Capitolul v - Transferurile de date cu caracter personal către ţări terţe sau organizaţii internaţionale - Directiva 680/27-apr-2016 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor şi privind libera circulaţie a acestor date şi de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului
Acte UE
Jurnalul Oficial 119L
În vigoare Versiune de la: 23 Mai 2018
CAPITOLUL V:Transferurile de date cu caracter personal către ţări terţe sau organizaţii internaţionale
Art. 35: Principii generale pentru transferurile de date cu caracter personal
(1)Statele membre garantează că orice transfer de date cu caracter personal de către autorităţile competente, care sunt în curs de prelucrare sau care sunt destinate prelucrării după transferul către o ţară terţă sau către o organizaţie internaţională, inclusiv transferurilor ulterioare către o altă ţară terţă sau organizaţie internaţională, poate avea loc numai sub rezerva respectării altor dispoziţii ale prezentei directive, în cazul în care sunt îndeplinite condiţiile prevăzute în prezentul capitol, şi anume:
a)transferul este necesar în scopurile stabilite la articolul 1 alineatul (1);
b)datele cu caracter personal sunt transferate unui operator într-o ţară terţă sau unei organizaţii internaţionale care este o autoritate competentă în sensul articolului 1 alineatul (1);
c)în cazul în care datele cu caracter personal sunt transmise sau puse la dispoziţie din alt stat membru, acel stat membru a autorizat în prealabil efectuarea transferului, în conformitate cu dreptul său intern;
d)Comisia a adoptat o decizie privind caracterul adecvat al nivelului de protecţie, în temeiul articolului 36, sau, în absenţa unei astfel de decizii, există sau se oferă garanţii adecvate în temeiul articolului 37 sau, în absenţa unei decizii privind caracterul adecvat al nivelului de protecţie în conformitate cu articolul 36 sau a unor garanţii adecvate în conformitate cu articolul 37, se aplică derogări pentru situaţii speciale în conformitate cu articolul 38; şi
e)în cazul unui transfer ulterior către o altă ţară terţă sau organizaţie internaţională, autoritatea competentă care a realizat transferul iniţial sau o altă autoritate competentă din acelaşi stat membru autorizează transferul ulterior, ţinând seama în mod corespunzător de toţi factorii relevanţi, inclusiv de gravitatea infracţiunii, de scopul în care datele cu caracter personal au fost transferate iniţial şi de nivelul de protecţie a datelor cu caracter personal din ţara terţă sau din organizaţia internaţională către care sunt transferate ulterior datele cu caracter personal.
(2)Statele membre garantează că transferurile fără autorizarea prealabilă de către un alt stat membru, în conformitate cu litera (c) de la alineatul (1), sunt permise numai dacă transferul de date cu caracter personal este necesar pentru prevenirea unei ameninţări imediate şi grave la adresa securităţii publice a unui stat membru sau a unei ţări terţe sau a intereselor fundamentale ale unui stat membru, iar autorizarea prealabilă nu poate fi obţinută în timp util. Autoritatea responsabilă pentru acordarea unei autorizări prealabile este informată fără întârziere.
(3)Toate dispoziţiile din prezentul capitol se aplică pentru a se asigura că nivelul de protecţie a persoanelor fizice garantat prin prezenta directivă nu este subminat.
Art. 36: Transferuri în baza unei decizii privind caracterul adecvat al nivelului de protecţie
(1)Statele membre garantează că transferul de date cu caracter personal către o ţară terţă sau o organizaţie internaţională se poate realiza atunci când Comisia a decis că ţara terţă, un teritoriu ori unul sau mai multe sectoare determinate din acea ţară terţă sau organizaţia internaţională în cauză asigură un nivel de protecţie adecvat. Transferurile realizate în aceste condiţii nu necesită autorizări speciale.
(2)Atunci când evaluează caracterul adecvat al nivelului de protecţie, Comisia ţine seama, în special, de următoarele elemente:
a)statul de drept, respectarea drepturilor omului şi a libertăţilor fundamentale, legislaţia relevantă, atât generală, cât şi sectorială, inclusiv privind securitatea publică, apărarea, securitatea naţională şi dreptul penal şi accesul autorităţilor publice la datele cu caracter personal, precum şi punerea în aplicare a acestei legislaţii, a normelor de protecţie a datelor, a normelor profesionale şi a măsurilor de securitate, inclusiv a normelor privind transferul ulterior de date cu caracter personal către o altă ţară terţă sau organizaţie internaţională, care sunt respectate în ţara respectivă sau de organizaţia internaţională respectivă, jurisprudenţa, precum şi drepturile efective şi opozabile ale persoanelor vizate şi reparaţii efective pe cale administrativă şi judiciară pentru persoanele vizate ale căror date cu caracter personal sunt transferate;
b)existenţa şi funcţionarea efectivă a uneia sau a mai multor autorităţi de supraveghere independente în ţara terţă sau sub incidenţa cărora intră o organizaţie internaţională, cu responsabilitate pentru asigurarea şi impunerea respectării normelor de protecţie a datelor, incluzând competenţe adecvate de sancţionare, pentru acordarea de asistenţă şi consiliere persoanelor vizate cu privire la exercitarea drepturilor acestora şi pentru cooperarea cu autorităţile de supraveghere din statele membre; şi
c)angajamentele internaţionale la care a aderat ţara terţă sau organizaţia internaţională în cauză sau alte obligaţii care decurg din convenţii sau instrumente cu caracter juridic obligatoriu, precum şi participarea acesteia la sisteme multilaterale sau regionale, mai ales în domeniul protecţiei datelor cu caracter personal.
(3)Comisia, după ce evaluează caracterul adecvat al nivelului de protecţie, poate decide, prin intermediul unui act de punere în aplicare, că o ţară terţă, un teritoriu sau unul sau mai multe sectoare determinate dintr-o ţară terţă sau o organizaţie internaţională asigură un nivel de protecţie adecvat în sensul alineatului (2) din prezentul articol. Actul de punere în aplicare prevede un mecanism de revizuire periodică, cel puţin o dată la patru ani, care ia în considerare toate evoluţiile relevante din ţara terţă sau organizaţia internaţională. Actul de punere în aplicare menţionează aplicarea sa teritorială şi sectorială şi, după caz, identifică autoritatea sau autorităţile de supraveghere menţionate la alineatul (2) litera (b) din prezentul articol. Actul de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 58 alineatul (2).
(4)Comisia monitorizează în permanenţă evoluţiile din ţările terţe şi organizaţiile internaţionale care ar putea afecta funcţionarea deciziilor adoptate în conformitate cu alineatul (3).
(5)În cazul în care din informaţiile disponibile, în special în urma revizuirii menţionate la alineatul (3) din prezentul articol, reiese că o ţară terţă, un teritoriu sau un sector determinat dintr-o ţară terţă sau o organizaţie internaţională nu mai asigură un nivel de protecţie adecvat în sensul alineatului (2) din prezentul articol, Comisia, în măsura în care este necesar, abrogă, modifică sau suspendă, prin intermediul unor acte de punere în aplicare, decizia menţionată la alineatul (3) din prezentul articol fără efect retroactiv. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menţionată la articolul 58 alineatul (2).
Din motive imperioase de urgenţă justificate corespunzător, Comisia adoptă acte de punere în aplicare imediat aplicabile în conformitate cu procedura menţionată la articolul 58 alineatul (3).
(6)Comisia iniţiază consultări cu ţara terţă sau organizaţia internaţională în vederea remedierii situaţiei care a stat la baza deciziei luate în conformitate cu alineatul (5).
(7)Statele membre garantează că o decizie luată în temeiul alineatului (5) nu aduce atingere transferurilor de date cu caracter personal către ţara terţă, către teritoriul sau către unul sau mai multe sectoare determinate din acea ţară terţă sau către organizaţia internaţională în cauză în conformitate cu articolele 37 şi 38.
(8)Comisia publică în Jurnalul Oficial al Uniunii Europene şi pe site-ul său web o listă a ţărilor terţe, a teritoriilor şi sectoarelor determinate din ţările terţe şi a organizaţiilor internaţionale în cazul cărora a decis că nivelul de protecţie adecvat este asigurat sau nu mai este asigurat.
Art. 37: Transferuri sub rezerva unor garanţii adecvate
(1)În absenţa unei decizii luate în conformitate cu articolul 36 alineatul (3), statele membre garantează că transferul de date cu caracter personal către o ţară terţă sau către o organizaţie internaţională poate avea loc atunci când:
a)s-au prezentat garanţii adecvate în ceea ce priveşte protecţia datelor cu caracter personal printr-un act cu caracter juridic obligatoriu; sau
b)operatorul a evaluat toate circumstanţele aferente transferului de date cu caracter personal şi a concluzionat că există garanţii adecvate în ceea ce priveşte protecţia datelor cu caracter personal.
(2)Operatorul informează autoritatea de supraveghere cu privire la categoriile de transferuri în temeiul alineatului (1) litera (b).
(3)Atunci când un transfer se întemeiază pe alineatul (1) litera (b), un astfel de transfer se documentează, iar documentaţia se pune la dispoziţia autorităţii de supraveghere la cerere, incluzând data şi ora transferului, informaţii cu privire la autoritatea competentă destinatară, justificarea transferului şi datele cu caracter personal transferate.
Art. 38: Derogări pentru situaţii specifice
(1)În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie în conformitate cu articolul 37 sau a unor garanţii adecvate în conformitate cu articolul 36, statele membre garantează că un transfer sau o categorie de transferuri de date cu caracter personal către o ţară terţă sau către o organizaţie internaţională poate avea loc numai în condiţiile în care transferul este necesar:
a)pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane;
b)pentru protejarea intereselor legitime ale persoanei vizate, în cazul în care dreptul statului membru care transferă datele cu caracter personal prevede acest lucru;
c)pentru prevenirea unei ameninţări imediate şi grave la adresa securităţii publice a unui stat membru sau a unei ţări terţe;
d)în cazuri individuale în scopurile stabilite la articolul 1 alineatul (1); sau
e)într-un caz individual pentru constatarea, exercitarea sau apărarea unui drept în instanţă privind scopurile stabilite la articolul 1 alineatul (1).
(2)Datele cu caracter personal nu sunt transferate dacă autoritatea competentă care transferă datele stabileşte că drepturile şi libertăţile fundamentale ale persoanei vizate în cauză prevalează asupra interesului public în cazul transferului prevăzut la alineatul (1) literele (d) şi (e).
(3)Atunci când un transfer se întemeiază pe alineatul (1), un astfel de transfer trebuie să fie documentat, iar documentaţia trebuie pusă la dispoziţia autorităţii de supraveghere la cerere, incluzând data şi ora transferului, informaţii cu privire la autoritatea competentă destinatară, justificarea transferului şi datele cu caracter personal transferate.
Art. 39: Transferurile de date cu caracter personal către destinatari stabiliţi în ţări terţe
(1)Prin derogare de la articolul 35 alineatul (1) litera (b) şi fără a aduce atingere niciunui acord internaţional menţionat la alineatul (2) din prezentul articol, dreptul Uniunii sau dreptul intern poate să prevadă că autorităţile competente menţionate la articolul 3 punctul 7 litera (a) pot, în cazuri individuale şi specifice, transfera date cu caracter personal direct destinatarilor stabiliţi în ţări terţe, dar numai în cazul în care celelalte dispoziţii ale prezentei directive sunt respectate şi dacă sunt îndeplinite următoarele condiţii:
a)transferul este strict necesar pentru executarea unei sarcini de către autoritatea competentă care transferă datele, astfel cum este prevăzut de dreptul Uniunii sau de dreptul intern în scopurile prevăzute la articolul 1 alineatul (1);
b)autoritatea competentă care transferă datele stabileşte că niciunul dintre drepturile şi libertăţile fundamentale ale persoanei vizate în cauză nu prevalează în faţa interesului public care necesită transferul în cazul respectiv;
c)autoritatea competentă care transferă datele consideră că transferul către o autoritate din ţara terţă, care este competentă în scopurile menţionate la articolul 1 alineatul (1), este ineficient sau necorespunzător, în special din cauză că transferul nu poate fi realizat în timp util;
d)autoritatea din ţara terţă, care este competentă în scopurile menţionate la articolul 1 alineatul (1), este informată fără întârzieri nejustificate, cu excepţia cazului în care această măsură este ineficientă sau necorespunzătoare; şi
e)autoritatea competentă care transferă datele informează destinatarul cu privire la scopul sau scopurile determinate exclusive în care aceasta din urmă poate să prelucreze datele cu caracter personal, cu condiţia ca o astfel de prelucrare să fie necesară.
(2)Un acord internaţional menţionat la alineatul (1) este orice acord internaţional bilateral sau multilateral în vigoare între statele membre şi ţări terţe în domeniul cooperării judiciare în materie penală şi al cooperării poliţieneşti.
(3)Autoritatea competentă care transferă datele informează autoritatea de supraveghere cu privire la transferurile efectuate în temeiul prezentului articol.
(4)Atunci când un transfer se întemeiază pe alineatul (1), un astfel de transfer trebuie să fie documentat.
Art. 40: Cooperarea internaţională în domeniul protecţiei datelor cu caracter personal
În ceea ce priveşte ţările terţe şi organizaţiile internaţionale, Comisia şi statele membre iau măsurile corespunzătoare pentru:
(a)elaborarea de mecanisme de cooperare internaţională pentru a facilita asigurarea efectivă a respectării legislaţiei privind protecţia datelor cu caracter personal;
(b)acordarea de asistenţă internaţională reciprocă în asigurarea respectării legislaţiei din domeniul protecţiei datelor cu caracter personal, inclusiv prin notificări, transferul reclamaţiilor, asistenţă în anchete şi schimb de informaţii, sub rezerva unor garanţii adecvate pentru protecţia datelor cu caracter personal şi a altor drepturi şi libertăţi fundamentale;
(c)implicarea părţilor interesate relevante în discuţiile şi activităţile care au ca scop consolidarea cooperării internaţionale în vederea asigurării respectării legislaţiei din domeniul protecţiei datelor cu caracter personal;
(d)promovarea schimburilor de legislaţie şi practici în materie de protecţie a datelor cu caracter personal şi a documentării cu privire la acestea, inclusiv cu privire la conflictele de jurisdicţie cu ţările terţe.