie nu prevede un nivel de protecţie cel puţin egal cu cel oferit de legea română, atunci când operatorul oferă garanţii suficiente cu privire la protecţia drepturilor fundamentale ale persoanelor, garanţii care trebuie să fie stabilite prin contracte încheiate între operatori şi persoanele fizice sau juridice din dispoziţia cărora se efectuează transferul,având în vedere exigenta elaborării unor clauze contractuale standard care să ofere garanţii suficiente cu privire la protecţia drepturilor fundamentale ale persoanelor, în cazul transferurilor de date cu caracter personal de la un operator stabilit în România către un împuternicit stabilit într-un stat a cărui legislaţie nu prevede un nivel de protecţie cel puţin egal cu cel oferit de legea română,pentru implementarea prevederilor Directivei Parlamentului European şi a Consiliului Uniunii Europene 95/46/CE privind protecţia persoanelor cu privire la prelucrarea datelor personale şi la libera circulaţie a acestor date şi ale Deciziei Comisiei Europene 2002/16/CE privind clauzele contractuale standard pentru transferul datelor personale către împuterniciţi stabiliţi în state terţe, conform Directivei 95/46/CE ,Autoritatea Naţionala de Supraveghere a Prelucrării Datelor cu Caracter Personal emite prezenta decizie. +
Articolul 1(1) Se aprobă Clauzele contractuale standard în cazul transferurilor de date cu caracter personal către un împuternicit stabilit într-un stat a cărui legislaţie nu prevede un nivel de protecţie cel puţin egal cu cel oferit de legea română, prevăzute în anexa. … (2) Clauzele contractuale standard prevăzute la alin. (1) oferă garanţii suficiente cu privire la protecţia drepturilor fundamentale ale persoanelor. … +
Articolul 2(1) Prevederile prezentei decizii nu afectează aplicarea altor prevederi legale care privesc prelucrarea datelor cu caracter personal. … (2) Prezenta decizie se aplică transferurilor de date cu caracter personal, realizate de către operatorii stabiliţi în România către destinatarii stabiliţi în state din afară Uniunii Europene, care acţionează numai ca împuterniciţi. … +
Articolul 3(1) În înţelesul prezentei decizii, următorii termeni se definesc după cum urmează: … a) categorii speciale de date sunt categoriile de date menţionate în cap. III din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare; … b) autoritatea de supraveghere este Autoritatea Naţionala de Supraveghere a Prelucrării Datelor cu Caracter Personal; … c) exportator de date este operatorul stabilit în România, care transfera date cu caracter personal; … d) importator de date este împuternicitul stabilit într-un stat din afară Uniunii Europene, care este de acord sa primească date de la exportatorul de date, pentru a fi prelucrate după transfer pe seama acestuia, în conformitate cu instrucţiunile primite de la exportatorul de date şi cu obligaţiile prevăzute în clauzele contractuale standard, şi care nu este supus unui sistem de protecţie a datelor personale adecvat în statul de destinaţie; … e) legislaţia de protecţie a datelor aplicabilă este Legea nr. 677/2001, cu modificările şi completările ulterioare, care protejeaza drepturile şi libertăţile fundamentale ale persoanelor fizice şi, în particular, dreptul acestora la intimitate cu privire la prelucrarea datelor, aplicabilă în România; … f) măsuri de securitate tehnice şi organizatorice sunt acele măsuri care au ca obiect protecţia datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii accidentale, alterarii, divulgării sau accesului neautorizat, în special în cazul în care prelucrarea implica transmiterea datelor prin intermediul unei reţele, precum şi împotriva oricăror alte forme de prelucrare ilegala. … (2) Definiţiile prevăzute la art. 3 din Legea nr. 677/2001, cu modificările şi completările ulterioare, rămân aplicabile. … +
Articolul 4(1) Autoritatea Naţionala de Supraveghere a Prelucrării Datelor cu Caracter Personal poate dispune interzicerea sau suspendarea transferului datelor cu caracter personal de către exportatorul de date către un stat din afară Uniunii Europene, pentru a proteja drepturile fundamentale ale persoanelor în legătură cu prelucrarea datelor lor cu caracter personal, în următoarele cazuri: … a) legea naţionala a importatorului de date îl obliga sa nu respecte clauzele contractuale standard, iar acest fapt nu este motivat de cauze care ţin de apărarea naţionala, siguranţa naţionala, ordinea publică, prevenirea, cercetarea şi reprimarea infracţiunilor, interesele economice sau financiare importante ale statului, activităţile efectuate în îndeplinirea unor atribuţii de autoritate publică legate de domeniile sus-menţionate, de apărarea persoanei vizate sau a drepturilor şi libertăţilor celorlalte persoane; … b) exista posibilitatea de nerespectare a clauzelor contractuale standard, iar desfăşurarea transferului prezintă riscul prejudicierii persoanelor vizate; … c) o autoritate competentă a stabilit ca importatorul de date nu a respectat clauzele contractuale standard. … (2) Interdicţia sau suspendarea aplicată conform alin. (1) va fi ridicată de îndată ce au încetat motivele care au determinat luarea acestei măsuri. … (3) În condiţiile aderării României la Uniunea Europeană, măsurile adoptate potrivit alin. (1) şi (2) vor fi aduse la cunoştinţa Comisiei Europene. … +
Articolul 5Prezenta decizie intră în vigoare în termen de 30 de zile de la data publicării în Monitorul Oficial al României, Partea I. +
Articolul 6Anexa face parte integrantă din prezenta decizie. +
Articolul 7Prezenta decizie transpune Decizia Comisiei Europene 2002/16/CE privind clauzele contractuale standard pentru transferul datelor personale către împuterniciţi stabiliţi în state terţe, conform Directivei 95/46/CE , publicată în Jurnalul Oficial al Comunităţilor Europene nr. L 006 din 10 ianuarie 2002.Preşedintele Autorităţii Naţionalede Supraveghere a PrelucrăriiDatelor cu Caracter Personal,Georgeta BasarabescuBucureşti, 27 noiembrie 2006.Nr. 167. +
AnexăCLAUZE CONTRACTUALE STANDARDîn cazul transferurilor de date cu caracter personal către unîmputernicit stabilit într-un stat a cărui legislaţie nu prevede unnivel de protecţie cel puţin egal cu cel oferit de legea românăÎn conformitate cu art. 29 alin. (4) din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, modificată şi completată,Numele sau denumirea persoanei care exporta datele …………..Adresa ………………………………..Telefon ….., fax …….., e-mail …..Alte informaţii necesare pentru identificarea persoanei: …………(exportatorul de date)şiNumele sau denumirea persoanei care importa datele ……Adresa …………………..Telefon …….., fax …….., e-mail …………….Alte informaţii necesare pentru identificarea persoanei: ………….(importatorul de date),AU CONVENIT asupra următoarelor clauze contractuale (clauze), pentru a oferi garanţii adecvate protecţiei drepturilor şi libertăţilor fundamentale ale persoanelor, în special a dreptului la viaţa intima, familială şi privată, în legătură cu transferul datelor cu caracter personal de la exportatorul de date către împuternicitul care importa datele prevăzute în Anexa nr. 1:Clauza 1: DefiniţiiÎn sensul acestor clauze:a) "date cu caracter personal" înseamnă orice informaţii referitoare la o persoană fizica identificata sau identificabila; o persoană identificabila este acea persoana care poate fi identificata, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau mai mulţi factori specifici identităţii sale fizice, fiziologice, psihice, economice sau culturale; … b) "categorii speciale de date" înseamnă categoriile de date menţionate la cap. III din Legea nr. 677/2001, modificată şi completată; … c) "prelucrarea datelor cu caracter personal" înseamnă orice operaţiune sau set de operaţiuni care se efectuează asupra datelor, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvaluirea către terţi prin transmitere, diseminare sau în orice alt mod, alaturarea ori combinarea, blocarea, ştergerea sau distrugerea; … d) "persoana vizata" înseamnă persoana fizica ale carei date cu caracter personal sunt prelucrate; … e) "exportator de date" înseamnă operatorul care transfera datele cu caracter personal; … f) "importator de date" înseamnă împuternicitul stabilit într-un stat din afară Uniunii Europene, care este de acord sa primească date de la exportatorul de date, pentru a fi prelucrate după transfer pe seama acestuia, în conformitate cu instrucţiunile primite de la exportatorul de date şi cu obligaţiile prevăzute în prezentele clauze şi care nu este supus unui sistem de protecţie a datelor personale adecvat, în statul de destinaţie; … g) "autoritate de supraveghere" înseamnă Autoritatea Naţionala de Supraveghere a Prelucrării Datelor cu Caracter Personal; … h) "legislaţia de protecţie a datelor aplicabilă" înseamnă Legea nr. 677/2001, modificată şi completată, care protejeaza drepturile şi libertăţile fundamentale ale persoanelor fizice şi, în particular, dreptul acestora la intimitate cu privire la prelucrarea datelor, aplicabilă în România; … i) "măsuri de securitate tehnice şi organizatorice" înseamnă acele măsuri care au ca obiect protecţia datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii accidentale, alterarii, divulgării sau accesului neautorizat, în special în cazul în care prelucrarea implica transmiterea datelor prin intermediul unei reţele, precum şi împotriva oricăror alte forme de prelucrare ilegala. … Clauza 2: Informaţii privind transferulInformaţiile privind transferul, în particular, categoriile speciale de date cu caracter personal, dacă este cazul, sunt menţionate în Anexa nr. 1. care face parte integrantă din prezentele clauze contractuale.Clauza 3: Clauza terţului beneficiarPersoanele vizate pot invoca împotriva exportatorului de date prezenta clauza, clauza 4 lit. b)-h), clauza 5 lit. a)-e) şi g), clauza 6 alin. (1) şi (2), clauza 8 alin. (2) şi clauzele 9, 10 şi 11, ca terţi beneficiari.Persoanele vizate pot invoca împotriva importatorului de date prezenta clauza, clauza 5 lit. a)-e) şi g), clauza 6 alin. (1) şi (2), clauza 7, clauza 8 alin. (2) şi clauzele 9, 10 şi 11, în cazul în care exportatorul de date a dispărut sau a încetat sa existe.Părţile nu se opun ca persoanele vizate să fie reprezentate, la cerere, de o asociaţie sau de alte persoane, dacă legea permite.Clauza 4: Obligaţiile exportatorului de dateExportatorul de date garantează ca:a) prelucrarea, inclusiv transferul datelor cu caracter personal, au fost şi vor fi efectuate în continuare potrivit prevederilor legale privind protecţia datelor personale şi ca acestea au fost notificate autorităţii de supraveghere, dacă este cazul; … b) importatorul de date a fost şi va fi instruit pe parcursul prelucrării datelor personale transferate, pentru a prelucra datele numai pe seama exportatorului de date şi în conformitate cu prevederile legale şi cu prezentele clauze contractuale; … c) importatorul de date prezintă suficiente garanţii pentru respectarea măsurilor de securitate tehnice şi organizatorice menţionate în Anexa nr. 2 la aceste clauze contractuale; … d) măsurile de securitate adoptate sunt corespunzătoare pentru protejarea datelor personale împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvaluirii sau accesului neautorizat, în special dacă prelucrarea respectiva comporta transmisii de date în cadrul unei reţele, precum şi împotriva oricărei alte forme de prelucrare ilegala şi ca aceste măsuri asigura un nivel de securitate corespunzător riscurilor prezentate de prelucrare şi de natura datelor care trebuie protejate, ţinând cont de progresul tehnic şi de costurile de implementare; … e) va asigura respectarea măsurilor de securitate; … f) în cazul în care transferul implica categorii speciale de date, persoana vizata a fost informată sau va fi informată anterior transferului ca date pot fi transmise către un stat care nu asigura un nivel de protecţie cel puţin egal cu cel oferit de legea română; … g) va inainta notificarea primită de la importatorul de date conform clauzei 5 lit. b) autorităţii de supraveghere, în cazul în care decide sa continue transferul sau sa revoce suspendarea; … h) va pune la dispoziţie persoanelor vizate, la cerere, o copie a prezentelor clauze, cu excepţia Anexei nr. 2 care va fi înlocuită cu o descriere sumară a măsurilor de securitate. … Clauza 5: Obligaţii ale importatorului de dateImportatorul de date garantează ca:a) va prelucra datele personale numai pe seama exportatorului de date şi în conformitate cu instrucţiunile primite şi cu prezentele clauze contractuale; în cazul în care nu poate îndeplini aceasta obligaţie, din orice motiv, va informa de îndată pe exportatorul de date, caz în care acesta are dreptul sa suspende transferul şi/sau sa înceteze contractul; … b) legislaţia ce îi este aplicabilă nu îl împiedica să se conformeze instrucţiunilor exportatorului de date şi să îşi îndeplinească obligaţiile decurgând din prezentele clauze contractuale şi ca, în cazul unor modificări legislative care ar fi posibil să aibă un efect negativ asupra garanţiilor şi obligaţiilor prevăzute de prezentele clauze contractuale, le va notifica de îndată exportatorului de date, caz în care exportatorul de date are dreptul sa suspende transferul de date şi/sau sa înceteze contractul; … c) a implementat măsurile de securitate tehnice şi organizatorice menţionate în Anexa nr. 2, înainte de a începe prelucrarea datelor transferate; … d) va informa de îndată exportatorul de date în legătură cu: … 1. orice solicitare de dezvaluire obligatorie a datelor personale, adresată de o autoritate publică, cu excepţia cazului în care se interzice informarea, cum ar fi în cazul activităţilor de cercetare şi urmărire penală supuse obligaţiei de confidenţialitate;2. orice acces accidental sau neautorizat;3. orice solicitare primită direct de la persoanele vizate cărora nu li s-a răspuns, cu excepţia cazului în care a fost autorizat în acest sens;e) va soluţiona de îndată şi în mod corespunzător toate cererile exportatorului de date referitoare la prelucrarea datelor personale transferate şi va respecta dispoziţiile date de autoritatea de supraveghere în privinta prelucrării datelor personale transferate; … f) la cererea exportatorului de date, va supune mijloacele sale de prelucrare controlului acestuia sau al unui organ de control compus din membri independenţi, cu calificarile profesionale necesare, supuşi obligaţiei de confidenţialitate, aleşi de exportatorul de date cu acordul autorităţii de supraveghere, dacă este cazul; … g) va pune la dispoziţia persoanelor vizate, la cererea acestora, o copie a prezentelor clauzelor contractuale, cu excepţia Anexei nr. 2 care va fi înlocuită de o descriere sumară a măsurilor de securitate în acele cazuri în care persoanele vizate nu au posibilitatea obţinerii unei copii de la exportatorul de date. … Clauza 6: Răspunderea părţilor(1) Persoana vizata care a suferit un prejudiciu ca urmare a oricărei încălcări a prevederilor menţionate în clauza 3 are dreptul sa primească de la exportatorul de date compensaţii pentru prejudiciul suferit. … (2) Dacă persoana vizata nu poate trage la răspundere exportatorul de date, conform alin. (1), ca urmare a încălcării obligaţiilor importatorului de date prevăzute în clauza 3, întrucât exportatorul de date a dispărut, a încetat sa existe sau a devenit insolvabil, persoana vizata se poate indrepta împotriva importatorului de date. … (3) Dacă o parte este trasa la răspundere, pentru încălcarea unei prevederi de către cealaltă parte, prima parte va fi compensata de aceasta din urma pentru orice cheltuieli, pagube, costuri sau pierderi, în limita prejudiciului produs. … Compensarea se acordă cu îndeplinirea următoarelor condiţii cumulative:a) exportatorul de date a notificat de îndată importatorul de date în legătură cu plângerea adresată; … b) s-a recunoscut dreptul importatorului de date de a coopera cu exportatorul de date, în vederea soluţionării plângerii.*) … –––-Notă …
*) Alineatul (3) este optional.Clauza 7: Medierea şi Jurisdicţia(1) În cazul în care persoana vizata invoca prevederea terţului beneficiar împotriva importatorului de date şi/sau solicita despăgubiri pentru prejudiciul cauzat, conform prezentelor clauze, importatorul de date va accepta opţiunea persoanei vizate: … a) sa supună litigiul medierii unei persoane independente sau autorităţii de supraveghere, dacă este cazul; … b) sa supună litigiul instanţelor din România. … (2) Prin acordul dintre persoana vizata şi importatorul de date litigiul poate fi supus unui organ de arbitraj, dacă importatorul de date are sediul într-un stat care a ratificat Convenţia de la New York privind executarea hotărârilor arbitrale. … (3) Aplicarea alin. (1) şi (2) nu aduce atingere dreptului persoanelor vizate de a fi despagubite, potrivit altor prevederi legale naţionale sau internaţionale. … Clauza 8: Cooperarea cu autorităţile de supraveghere(1) Exportatorul de date va depune la autoritatea de supraveghere o copie a prezentelor clauze contractuale, dacă legea prevede astfel sau la solicitarea autorităţii de supraveghere. … (2) Autoritatea de supraveghere are dreptul de a efectua un control al importatorului de date, în aceleaşi condiţii aplicabile, potrivit legii, exportatorului de date. … Clauza 9: Legea contractuluiClauzelor contractuale li se aplică legea română, respectiv…………………Clauza 10: Modificarea contractuluiPărţile se obliga sa nu modifice prezentele clauze contractuale.Clauza 11: Obligaţiile importatorului de date după încetarea prelucrării datelor personale(1) La încetarea prelucrării datelor personale, importatorul de date va returna exportatorului de date, conform opţiunii acestuia, toate datele personale transferate şi copiile acestora sau le va distruge, operaţiuni care vor fi certificate exportatorului de date, cu excepţia cazului în care legislaţia importatorului de date nu îi permite returnarea sau distrugerea parţială sau integrală a datelor personale transferate. În acest caz, importatorul de date va garanta respectarea obligaţiei de confidenţialitate a datelor personale transferate şi faptul că nu va prelucra în continuare aceste date. … (2) Importatorul de date garantează ca, la cererea exportatorului de date şi/sau a autorităţii de supraveghere, va permite efectuarea unui control al mijloacele sale de prelucrare, pentru verificarea îndeplinirii obligaţiilor prevăzute la alin. (1). … În numele exportatorului de date:Numele (scris integral): ………………………………Funcţia ……………………………………………..Adresa …………………………………………….Alte informaţii necesare pentru a impune obligativitatea contractului (dacă este cazul): ……………………………Semnatura …………( )(ştampila)În numele importatorului de date:Numele (scris integral): ………………………………Funcţia ……………………………………………..Adresa …………………………………………….Alte informaţii necesare pentru a impune obligativitatea contractului (dacă este cazul): ……………………………Semnatura …………( )(ştampila) +
Anexa 1––-la clauzele contractuale standard–––––––––––INFORMAŢIIprivind transferul datelor cu caracter personalDate de identificare:Exportatorul de date: Exportatorul de date efectuează (se menţionează pe scurt activităţile relevante pentru transfer):…………………………………………….…………………………………………….…………………………………………….Importatorul de date:Importatorul de date efectuează (se menţionează pe scurt activităţile relevante pentru transfer):…………………………………………….…………………………………………….…………………………………………….…………………………………………….Persoanele vizate:Datele cu caracter personal transferate se referă la următoarele categorii de persoane vizate:…………………………………………….…………………………………………….…………………………………………….…………………………………………….Scopurile transferului:Transferul este necesar în următoarele scopuri:…………………………………………….…………………………………………….…………………………………………….…………………………………………….Operaţiuni de prelucrare:Datele cu caracter personal transferate vor fi prelucrate prin următoarele operaţiuni principale:…………………………………………….…………………………………………….…………………………………………….Categorii de date:Datele cu caracter personal transferate fac parte din următoarele categorii de date:…………………………………………….…………………………………………….…………………………………………….…………………………………………….Categorii speciale de date (dacă este cazul):Datele cu caracter personal transferate fac parte din următoarele categorii de date cu caracter special:…………………………………………….…………………………………………….…………………………………………….Durata stocării:Datele cu caracter personal transferate pot fi stocate doar până la:…………………………………………….(luni/ani)EXPORTATORUL DE DATE IMPORTATORUL DE DATE(numele) ………………….. (numele) ……………………(semnătura autorizată) ……… (semnătura autorizată) ……….Notă: Prezentul apendix este parte integrantă a clauzelor contractuale şi trebuie completat şi semnat de părţi. +
Anexa 2––-la clauzele contractuale standard–––––––––––MĂSURILE BE SECURITATE TEHNICE ŞI ORGANIZATORICE,IMPLEMENTATE DE IMPORTATORUL DE DATEDescrierea măsurilor de securitate tehnice şi organizatorice, implementate de importatorul de date în conformitate cu clauzele 4 lit. d) şi 5 lit. c) (se poate anexa un alt document sau prevederile legale aplicabile):…………………………………………….…………………………………………….…………………………………………….Notă: Prezentul apendix este parte integrantă a clauzelor contractuale şi trebuie completat şi semnat de părţi.––-
