Sunteți pe pagina 1din 18

COMISIA

EUROPEANĂ

Bruxelles, 10.1.2017
COM(2017) 7 final

COMUNICARE A COMISIEI CĂTRE PARLAMENTUL EUROPEAN ȘI CONSILIU

Schimbul de date cu caracter personal și protecția acestora într-o lume globalizată

RO RO
1. INTRODUCERE

Protecția datelor cu caracter personal face parte din structura constituțională comună a
Europei și este consacrată la articolul 8 din Carta drepturilor fundamentale a UE. Aceasta este
o componentă esențială a dreptului UE de mai bine de 20 de ani, de la Directiva privind
protecția datelor din 19951 (denumită în continuare „Directiva din 1995”) până la adoptarea
Regulamentului general privind protecția datelor (RGPD)2 și a Directivei privind poliția3 în
2016.

Astfel cum a subliniat președintele Juncker în discursul său privind starea Uniunii Europene la
14 septembrie 2016, „[s]ă fii european înseamnă dreptul ca datele tale cu caracter personal
să fie protejate de legi europene solide. [...] Și asta pentru că, în Europa, protejarea vieții
private contează. Această chestiune ține de demnitatea umană.”

Cererea pentru protecția datelor cu caracter personal nu este însă limitată la Europa.
Consumatorii din întreaga lume își prețuiesc și apreciază din ce în ce mai mult viața privată.
La rândul lor, întreprinderile recunosc că un sistem solid de protecție a vieții private le oferă
un avantaj competitiv deoarece sporește încrederea în serviciile acestora. Multe dintre acestea,
în special cele cu acoperire globală, își aliniază politicile în materie de protecție a vieții
private la RGPD pentru că doresc să facă afaceri în UE, dar și pentru că îl consideră un model
de urmat.

De asemenea, mai multe țări și organizații regionale din afara UE, de la cele din imediata
noastră vecinătate la cele din Asia, America Latină și Africa, adoptă noi legi privind protecția
datelor sau le actualizează pe cele existente pentru a beneficia de oportunitățile oferite de
economia digitală globală și pentru a răspunde cererii tot mai mari pentru o mai bună protecție
a securității datelor și a vieții private. În timp ce există diferențe între țări în ceea ce privește
abordarea acestora și nivelul de dezvoltare legislativă, există semne ale unei convergențe
ascendente în direcția unor principii importante privind protecția datelor, în special în anumite
regiuni ale lumii4. O mai mare compatibilitate între diferitele sisteme de protecție a datelor ar
facilita fluxurile internaționale de date cu caracter personal, fie în scopuri comerciale sau
pentru cooperarea între autoritățile publice (de exemplu, de aplicare a legii). UE ar trebui să

1
Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția
persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor
date, JO L 281, 23.11.1995.
2
Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind
protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera
circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția
datelor), JO L 119, 4.5.2016, p. 1-88. Acesta a intrat în vigoare la 24 mai 2016 și se aplică de la
25 mai 2018.
3
Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția
persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în
scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și
privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului, JO L 119,
4.5.2016, p. 89-131. Aceasta a intrat în vigoare la 5 mai 2016. Statele membre ale UE trebuie să o transpună
în legislația lor națională până la data de 6 mai 2018.
4
A se vedea „Reglementările în materie de protecție a datelor și fluxurile internaționale de date: Implicații
pentru comerț și dezvoltare”, UNCTAD (2016):
http://unctad.org/en/PublicationsLibrary/dtlstict2016d1_en.pdf.

2
valorifice această oportunitate pentru a-și promova valorile de protecție a datelor și pentru a
facilita fluxurile de date prin încurajarea realizării convergenței sistemelor juridice. Prin
urmare, astfel cum s-a anunțat în programul de lucru al Comisiei5, prezenta comunicare
stabilește cadrul strategic al Comisiei pentru „deciziile privind caracterul adecvat al nivelului
de protecție”, precum și alte instrumente pentru transferurile de date și instrumente
internaționale de protecție a datelor.

2. PACHETUL UE DE REFORME PRIVIND PROTECȚIA DATELOR – UN CADRU LEGISLATIV


MODERN CARE SPRIJINĂ FLUXURILE INTERNAȚIONALE DE DATE CU UN GRAD RIDICAT DE
PROTECȚIE

Reforma legislației UE privind protecția datelor, adoptată în aprilie 2016, stabilește un sistem
care asigură un nivel ridicat de protecție și care este totodată deschis la oportunitățile oferite
de societatea informațională globală. Oferind cetățenilor mai mult control asupra propriilor
date cu caracter personal, reforma consolidează încrederea consumatorilor în economia
digitală. Armonizând și simplificând cadrul juridic, aceasta facilitează și face mai puțin
împovărătoare desfășurarea activităților economice în UE de către întreprinderi, atât interne,
cât și externe, inclusiv prin intermediul schimburilor internaționale de date. În prezent, UE
combină deschiderea către fluxurile internaționale de date cu cel mai ridicat nivel de protecție
pentru cetățeni. Aceasta are potențialul de a deveni o platformă pentru serviciile de date care
necesită atât fluxuri libere, cât și încredere.

2.1 Un cadru UE privind protecția datelor cuprinzător, unitar și simplificat

Reforma UE stabilește un cadru cuprinzător care reglementează prelucrarea datelor cu


caracter personal, atât în sectorul privat, cât și în sectorul public, precum ;i în sectorul
comercial și în cel de aplicare a legii (RGPD și Directiva privind poliția).

În temeiul RGPD, începând din mai 2018, va exista un singur set de norme paneuropean spre
deosebire de cele 28 de legislații naționale în prezent. Mecanismul ghișeului unic, creat de
curând, va garanta faptul că o singură autoritate pentru protecția datelor („APD”) va fi
responsabilă pentru supravegherea operațiunilor transfrontaliere de prelucrare a datelor
efectuate de o întreprindere din UE. Consecvența interpretării noilor norme va fi garantată. În
special, în cazurile transfrontaliere în care sunt implicate mai multe autorități naționale pentru
protecția datelor, va fi adoptată o singură decizie pentru a se garanta faptul că problemele
comune primesc soluții comune. În plus, RGPD creează condiții de concurență echitabile între
întreprinderile din UE și cele străine prin faptul că întreprinderile cu sediul în afara UE vor
trebui să aplice aceleași norme ca întreprinderile europene în cazul în care acestea oferă
bunuri și servicii în UE sau monitorizează comportamentul unor persoane din UE. Un nivel
sporit de încredere a consumatorilor va aduce beneficii atât operatorilor comerciali din UE,
cât și celor externi.

Directiva privind poliția prevede norme comune pentru prelucrarea datelor cu caracter
personal ale persoanelor fizice implicate în proceduri penale, în calitate de suspecți, victime
5
Programul de lucru al Comisiei pentru 2017, Construirea unei Europe care le oferă cetățenilor săi protecție,
îi ajută să își afirme drepturile și îi apără, COM(2016) 710 final, 25.10.2016, p. 12 și anexa 1.

3
sau martori, ținând seama totodată de caracterul specific al domeniului poliției și justiției
penale. Armonizarea normelor privind protecția datelor în domeniul aplicării legii, inclusiv a
normelor privind transferurile internaționale, va facilita cooperarea transfrontalieră între
poliție și autoritățile judiciare, atât în cadrul UE, cât și cu partenerii internaționali, și va crea
astfel condițiile pentru o combatere mai eficientă a criminalității. Aceasta reprezintă o
contribuție importantă la Agenda europeană privind securitatea6.

2.2 Un set de instrumente reînnoit și diversificat pentru transferurile internaționale

Încă de la începuturile sale, legislația UE privind protecția datelor a furnizat mai multe
mecanisme care permit transferurile internaționale de date. Scopul principal al acestor norme
este de a garanta faptul că, atunci când datele cu caracter personal ale cetățenilor europeni
sunt transferate în străinătate, este transferată concomitent și protecția asociată acestora. De-a
lungul anilor, aceste norme au stabilit standardul în ceea ce privește fluxurile internaționale de
date în numeroase jurisdicții. Deși structura rămâne în esență aceeași ca în directiva din 1995,
reforma normelor privind transferurile internaționale clarifică și simplifică utilizarea acestora
și introduce noi instrumente pentru transferuri.

În temeiul legislației UE, o modalitate de a transfera date cu caracter personal în străinătate


este pe baza unei „decizii privind caracterul adecvat al nivelului de protecție” adoptate de
Comisie prin care se stabilește că o țară terță asigură un nivel de protecție a datelor care este
„în esență echivalent”7 cu cel din UE. Efectul unei astfel de decizii este de a permite fluxul
liber de date cu caracter personal către țara terță în cauză fără a fi nevoie ca exportatorul de
date să ofere garanții suplimentare sau să obțină vreo autorizație. Un set precis și detaliat de
elemente pe care Comisia trebuie să le ia în considerare în momentul evaluării caracterului
adecvat al nivelului de protecție oferit de un sistem străin este disponibil pentru țările
interesate sau organizațiile internaționale8. În prezent, Comisia poate adopta decizii privind
caracterul adecvat al nivelului de protecție inclusiv pentru sectorul de aplicare a legii9. De
asemenea, pe baza practicii în temeiul Directivei din 1995, reforma permite în mod explicit ca

6
Comunicarea Comisiei către Parlamentul European, Consiliu, Comitetul Economic și Social și Comitetul
Regiunilor „Agenda europeană privind securitatea”, COM(2015) 185 final, 28.4.2015.
7
Hotărârea Curții de Justiție a UE din 6 octombrie 2015 în cauza C-362/14, Maximillian Schrems/Comisarul
pentru protecția datelor, punctele 73, 74 și 96. A se vedea, de asemenea, considerentul 104 din RGPD și
considerentul 67 din Directiva privind poliția care se referă la standardul echivalenței esențiale.
8
A se vedea articolul 45 din RGPD. Astfel cum se prevede la articolul 45 alineatul (2), în evaluarea sa,
Comisia trebuie să ia în considerare, printre altele, statul de drept, respectarea drepturilor omului și a
libertăților fundamentale și legislația relevantă, inclusiv în domeniul protecției datelor, al securității publice,
al apărării, al securității naționale și al dreptului penal și accesul autorităților publice la datele cu caracter
personal. Acestea trebuie să fie susținute de drepturi efective și executorii, inclusiv de căi de atac
administrative și judiciare pentru persoanele fizice și de către o autoritate de supraveghere independentă care
funcționează în mod efectiv pentru a garanta și a impune respectarea normelor privind protecția datelor.
Aderarea la convenții cu caracter obligatoriu din punct de vedere juridic, în special la Convenția 108 a
Consiliului Europei, și participarea la sisteme multilaterale sau regionale care se ocupă de protecția datelor
vor fi, de asemenea, luate în considerare.
9
A se vedea articolul 36 alineatul (2) din Directiva privind poliția pentru elementele specifice ale evaluării
caracterului adecvat.

4
stabilirea caracterului adecvat să vizeze un anumit teritoriu al unei țări terțe sau un anumit
sector sau o industrie dintr-o țară terță (așa-numitul caracter adecvat „parțial”)10.

În absența unei decizii privind caracterul adecvat al nivelului de protecție, transferurile


internaționale pot avea loc pe baza unui număr de instrumente alternative de transfer care
oferă garanții adecvate în ceea ce privește protecția datelor11. Reforma oficializează și extinde
posibilitățile de utilizare a instrumentelor existente, cum ar fi clauzele contractuale standard
(CCS)12 și regulile corporatiste obligatorii (BCR)13. De exemplu, CCS pot fi incluse în
prezent în cadrul unui contract între persoane împuternicite de către operator cu sediul în UE
și persoane împuternicite de către operator dintr-o țară terță (așa-numitele clauze standard „de
la persoană împuternicită de către operator la persoană împuternicită de către operator”)14. În
ceea ce privește BCR, care, până în prezent, au fost limitate la acordurile între entități
aparținând aceluiași grup corporativ, acestea pot fi utilizate acum de către un grup de
întreprinderi angajate într-o activitate economică comună, dar care nu fac neapărat parte din
același grup corporativ15. De asemenea, reforma reduce birocrația prin eliminarea cerințelor
generale de notificare prealabilă și de autorizare de către autoritățile pentru protecția datelor a
transferurilor către o țară terță bazate pe CCS sau a BCR16. Aceasta reprezintă o simplificare
importantă a sistemului UE de transferuri internaționale de date, întrucât existența unor astfel
de cerințe care, în prezent, variază de la un stat membru la altul, este deseori percepută ca un
obstacol semnificativ pentru fluxurile de date, în special pentru întreprinderile mai mici17.

În plus, reforma introduce noi instrumente pentru transferurile internaționale18. Operatorii și


persoanele împuternicite de către operatori vor putea să folosească, în anumite condiții19,
coduri de conduită sau mecanisme de certificare aprobate (cum ar fi sigilii sau mărci de
protecție a vieții private) pentru a stabili „garanții adecvate”. Acest lucru ar trebui să permită
dezvoltarea unor soluții mai adaptate pentru transferurile internaționale, reflectând, de
exemplu, caracteristicile și nevoile specifice ale unui anumit sector sau industrii sau ale
anumitor fluxuri de date. Aceasta oferă, de asemenea, posibilitatea de a oferi garanții adecvate

10
A se vedea articolul 45 alineatul (1) din RGPD și articolul 36 alineatul (1) din Directiva privind poliția.
11
A se vedea, de exemplu, Comunicarea Comisiei către Parlamentul European și Consiliu privind transferul
datelor cu caracter personal dinspre UE către Statele Unite ale Americii în temeiul Directivei 95/46/CE în
urma hotărârii pronunțate de Curtea de Justiție în cauza C-362/14 (Schrems), COM(2015) 566 final,
6.11.2015.
12
CCS stabilesc obligațiile respective în materie de protecție a datelor între exportatorul UE și importatorul
din țara terță.
13
BCR sunt norme interne adoptate de un grup multinațional de întreprinderi pentru efectuarea de transferuri
de date din cadrul aceluiași grup corporativ către entități situate în țări care nu asigură un nivel de protecție
adecvat. În timp ce BCR sunt deja în uz în temeiul Directivei din 1995, RGPD codifică și oficializează rolul
acestora ca instrument pentru transferuri.
14
A se vedea articolul 46 alineatul (2) literele (c) și (d) și considerentul 168 din RGPD.
15
A se vedea articolele 46 alineatul (2) litera (b), articolul 47 și considerentul 110 din RGPD.
16
A se vedea articolul 46 alineatul (2) din RGPD.
17
Faptul că cerințele de înregistrare creează o barieră în calea comerțului pentru multe întreprinderi, în special
IMM-uri, a fost evidențiat, de exemplu, în raportul UNCTAD, p. 34.
18
A se vedea articolul 46 alineatul (2) literele (e) și (f) din RGPD.
19
Operatorii din afara UE vor putea să adere la un cod european de conduită sau la un mecanism de certificare
prin asumarea de angajamente cu caracter obligatoriu și executoriu, prin intermediul angajamentelor
contractuale sau al altor angajamente obligatorii din punct de vedere juridic pentru a aplica garanțiile privind
protecția datelor cuprinse în aceste instrumente. A se vedea articolul 42 alineatul (2) din RGPD.

5
pentru transferurile de date între autorități sau organisme publice în baza unor acorduri
internaționale sau acorduri administrative20. În sfârșit, RGPD clarifică utilizarea așa-numitelor
„derogări”21 (de exemplu, consimțământ, executarea unui contract sau considerente
importante de interes public) pe care entitățile aflate în anumite situații își pot întemeia
transferurile de date în absența unei decizii privind caracterul adecvat al nivelului de protecție
și indiferent de utilizarea unuia dintre instrumentele menționate mai sus. Acesta conține, în
special, o nouă derogare, chiar dacă limitată, referitoare la transferurile care pot avea loc în
urmărirea intereselor legitime22 ale unei întreprinderi.

În sfârșit, reforma împuternicește Comisia să dezvolte mecanisme de cooperare internațională


pentru a facilita aplicarea normelor privind protecția datelor, inclusiv prin acorduri de
asistență reciprocă23. Aceasta recunoaște contribuția pe care formele de cooperare mai strânsă
între autoritățile de supraveghere la nivel internațional ar putea să o aibă în garantarea atât a
unei protecții mai eficace a drepturilor individuale, cât și a unei mai mari securități juridice
pentru întreprinderi.

3. TRANSFERURILE INTERNAȚIONALE DE DATE ÎN SECTORUL COMERCIAL: FACILITAREA


COMERȚULUI PRIN PROTEJAREA VIEȚII PRIVATE

Respectarea vieții private este o condiție pentru fluxuri comerciale globale stabile, sigure și
competitive. Respectarea vieții private nu este o marfă supusă comercializării24. Internetul și
digitalizarea bunurilor și serviciilor au transformat economia globală, iar transferul de date,
inclusiv de date cu caracter personal, la nivel transfrontalier face parte din operațiunile zilnice
ale întreprinderilor europene de toate dimensiunile și din toate sectoarele. Întrucât schimburile
comerciale se bazează din ce în ce mai mult pe fluxurile de date cu caracter personal,
confidențialitatea și securitatea acestor date a devenit un factor esențial al încrederii
consumatorilor. De exemplu, două treimi dintre europeni declară că își fac griji cu privire la
faptul că nu au control asupra informațiilor pe care le furnizează online, în timp ce jumătate
dintre respondenți sunt preocupați să nu devină o victimă a fraudelor25. În același timp,
întreprinderile europene care își desfășoară activitatea în anumite țări terțe se confruntă din ce
în ce mai mult cu restricții protecționiste care nu pot fi justificate de considerente legitime
legate de protecția vieții private.

Prin urmare, în era digitală, promovarea unor standarde ridicate de protecție a datelor și
facilitarea schimburilor comerciale internaționale trebuie, în mod necesar, să meargă mână în
mână. În timp ce protecția datelor cu caracter personal nu se negociază26 în cadrul acordurilor
comerciale, regimul UE privind transferurile internaționale de date, astfel cum a fost descris

20
A se vedea articolul 46 alineatul (2) litera (a) și alineatul (3) litera (b) din RGPD.
21
A se vedea articolul 49 din RGPD.
22
A se vedea articolul 49 alineatul (1) al doilea paragraf.
23
A se vedea articolul 50 din RGPD.
24
A se vedea, de exemplu, Comunicarea Comisiei către Parlamentul European, Consiliu, Comitetul Economic
și Social și Comitetul Regiunilor „Comerț pentru toți: Către o politică comercială și de investiții mai
responsabilă”, COM(2015) 497 final, 14.10.2015, p. 7.
25
Eurobarometru special 431 - Protecția datelor, iunie 2015.
26
Orientările politice ale președintelui Juncker: Un nou început pentru Europa: Agenda mea pentru locuri de
muncă, creștere, echitate și schimbări democratice

6
anterior, prevede o gamă largă și variată de instrumente pentru a permite fluxurile de date în
situații diferite, asigurându-se totodată un nivel ridicat de protecție.

3.1 Deciziile privind caracterul adecvat al nivelului de protecție

O constatare a caracterului adecvat permite libera circulație a datelor cu caracter personal din
UE fără ca exportatorul de date din UE să fie nevoit să pună în aplicare garanții suplimentare
sau să fie supus unor condiții suplimentare. Prin constatarea faptului că sistemul juridic al
unei țări prevede un nivel de protecție adecvat, decizia recunoaște faptul că sistemul respectiv
se apropie de cele din statele membre ale UE. Prin urmare, transferurile către țara în cauză vor
fi asimilate transmiterilor de date în interiorul UE, oferind astfel un acces privilegiat la piața
unică a UE și deschizând în același timp canalele comerciale pentru operatorii din UE. Astfel
cum s-a explicat mai sus, această recunoaștere implică în mod necesar un nivel de protecție
comparabil (sau „în esență echivalent”)27 cu cel garantat în Uniune. Aceasta implică o
evaluare globală a sistemului din țara terță, inclusiv a normelor sale privind accesul la date cu
caracter personal de către autoritățile publice pentru aplicarea legii, securitate națională și alte
scopuri de interes public.

În același timp, astfel cum a fost confirmat în 2015 de Curtea de Justiție în hotărârea Schrems,
standardul caracterului adecvat nu necesită o reproducere punct cu punct a normelor UE28.
Mai curând, testul constă în faptul dacă, prin fondul drepturilor la viață privată și punerea în
aplicare efectivă, exercitarea și supravegherea acestora, sistemul străin în cauză, în ansamblul
său, oferă nivelul ridicat de protecție necesar. Astfel cum indică deciziile privind caracterul
adecvat adoptate până în prezent, este posibilă recunoașterea de către Comisie ca fiind
adecvate a unei game variate de sisteme de protecție a vieții private, reprezentând diferite
tradiții juridice. Aceste decizii se referă la țări care sunt strâns integrate cu Uniunea
Europeană și statele sale membre (Elveția, Andorra, insulele Feroe, Guernsey, Jersey, Insula
Man), la parteneri comerciali importanți (Argentina, Canada, Israel, Statele Unite) și la țări
care joacă un rol de pionierat în elaborarea de legi privind protecția datelor în regiunea lor
(Noua Zeelandă, Uruguay).

Deciziile privind Canada și Statele Unite sunt constatări „parțiale” privind caracterul adecvat.
Decizia privind Canada se aplică doar entităților private care intră sub incidența Legii
canadiene privind protecția informațiilor cu caracter personal și documentele electronice.
Decizia adoptată recent privind Scutul de confidențialitate UE-SUA29 este un caz special, în
sensul că, în absența unei legislații generale privind protecția datelor în SUA30, aceasta se
bazează pe angajamentele asumate de întreprinderile participante de a aplica standardele
ridicate de protecție a datelor stabilite prin acest acord care, la rândul lor, sunt executorii în
temeiul legislației SUA. În plus, Scutul de confidențialitate se bazează pe declarațiile și

27
A se vedea nota de subsol 7.
28
Cf. punctul 74 din hotărârea Schrems.
29
Decizia de punere în aplicare UE(2016) 1260 din 12 iulie 2016.
30
Comisia încurajează SUA să depună eforturi în direcția unui sistem cuprinzător de protecție a vieții private
și a datelor care să permită convergența între cele două sisteme pe termen lung. A se vedea Comunicarea
Comisiei către Parlamentul European și Consiliu, „Fluxuri de date transatlantice: restabilirea încrederii prin
garanții puternice”, COM(2016) 117 final, 29.2.2016.

7
asigurările specifice prezentate de guvernul SUA în ceea ce privește accesul în scopuri de
securitate națională31 care stau la baza constatării caracterului adecvat. Respectarea acestor
angajamente va fi monitorizată îndeaproape de către Comisie și face parte din revizuirea
anuală cu privire la funcționarea cadrului.

În ultimii ani, tot mai multe țări din întreaga lume au adoptat noi legi în domeniul protecției
datelor și a vieții private sau sunt pe cale să facă acest lucru. În 2015, numărul țărilor care au
adoptat legi privind protecția datelor a ajuns la 109, o creștere semnificativă de la 76 la
jumătatea anului 201132. În plus, aproximativ 35 de țări sunt, în prezent, în curs de elaborare a
unor legi privind protecția datelor33. Aceste legi noi sau modernizate tind să se bazeze pe un
set fundamental de principii comune, inclusiv, printre altele, recunoașterea protecției datelor
ca fiind un drept fundamental, adoptarea unei legislații cuprinzătoare în domeniu, existența
drepturilor individuale exercitabile la viață privată și înființarea unei autorități de
supraveghere independente. Aceasta oferă noi oportunități, în special prin intermediul
constatărilor privind caracterul adecvat, de a facilita și mai mult fluxurile de date, garantând,
în același timp, menținerea nivelului ridicat de protecție a datelor cu caracter personal.

În temeiul legislației UE, o constatare a caracterului adecvat necesită existența unor norme
privind protecția datelor comparabile cu cele din UE34. Acest lucru se referă atât la măsurile
de protecție de fond a datelor cu caracter personal, cât și la mecanismele relevante de
supraveghere și de recurs disponibile în țara terță.

În temeiul cadrului său privind constatările caracterului adecvat, Comisia consideră că


următoarele criterii ar trebui să fie luate în considerare atunci când se evaluează țările terțe cu
care ar trebui purtat un dialog privind caracterul adecvat35:

(i) amploarea relațiilor comerciale (actuale sau potențiale) ale UE cu o anumită țară terță,
inclusiv existența unui acord de liber schimb sau a unor negocieri aflate în desfășurare;

(ii) amploarea fluxurilor de date cu caracter personal din UE, reflectând legături geografice
și/sau culturale;

(iii) rolul de pionierat pe care țara terță respectivă îl joacă în domeniul protecției vieții private
și a datelor care ar putea servi drept model pentru alte țări din regiunea în care se află
aceasta36; și

31
Acest lucru include, în special, aplicarea Directivei nr. 28 privind politica prezidențială (PPD-28), care
impune o serie de limitări și garanții pentru operațiunile de „colectare de informații pe baza semnalelor
electromagnetice”, precum și numirea unui Ombudsman special pentru plângerile depuse de persoane din
UE în această privință.
32
G. Greenleaf, „Global data privacy laws 2015: 109 countries, with European laws now in a minority”,
(2015) 133 Privacy Laws & Business International Report, 14-17.
33
Studiu UNCTAD, p. 8 și 42 (nota de subsol 4 de mai sus).
34
În acest sens, atunci când efectuează o evaluare cu privire la caracterul adecvat, Comisia ține seama, de
asemenea, de obligațiile țării terțe care decurg din convenții cu caracter obligatoriu din punct de vedere
juridic, în special aderarea acesteia la Convenția 108 și la Protocolul adițional la aceasta. A se vedea
articolul 45 alineatul (2) litera (c) și considerentul 105 din RGPD.
35
Pentru țările cu privire la care există interese relevante pentru cooperare în domeniul securității interne și al
aplicării legii, Comisia va examina posibilitatea adoptării unor constatări specifice privind caracterul
adecvat în conformitate cu Directiva privind poliția, a se vedea secțiunea 4.

8
(iv) relațiile politice globale cu țara terță în cauză, în special în ceea ce privește promovarea
valorilor comune și obiectivele comune la nivel internațional.

Pe baza acestor considerente, Comisia se va angaja în mod activ în relații cu principalii


parteneri comerciali din Asia de Est și de Sud-Est, începând cu Japonia și Coreea în 201737 și,
în funcție de progresul în direcția modernizării legilor sale privind protecția datelor, cu India,
dar și cu țări din America Latină, în special Mercosur, și cu țări din vecinătatea Europei care
și-au exprimat interesul de a obține o „constatare a caracterului adecvat”. În plus, Comisia
salută manifestările de interes din partea altor țări terțe care sunt dispuse să abordeze aceste
chestiuni. Discuțiile privind o posibilă constatare a caracterului adecvat constituie un dialog
bilateral care include furnizarea tuturor clarificărilor necesare cu privire la normele UE
privind protecția datelor și examinarea modalităților de a spori convergența între legile și
practicile din țările terțe.

În anumite situații, mai degrabă decât adoptarea unei abordări la nivelul întregii țări, ar putea
fi mai adecvată utilizarea unor alte opțiuni, cum ar fi caracterul adecvat parțial sau sectorial
(de exemplu, pentru sectorul serviciilor financiare sau pentru sectorul tehnologiei
informației), care se pot referi la zone geografice sau sectoare industriale care reprezintă o
parte importantă a economiei unei anumite țări terțe. Acest lucru va trebui să fie analizat
având în vedere elemente cum ar fi, de exemplu, natura și stadiul de dezvoltare al sistemului
de protecție a vieții private (drept de sine stătător, legi multiple sau sectoriale etc.), structura
constituțională a țării terțe sau dacă anumite sectoare ale economiei sunt expuse în mod
deosebit la fluxuri de date provenind din UE.

Adoptarea unei decizii privind caracterul adecvat al nivelului de protecție implică instituirea
unui dialog specific și a unor forme de cooperare strânsă cu țara terță în cauză. Deciziile
privind caracterul adecvat al nivelului de protecție sunt documente „dinamice” care trebuie să
fie monitorizate îndeaproape de către Comisie și adaptate în cazul unor evoluții care afectează
nivelul de protecție asigurat de către țara terță în cauză38. În acest scop, vor fi efectuate
revizuiri periodice, cel puțin o dată la patru ani, pentru a aborda aspectele emergente și pentru
a face schimb de bune practici între partenerii apropiați39. Această abordare dinamică se
aplică, de asemenea, deciziilor existente privind caracterul adecvat, adoptate în temeiul
directivei din 1995, care vor trebui să fie revizuite în cazul în care acestea nu mai îndeplinesc
standardul aplicabil.40. Prin urmare, țările terțe în cauză sunt invitate să informeze Comisia cu
privire la orice modificare relevantă a legislației și a practicilor care a avut loc după adoptarea

36
Acest lucru poate fi deosebit de relevant pentru țările în curs de dezvoltare și în tranziție, întrucât protecția
datelor cu caracter personal este atât un element esențial al statului de drept, cât și un important factor al
competitivității economice.
37
Japonia și Coreea au adoptat recent sau și-au modernizat legislația pentru a pune în practică regimuri
cuprinzătoare de protecție a datelor.
38
Articolul 45 alineatele (4) și (5) din RGPD obligă Comisia să monitorizeze permanent evoluțiile din țările
terțe și îi conferă competența de a anula, a modifica sau a suspenda o decizie privind caracterul adecvat al
nivelului de protecție în cazul în care constată că țara respectivă nu mai asigură un nivel de protecție
adecvat.
39
A se vedea articolul 45 alineatul (3) din RGPD.
40
Articolul 97 alineatul (2) litera (a) din RGPD solicită, de asemenea, Comisiei să prezinte până în 2020 un
raport de evaluare Parlamentului European și Consiliului.

9
deciziei privind caracterul adecvat referitoare la acestea. Acest lucru este esențial pentru a
asigura continuitatea deciziilor respective în conformitate cu noile norme ale reformei41.

Normele UE de protecție a datelor nu pot face obiectul negocierilor în cadrul unui acord de
liber schimb42. În timp ce dialogurile în materie de protecție a datelor și negocierile
comerciale cu țările terțe trebuie să urmeze căi separate, o decizie privind caracterul adecvat,
inclusiv una parțială sau sectorială, este cea mai bună modalitate de a clădi încrederea
reciprocă, garantând un flux de date cu caracter personal fără probleme, și de a facilita astfel
schimburile comerciale care implică transferuri de date cu caracter personal către țara terță în
cauză. Astfel de decizii pot ușura, prin urmare, negocierile comerciale sau pot completa
acordurile comerciale existente, permițându-le astfel să-și amplifice beneficiile. În același
timp, stimulând convergența nivelului de protecție în UE și în țara terță, o constatare a
caracterului adecvat reduce riscul de invocare de către țara respectivă a unor motive legate de
protecția datelor cu caracter personal pentru a impune cerințe nejustificate privind localizarea
sau stocarea de date. În afară de aceasta, astfel cum este indicat în Comunicarea „Comerț
pentru toți”, Comisia va urmări să utilizeze acordurile comerciale ale UE pentru a stabili
norme pentru comerțul electronic și fluxurile transfrontaliere de date și pentru a aborda noi
forme de protecționism digital, în deplină conformitate cu normele UE privind protecția
datelor și fără a le aduce atingere43.

Comisia:

 va acorda prioritate discuțiilor cu privire la eventuale decizii privind caracterul adecvat al


nivelului de protecție cu parteneri comerciali cheie din Asia de Est și de Sud-Est,
începând cu Japonia și Coreea în 2017, dar luând în considerare și alți parteneri strategici
precum India, precum și cu țări din America Latină, în special Mercosur, și cu țări din
vecinătatea Europei.

 va monitoriza cu atenție funcționarea deciziilor existente privind caracterul adecvat al


nivelului de protecție. Aceasta include, în particular, punerea în aplicare a cadrului
privind Scutul de confidențialitate UE-SUA, în special prin intermediul mecanismului
comun de revizuire anuală.

 va colabora și va acorda asistență țărilor interesate să adopte legi solide privind protecția
datelor și va sprijini convergența acestora cu principiile UE privind protecția datelor.

41
Pentru a deduce consecințele care decurg din hotărârea Schrems în care s-a constatat că Comisia și-a depășit
competențele în ceea ce privește restricționarea competențelor autorităților pentru protecția datelor de a
suspenda sau de a interzice fluxurile de date în Decizia privind sfera de siguranță, Comisia a adoptat, la
16 decembrie 2016, o decizie de modificare „omnibus” care elimină dispoziții similare prevăzute în deciziile
existente privind caracterul adecvat și care le înlocuiește cu dispoziții care se limitează să prevadă cerințe
privind informațiile între statele membre și Comisie în cazul în care o APD suspendă sau interzice
transferurile către o țară terță. Decizia omnibus introduce, de asemenea, o cerință conform căreia Comisia
trebuie să monitorizeze evoluțiile relevante din țara terță. A se vedea JO L355, 17.12.2016, p. 83.
42
În special, o constatare a caracterului adecvat este o decizie unilaterală de punere în aplicare adoptată de
către Comisie în conformitate cu legislația UE privind protecția datelor, pe baza criteriilor prevăzute în
aceasta.
43
A se vedea Comunicarea „Comerț pentru toți”, p. 12 (nota de subsol 24 de mai sus).

10
3.2 Mecanisme alternative pentru transferul de date

Normele UE privind protecția datelor au recunoscut întotdeauna că nu există o abordare de tip


universal în ceea ce privește transferurile internaționale de date. Acest lucru este cu atât mai
valabil în cazul normelor care rezultă din reformă. În timp ce constatările privind caracterul
adecvat vor fi disponibile numai pentru țările terțe care îndeplinesc criteriile relevante, RGPD
prevede o serie de mecanisme care sunt suficient de flexibile pentru a se adapta la o varietate
de situații diferite de transfer. Pot fi dezvoltate instrumente pentru a lua în considerare nevoile
sau condițiile specifice ale industriilor, ale modelelor de afaceri și/sau ale operatorilor
specifici. Aceasta ar putea, de exemplu, să ia forma unor CCS care vizează cerințele unui
anumit sector, de exemplu garanții specifice în momentul prelucrării de date sensibile în
sectorul sănătății, sau ale unui anumit tip de activități de prelucrare care predomină în anumite
țări terțe, de exemplu externalizarea serviciilor care sunt efectuate pentru întreprinderile
europene. Acest lucru ar putea fi realizat fie prin adoptarea unor noi seturi de clauze standard,
fie prin completarea celor existente cu garanții suplimentare care ar putea varia de la soluții
tehnice și organizatorice la soluții legate de modelele de afaceri44. Anumite necesități
sectoriale specifice pot fi acoperite, de asemenea, prin intermediul unor BCR aplicabile
grupurilor de întreprinderi implicate într-o activitate economică comună, de exemplu în
sectorul turismului. Transferurile internaționale între persoane împuternicite de către operatori
ar putea beneficia de pe urma elaborării unor CCS de la persoană împuternicită de către
operator la persoană împuternicită de către operator și/sau a unor BCR pentru persoanele
împuternicite de către operatori. În sfârșit, noile mecanisme de transfer precum codurile de
conduită aprobate și certificările acreditate emise de părți terțe oferă industriei posibilitatea de
a introduce soluții personalizate pentru transferurile internaționale, beneficiind în același timp
de avantajele competitive asociate, de exemplu, unui sigiliu sau mărci de protecție a vieții
private. Unele dintre aceste instrumente pot fi dezvoltate ca mecanisme specifice de transfer
sau ca parte a instrumentelor mai generale pentru a demonstra conformitatea cu toate
dispozițiile prevăzute în RGPD, cum ar fi în cazul unui cod de conduită aprobat.

Comisia va colabora cu industria, societatea civilă și autoritățile pentru protecția datelor în


vederea exploatării întregului potențial al setului de instrumente prevăzut în RGPD pentru
transferurile internaționale. Dialogul continuu cu părțile interesate în contextul punerii în
aplicare a reformei va contribui la identificarea domeniilor de acțiune prioritare în acest sens.
Acest lucru poate include finalizarea lucrărilor care au început deja, cum ar fi cele privind
elaborarea, în colaborare cu Grupul de lucru „articolul 29” (care urmează să fie înlocuit în
2018 de Comitetul european pentru protecția datelor), a unor CCS de la persoană
împuternicită de către operator la persoană împuternicită de către operator45. Aceasta poate
implica dezvoltarea de noi componente ale infrastructurii de conformitate a UE, de exemplu
prin intermediul definirii de către Comisie a cerințelor și a standardelor tehnice pentru

44
A se vedea articolul 46 alineatul (2) literele (c) și (d) și considerentul 109 din RGPD care clarifică faptul că
adaptări ale clauzelor standard aprobate sunt posibile atât timp cât acestea nu sunt contradictorii, direct sau
indirect, cu respectivele clauze standard sau nu aduc atingere drepturilor sau libertăților fundamentale ale
persoanelor.
45
În prezent, nu sunt elaborate CCS de la persoană împuternicită de către operator din UE la persoană
împuternicită de către operator din afara UE.

11
instituirea și funcționarea mecanismelor de certificare, inclusiv pentru aspectele referitoare la
transferurile internaționale46. Unele dintre aceste acțiuni pot fi completate de activitatea
desfășurată la nivel internațional, în special cu organizațiile care au dezvoltat mecanisme de
transfer similare. De exemplu, ar putea fi examinate modalitățile de promovare a convergenței
între BCR elaborate în temeiul legislației UE și Normele transfrontaliere de protecție a vieții
private elaborate de Cooperarea Economică Asia-Pacific (APEC)47, în ceea ce privește atât
standardele aplicabile, cât și procesul de punere în aplicare în cadrul fiecărui sistem. Acest
lucru ar trebui să contribuie la promovarea unor standarde ridicate de protecție a datelor la
nivel global cu atenuarea în același timp a diferențelor de abordare a protecției vieții private și
a datelor, sprijinind operatorii comerciali să navigheze între diferitele sisteme și elaborând
politici conforme cu acestea.

Comisia:

 va colabora cu părțile interesate pentru a elabora mecanisme alternative pentru


transferul de date cu caracter personal adaptate la nevoile sau la condițiile
specifice ale industriilor, ale modelelor de afaceri și/sau ale operatorilor specifici.

3.3 Cooperarea internațională în domeniul protecției datelor cu caracter personal

3.3.1. Promovarea standardelor de protecție a datelor prin instrumente și foruri multilaterale

Cadrul juridic privind protecția datelor din UE a servit deseori drept punct de referință pentru
țările terțe care elaborează legislație în domeniu. UE va continua să se implice în mod activ în
dialogul cu partenerii săi internaționali, atât la nivel bilateral, cât și la nivel multilateral,
pentru a promova convergența prin dezvoltarea unor standarde ridicate și interoperabile de
protecție a datelor cu caracter personal la nivel global. Acest lucru contribuie la protecția mai
eficace a drepturilor cetățenilor și, în același timp, reduce obstacolele în calea fluxului
transfrontalier de date ca un element important al liberului schimb.

În special, Comisia încurajează aderarea țărilor terțe la Convenția 108 a Consiliului Europei și
la Protocolul adițional la aceasta48. Convenția, care este deschisă țărilor care nu sunt membre
ale Consiliului Europei și care a fost deja ratificată de 50 de țări, inclusiv de state din Africa și
America de Sud49, este singurul instrument multilateral obligatoriu din punct de vedere juridic
în domeniul protecției datelor. Aceasta se află în prezent în curs de revizuire, iar Comisia va
promova în mod activ adoptarea rapidă a textului modernizat astfel încât UE să devină parte.
46
Articolul 43 alineatele (8) și (9) din RGPD.
47
A se vedea Cadrul comun de referință APEC/UE din 2014 pentru structura regulilor corporatiste obligatorii
ale UE și sistemul APEC de norme transfrontaliere de protecție a vieții private (CBPR), care compară
cerințele de conformitate și de certificare ale celor două sisteme:
http://www.apec.org/~/media/Files/Groups/ECSG/20140307_Referential-BCR-CBPR-reqs.pdf.
48
Convenția Consiliului Europei din 28 ianuarie 1981 pentru protecția persoanelor cu privire la prelucrarea
automată a datelor cu caracter personal (ETS nr. 180) și Protocolul adițional la Convenția privind protecția
persoanelor fizice în ceea ce privește prelucrarea automată a datelor cu caracter personal cu privire la
autoritățile de control și fluxul transfrontalier al datelor (ETS nr. 181), semnat în 2001.
49
Mauritius, Senegal și Uruguay au ratificat convenția. În plus, Capul Verde, Maroc și Tunisia au fost invitate
să adere.

12
Aceasta va reflecta aceleași principii precum cele consacrate în cadrul noilor norme UE
privind protecția datelor și, prin urmare, va contribui la convergența către un set de standarde
ridicate de protecție a datelor.

Reuniunea G20 din 2017 va oferi o nouă ocazie pentru UE să depună eforturi pentru
realizarea convergenței în jurul principiului conform căruia standardele ridicate de protecție a
datelor sunt o componentă esențială a dezvoltării în continuare a unei societăți informaționale
globale, capabilă să promoveze inovarea, creșterea economică și bunăstarea socială50.

De asemenea, Comisia așteaptă cu interes colaborarea cu noi actori importanți, cum ar fi


Raportorul special al ONU privind dreptul la viață privată51, precum și să își dezvolte în
continuare relațiile de lucru cu organizații regionale, cum ar fi APEC, pentru a promova o
cultură la nivel mondial cu privire la respectarea drepturilor la viața privată și a protecției
datelor cu caracter personal.

Ca parte a eforturilor sale mai ample de sporire a gradului de conștientizare cu privire la


protecția vieții private și de introducere a garanțiilor în materie de protecție a datelor la nivel
internațional, la 15 noiembrie 2016, Comisia Europeană a aprobat un proiect în cadrul
Instrumentului de parteneriat pentru consolidarea cooperării cu țările partenere în domeniu52.
Acesta va include finanțarea de activități precum activități de formare și de sensibilizare. La
rândul său, în contextul punerii în aplicare a reformei, UE poate beneficia de schimbul de cele
mai bune practici și de experiența altor sisteme cu privire la noi provocări pentru protecția
vieții private și noi soluții juridice sau tehnice, inclusiv în ceea ce privește aplicarea legii,
instrumentele de conformitate (de exemplu, mecanisme de certificare, evaluări ale impactului
asupra vieții private) sau măsurile de protecție pentru anumite seturi de date (de exemplu, date
ale copiilor).

3.3.2. Cooperarea în domeniul aplicării legii

Consolidarea cooperării cu autoritățile de asigurare a respectării vieții private și cu autoritățile


de supraveghere relevante din țările terțe este din ce în ce mai necesară având în vedere
acoperirea globală a întreprinderilor multinaționale care prelucrează volume semnificative de
date cu caracter personal într-un număr mare de țări. Deseori, problemele legate de
neconformitatea cu normele privind protecția datelor sau încălcările securității datelor
afectează în mod simultan persoane din mai multe jurisdicții. În aceste cazuri, protecția
persoanelor ar putea deveni mai eficace printr-o acțiune comună. În același timp, operatorii
economici ar beneficia de pe urma unui cadru juridic mai clar în cadrul căruia instrumentele
comune de interpretare și practicile în materie de aplicare a legii sunt elaborate la nivel global.

50
A se vedea, de asemenea, Declarația ministerială a OCDE privind economia digitală: inovare, creștere
economică și bunăstare socială („Declarația de la Cancun”), 23 iunie 2016.
51
A se vedea: http://www.ohchr.org/EN/Issues/Privacy/SR/Pages/SRPrivacyIndex.aspx.
52
Decizia de punere în aplicare C(2016) 7198 a Comisiei de aprobare a celei de a doua etape a programului
anual de acțiune 2016 (PAA 2016) al Instrumentului de parteneriat.

13
Prin urmare, în lumea fără frontiere și conectată a fluxurilor de date, este momentul să se
intensifice cooperarea între autoritățile de punere în aplicare53. UE este pregătită să își
îndeplinească rolul. Astfel cum s-a amintit mai sus, RGPD împuternicește Comisia să
dezvolte mecanisme de cooperare internațională pentru a facilita punerea efectivă în aplicare a
legislației privind protecția datelor, inclusiv prin acorduri de asistență reciprocă. În acest
context, ar trebui examinată posibilitatea elaborării unui acord-cadru de cooperare între
autoritățile pentru protecția datelor din UE și autoritățile de punere în aplicare din anumite țări
terțe, inclusiv pe baza experienței dobândite de Comisie în alte domenii de aplicare a legii,
cum ar fi concurența și protecția consumatorilor.

Comisia:

 va promova adoptarea rapidă a textului modernizat al Convenției 108 a Consiliului


Europei pentru ca UE să devină parte la aceasta și va încuraja aderarea țărilor terțe.

 va utiliza forurile multilaterale precum Organizația Națiunilor Unite, G20 și APEC


pentru a încuraja o cultură globală a respectului pentru drepturile în materie de protecție
a datelor.

 va dezvolta mecanisme de cooperare internațională cu parteneri internaționali cheie


pentru a facilita aplicarea eficace.

4. O COOPERARE MAI EFICACE ÎN DOMENIUL APLICĂRII LEGII CU GARANȚII SOLIDE ÎN


MATERIE DE PROTECȚIE A DATELOR

Schimburile de date cu caracter personal fac parte integrantă din prevenirea, investigarea și
urmărirea penală a infracțiunilor. Într-o lume interconectată în care criminalitatea se oprește
rareori la frontierele naționale, schimbul rapid de date cu caracter personal este esențial pentru
succesul cooperării în domeniul aplicării legii și pentru a contracara în mod eficient
criminalitatea. Aceste schimburi trebuie să fie susținute de garanții solide în materie de
protecție a datelor. Acest lucru contribuie, de asemenea, la clădirea încrederii între autoritățile
de aplicare a legii (AAL) și la consolidarea securității juridice atunci când se colectează și/sau
se face schimb de informații.

Normele privind transferurile internaționale prevăzute în Directiva privind poliția


reglementează schimburile de date dintre autoritățile de aplicare a legii din UE și cele din
afara UE, precum și, în anumite situații, transferurile de la autoritățile de aplicare a legii către

53
Rețelele existente includ Rețeaua globală de asigurare a respectării legislației în materie de viață privată
(Global Privacy Enforcement Network - GPEN) lansată în 2010 sub auspiciile OCDE. Aceasta este o rețea
informală a autorităților de asigurare a respectării legislației în materie de viață privată, în care sunt
implicate APD din UE, care are drept sarcini, printre altele, cooperarea în domeniul aplicării legii, schimbul
de cele mai bune practici în abordarea provocărilor transfrontaliere și sprijinirea inițiativelor comune în
materie de aplicare a legii și campanii de sensibilizare. Aceasta nu creează noi obligații juridice în rândul
participanților și se axează, în special, pe facilitarea cooperării în materie de aplicare a legilor privind viața
privată care reglementează sectorul privat. A se vedea https://privacyenforcement.net/.

14
alte entități. Directiva introduce posibilitatea adoptării unor constatări privind caracterul
adecvat în sectorul aplicării dreptului penal. Comisia va promova posibilitatea unor astfel de
constatări privind caracterul adecvat cu țările terțe eligibile, în special cu țările cu care este
necesară o colaborare strânsă și rapidă în lupta împotriva criminalității și a terorismului și
unde au loc deja schimburi de date cu caracter personal la un nivel semnificativ. Pe această
bază, Comisia va acorda prioritate discuțiilor cu privire la deciziile privind caracterul adecvat
cu țările terțe care sunt parteneri-cheie în cadrul acestui demers.

În mod alternativ, Acordul-cadru UE-SUA privind protecția datelor54, încheiat în decembrie


2016, reprezintă un exemplu de succes al modului în care cooperarea în domeniul aplicării
legii cu un important partener internațional poate fi îmbunătățită prin negocierea unui set solid
de garanții în materie de protecție a datelor. Completând în mod automat instrumentele
juridice existente pe care se bazează schimburile de date (în special acordurile bilaterale, atât
la nivelul UE, cât și la nivelul statelor membre), acordul-cadru aduce beneficii imediate și
directe persoanelor și consolidează cooperarea în domeniul aplicării legii prin facilitarea
schimbului de informații. În plus, prin stabilirea unei linii de referință pentru viitoarele
acorduri privind transferul de date cu SUA, acordul-cadru elimină necesitatea de a renegocia
în mod repetat aceleași garanții. Acordul-cadru reprezintă primul acord internațional bilateral
cu un set cuprinzător de drepturi și obligații privind protecția datelor în conformitate cu
acquis-ul UE. Prin urmare, acesta poate servi drept bază pentru negocierea unor acorduri
similare cu țări terțe, nu numai în domeniul cooperării judiciare și polițienești, dar și în alte
domenii ale aplicării legii la nivel public (de exemplu, politica în domeniul concurenței,
protecția consumatorilor). Aceasta ar cuprinde atât schimburile între guverne, cât și
transferurile de date între întreprinderi private și autoritățile de aplicare a legii. Acordul-cadru
ar putea facilita, de asemenea, încheierea de către Uniune a unor acorduri privind schimbul de
date între agențiile relevante ale UE (în special Europol și Eurojust) și țările terțe55. Prin
urmare, Comisia va examina posibilitatea de a încheia acorduri-cadru similare cu partenerii
săi importanți în domeniul aplicării legii.

De asemenea, Directiva privind poliția prevede posibilitatea, sub rezerva unor garanții stricte
și în circumstanțe specifice, ca autoritățile de aplicare a legii din UE să solicite informații
direct de la o societate privată într-o țară terță și să transmită informații cu caracter personal
(de regulă, un nume sau o adresă IP) în solicitarea respectivă56. În același timp, RGPD
abordează în mod specific cazuri în care entități private din UE transmit date cu caracter
personal către autoritățile de aplicare a legii dintr-o țară terță ca urmare a unei solicitări: astfel
de transferuri în afara UE sunt permise numai în anumite condiții, de exemplu, pe baza unui

54
Acord între UE și SUA privind protecția datelor cu caracter personal atunci când acestea sunt transferate și
prelucrate în scopul prevenirii, investigării, detectării sau urmăririi infracțiunilor, inclusiv a terorismului, în
cadrul cooperării polițienești și al cooperării judiciare în materie penală: http://ec.europa.eu/justice/data-
protection/files/dp-umbrella-agreement_en.pdf („acordul-cadru”)
55
Încheierea de acorduri operaționale cu Europol și Eurojust a constituit, de asemenea, un punct de referință în
cadrul dialogurilor privind liberalizarea regimului vizelor cu anumite țări terțe, inclusiv, de exemplu, în
contextul dialogului în curs cu Turcia.
56
A se vedea articolul 39 și considerentul 73 din Directiva privind poliția.

15
acord internațional sau atunci când divulgarea este necesară dintr-un motiv important de
interes public recunoscut în dreptul Uniunii sau al statelor membre57.

Această cooperare, care a devenit esențială pentru succesul investigării și urmăririi penale a
infracțiunilor și a terorismului, este evidențiată în concluziile Consiliului privind
îmbunătățirea justiției penale în spațiul cibernetic. Consiliul a invitat Comisia să ia măsuri
concrete, pe baza unei abordări comune a UE, pentru îmbunătățirea cooperării cu prestatorii
de servicii, eficientizarea asistenței judiciare reciproce și propunerea de soluții la problemele
legate de stabilirea și aplicarea jurisdicției în spațiul cibernetic58. Aceste acțiuni acoperă atât
schimburile între autoritățile de aplicare a legii și furnizorii de servicii cu sediul în UE și
schimburile cu autorități și companii din afara UE. Comisia va prezenta opțiuni pentru accesul
la probe electronice în iunie 2017, luând în considerare nevoia de cooperare rapidă și fiabilă
susținută de standardele puternice de protecție a datelor din Directiva privind poliția și RGPD
atât în situații interne în cadrul UE, cât și pentru transferuri internaționale.

În sfârșit, în conformitate cu noul temei juridic al Europol, Comisia va evalua dispozițiile


cuprinse în acordurile de cooperare operațională între Europol și părți terțe, încheiate în
conformitate cu Decizia 2009/371/JAI a Consiliului, inclusiv dispozițiile acestora privind
protecția datelor59. De asemenea, astfel cum este prevăzut în Agenda europeană privind
securitatea pentru anul 2015, abordarea viitoare a Comisiei în ceea ce privește schimbul de
date din registrele cu numele pasagerilor cu țări din afara UE va lua în considerare nevoia de a
aplica standarde coerente și protecții specifice ale drepturilor fundamentale. Comisia va lucra
la soluții solide din punct de vedere juridic și durabile pentru schimbul de date din registrele
cu numele pasagerilor (PNR) cu țări terțe, inclusiv prin luarea în considerare a unui model de
acord privind registrele cu numele pasagerilor care prevede cerințele pe care țările terțe
trebuie să le îndeplinească pentru a primi date PNR din UE. Cu toate acestea, orice politică
viitoare în domeniu va depinde, în special, de viitorul aviz al Curții de Justiție a Uniunii
Europene cu privire la acordul preconizat UE-Canada privind PNR60.

57
A se vedea articolul 48 și considerentul 115 din RGPD.
58
Concluziile Consiliului Uniunii Europene privind îmbunătățirea justiției penale în spațiul cibernetic,
9 iunie 2016: www.consilium.europa.eu/en/meetings/jha/2016/06/cyberspace--en_pdf/. În urma raportului
său privind progresele înregistrate prezentat Consiliului în decembrie 2016, Comisia a fost însărcinată să
prezinte Consiliului rezultatele cu privire la aceste aspecte până în iunie 2017.
59
A se vedea articolul 25 alineatul (4) din Regulamentul (UE) 2016/794 al Parlamentului European și al
Consiliului din 11 mai 2016 privind Agenția Uniunii Europene pentru Cooperare în Materie de Aplicare a
Legii (Europol) și de înlocuire și de abrogare a Deciziilor 2009/371/JAI, 2009/934/JAI, 2009/935/JAI,
2009/936/JAI și 2009/968/JAI ale Consiliului JO L 135, 24.5.2016 (p. 53-114) Comisia trebuie să prezinte
un raport de evaluare până la 14 iunie 2021 privind acordurile de cooperare ale Europol încheiate înainte de
1 mai 2017.
60
Avizul Curții de Justiție privind proiectul de acord UE-Canada privind PNR din 2014 înaintat Curții de către
Parlamentul European (Avizul 1/15). Curtea a fost solicitată să evalueze compatibilitatea proiectului de
acord cu Carta drepturilor fundamentale a UE.

16
O COOPERARE MAI EFICACE ÎN DOMENIUL APLICĂRII LEGII CU GARANȚII SOLIDE ÎN
MATERIE DE PROTECȚIE A DATELOR

Comisia:

 va promova posibilitatea adoptării unor decizii privind caracterul adecvat al nivelului


de protecție în conformitate cu Directiva privind poliția cu țările terțe eligibile.

 va promova negocierea de acorduri în domeniul aplicării legii cu parteneri


internaționali importanți în concordanță cu modelul furnizat de acordul umbrelă cu
SUA.

 va da curs Concluziilor Consiliului privind îmbunătățirea justiției penale în spațiul


cibernetic pentru a facilita schimbul transfrontalier de probe electronice în
conformitate cu normele privind protecția datelor.

5. CONCLUZIE

Protecția și schimbul datelor cu caracter personal nu se exclud reciproc. Un sistem solid de


protecție a datelor facilitează fluxurile de date prin consolidarea încrederii consumatorilor în
întreprinderile cărora le pasă de modul în care gestionează datele cu caracter personal ale
clienților lor. Standardele ridicate în materie de protecție a datelor devin astfel un avantaj în
economia digitală globală. Același lucru este valabil pentru cooperarea în domeniul aplicării
legii: garanțiile privind protecția vieții private fac parte integrantă din schimbul rapid și
eficace de informații în cadrul luptei împotriva criminalității, pe baza încrederii reciproce și a
securității juridice.

După finalizarea reformei normelor sale privind protecția datelor, UE ar trebui să se implice
în mod proactiv cu țările terțe în acest domeniu. Aceasta ar trebui să urmărească să obțină o
mai mare convergență pozitivă a principiilor privind protecția datelor la nivel internațional,
atât în plan bilateral, cât și multilateral. Acest lucru este în interesul și în beneficiul cetățenilor
și al întreprinderilor deopotrivă. Noul cadru legislativ privind protecția datelor oferă UE
instrumentele necesare și adecvate pentru atingerea acestor obiective. Pe baza abordării
strategice descrise în prezenta comunicare, Comisia se va angaja în mod activ cu țările terțe
cheie în vederea examinării posibilității de a adopta constatări privind caracterul adecvat,
începând cu Japonia și Coreea în 2017, în scopul promovării convergenței în materie de
reglementare în direcția standardelor UE și al facilitării relațiilor comerciale. În același timp,
UE va utiliza pe deplin setul de instrumente alternative de transfer pentru a proteja drepturile
în materie de protecție a datelor și pentru a sprijini operatorii economici în cazul în care datele
sunt transferate în țări al căror drept intern nu asigură un nivel adecvat de protecție a datelor.
Aceste instrumente ar trebui, de asemenea, să fie utilizate pentru a facilita în continuare
cooperarea între autoritățile de supraveghere și autoritățile de aplicare a legii din UE și
partenerii internaționali ai acestora. Comisia va asigura coerența dintre dimensiunea internă și
cea externă a politicii UE în materie de protecție a datelor și va promova o protecție solidă a
17
datelor la nivel internațional pentru a îmbunătăți cooperarea în domeniul aplicării legii, pentru
a contribui la liberul schimb și pentru a dezvolta standarde ridicate de protecție a datelor cu
caracter personal la nivel global.

18