Decizia ANSPDCP nr. 41/2014 - stabilirea unui model de autorizaţie pentru transferul în străinătate al datelor cu caracter personal în baza regulilor corporatiste obligatorii (Binding Corporate Rules - BCR)

Văzând Referatul de aprobare nr. 8 din 17 februarie 2014 privind necesitatea stabilirii unui model de autorizație pentru transferul în străinătate al datelor cu caracter personal în baza regulilor corporatiste obligatorii (Binding Corporate Rules - BCR), întocmit de Serviciul înregistrare operatori,

având în vedere calitatea României de stat membru al Uniunii Europene,

în considerarea dispozițiilor art. 25 alin. (2) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, referitoare la caracterul adecvat al nivelului de protecție oferit de o țară terță, ce se evaluează având în vedere toate circumstanțele referitoare la un transfer sau la o categorie de transferuri de date, fiind luate în considerare, în special, natura datelor, scopul și durata prelucrării sau prelucrărilor propuse, țările de origine și țările de destinație, normele de drept atât generale, cât și sectoriale în vigoare în țara terță în cauză, precum și normele profesionale și măsurile de securitate respectate în țara respectivă, văzând dispozițiile art. 26 alin. (2) din Directiva 95/46/CE, potrivit cărora un stat membru poate autoriza un transfer sau o serie de transferuri de date cu caracter personal către o țară terță care nu asigură un nivel de protecție adecvat în sensul art. 25 alin. (2) din aceeași directivă, atunci când operatorul oferă garanții suficiente privind atât protecția vieții private, a drepturilor și libertăților fundamentale ale persoanelor, cât și exercitarea drepturilor corespunzătoare; aceste garanții pot rezulta în special din clauze contractuale adecvate,

luând în considerare prevederile art. 29 alin. (1) din Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, cu modificările și completările ulterioare, potrivit cărora transferul către un alt stat de date cu caracter personal care fac obiectul unei prelucrări sau sunt destinate să fie prelucrate după transfer poate avea loc numai în condițiile în care nu se încalcă legea română, iar statul către care se intenționează transferul asigură un nivel de protecție adecvat,

având în vedere prevederile art. 29 alin. (3) din Legea nr. 677/2001, cu modificările și completările ulterioare, potrivit cărora în toate situațiile transferul de date cu caracter personal către un alt stat va face obiectul unei notificări prealabile a Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal,

având în vedere faptul că, potrivit art. 29 alin. (4) din Legea nr. 677/2001, cu modificările și completările ulterioare, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal poate autoriza transferul de date cu caracter personal către un stat a cărui legislație nu prevede un nivel de protecție cel puțin egal cu cel oferit de legea română atunci când operatorul oferă garanții suficiente cu privire la protecția drepturilor fundamentale ale persoanelor. Aceste garanții trebuie să fie stabilite prin contracte încheiate între operatori și persoanele fizice sau juridice din dispoziția cărora se efectuează transferul,

ținând cont de faptul că, în ceea ce privește transferul în străinătate efectuat în baza regulilor corporatiste obligatorii, Grupul de lucru art. 29 de pe lângă Comisia Europeană, constituit în baza art. 29 din Directiva 95/46/CE, a elaborat o serie de documente care stabilesc elementele, principiile și structura regulilor corporatiste obligatorii (Binding Corporate Rules - BCR), având în vedere Decizia președintelui Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal nr. 95/2008 privind stabilirea formularului tipizat al notificărilor prevăzute de Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, cu modificările ulterioare,

în baza prevederilor art. 3 alin. (5) din Legea nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu modificările și completările ulterioare, și ale art. 6 alin. (2) lit. b) și art. 8 din Regulamentul de organizare și funcționare a Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, aprobat prin Hotărârea Biroului Permanent al Senatului nr. 16/2005, cu modificările și completările ulterioare,

președintele Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal emite prezenta decizie.