Decyzja Komisji

z dnia 27 grudnia 2004 r.

zmieniająca decyzję 2001/497/WE w zakresie wprowadzenia alternatywnego zestawu standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich

(notyfikowana jako dokument nr K(2004) 5271)

(Tekst mający znaczenie dla EOG)

(2004/915/WE)

KOMISJA WSPÓLNOT EUROPEJSKICH,

uwzględniając Traktat ustanawiający Wspólnotę Europejską,

uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych [1], w szczególności jej art. 26 ust. 4,

a także mając na uwadze, co następuje:

(1) W celu ułatwienia przepływu danych ze Wspólnoty jest pożądane, aby administratorzy danych mieli możliwość globalnego przekazywania danych w ramach jednego pakietu zasad ochrony danych. Wobec braku globalnych norm ochrony danych ważnym narzędziem umożliwiającym przekazywanie danych osobowych ze wszystkich Państw Członkowskich w ramach wspólnego pakietu zasad są standardowe klauzule umowne. W związku z powyższym decyzja Komisji 2001/497/WE z dnia 15 czerwca 2001 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na mocy dyrektywy 95/46/WE [2] ustanawia modelowy pakiet standardowych klauzul umownych, gwarantujący właściwy poziom ochrony transferu danych do państw trzecich.

(2) Od czasu przyjęcia tej decyzji zgromadzono wiele nowych doświadczeń. Ponadto koalicja zrzeszeń przedsiębiorców [3] zgłosiła pakiet alternatywnych standardowych klauzul umownych mający zapewnić taki poziom ochrony danych jak ustanowiony pakietem standardowych klauzul umownych na mocy decyzji 2001/497/WE, aczkolwiek przy użyciu odmiennych mechanizmów.

(3) Ponieważ stosowanie standardowych klauzul umownych do międzynarodowego przekazywania danych jest dobrowolne, gdyż klauzule te stanowią jedną z kilku możliwości zgodnego z prawem przekazywania danych osobowych do państwa trzeciego na mocy dyrektywy 95/46/WE, zatem przekazujący dane ze Wspólnoty oraz odbierający dane w państwach trzecich mogą wybrać dowolny pakiet standardowych klauzul umownych tudzież skorzystać z innej podstawy prawnej transferu danych. Jednakże ponieważ każdy pakiet jako całość stanowi model, przekazującym dane nie powinno zezwalać się na zmianę tych pakietów tudzież w jakikolwiek sposób ich łączyć, całkowicie lub częściowo.

(4) Standardowe klauzule umowne przedłożone przez organizacje przedsiębiorców mają na celu zwiększenie wykorzystywania klauzul umownych przez operatorów poprzez takie mechanizmy, jak bardziej elastyczne wymagania kontrolne czy bardziej szczegółowe zasady dotyczące prawa dostępu.

(5) Ponadto obecnie przedłożony pakiet zawiera alternatywę dla systemu odpowiedzialności solidarnej przewidzianego w decyzji 2001/497/WE, tj. system odpowiedzialności oparty na zobowiązaniu należytej staranności, gdzie przekazujący i odbierający dane za naruszenia zobowiązań umownych, których się dopuszczą, będą odpowiedzialni, każdy z osobna, wobec osób, których te dane dotyczą; przekazujący dane ponosi ponadto odpowiedzialność za niepodjęcie odpowiednich działań w celu ustalenia, czy importer danych może spełnić swoje zobowiązania prawne wynikające z tych klauzul (culpa in eligendo – wina w wyborze), a osoba, której dane dotyczą może podjąć kroki przeciwko przekazującemu dane w związku z wyżej opisanym niepodjęciem działań. W tym względzie wykonanie klauzuli I pkt b) nowego pakietu standardowych klauzul umownych ma szczególne znaczenie, w szczególności w związku z możliwością przeprowadzania przez przekazujących dane kontroli w siedzibie odbierającego dane tudzież żądania przez nich przedstawienia dowodu na posiadanie przez odbierającego dane środków finansowych wystarczających do realizacji jego zobowiązań.

(6) Jeśli chodzi o realizację klauzuli beneficjenta – osoby trzeciej, przez osoby, których dotyczą dane, klauzule przewidują większe zaangażowanie przekazującego dane w rozstrzyganie zażaleń tych osób; w szczególności przekazujący dane jest zobowiązany do skontaktowania się z odbierającym dane i, jeśli jest to konieczne, realizacji umowy w zwykłym terminie jednego miesiąca; jeśli przekazujący dane odmówi realizacji umowy, a naruszenie jej postanowień przez odbierającego dane będzie trwać, wówczas osoba, której dane dotyczą, może rozpocząć realizację klauzul odpowiedzialności importera, a ostatecznie pozwać go do sądu w Państwie Członkowskim. Niniejsza zgoda na poddanie się jurysdykcji oraz na podporządkowanie się decyzji właściwego sądu lub organu nadzorczego nie wyklucza innych praw proceduralnych odbierających dane, jakie mogą posiadać w państwach trzecich, w tym prawa do odwołania.

(7) Jednakże aby zapobiec nadużyciom mogącym wyniknąć ze zwiększenia elastyczności postanowień, organy nadzorcze powinny mieć większą możliwość zakazania lub zawieszenia transferu danych na podstawie nowego pakietu standardowych klauzul umownych, w przypadkach gdy przekazujący dane odmówi podjęcia stosownych kroków w celu realizacji zobowiązań umownych dotyczących odpowiedzialności odbierającego dane lub odbierający dane odmówi współpracy w dobrej wierze z właściwymi organami nadzorczymi w zakresie ochrony danych.

(8) Standardowe klauzule umowne będą wykonywane bez uszczerbku dla zastosowania postanowień przepisów krajowych przyjętych na mocy dyrektywy 95/46/WE lub dyrektywy 2002/58/WE [4] dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej), w szczególności jeśli chodzi o łączność handlową dla celów marketingu bezpośredniego.

(9) Na tej podstawie można uznać, że środki ochrony uwzględnione w przedłożonym pakiecie standardowych klauzul umownych są adekwatne w znaczeniu art. 26 ust. 2 dyrektywy 95/46/WE.

(10) Grupa Robocza ds. Ochrony Osób Fizycznych w zakresie przetwarzania danych osobowych powołana na mocy art. 29 dyrektywy 95/46/WE wydała opinię [5] o poziomie bezpieczeństwa zapewnianego przez standardowe klauzule umowne, która została uwzględniona.

(11) Aby zapewnić realizację poprawek do decyzji 2001/497/WE, powinny one zostać poddane ocenie Komisji trzy lata po notyfikacji Państwom Członkowskim.

(12) W związku z powyższym należy wprowadzić zmiany w decyzji 2001/497/WE.

(13) Środki przewidziane niniejszą decyzją są zgodne z opinią komitetu ustanowionego na mocy art. 31 dyrektywy 95/46/WE,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł 1

W decyzji 2001/497/WE wprowadza się następujące zmiany:

1) w art. 1 dodaje się następujący ustęp:

"Administratorzy danych mogą wybrać pakiet I lub II z zamieszczonych w Załączniku. Nie mogą jednak zmieniać klauzul ani łączyć poszczególnych klauzul lub pakietów.";

2) w art. 4 ust. 2 i 3 otrzymują następujące brzmienie:

"2. Do celów ust. 1, na mocy którego administrator danych powołuje się na odpowiednie środki ochrony wynikające ze standardowych klauzul umownych zamieszczonych w pakiecie II Załącznika, właściwe organy nadzorcze są uprawnione do zastosowania przysługującego im prawa do zakazania lub wstrzymania przekazywania danych w następujących przypadkach:

a) odmowy współpracy w dobrej wierze z organami nadzorczymi ds. ochrony danych lub wypełniania zobowiązań jasno określonych w umowie przez odbierającego dane;

b) odmowy przekazującego dane podjęcia stosownych kroków w celu wyegzekwowania realizacji umowy przez odbierającego dane w zwyczajowym okresie jednego miesiąca od powiadomienia przekazującego dane o tym fakcie przez właściwe organy nadzorcze.

Do celów pierwszego akapitu odmowa w złej wierze lub odmowa realizacji umowy przez odbierającego dane nie dotyczy przypadków, w których współpraca lub wykonanie byłoby sprzeczne z wymaganiami ustawodawstwa krajowego, które obowiązują odbierającego dane, a nie wykraczają poza ograniczenia konieczne w demokratycznym społeczeństwie w rozumieniu art. 13 dyrektywy 95/46/WE, w szczególności sankcje ustanowione instrumentami międzynarodowymi i/lub krajowymi, zobowiązania związane ze sprawozdawczością podatkową lub dotyczącą prania pieniędzy.

Dla celów pkt. a) pierwszego akapitu współpraca może obejmować w szczególności przedłożenie celem kontroli urządzeń przetwarzania danych odbierającego dane lub obowiązek poddania się zaleceniom organu nadzorczego ds. ochrony danych we Wspólnocie.

3. Zakaz lub zawieszenie na mocy ust. 1 i 2 znosi się natychmiast po ustaniu powodów wprowadzenia takiego zakazu lub zawieszenia.

4. Gdy Państwa Członkowskie podejmą środki na mocy ust. 1, 2 i 3, powiadomią o tym niezwłocznie Komisję, która prześle informacje na ten temat pozostałym Państwom Członkowskim.";

3) w art. 5 pierwsze zdanie otrzymuje następujące brzmienie:

"Komisja oceni funkcjonowanie niniejszej decyzji na podstawie dostępnych informacji trzy lata po notyfikacji tej decyzji i wszelkich zmian Państwom Członkowskim.";

4) w Załączniku wprowadza się następujące zmiany:

1. po tytule dodaje się określenie "PAKIET I";

2. dodaje się treść Załącznika do niniejszej decyzji.

Artykuł 2

Niniejszą decyzję stosuje się od dnia 1 kwietnia 2005 r.

Artykuł 3

Niniejsza decyzja skierowana jest do Państw Członkowskich.

Sporządzono w Brukseli, dnia 27 grudnia 2004 r.

W imieniu Komisji

Charlie McCreevy

Członek Komisji

--------------------------------------------------

[1] Dz.U. L 281 z 23.11.95, str. 31. Dyrektywa zmieniona rozporządzeniem (WE) nr 1883/2003 (Dz.U. L 284 z 31.10.2003, str. 1).

[2] Dz.U. L 181 z 4.7.2001, str. 19.

[3] Międzynarodowa Izba Handlowa (ICC), Japońska Rada Biznesu w Europie (JBCE), Europejskie Stowarzyszenie Producentów Technologii Informacyjnych i Komunikacyjnych (EICTA), Komitet UE Amerykańskiej Izby Handlowej w Belgii (Amcham), Konfederacja Przemysłu Brytyjskiego (CBI), Międzynarodowy Okrągły Stół Firm Branży Komunikacyjnej (ICRT) oraz Europejska Federacja Stowarzyszeń Marketingu Bezpośredniego (FEDMA).

[4] Dz.U. L 201 z 31.7.2002, str. 37.

[5] Opinia nr 8/2003, dostępna na stronie internetowej: http://europa.eu.int/comm/privacy

--------------------------------------------------

+++++ ANNEX 1 +++++