Capitolul v - Transferurile de date cu caracter personal către ţări terţe sau organizaţii internaţionale - Regulamentul 679/27-apr-2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)
Acte UE
Jurnalul Oficial 119L
În vigoare Versiune de la: 23 Mai 2018
CAPITOLUL V:Transferurile de date cu caracter personal către ţări terţe sau organizaţii internaţionale
Art. 44: Principiul general al transferurilor
Orice date cu caracter personal care fac obiectul prelucrării sau care urmează a fi prelucrate după ce sunt transferate într-o ţară terţă sau către o organizaţie internaţională pot fi transferate doar dacă, sub rezerva celorlalte dispoziţii ale prezentului regulament, condiţiile prevăzute în prezentul capitol sunt respectate de operator şi de persoana împuternicită de operator, inclusiv în ceea ce priveşte transferurile ulterioare de date cu caracter personal din ţara terţă sau de la organizaţia internaţională către o altă ţară terţă sau către o altă organizaţie internaţională. Toate dispoziţiile din prezentul capitol se aplică pentru a se asigura că nivelul de protecţie a persoanelor fizice garantat prin prezentul regulament nu este subminat.
Art. 45: Transferuri în temeiul unei decizii privind caracterul adecvat al nivelului de protecţie
(1)Transferul de date cu caracter personal către o ţară terţă sau o organizaţie internaţională se poate realiza atunci când Comisia a decis că ţara terţă, un teritoriu ori unul sau mai multe sectoare specificate din acea ţară terţă sau organizaţia internaţională în cauză asigură un nivel de protecţie adecvat. Transferurile realizate în aceste condiţii nu necesită autorizări speciale.
(2)Atunci când evaluează caracterul adecvat al nivelului de protecţie, Comisia ţine seama, în special, de următoarele elemente:
a)statul de drept, respectarea drepturilor omului şi a libertăţilor fundamentale, legislaţia relevantă, atât generală, cât şi sectorială, inclusiv privind securitatea publică, apărarea, securitatea naţională şi dreptul penal, precum şi accesul autorităţilor publice la datele cu caracter personal, precum şi punerea în aplicare a acestei legislaţii, normele de protecţie a datelor, normele profesionale şi măsurile de securitate, inclusiv normele privind transferul ulterior de date cu caracter personal către o altă ţară terţă sau organizaţie internaţională, care sunt respectate în ţara terţă respectivă sau în organizaţia internaţională respectivă, jurisprudenţa, precum şi existenţa unor drepturi efective şi opozabile ale persoanelor vizate şi a unor reparaţii efective pe cale administrativă şi judiciară pentru persoanele vizate ale căror date cu caracter personal sunt transferate;
b)existenţa şi funcţionarea eficientă a uneia sau mai multor autorităţi de supraveghere independente în ţara terţă sau sub jurisdicţia cărora intră o organizaţie internaţională, cu responsabilitate pentru asigurarea şi impunerea respectării normelor de protecţie a datelor, incluzând competenţe adecvate de asigurare a respectării aplicării, pentru acordarea de asistenţă şi consiliere persoanelor vizate cu privire la exercitarea drepturilor acestora şi pentru cooperarea cu autorităţile de supraveghere din statele membre; şi
c)angajamentele internaţionale la care a aderat ţara terţă sau organizaţia internaţională în cauză sau alte obligaţii care decurg din convenţii sau instrumente obligatorii din punct de vedere juridic, precum şi din participarea acesteia la sisteme multilaterale sau regionale, mai ales în domeniul protecţiei datelor cu caracter personal.
(3)Comisia, după ce evaluează caracterul adecvat al nivelului de protecţie, poate decide, printr-un act de punere în aplicare, că o ţară terţă, un teritoriu sau unul sau mai multe sectoare specificate dintr-o ţară terţă sau o organizaţie internaţională asigură un nivel de protecţie adecvat în sensul alineatului (2) din prezentul articol. Actul de punere în aplicare prevede un mecanism de revizuire periodică, cel puţin o dată la patru ani, care ia în considerare toate evoluţiile relevante din ţara terţă sau organizaţia internaţională. Actul de punere în aplicare menţionează aplicarea geografică şi sectorială, şi, după caz, identifică autoritatea sau autorităţile de supraveghere menţionate la alineatul (2) litera (b) din prezentul articol. Actul de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 93 alineatul (2).
(4)Comisia monitorizează continuu evoluţiile din ţările terţe şi de la nivelul organizaţiilor internaţionale care ar putea afecta funcţionarea deciziilor adoptate în temeiul alineatului (3) din prezentul articol şi a deciziilor adoptate în temeiul articolului 25 alineatul (6) din Directiva 95/46/CE.
(5)În cazul în care informaţiile disponibile dezvăluie, în special în urma revizuirii menţionate la alineatul (3) din prezentul articol, că o ţară terţă, un teritoriu sau un sector specificat din acea ţară terţă sau o organizaţie internaţională nu mai asigură un nivel de protecţie adecvat în sensul alineatului (2) din prezentul articol, Comisia, dacă este necesar, abrogă, modifică sau suspendă, prin intermediul unui act de punere în aplicare, decizia menţionată la alineatul (3) din prezentul articol fără efect retroactiv. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menţionată la articolul 93 alineatul (2).
Din motive imperioase de urgenţă, Comisia adoptă acte de punere în aplicare imediat aplicabile în conformitate cu procedura menţionată la articolul 93 alineatul (3).
(6)Comisia iniţiază consultări cu ţara terţă sau organizaţia internaţională în vederea remedierii situaţiei care a stat la baza deciziei luate în conformitate cu alineatul (5).
(7)O decizie luată în temeiul alineatului (5) din prezentul articol nu aduce atingere transferurilor de date cu caracter personal către ţara terţă, un teritoriu sau unul sau mai multe sectoare specificate din acea ţară terţă sau către organizaţia internaţională în cauză în conformitate cu articolele 46-49.
(8)Comisia publică în Jurnalul Oficial al Uniunii Europene şi pe site-ul său o listă a ţărilor terţe, a teritoriilor şi sectoarelor specificate dintr-o ţară terţă şi a organizaţiilor internaţionale în cazul cărora a decis că nivelul de protecţie adecvat este asigurat sau nu mai este asigurat.
(9)Deciziile adoptate de Comisie în temeiul articolului 25 alineatul (6) din Directiva 95/46/CE rămân în vigoare până când sunt modificate, înlocuite sau abrogate de o decizie a Comisiei adoptată în conformitate cu alineatul (3) sau (5) din prezentul articol.
Art. 46: Transferuri în baza unor garanţii adecvate
(1)În absenţa unei decizii în temeiul articolului 45 alineatul (3), operatorul sau persoana împuternicită de operator poate transfera date cu caracter personal către o ţară terţă sau o organizaţie internaţională numai dacă operatorul sau persoana împuternicită de operator a oferit garanţii adecvate şi cu condiţia să existe drepturi opozabile şi căi de atac eficiente pentru persoanele vizate.
(2)Garanţiile adecvate menţionate la alineatul 1 pot fi furnizate fără să fie nevoie de nicio autorizaţie specifică din partea unei autorităţi de supraveghere, prin:
a)un instrument obligatoriu din punct de vedere juridic şi executoriu între autorităţile sau organismele publice;
b)reguli corporatiste obligatorii în conformitate cu articolul 47;
c)clauze standard de protecţie a datelor adoptate de Comisie în conformitate cu procedura de examinare menţionată la articolul 93 alineatul (2);
d)clauze standard de protecţie a datelor adoptate de o autoritate de supraveghere şi aprobate de Comisie în conformitate cu procedura de examinare menţionată la articolul 93 alineatul (2);
e)un cod de conduită aprobat în conformitate cu articolul 40, însoţit de un angajament obligatoriu şi executoriu din partea operatorului sau a persoanei împuternicite de operator din ţara terţă de a aplica garanţii adecvate, inclusiv cu privire la drepturile persoanelor vizate; sau
f)un mecanism de certificare aprobat în conformitate cu articolul 42, însoţit de un angajament obligatoriu şi executoriu din partea operatorului sau a persoanei împuternicite de operator din ţara terţă de a aplica garanţii adecvate, inclusiv cu privire la drepturile persoanelor vizate.
(3)Sub rezerva autorizării din partea autorităţii de supraveghere competente, garanţiile adecvate menţionate la alineatul (1) pot fi furnizate de asemenea, în special, prin:
a)clauze contractuale între operator sau persoana împuternicită de operator şi operatorul, persoana împuternicită de operator sau destinatarul datelor cu caracter personal din ţara terţă sau organizaţia internaţională; sau
b)dispoziţii care urmează să fie incluse în acordurile administrative dintre autorităţile sau organismele publice, care includ drepturi opozabile şi efective pentru persoanele vizate.
(4)Autoritatea de supraveghere aplică mecanismul pentru asigurarea coerenţei menţionat la articolul 63, în cazurile menţionate la alineatul (3) din prezentul articol.
(5)Autorizaţiile acordate de un stat membru sau de o autoritate de supraveghere în temeiul articolului 26 alineatul (2) din Directiva 95/46/CE sunt valabile până la data la care sunt modificate, înlocuite sau abrogate, dacă este necesar, de respectiva autoritate de supraveghere. Deciziile adoptate de Comisie în temeiul articolului 26 alineatul (4) din Directiva 95/46/CE rămân în vigoare până când sunt modificate, înlocuite sau abrogate, dacă este necesar, de o decizie a Comisiei adoptată în conformitate cu alineatul (2) din prezentul articol.
Art. 47: Reguli corporatiste obligatorii
(1)În conformitate cu mecanismul pentru asigurarea coerenţei prevăzut la articolul 63, autoritatea de supraveghere competentă aprobă reguli corporatiste obligatorii, cu condiţia ca acestea:
a)să fie obligatorii din punct de vedere juridic şi să se aplice fiecărui membru vizat al grupului de întreprinderi sau al grupului de întreprinderi implicate într-o activitate economică comună, inclusiv angajaţilor acestuia, precum şi să fie puse în aplicare de membrii în cauză;
b)să confere, în mod expres, drepturi opozabile persoanelor vizate în ceea ce priveşte prelucrarea datelor lor cu caracter personal; şi
c)să îndeplinească cerinţele prevăzute la alineatul (2).
(2)Regulile corporatiste obligatorii menţionate la alineatul (1) precizează cel puţin:
a)structura şi datele de contact ale grupului de întreprinderi sau ale grupului de întreprinderi implicate într-o activitate economică comună şi ale fiecăruia dintre membrii săi;
b)transferurile de date sau setul de transferuri, inclusiv categoriile de date cu caracter personal, tipul prelucrării şi scopurile prelucrării, tipurile de persoane vizate afectate şi identificarea ţării terţe sau a ţărilor terţe în cauză;
c)caracterul lor juridic obligatoriu, atât pe plan intern, cât şi extern;
d)aplicarea principiilor generale în materie de protecţie a datelor, în special limitarea scopului, reducerea la minimum a datelor, perioadele de stocare limitate, calitatea datelor, protecţia datelor începând cu momentul conceperii şi protecţia implicită, temeiul juridic pentru prelucrare, prelucrarea categoriilor speciale de date cu caracter personal, măsurile de asigurare a securităţii datelor, precum şi cerinţele referitoare la transferurile ulterioare către organisme care nu fac obiectul regulilor corporatiste obligatorii;
e)drepturile persoanelor vizate în ceea ce priveşte prelucrarea şi mijloacele de exercitare a acestor drepturi, inclusiv dreptul de a nu face obiectul unor decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, în conformitate cu articolul 22, dreptul de a depune o plângere în faţa autorităţii de supraveghere competente şi în faţa instanţelor competente ale statelor membre, în conformitate cu articolul 79, precum şi dreptul de a obţine reparaţii şi, după caz, despăgubiri pentru încălcarea regulilor corporatiste obligatorii;
f)acceptarea de către operator sau de persoana împuternicită de operator, care îşi are sediul pe teritoriul unui stat membru, a răspunderii pentru orice încălcare a regulilor corporatiste obligatorii de către orice membru în cauză care nu îşi are sediul în Uniune; operatorul sau persoana împuternicită de operator este exonerat(ă) de această răspundere, integral sau parţial, numai dacă dovedeşte că membrul respectiv nu a fost răspunzător de evenimentul care a cauzat prejudiciul;
g)modul în care informaţiile privind regulile corporatiste obligatorii, în special privind dispoziţiile menţionate la literele (d), (e) şi (f) de la prezentul alineat, sunt furnizate persoanelor vizate în completarea informaţiilor menţionate la articolele 13 şi 14;
h)sarcinile oricărui responsabil cu protecţia datelor desemnat în conformitate cu articolul 37 sau ale oricărei alte persoane sau entităţi însărcinate cu monitorizarea respectării regulilor corporatiste obligatorii în cadrul grupului de întreprinderi sau al grupului de întreprinderi implicate într-o activitate economică comună, a activităţilor de formare şi a gestionării plângerilor;
i)procedurile de formulare a plângerilor;
j)mecanismele din cadrul grupului de întreprinderi sau al grupului de întreprinderi implicate într-o activitate economică comună, menite să asigure verificarea conformităţii cu regulile corporatiste obligatorii. Aceste mecanisme includ auditurile privind protecţia datelor şi metodele de asigurare a acţiunilor corective menite să protejeze drepturile persoanei vizate. Rezultatele acestor verificări ar trebui să fie comunicate persoanei sau entităţii menţionate la litera (h) şi consiliului de administraţie al întreprinderii care exercită controlul grupului de întreprinderi sau al grupului de întreprinderi implicate într-o activitate economică comună şi ar trebui să fie puse la dispoziţia autorităţii de supraveghere competente, la cerere;
k)mecanismele de raportare şi înregistrare a modificărilor aduse regulilor şi de raportare a acestor modificări autorităţii de supraveghere;
l)mecanismul de cooperare cu autoritatea de supraveghere în vederea asigurării respectării regulilor de către orice membru al grupului de întreprinderi sau al grupului de întreprinderi implicate într-o activitate economică comună, în special prin punerea la dispoziţia autorităţii de supraveghere a rezultatelor verificărilor cu privire la măsurile menţionate la punctul (j);
m)mecanismele de raportare către autoritatea de supraveghere competentă a oricăror cerinţe legale impuse unui membru al grupului de întreprinderi sau al grupului de întreprinderi implicate într-o activitate economică comună într-o ţară terţă care pot avea un efect advers considerabil asupra garanţiilor furnizate prin regulile corporatiste obligatorii; şi
n)formarea corespunzătoare în domeniul protecţiei datelor a personalului care are un acces permanent sau periodic la date cu caracter personal.
(3)Comisia poate preciza formatul şi procedurile pentru schimbul de informaţii între operatori, persoanele împuternicite de operatori şi autorităţile de supraveghere pentru regulile corporatiste obligatorii în sensul prezentului articol. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare prevăzută la articolul 93 alineatul (2).
Art. 48: Transferurile sau divulgările de informaţii neautorizate de dreptul Uniunii
Orice hotărâre a unei instanţe sau a unui tribunal şi orice decizie a unei autorităţi administrative a unei ţări terţe care impun unui operator sau persoanei împuternicite de operator să transfere sau să divulge date cu caracter personal poate fi recunoscută sau executată în orice fel numai dacă se bazează pe un acord internaţional, cum ar fi un tratat de asistenţă judiciară reciprocă în vigoare între ţara terţă solicitantă şi Uniune sau un stat membru, fără a se aduce atingere altor motive de transfer în temeiul prezentului capitol.
Art. 49: Derogări pentru situaţii specifice
(1)În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie în conformitate cu articolul 45 alineatul (3) sau a unor garanţii adecvate în conformitate cu articolul 46, inclusiv a regulilor corporatiste obligatorii, un transfer sau un set de transferuri de date cu caracter personal către o ţară terţă sau o organizaţie internaţională poate avea loc numai în una dintre condiţiile următoare:
a)persoana vizată şi-a exprimat în mod explicit acordul cu privire la transferul propus, după ce a fost informată asupra posibilelor riscuri pe care astfel de transferuri le pot implica pentru persoana vizată ca urmare a lipsei unei decizii privind caracterul adecvat al nivelului de protecţie şi a unor garanţii adecvate;
b)transferul este necesar pentru executarea unui contract între persoana vizată şi operator sau pentru aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate;
c)transferul este necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator şi o altă persoană fizică sau juridică;
d)transferul este necesar din considerente importante de interes public;
e)transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în instanţă;
f)transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altor persoane, atunci când persoana vizată nu are capacitatea fizică sau juridică de a-şi exprima acordul;
g)transferul se realizează dintr-un registru care, potrivit dreptului Uniunii sau al dreptului intern, are scopul de a furniza informaţii publicului şi care poate fi consultat fie de public în general, fie de orice persoană care poate face dovada unui interes legitim, dar numai în măsura în care sunt îndeplinite condiţiile cu privire la consultare prevăzute de dreptul Uniunii sau de dreptul intern în acel caz specific.
În cazul în care un transfer nu ar putea să se întemeieze pe o dispoziţie prevăzută la articolul 45 sau 46, inclusiv dispoziţii privind reguli corporatiste obligatorii, şi nu este aplicabilă niciuna dintre derogările pentru situaţii specifice prevăzute la primul paragraf din prezentul alineat, un transfer către o ţară terţă sau o organizaţie internaţională poate avea loc numai în cazul în care transferul nu este repetitiv, se referă doar la un număr limitat de persoane vizate, este necesar în scopul realizării intereselor legitime majore urmărite de operator asupra căruia nu prevalează interesele sau drepturile şi libertăţile persoanei vizate şi operatorul a evaluat toate circumstanţele aferente transferului de date şi, pe baza acestei evaluări, a prezentat garanţii corespunzătoare în ceea ce priveşte protecţia datelor cu caracter personal. Operatorul informează autoritatea de supraveghere cu privire la transfer. Operatorul, în plus faţă de furnizarea informaţiilor menţionate la articolele 13 şi 14, informează persoana vizată cu privire la transfer şi la interesele legitime majore pe care le urmăreşte.
(2)Transferul în temeiul alineatului (1) primul paragraf litera (g) nu implică totalitatea datelor cu caracter personal sau ansamblul categoriilor de date cu caracter personal cuprinse în registru. Atunci când registrul urmează a fi consultat de către persoane care au un interes legitim, transferul se efectuează numai la cererea persoanelor respective sau în cazul în care acestea vor fi destinatarii.
(3)Alineatul (1) primul paragraf literele (a), (b) şi (c) şi paragraful al doilea nu se aplică în cazul activităţilor desfăşurate de autorităţile publice în exercitarea competenţelor lor publice.
(4)Interesul public prevăzut la alineatul (1) primul paragraf litera (d) este recunoscut în dreptul Uniunii sau în dreptul statului membru sub incidenţa căruia intră operatorul.
(5)În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie, dreptul Uniunii sau dreptul intern poate, din considerente importante de interes public, să stabilească în mod expres limite asupra transferului unor categorii specifice de date cu caracter personal către o ţară terţă sau o organizaţie internaţională. Statele membre notifică aceste dispoziţii Comisiei.
(6)Operatorul sau persoana împuternicită de operator consemnează evaluarea, precum şi garanţiile adecvate prevăzute la paragraful al doilea al alineatului (1) din prezentul articol, în evidenţele menţionate la articolul 30.
Art. 50: Cooperarea internaţională în domeniul protecţiei datelor cu caracter personal
În ceea ce priveşte ţările terţe şi organizaţiile internaţionale, Comisia şi autorităţile de supraveghere iau măsurile corespunzătoare pentru:
(a)elaborarea de mecanisme de cooperare internaţională pentru a facilita asigurarea aplicării efective a legislaţiei privind protecţia datelor cu caracter personal;
(b)acordarea de asistenţă internaţională reciprocă în asigurarea aplicării legislaţiei din domeniul protecţiei datelor cu caracter personal, inclusiv prin notificare, transferul plângerilor, asistenţă în investigaţii şi schimb de informaţii, sub rezerva unor garanţii adecvate pentru protecţia datelor cu caracter personal şi a altor drepturi şi libertăţi fundamentale;
(c)implicarea părţilor interesate relevante în discuţiile şi activităţile care au ca scop intensificarea cooperării internaţionale în domeniul aplicării legislaţiei privind protecţia datelor cu caracter personal;
(d)promovarea schimbului reciproc şi a documentaţiei cu privire la legislaţia şi practicile în materie de protecţie a datelor cu caracter personal, inclusiv în ceea ce priveşte conflictele jurisdicţionale cu ţările terţe.