ORDIN
Nr. 6 din 29 ianuarie 2003
privind stabilirea Clauzelor contractuale standard in cazul transferurilor de
date cu caracter personal catre un operator stabilit intr-un stat a carui
legislatie nu prevede un nivel de protectie cel putin egal cu cel oferit de
legea romana
ACT EMIS DE: AVOCATUL POPORULUI
ACT PUBLICAT IN: MONITORUL OFICIAL NR. 151 din 10 martie 2003
In temeiul Hotararii Senatului Romaniei nr. 33 din 4 octombrie 2001 pentru
numirea Avocatului Poporului,
vazand prevederile art. 13 din Legea nr. 35/1997 privind organizarea si
functionarea institutiei Avocatul Poporului, modificata si completata prin
Legea nr. 181/2002, si ale art. 4 din Regulamentul de organizare si functionare
a institutiei Avocatul Poporului, aprobat prin Hotararea Biroului permanent al
Senatului nr. 5/2002,
in aplicarea prevederilor art. 29 alin. (4) din Legea nr. 677/2001 pentru
protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si
libera circulatie a acestor date, conform carora Avocatul Poporului, in
calitate de autoritate de supraveghere, poate autoriza transferul de date cu
caracter personal catre un stat a carui legislatie nu prevede un nivel de
protectie cel putin egal cu cel oferit de legea romana, atunci cand operatorul
ofera garantii suficiente cu privire la protectia drepturilor fundamentale ale
persoanelor, garantii care trebuie sa fie stabilite prin contracte incheiate
intre operatori si persoanele fizice sau juridice din dispozitia carora se
efectueaza transferul,
avand in vedere Nota Directiei pentru protectia persoanelor cu privire la
prelucrarea datelor cu caracter personal nr. 551 din 29 ianuarie 2003 privind
clauzele contractuale standard pentru transferul datelor cu caracter personal
catre statele a caror legislatie nu prevede un nivel de protectie cel putin
egal cu cel oferit de legea romana,
avand in vedere exigenta elaborarii unor clauze contractuale standard care
ofera garantii suficiente cu privire la protectia drepturilor fundamentale ale
persoanelor, in cazul transferurilor de date cu caracter personal de la un
operator stabilit in Romania catre un operator stabilit intr-un stat a carui
legislatie nu prevede un nivel de protectie cel putin egal cu cel oferit de
legea romana, precum si a publicarii clauzelor contractuale standard respective
in Monitorul Oficial al Romaniei, Partea I, in scopul ca acestea sa poata fi
cunoscute in mod corespunzator de catre operatorii mentionati,
Avocatul Poporului emite prezentul ordin.
Art. 1
Se aproba Clauzele contractuale standard in cazul transferurilor de date cu
caracter personal catre un operator stabilit intr-un stat a carui legislatie nu
prevede un nivel de protectie cel putin egal cu cel oferit de legea romana,
prevazute in anexa, denumite in continuare clauze contractuale standard.
Art. 2
(1) Prevederile prezentului ordin nu afecteaza aplicarea altor prevederi
legale care privesc prelucrarea datelor cu caracter personal.
(2) Prezentul ordin nu se aplica transferului de date cu caracter personal,
realizat de catre operatorii stabiliti in Romania, catre destinatarii stabiliti
in strainatate, care actioneaza doar ca imputerniciti.
Art. 3
In intelesul prezentului ordin, urmatorii termeni se definesc dupa cum
urmeaza:
a) categorii speciale de date - categoriile de date mentionate in cap. III
din Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea
datelor cu caracter personal si libera circulatie a acestor date;
b) exportator de date - operatorul stabilit in Romania, care transfera date
cu caracter personal;
c) importator de date - operatorul stabilit in strainatate, care este de
acord sa primeasca date cu caracter personal de la exportatorul de date pentru
prelucrare ulterioara.
Art. 4
(1) Avocatul Poporului poate dispune interzicerea sau suspendarea
transferului datelor cu caracter personal de catre exportator catre un alt
stat, pentru a proteja drepturile fundamentale ale persoanelor in legatura cu
prelucrarea datelor lor cu caracter personal, atunci cand:
a) legea nationala a importatorului il obliga sa nu respecte clauzele
contractuale standard, iar acest fapt nu este motivat de cauze care tin de
apararea nationala, siguranta nationala, ordinea publica, prevenirea,
cercetarea si reprimarea infractiunilor, interesele economice sau financiare
importante ale statului, activitatile efectuate in indeplinirea unor atributii
de autoritate publica legate de domeniile sus-mentionate, de apararea persoanei
vizate sau a drepturilor si libertatilor celorlalte persoane;
b) exista posibilitatea de nerespectare a clauzelor contractuale standard,
iar desfasurarea transferului prezinta riscul prejudicierii persoanelor vizate;
c) o autoritate competenta a stabilit ca importatorul de date nu a
respectat clauzele contractuale.
(2) Interdictia sau suspendarea aplicata conform alin. (1) va fi ridicata
de indata ce au incetat motivele care au determinat luarea acestei masuri.
Art. 5
Prezentul ordin va fi publicat in Monitorul Oficial al Romaniei, Partea I.
Art. 6
Anexa cuprinzand Clauzele contractuale standard in cazul transferurilor de
date cu caracter personal catre un operator stabilit intr-un stat a carui
legislatie nu prevede un nivel de protectie cel putin egal cu cel oferit de
legea romana face parte integranta din prezentul ordin.
AVOCATUL POPORULUI,
prof. univ. dr. IOAN MURARU
ANEXA 1
CLAUZE CONTRACTUALE STANDARD
in cazul transferurilor de date cu caracter personal catre un operator stabilit
intr-un stat a carui legislatie nu prevede un nivel de protectie cel putin egal
cu cel oferit de legea romana
Numele sau denumirea persoanei care exporta datele .......................,
adresa ....................................., telefon ........................,
fax ....................., e-mail ...............................
Alte informatii necesare pentru identificarea persoanei:
...............................................................................
(exportatorul de date)
si
Numele sau denumirea persoanei care importa datele .......................,
adresa ....................................., telefon ........................,
fax ....................., e-mail ...............................
Alte informatii necesare pentru identificarea persoanei:
...............................................................................
(importatorul de date)
au convenit asupra urmatoarelor clauze contractuale (clauze), mentionate in
apendixul 1, pentru a oferi garantii adecvate protectiei drepturilor si
libertatilor fundamentale ale persoanelor, in special a dreptului la viata
intima, familiala si privata, in legatura cu transferul datelor cu caracter
personal de la exportator catre importatorul de date:
Clauza 1: Definitii
In sensul acestor clauze:
a) categorii speciale de date inseamna categoriile de date mentionate la
cap. III din Legea nr. 677/2001 pentru protectia persoanelor cu privire la
prelucrarea datelor cu caracter personal si libera circulatie a acestor date;
b) persoana vizata inseamna persoana fizica ale carei date cu caracter
personal sunt prelucrate;
c) exportator de date inseamna operatorul care transfera datele cu caracter
personal;
d) importator de date inseamna operatorul care este de acord sa primeasca
date cu caracter personal de la exportatorul de date, pentru prelucrare
ulterioara, in conditiile acestor clauze, si care nu este supus unei legislatii
care prevede un nivel de protectie cel putin egal cu cel oferit de legea
romana.
Clauza 2: Detalii privind transferul
Detaliile privind transferul, categoriile de date cu caracter personal si
scopurile in care acestea pot fi transferate sunt mentionate in apendixul 1
care face parte integranta din clauze.
Clauza 3: Clauza tertului beneficiar
Persoanele vizate pot aplica clauza 4 lit. b), c) si d), clauza 5 lit. a),
b), c) si e), clauza 6 alin. (1) si (2) si clauzele 7, 9 si 11 din acest act,
ca terti beneficiari. Partile nu se opun ca persoanele vizate sa fie
reprezentate, la cerere, de o asociatie sau de alte persoane juridice, daca
legea permite.
Clauza 4: Obligatiile exportatorului de date
Exportatorul de date garanteaza ca:
a) prelucrarea pana in momentul transferului si transferul ulterior al
datelor cu caracter personal au fost si vor fi efectuate in continuare potrivit
prevederilor legale;
b) daca transferul presupune categorii speciale de date, persoana vizata a
fost informata sau va fi informata anterior transferului ca aceste date pot fi
transmise catre un stat a carui legislatie nu prevede un nivel de protectie cel
putin egal cu cel oferit de legea romana;
c) va pune la dispozitie persoanelor vizate o copie a clauzelor referitoare
la protectia datelor cu caracter personal, la cererea acestora;
d) va raspunde la intrebarile autoritatii de supraveghere si la orice
intrebari ale persoanelor vizate, cu privire la prelucrarea datelor cu caracter
personal efectuata de catre importatorul de date.
Clauza 5: Obligatii ale importatorului de date
Importatorul de date garanteaza ca:
a) legislatia ce ii este aplicabila nu il impiedica sa isi indeplineasca
obligatiile decurgand din clauze si ca, in cazul unor modificari legislative
care ar fi posibil sa aiba un efect negativ asupra garantiilor prevazute de
aceste clauze, le va notifica exportatorului de date si autoritatii de
supraveghere din Romania, caz in care exportatorul de date are dreptul sa
suspende transferul de date si/sau sa inceteze contractul;
b) va prelucra datele cu caracter personal potrivit principiilor
obligatorii de protectie a datelor, prevazute in apendixul 2 care face parte
integranta din prezentele clauze, sau, daca s-a convenit expres de catre parti,
conform principiilor obligatorii de protectie a datelor, prevazute in apendixul
3 care face parte integranta din prezentele clauze, va prelucra datele conform
prevederilor legale nationale care apara drepturile si libertatile fundamentale
ale persoanelor, in special dreptul la viata intima, familiala si privata, in
legatura cu prelucrarea datelor cu caracter personal, aplicabile unui operator
de date din Romania;
c) va solutiona cu promptitudine si intr-un mod corespunzator toate
solicitarile rezonabile formulate de exportatorul de date sau de persoana
vizata, referitoare la prelucrarea efectuata de importator asupra datelor cu
caracter personal transferate, va coopera cu autoritatea de supraveghere
competenta pe parcursul tuturor investigatiilor acesteia si se va supune
autorizarii autoritatii de supraveghere in ceea ce priveste prelucrarea datelor
transferate;
d) la cererea exportatorului de date, va supune mijloacele sale de prelucrare
controlului acestuia sau al unui organ de control compus din membri
independenti, cu calificarile profesionale necesare, alesi de exportatorul de
date cu acordul autoritatii de supraveghere;
e) la cererea persoanelor vizate, le va pune la dispozitie o copie a
clauzelor care privesc protectia datelor cu caracter personal si va indica
persoana sau persoanele care raspund la solicitarile referitoare la prelucrarea
datelor cu caracter personal.
Clauza 6: Raspunderea partilor
(1) Persoana vizata care a suferit un prejudiciu ca urmare a oricarei
incalcari a prevederilor mentionate in clauza 3 are dreptul sa primeasca de la
partile contractante compensatii pentru prejudiciul suferit. Partile sunt
scutite de aceasta raspundere doar daca dovedesc ca nici una dintre ele nu este
raspunzatoare de incalcarea acestor prevederi.
(2) Exportatorul si importatorul de date sunt raspunzatori in mod indiviz
si solidar pentru prejudiciul adus persoanei vizate, ca urmare a oricarei
incalcari mentionate la alin. (1). In cazul unor asemenea incalcari, persoana
vizata poate intenta actiune in instanta fie impotriva exportatorului, fie
impotriva importatorului de date, fie impotriva ambilor.
(3) Daca o parte este trasa la raspundere, potrivit alin. (1), pentru incalcarea
unei prevederi de catre cealalta parte, prima parte va fi compensata de aceasta
din urma pentru orice cheltuieli sau prejudicii.*)
------------
*) Alineatul (3) este optional.
Clauza 7: Medierea si jurisdictia
(1) In cazul unui litigiu intre persoana vizata si una dintre parti, care
nu este solutionat pe cale amiabila, iar persoana vizata invoca prevederea
tertului beneficiar din clauza 3, vor accepta optiunea persoanei vizate:
a) sa supuna litigiul medierii unei persoane independente;
b) sa supuna litigiul instantelor din Romania.
(2) Prin acordul dintre persoana vizata si exportatorul sau importatorul de
date litigiul poate fi supus unui organ de arbitraj, daca partea are sediul
intr-o tara care a ratificat Conventia de la New York privind executarea
hotararilor arbitrale.
(3) Aplicarea alin. (1) si (2) nu aduce atingere drepturilor substantiale
sau procedurale ale persoanelor vizate, de a fi despagubite, potrivit altor
prevederi legale nationale sau internationale.
Clauza 8: Cooperarea cu autoritatile de supraveghere
Partile vor depune la autoritatea de supraveghere o copie a clauzelor, la
solicitarea acesteia sau daca legea prevede astfel.
Clauza 9: Incetarea clauzelor
Incetarea clauzelor in orice moment, in orice imprejurari si din orice
motiv nu scuteste partile de obligatiile si/sau de conditiile clauzelor in ceea
ce priveste prelucrarea datelor transferate.
Clauza 10: Legea contractului
Clauzele sunt guvernate de legea romana, adica ............................
Clauza 11: Modificarea contractului
Partile se obliga sa nu modifice prezentele clauze.
In numele exportatorului de date:
Numele (scris integral): ..................................................
functia ...................................................................
adresa ....................................................................
Alte informatii necesare pentru a impune obligativitatea contractului (daca
exista): ....................................................
.....................
(semnatura)
(stampila)
In numele importatorului de date:
Numele (scris integral): ..................................................
functia ...................................................................
adresa ....................................................................
Alte informatii necesare pentru a impune obligativitatea contractului (daca
exista): ......................................................................
.....................
(semnatura)
(stampila)
APENDIX 1
la clauzele contractuale standard, care cuprinde informatii potrivit clauzei 2
Prezentul apendix face parte din clauze si trebuie completat si semnat de
parti.
Exportatorul de date
Exportatorul de date efectueaza (se mentioneaza pe scurt activitatile
relevante pentru transfer): ...................................................
Importatorul de date
Importatorul de date efectueaza (se mentioneaza pe scurt activitatile
relevante pentru transfer): ...................................................
Persoanele vizate
Datele cu caracter personal transferate se refera la urmatoarele categorii
de persoane vizate: ...........................................................
Scopurile transferului
Transferul este necesar in urmatoarele scopuri: ...........................
Categorii de date
Datele cu caracter personal transferate fac parte din urmatoarele categorii
de date: ......................................................................
Categorii speciale de date (daca este cazul)
Datele cu caracter personal transferate sunt incluse in urmatoarele
categorii de date cu caracter special: ........................................
Destinatarii
Datele cu caracter personal transferate pot fi dezvaluite doar urmatorilor
destinatari sau categorii de destinatari: .....................................
Durata stocarii
Datele cu caracter personal transferate pot fi stocate doar pana la:
....... (luni/ani)
Exportatorul de date, Importatorul de date,
...................... ......................
(numele) (numele)
(semnatura autorizata) (semnatura autorizata)
APENDIX 2
la clauzele contractuale standard, care cuprinde principiile obligatorii de
protectie a datelor mentionate in clauza 5 lit. b) teza 1
Aceste principii obligatorii de protectie a datelor trebuie citite si
interpretate in lumina prevederilor (principii si exceptii corespunzatoare) din
Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea
datelor cu caracter personal si libera circulatie a acestor date.
Principiile se aplica conform legislatiei nationale a importatorului de
date, daca aceasta nu excede cerintelor necesare pentru apararea nationala,
siguranta nationala, ordinea publica, prevenirea, cercetarea si reprimarea
infractiunilor, intereselor economice sau financiare importante ale statului,
activitatilor efectuate in indeplinirea unor atributii de autoritate publica
legate de domeniile sus-mentionate, de apararea persoanei vizate sau a
drepturilor si libertatilor celorlalte persoane.
1. Limitarea la scop: datele trebuie prelucrate si utilizate ulterior sau
comunicate mai departe doar in scopurile determinate in apendixul 1 la clauze.
Datele nu trebuie pastrate mai mult timp decat este necesar pentru scopurile in
care au fost transferate.
2. Calitatea datelor si proportionalitatea: datele trebuie sa fie exacte
si, atunci cand este cazul, actualizate. Datele trebuie sa fie adecvate,
pertinente si neexcesive in raport cu scopul in care au fost transferate sau
prelucrate ulterior.
3. Transparenta: persoanelor vizate trebuie sa li se furnizeze informatii
referitoare la scopurile prelucrarii si la identitatea operatorului de date din
strainatate, precum si orice alte informatii necesare asigurarii unei
prelucrari corecte, cu exceptia cazului in care asemenea informatii le-au fost
deja furnizate.
4. Securitatea si confidentialitatea: operatorul de date trebuie sa adopte
masuri tehnice si organizatorice de securitate corespunzatoare riscurilor pe
care le prezinta prelucrarea, cum ar fi accesul neautorizat. Orice persoana
care actioneaza sub autoritatea operatorului de date, inclusiv persoana
imputernicita, trebuie sa prelucreze datele doar pe baza instructiunilor
operatorului.
5. Dreptul de acces, rectificare, stergere si blocare a datelor: asa cum se
prevede in art. 13 si 14 din Legea nr. 677/2001, persoanele vizate trebuie sa
aiba acces la toate datele prelucrate care le privesc si, daca este cazul,
drept de rectificare, stergere sau blocare a datelor a caror prelucrare nu
respecta principiile stabilite in acest apendix, mai ales a datelor incomplete
sau inexacte. De asemenea, din motive intemeiate care tin de situatia lor
particulara, persoanelor vizate trebuie sa li se asigure dreptul de a se opune
prelucrarii datelor care le privesc.
6. Limitarea transferurilor ulterioare: transferurile ulterioare de date cu
caracter personal de la importatorul de date la alt operator stabilit intr-un
stat care nu asigura o protectie adecvata poate avea loc doar in urmatoarele
situatii:
a) in cazul categoriilor speciale de date, daca persoanele vizate si-au dat
consimtamantul neechivoc pentru transferul ulterior sau li s-a dat
posibilitatea sa se opuna. Informatiile minime furnizate persoanelor vizate
trebuie sa fie transmise intr-o limba pe care sa o inteleaga si vor cuprinde:
- scopurile transferului ulterior;
- identitatea exportatorului de date stabilit in Romania;
- categoriile de destinatari ulteriori ai datelor si tarile de destinatie;
si
- mentiunea ca dupa transferul ulterior datele pot fi prelucrate de un
operator stabilit intr-o tara unde nu exista un nivel adecvat de protectie a
vietii intime a persoanelor;
b) in cazul in care exportatorul si importatorul de date convin asupra
aderarii altui operator la clauze, care astfel devine parte la clauze si isi
asuma aceleasi obligatii ca importatorul de date.
7. Categorii speciale de date: trebuie asigurate garantii suplimentare, mai
ales masuri de securitate corespunzatoare, cum ar fi encriptarea pentru
transmitere sau pastrarea unei evidente a accesului la date, atunci cand sunt
prelucrate date privind originea rasiala sau etnica, opiniile politice,
credintele religioase sau filosofice ori apartenenta sindicala, date privind
starea de sanatate sau viata sexuala, date avand o functie de identificare de
aplicabilitate generala si date referitoare la savarsirea de infractiuni de
catre persoana vizata ori la condamnari penale, masuri de siguranta sau
sanctiuni administrative ori contraventionale aplicate persoanei vizate.
8. Marketingul direct: daca datele sunt prelucrate in scopuri de marketing
direct, trebuie sa existe proceduri concrete care sa permita oricand persoanei
vizate sa se opuna folosirii datelor sale in asemenea scopuri.
9. Deciziile automatizate individuale: persoanele vizate au dreptul sa nu
fie supuse unei decizii bazate exclusiv pe prelucrarea automata a datelor, cu
exceptia cazului in care sunt luate masuri pentru apararea intereselor legitime
ale persoanei, asa cum se prevede in art. 17 din Legea nr. 677/2001. Atunci
cand scopul transferului este luarea unei decizii prin mijloace automate, asa
cum se mentioneaza in art. 17 din Legea nr. 677/2001, care produce efecte
juridice pentru persoana vizata sau care o afecteaza in mod semnificativ si
care se bazeaza exclusiv pe prelucrarea automata a datelor, care intentioneaza
sa evalueze anumite aspecte personale referitoare la persoana vizata, cum ar fi
performanta profesionala, credibilitatea, responsabilitatea, comportamentul
etc., persoana trebuie sa aiba dreptul sa cunoasca motivele acestei decizii.
APENDIX 3
la clauzele contractuale standard, care cuprinde principiile obligatorii de
protectie a datelor mentionate in clauza 5 lit. b) teza 2
1. Limitarea la scop: datele trebuie prelucrate, utilizate ulterior sau
comunicate mai departe doar in scopurile determinate in apendixul 1 la clauze.
Datele nu trebuie pastrate mai mult timp decat este necesar pentru scopurile in
care au fost transferate.
2. Dreptul de acces, de opozitie, de rectificare, stergere si blocare a
datelor: asa cum se prevede in art. 13 si 14 din Legea nr. 677/2001 pentru
protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si
libera circulatie a acestor date, persoanele vizate trebuie sa aiba dreptul de
acces la toate datele care le privesc, care sunt prelucrate, si, daca este
cazul, drept de rectificare, stergere si blocare a datelor a caror prelucrare
nu respecta principiile stabilite in acest apendix, mai ales a datelor
incomplete sau inexacte. De asemenea, trebuie sa aiba dreptul de a se opune
prelucrarii datelor care le privesc, din motive intemeiate care tin de situatia
lor particulara.
3. Limitarea transferurilor ulterioare: transferurile ulterioare de date cu
caracter personal de la importatorul de date la alt operator stabilit intr-un
stat care nu asigura o protectie adecvata pot avea loc doar in urmatoarele
situatii:
a) in cazul categoriilor speciale de date, persoanele vizate si-au dat
consimtamantul neechivoc pentru transferul ulterior de date cu caracter
personal sau li s-a dat posibilitatea sa se opuna efectuarii acestor operatiuni.
Informatiile minime furnizate persoanelor vizate trebuie sa fie transmise
intr-o limba pe care sa o inteleaga si vor cuprinde:
- scopurile transferului ulterior;
- identitatea exportatorului de date stabilit in Romania;
- categoriile de destinatari ulteriori ai datelor, tarile de destinatie; si
mentiunea ca dupa transferul ulterior datele pot fi prelucrate de un
operator stabilit intr o tara unde nu exista un nivel adecvat de protectie a
vietii intime a persoanelor;
b) exportatorul si importatorul de date convin asupra aderarii la clauze a
altui operator care astfel devine parte la clauze si isi asuma aceleasi
obligatii ca si importatorul de date.