(1)

Evoluțiile tehnologice facilitează fluxurile transfrontaliere de date necesare pentru extinderea cooperării internaționale și a comerțului internațional. În același timp, este necesar să se asigure faptul că nivelul de protecție a persoanelor fizice garantat de Regulamentul (UE) 2016/679 nu este afectat în cazul în care se transferă date cu caracter personal către țări terțe, inclusiv în cazul transferurilor ulterioare (2). Dispozițiile referitoare la transferurile de date prevăzute în capitolul V din Regulamentul (UE) 2016/679 sunt menite să asigure continuitatea acestui nivel ridicat de protecție în cazul în care se transferă date cu caracter personal către o țară terță (3).

(2)

În temeiul articolului 46 alineatul (1) din Regulamentul (UE) 2016/679, în absența unei decizii a Comisiei privind caracterul adecvat al nivelului de protecție în temeiul articolului 45 alineatul (3), un operator sau o persoană împuternicită de operator poate transfera date cu caracter personal către o țară terță numai dacă a oferit garanții adecvate și cu condiția să existe drepturi opozabile și căi de atac eficiente pentru persoanele vizate. Aceste garanții pot fi furnizate prin clauze standard de protecție a datelor adoptate de Comisie în temeiul articolului 46 alineatul (2) litera (c).

(3)

Rolul clauzelor contractuale standard este limitat la asigurarea unor garanții adecvate în materie de protecție a datelor pentru transferurile internaționale de date. Prin urmare, operatorul sau persoana împuternicită de operator care transferă datele cu caracter personal către o țară terță („exportatorul de date”) și operatorul sau persoana împuternicită de operator care primește datele cu caracter personal („importatorul de date”) au libertatea de a include aceste clauze contractuale standard într-un contract mai amplu și de a adăuga alte clauze sau garanții suplimentare, atât timp cât acestea nu contravin, direct sau indirect, clauzelor contractuale standard sau nu aduc atingere drepturilor sau libertăților fundamentale ale persoanelor vizate. Operatorii și persoanele împuternicite de operatori sunt încurajate să furnizeze garanții suplimentare prin intermediul unor angajamente contractuale care să completeze clauzele contractuale standard (4). Utilizarea clauzelor contractuale standard nu aduce atingere niciunei obligații contractuale a exportatorului de date și/sau a importatorului de date de a asigura respectarea privilegiilor și a imunităților aplicabile.

(4)

Pe lângă utilizarea clauzelor contractuale standard pentru a oferi garanții adecvate pentru transferurile efectuate în temeiul articolului 46 alineatul (1) din Regulamentul (UE) 2016/679, exportatorul de date trebuie să își îndeplinească responsabilitățile generale care îi revin în calitate de operator sau de persoană împuternicită de operator în temeiul Regulamentului (UE) 2016/679. Printre aceste responsabilități se numără obligația operatorului de a informa persoanele vizate cu privire la intenția sa de a transfera datele lor cu caracter personal către o țară terță în temeiul articolului 13 alineatul (1) litera (f) și al articolului 14 alineatul (1) litera (f) din Regulamentul (UE) 2016/679. În cazul transferurilor efectuate în temeiul articolului 46 din Regulamentul (UE) 2016/679, această informare trebuie să includă o trimitere la garanțiile adecvate și la mijloacele prin care se poate obține o copie a acestora sau informații privind locul în care acestea au fost puse la dispoziție.

(5)

Deciziile 2001/497/CE (5) și 2010/87/UE (6) ale Comisiei conțin clauze contractuale standard pentru a facilita transferul de date cu caracter personal de la un operator de date stabilit în Uniune către un operator stabilit sau o persoană împuternicită de operator stabilită într-o țară terță care nu oferă un nivel adecvat de protecție. Aceste decizii s-au întemeiat pe Directiva 95/46/CE a Parlamentului European și a Consiliului (7).

(6)

În temeiul articolului 46 alineatul (5) din Regulamentul (UE) 2016/679, Decizia 2001/497/CE și Decizia 2010/87/UE rămân în vigoare până la data la care sunt modificate, înlocuite sau abrogate, dacă este necesar, printr-o decizie a Comisiei adoptată în temeiul articolului 46 alineatul (2) din regulamentul menționat. Clauzele contractuale standard prevăzute în decizii trebuie să fie actualizate în lumina noilor cerințe ale Regulamentului (UE) 2016/679. În plus, de la adoptarea deciziilor, economia digitală a cunoscut evoluții semnificative, cu utilizarea pe scară largă a unor operațiuni de prelucrare noi și mai complexe, care implică adesea mai mulți importatori și exportatori de date, lanțuri de prelucrare lungi și complexe, precum și evoluția relațiilor de afaceri. Prin urmare, este necesar să se modernizeze clauzele contractuale standard pentru a reflecta mai bine aceste realități, prin includerea unor situații suplimentare de prelucrare și de transfer, și pentru a autoriza o abordare mai flexibilă, de exemplu în ceea ce privește numărul de părți care pot adera la contract.

(7)

Un operator sau o persoană împuternicită de operator poate recurge la clauzele contractuale standard prevăzute în anexa la prezenta decizie pentru a oferi garanții adecvate în sensul articolului 46 alineatul (1) din Regulamentul (UE) 2016/679 pentru transferul de date cu caracter personal către o persoană împuternicită de operator stabilită într-o țară terță sau către un operator stabilit într-o țară terță, fără a aduce atingere interpretării noțiunii de transfer internațional prevăzute în Regulamentul (UE) 2016/679. Clauzele contractuale standard pot fi utilizate pentru aceste transferuri numai în măsura în care prelucrarea efectuată de importator nu se încadrează în domeniul de aplicare al Regulamentului (UE) 2016/679. Aceasta include și transferul de date cu caracter personal de către un operator care nu este stabilit în Uniune sau o persoană împuternicită de operator care nu este stabilită în Uniune, în măsura în care prelucrarea face obiectul Regulamentului (UE) 2016/679 [în temeiul articolului 3 alineatul (2) din regulamentul menționat], deoarece se referă la oferirea de bunuri sau servicii persoanelor vizate în Uniune sau la monitorizarea comportamentului lor, dacă acesta se manifestă în cadrul Uniunii.

(8)

Având în vedere alinierea generală a Regulamentului (UE) 2016/679 și a Regulamentului (UE) 2018/1725 al Parlamentului European și al Consiliului (8), ar trebui să fie posibil să se recurgă la clauzele contractuale standard și în contextul unui contract, astfel cum se prevede la articolul 29 alineatul (4) din Regulamentul (UE) 2018/1725, pentru transferul de date cu caracter personal către un subcontractant dintr-o țară terță de către un operator care nu este o instituție sau un organ al Uniunii, dar care face obiectul Regulamentului (UE) 2016/679 și care prelucrează date cu caracter personal în numele unei instituții sau al unui organ al Uniunii în conformitate cu articolul 29 din Regulamentul (UE) 2018/1725. Atât timp cât contractul reflectă aceleași obligații privind protecția datelor ca cele prevăzute în contractul sau în alt act juridic încheiat între operator și persoana împuternicită de operator în temeiul articolului 29 alineatul (3) din Regulamentul (UE) 2018/1725, în special prin oferirea de garanții suficiente pentru măsurile tehnice și organizatorice menite să asigure faptul că prelucrarea respectă cerințele regulamentului menționat, se va asigura conformitatea cu articolul 29 alineatul (4) din Regulamentul (UE) 2018/1725. În special, acest lucru va fi valabil în cazul în care operatorul și persoana împuternicită de operator utilizează clauzele contractuale standard prevăzute în Decizia de punere în aplicare a Comisiei privind clauzele contractuale standard dintre operatori și persoanele împuternicite de operatori prevăzute la articolul 28 alineatul (7) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului și la articolul 29 alineatul (7) din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (9).

(9)

În cazul în care prelucrarea implică transferuri de date de la operatori care fac obiectul Regulamentului (UE) 2016/679 către persoane împuternicite de operatori care nu intră sub incidența domeniului de aplicare teritorială a regulamentului menționat sau de la persoane împuternicite de operatori care fac obiectul Regulamentului (UE) 2016/679 către subcontractanți care nu intră sub incidența domeniului de aplicare teritorială a regulamentului menționat, ar trebui, de asemenea, ca clauzele contractuale standard prevăzute în anexa la prezenta decizie să permită îndeplinirea cerințelor prevăzute la articolul 28 alineatele (3) și (4) din Regulamentul (UE) 2016/679.

(10)

Clauzele contractuale standard prevăzute în anexa la prezenta decizie îmbină clauze generale cu o abordare modulară pentru a răspunde diverselor scenarii de transfer și complexității lanțurilor moderne de prelucrare. Pe lângă clauzele generale, operatorii și persoanele împuternicite de operatori ar trebui să selecteze modulul aplicabil situației lor, pentru a adapta obligațiile care le revin în temeiul clauzelor contractuale standard la rolul și la responsabilitățile pe care le au în ceea ce privește prelucrarea datelor în cauză. Ar trebui să fie posibil ca la clauzele contractuale standard să adere mai mult de două părți. În plus, ar trebui să se permită unui număr suplimentar de operatori și persoane împuternicite de operatori să adere la clauzele contractuale standard în calitate de exportatori sau importatori de date pe parcursul întregului ciclu de viață al contractului din care fac parte aceste clauze.

(11)

Pentru a oferi garanții adecvate, clauzele contractuale standard ar trebui să asigure faptul că datele cu caracter personal transferate pe această bază beneficiază de un nivel de protecție în esență echivalent cu cel garantat pe teritoriul Uniunii (10). În vederea asigurării transparenței prelucrării, persoanele vizate ar trebui să primească o copie a clauzelor contractuale standard și să fie informate, în special, cu privire la categoriile de date cu caracter personal prelucrate, la dreptul de a obține o copie a clauzelor contractuale standard și la orice transfer ulterior. Transferurile ulterioare efectuate de importatorul de date către un terț într-o altă țară terță ar trebui permise numai dacă terțul aderă la clauzele contractuale standard, dacă se asigură continuitatea protecției în alt mod sau în situații specifice, de exemplu pe baza consimțământului explicit și în cunoștință de cauză al persoanei vizate.

(12)

Cu unele excepții, în special în ceea ce privește anumite obligații care se referă exclusiv la relația dintre exportatorul de date și importatorul de date, persoanele vizate ar trebui să poată invoca și, dacă este necesar, să obțină executarea clauzele contractuale standard în calitate de terți beneficiari. Prin urmare, deși părților ar trebui să li se permită să aleagă legislația unuia dintre statele membre care să reglementeze clauzele contractuale standard, legislația respectivă trebuie să recunoască drepturile terților beneficiari. Pentru a facilita acțiunile individuale în despăgubire, clauzele contractuale standard ar trebui să prevadă obligația importatorului de date de a informa persoanele vizate cu privire la punctul de contact căruia i se pot adresa și de a soluționa cu promptitudine orice plângeri sau cereri. În cazul unui litigiu între importatorul de date și o persoană vizată care își invocă drepturile în calitate de terț beneficiar, persoana vizată ar trebui să poată să depună o plângere la autoritatea de supraveghere competentă sau să sesizeze instanțele din UE competente să soluționeze litigiul.

(13)

Pentru a se asigura o aplicare efectivă, importatorul de date ar trebui să aibă obligația de a se supune jurisdicției unei astfel de autorități și a unor astfel de instanțe și de a se angaja să respecte orice decizie cu caracter obligatoriu adoptată în temeiul legislației aplicabile a statului membru. În special, importatorul de date ar trebui să fie de acord să răspundă cererilor de informații, să facă obiectul unor audituri și să se conformeze măsurilor adoptate de autoritatea de supraveghere, inclusiv măsurilor reparatorii și compensatorii. În plus, importatorul de date ar trebui să fie în măsură să ofere persoanelor vizate posibilitatea de a introduce fără costuri acțiuni în despăgubire în fața unui organism independent de soluționare a litigiilor. În conformitate cu articolul 80 alineatul (1) din Regulamentul (UE) 2016/679, persoanelor vizate ar trebui să li se permită să fie reprezentate de asociații sau de alte organisme în litigii împotriva importatorului de date, dacă doresc acest lucru.

(14)

Clauzele contractuale standard ar trebui să prevadă norme privind răspunderea între părți și privind persoanele vizate, precum și norme privind despăgubirile dintre părți. În cazul în care persoana vizată suferă prejudicii materiale sau morale ca urmare a încălcării drepturilor pe care le are terțul beneficiar în temeiul clauzelor contractuale standard, aceasta ar trebui să aibă dreptul la despăgubiri. Acest lucru nu ar trebui să aducă atingere răspunderii în temeiul Regulamentului (UE) 2016/679.

(15)

În cazul unui transfer către un importator de date care acționează în calitate de persoană împuternicită de operator sau de subcontractant, ar trebui să se aplice cerințe specifice în conformitate cu articolul 28 alineatul (3) din Regulamentul (UE) 2016/679. Clauzele contractuale standard ar trebui să prevadă obligația importatorului de date de a pune la dispoziție toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute în clauze, precum și de a permite efectuarea de către exportatorul de date de audituri ale activităților sale de prelucrare și de a contribui la aceste audituri. În ceea ce privește recrutarea unui subcontractant de către importatorul de date, în conformitate cu articolul 28 alineatele (2) și (4) din Regulamentul (UE) 2016/679, clauzele contractuale standard ar trebui să stabilească în special procedura aplicabilă autorizației generale sau specifice din partea exportatorului de date și cerința încheierii unui contract scris cu subcontractantul care să asigure același nivel de protecție ca cel prevăzut în clauze.

(16)

Este oportun să se prevadă garanții diferite în clauzele contractuale standard care să includă situația specifică a unui transfer de date cu caracter personal efectuat de o persoană împuternicită de operator din Uniune către operatorul său dintr-o țară terță și să reflecte obligațiile autonome limitate care le revin persoanelor împuternicite de operatori în temeiul Regulamentului (UE) 2016/679. În special, clauzele contractuale standard ar trebui să prevadă obligația persoanei împuternicite de operator să îl informeze pe operator dacă nu este în măsură să îi urmeze instrucțiunile, inclusiv dacă aceste instrucțiuni încălcă legislația Uniunii în materie de protecție a datelor, și obligația operatorului de a nu întreprinde nicio acțiune care ar împiedica persoana împuternicită de operator să își îndeplinească obligațiile care îi revin în temeiul Regulamentului (UE) 2016/679. De asemenea, clauzele contractuale standard ar trebui să prevadă obligația părților de a-și acorda asistență pentru a răspunde cererilor de informații și cererilor formulate de persoanele vizate în temeiul legislației locale aplicabile importatorului de date sau, în cazul prelucrării datelor în Uniune, în temeiul Regulamentului (UE) 2016/679. Ar trebui să se aplice cerințe suplimentare pentru a remedia orice efecte ale legislației țării terțe de destinație asupra respectării de către operator a clauzelor și, în special, modul în care se tratează cererile obligatorii din partea autorităților publice din țara terță care au ca obiect divulgarea datelor cu caracter personal transferate, în cazul în care persoana împuternicită de operator din Uniune combină datele cu caracter personal primite de la operatorul din țara terță cu date cu caracter personal pe care le-a colectat în Uniune. În schimb, astfel de cerințe nu sunt justificate atunci când externalizarea implică doar prelucrarea și transferarea înapoi a datelor cu caracter personal care au fost primite de la operator și care, în orice caz, au fost și vor rămâne sub jurisdicția țării terțe în cauză.

(17)

Părțile ar trebui să poată demonstra respectarea clauzelor contractuale standard. În special, importatorul de date ar trebui să aibă obligația de a păstra documentația corespunzătoare pentru activitățile de prelucrare desfășurate sub responsabilitatea sa și de a-l informa cu promptitudine pe exportatorul de date dacă nu este în măsură să respecte clauzele, indiferent de motiv. La rândul său, exportatorul de date ar trebui să suspende transferul și, în cazuri deosebit de grave, să aibă dreptul de a rezilia contractul, în măsura în care acesta are ca obiect prelucrarea datelor cu caracter personal în temeiul clauzelor contractuale standard, în cazul în care importatorul de date încalcă clauzele sau nu este în măsură să le respecte. Ar trebui să se aplice norme specifice în cazul în care legislația locală afectează respectarea clauzelor. Datele cu caracter personal care au fost transferate înainte de rezilierea contractului și orice copii ale acestora ar trebui, la alegerea exportatorului de date, să fie returnate exportatorului de date sau distruse în întregime.

(18)

Clauzele contractuale standard ar trebui să prevadă garanții specifice, în special având în vedere jurisprudența Curții de Justiție (11), pentru a remedia orice efecte ale legislației țării terțe de destinație asupra respectării clauzelor de către importatorul de date, în special modul în care se tratează cererile obligatorii din partea autorităților publice din respectiva țară care au ca obiect divulgarea datelor cu caracter personal transferate.

(19)

Transferul și prelucrarea datelor cu caracter personal în temeiul clauzelor contractuale standard nu ar trebui să aibă loc dacă legislația și practicile țării terțe de destinație îl împiedică pe importatorul de date să respecte aceste clauze. În acest context, legislația și practicile care respectă esența drepturilor și a libertăților fundamentale și nu depășesc ceea ce este necesar și proporțional într-o societate democratică pentru a garanta unul dintre obiectivele enumerate la articolul 23 alineatul (1) din Regulamentul (UE) 2016/679 nu ar trebui considerate ca fiind în conflict cu clauzele contractuale standard. Părțile ar trebui să garanteze că, la momentul acceptării clauzelor contractuale standard, nu au motive să creadă că legislația și practicile aplicabile importatorului de date nu sunt conforme cu aceste cerințe.

(20)

Părțile ar trebui să ia în considerare, în special, circumstanțele specifice ale transferului (cum ar fi conținutul și durata contractului, natura datelor care urmează să fie transferate, tipul de destinatar, scopul prelucrării), legislația și practicile țării terțe de destinație care sunt relevante având în vedere circumstanțele transferului și orice garanții instituite pentru a le completa pe cele prevăzute în clauzele contractuale standard (inclusiv măsurile contractuale, tehnice și organizatorice relevante care se aplică transmiterii datelor cu caracter personal și prelucrării acestora în țara de destinație). În ceea ce privește impactul acestei legislații și al acestor practici asupra respectării clauzelor contractuale standard, pot fi luate în considerare diferite elemente în cadrul unei evaluări generale, inclusiv informații fiabile privind aplicarea în practică a legislației (de exemplu, jurisprudența și rapoartele întocmite de organisme independente de supraveghere), existența sau absența cererilor în cadrul aceluiași sector și, în condiții stricte, experiența practică dovedită cu documente a exportatorului de date și/sau a importatorului de date.

(21)

Importatorul de date ar trebui să notifice exportatorului de date dacă, după ce a acceptat clauzele contractuale standard, are motive să creadă că nu este în măsură să le respecte. Dacă exportatorul de date primește o astfel de notificare sau ia cunoștință în alt mod de faptul că importatorul de date nu mai este în măsură să respecte clauzele contractuale standard, acesta ar trebui să identifice măsuri adecvate pentru a remedia situația, dacă este necesar împreună cu autoritatea de supraveghere competentă. Printre aceste măsuri se pot număra măsuri suplimentare adoptate de exportatorul de date și/sau de importatorul de date, cum ar fi măsuri tehnice sau organizatorice de asigurare a securității și a confidențialității. Exportatorul de date ar trebui să aibă obligația de a suspenda transferul în cazul în care consideră că nu pot fi asigurate garanții adecvate sau dacă a primit instrucțiuni în acest sens din partea autorității de supraveghere competente.

(22)

În măsura posibilului, importatorul de date ar trebui să transmită o notificare exportatorului de date și persoanei vizate dacă primește din partea unei autorități publice (inclusiv judiciare) o cerere obligatorie din punct de vedere juridic în temeiul legislației țării de destinație care are ca obiect divulgarea datelor cu caracter personal transferate în temeiul clauzelor contractuale standard. De asemenea, importatorul de date ar trebui să transmită o notificare exportatorului de date și persoanei vizate dacă ia cunoștință de orice accesare directă de către autoritățile publice a acestor date cu caracter personal, în conformitate cu legislația țării terțe de destinație. Dacă, în pofida faptului că a depus toate eforturile, importatorul de date nu este în măsură să transmită exportatorului de date și/sau persoanei vizate o notificare referitoare la cererile de divulgare specifice, acesta ar trebui să furnizeze exportatorului de date cât mai multe informații relevante posibil cu privire la cererile primite. În plus, importatorul de date ar trebui să îi furnizeze exportatorului de date informații agregate la intervale regulate. Importatorul de date ar trebui, de asemenea, să aibă obligația de a consemna în evidențe orice cerere de divulgare primită și răspunsul furnizat și să pună aceste informații la dispoziția exportatorului de date sau a autorității de supraveghere competente, sau atât la dispoziția exportatorului de date, cât și la dispoziția autorității de supraveghere competente, la cerere. Dacă, în urma efectuării unui control al legalității unei astfel de cereri în temeiul legislației țării de destinație, importatorul de date ajunge la concluzia că există motive întemeiate să considere că cererea este ilegală în temeiul legislației țării terțe de destinație, acesta ar trebui să o conteste, inclusiv, dacă este cazul, prin epuizarea tuturor căilor de atac disponibile. În orice caz, dacă importatorul de date nu mai este în măsură să respecte clauzele contractuale standard, acesta ar trebui să îl informeze pe exportatorul de date, inclusiv dacă acest fapt este consecința unei cereri de divulgare.

(23)

Având în vedere că este posibil ca nevoile părților interesate, tehnologia și operațiunile de prelucrare să evolueze, Comisia ar trebui să evalueze, în lumina experienței acumulate, modul în care funcționează clauzele contractuale standard, în cadrul evaluării periodice a Regulamentului (UE) 2016/679, prevăzută la articolul 97 din regulamentul menționat.

(24)

Decizia 2001/497/CE și Decizia 2010/87/UE ar trebui abrogate la trei luni de la intrarea în vigoare a prezentei decizii. Pe durata acestei perioade, exportatorii de date și importatorii de date ar trebui, în sensul articolului 46 alineatul (1) din Regulamentul (UE) 2016/679, să poată recurge în continuare la clauzele contractuale standard prevăzute în Deciziile 2001/497/CE și 2010/87/UE. Pentru o perioadă suplimentară de 15 luni, exportatorii de date și importatorii de date ar trebui, în sensul articolului 46 alineatul (1) din Regulamentul (UE) 2016/679, să poată recurge în continuare la clauzele contractuale standard prevăzute în Deciziile 2001/497/CE și 2010/87/UE pentru executarea contractelor încheiate între ei înainte de data abrogării acestor decizii, cu condiția ca operațiunile de prelucrare care fac obiectul contractului să rămână neschimbate și ca, prin recurgerea la clauze, să se asigure faptul că transferul de date cu caracter personal face obiectul unor garanții adecvate în sensul articolului 46 alineatul (1) din Regulamentul (UE) 2016/679. În cazul în care contractul face obiectul unor modificări relevante, exportatorul de date ar trebui să aibă obligația de a recurge la un nou temei pentru transferurile de date efectuate în baza contractului, în special prin înlocuirea clauzelor contractuale standard existente cu clauzele contractuale standard prevăzute în anexa la prezenta decizie. Aceeași obligație ar trebui să aplice în cazul oricărei subcontractări a operațiunilor de prelucrare care fac obiectul contractului către o persoană împuternicită de operator sau un subcontractant.

(25)

Autoritatea Europeană pentru Protecția Datelor și Comitetul european pentru protecția datelor au fost consultate în conformitate cu articolul 42 alineatele (1) și (2) din Regulamentul (UE) 2018/1725 și au emis un aviz comun la 14 ianuarie 2021 (12), care a fost luat în considerare în cadrul activității de elaborare a prezentei decizii.

(26)

Măsurile prevăzute în prezenta decizie sunt conforme cu avizul comitetului instituit în temeiul articolului 93 din Regulamentul (UE) 2016/679,