Sunteți pe pagina 1din 14

25.02.2018 L_2010039EN.01000501.

xml

12.2.2010 RO Jurnalul Oficial al Uniunii Europene L 39/5

DECIZIA COMISIEI

din 5 februarie 2010

privind clauzele contractuale standard pentru transferul de date cu caracter personal către
prelucrătorii stabiliți în țări terțe în temeiul Directivei 95/46 / CE a Parlamentului European și a
Consiliului

[notificată cu numărul C (2010) 593]

(Text cu relevanță pentru SEE)

(2010/87 / UE)
COMISIA EUROPEANĂ,
Având în vedere Tratatul privind funcționarea Uniunii Europene,
Având în vedere Directiva 95/46 / CE a Parlamentului European și a Consiliului din 24 octombrie 1995
privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera
1
circulație a acestor date ( ) , în special articolul Articolul 26 alineatul (4),
După consultarea Autorității Europene pentru Protecția Datelor,
Întrucât:
(1) În conformitate cu Directiva 95/46 / CE, statele membre trebuie să prevadă că transferul de date cu
caracter personal către o țară terță poate avea loc numai dacă țara terță în cauză asigură un nivel
adecvat de protecție a datelor și legile statelor membre care respectă cu celelalte dispoziții ale
directivei, sunt respectate înainte de transfer.
(2) Cu toate acestea, articolul 26 alineatul (2) din Directiva 95/46 / CE prevede că statele membre pot
autoriza, sub rezerva anumitor garanții, un transfer sau o serie de transferuri de date cu caracter
personal către țări terțe care nu asigură un nivel adecvat de protecție. Aceste garanții pot rezulta, în
special, din clauze contractuale corespunzătoare.
(3) În conformitate cu Directiva 95/46 / CE, nivelul protecției datelor trebuie evaluat în funcție de toate
circumstanțele legate de operațiunea de transfer de date sau de un set de operațiuni de transfer de date.
Grupul de lucru privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter
personal, instituit în temeiul directivei menționate, a emis orientări pentru a sprijini evaluarea.
(4) Clauzele contractuale standard ar trebui să se refere numai la protecția datelor. Prin urmare,
exportatorul de date și importatorul de date sunt liberi să includă orice alte clauze privind problemele
legate de afaceri pe care le consideră relevante pentru contract, atâta timp cât nu contravin clauzelor
contractuale standard.
(5) Prezenta decizie nu ar trebui să aducă atingere autorizațiilor naționale pe care statele membre le pot
acorda în conformitate cu dispozițiile naționale de punere în aplicare a articolului 26 alineatul (2) din
Directiva 95/46 / CE. Prezenta decizie ar trebui să aibă ca efect obligarea statelor membre să nu refuze
recunoașterea clauzelor contractuale standard prevăzute de aceasta și nu ar trebui, așadar, să aibă nici
un efect asupra altor clauze contractuale, deoarece oferă garanții adecvate.
(6) Decizia 2002/16 / CE a Comisiei din 27 decembrie 2001 privind clauzele contractuale standard pentru
transferul datelor cu caracter personal către prelucrătorii stabiliți în țări terțe, în temeiul Directivei
2
95/46 / CE ( ), a fost adoptată pentru a facilita transferul datelor cu caracter personal din un operator

http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32010D0087&from=en 1/14
25.02.2018 L_2010039EN.01000501.xml

de date stabilit în Uniunea Europeană unui procesator stabilit într-o țară terță care nu oferă un nivel
adecvat de protecție.
(7) Din momentul adoptării Deciziei 2002/16 / CE a fost câștigată o mare experiență. În plus, raportul
privind punerea în aplicare a deciziilor privind clauzele contractuale standard pentru transferurile de
3
date cu caracter personal către țări terțe ( ) a arătat că există un interes crescând în promovarea
utilizării clauzelor contractuale standard pentru transferurile internaționale de date cu caracter personal
către țările terțe care nu oferă un nivel adecvat de protecție. În plus, părțile interesate au prezentat
propuneri în vederea actualizării clauzelor contractuale standard prevăzute în Decizia 2002/16 / CE
pentru a ține seama de amploarea rapidă a activităților de prelucrare a datelor din lume și pentru a
4
aborda anumite probleme care au fost care nu sunt incluse în decizia menționată ( ).
(8) Domeniul de aplicare al prezentei decizii ar trebui să se limiteze la stabilirea faptului că clauzele pe
care le stabilește pot fi utilizate de un operator de date stabilit în Uniunea Europeană pentru a furniza
garanții adecvate în sensul articolului 26 alineatul (2) din Directiva 95/46 / CE pentru transferul
datelor cu caracter personal către un procesator stabilit într-o țară terță.
(9) Prezenta decizie nu ar trebui să se aplice transferului de date personale de către controlorii stabiliți în
Uniunea Europeană operatorilor stabiliți în afara Uniunii Europene care intră sub incidența Deciziei
2001/497 / CE a Comisiei din 15 iunie 2001 privind clauzele contractuale standard pentru transferul
5
datele cu caracter personal către țări terțe, în temeiul Directivei 95/46 / CE ( ) .
(10)Prezenta decizie ar trebui să pună în aplicare obligația prevăzută la articolul 17 alineatul (3) din
Directiva 95/46 / CE și nu ar trebui să aducă atingere conținutului contractelor sau actelor juridice
stabilite în temeiul acestei dispoziții. Cu toate acestea, ar trebui să se includă unele dintre clauzele
contractuale standard, în special în ceea ce privește obligațiile exportatorului de date, pentru a spori
claritatea dispozițiilor care pot fi conținute într-un contract între un operator și un prelucrător.
(11) Autoritățile de supraveghere din statele membre joacă un rol esențial în acest mecanism contractual,
asigurând protecția adecvată a datelor cu caracter personal după transfer. În cazuri excepționale în care
exportatorii de date refuză sau nu pot instrui în mod corespunzător importatorul de date, cu un risc
iminent de a aduce prejudicii grave persoanelor vizate, clauzele contractuale standard ar trebui să
permită autorităților de supraveghere să controleze importatorii și subprocesorii de date și, dacă este
cazul , să ia decizii obligatorii pentru importatorii și subprocesorii de date.
(12)Clauzele contractuale clare ar trebui să prevadă măsurile de securitate tehnică și organizatorică care
trebuie aplicate de către prelucrătorii de date stabiliți într-o țară terță care nu oferă o protecție
adecvată, pentru a asigura un nivel de securitate adecvat riscurilor reprezentate de prelucrare și de
natura datelor pentru a fi protejat. Părțile ar trebui să prevadă în contract acele măsuri tehnice și
organizatorice care, având în vedere legislația aplicabilă în materie de protecție a datelor, stadiul
tehnicii și costurile de punere în aplicare a acestora sunt necesare pentru protejarea datelor cu caracter
personal împotriva distrugerii accidentale sau ilicite sau accidentale pierderea, modificarea, divulgarea
sau accesul neautorizat sau orice alte forme ilegale de procesare.
(13)Pentru a facilita fluxurile de date din Uniunea Europeană, este de dorit ca prelucrătorilor care
furnizează servicii de prelucrare a datelor mai multor controlori de date din Uniunea Europeană să li se
permită să aplice aceleași măsuri de securitate tehnică și organizatorică, indiferent de statul membru de
unde provin datele transferul provine, în special în cazurile în care importatorul de date primește date
pentru prelucrare ulterioară de la diferite unități ale exportatorului de date din Uniunea Europeană, caz
în care ar trebui să se aplice legea statului membru de stabilire desemnat.
(14)Este necesar să se stabilească informațiile minime pe care părțile ar trebui să le precizeze în contractul
privind transferul. Statele membre ar trebui să își păstreze competența de a preciza informațiile pe care
părțile trebuie să le furnizeze. Punerea în aplicare a prezentei decizii ar trebui revizuită în lumina
experienței acumulate.
(15)Importatorul de date ar trebui să prelucreze datele cu caracter personal transferate numai în numele

http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32010D0087&from=en Î 2/14
25.02.2018 L_2010039EN.01000501.xml

exportatorului de date și în conformitate cu instrucțiunile sale și cu obligațiile cuprinse în clauze. În


special, importatorul datelor nu ar trebui să divulge datele cu caracter personal unei terțe părți fără
acordul prealabil scris al exportatorului de date. Exportatorul de date trebuie să instruiască
importatorul de date pe întreaga durată a serviciilor de prelucrare a datelor să proceseze datele în
conformitate cu instrucțiunile sale, cu legile aplicabile privind protecția datelor și cu obligațiile
cuprinse în clauze.
(16)Raportul privind punerea în aplicare a deciziilor privind clauzele contractuale standard pentru
transferurile de date cu caracter personal către țări terțe a recomandat stabilirea unor clauze
contractuale standard corespunzătoare privind transferurile ulterioare ulterioare de la un procesator de
date stabilit într-o țară terță către un alt procesator de date (subprocesare) , pentru a ține seama de
tendințele și practicile afacerii pentru o activitate de prelucrare din ce în ce mai globalizată.
(17)Prezenta decizie ar trebui să conțină clauze contractuale standard specifice privind subprocesarea de
către un procesator de date stabilit într-o țară terță (importatorul de date) a serviciilor sale de prelucrare
către alți prelucrători (subprocesori) stabiliți în țări terțe. În plus, prezenta decizie ar trebui să
stabilească condițiile pe care trebuie să le îndeplinească subprocesarea pentru a se asigura că datele cu
caracter personal care sunt transferate continuă să fie protejate, în ciuda transferului ulterior către un
subprocesor.
(18)În plus, subprocesarea trebuie să cuprindă numai operațiunile convenite în contractul dintre
exportatorul de date și importatorul de date care încorporează clauzele contractuale standard prevăzute
în prezenta decizie și nu trebuie să se refere la diferite operațiuni sau scopuri de prelucrare, astfel încât
limitarea scopului principiul stabilit de Directiva 95/46 / CE. În plus, în cazul în care subprocesorul nu
își îndeplinește propriile obligații de prelucrare a datelor în temeiul contractului, importatorul de date
ar trebui să rămână responsabil față de exportatorul de date. Transferul de date cu caracter personal
către prelucrătorii stabiliți în afara Uniunii Europene nu ar trebui să aducă atingere faptului că
activitățile de prelucrare ar trebui să fie reglementate de legea aplicabilă protecției datelor.
(19)Clauzele contractuale standard ar trebui să fie executorii nu numai de către organizațiile care sunt părți
la contract, ci și de către persoanele vizate, în special atunci când persoanele vizate suferă un
prejudiciu ca urmare a încălcării contractului.
(20)Persoana vizată ar trebui să fie îndreptățită să ia măsuri și, după caz, să primească despăgubiri de la
exportatorul de date care este operatorul de date al datelor cu caracter personal transferate. În mod
excepțional, persoana vizată ar trebui, de asemenea, să fie îndreptățită să ia măsuri și, după caz, să
primească o compensație din partea importatorului de date în aceste cazuri, care rezultă dintr-o
încălcare de către importatorul de date sau orice subprocesor în cadrul acestuia a oricăror dintre
obligațiile sale la alineatul (2) din clauza 3, în cazul în care exportatorul de date a dispărut în mod real
sau a încetat să existe prin lege sau a devenit insolvabil. În mod excepțional, persoana vizată ar trebui
să aibă, de asemenea, dreptul de a lua măsuri și, dacă este cazul, să primească despăgubiri de la un
subprocesor în acele situații în care atât exportatorul de date, cât și importatorul de date au dispărut în
fapt sau au încetat să existe în lege sau au devenit insolvabile. Această răspundere teritorială a
subprocesorului ar trebui să se limiteze la propriile operațiuni de prelucrare în temeiul clauzelor
contractuale.
(21)În cazul unui litigiu între persoana vizată, care invocă clauza terțului beneficiar și importatorul de date,
care nu este rezolvată pe cale amiabilă, importatorul de date ar trebui să ofere persoanei vizate
posibilitatea de a alege între mediere sau litigiu. Măsura în care persoana vizată va avea o alegere
efectivă va depinde de disponibilitatea unor sisteme de mediere fiabile și recunoscute. Medierea de
către autoritățile de supraveghere a protecției datelor din statul membru în care este stabilit
exportatorul de date ar trebui să fie o opțiune în cazul în care acestea furnizează un astfel de serviciu.
(22)Contractul ar trebui să fie reglementat de legislația statului membru în care este stabilit exportatorul de
date care să permită unui terț beneficiar să aplice un contract. Persoanele vizate ar trebui să poată fi
reprezentate de asociații sau de alte organisme, dacă doresc acest lucru și dacă sunt autorizate de
legislația națională. Aceeași lege ar trebui să reglementeze, de asemenea, dispozițiile privind protecția
datelor privind orice contract cu un subprocesor pentru subprocesarea activităților de prelucrare a
http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32010D0087&from=en 3/14
25.02.2018 L_2010039EN.01000501.xml

datelor cu caracter personal transferate de exportatorul de date către importatorul de date în temeiul
clauzelor contractuale.
(23)Deoarece prezenta decizie se aplică numai subcontractării de către un procesator de date stabilit într-o
țară terță a serviciilor sale de prelucrare unui subprocesor stabilit într-o țară terță, acesta nu ar trebui să
se aplice situației în care un procesator stabilit în Uniunea Europeană și care efectuează prelucrarea
datelor cu caracter personal în numele unui operator stabilit în Uniunea Europeană își subcontractează
operațiunile de prelucrare unui subprocesor stabilit într-o țară terță. În astfel de situații,
(24)Grupul de lucru privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter
personal instituit în temeiul articolului 29 din Directiva 95/46 / CE a emis un aviz cu privire la nivelul
de protecție oferit în temeiul clauzelor contractuale standard anexate la prezenta decizie, care a fost
luate în considerare la pregătirea prezentei decizii.
(25)Decizia 2002/16 / CE ar trebui abrogată.
(26)Măsurile prevăzute de prezenta decizie sunt conforme cu avizul comitetului înființat în temeiul
articolului 31 din Directiva 95/46 / CE,
ADOPTĂ PREZENTA DECIZIE:

articolul 1
Clauzele contractuale standard prevăzute în anexă se consideră că oferă garanții adecvate în ceea ce
privește protecția vieții private și a drepturilor și libertăților fundamentale ale persoanelor și în ceea ce
privește exercitarea drepturilor corespunzătoare, astfel cum se prevede la articolul 26 alineatul (2) din
Directiva 95 / 46 / CE.

Articolul 2
Prezenta decizie se referă numai la caracterul adecvat al protecției furnizate de clauzele contractuale
standard prevăzute în anexă pentru transferul datelor cu caracter personal către prelucrători. Aceasta nu
afectează aplicarea altor dispoziții naționale de punere în aplicare a Directivei 95/46 / CE care se referă la
prelucrarea datelor cu caracter personal în statele membre.
Prezenta decizie se aplică transferului datelor cu caracter personal de către controlorii stabiliți în Uniunea
Europeană către destinatarii stabiliți în afara teritoriului Uniunii Europene, care acționează doar în calitate
de operatori.

Articolul 3
În sensul prezentei decizii, se aplică următoarele definiții:
(A) "categorii speciale de date" înseamnă datele menționate la articolul 8 din Directiva 95/46 / CE;
(B) "autoritate de supraveghere" înseamnă autoritatea menționată la articolul 28 din Directiva 95/46 / CE;
(C) "exportator de date" înseamnă operatorul care transferă datele cu caracter personal;
(D) "importator de date" înseamnă un prelucrător stabilit într-o țară terță care acceptă să primească de la
exportatorul de date date cu caracter personal destinate prelucrării în numele exportatorului de date
după transfer în conformitate cu instrucțiunile și condițiile prezentei decizii și care nu fac obiectul un
sistem al unei țări terțe care asigură o protecție adecvată în sensul articolului 25 alineatul (1) din
Directiva 95/46 / CE;
(E) "subprocesor" înseamnă orice procesor angajat de importatorul de date sau de orice alt subprocesor al
importatorului de date și care acceptă să primească de la importatorul de date sau de la orice alt
subprocesor al importatorului de date datele cu caracter personal destinate exclusiv activitățile de
prelucrare care urmează a fi efectuate în numele exportatorului de date după transfer în conformitate
cu instrucțiunile exportatorului de date, clauzele contractuale standard prevăzute în anexă și termenii
contractului scris pentru subprocesare;
http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32010D0087&from=en 4/14
25.02.2018 L_2010039EN.01000501.xml

(F) "legea aplicabilă protecției datelor" înseamnă legislația care protejează drepturile și libertățile
fundamentale ale persoanelor și, în special, dreptul lor la viață privată în ceea ce privește prelucrarea
datelor cu caracter personal aplicabile unui operator de date din statul membru în care este stabilit
exportatorul de date ;
(G) "măsuri de securitate tehnică și organizatorică" înseamnă măsurile care vizează protecția datelor cu
caracter personal împotriva distrugerii accidentale sau ilicite sau a pierderii, modificării, dezvăluirii
sau accesului neautorizat, în special în cazul în care prelucrarea implică transmiterea de date printr-o
rețea și împotriva tuturor celorlalte ilegale forme de prelucrare.

Articolul 4
(1) Fără a aduce atingere competențelor lor de a lua măsuri pentru a asigura respectarea dispozițiilor
naționale adoptate în temeiul capitolelor II, III, V și VI din Directiva 95/46 / CE, autoritățile competente
din statele membre își pot exercita competențele existente pentru a interzice sau să suspende fluxurile de
date către țări terțe pentru a proteja persoanele cu privire la prelucrarea datelor lor cu caracter personal în
cazurile în care:
(A) se stabilește că legea la care este supusă importatorul de date sau un subprocesor îi impune cerințe de
derogare de la legea aplicabilă protecției datelor care depășește restricțiile necesare într-o societate
democratică, astfel cum se prevede la articolul 13 din Directiva 95 / 46 / CE, în cazul în care aceste
cerințe pot avea un efect negativ semnificativ asupra garanțiilor prevăzute de legea aplicabilă privind
protecția datelor și de clauzele contractuale standard;
(B) o autoritate competentă a stabilit că importatorul de date sau un subprocesor nu a respectat clauzele
contractuale standard din anexă; sau
(C) există o probabilitate considerabilă ca clauzele contractuale standard din anexă să nu fie sau nu să fie
respectate, iar transferul continuu ar crea un risc iminent de prejudiciere gravă a persoanelor vizate.
(2) Interdicția sau suspendarea prevăzută la alineatul (1) se ridică de îndată ce motivele suspendării sau
interzicerii nu mai există.
(3) Atunci când statele membre adoptă măsuri în temeiul alineatelor (1) și (2), acestea informează fără
întârziere Comisia care va transmite informațiile celorlalte state membre.

Articolul 5
Comisia evaluează punerea în aplicare a prezentei decizii pe baza informațiilor disponibile la trei ani de la
adoptarea acesteia. Comisia prezintă un raport privind constatările comitetului instituit în temeiul
articolului 31 din Directiva 95/46 / CE. Aceasta include orice dovezi care ar putea afecta evaluarea privind
caracterul adecvat al clauzelor contractuale standard din anexă și orice dovadă a faptului că prezenta
decizie se aplică în mod discriminatoriu.

Articolul 6
Prezenta decizie se aplică de la 15 mai 2010.

Articolul 7
(1) Decizia 2002/16 / CE se abrogă de la 15 mai 2010.
(2) Un contract încheiat între un exportator de date și un importator de date în temeiul Deciziei 2002/16 /
CE înainte de 15 mai 2010 rămâne în vigoare și se aplică atât timp cât transferurile și operațiunile de
prelucrare a datelor care fac obiectul contractului rămân neschimbate, iar datele cu caracter personal care
fac obiectul prezentei decizii continuă să fie transferate între părți. În cazul în care părțile contractante
decid să efectueze modificări în această privință sau să subcontracteze operațiunile de prelucrare care fac
obiectul contractului, acestea sunt obligate să încheie un nou contract care respectă clauzele contractuale
standard prevăzute în anexă.
http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32010D0087&from=en 5/14
25.02.2018 L_2010039EN.01000501.xml

Articolul 8
Prezenta decizie se adresează statelor membre.

Adoptată la Bruxelles, 5 februarie 2010.


Pentru Comisie
Jacques BARROT
Vice presedinte

1
( ) JO L 281, 23.11.1995, p. 1. 31 .
2
( ) JO L 6, 10.1.2002, p. 52 .
3
( ) SEC (2006) 95, 20.1.2006.
4
( ) Camera de Comerț Internațională (ICC), Consiliul de Afaceri Japonia în Europa (JBCE), Comitetul UE al Camerei de Comerț
Americane din Belgia (Amcham) și Federația Asociațiilor Europene de Marketing Direct (FEDMA).
5
( ) JO L 181, 4.7.2001, p. 19 .

ANEXĂ

CLAUZE CONTRACTUALE STANDARD (PROCESORI)


În sensul articolului 26 alineatul (2) din Directiva 95/46 / CE privind transferul de date cu caracter personal
către prelucrătorii stabiliți în țări terțe care nu asigură un nivel adecvat de protecție a datelor
Denumirea organizației exportatoare de date: ...
Adresa: …
Tel. ...; fax ...; e-mail: …
Alte informații necesare identificării organizației
...
( exportatorul de date )
Și
Numele organizației care importă datele: ...
Adresa: …
Tel. ...; fax ...; e-mail: …
Alte informații necesare identificării organizației:
...
( importatorul de date )
fiecare "petrecere"; împreună "părțile",
AU CONVENIT cu privire la următoarele clauze contractuale (clauzele) pentru a furniza garanții adecvate
cu privire la protecția vieții private și a drepturilor și libertăților fundamentale ale persoanelor pentru
transferul de către exportatorul de date către importatorul de date a datelor cu caracter personal specificate
în apendicele 1 .

Clauza 1

Definiții
Î
http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32010D0087&from=en 6/14
25.02.2018 L_2010039EN.01000501.xml

În sensul clauzelor:
(A) "date personale", "categorii speciale de date", "proces / prelucrare", "operator", "operator", "persoană
vizată" și "autoritate de supraveghere" au același înțeles ca în Directiva 95/46 / Parlamentul European
și al Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește
1
prelucrarea datelor cu caracter personal și libera circulație a acestor date ( ) ;
(B) "exportator de date" înseamnă operatorul care transferă datele cu caracter personal;
(C) "importatorul de date" înseamnă persoana care prelucrează datele care sunt de acord să primească de la
exportatorul de date datele cu caracter personal destinate prelucrării în numele său după transfer în
conformitate cu instrucțiunile și clauzele sale și care nu este supusă unui sistem al unei țări terțe care
asigură protecție în sensul articolului 25 alineatul (1) din Directiva 95/46 / CE;
(D) "subprocesor" înseamnă orice procesor angajat de importatorul de date sau de orice alt subprocesor al
importatorului de date care acceptă să primească de la importatorul de date sau de la orice alt
subprocesor al datelor cu caracter personal destinate importatorului de date destinate exclusiv
prelucrării activitățile care urmează să fie efectuate în numele exportatorului de date după transfer în
conformitate cu instrucțiunile sale, clauzele clauzelor și termenii subcontractului scris;
(E) "legea aplicabilă în materie de protecție a datelor" înseamnă legislația care protejează drepturile și
libertățile fundamentale ale persoanelor și, în special, dreptul lor la confidențialitate în ceea ce privește
prelucrarea datelor cu caracter personal aplicabile unui operator de date din statul membru în care este
exportatorul de date stabilit;
(F) "măsuri de securitate tehnică și organizatorică" înseamnă măsurile care vizează protecția datelor cu
caracter personal împotriva distrugerii accidentale sau ilicite sau a pierderii, modificării, dezvăluirii
sau accesului neautorizat, în special în cazul în care prelucrarea implică transmiterea de date printr-o
rețea și împotriva tuturor celorlalte ilegale forme de prelucrare.

Clauza 2

Detalii privind transferul


Detaliile transferului și, în special, categoriile speciale de date cu caracter personal, după caz, sunt
specificate în apendicele 1, care face parte integrantă din clauze.

Clauza 3

Clauza beneficiarului terț

1. Persoana vizată poate aplica clauzei 4, literele (b) - (i), clauza 5 (a) - (e) și (g) - (j) , Clauza 7, clauza 8
(2) și clauzele 9-12 ca beneficiar terț.
2. Persoana vizată poate impune împotriva importatorului de date această clauză, clauza 5 (a) - (e) și (g),
clauza 6, clauza 7, clauza 8 alineatul (2) și clauzele 9-12, în cazurile în care exportatorul de date a
dispărut în mod real sau a încetat să existe prin lege, cu excepția cazului în care o entitate succesoare a
preluat toate obligațiile legale ale exportatorului de date prin contract sau prin lege, prin urmare,
preluând drepturile și obligațiile exportatorului de date, caz în care persoana vizată le poate aplica
împotriva unei astfel de entități.
3. Persoana vizată poate aplica împotriva subprocesorului această clauză, clauza 5 (a) - (e) și (g), clauza
6, clauza 7, clauza 8 (2) și clauzele 9-12, exportatorul de date și importatorul de date au dispărut sau
au încetat efectiv să existe în lege sau au devenit insolvabile, cu excepția cazului în care o entitate
succesoare a preluat integral obligațiile legale ale exportatorului de date prin contract sau prin lege, ca
urmare a preluării drepturile și obligațiile exportatorului de date, caz în care persoana vizată le poate
aplica împotriva unei astfel de entități. Această răspundere teritorială a sub-prelucrătorului se limitează
la propriile operațiuni de prelucrare în temeiul clauzelor.
4. Părțile nu se opun ca un subiect de date să fie reprezentat de o asociație sau de un alt organism, dacă
http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32010D0087&from=en 7/14
25.02.2018 L_2010039EN.01000501.xml

persoana vizată o dorește în mod expres și dacă acest lucru este permis de legislația națională.

Clauza 4

Obligațiile exportatorului de date


Exportatorul de date este de acord și garantează:
(A) că prelucrarea, inclusiv transferul în sine, a datelor cu caracter personal a fost și va continua să fie
efectuată în conformitate cu dispozițiile relevante din legislația aplicabilă privind protecția datelor (și,
după caz, a fost notificată autorităților competente din statele membre Statul în care este stabilit
exportatorul de date) și nu încalcă dispozițiile relevante ale acelui stat;
(B) pe care a instruit-o și pe întreaga durată a serviciilor de prelucrare a datelor personale va instrui
importatorul de date să proceseze datele personale transferate numai în numele exportatorului de date
și în conformitate cu legislația aplicabilă privind protecția datelor și Clauzele;
(C) că importatorul de date va oferi suficiente garanții cu privire la măsurile de securitate tehnică și
organizatorică specificate în apendicele 2 la prezentul contract;
(D) că, după evaluarea cerințelor legii aplicabile privind protecția datelor, măsurile de securitate sunt
adecvate pentru a proteja datele cu caracter personal împotriva distrugerii accidentale sau ilicite sau a
pierderii, modificării, dezvăluirii sau accesului neautorizat, în special atunci când prelucrarea
presupune transmiterea datelor într- precum și împotriva tuturor celorlalte forme ilegale de prelucrare
și că aceste măsuri asigură un nivel de securitate adecvat riscurilor prezentate de prelucrare și naturii
datelor care trebuie protejate, având în vedere stadiul actual al tehnicii și costul punerea în aplicare;
(E) că va asigura respectarea măsurilor de securitate;
(F) dacă transferul presupune categorii speciale de date, persoana vizată a fost informată sau va fi
informată înainte sau în cel mai scurt timp posibil după transfer, că datele sale ar putea fi transmise
unei țări terțe care nu asigură o protecție adecvată în sensul Directiva 95/46 / CE;
(G) să transmită autorității de supraveghere a protecției datelor orice notificare primită de la importatorul
de date sau de la un subprocesor în temeiul clauzei 5 litera (b) și clauzei 8 alineatul (3), în cazul în care
exportatorul de date decide să continue transferul sau să ridice suspendarea;
(H) să pună la dispoziția persoanelor vizate, la cerere, o copie a clauzelor, cu excepția apendicelui 2,
precum și o descriere sumară a măsurilor de securitate, precum și o copie a oricărui contract de servicii
de reprelucrare care trebuie făcut în conform Clauzelor, cu excepția cazului în care clauzele sau
contractul conțin informații comerciale, caz în care poate elimina astfel de informații comerciale;
(I) că, în cazul unei subprocesări, activitatea de prelucrare este efectuată în conformitate cu clauza 11 de
un subprocesor care oferă cel puțin același nivel de protecție a datelor cu caracter personal și a
drepturilor persoanelor vizate ca importator de date în temeiul clauze; și
(J) că va asigura respectarea clauzei 4 (a) - (i).

Clauza 5
2
Obligațiile importatorului de date ( )
Importatorul de date este de acord și garantează:
(A) să proceseze datele cu caracter personal numai în numele exportatorului de date și în conformitate cu
instrucțiunile și Clauzele; în cazul în care nu poate furniza o astfel de respectare din orice motive, este
de acord să informeze prompt exportatorul de date cu privire la incapacitatea sa de a se conforma, caz
în care exportatorul de date are dreptul să suspende transferul de date și / sau să rezilieze contractul;
(B) că nu are niciun motiv să creadă că legislația aplicabilă acesteia îi împiedică să îndeplinească
instrucțiunile primite de la exportator de date și obligațiile care îi revin în temeiul contractului și că, în
cazul unei modificări a acestei legislații care ar putea avea un efect advers substanțial cu privire la
http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32010D0087&from=en 8/14
25.02.2018 L_2010039EN.01000501.xml

garanțiile și obligațiile prevăzute de Clauze, va notifica prompt modificarea exportatorului de date de


îndată ce va cunoaște, caz în care exportatorul de date are dreptul să suspende transferul de date și /
sau să rezilieze contractul;
(C) că a implementat măsurile de securitate tehnică și organizatorică specificate în apendicele 2 înainte de
prelucrarea datelor cu caracter personal transferate;
(D) că va notifica cu promptitudine exportatorului de date despre:
(I) orice solicitare legală de divulgare a datelor cu caracter personal de către o autoritate de aplicare a
legii, cu excepția cazului în care este interzis altfel, cum ar fi o interdicție din dreptul penal de a
păstra confidențialitatea unei anchete de aplicare a legii;
(Ii) orice acces accidental sau neautorizat; și
(Iii) orice solicitare primită direct de la persoanele vizate fără a răspunde la această solicitare, cu
excepția cazului în care aceasta a fost autorizată în alt mod;
(E) să soluționeze prompt și în mod corespunzător toate anchetele din partea exportatorului de date privind
prelucrarea datelor cu caracter personal care fac obiectul transferului și să respecte recomandările
autorității de supraveghere cu privire la prelucrarea datelor transferate;
(F) la cererea exportatorului de date să-și prezinte facilitățile de prelucrare a datelor pentru auditul
activităților de prelucrare care fac obiectul clauzelor, care sunt efectuate de exportatorul de date sau de
un organism de inspecție format din membri independenți și care dețin calificările profesionale
obligatorii printr-o obligație de confidențialitate, selectată de exportatorul de date, după caz, în acord
cu autoritatea de supraveghere;
(G) să pună la dispoziția persoanei vizate, la cerere, o copie a clauzelor sau orice contract de subprocesare
existent, cu excepția cazului în care clauzele sau contractul conțin informații comerciale, caz în care
poate elimina astfel de informații comerciale, cu excepția apendicelui 2 care se înlocuiește cu o
descriere sumară a măsurilor de securitate în cazurile în care persoana vizată nu poate obține o copie
de la exportatorul de date;
(H) că, în cazul unei subprocesări, a informat anterior exportatorul de date și a obținut consimțământul
scris prealabil;
(I) că serviciile de prelucrare de către subprocesor vor fi efectuate în conformitate cu clauza 11;
(J) să transmită prompt exportatorului de date o copie a oricărui acord subprocesor pe care îl încheie în
temeiul clauzelor.

Clauza 6

Răspundere

1. Părțile convin că orice persoană vizată care a suferit un prejudiciu ca urmare a unei încălcări a
obligațiilor menționate în clauza 3 sau în clauza 11 de către o parte sau un subprocesor are dreptul să
primească o compensație din partea exportatorului de date pentru prejudiciul suferit .
2. În cazul în care un subiect de date nu este în măsură să introducă o cerere de despăgubire în
conformitate cu alineatul (1) împotriva exportatorului de date, care rezultă dintr-o încălcare de către
importatorul datelor sau subcontractantul său a oricăror dintre obligațiile menționate la clauza 3 sau
clauza 11, deoarece exportatorul de date a dispărut în fapt sau a încetat să existe în temeiul legii sau a
devenit insolvabil, importatorul de date este de acord că persoana vizată poate emite o reclamație
împotriva importatorului de date ca și cum ar fi exportatorul de date, cu excepția cazului în care o
entitate succesoare a asumat toate obligațiile legale ale exportatorului de date prin contract de drept,
caz în care persoana vizată își poate exercita drepturile împotriva unei astfel de entități.
Importatorul de date nu poate să se bazeze pe încălcarea de către un subprocesor a obligațiilor sale
pentru a evita propriile sale datorii.

Î
http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32010D0087&from=en 9/14
25.02.2018 L_2010039EN.01000501.xml

3. În cazul în care un subiect de date nu este în măsură să aducă o reclamație împotriva exportatorului de
date sau a importatorului de date menționat la alineatele (1) și (2), care rezultă dintr-o încălcare de
către sub-prelucrător a oricăror dintre obligațiile menționate la clauza 3 sau clauza 11 deoarece atât
exportatorul de date, cât și importatorul de date au dispărut în fapt sau au încetat să existe în lege sau
au devenit insolvabile, subprocesorul este de acord că persoana vizată poate să ceară un subprocesor
de date în ceea ce privește propriile operațiuni de prelucrare în conformitate cu clauzele ca și cum ar fi
exportatorul de date sau importatorul de date, cu excepția cazului în care o entitate succesoare a
preluat toate obligațiile legale ale exportatorului de date sau ale importatorului de date prin contract
sau prin lege, caz în care persoana vizată își poate exercita drepturile împotriva acestei
entități.Răspunderea subprocesorului se limitează la propriile operațiuni de prelucrare în temeiul
clauzelor.

Clauza 7

Medierea și competența

1. Importatorul de date este de acord că, în cazul în care persoana vizată invocă împotriva acesteia
drepturi de beneficiar ale terților și / sau cereri de despăgubire pentru daune în temeiul clauzelor,
importatorul de date va accepta decizia persoanei vizate:
(A) să sesizeze diferendul asupra medierii, de către o persoană independentă sau, după caz, de către
autoritatea de supraveghere;
(B) să adreseze litigiul instanțelor din statul membru în care este stabilit exportatorul de date.
2. Părțile sunt de acord că alegerea făcută de persoana vizată nu aduce atingere drepturilor sale materiale
sau procedurale de a solicita căi de atac în conformitate cu alte dispoziții din legislația națională sau
internațională.

Clauza 8

Cooperarea cu autoritățile de supraveghere

1. Exportatorul de date acceptă să depună o copie a acestui contract la autoritatea de supraveghere, dacă
solicită acest lucru sau dacă acest depozit este solicitat în temeiul legislației aplicabile privind protecția
datelor.
2. Părțile sunt de acord că autoritatea de supraveghere are dreptul de a efectua un audit al importatorului
de date și al oricărui subprocesor care are același domeniu de aplicare și se supune acelorași condiții
care s-ar aplica unui audit al exportatorului de date în temeiul legislația aplicabilă privind protecția
datelor.
3. Importatorul de date informează de îndată exportatorul de date cu privire la existența legislației
aplicabile acestuia sau a oricărui subprocesor care împiedică efectuarea unui audit al importatorului de
date sau al oricărui subprocesor în conformitate cu alineatul (2). În acest caz, datele exportatorul este
îndreptățit să ia măsurile prevăzute în clauza 5 litera (b).

Clauza 9

Legea aplicabilă
Clauzele sunt reglementate de legea statului membru în care este stabilit exportatorul de date, și anume ...

Clauza 10

Variația contractului
Părțile se angajează să nu modifice sau să modifice Clauzele. Acest lucru nu exclude ca părțile să adauge
clauze referitoare la aspecte legate de afaceri atunci când sunt necesare, atâta timp cât acestea nu contravin
http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32010D0087&from=en 10/14
25.02.2018 L_2010039EN.01000501.xml

Clauzei.

Clauza 11

Sub-procesare

1. Importatorul de date nu poate subcontracta nici una dintre operațiunile sale de prelucrare efectuate în
numele exportatorului de date în conformitate cu clauzele fără consimțământul scris prealabil al
exportatorului de date. În cazul în care importatorul de date își subcontractează obligațiile care îi revin
în temeiul clauzelor, cu acordul exportatorului de date, aceasta nu face acest lucru decât printr-un
acord scris cu subprocesorul care impune aceleași obligații pe subprocesor care le sunt impuse
3
importator de date în temeiul clauzelor ( ) . În cazul în care subprocesorul nu își îndeplinește
obligațiile privind protecția datelor în temeiul unui astfel de acord scris, importatorul de date rămâne
pe deplin răspunzător față de exportatorul de date pentru îndeplinirea obligațiilor subprocesorului în
temeiul acestui acord.
2. Contractul scris prealabil încheiat între importatorul de date și subprocesor prevede, de asemenea, o
clauză de beneficiar terță parte prevăzută la clauza 3 pentru cazurile în care persoana vizată nu este în
măsură să introducă cererea de despăgubire menționată la alineatul (1) din Clauza 6 împotriva
exportatorului de date sau a importatorului de date, deoarece acestea au dispărut în mod real sau au
încetat să existe în lege sau au devenit insolvabile și nici o entitate succesoare nu a preluat integral
obligațiile legale ale exportatorului de date sau ale importatorului de date prin contract sau prin
aplicarea legii . Această răspundere teritorială a sub-prelucrătorului se limitează la propriile operațiuni
de prelucrare în temeiul clauzelor.
3. Dispozițiile privind aspectele legate de protecția datelor privind subprocesarea contractului menționat
la alineatul (1) sunt reglementate de legislația statului membru în care este stabilit exportatorul de date,
și anume ...
4. Exportatorul de date păstrează o listă de acorduri de subprocesare încheiate în temeiul clauzelor și
notificată de importatorul datelor în conformitate cu clauza 5 litera (j), care se actualizează cel puțin o
dată pe an. Lista este disponibilă autorității de supraveghere a protecției datelor a exportatorului de
date.

Clauza 12

Obligație după terminarea serviciilor de prelucrare a datelor cu caracter personal

1. Părțile convin că, la încetarea furnizării de servicii de prelucrare a datelor, importatorul de date și sub-
prelucrătorul returnează, la alegerea exportatorului de date, toate datele personale transferate și copii
ale acestora către exportatorul de date sau distruge toate datele cu caracter personal și certifică
exportatorului de date că a făcut-o, cu excepția cazului în care legislația impusă importatorului de date
îl împiedică să returneze sau să distrugă toate sau o parte din datele cu caracter personal transferate. În
acest caz, importatorul de date garantează că va garanta confidențialitatea datelor personale transferate
și că nu va procesa în mod activ datele personale transferate.
2. Importatorul de date și subprocesorul garantează că, la cererea exportatorului de date și / sau a
autorității de supraveghere, acesta va prezenta facilitățile sale de prelucrare a datelor pentru un audit al
măsurilor menționate la alineatul (1).
În numele exportatorului de date:
Nume (scrise integral): ...
Poziție: ...
Adresa: …
Alte informații necesare pentru ca contractul să fie obligatoriu (dacă există):
http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32010D0087&from=en 11/14
25.02.2018 L_2010039EN.01000501.xml

Semnătură …

În numele importatorului de date:


Nume (scrise integral): ...
Poziție: ...
Adresa: …
Alte informații necesare pentru ca contractul să fie obligatoriu (dacă există):
Semnătură …

1
( ) Părțile pot reproduce definițiile și semnificațiile conținute în Directiva 95/46 / CE în cadrul prezentei clauze, în cazul în care
consideră că este mai bine ca acesta să rămână singur.
2
( ) Cerințele obligatorii ale legislației naționale aplicabile importatorului de date care nu depășesc ceea ce este necesar într-o
societate democratică pe baza unuia dintre interesele enumerate la articolul 13 alineatul (1) din Directiva 95/46 / CE, și anume dacă
acestea constituie o măsură necesară pentru a proteja securitatea națională, apărarea, siguranța publică, prevenirea, cercetarea,
depistarea și urmărirea penală a infracțiunilor sau a încălcării eticii pentru profesiile reglementate, un interes economic sau financiar
important al statului sau protecția persoana vizată sau drepturile și libertățile altora nu sunt în contradicție cu clauzele contractuale
standard. Câteva exemple de astfel de cerințe obligatorii care nu depășesc ceea ce este necesar într-o societate democratică sunt, inter
alia, sancțiuni recunoscute pe plan internațional,
3
( ) Această cerință poate fi îndeplinită de subprocesorul care co-semnează contractul încheiat între exportatorul de date și
importatorul de date în temeiul prezentei decizii.

Anexa 1

la clauzele contractuale standard


Prezentul apendice face parte din clauze și trebuie completat și semnat de părți
Statele membre pot completa sau specifica, în conformitate cu procedurile lor naționale, orice informații
suplimentare necesare care trebuie incluse în prezentul apendice

Exportator de date
Exportatorul de date este (specificați pe scurt activitățile dvs. relevante pentru transfer):
...
...
...

http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32010D0087&from=en 12/14
25.02.2018 L_2010039EN.01000501.xml

Importator de date
Importatorul de date este (specificați pe scurt activitățile relevante pentru transfer):
...
...
...

Subiecții de date
Datele cu caracter personal transferate privesc următoarele categorii de persoane vizate (vă rugăm să
precizați):
...
...
...

Categorii de date
Datele personale transferate privesc următoarele categorii de date (vă rugăm specificați):
...
...
...

Categorii speciale de date (dacă este cazul)


Datele personale transferate privesc următoarele categorii speciale de date (specificați):
...
...
...

Operațiuni de prelucrare
Datele personale transferate vor face obiectul următoarelor activități de prelucrare de bază (vă rugăm
specificați):
...
...
...
EXPORTER DE DATE
Nume: …
Semnătură autorizată …
IMPORTATOR DE DATE
Nume: …
Semnătură autorizată …

Anexa 2

la clauzele contractuale standard


Prezentul apendice face parte din clauze și trebuie completat și semnat de părți.

http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32010D0087&from=en 13/14
25.02.2018 L_2010039EN.01000501.xml

Descrierea măsurilor tehnice și organizatorice de securitate puse în aplicare de către importatorul de


date, în conformitate cu clauzele 4 (d) și 5 (c) (sau a documentului / legislație atașat):
...
...
...
...

CLAUZA DE DEBUTRARE ILUSTRATIVĂ (OPȚIONALĂ)

Răspundere
Părțile sunt de acord că, în cazul în care o parte este trasă la răspundere pentru o încălcare a clauzelor
comise de cealaltă parte, aceasta din urmă, în măsura în care este răspunzătoare, va despăgubi prima parte
pentru orice cost, taxă, daune, cheltuieli sau pierderi a suferit.
Despăgubirea este condiționată de:
(A) exportatorul de date notificând cu promptitudine importatorului de date o cerere; și
(B) importatorului de date fiind acordată posibilitatea de a coopera cu exportatorul de date în apărarea și
1
soluționarea cererii ( ) .

1
( ) Alineatul privind datoriile este opțional.

http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32010D0087&from=en 14/14