Komission päätös,

tehty 27 päivänä joulukuuta 2004,

päätöksen 2001/497/EY muuttamisesta vaihtoehtoisten mallisopimuslausekkeiden ottamiseksi käyttöön henkilötietojen kolmansiin maihin siirtoa varten

(tiedoksiannettu numerolla K(2004) 5271)

(ETA:n kannalta merkityksellinen teksti)

(2004/915/EY)

EUROOPAN YHTEISÖJEN KOMISSIO, joka

ottaa huomioon Euroopan yhteisön perustamissopimuksen,

ottaa huomioon yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY [1] ja erityisesti sen 26 artiklan 4 kohdan,

sekä katsoo seuraavaa:

(1) Yhteisöstä tapahtuvien tiedonsiirtojen helpottamiseksi on toivottavaa, että rekisterinpitäjät voivat siirtää tietoja kaikkialla maailmassa samojen tietoturvasääntöjen mukaisesti. Maailmanlaajuisten tietoturvastandardien puuttuessa mallisopimuslausekkeet ovat tärkeä väline, joka mahdollistaa henkilötietojen siirron kaikista jäsenvaltioista yhteisten sääntöjen mukaisesti. Direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen kolmansiin maihin siirtoa varten 15 päivänä kesäkuuta 2001 tehdyssä komission päätöksessä 2001/497/EY [2] säädetään tämän vuoksi mallisopimuslausekkeista, joilla taataan riittävät takeet tietojen kolmansiin maihin siirtoa varten.

(2) Päätöksen hyväksymisen jälkeen on saatu paljon kokemuksia. Lisäksi elinkeinonharjoittajien järjestöjen yhteenliittymä [3] on esittänyt vaihtoehtoisia mallisopimuslausekkeita, jotka on suunniteltu tarjoamaan päätöksessä 2001/497/EY säädettyjä mallisopimuslausekkeita vastaava tietosuojan taso mutta eri mekanismeja hyödyntäen.

(3) Mallisopimuslausekkeiden käyttö kansainvälisissä tiedonsiirroissa on vapaaehtoista, koska ne ovat vain yksi direktiivin 95/46/EY tarjoamista useista mahdollisuuksista henkilötietojen siirtämiseen kolmansiin maihin laillisesti, ja tämän vuoksi tietojen viejillä yhteisössä ja tietojen tuojilla kolmansissa maissa pitäisi olla vapaus valita mikä tahansa mallisopimuslausekkeiden kokonaisuus tai jokin muu laillinen perusta tiedonsiirroille. Koska kukin lausekekokonaisuus muodostaa mallin, tietojen viejät eivät kuitenkaan saa muuttaa näitä kokonaisuuksia tai yhdistellä niitä kokonaan tai osittain millään tavoin.

(4) Elinkeinonharjoittajien järjestöjen esittämillä mallisopimuslausekkeilla pyritään lisäämään sopimuslausekkeiden käyttöä toimijoiden parissa esimerkiksi joustavampien tarkastusvaatimusten tai tietojen saantioikeutta koskevien yksityiskohtaisempien sääntöjen kaltaisilla mekanismeilla.

(5) Lisäksi päätöksessä 2001/497/EY säädetyn yhteisvastuujärjestelmän vaihtoehtona nyt esitettävään kokonaisuuteen sisältyy riittävän huolellisuuden velvoitteeseen perustuva vahinkovastuujärjestelmä, jossa tietojen viejä ja tietojen tuoja vastaavat kukin rekisteröidylle sopimusvelvoitteidensa rikkomisesta; lisäksi tietojen viejä on vastuussa, ellei se ole pyrkinyt parhaansa mukaan varmistamaan, että tietojen tuoja kykenee täyttämään näiden lausekkeiden mukaiset oikeudelliset velvoitteensa (culpa in eligendo), ja rekisteröity voi ryhtyä oikeustoimiin tietojen viejää vastaan tämän asian osalta. Uusien mallisopimuslausekkeiden lausekkeen I kohdan b täytäntöönpano on erityisen tärkeää tässä suhteessa, etenkin kun otetaan huomioon tietojen viejän mahdollisuus tehdä tarkastuksia tietojen tuojan tiloissa tai pyytää tietojen tuojalta todisteita riittävistä varoista velvoitteiden hoitamiseksi.

(6) Rekisteröityjen harjoittamien kolmannen osapuolen etua suojaavien oikeuksien osalta määrätään tietojen viejän tiiviimmästä osallistumisesta rekisteröityjen tekemien valitusten ratkaisuun niin, että tietojen viejän on otettava yhteyttä tietojen tuojaan ja tarvittaessa vaadittava sopimuksen täytäntöönpanoa tavanomaisessa yhden kuukauden ajassa. Jos tietojen viejä kieltäytyy vaatimasta sopimuksen täytäntöönpanoa ja tietojen tuojan rikkomus jatkuu edelleen, rekisteröity voi vaatia tietojen tuojaa panemaan lausekkeet täytäntöön ja viime kädessä haastaa tämän oikeuteen jossakin jäsenvaltiossa. Se, että tietojen tuoja hyväksyy tuomiovallan ja suostuu noudattamaan toimivaltaisen tuomioistuimen tai viranomaisen päätöstä, ei estä kolmansiin maihin sijoittautuneita tietojen tuojia käyttämästä oikeuskeinoja, kuten valitusoikeutta.

(7) Jotta kuitenkin voitaisiin torjua lisääntyneestä joustavuudesta johtuvat väärinkäytökset, on asianmukaista määrätä, että tietosuojaviranomaiset voivat helpommin kieltää tai keskeyttää uuteen mallisopimuslausekkeiden kokonaisuuteen perustuvat tiedonsiirrot tapauksissa, joissa tietojen viejä kieltäytyy toteuttamasta asianmukaisia toimia tietojen tuojan sopimusvelvoitteiden täytäntöönpanoa varten tai tietojen tuoja kieltäytyy tekemästä lojaalia yhteistyötä toimivaltaisten tietosuojavalvontaviranomaisten kanssa.

(8) Mallisopimuslausekkeiden käytöllä ei rajoiteta direktiivin 95/46/EY tai henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) 12 päivänä heinäkuuta 2002 annetun Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY [4] täytäntöönpanemiseksi annettujen kansallisten säännösten soveltamista, etenkään niiltä osin, jotka koskevat kaupallisten viestien lähettämistä suoramarkkinointitarkoituksiin.

(9) Esitettyihin mallisopimuslausekkeisiin sisältyviä takeita voidaan tällä perusteella pitää riittävinä direktiivin 95/46/EY 26 artiklan 2 kohdan mukaisesti.

(10) Direktiivin 95/46/EY 29 artiklalla perustettu tietosuojatyöryhmä on antanut liitteenä olevien mallisopimuslausekkeiden antamasta suojan tasosta lausunnon [5], joka on otettu huomioon.

(11) Voidakseen arvioida muutosten vaikutusta päätökseen 2001/497/EY komission on aiheellista tarkastella niitä kolmen vuoden kuluttua niiden tiedoksiantamisesta jäsenvaltioille.

(12) Päätös 2001/497/EY olisi muutettava vastaavasti.

(13) Tässä päätöksessä säädetyt toimenpiteet ovat direktiivin 95/46/EY 31 artiklalla perustetun komitean lausunnon mukaiset,

ON TEHNYT TÄMÄN PÄÄTÖKSEN:

1 artikla

Muutetaan päätös 2001/497/EY seuraavasti:

1) Lisätään 1 artiklaan seuraava kohta:

"Rekisterinpitäjät voivat valita kumman tahansa liitteessä olevista lausekekokonaisuuksista I tai II. Ne eivät kuitenkaan voi muuttaa lausekkeita eivätkä yhdistää yksittäisiä lausekkeita tai lausekekokonaisuuksia."

2) Korvataan 4 artiklan 2 ja 3 kohta seuraavasti:

"2. Jos 1 kohtaa sovellettaessa rekisterinpitäjä esittää riittävät takeet liitteessä olevaan kokonaisuuteen II sisältyvien mallisopimuslausekkeiden perusteella, toimivaltaiset tietosuojaviranomaiset voivat harjoittaa toimivaltaansa ja kieltää tai keskeyttää tiedonsiirrot seuraavissa tapauksissa:

a) tietojen tuoja kieltäytyy tekemästä vilpitöntä yhteistyötä tietosuojaviranomaisten kanssa tai noudattamasta selkeästi sopimuksen mukaisia velvoitteitaan;

b) tietojen viejä kieltäytyy ryhtymästä asianmukaisiin toimenpiteisiin tietojen tuojaa vastaan sopimuksen täytäntöönpanemiseksi tavanomaisessa yhden kuukauden ajassa siitä, kun toimivaltainen tietosuojaviranomainen on huomauttanut asiasta tietojen viejälle.

Ensimmäistä alakohtaa sovellettaessa tietojen tuojan ei katsota kieltäytyvän vilpillisessä mielessä tai kieltäytyvän sopimuksen täytäntöönpanosta tapauksissa, joissa yhteistyö tai täytäntöönpano olisi sellaisten tietojen tuojaan sovellettavien kansallisen lainsäädännön pakollisten vaatimusten vastaista, jotka eivät mene pidemmälle kuin on tarpeen demokraattisessa yhteiskunnassa jonkin direktiivin 95/46/EY 13 artiklan 1 kohdassa luetellun perusteen kannalta; tällaisia vaatimuksia ovat erityisesti kansainvälisten ja/tai kansallisten sopimusten mukaiset pakotteet, raportointivaatimukset verotusta varten ja raportointivaatimukset rahanpesun torjumiseksi.

Ensimmäisen alakohdan a alakohtaa sovellettaessa yhteistyöhön voi sisältyä erityisesti tietojen tuojan tietojenkäsittelyjärjestelmien tarkastusten salliminen tai velvoite noudattaa yhteisön tietosuojaviranomaisten ohjeita.

3. Edellä 1 ja 2 kohdan mukainen kielto tai keskeytys poistetaan heti kun kiellon tai keskeytyksen syyt ovat poistuneet.

4. Toteuttaessaan 1, 2 ja 3 kohdan mukaisia toimenpiteitä jäsenvaltioiden on ilmoitettava siitä viipymättä komissiolle, joka välittää tiedon edelleen muille jäsenvaltioille."

3) Korvataan 5 artiklan ensimmäinen virke seuraavasti:

"Komissio arvioi tämän päätöksen toimintaa käytettävissä olevien tietojen pohjalta kolmen vuoden kuluttua sen ja sitä koskevien muutosten tiedoksiantamisesta jäsenvaltioille."

4) Muutetaan liite seuraavasti:

1. Lisätään otsikon jälkeen sanat "KOKONAISUUS I".

2. Lisätään tämän päätöksen liitteen teksti.

2 artikla

Tätä päätöstä sovelletaan 1 päivästä huhtikuuta 2005.

3 artikla

Tämä päätös on osoitettu kaikille jäsenvaltioille.

Tehty Brysselissä 27 päivänä joulukuuta 2004.

Komission puolesta

Charlie McCreevy

Komission jäsen

--------------------------------------------------

[1] EYVL L 281, 23.11.1995, s. 31. Direktiivi sellaisena kuin se on muutettuna asetuksella (EY) N:o 1883/2003 (EUVL L 284, 31.10.2003, s. 1).

[2] EYVL L 181, 4.7.2001, s. 19.

[3] The International Chamber of Commerce (ICC), Japan Business Council in Europe (JBCE), European Information and Communications Technology Association (EICTA), EU Committee of the American Chamber of Commerce in Belgium (Amcham), Confederation of British Industry (CBI), International Communication Round Table (ICRT) ja the Federation of European Direct Marketing Associations (FEDMA).

[4] EYVL L 201, 31.7.2002, s. 37.

[5] Lausunto N:o 8/2003, http://europa.eu.int/comm/privacy

--------------------------------------------------

+++++ ANNEX 1 +++++