32001D0497

Komisijos Sprendimas

2001 m. birželio 15 d.

dėl sutarčių, susijusių su asmens duomenų perdavimu trečiosioms šalims, tipinių punktų, atsižvelgiant į Direktyvą 95/46/EB

(pranešta dokumentu Nr. C(2001) 1539)

(tekstas svarbus EEE)

(2001/497/EB)

EUROPOS BENDRIJŲ KOMISIJA,

atsižvelgdama į Europos bendrijos steigimo sutartį,

atsižvelgdama į 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvą 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo [1], ypač į jos 26 straipsnio 4 dalį,

kadangi:

(1) Pagal Direktyvą 95/46/EB valstybės narės privalo imtis priemonių, kad asmens duomenys būtų perduodami trečiajai šaliai tik tuomet, jei ta trečioji šalis užtikrina pakankamą apsaugos lygį ir prieš perduodant duomenis atsižvelgiama į tos valstybės narės įstatymus, įgyvendinančius kitas tos direktyvos nuostatas.

(2) Vis dėlto Direktyvos 95/46/EB 26 straipsnio 2 dalis nurodo, kad valstybės narės gali leisti vieną ar daugiau kartų perduoti asmens duomenis trečiosioms šalims, kurios neužtikrina reikiamos apsaugos, su sąlyga, kad bus garantuotos tam tikros apsaugos priemonės. Tokios apsaugos priemonės pirmiausia gali būti nustatytos atitinkamuose sutarčių punktuose.

(3) Pagal Direktyvą 95/46/EB, duomenų apsaugos lygį reikia įvertinti, atsižvelgiant į visas su duomenų perdavimo operacija arba duomenų perdavimo operacijų rinkiniu susijusias aplinkybes. Pagal šią direktyvą įkurta Darbo grupė dėl asmenų apsaugos, tvarkant asmens duomenis [2], išleido gaires, tokiems įvertinimams [3].

(4) Reikiamą asmens duomenų srautą tarp Bendrijos ir trečiųjų šalių, ekonominiams operatoriams netaikant nereikalingų suvaržymų, reglamentuoja Direktyvos 95/46/EB 26 straipsnio 2 dalis, kuri nurodo, kad organizacijos, norinčios perduoti duomenis trečiosioms šalims, turi būti lanksčios, ir 26 straipsnio 4 dalis, kuri nustato tipinius sutarčių punktus. Šie straipsniai svarbūs visų pirma todėl, kad Komisija, atsižvelgdama į 25 straipsnio 6 dalį, per vidutinės trukmės ar net trumpesnį laikotarpį paskelbs savo išvadas tikriausiai tik dėl kai kurių šalių apsaugos lygio.

(5) Atsižvelgiant į Direktyvą 95/46/EB, į jos 25 straipsnį ir į 26 straipsnio 1 ir 2 dalis, tipiniai sutarčių punktai tėra tik viena iš keleto galimybių, kaip teisėtai trečiosioms šalims perduoti asmens duomenis. Į sutartis įtraukus tipinius sutarčių punktus, organizacijoms bus paprasčiau perduoti duomenis trečiosioms šalims. Tipiniai sutarčių punktai yra susiję tik su duomenų apsauga. Duomenų eksportuotojas ir duomenų importuotojas gali į sutartį įtraukti kitus su sutarties dalyku susijusius punktus, pavyzdžiui, punktus dėl tarpusavio pagalbos kilus ginčų su duomenų subjektu ar priežiūros institucija, kurie, jų manymu, yra susiję su sutartimi, tačiau su sąlyga, kad šie neprieštaraus tipiniams sutarčių punktams.

(6) Šis sprendimas nepažeidžia nacionalinių įgaliojimų, kuriuos valstybės narės gali suteikti, atsižvelgdamos į nacionalines nuostatas, kuriomis įgyvendinama Direktyvos 95/46/EB 26 straipsnio 2 dalis. Konkretaus perdavimo aplinkybės gali reikalauti, kad duomenų valdytojas, remdamasis 26 straipsnio 2 dalimi, užtikrintų specialias apsaugos priemones. Bet kokiu atveju šiuo sprendimu tik reikalaujama, kad valstybės narės neatsisakytų pripažinti sprendime nurodytų sutarčių punktų, užtikrinančių reikiamas apsaugos priemones. Kitiems sutarčių punktams šis sprendimas netaikytinas.

(7) Šio sprendimo taikymo sritis apsiriboja tuo, kad Bendrijos duomenų valdytojas gali naudoti priede nurodytus punktus tam, kad, remdamasis Direktyvos 95/46/EB 26 straipsnio 2 dalimi, užtikrintų reikiamas apsaugos priemones. Asmens duomenų perdavimas trečiosioms šalims — tai valstybės narės duomenų tvarkymo operacija, kurios teisėtumą reglamentuoja nacionaliniai įstatymai. Valstybių narių duomenų apsaugos priežiūros institucijos, atlikdamos Direktyvos 95/46/EB 28 straipsnyje nurodytas funkcijas ir naudodamosi tame pačiame straipsnyje nurodytomis teisėmis, turėtų būti kompetentingos įvertinti, ar duomenų eksportuotojas laikosi nacionalinių teisės aktų, įgyvendinančių Direktyvos 95/46/EB nuostatas, ir ypač specialių taisyklių, kurios, atsižvelgiant į minėtąją direktyvą, įpareigoja teikti informaciją.

(8) Šis sprendimas nereglamentuoja Bendrijoje įsteigtų duomenų valdytojų atliekamo asmens duomenų perdavimo duomenų gavėjams, įsteigtiems už Bendrijos ribų, kurie veikia tik kaip duomenų tvarkytojai. Tokiam duomenų perdavimui atlikti nereikia minėtų apsaugos priemonių, nes duomenų tvarkytojas veikia tik duomenų valdytojo vardu. Komisija ketina tokį duomenų perdavimą reglamentuoti kitu sprendimu.

(9) Reikėtų nustatyti būtiniausią informaciją, kurią šalys privalo nurodyti duomenų perdavimo sutartyje. Valstybės narės pasilieka teisę patikslinti, kokią informaciją šalys turi pateikti. Šis sprendimas turėtų būti tikslinamas, atsižvelgiant į įgytą patirtį.

(10) Komisija ateityje taip pat svarstys, ar verslo organizacijų ir kitų suinteresuotųjų šalių pateikti tipiniai sutarčių punktai užtikrina reikiamas apsaugos priemones, kurias nurodo Direktyva 95/46/EB.

(11) Nors šalys turėtų turėti teisę susitarti dėl svarbiausių duomenų apsaugos taisyklių, kurių turi laikytis duomenų importuotojas, tam tikri duomenų apsaugos principai turėtų būti taikomi bet kokiu atveju.

(12) Duomenys turėtų būti tvarkomi ir vėliau naudojami ar toliau perduodami tik nurodytais tikslais, ir neturi būti laikomi ilgiau nei reikia.

(13) Atsižvelgiant į Direktyvos 95/46/EB 12 straipsnį, duomenų subjektas turėtų turėti teisę gauti visus su juo susijusius duomenis ir prireikus reikalauti, kad tam tikri duomenys būtų ištaisyti, sunaikinti, ar sustabdyti tvarkymo veiksmus.

(14) Asmens duomenys gali būti perduodami kitam trečiojoje šalyje įsteigtam duomenų valdytojui tik atsižvelgus į tam tikras sąlygas ir pirmiausia užtikrinus, kad duomenų subjektai gaus reikiamą informaciją ir turės galimybę paprieštarauti arba tam tikrais atvejais neduoti sutikimo.

(15) Priežiūros institucijos turėtų ne tik vertinti, ar laikomasi nacionalinių teisės aktų perduodant duomenis trečiosioms šalims, sudarant šias sutartis, joms turėtų tekti svarbiausias vaidmuo užtikrinant, kad perduotieji asmens duomenys bus toliau tinkamai saugomi. Tam tikromis aplinkybėmis, atsižvelgdamos į tipinius sutarčių punktus, valstybių narių priežiūros institucijos turėtų pasilikti teisę uždrausti ar sustabdyti duomenų perdavimą ar duomenų perdavimų srautą tais išimtiniais atvejais, kai nustatoma, kad duomenų perdavimas pagal sutartį gali iš esmės pakenkti garantijoms, kurios duomenų subjektui suteikia reikiamą apsaugą.

(16) Tipinių sutarčių punktų turėtų laikytis ne tik organizacijos, kurios yra tos sutarties šalys, bet ir duomenų subjektai, ypač jei pažeidus sutartį žalą patiria duomenų subjektai.

(17) Sutarčiai turėtų būti taikoma valstybės narės, kurioje duomenų eksportuotojas yra įsisteigęs, teisė, kuri įgalintų trečiąją šalį, naudos iš sutarties gavėją, užtikrinti sutarties vykdymą. Duomenų subjektams gali atstovauti asociacijos ar kitos institucijos, jeigu to pageidauja duomenų subjektai ir leidžia nacionaliniai teisės aktai.

(18) Siekdami sumažinti praktinius sunkumus, kuriuos duomenų subjektai gali patirti, stengdamiesi realizuoti savo teises pagal tipinius sutarčių punktus, duomenų eksportuotojas ir duomenų importuotojas turėtų solidariai ir individualiai atsakyti už žalą, atsiradusią pažeidus tas nuostatas, kuriomis yra apdrausta trečioji šalis, naudos iš sutarties gavėja.

(19) Duomenų subjektas turi teisę pareikšti ieškinį duomenų eksportuotojui, duomenų importuotojui arba jiems abiem ir gauti iš jų kompensaciją už žalą, atsiradusią dėl bet kokių veiksmų, kurie prieštarauja tipiniuose sutarčių punktuose įtvirtintiems įsipareigojimams. Abi šalys gali būti atleistos nuo šios atsakomybės, jeigu įrodytų, kad nė viena iš jų už tai neatsako.

(20) Šalys nei solidariai, nei individualiai neatsako pagal tas nuostatas, kurios nėra įtrauktos į trečiosios šalies, naudos iš sutarties gavėjos, punktą, ir neprivalo atlyginti žalą, atsiradusią dėl neteisėtų kitos šalies veiksmų. Nors šalies atlyginimas už kitai šaliai padarytą žalą nėra privalomas užtikrinant reikiamą duomenų subjekto apsaugą ir todėl gali būti išbrauktas, į tipinius sutarčių punktus jis įtrauktas aiškumo dėlei ir tam, kad šalims nereikėtų atskirai derėtis dėl žalos atlyginimo sąlygų.

(21) Tarp šalių ir duomenų subjekto kilus ginčui, kurio nepavyktų išspręsti taikiai, ir duomenų subjektui remiantis trečiosios šalies, naudos iš sutarties gavėjos, punktu, šalys susitaria leisti duomenų subjektui pačiam pasirinkti, ar šį ginčą spręsti tarpininkavimo būdu, ar arbitraže, ar teisme. Duomenų subjekto pasirinkimo laisvė priklausys nuo to, ar bus patikima ir pripažinta tarpininkavimo ar arbitražo sistema. Tarpininkės galėtų būti valstybių narių priežiūros institucijos, jeigu jos tokią paslaugą teikia.

(22) Darbo grupė dėl asmenų apsaugos tvarkant asmens duomenis, sudaryta, atsižvelgus į Direktyvos 95/46/EB 29 straipsnį, pateikė savo nuomonę dėl apsaugos, suteikiamos pagal tipinius sutarčių punktus, lygio, kuri pridedama prie šio sprendimo kaip priedas. Į šią nuomonę buvo atsižvelgta, rengiant šį sprendimą [4].

(23) Šiame sprendime įtvirtintos priemonės yra pateikiamos, atsižvelgiant į Komiteto išvadą, priimtą, remiantis Direktyvos 95/46/EB 31 straipsniu,

PRIĖMĖ ŠĮ SPRENDIMĄ:

1 straipsnis

Atsižvelgiant į Direktyvos 95/46/EB 26 straipsnio 2 dalį, priede nurodyti tipiniai sutarčių punktai vertinami kaip suteikiantys reikiamas apsaugos priemones asmens privatumo ir jo pagrindinių teisių ir laisvių apsaugai ir atitinkamoms teisėms įgyvendinti.

2 straipsnis

Šis sprendimas susijęs tik su reikiama asmens duomenų perdavimo apsauga, įtvirtinta priede nurodytuose tipiniuose sutarčių punktuose. Jis netaikomas kitoms su asmens duomenų tvarkymu valstybėse narėse susijusioms nacionalinėms nuostatoms, įgyvendinančioms Direktyvą 95/46/EB.

Šis sprendimas netaikomas tiems asmens duomenims, kuriuos Bendrijoje įsisteigę duomenų valdytojai perduoda duomenų gavėjams, įsisteigusiems už Bendrijos ribų, kurie veikia tik kaip duomenų tvarkytojai.

3 straipsnis

Šiame sprendime:

a) sąvokos naudojamos Direktyvoje 95/46/EB nustatytomis reikšmėmis;

b) "ypatingi asmens duomenys" reiškia minėtosios direktyvos 8 straipsnyje nurodytus duomenis;

c) "priežiūros institucija" reiškia minėtosios direktyvos 28 straipsnyje nurodytą instituciją;

d) "duomenų eksportuotojas" reiškia duomenų valdytoją, kuris perduoda asmens duomenis;

e) "duomenų importuotojas" reiškia duomenų valdytoją, kuris sutinka iš duomenų eksportuotojo gauti asmens duomenis, skirtus toliau tvarkyti atsižvelgiant į šio sprendimo nuostatas.

4 straipsnis

1. Valstybių narių kompetentingos institucijos, nepažeisdamos savo teisių imtis priemonių, skirtų užtikrinti, kad būtų laikomasi nacionalinių nuostatų, priimtų, atsižvelgiant į Direktyvos 95/46/EB II, III, V ir VI skyrius, gali pasinaudoti savo teisėmis uždrausti ar sustabdyti duomenų srautus į trečiąsias šalis, siekdamos apsaugoti asmenis, kai tvarkomi jų asmens duomenys, jeigu:

a) remiantis duomenų importuotojui taikoma teise, jis turi su tam tikromis išimtimis laikytis atitinkamų duomenų apsaugos taisyklių, kurios, atsižvelgiant į Direktyvos 95/46/EB 13 straipsnį, viršija demokratinėje visuomenėje nustatytus apribojimus, jeigu tokie reikalavimai gali iš esmės pakenkti tipiniuose sutarčių punktuose nurodytoms garantijoms; arba

b) kompetentinga institucija nustato, kad duomenų importuotojas nesilaikė sutarties punktų; arba

c) yra pagrindo manyti, kad priede nurodytų tipinių sutarčių punktų nebuvo arba nebus laikomasi, o duomenų perdavimas neišvengiamai sukeltų duomenų subjektams didelės žalos pavojų.

2. 1 dalyje nurodytas uždraudimas ar sustabdymas nedelsiant atšaukiamas, pašalinus tokio uždraudimo ar sustabdymo priežastis.

3. Jeigu valstybės narės imasi 1 ir 2 dalyje nurodytų priemonių, jos nedelsdamos apie tai praneša Komisijai, kuri šią informaciją perduoda kitoms valstybėms narėms.

5 straipsnis

Praėjus trejiems metams po pranešimo apie šį sprendimą valstybėms narėms, Komisija, remdamasi turima informacija, įvertina, kaip šis sprendimas vykdomas. Ataskaitą apie rezultatus ji pateikia komitetui, įsteigtam vadovaujantis Direktyvos 95/46/EB 31 straipsniu. Joje turi būti pateikti visi įrodymai, kuriais remiantis atliktas priede pateiktų tipinių sutarčių punktų tinkamumo įvertinimas, ir bet kokius įrodymus, patvirtinančius, kad taikant šį sprendimą kas nors yra diskriminuojamas.

6 straipsnis

Šis sprendimas taikomas nuo 2001 m. rugsėjo 3 d.

7 straipsnis

Šis sprendimas skirtas valstybėms narėms.

Priimta Briuselyje, 2001 m. birželio 15 d.

Komisijos vardu

Frederik Bolkestein

Komisijos narys

[1] OL L 281, 1995 11 23, p. 31.

[2] Darbo grupės internetinis adresas:http://www.europa.eu.intlcomm/internal_market/en/medial/dataprot/wpdocs/index.htm.

[3] 4 DG (5020/97) "Svarbiausi asmens duomenų perdavimo trečiosioms šalims principai — darbinis dokumentas, kuriuo nustatomi būdai, kaip pasiekti pažangos, vertinant reikiamą apsaugos lygį". Darbo grupė šį aptarimui skirtą dokumentą priėmė 1997 m. birželio 26 d.7 DG (5057/97) "Pramonės savireguliacijos vertinimas: kada jos indėlis į duomenų apsaugą trečiojoje šalyje yra reikšmingas?", darbinis dokumentas, darbo grupės priimtas 1998 m. sausio 14 d.9 DG (3005/98) "Preliminarūs požiūriai į sutartinių nuostatų, skirtų asmens duomenų perdavimui trečiosioms šalims, naudojimą", darbinis dokumentas, darbo grupės priimtas 1998 m. balandžio 22 d.12 DG: "Asmens duomenų perdavimas trečiosioms šalims, taikant ES direktyvos dėl duomenų apsaugos 25 ir 26 straipsnius", darbinis dokumentas, darbo grupės priimtas 1998 m. liepos 24 d. Jį galite rasti Europos Komisijos darbinių dokumentų tinklapyje europa.eu.int/comm/internal_markt/en/media.dataprot/wpdocs/wp12/en.

[4] 2001 m. sausio 26 d. darbo grupės nuomonė Nr. 1/2001 (DG MARKT 5102/00 WP 38), kurią galima rasti Europos Komisijos tinklapyje "Europa".

--------------------------------------------------

PRIEDAS

+++++ TIFF +++++

+++++ TIFF +++++

+++++ TIFF +++++

+++++ TIFF +++++

--------------------------------------------------