DECIZIE Nr.
167 din 27 noiembrie 2006
privind aprobarea Clauzelor
contractuale standard in cazul transferurilor de date cu caracter personal
catre un imputernicit stabilit intr-un stat a carui legislatie nu prevede un
nivel de protectie cel putin egal cu cel oferit de legea romana
ACT EMIS DE:
AUTORITATEA NATIONALA DE SUPRAVEGHERE A PRELUCRARII DATELOR CU CARACTER
PERSONAL
ACT PUBLICAT IN:
MONITORUL OFICIAL NR. 6 din 4 ianuarie 2007
Având în vedere prevederile art. 3 alin. (5) şi (6) şi
ale art. 10 lit. b), c) şi d) din Legea nr. 102/2005 privind înfiinţarea,
organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării
Datelor cu Caracter Personal, cu modificările şi completările ulterioare,
având în vedere prevederile art. 6 alin. (2) lit. b) din
Regulamentul de organizare şi funcţionare a Autorităţii Naţionale de
Supraveghere a Prelucrării Datelor cu Caracter Personal, aprobat prin Hotărârea
Biroului Permanent al Senatului nr. 16/2005,
în aplicarea dispoziţiilor art. 29 alin. (4) din Legea
nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu
caracter personal şi libera circulaţie a acestor date, cu modificările şi
completările ulterioare, conform cărora Autoritatea Naţională de Supraveghere a
Prelucrării Datelor cu Caracter Personal, în calitate de autoritate de
supraveghere, poate autoriza transferul de date cu caracter personal către un
stat a cărui legislaţie nu prevede un nivel de protecţie cel puţin egal cu cel
oferit de legea română, atunci când operatorul oferă garanţii suficiente cu
privire la protecţia drepturilor fundamentale ale persoanelor, garanţii care
trebuie să fie stabilite prin contracte încheiate între operatori şi persoanele
fizice sau juridice din dispoziţia cărora se efectuează transferul,
având în vedere exigenţa elaborării unor clauze
contractuale standard care să ofere garanţii suficiente cu privire la protecţia
drepturilor fundamentale ale persoanelor, în cazul transferurilor de date cu
caracter personal de la un operator stabilit în România către un împuternicit
stabilit într-un stat a cărui legislaţie nu prevede un nivel de protecţie cel
puţin egal cu cel oferit de legea română,
pentru implementarea prevederilor Directivei
Parlamentului European şi a Consiliului Uniunii Europene 95/46/CE privind
protecţia persoanelor cu privire la prelucrarea datelor personale şi la libera
circulaţie a acestor date şi ale Deciziei Comisiei Europene 2002/16/CE privind
clauzele contractuale standard pentru transferul datelor personale către
împuterniciţi stabiliţi în state terţe, conform Directivei 95/46/CE,
Autoritatea Naţională
de Supraveghere a Prelucrării Datelor cu Caracter Personal emite prezenta decizie.
Art. 1. - (1) Se aprobă Clauzele contractuale standard
în cazul transferurilor de date cu caracter personal către un împuternicit
stabilit într-un stat a cărui legislaţie nu prevede un nivel de protecţie cel
puţin egal cu cel oferit de legea română, prevăzute în anexă*).
(2) Clauzele contractuale standard prevăzute la alin.
(1) oferă garanţii suficiente cu privire la protecţia drepturilor fundamentale
ale persoanelor.
Art. 2. - (1) Prevederile prezentei decizii nu
afectează aplicarea altor prevederi legale care privesc prelucrarea datelor cu
caracter personal.
(2) Prezenta decizie se aplică transferurilor de date
cu caracter personal, realizate de către operatorii stabiliţi în România către
destinatarii stabiliţi în state din afara Uniunii Europene, care acţionează
numai ca împuterniciţi.
Art. 3. - (1) In înţelesul prezentei decizii, următorii
termeni se definesc după cum urmează:
a) categorii speciale de date sunt categoriile de date menţionate în cap. III din Legea nr. 677/2001
pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter
personal şi libera circulaţie a acestor date, cu modificările şi completările
ulterioare;
b) autoritatea de supraveghere este Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu
Caracter Personal;
c) exportator de date este
operatorul stabilit în România, care transferă date cu caracter personal;
d) importator de date este împuternicitul
stabilit într-un stat din afara Uniunii Europene, care
este de acord să primească date de la exportatorul de date, pentru a fi
prelucrate după transfer pe seama acestuia, în conformitate cu instrucţiunile
primite de la exportatorul de date şi cu obligaţiile prevăzute în clauzele
contractuale standard, şi care nu este supus unui sistem de protecţie a datelor
personale adecvat în statul de destinaţie;
e) legislaţia de protecţie
a datelor aplicabilă este Legea nr. 677/2001, cu
modificările şi completările ulterioare, care protejează drepturile şi
libertăţile fundamentale ale persoanelor fizice şi, în particular, dreptul
acestora la intimitate cu privire la prelucrarea datelor, aplicabilă în
România;
f) măsuri de securitate
tehnice şi organizatorice sunt acele măsuri care
au ca obiect protecţia datelor cu caracter personal împotriva distrugerii
accidentale sau ilegale, pierderii accidentale, alterării, divulgării sau
accesului neautorizat, în special în cazul în care prelucrarea implică
transmiterea datelor prin intermediul unei reţele, precum şi împotriva oricăror
alte forme de prelucrare ilegală.
(2) Definiţiile prevăzute la art. 3 din Legea nr.
677/2001, cu modificările şi completările ulterioare, rămân aplicabile.
Art. 4. - (1) Autoritatea Naţională de Supraveghere a
Prelucrării Datelor cu Caracter Personal poate dispune interzicerea sau
suspendarea transferului datelor cu caracter personal de către exportatorul de
date către un stat din afara Uniunii Europene, pentru a proteja drepturile
fundamentale ale persoanelor în legătură cu prelucrarea datelor lor cu caracter
personal, în următoarele cazuri:
a) legea naţională a importatorului de date îl obligă
să nu respecte clauzele contractuale standard, iar acest fapt nu este motivat
de cauze care ţin de apărarea naţională, siguranţa naţională, ordinea publică,
prevenirea, cercetarea şi reprimarea infracţiunilor, interesele economice sau
financiare importante ale statului, activităţile efectuate în îndeplinirea unor
atribuţii de autoritate publică legate de domeniile sus-menţionate, de apărarea
persoanei vizate sau a drepturilor şi libertăţilor celorlalte persoane;
b) există posibilitatea de nerespectare a clauzelor
contractuale standard, iar desfăşurarea transferului prezintă riscul
prejudicierii persoanelor vizate;
*) Anexa este reprodusă în
facsimil.
c) o autoritate competentă a stabilit că importatorul
de date nu a respectat clauzele contractuale standard.
(2) Interdicţia sau suspendarea aplicată conform alin.
(1) va fi ridicată de îndată ce au încetat motivele care au determinat luarea
acestei măsuri.
(3) In condiţiile aderării României la Uniunea
Europeană, măsurile adoptate potrivit alin. (1) şi (2) vor fi aduse la
cunoştinţa Comisiei Europene.
Art. 5. - Prezenta decizie intră în vigoare în termen
de 30 de zile de la data publicării în Monitorul Oficial al României, Partea I.
Art. 6. - Anexa face parte integrantă din prezenta
decizie.
Art. 7. - Prezenta decizie transpune Decizia Comisiei
Europene 2002/16/CE privind clauzele contractuale standard pentru transferul
datelor personale către împuterniciţi stabiliţi în
state terţe, conform Directivei 95/46/CE, publicată în Jurnalul Oficial al
Comunităţilor Europene nr. L 006 din 10 ianuarie 2002.
Preşedintele Autorităţii Naţionale de Supraveghere a
Prelucrării Datelor cu Caracter Personal,
Georgeta Basarabescu
ANEXĂ
CLAUZE CONTRACTUALE STANDARD
în cazul transferurilor de date cu caracter personal
către un împuternicit stabilit într-un stat a cărui legislaţie nu prevede un nivel de protecţie cel puţin egal cu cel oferit de
legea română
In conformitate cu art, 29 alin. (4) din Legea nr.
677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu
caracter personal şi libera circulaţie a acestor date, modificată şi
completată,
Numele sau denumirea persoanei care exportă datele..............................
Adresa....................................................
Telefon...................., fax.................,
e-mail...............
Alte informaţii necesare pentru identificarea
persoanei: .............................
(exportatorul de date)
si
Numele sau denumirea persoanei care importă datele...........................
Adresa....................................................
Telefon......................, fax..................,
e-mail................
Alte informaţii necesare pentru identificarea
persoanei: ............................. (importatorul
de date),
AU CONVENIT asupra următoarelor clauze contractuale (clauze), pentru a oferi garanţii
adecvate protecţiei drepturilor şi libertăţilor fundamentale ale persoanelor,
în special a dreptului la viaţă intimă, familială şi privată, în legătură cu
transferul datelor cu caracter personal de la exportatorul de date către împuternicitul
care importă datele prevăzute în Anexa nr. 1:
Clauza 1: Definiţii
In sensul acestor clauze:
a) „date cu caracter personal" înseamnă orice informaţii referitoare la o persoană fizică
identificată sau identificabilă; o persoană identificabilă este acea persoană
care poate fi identificată, direct sau indirect, în mod particular prin
referire la un număr de identificare ori la unul sau mai mulţi factori
specifici identităţii sale fizice, fiziologice, psihice, economice sau
culturale;
b) „ categorii speciale de date " înseamnă categoriile de date menţionate la cap. III din Legea nr. 677/2001,
modificată şi completată;
c) prelucrarea datelor cu caracter personal" înseamnă orice operaţiune sau set de operaţiuni care se efectuează
asupra datelor, prin mijloace automate sau neautomate, cum ar fi colectarea,
înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea,
consultarea, utilizarea, dezvăluirea către terţi prin transmitere, diseminare
sau în orice alt mod, alăturarea ori combinarea, blocarea, ştergerea sau
distrugerea;
d) „persoana vizată" înseamnă persoana fizică ale cărei date cu caracter personal sunt
prelucrate;
e) „ exportator de date " înseamnă operatorul care transferă datele cu caracter personal:
f) "importator de date " înseamnă împuternicitul stabilit într-un stat din afara Uniunii
Europene, care este de acord să primească date de la exportatorul de date.
pentru a fi prelucrate după transfer pe seama acestuia, în conformitate cu
instrucţiunile primite de la exportatorul de date şi cu obligaţiile prevăzute
în prezentele clauze şi care nu este supus unui sistem de protecţie a datelor
personale adecvat, în statul de destinaţie;
g) „autoritate de supraveghere" înseamnă Autoritatea Naţională de Supraveghere a Prelucrării
Datelor cu Caracter Personal;
h) „legislaţia de protecţie
a datelor aplicabila" înseamnă Legea nr. 677/2001. modificată şi completată, care
protejează drepturile şi libertăţile fundamentale ale persoanelor fizice şi, în
particular, dreptul acestora la intimitate cu privire la prelucrarea datelor,
aplicabilă în România;
i) „măsuri de
securitate tehnice şi organizatorice'" înseamnă
acele măsuri care au ca obiect protecţia datelor cu caracter personal împotriva
distrugerii accidentale sau ilegale, pierderii accidentale, alterării,
divulgării sau accesului neautorizat, în special în cazul în care prelucrarea
implică transmiterea datelor prin intermediul unei reţele, precum şi împotriva
oricăror alte forme de prelucrare ilegală.
Clauza 2: Informaţii privind transferul
Informaţiile privind transferul, în particular,
categoriile speciale de date cu caracter personal, dacă este cazul, sunt
menţionate în Anexa nr. 1 care face parte integrantă din prezentele clauze
contractuale.
Clauza 3: Clauza terţului beneficiar
Persoanele vizate pot invoca împotriva exportatorului de
date prezenta clauză, clauza 4 lit. b)-h), clauza 5
lit. a)-e) şi g), clauza 6 alin. (1) şi (2), clauza 8 alin. (2) şi clauzele 9,
10 şi 11, ca terţi beneficiari.
Persoanele vizate pot invoca împotriva importatorului
de date prezenta clauză, clauza 5 lit. a)-e) şi g), clauza 6 alin. (1) şi (2),
clauza 7, clauza 8 alin. (2) şi clauzele 9, 10 şi 11, în cazul în care
exportatorul de date a dispărut sau a încetat să existe.
Părţile nu se opun ca persoanele vizate să fie
reprezentate, la cerere, de o asociaţie sau de alte persoane, dacă legea
permite.
Clauza 4: Obligaţiile exportatorului de date
Exportatorul de date garantează că:
a) prelucrarea, inclusiv transferul datelor cu caracter
personal, au fost şi vor fi efectuate în continuare potrivit prevederilor
legale privind protecţia datelor personale şi că acestea au fost notificate
autorităţii de supraveghere, dacă este cazul;
b) importatorul de date a fost şi va fi instruit pe
parcursul prelucrării datelor personale transferate, pentru a prelucra datele
numai pe seama exportatorului de date şi în conformitate cu prevederile legale
şi cu prezentele clauze contractuale;
c) importatorul de date prezintă suficiente garanţii
pentru respectarea măsurilor de securitate tehnice şi organizatorice menţionate
în Anexa nr. 2 la aceste clauze contractuale;
d) măsurile de securitate adoptate sunt
corespunzătoare pentru protejarea datelor personale împotriva distrugerii
accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului
neautorizat, în special dacă prelucrarea respectivă comportă transmisii de date
în cadrul unei reţele, precum şi împotriva oricărei alte forme de prelucrare
ilegală şi că aceste măsuri asigură un nivel de securitate corespunzător
riscurilor prezentate de prelucrare şi de natura datelor care trebuie
protejate, ţinând cont de progresul tehnic şi de costurile de implementare;
e) va asigura respectarea măsurilor de securitate;
f) în cazul în care transferul implică categorii
speciale de date, persoana vizată a fost informată sau va fi informată anterior
transferului că date pot fi transmise către un stat care nu asigură un nivel de
protecţie cel puţin egal cu cel oferit de legea română;
g) va înainta notificarea primită de la importatorul de
date conform clauzei 5 lit. b) autorităţii de supraveghere, în cazul în care
decide să continue transferul sau să revoce suspendarea;
h) va pune la dispoziţie persoanelor vizate, la cerere,
o copie a prezentelor clauze, cu excepţia Anexei nr. 2 care va fi înlocuită cu
o descriere sumară a măsurilor de securitate.
Clauza 5: Obligaţii ale importatorului de date
Importatorul de date garantează că:
a) va prelucra datele personale numai pe seama
exportatorului de date şi în conformitate cu instrucţiunile primite şi cu
prezentele clauze contractuale; în cazul în care nu poate îndeplini această
obligaţie, din orice motiv, va informa de îndată pe exportatorul de date, caz
în care acesta are dreptul să suspende transferul şi/sau să înceteze contractul:
b) legislaţia ce îi este aplicabilă nu îl împiedică
să se conformeze instrucţiunilor exportatorului de date şi să îşi îndeplinească
obligaţiile decurgând din prezentele clauze contractuale şi că, în cazul unor
modificări legislative care ar fi posibil să aibă un efect negativ asupra
garanţiilor şi obligaţiilor prevăzute de prezentele clauze contractuale, le va
notifica de îndată exportatorului de date, caz în care exportatorul de date are
dreptul să suspende transferul de date şi/sau să înceteze contractul;
c) a implementat măsurile de
securitate tehnice şi organizatorice menţionate în Anexa nr. 2, înainte de a
începe prelucrarea datelor transferate;
d) va informa de îndată exportatorul de date în
legătură cu:
1. orice solicitare de dezvăluire obligatorie a
datelor personale, adresată de o autoritate publică, cu excepţia cazului în
care se interzice informarea, cum ar fi în cazul activităţilor de cercetare şi
urmărire penală supuse obligaţiei de confidenţialitate;
2. orice acces accidental sau neautorizat;
3. orice solicitare primită
direct de la persoanele vizate cărora nu li s-a răspuns, cu excepţia cazului în
care a fost autorizat în acest sens;
e) va soluţiona de îndată şi în mod corespunzător toate
cererile exportatorului de date referitoare la prelucrarea datelor personale
transferate şi va respecta dispoziţiile date de autoritatea de supraveghere în
privinţa prelucrării datelor personale transferate;
f) la cererea exportatorului de date, va supune
mijloacele sale de prelucrare controlului acestuia sau al unui organ de control compus din membri independenţi, cu calificările
profesionale necesare, supuşi obligaţiei de confidenţialitate, aleşi de
exportatorul de date cu acordul autorităţii de supraveghere, dacă este cazul;
g) va pune la dispoziţia persoanelor vizate, la
cererea acestora, o copie a prezentelor clauzelor contractuale, cu excepţia
Anexei nr. 2 care va fi înlocuită de o descriere sumară a măsurilor de
securitate în acele cazuri în care persoanele vizate nu au posibilitatea
obţinerii unei copii de la exportatorul de date.
Clauza 6: Răspunderea părţilor
(1) Persoana vizată care a
suferit un prejudiciu ca urmare a oricărei încălcări a prevederilor menţionate în clauza 3 are
dreptul să primească de la exportatorul de date compensaţii pentru prejudiciul
suferit.
(2) Dacă persoana vizată nu poate trage la răspundere
exportatorul de date. conform alin. (1), ca urmare a încălcării obligaţiilor
importatorului de date prevăzute în clauza 3, întrucât exportatorul de date a
dispărut, a încetat să existe sau a devenit insolvabil, persoana vizată se
poate îndrepta împotriva importatorului de date.
(3) Dacă o parte este trasă la răspundere, pentru
încălcarea unei prevederi de către cealaltă parte, prima parte va fi compensată
de aceasta din urmă pentru orice cheltuieli, pagube,
costuri sau pierderi, în limita prejudiciului produs.
Compensarea se acordă cu îndeplinirea următoarelor
condiţii cumulative:
a) exportatorul de date a notificat de îndată
importatorul de date în legătură cu plângerea adresată;
b) s-a recunoscut dreptul
importatorului de date de a coopera cu exportatorul de date, în vederea
soluţionării plângerii.*
Clauza 7: Medierea şi jurisdicţia
(1) In cazul în care persoana
vizată invocă prevederea terţului beneficiar împotriva importatorului de date
şi/sau solicită despăgubiri pentru prejudiciul cauzat, conform prezentelor
clauze, importatorul de date va accepta opţiunea persoanei vizate:
a) să supună litigiul medierii unei persoane
independente sau autorităţii de supraveghere, dacă este cazul;
b) să supună litigiul instanţelor din România.
(2) Prin acordul dintre persoana vizată şi
importatorul de date litigiul poate fî supus unui organ de arbitraj, dacă
importatorul de date are sediul într-un stat care a ratificat Convenţia de la
New York privind executarea hotărârilor arbitrale.
(3) Aplicarea alin. (1) si (2) nu aduce atingere
dreptului persoanelor vizate de a fi despăgubite, potrivit altor prevederi
legale naţionale sau internaţionale.
Clauza 8: Cooperarea cu autorităţile de supraveghere
(1) Exportatorul de date va
depune la autoritatea de supraveghere o copie a prezentelor clauze
contractuale, dacă legea prevede astfel sau la solicitarea autorităţii de
supraveghere.
(2) Autoritatea de supraveghere are dreptul de a
efectua un control al importatorului de date, în
aceleaşi condiţii aplicabile, potrivit legii, exportatorului de date.
Alineatul (3) este opţional.
Clauza 9: Legea contractului
Clauzelor contractuale li se aplică legea română,
respectiv ...........................................
Clauza 10: Modificarea contractului
Părţile se obligă să nu modifice prezentele clauze
contractuale.
Clauza 11: Obligaţiile importatorului de date după
încetarea prelucrării datelor personale
(1) La încetarea prelucrării
datelor personale, importatorul de date va returna exportatorului de date,
conform opţiunii acestuia, toate datele personale transferate şi copiile
acestora sau le va distruge, operaţiuni care vor fi certificate exportatorului
de date, cu excepţia cazului în care legislaţia importatorului de date nu îi
permite returnarea sau distrugerea parţială sau integrală a datelor personale
transferate. In acest caz, importatorul de date va garanta respectarea
obligaţiei de confidenţialitate a datelor personale transferate şi faptul că nu
va prelucra în continuare aceste date.
(2) Importatorul de date garantează că, la cererea
exportatorului de date şi/sau a autorităţii de supraveghere, va permite
efectuarea unui control al mijloacele sale de prelucrare, pentru verificarea
îndeplinirii obligaţiilor prevăzute la alin. (1).
In numele exportatorului de date:
Numele (scris integral):
...........................................................................................
Funcţia....................................................................................................................
Adresa......................................................................................................................
Alte informaţii necesare pentru a impune
obligativitatea contractului
(dacă este
cazul):.....................................................................................................
Semnătura..............................................
(ştampila)
In numele importatorului de date:
Numele (scris
integral):...........................................................................................
Funcţia.....................................................................................................................
Adresa......................................................................................................................
Alte informaţii necesare pentru a impune
obligativitatea contractului (dacă este
cazul):..................................................................................................
Semnătura.............................................
(ştampila)
ANEXA Nr. 1 la clauzele contractuale standard
INFORMAŢII
privind transferul datelor cu caracter personal
Date de identificare:
Exportatorul de date:
Exportatorul de date efectuează
(se menţionează pe scurt activităţile relevante pentru transfer):
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
Importatorul de date:
Importatorul de date efectuează (se menţionează pe
scurt activităţile relevante pentru transfer):
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
Persoanele vizate:
Datele cu caracter personal transferate se referă la
următoarele categorii de persoane vizate:
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
Scopurile transferului:
Transferul este necesar în
următoarele scopuri:
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
Operaţiuni de
prelucrare:
Datele cu caracter personal transferate vor fi
prelucrate prin următoarele operaţiuni principale:
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
Categorii de date:
Datele cu caracter personal transferate fac parte din
următoarele categorii de date:
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
Categorii speciale de date (dacă este cazul):
Datele cu caracter
personal transferate fac parte din următoarele categorii
de date cu caracter special:
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
Durata stocării:
Datele cu caracter personal transferate pot fi stocate
doar până la:
................................................................................................................................................
(luni/ani)
EXPORTATORUL DE DA TE IMPORTA
TORUL DE DA TE
(numele)................................
(numele).................................
(semnătura
autorizată)........... (semnătura
autorizată)...........
Notă: Prezentul apendix este parte integrantă a clauzelor
contractuale şi trebuie completat şi semnat de părţi.
ANEXA Nr. 2 la clauzele contractuale standard
MĂSURILE DE SECURITATE TEHNICE ŞI ORGANIZATORICE,
IMPLEMENTATE DE IMPORTATORUL DE DATE
Descrierea măsurilor de
securitate tehnice şi organizatorice, implementate de importatorul de date în
conformitate cu clauzele 4 lit. d) şi 5 lit. c) (se
poate anexa un alt document sau prevederile legale aplicabile):
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
Notă: Prezentul
apendix este parte integrantă a clauzelor contractuale şi trebuie completat şi
semnat de părţi.