Απόφαση της Επιτροπής

της 27ης Δεκεμβρίου 2004

για την τροποποίηση της απόφασης 2001/497/ΕΚ όσον αφορά την εισαγωγή μιας εναλλακτικής δέσμης τυποποιημένων συμβατικών ρητρών για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες

[κοινοποιηθείσα υπό τον αριθμό Ε(2004) 5271]

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

(2004/915/ΕΚ)

Η ΕΠΙΤΡΟΠΗ ΤΩΝ ΕΥΡΩΠΑΪΚΩΝ ΚΟΙΝΟΤΗΤΩΝ,

τη συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας,

την οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών [1], και ιδίως το άρθρο 26 παράγραφος 4,

Εκτιμώντας τα ακόλουθα:

(1) Για να διευκολυνθεί η ροή δεδομένων από την Κοινότητα, είναι επιθυμητό οι υπεύθυνοι επεξεργασίας των δεδομένων να μπορούν να εκτελούν διαβιβάσεις δεδομένων σε παγκόσμια κλίμακα σύμφωνα με μια ενιαία δέσμη κανόνων για την προστασία των δεδομένων. Λόγω της έλλειψης παγκόσμιων προτύπων για την προστασία των δεδομένων, οι τυποποιημένες συμβατικές ρήτρες αποτελούν σημαντικό εργαλείο για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από όλα τα κράτη μέλη σύμφωνα με μια κοινή δέσμη κανόνων. Η απόφαση 2001/497/ΕΚ της Επιτροπής, της 15ης Ιουνίου 2001, σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες δυνάμει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου [2] ορίζει, για το σκοπό αυτό, μια πρότυπη δέσμη τυποποιημένων συμβατικών ρητρών που εξασφαλίζει επαρκείς εγγυήσεις για τη διαβίβαση δεδομένων προς τρίτες χώρες.

(2) Από την έκδοση της εν λόγω απόφασης έχει αποκτηθεί πολλή εμπειρία. Επιπλέον, μια ομάδα επιχειρηματικών ενώσεων [3] έχει υποβάλει μια δέσμη εναλλακτικών τυποποιημένων συμβατικών ρητρών, που έχει σχεδιαστεί με σκοπό την παροχή ισοδύναμου επιπέδου προστασίας δεδομένων με εκείνο που παρέχουν οι τυποποιημένες συμβατικές ρήτρες της απόφασης 2001/497/ΕΚ, χρησιμοποιώντας όμως διαφορετικούς μηχανισμούς.

(3) Καθώς η χρήση τυποποιημένων συμβατικών ρητρών για τις διεθνείς διαβιβάσεις δεδομένων είναι προαιρετική, αφού οι ρήτρες αυτές αποτελούν μία μόνον από τις διάφορες δυνατότητες που προσφέρονται από την οδηγία 95/46/ΕΚ για τη νόμιμη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα, οι εξαγωγείς δεδομένων στην Κοινότητα και οι εισαγωγείς δεδομένων στις τρίτες χώρες πρέπει να μπορούν να επιλέγουν ελεύθερα οποιαδήποτε από τις δέσμες τυποποιημένων συμβατικών ρητρών ή να επιλέγουν κάποια άλλη νομική βάση για τη διαβίβαση των δεδομένων. Ωστόσο, επειδή κάθε δέσμη στο σύνολό της αποτελεί ένα πρότυπο, οι εξαγωγείς των δεδομένων δεν πρέπει να επιτρέπεται να τροποποιούν τις δέσμες αυτές ή να τις συγχωνεύουν στο σύνολό τους ή εν μέρει κατά κανέναv τρόπο.

(4) Οι τυποποιημένες συμβατικές ρήτρες που υποβλήθηκαν από τις επιχειρηματικές ενώσεις αποσκοπούν στο να αυξηθεί η χρήση των συμβατικών ρητρών μεταξύ των φορέων, με μηχανισμούς όπως η πρόβλεψη περισσότερο ευέλικτων απαιτήσεων ελέγχου και η θέσπιση λεπτομερέστερων κανόνων σχετικά με το δικαίωμα πρόσβασης.

(5) Επιπλέον, ως εναλλακτική πρόταση στο σύστημα της απεριόριστης και εις ολόκληρον ευθύνης που προβλέπεται από την απόφαση 2001/497/ΕΚ, η υποβληθείσα δέσμη περιλαμβάνει ένα σύστημα ευθύνης με βάση τις υποχρεώσεις δέουσας επιμέλειας, σύμφωνα με το οποίο ο εξαγωγέας των δεδομένων και ο εισαγωγέας των δεδομένων θα είναι αντίστοιχα υπεύθυνοι έναντι των προσώπων στα οποία αναφέρονται τα δεδομένα για τυχόν παραβιάσεις των συμβατικών τους υποχρεώσεων. Ο εξαγωγέας των δεδομένων είναι επίσης υπεύθυνος εάν δεν καταβάλει εύλογες προσπάθειες για να εξασφαλίσει ότι ο εισαγωγέας των δεδομένων είναι σε θέση να ανταποκριθεί στις νομικές του υποχρεώσεις σύμφωνα με τις ρήτρες (culpa in eligendo), ενώ το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να κινηθεί κατά του εξαγωγέα των δεδομένων ως προς το θέμα αυτό. Η εφαρμογή της ρήτρας Ι στοιχείο β) της νέας δέσμης τυποποιημένων συμβατικών ρητρών έχει ιδιαίτερη σημασία από την άποψη αυτή, ιδίως σε συνδυασμό με τη δυνατότητα του εξαγωγέα των δεδομένων να πραγματοποιήσει ελέγχους στις εγκαταστάσεις του εισαγωγέα των δεδομένων ή να ζητήσει αποδεικτικά στοιχεία σχετικά με την επάρκεια των χρηματοοικονομικών πόρων που διαθέτει ο εισαγωγέας των δεδομένων για την εκπλήρωση των υποχρεώσεών του.

(6) Όσον αφορά την άσκηση των δικαιωμάτων που έχουν τα πρόσωπα στα οποία αναφέρονται τα δεδομένα ως δικαιούχοι τρίτοι, προβλέπεται μεγαλύτερη ανάμειξη του εξαγωγέα των δεδομένων στη διευθέτηση των καταγγελιών των προσώπων στα οποία αναφέρονται τα δεδομένα. Πράγματι, ο εξαγωγέας των δεδομένων είναι υποχρεωμένος να έλθει σε επαφή με τον εισαγωγέα των δεδομένων και, εάν χρειάζεται, να απαιτήσει την εφαρμογή της σύμβασης εντός περιόδου που ανέρχεται κανονικά σε ένα μήνα. Εάν ο εξαγωγέας των δεδομένων αρνηθεί να προβεί στις απαραίτητες ενέργειες για να εξασφαλίσει την εφαρμογή της σύμβασης από τον εισαγωγέα των δεδομένων και η παραβίαση εκ μέρους του εισαγωγέα των δεδομένων συνεχίζεται, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί, στην περίπτωση αυτή, να επικαλεστεί τις ρήτρες κατά του εισαγωγέα των δεδομένων και τελικά να τον εναγάγει σε κάποιο κράτος μέλος. Αυτή η αποδοχή δικαιοδοσίας και η συμφωνία συμμόρφωσης με απόφαση αρμόδιου δικαστηρίου ή αρχής προστασίας των δεδομένων γίνεται υπό την επιφύλαξη τυχόν δικονομικών δικαιωμάτων των εισαγωγέων των δεδομένων που εδρεύουν σε τρίτες χώρες, όπως είναι τα δικαιώματα προσφυγής.

(7) Ωστόσο, για να αποτραπούν τυχόν καταχρήσεις στις οποίες θα μπορούσε να οδηγήσει αυτή η πρόσθετη ευελιξία, πρέπει να προβλεφθεί ότι οι αρχές προστασίας των δεδομένων μπορούν ευκολότερα να απαγορεύσουν ή να αναστείλουν τις διαβιβάσεις δεδομένων που βασίζονται στη νέα δέσμη τυποποιημένων συμβατικών ρητρών στις περιπτώσεις εκείνες κατά τις οποίες ο εξαγωγέας των δεδομένων αρνείται να προβεί στις απαραίτητες ενέργειες για να υποχρεώσει τον εισαγωγέα των δεδομένων να τηρήσει τις συμβατικές του υποχρεώσεις ή όταν ο τελευταίος αρνείται να συνεργαστεί καλόπιστα με τις αρχές ελέγχου που είναι αρμόδιες για την προστασία των δεδομένων.

(8) Η χρήση τυποποιημένων συμβατικών ρητρών θα γίνει με την επιφύλαξη της εφαρμογής των εθνικών διατάξεων που έχουν εγκριθεί σύμφωνα με την οδηγία 95/46/ΕΚ ή την οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) [4], ιδίως όσον αφορά τις εμπορικές κλήσεις προς τους πολίτες της Ευρωπαϊκής Ένωσης.

(9) Στη βάση αυτή, οι εγγυήσεις που περιλαμβάνονται στις υποβληθείσες τυποποιημένες συμβατικές ρήτρες μπορούν να θεωρηθούν επαρκείς κατά την έννοια του άρθρου 26 παράγραφος 2 της οδηγίας 95/46/ΕΚ.

(10) Η ομάδα εργασίας για την προστασία των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, που συστάθηκε βάσει του άρθρου 29 της οδηγίας 95/46/ΕΚ, εξέδωσε γνωμοδότηση [5] σχετικά με το επίπεδο προστασίας που παρέχουν οι υποβληθείσες τυποποιημένες συμβατικές ρήτρες, η οποία ελήφθη υπόψη.

(11) Για να αποτιμηθεί η λειτουργικότητα των τροπολογιών της απόφασης 2001/497/ΕΚ, η Επιτροπή πρέπει να τις αξιολογήσει τρία χρόνια μετά την κοινοποίησή τους στα κράτη μέλη.

(12) Η απόφαση 2001/497/ΕΚ πρέπει να τροποποιηθεί ανάλογα.

(13) Τα μέτρα που προβλέπονται στην παρούσα απόφαση είναι σύμφωνα με τη γνώμη της επιτροπής που συστάθηκε δυνάμει του άρθρου 31 της οδηγίας 95/46/ΕΚ,

ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:

Άρθρο 1

Η απόφαση 2001/497/ΕΚ τροποποιείται ως εξής:

1) Στο άρθρο 1 προστίθεται η ακόλουθη παράγραφος:

"Οι υπεύθυνοι επεξεργασίας δεδομένων μπορούν να επιλέξουν είτε τη δέσμη Ι είτε τη δέσμη ΙΙ του παραρτήματος. Ωστόσο, δεν μπορούν να τροποποιήσουν τις ρήτρες ούτε να συνδυάσουν μεμονωμένες ρήτρες ή τις δέσμες μεταξύ τους."

2) Στο άρθρο 4 οι παράγραφοι 2 και 3 αντικαθίστανται από το ακόλουθο κείμενο:

"2. Για τους σκοπούς της παραγράφου 1, όταν ο υπεύθυνος επεξεργασίας δεδομένων παρέχει επαρκείς εγγυήσεις βάσει των τυποποιημένων συμβατικών ρητρών που περιέχονται στη δέσμη ΙΙ του παραρτήματος, οι αρμόδιες αρχές προστασίας των δεδομένων δύνανται να ασκούν τις υφιστάμενες εξουσίες τους για να απαγορεύουν ή να αναστέλλουν τη ροή δεδομένων σε όποια από τις ακόλουθες δύο περιπτώσεις:

α) άρνηση του εισαγωγέα των δεδομένων να συνεργαστεί καλόπιστα με τις αρχές προστασίας των δεδομένων ή να συμμορφωθεί με τις υποχρεώσεις που υπέχει δυνάμει της σύμβασης·

β) άρνηση του εξαγωγέα των δεδομένων να προβεί στις αναγκαίες ενέργειες για να υποχρεώσει τον εισαγωγέα των δεδομένων να συμμορφωθεί με τη σύμβαση εντός της κανονικής περιόδου του ενός μήνα από τη σχετική ειδοποίηση της αρμόδιας αρχής προστασίας των δεδομένων προς τον εξαγωγέα των δεδομένων.

Για τους σκοπούς του πρώτου εδαφίου, η κακόπιστη άρνηση ή η άρνηση εφαρμογής της σύμβασης εκ μέρους του εισαγωγέα των δεδομένων δεν περιλαμβάνει τις περιπτώσεις κατά τις οποίες η συνεργασία ή η εφαρμογή θα μπορούσαν να έλθουν σε σύγκρουση με υποχρεωτικές απαιτήσεις του εθνικού δικαίου στο οποίο υπόκειται ο εισαγωγέας των δεδομένων, απαιτήσεις οι οποίες δεν υπερβαίνουν το αναγκαίο σε μια δημοκρατική κοινωνία μέτρο βάσει των συμφερόντων που απαριθμούνται στο άρθρο 13 παράγραφος 1 της οδηγίας 95/46/ΕΚ, και ιδίως τις κυρώσεις που προβλέπονται από διεθνείς ή/και εθνικές νομοθετικές πράξεις, τις απαιτήσεις υποβολής φορολογικών δηλώσεων ή τις απαιτήσεις υποβολής εκθέσεων για την καταπολέμηση δραστηριοτήτων "ξεπλύματος" παράνομου χρήματος.

Για τους σκοπούς του στοιχείου α) του πρώτου εδαφίου, η συνεργασία μπορεί να περιλαμβάνει, ειδικότερα, την υποχρέωση του εισαγωγέα των δεδομένων να διαθέτει προς έλεγχο τις εγκαταστάσεις που χρησιμοποιεί για την επεξεργασία των δεδομένων ή την υποχρέωσή του να συμμορφώνεται με τις συστάσεις της αρχής ελέγχου που είναι αρμόδια για την προστασία των δεδομένων στην Κοινότητα.

3. Η απαγόρευση ή η αναστολή βάσει των παραγράφων 1 και 2 αίρονται αμέσως μόλις παύσουν να υπάρχουν οι λόγοι της αναστολής ή της απαγόρευσης.

4. Τα κράτη μέλη, όταν λαμβάνουν μέτρα σύμφωνα με τις παραγράφους 1, 2 και 3, ενημερώνουν χωρίς καθυστέρηση την Επιτροπή, η οποία διαβιβάζει την πληροφορία αυτή στα υπόλοιπα κράτη μέλη."

3) Στο άρθρο 5 η πρώτη πρόταση αντικαθίσταται από τα ακόλουθα:

"Η Επιτροπή θα αξιολογήσει τη λειτουργία της παρούσας απόφασης με βάση τις διαθέσιμες πληροφορίες τρία χρόνια μετά την κοινοποίησή της και την κοινοποίηση οποιασδήποτε τροπολογίας της στα κράτη μέλη."

4) Το παράρτημα τροποποιείται ως εξής:

1. Μετά τον τίτλο προστίθενται οι λέξεις "ΔΕΣΜΗ I".

2. Προστίθεται το κείμενο που αναφέρεται στο παράρτημα της παρούσας απόφασης.

Άρθρο 2

Η παρούσα απόφαση εφαρμόζεται από την 1η Απριλίου 2005.

Άρθρο 3

Η παρούσα απόφαση απευθύνεται στα κράτη μέλη.

Βρυξέλλες, 27 Δεκεμβρίου 2004.

Για την Επιτροπή

Charlie McCreevy

Μέλος της Επιτροπής

--------------------------------------------------

[1] ΕΕ L 281 της 23.11.1995, σ. 31· οδηγία όπως τροποποιήθηκε από τον κανονισμό (ΕΚ) αριθ. 1883/2003 (ΕΕ L 284 της 31.10.2003, σ. 1).

[2] ΕΕ L 181 της 4.7.2001, σ. 19.

[3] International Chamber of Commerce (ICC), Japan Business Council in Europe (JBCE), European Information and Communications Technology Association (EICTA), EU Committee of the American Chamber of Commerce In Belgium (Amcham), Confederation of British Industry (CBI), International Communication Round Table (ICRT) και Federation of European Direct Marketing Associations (FEDMA).

[4] EE L 201 της 31.7.2002, σ. 37.

[5] Γνωμοδότηση αριθ. 8/2003, διαθέσιμη στη διεύθυνση: http://europa.eu.int/comm/privacy

--------------------------------------------------

+++++ ANNEX 1 +++++