A Bizottság határozata

( 2004. december 27.)

a 2001/497/EK határozat módosításáról a személyes adatoknak harmadik országokba irányuló továbbadására vonatkozó alternatív általános szerződési feltételek bevezetéséről

(az értesítés a B(2004) 5271 számú dokumentummal történt)

(EGT vonatkozású szöveg)

(2004/915/EK)

AZ EURÓPAI KÖZÖSSÉGEK BIZOTTSÁGÁ,

tekintettel az Európai Közösséget létrehozó szerződésre,

tekintettel a személyes adatok feldolgozása vonatkozásában az egyének védelméről, és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelvre [1] és különösen annak 26. cikke (4) bekezdésére,

mivel:

(1) A Közösségből kifelé irányuló adatáramlások megkönnyítése érdekében kívánatos, hogy az adatkezelők az adatok továbbítását globálisan, az adatvédelmi szabályok egyetlen csomagja szerint végezhessék. Globális adatvédelmi szabványok hiányában ezek a feltételek fontos eszközt biztosítanak ahhoz, hogy a személyes adatok továbbítása valamennyi tagállamból egy közös szabálycsomag alapján történjen. A személyes adatok harmadik országokba irányuló, a 95/46/EK irányelv [2] alapján történő továbbadására vonatkozó általános szerződési feltételekről szóló, 2001. június 15-i 2001/497/EK bizottsági határozat ezért mintacsomagot állapít meg az általános szerződési feltételekre, amely kellő biztosítékokat nyújt az adatoknak harmadik országokba történő továbbadásához.

(2) Jelentős tapasztalat halmozódott fel ennek a határozatnak az elfogadása óta. Ezen kívül üzleti társaságok egy egyesülete [3] az általános szerződési feltételek egy alternatív csomagját terjesztette be, hogy az adatvédelem szintje azonos legyen a 2001/497/EK határozatban megállapított általános szerződési feltételek csomagja által biztosított adatvédelemmel, eltérő mechanizmusokat felhasználva.

(3) Mivel az általános szerződési feltételek használata a nemzetközi adatátadásoknál önkéntes, lévén, hogy az általános szerződési feltételek a 95/46/EK irányelvben csak a számos lehetőség egyikét jelentik, a személyes adatoknak harmadik országba történő jogszerű továbbításához a Közösségben lévő adatátadók és a harmadik országokban lévő adatátvevők számára szabad választást kell biztosítani az általános szerződési feltételek bármely csomagja, vagy az adatátadás valamely más jogi alapja között. Mivel minden csomag önmagában modellértékű, az adatátadóknak nem szabad azonban ezeket a csomagokat módosítaniuk vagy azokat bármely módon teljes egészükben vagy részben összevonniuk.

(4) Az üzleti vállalkozások által beterjesztett általános szerződési feltételek a szerződéses feltételek használatának növelését célozzák a szereplők között, olyan mechanizmusok révén, mint a rugalmasabb ellenőrzési követelmények, részletesebb szabályok a hozzáférési jogról.

(5) Továbbá, a 2001/497/EK határozatban előírt egyetemleges felelősség rendszerének alternatívájaként a most beterjesztett csomag a saját felelősségen alapulna, amely szerint az adatátadó és az adatátvevő felelősségel tartozik az érintettekkel szemben saját szerződéses kötelezettségeik megsértéséért; az adatátadó is felel, ha nem tette meg az indokolt erőfeszítéseket annak megállapítására, hogy az adatátvevő képes-e a feltételek szerinti jogi kötelezettségeit teljesíteni (culpa in eligendo) és az érintett felléphet az adatátadóval szemben ebben a vonatkozásban. Az általános szerződési feltételek új csomagjában az I. feltétel b) pontjának érvényesítése megkülönböztetett jelentőséggel bír ilyen szempontból, különösen azzal kapcsolatban, hogy az adatátadónak lehetősége van ellenőrzéseket végrehajtani az adat átvevőjének helyiségeiben vagy bizonyítékot kérni arról, hogy kellő pénzügyi erőforrásokkal rendelkezik feladatainak teljesítéséhez.

(6) A kedvezményezett harmadik személy jogainak az érintett által történő gyakorlását illetően, előírás az adatátadó nagyobb mértékű bevonása az érintettek panaszainak rendezésébe, mivel az adatátadónak kötelessége kapcsolatba lépni az adatátvevővel, és – amennyiben szükséges – a szerződést a normális, egy hónapos határidőn belül érvényesítenie kell. Ha az adatátadó visszautasította a szerződés érvényesítését, és az adatátvevő szerződésszegése tovább folytatódik, az érintett a feltételeket az adatátvevővel szemben érvényesítheti, és esetleg EU joghatóság előtt beperelheti. Az, hogy az adatátadó és az adatátvevő a joghatóságot elfogadja és az illetékes bírósági vagy adatvédelmi hatósági határozat betartásába beleegyezik, nem sérelmes a harmadik országban illetékes adatátvevők eljárási jogai – mint például fellebbezési jogai – számára.

(7) Az ezzel a nagyobb rugalmassággal való visszaélések elkerülése végett azonban célszerű előírni, hogy az adatvédelmi hatóságok könnyebben tilthassák meg vagy függeszthessék fel az általános szerződési feltételek új csomagja alapján végbemenő adatátadásokat azokban az esetekben, amikor az adatátadó megtagadja, hogy megtegye a megfelelő lépéseket az adatátvevővel szemben a szerződési feltételek érvényesítésére vagy az utóbbi megtagadja a jóhiszemű együttműködést az illetékes, felügyeleti adatvédelmi hatóságokkal.

(8) Az általános szerződési feltételek használata nem érinti a 95/46/EK irányelv vagy a 2002/58/EK irányelv [4] alapján hozott nemzeti rendelkezések alkalmazását a személyes adatok feldolgozásával és a magánélet védelmével kapcsolatban az elektronikus hírközlési ágazatban (a magánéletről és az elektronikus hírközlésről szóló irányelv), különösen nem érinti kereskedelmi kommunikáció küldését az EU állampolgárainak.

(9) Ezen az alapon a beterjesztett általános szerződési feltételekben szereplő biztosítékok megfelelőnek tekinthetők a 95/46/EK irányelv 26. cikkének (2) bekezdésének értelmében.

(10) A személyes adatok feldolgozása tekintetében az egyének védelmével foglalkozó munkacsoport, amelyet a 95/46/EK irányelv 29. cikkének megfelelően hoztak létre, előterjesztette véleményét [5] a beterjesztett általános szerződési feltételek által biztosított védelem szintjéről, amely figyelembevételre került.

(11) Annak érdekében, hogy a helyesbítések érvényesülését a 2001/497/EK határozatra fel lehessen mérni, szükséges, hogy a Bizottság a tagállamoknak megküldött értesítést követő három év elteltével értékelje azokat.

(12) A 2001/497/EGK határozatot ennek megfelelően módosítani kell.

(13) Az ebben a határozatban előírt intézkedések összhangban vannak a 95/46/EK irányelv 31. cikkének értelmében létrehozott bizottság véleményével,

ELFOGADTA EZT A HATÁROZATOT:

1. cikk

A 2001/497/EK határozat a következőképpen módosul:

1. Az 1. cikkbe a következő bekezdés kerül be:

"Az adatkezelők választhatnak a mellékletben szereplő I. és II. csomag között. A feltételeket azonban nem változtathatják meg, illetve nem vonhatnak össze egyes feltételeket, vagy a csomagokat."

2. A 4. cikkben a (2) és a (3) bekezdések helyébe a következők lépnek:

"(2) Az (1) bekezdés céljaira, amikor az adatkezelő a melléklet II. csomagjában szereplő általános szerződési feltételek alapján megfelelő biztosítékokat ír elő, az illetékes adatvédelmi hatóságoknak jogukban áll, hogy meglévő felhatalmazásaik gyakorlásával megtiltsák vagy felfüggesszék az adatáramlást a következő esetek bármelyikében:

a) az adatátvevő megtagadja a jóhiszemű együttműködést az adatvédelmi hatóságokkal, vagy a szerződés szerinti világos kötelezettségeinek teljesítését;

b) amikor az adatátadó megtagadja, hogy megtegye a megfelelő lépéseket az adatátvevővel szemben a szerződésnek a normális, egy hónapos határidőn belül történő érvényesítésére, az illetékes adatvédelmi hatóság által az adatátadónak küldött értesítésről számítva.

Az első albekezdés céljaira a rosszhiszemű megtagadás, vagy a szerződés érvényesítésének megtagadása az adatátvevő részéről nem tartalmazza azokat az eseteket, amikor az együttműködés vagy az érvényesítés ellentétbe kerülne az adatátvevőre vonatkozó nemzeti szabályozás kötelező érvényű követelményeivel, ha azok nem mennek túl a demokratikus társadalomban szükséges mértéken, a 95/46/EK irányelv 13. cikkének (1) bekezdésében felsorolt valamely érdek alapján, különös tekintettel a nemzetközi és/vagy nemzeti aktusokban megállapított szankciókra, az adóbevallási követelményekre vagy a pénzmosással szembeni fellépéssel összefüggő bejelentési kötelezettségekre.

Az első albekezdés a) pontjának céljaira az együttműködés magában foglalhatja különösen az adatátvevő adatfeldolgozó létesítményeinek megvizsgálásra bocsátását, vagy azt a kötelezettséget, hogy betartja a Közösségen belüli adatvédelmi felügyeleti hatóság tanácsát.

(3) Az 1. és a 2. bekezdés szerinti tiltást vagy felfüggesztést meg kell szüntetni, mihelyt a tiltás vagy felfüggesztés okai többé nem állnak fenn.

(4) Amikor a tagállamok intézkedéseket fogadnak el az 1., a 2. és a 3. bekezdés értelmében, késedelem nélkül tájékoztatniuk kell a Bizottságot, amely a tájékoztatást továbbítja a többi tagállamnak."

3. Az 5. cikk első mondata helyébe a következő szöveg lép:

"A Bizottság a tagállamoknak megküldött értesítést követő három év elteltével a rendelkezésre álló információ alapján értékeli e határozat érvényesülését, valamint az azt érintő módosításról szóló értesítést."

4. A melléklet a következőképpen módosul:

1. A cím után az "I CSOMAG" kifejezés beszúrásra kerül.

2. Az ennek a határozatnak a mellékletében foglalt szöveg hozzáadásra kerül.

2. cikk

Ezt a határozatot 2005. április 1-jétől kell alkalmazni.

3. cikk

Ennek a határozatnak a tagállamok a címzettjei.

Kelt Brüsszelben, 2004. december 27-én.

a Bizottság részéről

Charlie McCreevy

a Bizottság tagja

--------------------------------------------------

[1] HL L 281., 1995.11.23., 31. o. A legutóbb az 1883/2003/EK rendelettel (HL L 284., 2003.10.31., 1. o.) módosított rendelet.

[2] HL L 181., 2001.7.4., 19. o.

[3] A Nemzetközi Kereskedelmi Kamara (ICC), a Japán Európai Üzleti Tanács (JBCE), az Európai Információ- és Kommunikációs Technológiai Egyesület (EICTA), az Amerikai Kereskedelmi Kamara Belgiumi EU Bizottsága (Amcham), a Brit Iparszövetség (CBI), a Nemzetközi Kommunikációs Kerekasztal (ICRT) és az Európai Közvetlen Marketing Egyesületek Szövetsége (FEDMA).

[4] HL L 201., 2002.7.31., 37. o.

[5] 8/2003 sz. vélemény, amely elérhető a következő címen: http://europa.eu.int/comm/privacy

--------------------------------------------------

+++++ ANNEX 1 +++++