32001D0497

Komission päätös,

tehty 15 päivänä kesäkuuta 2001,

direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen kolmansiin maihin siirtoa varten

(tiedoksiannettu numerolla K(2001) 1539)

(ETA:n kannalta merkityksellinen teksti)

(2001/497/EY)

EUROOPAN YHTEISÖJEN KOMISSIO, joka

ottaa huomioon Euroopan yhteisön perustamissopimuksen,

ottaa huomioon yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY(1) ja erityisesti sen 26 artiklan 4 kohdan,

sekä katsoo seuraavaa:

(1) Direktiivin 95/46/EY mukaisesti jäsenvaltioiden on säädettävä, että henkilötietojen siirto kolmanteen maahan voidaan suorittaa ainoastaan, jos kyseisessä kolmannessa maassa taataan tietosuojan riittävä taso ja jos mainitun direktiivin muiden säännösten mukaisia jäsenvaltioiden lakeja noudatetaan ennen siirtoa.

(2) Kuitenkin direktiivin 95/46/EY 26 artiklan 2 kohdassa säädetään, että jäsenvaltiot voivat hyväksyä tiettyjä takeita noudattaen henkilötietojen siirron tai siirtojen sarjan sellaisiin kolmansiin maihin, joissa ei taata tietosuojan riittävää tasoa. Nämä takeet voivat erityisesti johtua soveltuvista sopimuslausekkeista.

(3) Direktiivin 95/46/EY mukaisesti tietosuojan tasoa olisi arvioitava kaikkien tiettyyn siirtoon tai siirtojen ryhmään liittyvien olosuhteiden osalta. Mainitulla direktiivillä perustettu tietosuojatyöryhmä(2) on antanut suuntaviivat arvioinnin tueksi(3).

(4) Direktiivin 95/46/EY 26 artiklan 2 kohta, jossa annetaan liikkumavaraa organisaatiolle, joka haluaa siirtää tietoja kolmansiin maihin, ja 26 artiklan 4 kohta, jossa säädetään mallisopimuslausekkeista, ovat olennaisia tarvittavan henkilötietojen virran ylläpitämiseksi Euroopan yhteisön ja kolmansien maiden välillä ilman taloudellisille toimijoille aiheutuvaa tarpeetonta taakkaa. Nämä artiklat ovat erityisen tärkeitä ottaen huomioon, että komissio tekee todennäköisesti lyhyellä tai jopa keskipitkällä aikavälillä tietosuojan riittävyyden toteamista koskevia päätöksiä 25 artiklan 6 kohdan nojalla vain muutamien maiden osalta.

(5) Mallisopimuslausekkeet ovat direktiivin 95/46/EY 25 artiklan sekä 26 artiklan 1 ja 2 kohdan ohella vain yksi kyseisen direktiivin tarjoamista useista mahdollisuuksista henkilötietojen siirtämiseen kolmanteen maahan laillisesti. Näiden mallisopimuslausekkeiden sisällyttäminen sopimukseen helpottaa huomattavasti organisaatioiden suorittamia henkilötietojen siirtoja kolmansiin maihin. Mallisopimuslausekkeet liittyvät ainoastaan tietosuojaan. Tietojen viejä ja tietojen tuoja voivat vapaasti sisällyttää sopimukseen muita lausekkeita yritystoimintaan liittyvistä kysymyksistä, kuten keskinäisestä avunannosta riitatapauksissa rekisteröidyn tai valvontaviranomaisten kanssa, joita ne pitävät sopimuksen kannalta olennaisina, kunhan nämä lausekkeet eivät ole ristiriidassa mallisopimuslausekkeiden kanssa.

(6) Tällä päätöksellä ei rajoiteta jäsenvaltioiden mahdollisuutta antaa sellaisten kansallisten säännösten mukaisia kansallisia lupia, joilla direktiivin 95/46/EY 26 artiklan 2 kohta pannaan täytäntöön. Erityisten tiedonsiirtojen olosuhteet saattavat edellyttää, että rekisterinpitäjä antaa 26 artiklan 2 kohdassa tarkoitettuja erilaisia takeita. Joka tapauksessa tämän päätöksen ainoa vaikutus on se, että jäsenvaltiot eivät kieltäydy tunnustamasta päätöksessä tarkoitettujen sopimuslausekkeiden tarjoavan riittävät takeet, ja tällä päätöksellä ei näin ollen ole vaikutusta muihin sopimuslausekkeisiin.

(7) Tämän päätöksen soveltamisala rajoittuu sen vahvistamiseen, että Euroopan yhteisöön sijoittautunut rekisterinpitäjä voi käyttää liitteessä olevia lausekkeita riittävien takeiden antamiseksi direktiivin 95/46/EY 26 artiklan 2 kohdassa tarkoitetulla tavalla. Henkilötietojen siirtäminen kolmansiin maihin on käsittelytoimi jäsenvaltiossa, ja sen laillisuudesta säädetään kansallisessa lainsäädännössä. Jäsenvaltioiden tietosuojavalvontaviranomaiset ovat suorittaessaan tehtäviään ja käyttäessään toimivaltuuksiaan direktiivin 95/46/EY 28 artiklan nojalla edelleen toimivaltaisia arvioimaan, onko tietojen viejä noudattanut kansallista lainsäädäntöä, jolla direktiivin 95/46/EY säännökset pannaan täytäntöön, ja varsinkin erityissäännöksiä mainitun direktiivin 10 ja 11 artiklan mukaisen informointivelvoitteen osalta. Valvontaviranomaiset voivat myös vaatia sopimuksen jäljennöksen tallettamista valvontaviranomaisen huostaan.

(8) Tämä päätös ei koske yhteisöön sijoittautuneen rekisterinpitäjän suorittamaa henkilötietojen siirtoa vastaanottajille, jotka ovat sijoittautuneet yhteisön alueen ulkopuolelle ja jotka toimivat vain henkilötietojen käsittelijöinä. Nämä siirrot eivät edellytä samoja takeita, koska henkilötietojen käsittelijä toimii yksinomaan rekisterinpitäjän puolesta. Komissio aikoo käsitellä tällaisia siirtoja myöhemmässä päätöksessä.

(9) On asianmukaista vahvistaa vähimmäistiedot, jotka sopimuspuolten on mainittava siirtoa koskevassa sopimuksessa. Jäsenvaltioilla olisi oltava edelleen oikeus täsmentää tiedot, jotka sopimuspuolilla on velvollisuus toimittaa.

(10) Komissio myös tarkastelee myöhemmin, tarjoavatko yritysorganisaatioiden tai muiden asianomaisten osapuolten esittämät mallisopimuslausekkeet riittävät takeet direktiivin 95/46/EY mukaisesti.

(11) Vaikka osapuolten tulisi voida sopia tietojen tuojan noudattamista aineellisista tietosuojasäännöistä, tiettyjä tietosuojaperiaatteita olisi sovellettava joka tapauksessa.

(12) Tietoa olisi käsiteltävä ja sittemmin käytettävä tai edelleen toimitettava ainoastaan erityisiin tarkoituksiin ja sitä ei tulisi säilyttää kauemmin kuin on tarpeellista.

(13) Direktiivin 95/46/ETY 12 artiklan mukaisesti rekisteröidyllä olisi oltava tiedonsaantioikeus häntä koskevaan tietoon ja tapauskohtaisesti oikeus saada tietyt tiedot oikaistuiksi, poistetuiksi tai suojatuiksi.

(14) Henkilökohtaisten tietojen myöhemmät siirrot toiselle rekisterinpitäjälle, joka on sijoittautunut kolmanteen maahan, olisi sallittava ainoastaan tietyin edellytyksin, erityisesti sen varmistamiseksi, että rekisteröidyille annetaan asianmukaiset tiedot ja tilaisuus vastustaa tai tietyissä tapauksissa pidättää suostumuksensa.

(15) Sen lisäksi, että valvontaviranomaiset arvioivat, ovatko siirrot kolmansiin maihin kansallisen lainsäädännön mukaisia, niillä on keskeinen asema tässä sopimusmenettelyssä myös sen varmistamisessa, että henkilötietoja suojataan riittävästi niiden siirron jälkeen. Tietyissä olosuhteissa jäsenvaltioiden valvontaviranomaisilla on oikeus kieltää tai lykätä mallisopimuslausekkeisiin perustuva tietojen siirto tai siirtojen sarja poikkeustapauksissa, joissa sopimusperusteisella siirrolla todetaan olevan todennäköisesti merkittävä haitallinen vaikutus rekisteröidylle annettaviin takeisiin riittävästä tietosuojasta.

(16) Mallisopimuslausekkeiden olisi oltava täytäntöönpanokelpoisia ei ainoastaan sopimuksen osapuolena olevien organisaatioiden vaan myös rekisteröityjen toimesta erityisesti, jos rekisteröidyille aiheutuu vahinkoa sopimusrikkomuksen seurauksena.

(17) Sopimukseen sovellettavan lain olisi oltava sen jäsenvaltion laki, jonka nojalla edunsaajana oleva kolmas voi saattaa voimaan sopimuksen. Rekisteröityjä voi edustaa yhteenliittymä tai muu elin, jos rekisteröidyt niin haluavat ja jos se on kansallisen lainsäädännön mukaan sallittua.

(18) Vähentääkseen käytännön vaikeuksia, joita rekisteröidyllä voi olla yrittäessään toteuttaa oikeuksiaan näiden mallisopimuslausekkeiden nojalla, tietojen viejän ja tietojen tuojan olisi oltava yhteisvastuussa niiden määräysten rikkomisesta johtuvista vahingoista, joita kolmatta suojaava edunsaajalauseke koskee.

(19) Rekisteröidyllä on oikeus ryhtyä toimiin ja saada korvausta tietojen viejältä, tietojen tuojalta tai molemmilta vahingosta, joka on aiheutunut mistä tahansa toiminnasta, joka on yhteensopimaton mallisopimuslausekkeisiin sisältyvien velvoitteiden kanssa. Molemmat osapuolet voidaan vapauttaa vastuusta, jos nämä osoittavat, että kumpikaan ei ollut vastuussa kyseisestä toiminnasta.

(20) Yhteisvastuu ei ulotu sellaisiin määräyksiin, joita kolmatta suojaava edunsaajalauseke ei koske, eikä sopimuspuolen tarvitse sen nojalla korvata vahinkoja, jotka ovat aiheutuneet toisen sopimuspuolen suorittamasta laittomasta käsittelystä. Vaikka sopimuspuolten keskinäistä vahingonkorvausta ei vaadita rekisteröidyille taattavan suojan riittävyyden vuoksi ja se voidaan näin ollen poistaa, se on kuitenkin sisällytetty mallisopimuslausekkeisiin selkeyden vuoksi sekä sen välttämiseksi, että sopimuspuolten olisi neuvoteltava vahingonkorvauslausekkeista yksittäisesti.

(21) Jos sopimuspuolten ja rekisteröidyn välillä syntyy riita, jossa ei päästä sovintoratkaisuun ja jos rekisteröity vetoaa kolmatta suojaavaan edunsaajalausekkeeseen, sopimuspuolet hyväksyvät, että rekisteröidyllä on mahdollisuus valita joko sovittelu tai välitysmenettely taikka oikeudenkäynti. Se, missä määrin rekisteröidyllä on käytettävissään vaihtoehtoja, on sidoksissa luotettavien ja tunnustettujen sovittelu- ja välitysmenettelyjen saatavuuteen. Jos jäsenvaltion valvontaviranomainen tarjoaa sovittelua, olisi sen valinta oltava mahdollista.

(22) Direktiivin 95/46/EY 29 artiklalla perustettu tietosuojatyöryhmä on antanut tämän päätöksen liitteenä olevien mallisopimuslausekkeiden antamasta suojan tasosta lausunnon, joka on otettu huomioon tätä päätöstä valmisteltaessa(4).

(23) Tässä päätöksessä säädetyt toimenpiteet ovat direktiivin 95/46/EY 31 artiklalla perustetun komitean lausunnon mukaiset,

ON TEHNYT TÄMÄN PÄÄTÖKSEN:

1 artikla

Liitteessä olevien mallisopimuslausekkeiden katsotaan antavan direktiivin 95/46/EY 26 artiklan 2 kohdassa edellytetyt riittävät takeet henkilöiden yksityisyyden suojasta ja perusoikeuksien ja -vapauksien suojasta sekä vastaavien oikeuksien soveltamisesta.

2 artikla

Tämä päätös koskee ainoastaan mallisopimuslausekkeiden antaman suojan riittävyyttä henkilötietojen siirron osalta. Päätös ei vaikuta direktiivin 95/46/EY täytäntöön panemiseksi annettujen muiden henkilötietojen käsittelyä jäsenvaltioissa koskevien kansallisten säännösten soveltamiseen.

Tätä päätöstä ei sovelleta yhteisöön sijoittautuneen rekisterinpitäjän suorittamaan henkilötietojen siirtoon vastaanottajille, jotka ovat sijoittautuneet yhteisön alueen ulkopuolelle ja jotka toimivat ainoastaan henkilötietojen käsittelijöinä.

3 artikla

Tässä päätöksessä:

a) sovelletaan direktiivin 95/46/EY määritelmiä;

b) "erityisillä tietoryhmillä" tarkoitetaan direktiivin 95/46/EY 8 artiklassa tarkoitettua tietoa;

c) "valvontaviranomaisella" tarkoitetaan direktiivin 95/46/EY 28 artiklassa tarkoitettua viranomaista;

d) "tietojen viejällä" tarkoitetaan rekisterinpitäjää, joka siirtää henkilötietoja;

e) "tietojen tuojalla" tarkoitetaan rekisterinpitäjää, joka suostuu vastaanottamaan henkilötietoja tietojen viejältä käsitelläkseen niitä myöhemmin tämän päätöksen ehtojen mukaisesti.

4 artikla

1. Rajoittamatta jäsenvaltioiden toimivaltaisten viranomaisten toimivaltuuksia toteuttaa toimenpiteitä muiden kuin direktiivin 95/46/EY II, IIII, V ja VI lukujen nojalla annettujen kansallisten säännösten noudattamisen varmistamiseksi jäsenvaltioiden toimivaltaiset viranomaiset voivat käyttää nykyisiä toimivaltuuksiaan kolmansille suuntautuvien tiedonsiirtojen kieltämiseksi tai lykkäämiseksi suojatakseen yksityishenkilöitä näiden henkilötietojen käsittelyssä, jos

a) todetaan, että tietojen tuojaan sovellettavaan lainsäädäntöön sisältyy sellaisia vaatimuksia poiketa asianomaisista tietosuojasäännöistä, joiden rajoitukset menevät pitemmälle kuin on tarpeen demokraattisessa yhteiskunnassa direktiivin 95/46/EY 13 artiklan mukaan, jos kyseisillä vaatimuksilla on todennäköisesti merkittävä haitallinen vaikutus mallisopimuslausekkeilla annettaviin takeisiin; tai

b) toimivaltainen viranomainen on todennut, ettei tietojen tuoja ole noudattanut sopimuslausekkeita; taikka

c) on hyvin todennäköistä, että liitteessä olevia mallisopimuslausekkeita ei noudateta tai ei tulla noudattamaan, ja siirron jatkaminen merkitsisi välitöntä vaaraa vakavan haitan aiheutumisesta rekisteröidyille.

2. Edellä 1 kohdan mukainen kielto tai lykkäys poistetaan heti kun lykkäyksen tai kiellon syyt ovat poistuneet.

3. Toteuttaessaan 1 ja 2 kohdan mukaisia toimenpiteitä jäsenvaltioiden on ilmoitettava siitä viipymättä komissiolle, joka välittää tiedon edelleen muille jäsenvaltioille.

5 artikla

Komissio arvioi tämän päätöksen toimintaa käytettävissä olevien tietojen pohjalta kolmen vuoden kuluttua sen tiedoksiantamisesta jäsenvaltioille. Komissio antaa direktiivin 95/46/EY 31 artiklalla perustetulle komitealle tiedoksi kaikki havainnot. Niihin kuuluu myös sellaiset todisteet, jotka voivat vaikuttaa mallisopimuslausekkeiden arviointiin, sekä todisteet tämän päätöksen mahdollisesti syrjivästä täytäntöönpanosta.

6 artikla

Tätä päätöstä sovelletaan 3 päivästä syyskuuta 2001 lähtien.

7 artikla

Tämä päätös on osoitettu kaikille jäsenvaltioille.

Tehty Brysselissä 15 päivänä kesäkuuta 2001.

Komission puolesta

Frederik Bolkestein

Komission jäsen

(1) EYVL L 281, 23.11.1995, s. 31.

(2) Työryhmän www-osoite on seuraava:

http://www.europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm

(3) WP 4 (5020/97) "Henkilötietojen siirtoa kolmansiin maihin koskevat ensimmäiset toimintaperiaatteet - mahdollisia etenemistapoja tietosuojan tason riittävyyden arvioinnissa". Työryhmän 26 päivänä kesäkuuta 1997 hyväksymä keskusteluasiakirja.

WP 7 (5057/97) "Itsesääntelyn arviointi: milloin itsesääntely vaikuttaa tietosuojan tason parantamiseen yhteisön ulkopuolisissa maissa?". Työryhmän 14 päivänä tammikuuta 1998 hyväksymä valmisteluasiakirja.

WP 9 (3005/98) "Sopimusmääräysten käyttäminen henkilötietojen siirrossa kolmansiin maihin". Työryhmän 22 päivänä huhtikuuta 1998 hyväksymä valmisteluasiakirja.

WP 12: Henkilötietojen siirto EU:n ulkopuolisiin maihin: EU:n tietosuojadirektiivin 25 ja 26 artiklan soveltaminen. Työryhmän 24 päivänä heinäkuuta 1998 hyväksymä valmisteluasiakirja, saatavissa Euroopan komission www-sivustolla "europa.eu.int/comm/internal_markt/en/media.dataprot/wpdocs/wp12/en".

(4) Lausunto 1/2001, työryhmän 26 päivänä tammikuuta 2001 hyväksymä (Sisämarkkinoiden PO 5102/00 WP 38), saatavissa Euroopan komission www-sivustolla "Europa".

LIITE

>PIC FILE= "L_2001181FI.002402.TIF">

>PIC FILE= "L_2001181FI.002501.TIF">

>PIC FILE= "L_2001181FI.002601.TIF">

>PIC FILE= "L_2001181FI.002701.TIF">

Lisäys 1

mallisopimuslausekkeisiin

>PIC FILE= "L_2001181FI.002802.TIF">

>PIC FILE= "L_2001181FI.002901.TIF">

Lisäys 2

mallisopimuslausekkeisiin

Pakolliset tietosuojaperiaatteet, joita tarkoitetaan lausekkeen 5 b ensimmäisessä kohdassa

Nämä tietosuojaperiaatteet olisi luettava ja tulkittava direktiivin 95/46/EY säännösten (periaatteiden ja asiaa koskevien poikkeusten) mukaisesti.

Niitä sovelletaan, jollei muuta johdu tietojen tuojaan sovellettavan kansallisen lainsäädännön pakollisista vaatimuksista, jotka eivät mene pidemmälle kuin on tarpeen demokraattisessa yhteiskunnassa jonkin direktiivin 95/46/EY 13 artiklan 1 kohdassa luetellun perusteen kannalta, toisin sanoen jos ne muodostavat tarpeellisen toimenpiteen suojaamaan valtion turvallisuutta, puolustusta, yleistä turvallisuutta, rikosten tai säännellyn ammattitoiminnan osalta, ammattietiikan rikkomusten torjuntaa, tutkintaa, selvittämistä ja syyteharkintaa, jäsenvaltiolle tärkeää taloudellista tai rahoituksellista etua, taikka rekisteröidyn suojelua tai muiden oikeuksia ja vapauksia.

1. Tarkoituksen rajoittaminen: Tietoja on käsiteltävä ja sen jälkeen käytettävä tai luovutettava edelleen ainoastaan lisäyksen 1 mukaisia erityistarkoituksia varten. Tietoja ei saa säilyttää kauemmin kuin on tarpeen siirron tarkoituksia varten.

2. Tiedon laatu ja suhteellisuus: Tietojen on oltava täsmällisiä ja ne on tarvittaessa saatettava ajan tasalle. Tietojen on oltava riittäviä ja asiaankuuluvia eikä niitä saa olla liikaa suhteessa siirron tai edelleen käsittelyn tarkoituksiin.

3. Avoimuus: Rekisteröidyille on ilmoitettava tietojen käsittelyn tarkoitukset ja kolmannen maan rekisterinpitäjän nimi sekä muita tietoja sikäli kuin ne ovat tarpeen käsittelyn oikeudenmukaisuuden varmistamiseksi, jollei tietojen viejä ole jo antanut näitä tietoja.

4. Turvallisuus ja salassapito: Rekisterinpitäjän on huolehdittava teknisistä ja organisatorisista turvatoimista, jotka vastaavat käsittelyyn liittyviä riskejä, kuten tietojen luvatonta käyttöä. Rekisterinpitäjän lukuun toimiva henkilö, mukaan lukien henkilötietojen käsittelijä, saa käsitellä tietoja ainoastaan rekisterinpitäjän määräyksestä.

5. Tiedonsaantioikeus, tietojen oikaiseminen, suojaaminen ja poistaminen: Direktiivin 95/46/EY 12 artiklan mukaisesti rekisteröidyllä on oltava oikeus saada kaikki itseään koskevat tiedot, joita käsitellään, ja tapauskohtaisesti oikeus saada sellaiset tiedot oikaistuksi, poistetuksi tai suojatuksi, joiden käsittely ei täytä tässä lisäyksessä asetettuja periaatteita erityisesti tietojen puutteellisuuden tai virheellisyyden vuoksi. Rekisteröidyllä olisi oltava myös mahdollisuus vastustaa itseään koskevien tietojen käsittelyä tilanteeseensa liittyvien huomattavan tärkeiden ja oikeutettujen perusteiden nojalla.

6. Rajoitukset edelleen siirroissa: Henkilötietojen edelleen siirrot voivat tapahtua ainoastaan tietojen tuojalta toiselle rekisterinpitäjälle, joka on sijoittautunut kolmanteen maahan, jossa riittävää suojaa ei taata tai jota ei koske direktiivin 95/46/EY 25 artiklan 6 kohdan mukaisesti tehty komission päätös (edelleen siirto), jos joko:

a) Rekisteröidyt ovat antaneet yksiselitteisen hyväksyntänsä edelleen siirrolle, jos kyseessä ovat erityiset tietoryhmät, tai muissa tapauksissa rekisteröidyille on annettu mahdollisuus kieltää tietojen edelleen siirto.

Rekisteröidyille annettaviin vähimmäistietoihin on sisällyttävä rekisteröityjen ymmärtämällä kielellä:

- edelleen siirron tarkoitukset,

- yhteisöön sijoittautuneen tietojen viejän tunnistetiedot,

- edelleen siirrettävien tietojen vastaanottajaryhmät ja määrämaat, sekä

- selvitys siitä, että edelleen siirron jälkeen tietoja voi käsitellä rekisterinpitäjä, joka on sijoittautunut maahan, jossa henkilöiden yksityisyyden suojan taso ei ole riittävä; tai

b) tietojen viejä ja tietojen tuoja hyväksyvät, että toinen rekisterinpitäjä liittyy lausekkeisiin ja että tästä näin ollen tulee näiden lausekkeiden osapuoli, joka sitoutuu noudattamaan samoja velvoitteita kuin tietojen tuoja.

7. Erityiset tietoryhmät: Kun käsitellään tietoja, jotka koskevat rotua tai etnistä alkuperää, poliittisia mielipiteitä, uskonnollista tai filosofista vakaumusta tai ammattiliittoon kuulumista, sekä terveyteen ja seksuaaliseen käyttäytymiseen liittyviä tietoja ja tietoja, jotka liittyvät rikkomuksiin, rikostuomioihin tai turvallisuustoimenpiteisiin, olisi toteutettava direktiivissä 95/46/EY tarkoitettuja lisäsuojatoimia ja erityisesti asianmukaisia turvatoimia, joita ovat muun muassa siirtojen selaaminen ja arkaluonteisten tietojen käytön kirjaaminen.

8. Suoramarkkinointi: Kun tietoja käsitellään suoramarkkinointia varten, käytettävissä on oltava tehokkaat menettelyt, joiden avulla rekisteröity voi milloin tahansa kieltää henkilötietojensa käytön sellaisiin tarkoituksiin.

9. Automatisoidut yksittäispäätökset: Rekisteröidyllä on oikeus olla joutumatta yksinomaan tietojen automatisoituun käsittelyyn perustuvan päätöksen kohteeksi, jollei yksilön oikeutetun edun suojaamiseksi toteuteta muita toimenpiteitä direktiivin 95/46/EY 15 artiklan 2 kohdan mukaisesti. Kun tietoja siirretään direktiivin 95/46/EY 15 artiklassa tarkoitetun automatisoidun yksittäispäätöksen tekemiseksi, josta aiheutuisi hänelle oikeudellisia vaikutuksia tai joka vaikuttaisi häneen merkittävällä tavalla ja joka olisi tehty ainoastaan automaattisen tietojenkäsittelyn perusteella ja joka olisi tarkoitettu hänen tiettyjen henkilökohtaisten ominaisuuksiensa, kuten muun muassa hänen ammatillisen suorituskykynsä, luottokelpoisuutensa, luotettavuutensa ja käyttäytymisensä arviointiin, yksilöllä on oltava oikeus tietää päätöksen perustelut.

Lisäys 3

mallisopimuslausekkeisiin

Pakolliset tietosuojaperiaatteet, joita tarkoitetaan lausekkeen 5 b toisessa kohdassa

1. Tarkoituksen rajoittaminen: Tietoja on käsiteltävä ja sen jälkeen käytettävä tai luovutettava edelleen ainoastaan lisäyksen 1 mukaisia erityistarkoituksia varten. Tietoja ei saa säilyttää kauemmin kuin on tarpeen siirron tarkoituksia varten.

2. Tiedonsaantioikeus, tietojen oikaiseminen, suojaaminen ja poistaminen: Direktiivin 95/46/EY 12 artiklan säännöksen mukaisesti rekisteröidyllä on oltava oikeus saada kaikki itseään koskevat tiedot, joita käsitellään, ja tapauskohtaisesti oikeus saada sellaiset tiedot oikaistuksi, poistetuksi tai suojatuksi, joiden käsittely ei täytä tässä lisäyksessä asetettuja periaatteita erityisesti tietojen puutteellisuuden tai virheellisyyden vuoksi. Rekisteröidyllä olisi oltava myös mahdollisuus vastustaa itseään koskevien tietojen käsittelyä tilanteeseensa liittyvien huomattavan tärkeiden ja oikeutettujen perusteiden nojalla.

3. Rajoitukset edelleen siirroissa: Henkilötietojen edelleen siirrot voivat tapahtua ainoastaan tietojen tuojalta toiselle rekisterinpitäjälle, joka on sijoittautunut kolmanteen maahan, jossa riittävää suojaa ei taata, jos joko:

a) Rekisteröidyt ovat antaneet yksiselitteisen hyväksyntänsä edelleen siirrolle, jos kyseessä ovat erityiset tietoryhmät, tai muissa tapauksissa rekisteröidyille on annettu mahdollisuus kieltää tietojen edelleen siirto.

Rekisteröidyille annettaviin vähimmäistietoihin on sisällyttävä rekisteröityjen ymmärtämällä kielellä:

- edelleen siirron tarkoitukset,

- yhteisöön sijoittautuneen tietojen viejän tunnistetiedot,

- edelleen siirrettävien tietojen vastaanottajaryhmät ja määrämaat, sekä

- selvitys siitä, että edelleen siirron jälkeen tietoja voi käsitellä rekisterinpitäjä, joka on sijoittautunut maahan, jossa henkilöiden yksityisyyden suojan taso ei ole riittävä, tai

b) tietojen viejä ja tietojen tuoja hyväksyvät, että toinen rekisterinpitäjä liittyy lausekkeisiin ja että tästä näin ollen tulee näiden lausekkeiden osapuoli, joka sitoutuu noudattamaan samoja velvoitteita kuin tietojen tuoja.