Comunica experienta
MonitorulJuridic.ro
ORDIN nr. 6 din 29 ianuarie 2003 privind stabilirea Clauzelor contractuale standard in cazul transferurilor de date cu caracter personal catre un operator stabilit intr-un stat a carui legislatie nu prevede un nivel de protectie cel putin egal cu cel oferit de legea romana
EMITENT: AVOCATUL POPORULUI PUBLICAT: MONITORUL OFICIAL nr. 151 din 10 martie 2003
În temeiul <>Hotãrârii Senatului României nr. 33 din 4 octombrie 2001 pentru numirea Avocatului Poporului,
vazand prevederile <>art. 13 din Legea nr. 35/1997 privind organizarea şi funcţionarea instituţiei Avocatul Poporului, modificatã şi completatã prin <>Legea nr. 181/2002 , şi ale art. 4 din Regulamentul de organizare şi funcţionare a instituţiei Avocatul Poporului, aprobat prin <>Hotãrârea Biroului permanent al Senatului nr. 5/2002 ,
în aplicarea prevederilor <>art. 29 alin. (4) din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, conform cãrora Avocatul Poporului, în calitate de autoritate de supraveghere, poate autoriza transferul de date cu caracter personal cãtre un stat a cãrui legislaţie nu prevede un nivel de protecţie cel puţin egal cu cel oferit de legea romana, atunci când operatorul oferã garanţii suficiente cu privire la protecţia drepturilor fundamentale ale persoanelor, garanţii care trebuie sa fie stabilite prin contracte încheiate între operatori şi persoanele fizice sau juridice din dispoziţia cãrora se efectueazã transferul,
având în vedere Nota Direcţiei pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal nr. 551 din 29 ianuarie 2003 privind clauzele contractuale standard pentru transferul datelor cu caracter personal cãtre statele a cãror legislaţie nu prevede un nivel de protecţie cel puţin egal cu cel oferit de legea romana,
având în vedere exigenta elaborãrii unor clauze contractuale standard care oferã garanţii suficiente cu privire la protecţia drepturilor fundamentale ale persoanelor, în cazul transferurilor de date cu caracter personal de la un operator stabilit în România cãtre un operator stabilit într-un stat a cãrui legislaţie nu prevede un nivel de protecţie cel puţin egal cu cel oferit de legea romana, precum şi a publicãrii clauzelor contractuale standard respective în Monitorul Oficial al României, Partea I, în scopul ca acestea sa poatã fi cunoscute în mod corespunzãtor de cãtre operatorii mentionati,
Avocatul Poporului emite prezentul ordin.
ART. 1
Se aproba Clauzele contractuale standard în cazul transferurilor de date cu caracter personal cãtre un operator stabilit într-un stat a cãrui legislaţie nu prevede un nivel de protecţie cel puţin egal cu cel oferit de legea romana, prevãzute în anexa, denumite în continuare clauze contractuale standard.
ART. 2
(1) Prevederile prezentului ordin nu afecteazã aplicarea altor prevederi legale care privesc prelucrarea datelor cu caracter personal.
(2) Prezentul ordin nu se aplica transferului de date cu caracter personal, realizat de cãtre operatorii, stabiliţi în România, cãtre destinatarii stabilit, în strãinãtate, care acţioneazã doar ca împuterniciţi.
ART. 3
În înţelesul prezentului ordin, urmãtorii termeni se definesc dupã cum urmeazã:
a) categorii speciale de date - categoriile de date menţionate în <>cap. III din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date;
b) exportator de date - operatorul stabilit în România, care transfera date cu caracter personal;
c) importator de date - operatorul stabilit în strãinãtate, care este de acord sa primeascã date cu caracter personal de la exportatorul de date pentru prelucrare ulterioara.
ART. 4
(1) Avocatul Poporului poate dispune interzicerea sau suspendarea transferului datelor cu caracter personal de cãtre exportator cãtre un alt stat, pentru a proteja drepturile fundamentale ale persoanelor în legatura cu prelucrarea datelor lor cu caracter personal, atunci când:
a) legea nationala a importatorului îl obliga sa nu respecte clauzele contractuale standard, iar acest fapt nu este motivat de cauze care ţin de apãrarea nationala, siguranta nationala, ordinea publica, prevenirea, cercetarea şi reprimarea infracţiunilor, interesele economice sau financiare importante ale statului, activitãţile efectuate în îndeplinirea unor atribuţii de autoritate publica legate de domeniile sus menţionate, de apãrarea persoanei vizate sau a drepturilor şi libertãţilor celorlalte persoane;
b) exista posibilitatea de nerespectare a clauzelor contractuale standard, iar desfãşurarea transferului prezintã riscul prejudicierii persoanelor vizate;
c) o autoritate competenta a stabilit ca importatorul de date nu a respectat clauzele contractuale.
(2) Interdicţia sau suspendarea aplicatã conform alin. (1) va fi ridicatã de îndatã ce au încetat motivele care au determinat luarea acestei mãsuri.
ART. 5
Prezentul ordin va fi publicat în Monitorul Oficial al României, Partea I.
ART. 6
Anexa cuprinzând Clauzele contractuale standard în cazul transferurilor de date cu caracter personal cãtre un operator stabilit într-un stat a cãrui legislaţie nu prevede un nivel de protecţie cel puţin egal cu cel oferit de legea romana face parte integrantã din prezentul ordin.
AVOCATUL POPORULUI,
prof. univ. dr. IOAN MURARU
Bucureşti, 29 ianuarie 2003.
Nr. 6.
ANEXA 1
CLAUZE CONTRACTUALE STANDARD
în cazul transferurilor de date cu caracter
personal cãtre un operator stabilit într-un stat a cãrui legislaţie nu
prevede un nivel de protecţie cel puţin egal cu cel oferit de legea romana
Numele sau denumirea persoanei care exporta datele ........., adresa ....... telefon ...... fax ...... e-mail ..........
Alte informaţii necesare pentru identificarea persoanei: ........... /(exportatorul de date)
şi
Numele sau denumirea persoanei care importa datele ....... adresa ...... telefon ....... fax ....... e-mail .........
Alte informaţii necesare pentru identificarea persoanei: ........... /(importatorul de date)
au convenit asupra urmãtoarelor clauze contractuale (clauze), menţionate în apendixul 1, pentru a oferi garanţii adecvate protecţiei drepturilor şi libertãţilor fundamentale ale persoanelor, în special a dreptului la viata intima, familialã şi privatã, în legatura cu transferul datelor cu caracter personal de la exportator cãtre importatorul de date:
Clauza 1: Definiţii
În sensul acestor clauze:
a) categorii speciale de date înseamnã categoriile de date menţionate la <>cap. III din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date;
b) persoana vizata înseamnã persoana fizica ale carei date cu caracter personal sunt prelucrate;
c) exportator de date înseamnã operatorul care transfera datele cu caracter personal;
d) importator de date înseamnã operatorul care este de acord sa primeascã date cu caracter personal de la exportatorul de date, pentru prelucrare ulterioara, în condiţiile acestor clauze, şi care nu este supus unei legislaţii care prevede un nivel de protecţie cel puţin egal cu cel oferit de legea romana.
Clauza 2: Detalii privind transferul
Detaliile privind transferul, categoriile de date cu caracter personal şi scopurile în care acestea pot fi transferate sunt menţionate în apendixul 1 care face parte integrantã din clauze.
Clauza 3: Clauza terţului beneficiar
Persoanele vizate pot aplica clauza 4 lit. b), c) şi d), clauza 5 lit. a), b), c) şi e), clauza 6 alin. (1) şi (2) şi clauzele 7, 9 şi 11 din acest act, ca terţi beneficiari. Pãrţile nu se opun ca persoanele vizate sa fie reprezentate, la cerere, de o asociaţie sau de alte persoane juridice, dacã legea permite.
Clauza 4: Obligaţiile exportatorului de date
Exportatorul de date garanteazã ca:
a) prelucrarea pana în momentul transferului şi transferul ulterior al datelor cu caracter personal au fost şi vor fi efectuate în continuare potrivit prevederilor legale;
b) dacã transferul presupune categorii speciale de date, persoana vizata a fost informatã sau va fi informatã anterior transferului ca aceste date pot fi transmise cãtre un stat a cãrui legislaţie nu prevede un nivel de protecţie cel puţin egal cu cel oferit de legea romana;
c) va pune la dispoziţie persoanelor vizate o copie a clauzelor referitoare la protecţia datelor cu caracter personal, la cererea acestora;
d) va rãspunde la întrebãrile autoritãţii de supraveghere şi la orice întrebãri ale persoanelor vizate, cu privire la prelucrarea datelor cu caracter personal efectuatã de cãtre importatorul de date.
Clauza 5: Obligaţii ale importatorului de date
Importatorul de date garanteazã ca:
a) legislaţia ce îi este aplicabilã nu îl impiedica sa îşi îndeplineascã obligaţiile decurgând din clauze şi ca, în cazul unor modificãri legislative care ar fi posibil sa aibã un efect negativ asupra garanţiilor prevãzute de aceste clauze, le va notifica exportatorului de date şi autoritãţii de supraveghere din România, caz în care exportatorul de date are dreptul sa suspende transferul de date şi/sau sa înceteze contractul;
b) va prelucra datele cu caracter personal potrivit principiilor obligatorii de protecţie a datelor, prevãzute în apendixul 2 care face parte integrantã din prezentele clauze, sau, dacã s-a convenit expres de cãtre pãrţi, conform principiilor obligatorii de protecţie a datelor, prevãzute în apendixul 3 care face parte integrantã din prezentele clauze, va prelucra datele conform prevederilor legale naţionale care apara drepturile şi libertãţile fundamentale ale persoanelor, în special dreptul la viata intima, familialã şi privatã, în legatura cu prelucrarea datelor cu caracter personal, aplicabile unui operator de date din România;
c) va soluţiona cu promptitudine şi într-un mod corespunzãtor toate solicitarile rezonabile formulate de exportatorul de date sau de persoana vizata, referitoare la prelucrarea efectuatã de importator asupra datelor cu caracter personal transferate, va coopera cu autoritatea de supraveghere competenta pe parcursul tuturor investigatiilor acesteia şi se va supune autorizãrii autoritãţii de supraveghere în ceea ce priveşte prelucrarea datelor transferate;
d) la cererea exportatorului de date, va supune mijloacele sale de prelucrare controlului acestuia sau al unui organ de control compus din membri independenţi, cu calificarile profesionale necesare, aleşi de exportatorul de date cu acordul autoritãţii de supraveghere;
e) la cererea persoanelor vizate, le va pune la dispoziţie o copie a clauzelor care privesc protecţia datelor cu caracter personal şi va indica persoana sau persoanele care rãspund la solicitarile referitoare la prelucrarea datelor cu caracter personal.
Clauza 6: Rãspunderea pãrţilor
(1) Persoana vizata care a suferit un prejudiciu ca urmare a oricãrei încãlcãri a prevederilor menţionate în clauza 3 are dreptul sa primeascã de la pãrţile contractante compensaţii pentru prejudiciul suferit. Pãrţile sunt scutite de aceasta rãspundere doar dacã dovedesc ca nici una dintre ele nu este rãspunzãtoare de încãlcarea acestor prevederi.
(2) Exportatorul şi importatorul de date sunt rãspunzãtori în mod indiviz şi solidar pentru prejudiciul adus persoanei vizate, ca urmare a oricãrei încãlcãri menţionate la alin. (1). În cazul unor asemenea încãlcãri, persoana vizata poate intenta acţiune în instanta fie impotriva exportatorului, fie impotriva importatorului de date, fie impotriva ambilor.
(3) Dacã o parte este trasa la rãspundere, potrivit alin. (1), pentru încãlcarea unei prevederi de cãtre cealaltã parte, prima parte va fi compensata de aceasta din urma pentru orice cheltuieli sau prejudicii.*)
------------
*) Alineatul (3) este optional.
Clauza 7: Medierea şi jurisdicţia
(1) În cazul unui litigiu între persoana vizata şi una dintre pãrţi, care nu este soluţionat pe cale amiabila, iar persoana vizata invoca prevederea terţului beneficiar din clauza 3, vor accepta opţiunea persoanei vizate:
a) sa supunã litigiul medierii unei persoane independente;
b) sa supunã litigiul instanţelor din România.
(2) Prin acordul dintre persoana vizata şi exportatorul sau importatorul de date litigiul poate fi supus unui organ de arbitraj, dacã partea are sediul într-o ţara care a ratificat Convenţia de la New York privind executarea hotãrârilor arbitrale.
(3) Aplicarea alin. (1) şi (2) nu aduce atingere drepturilor substanţiale sau procedurale ale persoanelor vizate, de a fi despagubite, potrivit altor prevederi legale naţionale sau internaţionale.
Clauza 8: Cooperarea cu autoritãţile de supraveghere
Pãrţile vor depune la autoritatea de supraveghere o copie a clauzelor, la solicitarea acesteia sau dacã legea prevede astfel.
Clauza 9: Încetarea clauzelor
Încetarea clauzelor în orice moment, în orice împrejurãri şi din orice motiv nu scuteşte pãrţile de obligaţiile şi/sau de condiţiile clauzelor în ceea ce priveşte prelucrarea datelor transferate.
Clauza 10: Legea contractului
Clauzele sunt guvernate de legea romana, adicã ......................
Clauza 11: Modificarea contractului
Pãrţile se obliga sa nu modifice prezentele clauze.
În numele exportatorului de date:
Numele (scris integral): ......................................
funcţia .........................................................
adresa ..........................................................
Alte informaţii necesare pentru a impune obligativitatea contractului (dacã exista): ..........................
...................
(semnatura)
(ştampila)
În numele importatorului de date:
Numele (scris integral): ......................................
funcţia .........................................................
adresa ..........................................................
Alte informaţii necesare pentru a impune obligativitatea contractului (dacã exista): ..........................
.................
(semnatura)
(ştampila)
APENDIX 1
la clauzele contractuale standard, care cuprinde
informaţii potrivit clauzei 2
Prezentul apendix face parte din clauze şi trebuie completat şi semnat de pãrţi.
Exportatorul de date
Exportatorul de date efectueazã (se menţioneazã pe scurt activitãţile relevante pentru transfer):............................
Importatorul de date
Importatorul de date efectueazã (se menţioneazã pe scurt activitãţile relevante pentru transfer): ............................
Persoanele vizate
Datele cu caracter personal transferate se referã la urmãtoarele categorii de persoane vizate: ..............................
Scopurile transferului
Transferul este necesar în urmãtoarele scopuri: ..........................
Categorii de date
Datele cu caracter personal transferate fac parte din urmãtoarele categorii de date: ................................................
Categorii speciale de date (dacã este cazul)
Datele cu caracter personal transferate sunt incluse în urmãtoarele categorii de date cu caracter special: ........
Destinatarii
Datele cu caracter personal transferate pot fi dezvãluite doar urmãtorilor destinatari sau categorii de destinatari: ..........................................
Durata stocãrii
Datele cu caracter personal transferate pot fi stocate doar pana la: ....(luni/ani)
Exportatorul de date, Importatorul de date,
..................... .....................
(numele) (numele)
(semnatura autorizata) (semnatura autorizata)
APENDIX 2
la clauzele contractuale standard, care cuprinde
principiile obligatorii de protecţie a datelor menţionate
în clauza 5 lit. b) teza 1
Aceste principii obligatorii de protecţie a datelor trebuie citite şi interpretate în lumina prevederilor (principii şi excepţii corespunzãtoare) din <>Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
Principiile se aplica conform legislaţiei naţionale a importatorului de date, dacã aceasta nu excede cerinţelor necesare pentru apãrarea nationala, siguranta nationala, ordinea publica, prevenirea, cercetarea şi reprimarea infracţiunilor, intereselor economice sau financiare importante ale statului, activitãţilor efectuate în îndeplinirea unor atribuţii de autoritate publica legate de domeniile sus-menţionate, de apãrarea persoanei vizate sau a drepturilor şi libertãţilor celorlalte persoane.
1. Limitarea la scop: datele trebuie prelucrate şi utilizate ulterior sau comunicate mai departe doar în scopurile determinate în apendixul 1 la clauze. Datele nu trebuie pãstrate mai mult timp decât este necesar pentru scopurile în care au fost transferate.
2. Calitatea datelor şi proportionalitatea: datele trebuie sa fie exacte şi, atunci când este cazul, actualizate. Datele trebuie sa fie adecvate, pertinente şi neexcesive în raport cu scopul în care au fost transferate sau prelucrate ulterior.
3. Transparenta: persoanelor vizate trebuie sa li se furnizeze informaţii referitoare la scopurile prelucrãrii şi la identitatea operatorului de date din strãinãtate, precum şi orice alte informaţii necesare asigurãrii unei prelucrari corecte, cu excepţia cazului în care asemenea informaţii le-au fost deja furnizate.
4. Securitatea şi confidenţialitatea: operatorul de date trebuie sa adopte mãsuri tehnice şi organizatorice de securitate corespunzãtoare riscurilor pe care le prezintã prelucrarea, cum ar fi accesul neautorizat. Orice persoana care acţioneazã sub autoritatea operatorului de date, inclusiv persoana imputernicita, trebuie sa prelucreze datele doar pe baza instrucţiunilor operatorului.
5. Dreptul de acces, rectificare, ştergere şi blocare a datelor: asa cum se prevede în <>art. 13 şi 14 din Legea nr. 677/2001 , persoanele vizate trebuie sa aibã acces la toate datele prelucrate care le privesc şi, dacã este cazul, drept de rectificare, ştergere sau blocare a datelor a cãror prelucrare nu respecta principiile stabilite în acest apendix, mai ales a datelor incomplete sau inexacte. De asemenea, din motive întemeiate care ţin de situaţia lor particularã, persoanelor vizate trebuie sa li se asigure dreptul de a se opune prelucrãrii datelor care le privesc.
6. Limitarea transferurilor ulterioare: transferurile ulterioare de date cu caracter personal de la importatorul de date la alt operator stabilit într-un stat care nu asigura o protecţie adecvatã poate avea loc doar în urmãtoarele situaţii:
a) în cazul categoriilor speciale de date, dacã persoanele vizate şi-au dat consimţãmântul neechivoc pentru transferul ulterior sau li s-a dat posibilitatea sa se opunã. Informaţiile minime furnizate persoanelor vizate trebuie sa fie transmise într-o limba pe care sa o înţeleagã şi vor cuprinde:
- scopurile transferului ulterior;
- identitatea exportatorului de date stabilit în România;
- categoriile de destinatari ulteriori ai datelor şi ţãrile de destinaţie; şi
- menţiunea ca dupã transferul ulterior datele pot fi prelucrate de un operator stabilit într-o ţara unde nu exista un nivel adecvat de protecţie a vieţii intime a persoanelor;
b) în cazul în care exportatorul şi importatorul de date convin asupra aderãrii altui operator la clauze, care astfel devine parte la clauze şi îşi asuma aceleaşi obligaţii ca importatorul de date.
7. Categorii speciale de date: trebuie asigurate garanţii suplimentare, mai ales mãsuri de securitate corespunzãtoare, cum ar fi encriptarea pentru transmitere sau pãstrarea unei evidente a accesului la date, atunci când sunt prelucrate date privind originea rasialã sau etnicã, opiniile politice, credintele religioase sau filosofice ori apartenenţa sindicala, date privind starea de sãnãtate sau viata sexualã, date având o funcţie de identificare de aplicabilitate generalã şi date referitoare la sãvârşirea de infracţiuni de cãtre persoana vizata ori la condamnãri penale, mãsuri de siguranta sau sancţiuni administrative ori contravenţionale aplicate persoanei vizate.
8. Marketingul direct: dacã datele sunt prelucrate în scopuri de marketing direct, trebuie sa existe proceduri concrete care sa permitã oricând persoanei vizate sa se opunã folosirii datelor sale în asemenea scopuri.
9. Deciziile automatizate individuale: persoanele vizate au dreptul sa nu fie supuse unei decizii bazate exclusiv pe prelucrarea automatã a datelor, cu excepţia cazului în care sunt luate mãsuri pentru apãrarea intereselor legitime ale persoanei, asa cum se prevede în <>art. 17 din Legea nr. 677/2001 . Atunci când scopul transferului este luarea unei decizii prin mijloace automate, asa cum se menţioneazã în <>art. 17 din Legea nr. 677/2001 , care produce efecte juridice pentru persoana vizata sau care o afecteazã în mod semnificativ şi care se bazeazã exclusiv pe prelucrarea automatã a datelor, care intenţioneazã sa evalueze anumite aspecte personale referitoare la persoana vizata, cum ar fi performanta profesionalã, credibilitatea, responsabilitatea, comportamentul etc., persoana trebuie sa aibã dreptul sa cunoascã motivele acestei decizii.
APENDIX 3
la clauzele contractuale standard, care cuprinde
principiile obligatorii de protecţie a datelor menţionate
în clauza 5 lit b) teza 2
1. Limitarea la scop: datele trebuie prelucrate, utilizate ulterior sau comunicate mai departe doar în scopurile determinate în apendixul 1 la clauze. Datele nu trebuie pãstrate mai mult timp decât este necesar pentru scopurile în care au fost transferate.
2. Dreptul de acces, de opoziţie, de rectificare, ştergere şi blocare a datelor: asa cum se prevede în <>art. 13 şi 14 din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, persoanele vizate trebuie sa aibã dreptul de acces la toate datele care le privesc, care sunt prelucrate, şi, dacã este cazul, drept de rectificare, ştergere şi blocare a datelor a cãror prelucrare nu respecta principiile stabilite în acest apendix, mai ales a datelor incomplete sau inexacte. De asemenea, trebuie sa aibã dreptul de a se opune prelucrãrii datelor care le privesc, din motive întemeiate care ţin de situaţia lor particularã.
3. Limitarea transferurilor ulterioare: transferurile ulterioare de date cu caracter personal de la importatorul de date la alt operator stabilit într-un stat care nu asigura o protecţie adecvatã pot avea loc doar în urmãtoarele situaţii:
a) în cazul categoriilor speciale de date, persoanele vizate şi-au dat consimţãmântul neechivoc pentru transferul ulterior de date cu caracter personal sau li s-a dat posibilitatea sa se opunã efectuãrii acestor operaţiuni. Informaţiile minime furnizate persoanelor vizate trebuie sa fie transmise într-o limba pe care sa o înţeleagã şi vor cuprinde:
- scopurile transferului ulterior;
- identitatea exportatorului de date stabilit în România;
- categoriile de destinatari ulteriori ai datelor, ţãrile de destinaţie; şi
- menţiunea ca dupã transferul ulterior datele pot fi prelucrate de un operator stabilit într-o ţara unde nu exista un nivel adecvat de protecţie a vieţii intime a persoanelor;
b) exportatorul şi importatorul de date convin asupra aderãrii la clauze a altui operator care astfel devine parte la clauze şi îşi asuma aceleaşi obligaţii ca şi importatorul de date.
--------------
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
