Decizia Nr. 41 din 18 martie 2014

privind stabilirea unui model de autorizaţie pentru transferul în străinătate al datelor cu caracter personal în baza regulilor corporatiste obligatorii (Binding Corporate Rules – BCR)

EMITENT:      AUTORITATEA NAŢIONALĂ DE SUPRAVEGHERE A PRELUCRĂRII DATELOR CU CARACTER PERSONAL

PUBLICATĂ ÎN: MONITORUL OFICIAL  NR. 218 din 27 martie 2014

 

Văzând Referatul de aprobare nr. 8 din 17 februarie 2014 privind necesitatea stabilirii unui model de autorizaţie pentru transferul în străinătate al datelor cu caracter personal în baza regulilor corporatiste obligatorii (Binding Corporate Rules – BCR), întocmit de Serviciul înregistrare operatori,

având în vedere calitatea României de stat membru al Uniunii Europene,

în considerarea dispoziţiilor art. 25 alin. (2) din Directiva 95/46/CE a Parlamentului European şi a Consiliului din 24 octombrie 1995 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, referitoare la caracterul adecvat al nivelului de protecţie oferit de o ţară terţă, ce se evaluează având în vedere toate circumstanţele referitoare la un transfer sau la o categorie de transferuri de date, fiind luate în considerare, în special, natura datelor, scopul şi durata prelucrării sau prelucrărilor propuse, ţările de origine şi ţările de destinaţie, normele de drept atât generale, cât şi sectoriale în vigoare în ţara terţă în cauză, precum şi normele profesionale şi măsurile de securitate respectate în ţara respectivă,

văzând dispoziţiile art. 26 alin. (2) din Directiva 95/46/CE, potrivit cărora un stat membru poate autoriza un transfer sau o serie de transferuri de date cu caracter personal către o ţară terţă care nu asigură un nivel de protecţie adecvat în sensul art. 25 alin. (2) din aceeaşi directivă, atunci când operatorul oferă garanţii suficiente privind atât protecţia vieţii private, a drepturilor şi libertăţilor fundamentale ale persoanelor, cât şi exercitarea drepturilor corespunzătoare; aceste garanţii pot rezulta în special din clauze contractuale adecvate,

luând în considerare prevederile art. 29 alin. (1) din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare, potrivit cărora transferul către un alt stat de date cu caracter personal care fac obiectul unei prelucrări sau sunt destinate să fie prelucrate după transfer poate avea loc numai în condiţiile în care nu se încalcă legea română, iar statul către care se intenţionează transferul asigură un nivel de protecţie adecvat,

având în vedere prevederile art. 29 alin. (3) din Legea nr. 677/2001, cu modificările şi completările ulterioare, potrivit cărora în toate situaţiile transferul de date cu caracter personal către un alt stat va face obiectul unei notificări prealabile a Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal,

având în vedere faptul că, potrivit art. 29 alin. (4) din Legea nr. 677/2001, cu modificările şi completările ulterioare, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal poate autoriza transferul de date cu caracter personal către un stat a cărui legislaţie nu prevede un nivel de protecţie cel puţin egal cu cel oferit de legea română atunci când operatorul oferă garanţii suficiente cu privire la protecţia drepturilor fundamentale ale persoanelor. Aceste garanţii trebuie să fie stabilite prin contracte încheiate între operatori şi persoanele fizice sau juridice din dispoziţia cărora se efectuează transferul,

ţinând cont de faptul că, în ceea ce priveşte transferul în străinătate efectuat în baza regulilor corporatiste obligatorii, Grupul de lucru art. 29 de pe lângă Comisia Europeană, constituit în baza art. 29 din Directiva 95/46/CE, a elaborat o serie de documente care stabilesc elementele, principiile şi structura regulilor corporatiste obligatorii (Binding Corporate Rules – BCR),

având în vedere Decizia preşedintelui Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal nr. 95/2008 privind stabilirea formularului tipizat al notificărilor prevăzute de Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările ulterioare,

în baza prevederilor art. 3 alin. (5) din Legea nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu modificările şi completările ulterioare, şi ale art. 6 alin. (2) lit. b) şi art. 8 din Regulamentul de organizare şi funcţionare a Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, aprobat prin Hotărârea Biroului Permanent al Senatului nr. 16/2005, cu modificările şi completările ulterioare,

 

preşedintele Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal emite prezenta decizie.

 

ART. 1

Se aprobă modelul de autorizaţie pentru transferul în străinătate al datelor cu caracter personal în baza regulilor corporatiste obligatorii (Binding Corporate Rules – BCR), prevăzut în anexă.

ART. 2

Anexa face parte integrantă din prezenta decizie.

ART. 3

Prezenta decizie se publică în Monitorul Oficial al României, Partea I, şi intră în vigoare la data publicării.

 

Preşedintele Autorităţii Naţionale de

Supraveghere a Prelucrării Datelor cu Caracter Personal,

Ancuţa Gianina Opre

 

Bucureşti, 18 martie 2014.

Nr. 41.

 

ANEXA 1

 

AUTORIZAŢIA

Nr. ……. din ………….

pentru transferul în străinătate al datelor cu caracter personal efectuat în baza regulilor corporatiste obligatorii (Binding Corporate Rules – BCR)

 

În temeiul art. 21 alin. (3) lit. c), raportat la art. 29 alin. (4) din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare,

având în vedere:

– natura datelor cu caracter personal transmise:

………………………………………………………………..

– scopul prelucrării:

………………………………………………………………..

– persoanele vizate:

………………………………………………………………..

– garanţiile pentru protecţia drepturilor fundamentale ale persoanelor, stabilite în baza regulilor corporatiste obligatorii (Binding Corporate Rules – BCR) aprobate de către autoritatea coordonatoare ……………………….. din ……….,

 

preşedintele Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal

 

AUTORIZEAZĂ

 

Transferul de date cu caracter personal efectuat de către …………………………………….. în statele în care îşi desfăşoară activitatea entităţi din cadrul grupului ………………………………, transfer notificat cu nr. ……………….*1).

Prezenta autorizaţie nu exonerează operatorul de îndeplinirea celorlalte obligaţii care îi revin potrivit Legii nr. 677/2001, cu modificările şi completările ulterioare, inclusiv de obligaţia de a se supune controlului efectuat de către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

În condiţiile legii, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal poate dispune orice măsuri, în cazul în care constată încălcarea obligaţiilor asumate de către operator.

————

*1) Se va menţiona numărul de înregistrare a notificării din registrul de evidenţă a prelucrărilor de date cu caracter personal.

 

Preşedintele Autorităţii Naţionale de

Supraveghere a Prelucrării Datelor cu Caracter Personal,

Ancuţa Gianina Opre