Komisijos sprendimas

2004 m. gruodžio 27 d.

iš dalies keičiantis Sprendimą 2001/497/EB dėl sutarčių, susijusių su asmens duomenų perdavimu trečiosioms šalims, tipinių punktų

(pranešta dokumentu Nr. K(2004) 5271)

(Tekstas svarbus EEE)

(2004/915/EB)

EUROPOS BENDRIJU KOMISIJA,

atsižvelgdama į Europos bendrijos steigimo sutartį,

atsižvelgdama į 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvą 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo [1], ypač į jos 26 straipsnio 4 dalį,

kadangi:

(1) Siekiant supaprastinti duomenų srautus iš Bendrijos pageidautina, kad duomenų valdytojas galėtų atlikti duomenų perdavimą visame pasaulyje remdamasis vienu duomenų apsaugos taisyklių rinkiniu. Kadangi nėra visuotinių duomenų apsaugos standartų, tipiniai sutarčių punktai – tai svarbi priemonė, leidžianti perduoti asmens duomenis iš visų valstybių narių remiantis bendru taisyklių rinkiniu. 2001 m. birželio 15 d. Komisijos sprendime 2001/497/EB dėl sutarčių, susijusių su asmens duomenų perdavimu trečiosioms šalims, tipinių punktų, atsižvelgiant į Direktyvą 95/46/EB [2] nustatomas tipinių sutarčių punktų rinkinio modelis, kuriuo užtikrinama duomenų perdavimo į trečiąsias šalis apsauga.

(2) Po šio sprendimo priėmimo buvo įgyta daug patirties. Be to, verslo asociacijų koalicija [3] pateikė alternatyvų sutarčių tipinių punktų rinkinį, kuris skirtas lygiaverčiam Sprendime 2001/497/EB nustatytų sutarčių tipinių punktų duomenų apsaugos lygiui užtikrinti naudojantis įvairiais mechanizmais.

(3) Kadangi sutarčių tipinių punktų naudojimas tarptautiniams duomenų perdavimams nėra privalomas, nes sutarčių tipiniai punktai yra tik viena iš keleto Direktyvoje 95/46/EB nurodytų galimybių teisėtai perduoti asmens duomenis į trečiąją šalį, Bendrijos duomenų eksportuotojai ir trečiųjų šalių importuotojai turėtų turėti galimybę duomenų perdavimui laisvai pasirinkti bet kurį sutarčių tipinių punktų rinkinį arba kitą teisinį pagrindą. Kiekvienas rinkinys sudaro modelį, duomenų eksportuotojams neturėtų būti leidžiama iš dalies keisti šių rinkinių arba kokiu nors būdu visiškai ar iš dalies jų jungti.

(4) Verslo asociacijų pateiktuose sutarčių tipiniuose punktuose tokių priemonių pagalba kaip lankstesni audito reikalavimai, išsamesnės prieigos teisės taisyklės siekiama, kad vis daugiau operatorių naudotųsi sutarčių tipiniais punktais.

(5) Be to, solidariosios atsakomybės sistemos, nustatytos Sprendime 2001/497/EB, alternatyvoje pateiktajame rinkinyje nustatytas atsakomybės režimas, paremtas deramais įsipareigojimais, pagal kuriuos duomenų eksportuotojai ir duomenų importuotojai būtų atsakingi prieš duomenų subjektus už atitinkamų sutarčių įsipareigojimų nesilaikymą; duomenų eksportuotojas taip pat atsako už reikiamų pastangų nedėjimą siekiant nustatyti, ar duomenų importuotojas gali įvykdyti savo teisinius įsipareigojimus pagal šiuos punktus (culpa in eligendo), o duomenų subjektas savo ruožtu gali imtis veiksmų duomenų eksportuotojo atžvilgiu. Šiuo požiūriu ypač svarbus naujojo sutarčių tipinių punktų rinkinio I punkto b dalies vykdymas, ypač atsižvelgiant į galimybę duomenų eksportuotojui duomenų importuotojo tarnybinėse patalpose vykdyti auditą arba reikalauti pakankamų finansinių išteklių, reikalingų įsipareigojimų vykdymui, įrodymų.

(6) Dėl duomenų subjektų pasinaudojimo trečiosios šalies, naudos iš sutarties gavėjos, teisėmis, tai reglamentuojamas svarbesnis duomenų eksportuotojo vaidmuo sprendžiant duomenų subjekto skundus, nes duomenų eksportuotojas įpareigojamas susisiekti su duomenų importuotoju ir prireikus per įprastinį vieno mėnesio laikotarpį užtikrinti sutarties vykdymą. Jei duomenų eksportuotojas nesutinka užtikrinti sutarties vykdymo, o duomenų importuotojas ir toliau nevykdo savo įsipareigojimų, duomenų subjektas gali vykdyti nepalankias duomenų importuotojui nuostatas ir iškelti jam bylą valstybėje narėje. Šis jurisdikcijos pripažinimas ir sutikimas vykdyti kompetentingo teismo ar duomenų apsaugos institucijos sprendimą nepažeidžia jokių trečiosiose šalyse nustatytų duomenų importuotojų procedūrinių teisių, tokių kaip apeliacijos teisė.

(7) Tačiau siekiant išvengti piktnaudžiavimo šia papildoma galimybe, reikia užtikrinti, kad duomenų apsaugos institucijos galėtų lengviau uždrausti arba sustabdyti duomenų perdavimus pagal naująjį sutarčių tipinių punktų rinkinį tais atvejais, kai duomenų eksportuotojas atsisako imtis atitinkamų veiksmų, reikalingų užtikrinti, kad duomenų importuotojas vykdytų savo sutarties įsipareigojimus, arba pastarasis atsisako sąžiningai bendradarbiauti su kompetentingomis duomenų apsaugos priežiūros institucijomis.

(8) Sutarčių tipiniai punktai bus naudojami nepažeidžiant nacionalinių nuostatų, kaip nurodyta Direktyvoje 95/46/EB arba Direktyvoje 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių) [4], ypač tiesioginės reklamos komercinių pranešimų atvejais.

(9) Remiantis tuo, kas buvo išdėstyta, sutarčių tipiniuose punktuose nustatytos apsaugos priemonės gali būti laikomos adekvačiomis, kaip nurodyta Direktyvos 95/46/EB 26 straipsnio 2 dalyje.

(10) Darbo grupė dėl asmenų apsaugos tvarkant asmens duomenis, sudaryta, atsižvelgus į Direktyvos 95/46/EB 29 straipsnį, pateikė savo nuomonę [5] dėl apsaugos, suteikiamos pagal tipinius sutarčių punktus, lygio, į kurią turi būti atsižvelgta.

(11) Siekiant įvertinti Sprendimo Nr. 2001/497/EB pakeitimų veikimą yra norima, kad Komisija pateiks jų įvertinimą po trijų metų nuo pranešimo apie jų priėmimą pateikimo valstybėms narėms.

(12) Sprendimą 2001/497/EB reikia atitinkamai pakeisti.

(13) Šiame sprendime numatytos priemonės atitinka pagal Direktyvos 95/46/EB 31 straipsnio nuostatas įsteigto komiteto nuomonę,

PRIĖMĖ ŠĮ SPRENDIMĄ:

1 straipsnis

Sprendimas 2001/497/EB iš dalies keičiamas taip:

1) Prie 1 straipsnio pridedama ši dalis:

"Duomenų valdytojai gali pasirinkti I arba II rinkinį, pateiktą priede. Tačiau, jie negali iš dalies keisti punktų ar derinti atskirų rinkinių punktų."

2) 4 straipsnio 2 ir 3 dalys pakeičiamos taip:

"2. 1 dalies, kurioje nurodyta, kad domenų valdytojas pateikia adekvačias apsaugos priemones remdamasis sutarčių tipiniais punktais, nurodytais priedo II rinkinyje, tikslais kompetentingos duomenų apsaugos institucijos turi teisę pasinaudoti joms suteiktomis galiomis uždrausdamos arba sustabdydamos duomenų srautus jeigu:

a) duomenų importuotojas atsisako sąžiningai bendradarbiauti su duomenų apsaugos institucijomis arba vykdyti aiškius sutarties įsipareigojimus;

b) duomenų eksportuotojas atsisako imtis atitinkamų veiksmų siekiant užtikrinti, kad duomenų importuotojas per įprastinį vieno mėnesio laikotarpį po to, kai kompetentinga duomenų apsaugos institucija įspėjo duomenų eksportuotoją, įvykdytų sutartį.

Pirmosios pastraipos tikslais duomenų importuotojo atsisakymui turint negerų ketinimų arba atsisakymui užtikrinti sutarties vykdymą nepriklauso atvejai, kai bendradarbiavimas arba vykdymas prieštarautų duomenų importuotojui taikomiems privalomiems nacionalinių teisės aktų reikalavimams, kurie nėra griežtesni nei būtina demokratinėje visuomenėje ir yra paremti vienu iš Direktyvos 95/46/EB 13 straipsnio 1 dalyje nurodytų interesų, ypač tarptautinėse ir (arba) nacionalinėse priemonėse nustatytomis sankcijomis, mokesčių ataskaitų reikalavimais arba pinigų plovimo prevencijos ataskaitų reikalavimais.

Pirmosios pastraipos a punkto tikslais bendradarbiavimui visų pirma gali būti priskirtas duomenų importuotojo duomenų apdorojimo priemonių pateikimas auditui arba įsipareigojimas paklusti Bendrijos duomenų apsaugos priežiūros institucijos patarimams.

3. 1 ir 2 dalyse nurodytas uždraudimas ar sustabdymas nedelsiant atšaukiamas, pašalinus tokio uždraudimo ar sustabdymo priežastis.

4. Jeigu valstybės narės imasi 1, 2 ir 3 dalyje nurodytų priemonių, jos nedelsdamos apie tai praneša Komisijai, kuri šią informaciją perduoda kitoms valstybėms narėms.".

3. 5 straipsnio pirmas sakinys pakeičiamas taip:

"Komisija, remdamasi turima informacija, per tris metus po pranešimo valstybėms narėms apie šį sprendimą ir bet kokį jo pakeitimą įvertina šio sprendimo veikimą."

4. Priedas keičiamas taip:

1. Po pavadinimo įterpiama sąvoka "I RINKINYS".

2. Pridedamas šio sprendimo priedo tekstas.

2 straipsnis

Sprendimas taikomas nuo 2005 m. balandžio 1 d.

3 straipsnis

Šis sprendimas skirtas valstybėms narėms.

Priimta Briuselyje, 2004 m. gruodžio 27 d.

Komisijos vardu

Charlie McCreevy

Komisijos narys

--------------------------------------------------

[1] OL L 281, 1995 11 23, p. 31. Direktyva su pakeitimais, padarytais Reglamentu (EB) Nr. 1883/2003 (OL L 284, 2003 10 31, p. 1).

[2] OL L 181, 2001 7 4, p. 19.

[3] Tarptautiniai prekybos rūmai (TPR), Japonijos verslo taryba Europoje (JBCE), Europos telekomunikacijų technologijų ir elektronikos asociacija (EICTA), Amerikos prekybos rūmų ES komitetas Belgijoje (Amcham), Britų pramonės asociacija (CBI), Tarptautinės komunikacijos apvalusis stalas (ICRT) ir Europos tiesioginio marketingo asociacijos (FEDMA).

[4] OL L 201, 2002 7 31, p. 37.

[5] Nuomonė Nr. 8/2003, pateikiama tinklalapyje: http://europa.eu.int/comm/privacy

--------------------------------------------------

+++++ ANNEX 1 +++++