Capitolul v - TRANSFERURILE DE DATE CU CARACTER PERSONAL CĂTRE ŢĂRI TERŢE SAU ORGANIZAŢII INTERNAŢIONALE - Regulamentul 1725/23-oct-2018 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către instituţiile, organele, oficiile şi agenţiile Uniunii şi privind libera circulaţie a acestor date şi de abrogare a Regulamentului (Ce) nr. 45/2001 şi a Deciziei nr. 1247/2002/CE
Acte UE
Jurnalul Oficial 295L
În vigoare Versiune de la: 21 Noiembrie 2018
CAPITOLUL V:TRANSFERURILE DE DATE CU CARACTER PERSONAL CĂTRE ŢĂRI TERŢE SAU ORGANIZAŢII INTERNAŢIONALE
Art. 46: Principiul general al transferurilor
Orice date cu caracter personal care fac obiectul prelucrării sau care urmează a fi prelucrate după ce sunt transferate într-o ţară terţă sau către o organizaţie internaţională pot fi transferate doar dacă, sub rezerva celorlalte dispoziţii ale prezentului regulament, condiţiile prevăzute în prezentul capitol sunt respectate de operator şi de persoana împuternicită de operator, inclusiv în ceea ce priveşte transferurile ulterioare de date cu caracter personal din ţara terţă sau de la organizaţia internaţională către o altă ţară terţă sau către o altă organizaţie internaţională. Toate dispoziţiile din prezentul capitol se aplică pentru a se asigura că nivelul de protecţie a persoanelor fizice garantat prin prezentul regulament nu este subminat.
Art. 47: Transferuri în temeiul unei decizii privind caracterul adecvat al nivelului de protecţie
(1)Transferul de date cu caracter personal către o ţară terţă sau o organizaţie internaţională se poate realiza atunci când Comisia a decis, în temeiul articolului 45 alineatul (3) din Regulamentul (UE) 2016/679 sau al articolului 36 alineatul (3) din Directiva (UE) 2016/680, că ţara terţă, un teritoriu ori unul sau mai multe sectoare specificate din acea ţară terţă sau organizaţia internaţională în cauză asigură un nivel de protecţie adecvat, şi atunci când datele cu caracter personal sunt transferate exclusiv pentru a permite îndeplinirea sarcinilor care sunt de competenţa operatorului.
(2)Instituţiile şi organele Uniunii informează Comisia şi Autoritatea Europeană pentru Protecţia Datelor despre situaţiile în care consideră că o ţară terţă, un teritoriu sau unul sau mai multe sectoare specificate dintr-o ţară terţă sau o organizaţie internaţională în cauză nu asigură un nivel adecvat de protecţie în sensul alineatului (1).
(3)Instituţiile şi organele Uniunii iau măsurile necesare pentru a se conforma deciziilor luate de către Comisie, care hotărăşte, în temeiul articolului 45 alineatul (3) sau (5) din Regulamentul (UE) 2016/679 sau în temeiul articolului 36 alineatul (3) sau (5) din Directiva (UE) 2016/680, dacă o ţară terţă, un teritoriu sau unul sau mai multe sectoare specificate dintr-o ţară terţă sau o organizaţie internaţională asigură sau nu mai asigură un nivel adecvat de protecţie.
Art. 48: Transferuri în baza unor garanţii adecvate
(1)În absenţa unei decizii în temeiul articolului 45 alineatul (3) din Regulamentul (UE) 2016/679 sau al articolului 36 alineatul (3) din Directiva (UE) 2016/680, un operator sau persoana împuternicită de operator poate transfera date cu caracter personal către o ţară terţă sau o organizaţie internaţională numai dacă operatorul sau persoana împuternicită de operator a oferit garanţii adecvate şi cu condiţia să existe drepturi opozabile şi căi de atac eficiente pentru persoanele vizate.
(2)Garanţiile adecvate menţionate la alineatul (1) pot fi furnizate fără să fie nevoie de vreo autorizaţie specifică din partea Autorităţii Europene pentru Protecţia Datelor, sub formele următoare:
a)printr-un instrument obligatoriu din punct de vedere juridic şi executoriu între autorităţile sau organismele publice;
b)prin clauze standard de protecţie a datelor adoptate de Comisie în conformitate cu procedura de examinare menţionată la articolul 96 alineatul (2);
c)prin clauze standard de protecţie a datelor adoptate de Autoritatea Europeană pentru Protecţia Datelor şi aprobate de Comisie în conformitate cu procedura de examinare menţionată la articolul 96 alineatul (2);
d)în cazul în care persoana împuternicită de operator nu este o instituţie sau un organ al Uniunii, prin reguli corporative obligatorii, coduri de conduită sau mecanisme de certificare, în conformitate cu articolul 46 alineatul (2) literele (b), (e) şi (f) din Regulamentul (UE) 2016/679.
(3)Sub rezerva autorizării din partea Autorităţii Europene pentru Protecţia Datelor, garanţiile adecvate menţionate la alineatul (1) pot fi furnizate, de asemenea, în special, prin:
a)clauze contractuale între operator sau persoana împuternicită de operator şi operatorul, persoana împuternicită de operator sau destinatarul datelor cu caracter personal din ţara terţă sau organizaţia internaţională; sau
b)dispoziţii care urmează să fie incluse în acordurile administrative dintre autorităţile sau organismele publice, care includ drepturi opozabile şi efective pentru persoanele vizate.
(4)Autorizaţiile acordate de Autoritatea Europeană pentru Protecţia Datelor în temeiul articolului 9 alineatul (7) din Regulamentul (CE) nr. 45/2001 sunt valabile până la data la care sunt modificate, înlocuite sau abrogate, dacă este necesar, de Autoritatea Europeană pentru Protecţia Datelor.
(5)Instituţiile şi organele Uniunii informează Autoritatea Europeană Pentru Protecţia Datelor despre categoriile de cazuri în care a fost aplicat prezentul articol.
Art. 49: Transferurile sau divulgările de informaţii neautorizate de dreptul Uniunii
Orice hotărâre a unei instanţe sau a unui tribunal şi orice decizie a unei autorităţi administrative a unei ţări terţe care impun unui operator sau persoanei împuternicite de operator să transfere sau să divulge date cu caracter personal poate fi recunoscută sau executată în orice fel numai dacă se bazează pe un acord internaţional, cum ar fi un tratat de asistenţă judiciară reciprocă în vigoare între ţara terţă solicitantă şi Uniune, fără a se aduce atingere altor motive de transfer în temeiul prezentului capitol.
Art. 50: Derogări pentru situaţii specifice
(1)În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie în conformitate cu articolul 45 alineatul (3) din Regulamentul (UE) 2016/679 sau în conformitate cu articolul 36 alineatul (3) din Directiva (UE) 2016/680 sau a unor garanţii adecvate în conformitate cu articolul 48 din prezentul regulament, un transfer sau o serie de transferuri de date cu caracter personal către o ţară terţă sau o organizaţie internaţională are loc numai în condiţiile în care:
a)persoana vizată şi-a exprimat în mod explicit acordul cu privire la transferul propus, după ce a fost informată asupra posibilelor riscuri pe care astfel de transferuri le pot implica pentru persoana vizată ca urmare a lipsei unei decizii privind caracterul adecvat al nivelului de protecţie şi a unor garanţii adecvate;
b)transferul este necesar pentru executarea unui contract între persoana vizată şi operator sau pentru aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate;
c)transferul este necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator şi o altă persoană fizică sau juridică;
d)transferul este necesar din considerente importante de interes public;
e)transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în instanţă;
f)transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altor persoane, atunci când persoana vizată nu are capacitatea fizică sau juridică de a-şi exprima acordul; sau
g)transferul este efectuat dintr-un registru care, în conformitate cu dreptul Uniunii, are rolul de a oferi informaţii publicului şi care este deschis spre consultare fie publicului în general, fie oricărei persoane care justifică un interes legitim, dar numai în măsura în care condiţiile stabilite în dreptul Uniunii pentru consultare sunt îndeplinite pentru fiecare caz în parte.
(2)Literele (a), (b) şi (c) de la alineatul (1) nu se aplică activităţilor desfăşurate de instituţii şi organe ale Uniunii în exercitarea competenţelor lor publice.
(3)Interesul public menţionat la alineatul (1) litera (d) este recunoscut în dreptul Uniunii.
(4)Un transfer în temeiul alineatului (1) litera (g) nu implică totalitatea datelor cu caracter personal şi nici totalitatea categoriilor de date cu caracter personal cuprinse în registru, cu excepţia cazului în care este autorizat de dreptul Uniunii. Atunci când registrul urmează a fi consultat de către persoane care au un interes legitim, transferul se efectuează numai la cererea persoanelor respective sau în cazul în care acestea vor fi destinatarii.
(5)În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie, dreptul Uniunii poate, din considerente importante de interes public, să stabilească în mod expres limite asupra transferului unor categorii specifice de date cu caracter personal către o ţară terţă sau o organizaţie internaţională.
(6)Instituţiile şi organele Uniunii informează Autoritatea Europeană Pentru Protecţia Datelor despre categoriile de cazuri în care a fost aplicat prezentul articol.
Art. 51: Cooperarea internaţională în domeniul protecţiei datelor cu caracter personal
În ceea ce priveşte ţările terţe şi organizaţiile internaţionale, Autoritatea Europeană pentru Protecţia Datelor, în cooperare cu Comisia şi cu Comitetul european pentru protecţia datelor, ia măsurile corespunzătoare pentru:
(a)elaborarea de mecanisme de cooperare internaţională pentru a facilita asigurarea aplicării efective a legislaţiei privind protecţia datelor cu caracter personal;
(b)acordarea de asistenţă internaţională reciprocă în asigurarea aplicării legislaţiei din domeniul protecţiei datelor cu caracter personal, inclusiv prin notificare, transferul plângerilor, asistenţă în investigaţii şi schimb de informaţii, sub rezerva unor garanţii adecvate pentru protecţia datelor cu caracter personal şi a altor drepturi şi libertăţi fundamentale;
(c)implicarea părţilor interesate relevante în discuţiile şi activităţile care au ca scop intensificarea cooperării internaţionale în domeniul aplicării legislaţiei privind protecţia datelor cu caracter personal;
(d)promovarea schimbului reciproc şi a documentaţiei cu privire la legislaţia şi practicile în materie de protecţie a datelor cu caracter personal, inclusiv în ceea ce priveşte conflictele jurisdicţionale cu ţările terţe.