Clauze privind protecția datelor cu caracter personal

există un interes din ce în ce mai mare în promovarea utilizării clauzelor contractuale

standard pentru transferuri internaționale de date cu caracter personal către țările terțe care nu
oferă un nivel adecvat de protecție.

Regulamentul general privind protecția datelor (denumit în continuare „GDPR” sau

„Regulament GDPR”) a devenit lege în România începând cu 25 mai 2018. Acesta stabilește
cerințele detaliate pentru companii și organizații în ceea ce privește colectarea, stocarea și
gestionarea datelor cu caracter personal. Se aplică atât în cazul organizațiilor europene care
prelucrează datele cu caracter personal ale cetățenilor din UE cât și în cazul organizațiilor din
afara UE care vizează cetățeni din UE.1

Regulamentul general privind protecția datelor (GDPR) este un regulament care va aplica
un regim mai puternic de protecție a datelor pentru organizațiile care operează în Uniunea
Europeană (UE) și care gestionează datele cetățenilor UE. GDPR constituie protecția datelor
personale ale angajatilor, clienților și ale altor persoane. În cazul în care organizațiile nu respectă
acest regulament, ele vor fi supuse unor amenzi mari, iar reputația firmei va avea de suferit.

Considerând că datele personale reprezintă informații critice și sensibile pe care toate

organizațiile ar trebui să le protejeze, o astfel de reglementare ajută la instituirea unor proceduri
si controale adecvate pentru a preveni încălcarea securității informațiilor.

Prevederile acestui regulament nu sunt opționale și vizează toate activitățile din orice
sector și domeniu, indiferent de dimensiunea businessului, iar măsurile prevăzute aduc atingere
tuturor activităților care implică informații - GDPR are informația ca punct central de interes –
mai precis, tot ceea ce ține de prelucrarea informațiilor, adică decolectarea, înregistrarea,
organizarea, structurarea, stocarea, adaptarea sau modificarea,extragerea, consultarea, utilizarea,
divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau
combinarea, restricționarea, ștergerea sau distrugerea informațiilor.

Avand in vedere ca încalcarile datelor au devenit foarte sofisticate în ultimii ani, nevoia
de protecție a datelor a crescut și ea. Securitatea informațiilor este crucială pentru succesul
1
https://europa.eu/youreurope/business/dealing-with-customers/data-protection/data-protection-
gdpr/index_ro.htm
oricărei organizații, deoarece se ocupă de protecția datelor sensibile împotriva accesului,
utilizării, replicării și distrugerii neautorizate.Ca atare, organizațiile ar trebui să pună în aplicare
măsuri și controale pentru a gestiona și diminua riscurile legate de securitatea informațiilor și
pentru a respecta cerintele GDPR.

În cazul in care organizațiile nu respecta cerintele gdpr, penalitățile pot ajunge până la
4% din cifra de afaceri anuala a unei organizații. De asemenea, în caz de încălcări mai grave,
penalitățile pot ajunge la 20 milioane de euro din veniturile anuale ale unei organizatii.2

RGPD stabilește cerințele detaliate pentru companii și organizații în ceea ce privește

colectarea, stocarea și gestionarea datelor cu caracter personal. Se aplică atât în cazul
organizațiilor europene care prelucrează datele cu caracter personal ale cetățenilor din UE cât și
în cazul organizațiilor din afara UE care vizează cetățeni din UE.

Când se aplică Regulamentul general privind protecția datelor?

RGPD se aplică în cazul în care o companie procesează date cu caracter personal și are
sediul în UE, indiferent de locul în care se desfășoară prelucrarea efectivă a datelor, sau când o
companie are sediul în afara UE, dar procesează date cu caracter personal în contextul furnizării
de bunuri sau servicii către cetățeni din UE sau monitorizează comportamentul cetățenilor din
UE

Companiile din afara UE care procesează date cu caracter personal ale cetățenilor
europeni trebuie să desemneze un reprezentant în UE.

Când nu se aplică Regulamentul general privind protecția datelor?

RGPD nu se aplică în cazul în care: datele se referă la o persoană decedată, datele se

referă la o persoană juridică, procesarea datelor este realizată de o persoană care acționează în
scopuri aflate în afara activității sale comerciale sau profesionale

Ce sunt datele cu caracter personal?

Datele cu caracter personal includ orice informații despre o persoană identificată sau
identificabilă ( subiectul datelor). Printre datele cu caracter personal se numără: numele, adresa,
2
Doc ala
numărul cărții de identitate/pașaportului, venitul, profilul cultural, adresa IP (Internet Protocol),
datele deținute de medici sau spitale (care identifică o persoană în scopuri medicale)

Exista anumite categorii speciale de date care nu pot fi procesate, precum cele care se
referă la: originea rasială sau etnică, orientarea sexuală, opiniile politice, convingerile religioase
sau filosofice, apartenența sindicală, datele genetice, biometrice sau medicale, cu excepția unor
cazuri specifice (de exemplu, când persoana și-a dat consimțământul explicit sau când procesarea
este necesară din motive care țin de un interes public major, definit de legislația europeană sau
națională), datele personale referitoare la infracțiuni sau condamnări penale, cu excepția cazului
în care acest lucru este autorizat de legislația națională sau europeană.

Când este permisă prelucrarea datelor?

Potrivit normelor UE privind protecția datelor, ar trebui să prelucrați datele în mod corect
și legal, pentru un scop specific și legitim și doar acele date care sunt necesare pentru
îndeplinirea scopului respectiv. Pentru a prelucra date cu caracter personal trebuie să îndepliniți
una din următoarele condiții: aveți consimțământul persoanei vizate, aveți nevoie de date
personale pentru a onora o obligație contractuală față de persoana în cauză, aveți nevoie de datele
personale pentru a îndeplini o obligație legală, aveți nevoie de datele personale pentru a proteja
interesele vitale ale persoanei vizate, prelucrați date cu caracter personal pentru a îndeplini o
sarcină în interesul publicului, acționați în interesul legitim al companiei dumneavoastră, atâta
timp cât nu sunt afectate în mod serios drepturile și libertățile fundamentale ale persoanelor ale
căror date sunt prelucrate. Dacă drepturile persoanei prevalează asupra intereselor companiei
dumneavoastră, nu puteți prelucra datele cu caracter personal.3

GDPR impune restricții privind transferul de date cu caracter personal în afara Uniunii
Europene, țărilor terțe sau organizațiilor internaționale. Aceste restricții sunt în vigoare pentru a
se asigura că nivelul de protecție a persoanelor acordat de GDPR nu este subminat.

În Articolul 44 – ”Principiul general al transferurilor” se specifică faptul că: „Orice

transfer de date cu caracter personal care sunt supuse procesării sau care sunt destinate
prelucrării după transferul într-o țară terță sau într-o organizație internațională are loc numai

3
https://europa.eu/youreurope/business/dealing-with-customers/data-protection/data-protection-
gdpr/index_ro.htm
dacă, sub rezerva celorlalte dispoziții din prezentul regulament, sunt respectate condițiile stabilite
de către operator și de către procesator, inclusiv pentru transferurile ulterioare de date cu caracter
personal din țara terță sau de la o organizație internațională către o altă țară terță sau la o altă
organizație internațională. Toate dispozițiile din prezentul capitol se aplică pentru a se asigura că
nivelul de protecție a persoanelor fizice garantat prin prezentul regulament nu este subminat.”

Ce este important să reținem este că orice transfer internațional de date cu caracter

personal de către un operator sau un procesator are loc numai dacă sunt îndeplinite anumite
condiții:

Transferuri pe baza adecvării;

Transferuri supuse garanțiilor adecvate

Aplicabilitatea unor reguli corporative obligatorii.

Care sunt condițiile unui transfer în siguranță?

Conform Articolului 46 – ”Transferuri în baza unor garanții adecvate” puteți transfera

date cu caracter personal în cazul în care organizația care primește datele personale a furnizat
garanții de siguranță adecvate. Drepturile persoanelor trebuie să fie executorii și ca urmare a
transferului trebuie să fie disponibile căi de atac efective pentru persoanele fizice.

Se pot asigura garanții adecvate prin:

A) un instrument obligatoriu din punct de vedere juridic şi executoriu între

autorităţile sau organismele publice;
B) reguli corporatiste obligatorii în conformitate cu articolul 47;
C) clauze standard de protecţie a datelor adoptate de Comisie în conformitate
cu procedura de examinare menţionată la articolul 93 alineatul (2);
D) clauze standard de protecţie a datelor adoptate de o autoritate de
supraveghere şi aprobate de Comisie în conformitate cu procedura de examinare
menţionată la articolul 93 alineatul (2);
E) un cod de conduită aprobat în conformitate cu articolul 40, însoţit de un
angajament obligatoriu şi executoriu din partea operatorului sau a persoanei împuternicite
 de operator din ţara terţă de a aplica garanţii adecvate, inclusiv cu privire la drepturile
persoanelor vizate;
F) un mecanism de certificare aprobat în conformitate cu articolul 42, însoţit
de un angajament obligatoriu şi executoriu din partea operatorului sau a persoanei
împuternicite de operator din ţara terţă de a aplica garanţii adecvate, inclusiv cu privire la
drepturile persoanelor vizate.

Sub rezerva autorizării din partea autorităţii de supraveghere competente, garanţiile

adecvate menţionate la Alineatul (1) pot fi furnizate de asemenea, în special, prin:

1. clauze contractuale între operator sau persoana împuternicită de operator

şi operatorul, persoana împuternicită de operator sau destinatarul datelor cu caracter
personal din ţara terţă sau organizaţia internaţională;
2. dispoziţii care urmează să fie incluse în acordurile administrative dintre
autorităţile sau organismele publice, care includ drepturi opozabile şi efective pentru
persoanele vizate.4

Comisia Europeană poate decide că clauzele contractuale standard oferă garanții

suficiente privind protecția datelor pentru ca datele să fie transferate la nivel
internațional.

Până în prezent, a emis două seturi de clauze contractuale standard pentru

transferurile de date de la operatorii de date din UE către controloarele de date stabilite în
afara UE sau Spațiul Economic European (SEE): Decizia Comisiei din 15 iunie 2001
privind clauzele contractuale standard pentru transferul de date cu caracter personal către
țări terțe, în conformitate cu Directiva 95/46 / CE și Decizia Comisiei din 27 decembrie
2004 de modificare a Deciziei 2001/497 / CE în ceea ce privește introducerea unui set
alternativ de clauze contractuale standard pentru transferul de date cu caracter personal
către țări terțe

De asemenea, a emis un set de clauze contractuale pentru transferurile de date de

la controlorii din UE către procesoarele stabilite în afara UE sau din SEE: Decizia
Comisiei din 5 februarie 2010 privind clauzele contractuale standard pentru transferul
4
https://cloudmania2013.com/2017/12/08/gdpr-explicitat-12-transferul-international-de-date/
 datelor personale către procesatorii stabiliți în țări terțe în temeiul Directivei 95/46 / CE a
Parlamentului European și a Consiliului.5

Următoarele clauze standard de protecție a datelor (denumite în continuare

„SDPC”), aduc garanții adecvate conform Art. 46 (2) lit. c) din Regulamentul general
privind protecția datelor (în continuare „GDPR) cu privire la protecția vieții private și a
drepturilor și libertăților fundamentale ale persoanelor fizice pentru transferul de date cu
caracter personal de către partea care a transferat către partea care primește.6

COMISIA EUROPEANĂ, având în vedere Tratatul privind funcționarea Uniunii

Europene, având în vedere Directiva 95/46 / CE a Parlamentului European și a
Consiliului din 24 octombrie 1995 privind protecția persoanelor cu privire la prelucrarea
persoanelor date și privind libera circulație a acestor date (1), în special articolul 26
alineatul (4), după consultarea Autorității europene pentru protecția datelor, stabilește că
statele membre trebuie să prevadă că un transfer de date cu caracter personal într-o țară
terță poate avea loc numai dacă țara terță în cauză asigură un nivel adecvat de protecție a
datelor și legile statelor membre , care respectă celelalte dispoziții din directivă, sunt
respectate înainte de transfer.

(2) Cu toate acestea, articolul 26 alineatul (2) din Directiva 95/46 / CE prevede că
statele membre pot autoriza, sub rezerva anumitor garanții, un transfer sau un set de
transferuri de date cu caracter personal către țări terțe care nu asigură un nivel adecvat de
protecţie. Aceste garanții pot rezulta în special din clauze contractuale adecvate.

(3) În conformitate cu Directiva 95/46 / CE, nivelul de protecție a datelor ar trebui

să fie evaluat având în vedere toate circumstanțele care înconjoară operațiunea de transfer
de date sau setul de operațiuni de transfer de date. Grupul de lucru pentru protecția
persoanelor cu privire la prelucrarea datelor cu caracter personal instituite în temeiul
directivei respective a emis linii directoare care să ajute la evaluare.

5
https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-
contractual-clauses-scc_en
6
Standard Data Protection Clauses
 (4) Clauzele contractuale standard ar trebui să se refere numai la protecția datelor.
Prin urmare, exportatorul de date și importatorul de date sunt liberi să includă orice alte
clauze cu privire la problemele legate de afaceri pe care le consideră pertinente pentru
contract, atât timp cât nu contravin clauzelor contractuale standard.

Această decizie ar trebui să aibă doar efectul de a impune statelor membre să nu

refuze să recunoască, oferind garanții adecvate, clauzele contractuale standard prevăzute
în ea și, prin urmare, nu ar trebui să aibă niciun efect asupra altor clauze contractuale.

(6) Decizia 2002/16 / CE a Comisiei din 27 decembrie 2001 privind clauzele

contractuale standard pentru transferul de date cu caracter personal către procesatorii
stabiliți în țări terțe, în temeiul Directivei 95/46 / CE (2), a fost adoptată pentru a facilita
transferul date cu caracter personal de la un operator de date stabilit în Uniunea
Europeană la un proc (8) Domeniul de aplicare al prezentei decizii ar trebui să se limiteze
la stabilirea faptului că clauzele pe care le stabilește pot fi utilizate de un operator de date
stabilit în Uniunea Europeană pentru a aduce garanții adecvate în sensul articolului 26
alineatul (2) din Directiva 95 / 46 / CE pentru transferul datelor cu caracter personal către
un procesator stabilit într-o țară terță.esator stabilit într-o țară terță care nu oferă un nivel
adecvat de protecție.

Prezenta decizie ar trebui să pună în aplicare obligația prevăzută la articolul 17

alineatul (3) din Directiva 95/46 / CE și nu ar trebui să aducă atingere conținutului
contractelor sau actelor juridice stabilite în temeiul acestei dispoziții. Cu toate acestea,
unele dintre clauzele contractuale standard, în special în ceea ce privește obligațiile
exportatorului de date, ar trebui incluse în scopul de a spori claritatea cu privire la
dispozițiile care pot fi cuprinse într-un contract între un operator și un procesator.

Clauzele contractuale standard ar trebui să prevadă măsurile de securitate tehnică

și organizațională care trebuie aplicate de către prelucrătorii de date stabiliți într-o țară
terță care nu oferă o protecție adecvată, pentru a asigura un nivel de securitate adecvat
riscurilor reprezentate de prelucrare și natura datelor pentru a fi protejat. Părțile ar trebui
să prevadă în contract acele măsuri tehnice și organizatorice care, având în vedere
legislația aplicabilă privind protecția datelor, stadiul tehnicii și costurile punerii în
aplicare a acestora, sunt necesare pentru a proteja datele cu caracter personal împotriva
distrugerilor accidentale sau ilegale sau accidentale pierderea, modificarea, divulgarea
sau accesul neautorizat sau orice alte forme ilegale de prelucrare.

Clauzele contractuale standard prevăzute în anexă sunt considerate ca oferind

garanții adecvate cu privire la protecția vieții private și a drepturilor și libertăților
fundamentale ale persoanelor și în ceea ce privește exercitarea drepturilor
corespunzătoare, în conformitate cu articolul 26 alineatul (2) din Directiva 95 / 46 / CE.

Astefel, sunt reglementate în anexă 15 clauze standard, ce cuprind drepturile și

obligațiile exportatorului de date, obligațiile și drepturile importatorului de date,
drepturile beneficiarului terților,detalii privind transferul, clauza terțului beneficiar
mențiuni referitoare la măsurile luate în cazul încălcării obligațiilor, la răspunderea
părților, la cooperarea cu autoritățile de supraveghere, la mecanismul de soluționare a
litigiilor, la legea guvernantă, la implementarea unei condiții suspensive, la modificarea
contractului și rezilierea acestuia, Clauza 15 Rezilierea transfer și instrucțiune de ștergere
sau retur și ștergere.

În sensul acestor clauze:

a)date personale, prelucrare, operator, împuternicit,categorii speciale de date

înseamnă categoriile de date menţionate la cap. III din Legea nr. 677/2001 pentru
protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera
circulaţie a acestor date;

b)persoană vizată înseamnă persoana fizică ale cărei date cu caracter personal
sunt prelucrate;

c)exportator de date înseamnă operatorul care transferă datele cu caracter

personal;
 d)importator de date înseamnă operatorul care este de acord să primească date cu
caracter personal de la exportatorul de date, pentru prelucrare ulterioară, în condiţiile
acestor clauze, şi care nu este supus unei legislaţii care prevede un nivel de protecţie cel
puţin egal cu cel oferit de legea română.

Clauza 2: Detalii privind transferul

Detaliile privind transferul, categoriile de date cu caracter personal şi scopurile în

care acestea pot fi transferate sunt menţionate în apendixul 1 care face parte integrantă
din clauze.

Clauza 3: Clauza terţului beneficiar

Persoanele vizate pot aplica prezenta clauză şi clauza 4 lit. b), c) şi d), clauza 5 lit.
a), b), c) şi e), clauza 6 alin. (1) şi (2) şi clauzele 7, 9 şi 11 din acest act, ca terţi
beneficiari. Părţile nu se opun ca persoanele vizate să fie reprezentate, la cerere, de o
asociaţie sau de alte persoane juridice, dacă legea permite.

Clauza 4: Obligaţiile exportatorului de date

Exportatorul de date garantează că:

a)prelucrarea până în momentul transferului şi transferul ulterior al datelor cu

caracter personal au fost şi vor fi efectuate în continuare potrivit prevederilor legale
privind protecţia datelor şi că acestea au fost notificate autorităţii de supraveghere, dacă
este cazul;

b)dacă transferul presupune categorii speciale de date, persoana vizată a fost

informată sau va fi informată anterior transferului că aceste date pot fi transmise către un
stat a cărui legislaţie nu prevede un nivel de protecţie cel puţin egal cu cel oferit de legea
română;

c)va pune la dispoziţie persoanelor vizate o copie a clauzelor referitoare la

protecţia datelor cu caracter personal, la cererea acestora;
 d)va răspunde la întrebările autorităţii de supraveghere şi la orice întrebări ale
persoanelor vizate, cu privire la prelucrarea datelor cu caracter personal efectuată de către
importatorul de date.

Clauza 5: Obligaţii ale importatorului de date

Importatorul de date garantează că:

a)legislaţia ce îi este aplicabilă nu îl împiedică să îşi îndeplinească obligaţiile

decurgând din clauze şi că, în cazul unor modificări legislative care ar fi posibil să aibă
un efect negativ asupra garanţiilor prevăzute de aceste clauze, le va notifica
exportatorului de date şi autorităţii de supraveghere din România, caz în care exportatorul
de date are dreptul să suspende transferul de date şi/sau să înceteze contractul;

b)va prelucra datele cu caracter personal potrivit principiilor obligatorii de

protecţie a datelor, prevăzute în apendixul 2 care face parte integrantă din prezentele
clauze, sau, dacă s-a convenit expres de către părţi, conform principiilor obligatorii de
protecţie a datelor, prevăzute în apendixul 3 care face parte integrantă din prezentele
clauze, va prelucra datele conform prevederilor legale naţionale care apără drepturile şi
libertăţile fundamentale ale persoanelor, în special dreptul la viaţă intimă, familială şi
privată, în legătură cu prelucrarea datelor cu caracter personal, aplicabile unui operator de
date din România;

c)va soluţiona cu promptitudine şi într-un mod corespunzător toate solicitările

rezonabile formulate de exportatorul de date sau de persoana vizată, referitoare la
prelucrarea efectuată de importator asupra datelor cu caracter personal transferate, va
coopera cu autoritatea de supraveghere competentă pe parcursul tuturor investigaţiilor
acesteia şi va respecta dispoziţiile date de autoritatea de supraveghere în ceea ce priveşte
prelucrarea datelor transferate;

d)la cererea exportatorului de date, va supune mijloacele sale de prelucrare

controlului acestuia sau al unui organ de control compus din membri independenţi, cu
calificările profesionale necesare, aleşi de exportatorul de date cu acordul autorităţii de
supraveghere;
 e)la cererea persoanelor vizate, le va pune la dispoziţie o copie a clauzelor care
privesc protecţia datelor cu caracter personal şi va indica persoana sau persoanele care
răspund la solicitările referitoare la prelucrarea datelor cu caracter personal.

Clauza 6: Răspunderea părţilor

(1)Persoana vizată care a suferit un prejudiciu ca urmare a oricărei încălcări a

prevederilor menţionate în clauza 3 are dreptul să primească de la părţile contractante
compensaţii pentru prejudiciul suferit. Părţile sunt scutite de această răspundere doar dacă
dovedesc că nici una dintre ele nu este răspunzătoare de încălcarea acestor prevederi.

(2)Exportatorul şi importatorul de date sunt răspunzători în mod indiviz şi solidar

pentru

prejudiciul adus persoanei vizate, ca urmare a oricărei încălcări menţionate la alin.

(1). În cazul unor asemenea încălcări, persoana vizată poate intenta acţiune în instanţă fie
împotriva exportatorului, fie împotriva importatorului de date, fie împotriva ambilor.

(3)Dacă o parte este trasă la răspundere, potrivit alin. (1), pentru încălcarea unei
prevederi de către cealaltă parte, prima parte va fi compensată de aceasta din urmă pentru
orice cheltuieli sau prejudicii.*)

*) Alineatul (3) este opţional.

Clauza 7: Medierea şi jurisdicţia

(1)În cazul unui litigiu între persoana vizată şi una dintre părţi, care nu este
soluţionat pe cale amiabilă, iar persoana vizată invocă prevederea terţului beneficiar din
clauza 3, vor accepta opţiunea persoanei vizate să supună litigiul:

a)medierii unei persoane independente sau autorităţii de supraveghere, dacă este

cazul;

b) instanţelor din România.

 (2)Prin acordul dintre persoana vizată şi exportatorul sau importatorul de date
litigiul poate fi supus unui organ de arbitraj, dacă partea are sediul într-o ţară care a
ratificat Convenţia de la New York privind executarea hotărârilor arbitrale.

(3)Aplicarea alin. (1) şi (2) nu aduce atingere drepturilor substanţiale sau

procedurale ale persoanelor vizate, de a fi despăgubite, potrivit altor prevederi legale
naţionale sau internaţionale.

Clauza 8: Cooperarea cu autorităţile de supraveghere

Părţile vor depune la autoritatea de supraveghere o copie a clauzelor, la solicitarea

acesteia sau dacă legea prevede astfel.

Clauza 9: Încetarea clauzelor

Încetarea clauzelor în orice moment, în orice împrejurări şi din orice motiv nu

scuteşte părţile de obligaţiile şi/sau de condiţiile clauzelor în ceea ce priveşte prelucrarea
datelor transferate.

Clauza 10: Legea contractului

Clauzele sunt guvernate de legea română, adică ...................................................

Clauza 11: Modificarea contractului

Părţile se obligă să nu modifice prezentele clauze.