12.2.2010   

BG

Официален вестник на Европейския съюз

L 39/5

(1)

Съгласно Директива 95/46/ЕО държавите-членки са длъжни да следят предаването на лични данни към трета страна да се извършва само ако съответната трета страна осигурява достатъчна степен на защита на данните и ако законите на държавите-членки, които са съобразени с другите разпоредби на директивата, са спазени преди предаването.

(2)

Член 26, параграф 2 от Директива 95/46/ЕО обаче предвижда, че при предоставянето на известни гаранции държавите-членки могат да разрешат предаването или набора от предавания на лични данни към трети страни, които не осигуряват достатъчна степен на защита. Тези гаранции могат в частност да произтичат от съответни договорни клаузи.

(3)

Съгласно Директива 95/46/ЕО степента на защита на данните трябва да бъде преценена с оглед на всички обстоятелства, свързани с операцията по предаването на данни или набора от операции по предаване на данни. Работната група за защита на лицата при обработването на лични данни, създадена съгласно посочената директива, публикува насоки за улесняване на оценката.

(4)

Стандартните договорни клаузи трябва да се отнасят само до защитата на данни. Ето защо износителят на данни и вносителят на данни са свободни да въвеждат други клаузи от търговски характер, които смятат за необходими за договора, при условие че те не противоречат на стандартните договорни клаузи.

(5)

Настоящото решение не накърнява националните разрешения, които държавите-членки могат да предоставят в съответствие с националните разпоредби за прилагане на член 26, параграф 2 от Директива 95/46/ЕО. Настоящото решение следва да има за последица само това да изиска от държавите-членки да не отказват да признаят, че стандартните договорни клаузи, фигуриращи в него, предлагат достатъчни гаранции, и поради това то не следва да има действие върху други договорни клаузи.

(6)

Решение 2002/16/ЕО на Комисията от 27 декември 2001 г. относно общите договорни клаузи за трансфера на лични данни към лицата, които ги обработват, установени в трети страни, съгласно Директива 95/46/ЕО (2), бе прието, за да се улесни предаването на лични данни от администратор на лични данни, установен в Европейския съюз, към лице, което ги обработва, установено в трета страна, която не осигурява достатъчна степен на защита.

(7)

От приемането на Решение 2002/16/ЕО досега е придобит значителен опит. Освен това в доклада за прилагане на решенията относно стандартните договорни клаузи при предаването на лични данни на трети страни (3) бе показано, че съществува нарастващ интерес към насърчаване на използването на стандартните договорни клаузи за международно предаване на лични данни на трети страни, които не осигуряват достатъчна степен на защита. В допълнение заинтересованите страни направиха предложения за актуализиране на стандартните договорни клаузи, посочени в Решение 2002/16/ЕО с цел да се вземе предвид бързо разширяващият се обхват на дейностите по обработване на лични данни в световен мащаб и да се разгледат определени въпроси, които не са били обхванати от посоченото решение (4).

(8)

Обхватът на настоящото решение следва да се ограничи до това да установи, че клаузите, които са изброени в него, могат да бъдат използвани от администратор на лични данни, установен в Европейския съюз, за да предостави достатъчни гаранции по смисъла на член 26, параграф 2 от Директива 95/46/ЕО при предаването на лични данни на лице, което ги обработва, установено в трета страна.

(9)

Настоящото решение не следва да се прилага за предаването на лични данни от администратори, установени в Европейския съюз, към администратори, установени извън Европейския съюз, което попада в обхвата на Решение 2001/497/ЕО на Комисията от 15 юни 2001 г. относно общите договорни клаузи за трансфера на лични данни към трети страни съгласно Директива 95/46/ЕО (5).

(10)

Настоящото решение следва да изпълни задължението, предвидено в член 17, параграф 3 от Директива 95/46/ЕО, и не следва да накърнява съдържанието на договори или правни актове, изготвени съгласно тази разпоредба. Във всеки случай някои стандартни договорни клаузи, отнасящи се по-специално до задълженията на износителя на данни, трябва да бъдат включени с цел да се увеличи яснотата относно разпоредбите, които могат да съществуват в договор между администратор и лице, обработващо данните.

(11)

Надзорните органи на държавите-членки играят ключова роля в този договорен механизъм, като осигуряват достатъчна степен на защита на личните данни след предаването им. В изключителни случаи, когато износителите на данни откажат или не са в състояние да инструктират по подходящ начин вносителя на данни и съществува непосредствен риск от тежка вреда за заинтересованите физически лица, стандартните договорни клаузи трябва да позволяват на надзорните органи да подложат вносителите на данни и подизпълнителите на проверка и ако е необходимо, да вземат решения, които са задължителни за вносителите на данни и подизпълнителите. Надзорните органи следва да имат правомощието да забраняват или да спират предаването на данни или набора от предавания на данни въз основа на стандартните договорни клаузи в такива изключителни случаи, в които е установено, че предаването въз основа на договор може да има съществени неблагоприятни последици върху гаранциите и задълженията, предоставящи достатъчна степен на защита на заинтересованото физическо лице.

(12)

Стандартните договорни клаузи следва да предвиждат технически и организационни мерки за сигурност, които да бъдат прилагани от лицата, обработващи данните, установени в трета страна, която не осигурява достатъчна степен на защита, с цел да се гарантира равнище на сигурност, адаптирано към рисковете, свързани с обработването и характера на данните, подлежащи на защита. Страните трябва да предвидят в договора технически и организационни мерки, които с оглед на приложимото право за защита на данните, на равнището на технологично развитие и на разходите за тяхното изпълнение са необходими за защита на личните данни срещу неволно или незаконно унищожаване или неволно загубване, промяна, неразрешено разкриване или достъп, или всяка друга незаконна форма на обработване.

(13)

За да се улесни потокът от данни, идващи от Европейския съюз, е желателно лицата, обработващи данните, които предоставят такива услуги на няколко администратори от Европейския съюз, да могат да прилагат същите технически и организационни мерки за сигурност, независимо от това от коя държава-членка произхожда предаването на данни, и по-специално в случаите, когато вносителят на данни получава за последващо обработване данни, произхождащи от различни клонове на износителя на данни в Европейския съюз, в които случаи следва да се прилага правото на посочената държава-членка на клона.

(14)

Целесъобразно е да се установи минимална информация, която страните трябва да предвидят в договора относно предаването. Държавите-членки трябва да си запазят възможността да уточняват информацията, която страните трябва да предоставят. Действието на настоящото решение следва да се преразгледа с оглед на натрупания опит.

(15)

Вносителят на данни трябва да обработва предаваните лични данни единствено от името на износителя на данни и според неговите инструкции и задълженията, съдържащи се в клаузите. В частност, вносителят на данни не следва да разкрива личните данни пред трета страна без предварителното писмено съгласие на износителя на данни. Износителят на данни трябва да изисква от вносителя на данни по време на периода на услугите по обработване на данните да обработва данните съгласно неговите инструкции, приложимото право за защита на данните и задълженията, съдържащи се в клаузите.

(16)

В доклада за прилагане на решенията относно стандартните договорни клаузи при предаването на лични данни на трети страни бе препоръчано установяването на подходящи стандартни договорни клаузи относно последващото предаване на лични данни от лице, обработващо данните, установено в трета страна, към друго лице, обработващо данните (предаване за подизпълнение), за да се отчетат бизнес тенденциите и практиките, които са в посока към нарастваща глобализация на дейностите по обработване на лични данни.

(17)

Настоящото решение следва да съдържа специфични стандартни договорни клаузи относно предаването за подизпълнение от лице, обработващо данните, установено в трета страна (вносителя на данни), на неговите услуги по обработване на данните към други лица, обработващи данните (подизпълнители), установени в трети страни. Освен това настоящото решение трябва да предвиди условията, на които трябва да отговаря предаването за подизпълнение, за да се гарантира, че предаваните лични данни продължават да бъдат защитени независимо от последващото им предаване на подизпълнител.

(18)

В допълнение предаването за подизпълнение трябва да се отнася единствено до операциите, посочени в договора, сключен между износителя и вносителя на данни и включващ стандартните договорни клаузи, предвидени в настоящото решение, и не трябва да се отнася до други операции по обработване или да служи на други цели, така че принципът на ограничаване на предаването до специфична крайна цел, посочен в Директива 95/46/ЕО, да бъде спазен. Освен това, когато подизпълнителят не изпълни собствените си задължения по обработването на данните съгласно договора, вносителят на данни следва да продължава да носи отговорност спрямо износителя на данни. Предаването на лични данни към лица, които ги обработват, установени извън Европейския съюз, не трябва да накърнява факта, че дейностите по обработване трябва да бъдат съобразени с приложимото право за защита на данните.

(19)

Стандартните договорни клаузи трябва да подлежат на привеждане в изпълнение не само от организациите, страни по договора, но също и от заинтересованите физически лица, и по-специално когато на последните се нанася вреда поради нарушаване на договора.

(20)

Заинтересованото физическо лице следва да има право да предприеме действия и ако е необходимо, да получи обезщетение от износителя на данни, който е администратор на предаваните лични данни. В изключителни случаи заинтересованото физическо лице следва също така да има право да предприеме действия и ако е необходимо, да получи обезщетение от вносителя на данни в случай на неизпълнение от страна на вносителя на данни или на всеки негов подизпълнител на някое от задълженията, посочени в клауза 3, параграф 2, когато износителят на данни е изчезнал фактически или е престанал да съществува юридически, или е изпаднал в несъстоятелност. В изключителни случаи заинтересованото физическо лице следва също така да има право да предприеме действия и ако е необходимо, да получи обезщетение от подизпълнител в случаите, когато износителят на данни и вносителят на данни са изчезнали фактически или са престанали да съществуват юридически, или са изпаднали в несъстоятелност. Такава гражданска отговорност на подизпълнителя трябва да бъде ограничена до собствените му операции по обработване съгласно договорните клаузи.

(21)

Ако спор между физическо лице, което се позовава на клаузата в полза на трето лице, и вносителя на данни не бъде решен по взаимно съгласие, вносителят на данни трябва да предложи на заинтересованото физическо лице избор между медиация и съдебен процес. Степента, в която заинтересованото физическо лице ще има реална възможност за избор, ще зависи от наличието на надеждни и признати системи за медиация. Медиацията от страна на надзорните органи по защита на данните на държавата-членка, в която е установен износителят на данни, трябва да представлява опция, когато тези органи предоставят такава услуга.

(22)

Договорът трябва да бъде съобразен с правото на държавата-членка, в която е установен износителят на данни и която позволява на трето лице бенефициер да поиска изпълнението на даден договор. Заинтересованите физически лица трябва да могат да бъдат представлявани от асоциации или други организации, ако желаят това и ако националното право го позволява. Същото право следва да урежда и разпоредбите относно защитата на данни във всеки договор с подизпълнител за предаване за подизпълнение на дейностите по обработване на личните данни, предавани от износителя на данни към вносителя на данни съгласно договорните клаузи.

(23)

Тъй като настоящото решение се прилага само за предаване от страна на лице, обработващо данните, установено в трета страна, на неговите услуги за обработване на данни, на подизпълнител, установен в трета страна, то не трябва да се прилага в случаите, в които лице, обработващо данните, установено в Европейския съюз и извършващо обработването на лични данни от името на администратор, установен в Европейския съюз, предава за подизпълнение своите операции по обработване на подизпълнител, установен в трета страна В такива случаи държавите-членки решават дали да вземат предвид факта, че принципите и гаранциите на стандартните договорни клаузи, предвидени в настоящото решение, са били използвани за предаването на подизпълнител, установен в трета страна, за да се осигури достатъчна степен на защита на правата на физическите лица, чиито лични данни се предават в рамките на операциите по обработване при подизпълнение.

(24)

Работната група за защита на лицата при обработването на лични данни, създадена съгласно член 29 от Директива 95/46/ЕО, представи становище относно степента на защита, предвидена от стандартните договорни клаузи, приложени към настоящото решение. Това становище бе взето предвид при подготовката на настоящото решение.

(25)

Решение 2002/16/ЕО следва да бъде отменено.

(26)

Мерките, предвидени в настоящото решение, са в съответствие със становището на комитета, създаден съгласно член 31 от Директива 95/46/ЕО,

а)

„специални категории от данни“ означава данните, посочени в член 8 от Директива 95/46/ЕО;

б)

„надзорен орган“ означава органът, посочен в член 28 от Директива 95/46/ЕО;

в)

„износител на данни“ означава администраторът, който предава личните данни;

г)

„вносител на данни“ означава лицето, обработващо данните, установено в трета страна, което приема да получава от износителя на данни лични данни, предназначени за обработване от името на износителя на данни след предаване съгласно неговите инструкции и при условията на настоящото решение, и което не е част от системата на трета страна, осигуряваща достатъчна степен на защита по смисъла на член 25, параграф 1 от Директива 95/46/ЕО;

д)

„подизпълнител“ означава всяко лице, обработващо данни, наето от вносителя на данни или от всеки друг подизпълнител на вносителя на данни, което приема да получава от вносителя на данни или от всеки друг подизпълнител на вносителя на данни лични данни, предназначени за извършване на дейности по обработване изключително от името на износителя на данни след предаване съгласно неговите инструкции, при стандартните договорни клаузи, посочени в приложението, и условията на писмения договор за предаване за подизпълнение;

е)

„приложимо право за защита на данните“ означава законодателството, защитаващо основните права и свободи на лицата, и по-специално правото на личен живот при обработването на лични данни, приложимо към администратор на данни в държавата-членка, в която е установен износителят на данни;

ж)

„технически и организационни мерки за сигурност“ означава мерките, предназначени да защитават личните данни срещу неволно или незаконно унищожаване или неволно загубване, промяна, неразрешено разкриване или достъп, особено когато обработването предполага предаването на данни по мрежа, и срещу всяка друга незаконна форма на обработване.

а)

е установено, че правото, което се прилага спрямо вносителя на данни или подизпълнител, му налага задължения за дерогиране от приложимото право за защита на данните, които се простират извън ограниченията, необходими в едно демократично общество, предвидени в член 13 от Директива 95/46/ЕО, когато тези задължения могат да има съществени неблагоприятни последици за гаранциите, предоставени от приложимото право за защита на данните и стандартните договорни клаузи;

б)

компетентен орган е установил, че вносителят на данни или подизпълнител не е спазил стандартните договорни клаузи от приложението; или

в)

е много вероятно стандартните договорни клаузи от приложението да не са или да не бъдат спазени и продължаването на предаването да създаде непосредствен риск от тежка вреда за заинтересованите физически лица.