Komisijas lēmums

(2001. gada 15. jūnijs)

par līguma standartklauzulām attiecībā uz personas datu nosūtīšanu trešām valstīm saskaņā ar Direktīvu 95/46/EK

(paziņots ar dokumenta numuru C(2001) 1539)

(Dokuments attiecas uz EEZ)

(2001/497/EK)

EIROPAS KOPIENU KOMISIJA,

ņemot vērā Eiropas Kopienas dibināšanas līgumu,

ņemot vērā Eiropas Parlamenta un Padomes 1995. gada 24. oktobra Direktīvu 95/46/EK par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti [1], un jo īpaši tās 26. panta 4. punktu,

tā kā:

(1) Atbilstīgi Direktīvai 95/46/EK dalībvalstīm ir jāparedz, ka personas datu nosūtīšana trešai valstij var notikt tikai tad, ja attiecīgā trešā valsts nodrošina pienācīgu datu aizsardzības līmeni un ja pirms nosūtīšanas ievēro dalībvalstu tiesību aktus, kas atbilst citiem minētās direktīvas noteikumiem.

(2) Tomēr Direktīvas 95/46/EK 26. panta 2. punktā ir noteikts, ka dalībvalstis, ievērojot konkrētus nodrošinājumus, var atļaut vienu vai vairāku personas datu nosūtījumus uz trešām valstīm, kas nenodrošina pienācīgu aizsardzības līmeni. Šādi nodrošinājumi jo īpaši var izrietēt no attiecīgām līguma klauzulām.

(3) Atbilstīgi Direktīvai 95/46/EK datu aizsardzības līmenis jānovērtē, ņemot vērā visus apstākļus vienā vai vairākās datu nosūtīšanas darbībās. Indivīdu aizsardzības darba grupa attiecībā uz personas datu apstrādi, kas ir izveidota ar minēto direktīvu [2], ir izdevusi pamatnostādnes, lai palīdzētu veikt šo novērtējumu [3].

(4) Direktīvas 95/46/EK 26. panta 2. punkts, kurā paredzēta elastība organizācijai, kas vēlas nosūtīt datus trešām valstīm, un 26. panta 4. punkts, kurā paredzētas līguma standartklauzulas, ir būtiski, lai nodrošinātu vajadzīgo personas datu apmaiņu starp Kopienu un trešām valstīm, nevajadzīgi nenoslogojot uzņēmējus. Šie panti ir jo īpaši svarīgi, ņemot vērā to, ka Komisija īsā vai vidēji ilgā laikā varētu pieņemt atbilstības atzinumus saskaņā ar 25. panta 6. punktu vienīgi attiecībā uz ierobežotu valstu skaitu.

(5) Līguma standartklauzulas, līdz ar 25. pantu un 26. panta 1. un 2. punktu, ir tikai viena no vairākām iespējām saskaņā ar Direktīvu 95/46/EK, lai personas datus likumīgi nosūtītu uz trešo valsti. Iekļaujot līgumā standartklauzulas, organizācijām būs vieglāk nosūtīt personas datus uz trešām valstīm. Līguma standartklauzulas attiecas tikai uz datu aizsardzību. Datu nosūtītājs un datu saņēmējs drīkst brīvi iekļaut citas klauzulas, kas ir saistītas ar uzņēmējdarbību, piemēram, tādas klauzulas par savstarpējo palīdzību strīdu gadījumā ar attiecīgo personu vai uzraudzības iestādi, kuras tie uzskata par līgumam atbilstīgām, ciktāl šādas klauzulas nav pretrunā līguma standartklauzulām.

(6) Šis lēmums neskar valsts atļaujas, ko dalībvalstis var piešķirt saskaņā ar valsts tiesību aktiem, īstenojot Direktīvas 95/46/EK 26. panta 2. punktu. Īpašas nosūtīšanas apstākļu dēļ atbildīgajiem par datu apstrādi var prasīt dažādus nodrošinājumus 26. panta 2. punkta nozīmē. Jebkurā gadījumā šis lēmums tikai prasa dalībvalstīm neatteikties atzīt, ka tajā aprakstītās līguma klauzulas sniedz pienācīgu nodrošinājumu, un tādēļ tas neattiecas uz citām līguma klauzulām.

(7) Šā lēmuma darbības joma ir tikai noteikt, ka pielikumā minētās klauzulas var izmantot Kopienā reģistrēti atbildīgie par datu apstrādi, lai sniegtu pietiekamus nodrošinājumus Direktīvas 95/46/EK 26. panta 2. punkta nozīmē. Personas datu nosūtīšana uz trešām valstīm ir tāda apstrādes darbība dalībvalstī, kuras likumības pamatā ir valsts tiesību akti. Dalībvalstu datu aizsardzības uzraudzības iestādēm, pildot savas funkcijas un īstenojot pilnvaras saskaņā ar Direktīvas 95/46/EK 28. pantu, jābūt kompetentām novērtēt, vai datu nosūtītājs ir ievērojis valsts tiesību aktus, ar kuriem īsteno Direktīvas 95/46/EK noteikumus, un jo īpaši atsevišķus noteikumus attiecībā uz pienākumu sniegt informāciju saskaņā ar minēto direktīvu.

(8) Šis lēmums neattiecas uz personas datiem, ko Kopienā reģistrēti atbildīgie par datu apstrādi nosūta saņēmējiem, kuri ir reģistrēti ārpus Kopienas teritorijas un kuri darbojas tikai kā apstrādātāji. Šādai nosūtīšanai nav vajadzīgi tie paši nodrošinājumi, jo apstrādātājs rīkojas tikai minētā atbildīgā vārdā. Komisija ir nodomājusi šāda veida nosūtīšanu iekļaut turpmākā lēmumā.

(9) Ir lietderīgi noteikt minimālo informāciju, kas pusēm jānorāda nosūtīšanas līgumā. Dalībvalstīm jāsaglabā pilnvaras precizēt informāciju, kas pusēm ir jāsniedz. Šā lēmuma darbība jāpārskata, ņemot vērā pieredzi.

(10) Komisija nākotnē arī apsvērs, vai uzņēmējsabiedrību vai citu ieinteresēto personu iesniegtās līguma standartklauzulas sniedz pienācīgus nodrošinājumus saskaņā ar Direktīvu 95/46/EK.

(11) Kaut gan pusēm jābūt tiesīgām brīvi vienoties par datu aizsardzības pamatnoteikumiem, kas datu nosūtītājam jāievēro, ir konkrēti datu aizsardzības principi, kuri jāpiemēro jebkurā gadījumā.

(12) Dati jāapstrādā un tad jāizmanto vai jādara zināmi tikai noteiktiem mērķiem, un tos nedrīkst paturēt ilgāk kā vajadzīgs.

(13) Saskaņā ar Direktīvas 95/46/EK 12. pantu datu subjektam jābūt tiesībām piekļūt visiem datiem, kas uz viņu attiecas, un, attiecīgā gadījumā, — tiesībām konkrētus datus labot, dzēst vai bloķēt.

(14) Personas datu tālākai nosūtīšanai citiem atbildīgajiem par datu apstrādi, kas ir reģistrēti trešā valstī, jābūt atļautai tikai ar dažiem nosacījumiem, jo īpaši, lai nodrošinātu, ka datu subjektiem ir sniegta pareiza informācija un ka viņiem ir iespēja iebilst vai atsevišķos gadījumos nedot savu piekrišanu.

(15) Līdzās novērtēšanai, vai nosūtīšana uz trešām valstīm notiek saskaņā ar valsts tiesību aktiem, uzraudzības iestādēm jābūt izšķirošai nozīmei šajā līguma mehānismā, nodrošinot personas datu pienācīgu aizsardzību pēc nosūtīšanas. Īpašos apstākļos dalībvalstu uzraudzības iestādēm jāsaglabā pilnvaras aizliegt vai pārtraukt vienu vai vairākas datu nosūtīšanas, balstoties uz līguma standartklauzulām tajos izņēmuma gadījumos, kad ir konstatēts, ka nosūtīšana, pamatojoties uz līgumu, iespējams, var ļoti negatīvi ietekmēt garantijas, kas sniedz datu subjektam pienācīgu aizsardzību.

(16) Jānodrošina, ka līguma standartklauzulas var piemērot ne tikai organizācijas, kas ir līgumslēdzējas puses, bet arī datu subjekti, jo īpaši, ja datu subjektiem līguma laušanas dēļ ir nodarīts kaitējums.

(17) Līgumu regulējošajiem tiesību aktiem jābūt tās dalībvalsts tiesību aktiem, kurā datu nosūtītājs ir reģistrēts, ļaujot ieinteresētajai trešai personai izpildīt līgumu. Asociācijām vai citām institūcijām jāļauj pārstāvēt datu subjektus, ja tās to vēlas un ja to atļauj valsts tiesību akti.

(18) Lai mazinātu praktiskās grūtības, kas datu subjektiem varētu rasties, mēģinot īstenot savas tiesības saskaņā ar līguma standartklauzulām, datu nosūtītājam un datu saņēmējam jābūt solidāri atbildīgiem par kaitējumu, kurš radies to noteikumu neievērošanas dēļ, kas ir iekļauti ieinteresētās trešās personas klauzulā.

(19) Datu subjekts ir tiesīgs vērsties pret datu nosūtītāju, datu saņēmēju vai abiem minētajiem un attiecīgi saņemt kompensāciju par kaitējumu, kas ir radies tādas darbības rezultātā, kura ir nesavienojama ar līguma standartklauzulās ietvertajiem pienākumiem. Abas puses var atbrīvot no šīs atbildības, ja tās pierāda, ka neviena no tām nebija par to atbildīga.

(20) Solidārā atbildība neattiecas uz tiem noteikumiem, kas nav iekļauti ieinteresētās trešās personas klauzulā, un tās rezultātā nedrīkst rasties situācija, ka viena puse atlīdzina kaitējumu, kurš radies otras puses nelikumīgi veiktās apstrādes dēļ. Kaut gan savstarpēja atlīdzināšana pušu starpā nav prasība datu subjektu pienācīgai aizsardzībai, un tādēļ to var atcelt, to iekļauj līguma standartklauzulās skaidrības labad un lai pusēm nevajadzētu atsevišķi apspriest atlīdzināšanas klauzulas.

(21) Ja starp pusēm un datu subjektu rodas strīds, kuru nevar atrisināt ar izlīgumu, un ja datu subjekts piemēro ieinteresētās trešās personas klauzulu, puses piekrīt datu subjektam ļaut izvēlēties starp starpniecību, šķīrējtiesu vai valsts tiesu. Tas, cik lielā mērā datu subjekta izvēle būs efektīva, būs atkarīgs no uzticamu un atzītu starpniecības un šķīrējtiesas sistēmu pieejamības. Dalībvalsts uzraudzības iestāžu starpniecībai jābūt kā izvēlei, ja tās šādu pakalpojumu sniedz.

(22) Indivīdu aizsardzības darba grupa, kas ir izveidota ar Direktīvas 95/46/EK 29. pantu, attiecībā uz personas datu apstrādi ir sniegusi atzinumu [4] par aizsardzības līmeni, kurš ir noteikts saskaņā ar šim lēmumam pievienotajām līguma standartklauzulām. Minētais atzinums ir ņemts vērā, sagatavojot šo lēmumu.

(23) Šajā lēmumā paredzētie pasākumi ir saskaņā ar atzinumu, ko sniegusi Komiteja, kura izveidota saskaņā ar Direktīvas 95/46/EK 31. pantu,

IR PIEŅĒMUSI ŠO LĒMUMU.

1. pants

Uzskata, ka šā lēmuma pielikumā paredzētās līguma standartklauzulas sniedz pienācīgus nodrošinājumus attiecībā uz indivīdu privātās dzīves, pamattiesību un pamatbrīvību aizsardzību un attiecībā uz attiecīgo tiesību izmantošanu, kā prasīts Direktīvas 95/46/EK 26. panta 2. punktā.

2. pants

Šis lēmums attiecas tikai uz pienācīgu aizsardzību, kas paredzēta personas datu nosūtīšanas līguma standartklauzulās, kuras ir dotas pielikumā. Tas neattiecas uz citu tādu valsts tiesību aktu piemērošanu, ar kuriem īsteno Direktīvu 95/46/EK un kuri attiecas uz personas datu apstrādi dalībvalstīs.

Šis lēmums neattiecas uz personas datiem, ko Kopienā reģistrēti atbildīgie par datu apstrādi nosūta saņēmējiem, kuri ir reģistrēti ārpus Kopienas teritorijas un kuri darbojas tikai kā apstrādātāji.

3. pants

Šajā lēmumā

a) ir spēkā Direktīvas 95/46/EK definīcijas;

b) "īpašas datu kategorijas" ir minētās direktīvas 8. pantā noteiktie dati;

c) "uzraudzības iestāde" ir minētās direktīvas 28. pantā noteiktā iestāde;

d) "datu nosūtītājs" ir atbildīgais par datu apstrādi, kas personas datus nosūta;

e) "datu saņēmējs" ir atbildīgais par datu apstrādi, kas piekrīt personas datus saņemt no datu nosūtītāja, lai tos turpmāk apstrādātu saskaņā ar šā lēmuma noteikumiem.

4. pants

1. Neskarot dalībvalstu kompetento iestāžu pilnvaras rīkoties, lai nodrošinātu to valsts tiesību aktu ievērošanu, kas ir pieņemti atbilstīgi Direktīvas 95/46/EK II, III, V un VI nodaļai, tās var īstenot savas pašreizējās pilnvaras, lai aizliegtu vai apturētu datu plūsmu uz trešām valstīm, lai indivīdus aizsargātu attiecībā uz viņu personas datu apstrādi, ja:

a) konstatē, ka tiesību akti, kuri datu saņēmējam jāievēro, uzliek tam par pienākumu atkāpties no attiecīgajiem datu aizsardzības noteikumiem, kas pārsniedz ierobežojumus, kuri ir vajadzīgi demokrātiskā sabiedrībā, kā paredzēts Direktīvas 95/46/EK 13. pantā, ja ir iespējamība, ka šis pienākums var ļoti negatīvi ietekmēt garantijas, kas ir paredzētas līguma standartklauzulās; vai:

b) kompetentā iestāde ir konstatējusi, ka datu saņēmējs nav ievērojis līguma klauzulas; vai

c) ir liela iespējamība, ka nav ievērotas vai netiks ievērotas pielikumā dotās līguma standartklauzulas, un nosūtīšanas turpināšana datu subjektiem radītu būtiska kaitējuma draudus.

2. Aizliegumu vai pārtraukšanu atbilstīgi 1. punktam atceļ, tiklīdz aizliegumam vai pārtraukšanai vairs nav iemesla.

3. Ja dalībvalstis nosaka pasākumus atbilstīgi 1. un 2. punktam, tās nekavējoties informē Komisiju, kas nosūta informāciju pārējām dalībvalstīm.

5. pants

Komisija trīs gadus pēc paziņošanas dalībvalstīm izvērtē šā lēmuma darbību, pamatojoties uz pieejamo informāciju. Komitejai, kas izveidota saskaņā ar Direktīvas 95/46/EK 31. pantu, tā iesniedz ziņojumu par secinājumiem. Ziņojumā ietver pierādījumus, kas varētu ietekmēt novērtējumu par pielikumā noteikto līguma standartklauzulu atbilstību, un pierādījumus, kas varētu liecināt, ka šo lēmumu piemēro diskriminējošā veidā.

6. pants

Šo lēmumu piemēro no 2001. gada 3. septembra.

7. pants

Šis lēmums ir adresēts dalībvalstīm.

Briselē, 2001. gada 15. jūnijā

Komisijas vārdā —

Komisijas loceklis

Frederik Bolkestein

[1] OV L 281, 23.11.1995., 31. lpp.

[2] Darba grupas internet adrese ir:http://www.europa.eu.intlcomm/internal_market/en/medial/dataprot/wpdocs/index.htm.

[3] WP 4 (5020/97) "Pirmās ievirzes par personas datu nosūtīšanu uz trešām valstīm: darba dokuments — iespējamie nosūtīšanas veidi ar pietiekamu aizsardzību", apspriežu dokuments, ko Darba grupa pieņēmusi 1997. gada 26. jūnijā.WP 7 (5057/97) "Nozaru paškontroles novērtējums: kas ir lietderīgs ieguldījums trešās valsts datu aizsardzībā?", darba dokuments: Darba grupa pieņēmusi 1998. gada 14. janvārī.WP 9 (3005/98) "Provizoriskie plāni par līguma noteikumu izmantošanu, nosūtot personas datus uz trešām valstīm", darba dokuments: Darba grupa pieņēmusi 1998. gada 22. aprīlī.WP 12: "Personas datu nosūtīšana uz trešām valstīm: ES datu aizsardzības direktīvas 25. un 26. panta piemērošana", darba dokuments, ko Darba grupa pieņēmusi 1998. gada 24. jūlijā; pieejams Eiropas Komisijas Internetsa mājas lapā "europa.eu.int/comm/internal_markt/en/media.dataprot/wpdocs/wp12/en".

[4] Atzinums Nr. 1/2001, ko Darba grupa pieņēmusi 2001. gada 26. janvārī (DG MARKT 5102/00 WP 38); pieejams Eiropas Komisijas mājas lapā "Europa".

--------------------------------------------------

PIELIKUMS

+++++ TIFF +++++

+++++ TIFF +++++

+++++ TIFF +++++

+++++ TIFF +++++

--------------------------------------------------