Help Print this page 

Document 32010D0087

Title and reference
2010/87/: Απόφαση της Επιτροπής, της 5ης Φεβρουαρίου 2010 , σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου [κοινοποιηθείσα υπό τον αριθμό Ε(2010) 593] (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)
  • In force
OJ L 39, 12.2.2010, p. 5–18 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
Special edition in Croatian: Chapter 13 Volume 052 P. 250 - 263

ELI: http://data.europa.eu/eli/dec/2010/87/oj
Multilingual display
Text

12.2.2010   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

L 39/5


ΑΠΌΦΑΣΗ ΤΗΣ ΕΠΙΤΡΟΠΉΣ

της 5ης Φεβρουαρίου 2010

σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου

[κοινοποιηθείσα υπό τον αριθμό Ε(2010) 593]

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

(2010/87/ΕΕ)

Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,

Έχοντας υπόψη:

τη συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,

την οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (1), και ιδίως το άρθρο 26 παράγραφος 4 της οδηγίας αυτής,

Ύστερα από διαβούλευση με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων,

Εκτιμώντας τα ακόλουθα:

(1)

Σύμφωνα με την οδηγία 95/46/ΕΚ, τα κράτη μέλη πρέπει να μεριμνούν ώστε η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα να πραγματοποιείται μόνον αν η χώρα αυτή εξασφαλίζει ικανοποιητικό επίπεδο προστασίας των δεδομένων και αν οι νόμοι των κρατών μελών που συνάδουν με τις λοιπές διατάξεις της οδηγίας έχουν τηρηθεί πριν από τη διαβίβαση.

(2)

Ωστόσο, το άρθρο 26 παράγραφος 2 της οδηγίας 95/46/ΕΚ ορίζει ότι ένα κράτος μέλος μπορεί να επιτρέπει μία ή πλείονες διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα η οποία δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας, εφόσον παρέχονται ορισμένες εγγυήσεις. Οι εν λόγω εγγυήσεις μπορούν ειδικότερα να απορρέουν από κατάλληλες συμβατικές ρήτρες.

(3)

Σύμφωνα με την οδηγία 95/46/ΕΚ, το επίπεδο προστασίας των δεδομένων σταθμίζεται λαμβανομένων υπόψη όλων των περιστάσεων που επηρεάζουν μια διαβίβαση ή κατηγορία διαβιβάσεων δεδομένων. Η ομάδα εργασίας για την προστασία των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, που συστάθηκε βάσει της εν λόγω οδηγίας, έχει εκδώσει κατευθυντήριες γραμμές προκειμένου να διευκολύνει την αξιολόγηση αυτή.

(4)

Οι τυποποιημένες συμβατικές ρήτρες θα πρέπει να αφορούν μόνο την προστασία των δεδομένων. Συνεπώς, ο εξαγωγέας και ο εισαγωγέας δεδομένων είναι ελεύθεροι να συμπεριλάβουν και άλλες ρήτρες εμπορικού χαρακτήρα τις οποίες θεωρούν κατάλληλες για τη σύμβαση, εφόσον δεν αντιφάσκουν με τις τυποποιημένες συμβατικές ρήτρες.

(5)

Η παρούσα απόφαση δεν πρέπει να θίγει τις εθνικές άδειες που δύνανται να χορηγούν τα κράτη μέλη σύμφωνα με εθνικές διατάξεις εφαρμογής του άρθρου 26 παράγραφος 2 της οδηγίας 95/46/ΕΚ. Η μόνη συνέπεια της παρούσας απόφασης θα πρέπει να είναι η απαίτηση από τα κράτη μέλη να μην αρνούνται να αναγνωρίσουν ότι οι τυποποιημένες συμβατικές ρήτρες που περιλαμβάνει παρέχουν επαρκείς εγγυήσεις και, επομένως, δεν θα πρέπει να έχει καμία συνέπεια σε άλλες συμβατικές ρήτρες.

(6)

Η απόφαση 2002/16/ΕΚ της Επιτροπής, της 27ης Δεκεμβρίου 2001, σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες βάσει της οδηγίας 95/46/ΕΚ (2), εκδόθηκε για να διευκολύνει τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από έναν υπεύθυνο επεξεργασίας που είναι εγκατεστημένος στην Ευρωπαϊκή Ένωση σε εκτελούντα επεξεργασία εγκατεστημένο σε τρίτη χώρα η οποία δεν παρέχει επαρκές επίπεδο ασφάλειας.

(7)

Σημαντική εμπειρία αποκτήθηκε μετά την έκδοση της απόφασης 2002/16/ΕΚ. Εξάλλου, η έκθεση σχετικά με την εφαρμογή των αποφάσεων για τις τυποποιημένες συμβατικές ρήτρες όσον αφορά τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες (3) φανέρωσε ότι υπάρχει αυξανόμενο ενδιαφέρον για την προώθηση της χρήσης τυποποιημένων συμβατικών ρητρών για διεθνείς διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες που δεν παρέχουν επαρκές επίπεδο προστασίας. Εξάλλου, οι ενδιαφερόμενοι υπέβαλαν προτάσεις με στόχο την επικαιροποίηση των τυποποιημένων συμβατικών ρητρών που ορίζονται στην απόφαση 2002/16/ΕΚ ώστε, αφενός, να ληφθεί υπόψη η ραγδαία διεύρυνση του πεδίου εφαρμογής των δραστηριοτήτων επεξεργασίας δεδομένων σε παγκόσμια κλίμακα και, αφετέρου, να αντιμετωπιστούν ορισμένα ζητήματα που δεν καλύφθηκαν από εκείνη την απόφαση (4).

(8)

Το πεδίο εφαρμογής της παρούσας απόφασης θα πρέπει να περιορίζεται στη διαπίστωση ότι οι ρήτρες που θεσπίζει μπορούν να χρησιμοποιηθούν από έναν υπεύθυνο επεξεργασίας εγκατεστημένο στην Ευρωπαϊκή Ένωση προκειμένου να υπάρξουν επαρκείς εγγυήσεις, κατά την έννοια του άρθρου 26 παράγραφος 2 της οδηγίας 95/46/ΕΚ, για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντα επεξεργασία εγκατεστημένο σε τρίτη χώρα.

(9)

Η παρούσα απόφαση δεν πρέπει να εφαρμόζεται κατά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από υπεύθυνους επεξεργασίας εγκατεστημένους στην Ευρωπαϊκή Ένωση προς υπεύθυνους επεξεργασίας εγκατεστημένους εκτός Ευρωπαϊκής Ένωσης οι οποίοι εμπίπτουν στο πεδίο εφαρμογής της απόφασης 2001/497/ΕΚ της Επιτροπής, της 15ης Ιουνίου 2001, σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες, βάσει της οδηγίας 95/46/ΕΚ (5).

(10)

Η παρούσα απόφαση πρέπει να υλοποιεί την υποχρέωση που προβλέπεται στο άρθρο 17 παράγραφος 3 της οδηγίας 95/46/ΕΚ και να μην προδικάζει το περιεχόμενο των συμβάσεων ή δικαιοπραξιών που έχουν συναφθεί βάσει αυτής της διάταξης. Ωστόσο, ορισμένες από τις τυποποιημένες συμβατικές ρήτρες, ιδίως οι σχετικές με τις υποχρεώσεις του εξαγωγέα δεδομένων, θα πρέπει να περιλαμβάνονται προκειμένου να υπάρχει μεγαλύτερη σαφήνεια όσον αφορά τις διατάξεις που μπορούν να περιέχονται σε σύμβαση μεταξύ ενός υπεύθυνου και ενός εκτελούντος επεξεργασία.

(11)

Οι αρχές ελέγχου των κρατών μελών διαδραματίζουν καθοριστικό ρόλο σε αυτόν τον συμβατικό μηχανισμό διασφαλίζοντας την ικανοποιητική προστασία των δεδομένων προσωπικού χαρακτήρα μετά τη διαβίβαση. Στις εξαιρετικές περιπτώσεις που οι εξαγωγείς των δεδομένων αρνούνται ή δεν είναι σε θέση να καθοδηγήσουν δεόντως τον εισαγωγέα δεδομένων, με άμεσο κίνδυνο πρόκλησης σοβαρής ζημίας στα πρόσωπα στα οποία αναφέρονται τα δεδομένα, οι τυποποιημένες συμβατικές ρήτρες θα πρέπει να επιτρέπουν στις αρχές ελέγχου να ασκούν ελέγχους στους εισαγωγείς των δεδομένων και στους υπεργολάβους επεξεργασίας και, κατά περίπτωση, να λαμβάνουν αποφάσεις δεσμευτικές για τα πρόσωπα αυτά. Οι αρχές ελέγχου πρέπει να έχουν το δικαίωμα να απαγορεύουν ή να αναστέλλουν μια διαβίβαση ή κατηγορία διαβιβάσεων δεδομένων που βασίζεται στις τυποποιημένες συμβατικές ρήτρες στις εξαιρετικές εκείνες περιπτώσεις κατά τις οποίες διαπιστώνεται ότι μια διαβίβαση πραγματοποιούμενη σε συμβατική βάση ενδέχεται να έχει σημαντικό αρνητικό αντίκτυπο στις εγγυήσεις και τις υποχρεώσεις που παρέχουν ικανοποιητική προστασία στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

(12)

Οι τυποποιημένες συμβατικές ρήτρες θα πρέπει να προβλέπουν τα τεχνικά και οργανωτικά μέτρα ασφαλείας που πρέπει να εφαρμόζουν οι εκτελούντες επεξεργασία δεδομένων που είναι εγκατεστημένοι σε τρίτη χώρα η οποία δεν παρέχει ικανοποιητικό επίπεδο προστασίας, ούτως ώστε να διασφαλίζουν το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων που συνεπάγεται η επεξεργασία και η φύση των προς προστασία δεδομένων. Τα συμβαλλόμενα μέρη πρέπει να προβλέπουν στη σύμβαση τα τεχνικά και οργανωτικά μέτρα τα οποία, λαμβανομένου υπόψη του εφαρμοστέου δικαίου περί προστασίας των δεδομένων, του τεχνολογικού επιπέδου και του κόστους εφαρμογής τους, είναι αναγκαία για την προστασία των δεδομένων προσωπικού χαρακτήρα από την τυχαία ή παράνομη καταστροφή, την τυχαία απώλεια, την αλλοίωση, τη μη εξουσιοδοτημένη γνωστοποίηση ή πρόσβαση ή από οποιαδήποτε άλλη παράνομη μορφή επεξεργασίας.

(13)

Για να διευκολυνθούν οι ροές δεδομένων από την Ευρωπαϊκή Ένωση, είναι ευκταίο οι εκτελούντες επεξεργασία οι οποίοι παρέχουν υπηρεσίες επεξεργασίας δεδομένων σε πολλούς υπεύθυνους επεξεργασίας δεδομένων στην Ευρωπαϊκή Ένωση να έχουν το δικαίωμα να εφαρμόζουν τα ίδια τεχνικά και οργανωτικά μέτρα ασφαλείας ανεξαρτήτως του κράτους μέλους από το οποίο γίνεται η διαβίβαση των δεδομένων, ιδίως στις περιπτώσεις όπου ο εισαγωγέας δεδομένων λαμβάνει δεδομένα για περαιτέρω επεξεργασία από διαφορετικές εγκαταστάσεις του εξαγωγέα δεδομένων στην Ευρωπαϊκή Ένωση, οπότε πρέπει να εφαρμόζεται το δίκαιο του αναφερόμενου στις συμβατικές ρήτρες κράτους μέλους εγκατάστασης.

(14)

Κρίνεται σκόπιμο να καθοριστούν τα ελάχιστα πληροφοριακά στοιχεία τα οποία οφείλουν να προσδιορίζουν τα συμβαλλόμενα μέρη στη σύμβαση που διέπει τη διαβίβαση. Τα κράτη μέλη πρέπει να διατηρούν το δικαίωμα να εξειδικεύουν τις πληροφορίες τις οποίες οφείλουν να παρέχουν τα συμβαλλόμενα μέρη. Η εφαρμογή της παρούσας απόφασης πρέπει να επανεξεταστεί με βάση την πείρα που θα αποκτηθεί.

(15)

Ο εισαγωγέας δεδομένων πρέπει να επεξεργάζεται τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα μόνο για λογαριασμό του εξαγωγέα δεδομένων και σύμφωνα με τις οδηγίες του και τις υποχρεώσεις που περιέχονται στις ρήτρες. Ειδικότερα, ο εισαγωγέας δεδομένων δεν θα πρέπει να αποκαλύπτει τα δεδομένα προσωπικού χαρακτήρα σε τρίτους, χωρίς την προηγούμενη γραπτή συγκατάθεση του εξαγωγέα δεδομένων. Ο τελευταίος, καθ’ όλη τη διάρκεια της παροχής υπηρεσιών επεξεργασίας δεδομένων, πρέπει να υποδεικνύει στον εισαγωγέα δεδομένων να επεξεργάζεται τα δεδομένα σύμφωνα με τις οδηγίες του, το εφαρμοστέο δίκαιο περί προστασίας των δεδομένων και τις υποχρεώσεις που περιέχονται στις ρήτρες.

(16)

Στην έκθεση σχετικά με την εφαρμογή αποφάσεων όσον αφορά τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες συνιστάται η θέσπιση κατάλληλων τυποποιημένων συμβατικών ρητρών για τις επακόλουθες διαβιβάσεις από έναν εκτελούντα επεξεργασία δεδομένων εγκατεστημένο σε τρίτη χώρα σε άλλον εκτελούντα επεξεργασία (υπεργολαβία επεξεργασίας), ώστε να λαμβάνεται υπόψη η εξέλιξη των επιχειρηματικών πρακτικών που τείνουν προς μια περισσότερο παγκοσμιοποιημένη δραστηριότητα επεξεργασίας.

(17)

Η παρούσα απόφαση πρέπει να περιέχει ειδικές τυποποιημένες συμβατικές ρήτρες σχετικά με την υπεργολαβία επεξεργασίας, από έναν εκτελούντα επεξεργασία εγκατεστημένο σε τρίτη χώρα (ο εισαγωγέας δεδομένων), των υπηρεσιών επεξεργασίας που παρέχει σε άλλους εκτελούντες επεξεργασία (υπεργολάβους επεξεργασίας) εγκατεστημένους σε τρίτες χώρες. Επιπλέον, η παρούσα απόφαση πρέπει να καθορίζει τους όρους που θα πρέπει να πληροί η υπεργολαβία επεξεργασίας ώστε να διασφαλίζεται ότι τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα εξακολουθούν να προστατεύονται παρά τη διαβίβασή τους σε υπεργολάβο επεξεργασίας.

(18)

Εξάλλου, η υπεργολαβία πρέπει να συνίσταται μόνο στις πράξεις που συμφωνήθηκαν στη σύμβαση μεταξύ του εισαγωγέα και του εξαγωγέα δεδομένων και να ενσωματώνει τις τυποποιημένες συμβατικές ρήτρες που προβλέπονται στην παρούσα απόφαση και δεν πρέπει να παραπέμπει σε διαφορετικές πράξεις ή σκοπούς επεξεργασίας έτσι ώστε να τηρείται η αρχή οριοθετημένου σκοπού που ορίζεται στην οδηγία 95/46/ΕΚ. Ακόμη, σε περίπτωση που ο υπεργολάβος επεξεργασίας δεν εκπληρώσει τις υποχρεώσεις που του αναλογούν όσον αφορά την επεξεργασία των δεδομένων βάσει της σύμβασης, ο εισαγωγέας δεδομένων θα πρέπει να παραμένει υπόλογος έναντι του εξαγωγέα δεδομένων. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς εκτελούντες επεξεργασία εγκατεστημένους εκτός της Ευρωπαϊκής Ένωσης δεν θα πρέπει να επηρεάζει το γεγονός ότι οι δραστηριότητες επεξεργασίας θα πρέπει να διέπονται από το εφαρμοστέο δίκαιο προστασίας των δεδομένων.

(19)

Οι τυποποιημένες συμβατικές ρήτρες πρέπει να είναι εκτελεστές όχι μόνο από τους φορείς που είναι συμβαλλόμενα μέρη, αλλά και από τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, ιδίως όταν τα πρόσωπα αυτά υφίστανται ζημία λόγω αθέτησης συμβατικών υποχρεώσεων.

(20)

Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να δικαιούται να ασκήσει αγωγή και, ενδεχομένως, να λάβει αποζημίωση από τον εξαγωγέα δεδομένων που είναι ο υπεύθυνος επεξεργασίας των διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα. Κατ’ εξαίρεση, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει επίσης να δικαιούται να ασκήσει αγωγή και, ενδεχομένως, να λάβει αποζημίωση από τον εισαγωγέα δεδομένων εξαιτίας αθέτησης εκ μέρους του τελευταίου ή του υπεργολάβου επεξεργασίας κάποιας από τις υποχρεώσεις που προβλέπονται στην παράγραφο 2 της ρήτρας 3, σε περίπτωση που ο εξαγωγέας δεδομένων έπαυσε να υφίσταται από πραγματική ή νομική άποψη ή κατέστη αφερέγγυος. Κατ’ εξαίρεση, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα θα πρέπει επίσης να δικαιούται να ασκήσει αγωγή και, ενδεχομένως, να λάβει αποζημίωση από τον υπεργολάβο επεξεργασίας στις περιπτώσεις που τόσο ο εξαγωγέας όσο και ο εισαγωγέας δεδομένων έχουν παύσει να υφίστανται από πραγματική ή νομική άποψη ή κατέστησαν αφερέγγυοι. Η αστική ευθύνη του υπεργολάβου επεξεργασίας θα πρέπει να περιορίζεται στις δικές του δραστηριότητες επεξεργασίας βάσει των συμβατικών ρητρών.

(21)

Σε περίπτωση που μεταξύ του προσώπου στο οποίο αναφέρονται τα δεδομένα, που επικαλείται τη ρήτρα δικαιούχου τρίτου, και του εισαγωγέα δεδομένων, ανακύψει διαφορά που δεν επιλύεται με φιλικό διακανονισμό, ο εισαγωγέας δεδομένων θα πρέπει να προσφέρει στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα επιλογή μεταξύ διαμεσολάβησης και δικαστικής επίλυσης. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα θα έχει πραγματικά την επιλογή στο μέτρο που θα μπορεί να διαθέτει αξιόπιστα και αναγνωρισμένα συστήματα διαμεσολάβησης. Η διαμεσολάβηση από τις αρχές ελέγχου προστασίας δεδομένων του κράτους μέλους στο οποίο είναι εγκατεστημένος ο εξαγωγέας δεδομένων πρέπει να αποτελεί εναλλακτική δυνατότητα, όταν οι αρχές παρέχουν τέτοια υπηρεσία.

(22)

Η σύμβαση θα πρέπει να διέπεται από το δίκαιο του κράτους μέλους στο οποίο είναι εγκατεστημένος ο εξαγωγέας δεδομένων και το οποίο επιτρέπει σε δικαιούχο τρίτο να ζητήσει την εκτέλεση της σύμβασης. Τα πρόσωπα στα οποία αναφέρονται τα δεδομένα πρέπει να μπορούν να εκπροσωπούνται από ενώσεις ή άλλους φορείς εάν το επιθυμούν και εφόσον επιτρέπεται από το εθνικό δίκαιο. Το ίδιο δίκαιο θα πρέπει επίσης να διέπει τις διατάξεις σχετικά με την προστασία των δεδομένων που περιλαμβάνονται σε κάθε σύμβαση που συνάπτεται με υπεργολάβο επεξεργασίας και αφορά την υπεργολαβία των δραστηριοτήτων επεξεργασίας των προσωπικών δεδομένων που διαβιβάζονται από τον εξαγωγέα στον εισαγωγέα δεδομένων βάσει των συμβατικών ρητρών.

(23)

Δεδομένου ότι η παρούσα απόφαση εφαρμόζεται μόνο σε περίπτωση εκχώρησης από εκτελούντα επεξεργασία εγκατεστημένο σε τρίτη χώρα των δραστηριοτήτων επεξεργασίας σε υπεργολάβο εγκατεστημένο σε τρίτη χώρα, δεν θα πρέπει να εφαρμόζεται στην περίπτωση που εκτελών επεξεργασία εγκατεστημένος στην Ευρωπαϊκή Ένωση ο οποίος πραγματοποιεί την επεξεργασία δεδομένων προσωπικού χαρακτήρα για λογαριασμό υπεύθυνου επεξεργασίας εγκατεστημένου στην Ευρωπαϊκή Ένωση εκχωρεί τις δραστηριότητες επεξεργασίας σε υπεργολάβο επεξεργασίας εγκατεστημένο σε τρίτη χώρα. Στην περίπτωση αυτή, τα κράτη μέλη είναι ελεύθερα να λάβουν ή όχι υπόψη το γεγονός ότι οι αρχές και διασφαλίσεις των τυποποιημένων συμβατικών ρητρών που αναφέρονται στην παρούσα απόφαση εφαρμογής χρησιμοποιήθηκαν για την ανάθεση του έργου σε υπεργολάβο επεξεργασίας εγκατεστημένο σε τρίτη χώρα με σκοπό την παροχή επαρκούς προστασίας των δικαιωμάτων των προσώπων τα προσωπικά δεδομένα των οποίων διαβιβάζονται στο πλαίσιο δραστηριοτήτων υπεργολαβίας.

(24)

Η ομάδα εργασίας για την προστασία των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, που συστάθηκε βάσει του άρθρου 29 της οδηγίας 95/46/ΕΚ, εξέδωσε γνώμη σχετικά με το επίπεδο προστασίας που προβλέπεται στις τυποποιημένες συμβατικές ρήτρες που επισυνάπτονται στην παρούσα απόφαση. Η γνώμη αυτή ελήφθη υπόψη κατά την κατάρτιση της παρούσας απόφασης.

(25)

Η απόφαση 2002/16/ΕΚ πρέπει να καταργηθεί.

(26)

Τα μέτρα που προβλέπονται στην παρούσα απόφαση συνάδουν με τη γνώμη της επιτροπής που συστάθηκε βάσει του άρθρου 31 της οδηγίας 95/46/ΕΚ,

ΕΞΕΔΩΣΕ ΤΗΝ ΑΚΟΛΟΥΘΗ ΑΠΟΦΑΣΗ:

Άρθρο 1

Οι τυποποιημένες συμβατικές ρήτρες που περιλαμβάνονται στο παράρτημα θεωρείται ότι παρέχουν επαρκείς εγγυήσεις για την προστασία της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων, καθώς και για την άσκηση των σχετικών δικαιωμάτων, όπως επιβάλλει το άρθρο 26 παράγραφος 2 της οδηγίας 95/46/ΕΚ.

Άρθρο 2

Η παρούσα απόφαση αφορά μόνο το ικανοποιητικό επίπεδο της προστασίας που παρέχουν οι τυποποιημένες συμβατικές ρήτρες που παρατίθενται στο παράρτημα όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία. Δεν επηρεάζει την εφαρμογή άλλων εθνικών διατάξεων εφαρμογής της οδηγίας 95/46/ΕΚ που αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη.

Η παρούσα απόφαση εφαρμόζεται στη διαβίβαση δεδομένων προσωπικού χαρακτήρα από υπεύθυνους επεξεργασίας εγκατεστημένους στην Ευρωπαϊκή Ένωση προς αποδέκτες εγκατεστημένους εκτός Ευρωπαϊκής Ένωσης οι οποίοι ενεργούν αποκλειστικά ως εκτελούντες επεξεργασία.

Άρθρο 3

Για τους σκοπούς της παρούσας απόφασης, ισχύουν οι ακόλουθοι ορισμοί:

α)

ως «ειδικές κατηγορίες δεδομένων» νοούνται τα δεδομένα που αναφέρονται στο άρθρο 8 της οδηγίας 95/46/ΕΚ·

β)

ως «αρχή ελέγχου» νοείται η αρχή που αναφέρεται στο άρθρο 28 της οδηγίας 95/46/ΕΚ·

γ)

ως «εξαγωγέας δεδομένων» νοείται ο υπεύθυνος επεξεργασίας ο οποίος διαβιβάζει τα δεδομένα προσωπικού χαρακτήρα·

δ)

ως «εισαγωγέας δεδομένων» νοείται ο εκτελών επεξεργασία που είναι εγκατεστημένος σε τρίτη χώρα και ο οποίος συμφωνεί να παραλάβει από τον εξαγωγέα δεδομένων δεδομένα προσωπικού χαρακτήρα που προορίζονται, μετά τη διαβίβαση, για επεξεργασία για λογαριασμό του εξαγωγέα, σύμφωνα με τις οδηγίες του και σύμφωνα με τους όρους της παρούσας απόφασης, και ο οποίος δεν υπόκειται σε μηχανισμό τρίτης χώρας που διασφαλίζει ικανοποιητική προστασία, κατά την έννοια του άρθρου 25 παράγραφος 1 της οδηγίας 95/46/ΕΚ·

ε)

ως «υπεργολάβος επεξεργασίας» νοείται κάθε εκτελών επεξεργασία τον οποίο προσλαμβάνει ο εισαγωγέας δεδομένων ή οποιοσδήποτε άλλος υπεργολάβος επεξεργασίας του εισαγωγέα, ο οποίος συμφωνεί να λάβει από τον εισαγωγέα δεδομένων ή από οποιονδήποτε άλλο υπεργολάβο επεξεργασίας του εισαγωγέα δεδομένα προσωπικού χαρακτήρα που προορίζονται αποκλειστικά για τις δραστηριότητες επεξεργασίας που πρόκειται να εκτελεστούν για λογαριασμό του εξαγωγέα δεδομένων μετά τη διαβίβαση, σύμφωνα με τις οδηγίες του τελευταίου, με τις τυποποιημένες συμβατικές ρήτρες που αναγράφονται στο παράρτημα, καθώς και με τους όρους της γραπτής σύμβασης σχετικά με την υπεργολαβία·

στ)

ως «εφαρμοστέο δίκαιο περί προστασίας των δεδομένων» νοείται η νομοθεσία που προστατεύει τα θεμελιώδη δικαιώματα και ελευθερίες των ατόμων, και ιδίως το δικαίωμα προστασίας της ιδιωτικής τους ζωής από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, η οποία εφαρμόζεται σε υπεύθυνο επεξεργασίας δεδομένων στο κράτος μέλος στο οποίο είναι εγκατεστημένος ο εξαγωγέας δεδομένων·

ζ)

Ως «τεχνικά και οργανωτικά μέτρα ασφαλείας» νοούνται τα μέτρα που στοχεύουν στην προστασία των δεδομένων προσωπικού χαρακτήρα από την τυχαία ή παράνομη καταστροφή, την τυχαία απώλεια, την αλλοίωση, τη μη εξουσιοδοτημένη κοινοποίηση ή πρόσβαση, ιδίως όταν η επεξεργασία συνεπάγεται τη διαβίβαση δεδομένων μέσω δικτύου, καθώς και στην προστασία από κάθε άλλη παράνομη μορφή επεξεργασίας.

Άρθρο 4

1.   Με την επιφύλαξη των εξουσιών τους να λαμβάνουν μέτρα προκειμένου να εξασφαλίζουν την τήρηση των εθνικών διατάξεων που εκδίδονται σύμφωνα με τα κεφάλαια II, III, V και VI της οδηγίας 95/46/ΕΚ, οι αρμόδιες αρχές των κρατών μελών μπορούν να ασκούν τις υφιστάμενες εξουσίες τους για να απαγορεύουν ή να αναστέλλουν τη ροή δεδομένων προς τρίτες χώρες προκειμένου να προστατεύουν τα φυσικά πρόσωπα από την επεξεργασία δεδομένων προσωπικού χαρακτήρα που τα αφορούν στις περιπτώσεις κατά τις οποίες:

α)

τεκμηριώνεται ότι η νομοθεσία στην οποία υπόκειται ο εισαγωγέας δεδομένων ή ο υπεργολάβος επεξεργασίας τον υποχρεώνει να παρεκκλίνει από το εφαρμοστέο δίκαιο περί προστασίας των δεδομένων πέραν των αναγκαίων σε μια δημοκρατική κοινωνία ορίων, όπως ορίζεται στο άρθρο 13 της οδηγίας 95/46/ΕΚ, στην περίπτωση που η υποχρέωση αυτή ενδέχεται να έχει σημαντικές αρνητικές επιπτώσεις στις εγγυήσεις που παρέχονται από το εφαρμοστέο δίκαιο περί προστασίας των δεδομένων και τις τυποποιημένες συμβατικές ρήτρες·

β)

αρμόδια αρχή απέδειξε ότι ο εισαγωγέας δεδομένων ή ο υπεργολάβος επεξεργασίας δεν τήρησε τις τυποποιημένες συμβατικές ρήτρες του παραρτήματος· ή

γ)

υπάρχει σοβαρή πιθανότητα ότι οι τυποποιημένες συμβατικές ρήτρες του παραρτήματος δεν τηρούνται ή δεν θα τηρηθούν και ότι η συνέχιση της διαβίβασης θα δημιουργήσει άμεσο κίνδυνο πρόκλησης σοβαρής ζημίας στα πρόσωπα στα οποία αναφέρονται τα δεδομένα.

2.   Η απαγόρευση ή αναστολή που προβλέπεται στην παράγραφο 1 αίρεται αμέσως μόλις παύσουν να υφίστανται οι λόγοι που την προκάλεσαν.

3.   Τα κράτη μέλη, όταν λαμβάνουν μέτρα σύμφωνα με τις παραγράφους 1 και 2, ενημερώνουν χωρίς καθυστέρηση την Επιτροπή, η οποία διαβιβάζει την πληροφορία στα υπόλοιπα κράτη μέλη.

Άρθρο 5

Η Επιτροπή αξιολογεί την εφαρμογή της παρούσας απόφασης βάσει των διαθέσιμων πληροφοριών, τρία έτη μετά την έκδοσή της. Υποβάλλει έκθεση των πορισμάτων της στην επιτροπή που έχει συστάθηκε βάσει του άρθρου 31 της οδηγίας 95/46/ΕΚ. Στην έκθεση συμπεριλαμβάνεται κάθε αποδεικτικό στοιχείο που θα μπορούσε να επηρεάσει την εκτίμηση σχετικά με την επάρκεια των τυποποιημένων συμβατικών ρητρών του παραρτήματος, καθώς και κάθε στοιχείο από το οποίο προκύπτει ότι η παρούσα απόφαση εφαρμόζεται με μεροληπτικό τρόπο.

Άρθρο 6

Η παρούσα απόφαση τίθεται σε εφαρμογή στις 15 Μαΐου 2010.

Άρθρο 7

1.   Η απόφαση 2002/16/ΕΚ καταργείται από τις 15 Μαΐου 2010.

2.   Κάθε σύμβαση που έχει συναφθεί μεταξύ εξαγωγέα και εισαγωγέα δεδομένων σύμφωνα με την απόφαση 2002/16/ΕΚ πριν από τις 15 Μαΐου 2010 παραμένει πλήρως σε ισχύ και παράγει αποτελέσματα για όσο διάστημα παραμένουν αμετάβλητες οι διαβιβάσεις και οι πράξεις επεξεργασίας δεδομένων που αποτελούν το αντικείμενο της σύμβασης και εξακολουθούν να διαβιβάζονται μεταξύ των συμβαλλομένων τα δεδομένα προσωπικού χαρακτήρα που καλύπτονται από την παρούσα απόφαση εφαρμογής. Αν οι συμβαλλόμενοι αποφασίσουν να επιφέρουν σχετικές τροποποιήσεις ή να εκχωρήσουν τις δραστηριότητες επεξεργασίας που αποτελούν αντικείμενο της σύμβασης, υποχρεούνται να συνάψουν νέα σύμβαση σύμφωνα με τις τυποποιημένες συμβατικές ρήτρες που περιλαμβάνονται στο παράρτημα.

Άρθρο 8

Η παρούσα απόφαση απευθύνεται στα κράτη μέλη.

Βρυξέλλες, 5 Φεβρουαρίου 2010.

Για την Επιτροπή

Jacques BARROT

Αντιπρόεδρος


(1)  ΕΕ L 281 της 23.11.1995, σ. 31.

(2)  ΕΕ L 6 της 10.1.2002, σ. 52.

(3)  SEC(2006) 95 της 20.1.2006.

(4)  International Chamber of Commerce (ICC), Japan Business Council in Europe (JBCE), EU Committee of the American Chamber of Commerce in Belgium (Amcham), και Federation of European Direct Marketing Associations (FEDMA).

(5)  ΕΕ L 181 της 4.7.2001, σ. 19.


ΠΑΡΑΡΤΗΜΑ

ΤΥΠΟΠΟΙΗΜΕΝΕΣ ΣΥΜΒΑΤΙΚΕΣ ΡΗΤΡΕΣ (ΕΚΤΕΛΟΥΝΤΕΣ ΕΠΕΞΕΡΓΑΣΙΑ)

Για τους σκοπούς του άρθρου 26 παράγραφος 2 της οδηγίας 95/46/ΕΚ για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες οι οποίες δεν εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας των δεδομένων

Επωνυμία του οργανισμού που εξάγει τα δεδομένα: …

Διεύθυνση: …

Τηλ.: … Φαξ: … Ηλ. ταχ.: …

Άλλα πληροφοριακά στοιχεία που απαιτούνται για τον προσδιορισμό του οργανισμού

(ο εξαγωγέας δεδομένων)

και

Επωνυμία του οργανισμού που εισάγει τα δεδομένα: …

Διεύθυνση: …

Τηλ.: … Φαξ: … Ηλ. ταχ.: …

Άλλα πληροφοριακά στοιχεία που απαιτούνται για τον προσδιορισμό του οργανισμού

(ο εισαγωγέας δεδομένων)

Φερόμενοι στο εξής ως «ο συμβαλλόμενος» όταν πρόκειται για έκαστο μεμονωμένα και «οι συμβαλλόμενοι» όταν είναι από κοινού.

ΣΥΜΦΩΝΗΣΑΝ σχετικά με τις ακόλουθες συμβατικές ρήτρες (στο εξής «οι ρήτρες») προκειμένου να παράσχουν επαρκείς εγγυήσεις όσον αφορά την προστασία της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων κατά τη διαβίβαση, από τον εξαγωγέα δεδομένων προς τον εισαγωγέα δεδομένων, των δεδομένων προσωπικού χαρακτήρα που ορίζονται στο προσάρτημα 1.

Ρήτρα 1

Ορισμοί

Για τους σκοπούς των ρητρών:

α)

οι όροι «δεδομένα προσωπικού χαρακτήρα», «ειδικές κατηγορίες δεδομένων», «επεξεργασία», «υπεύθυνος της επεξεργασίας», «εκτελών την επεξεργασία», «πρόσωπο στο οποίο αναφέρονται τα δεδομένα» και «αρχή ελέγχου» έχουν την ίδια έννοια όπως και στην οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (1).

β)

ως «εξαγωγέας δεδομένων» νοείται ο υπεύθυνος επεξεργασίας ο οποίος διαβιβάζει τα δεδομένα προσωπικού χαρακτήρα·

γ)

ως «εισαγωγέας δεδομένων» νοείται ο εκτελών επεξεργασία ο οποίος συμφωνεί να παραλάβει από τον εξαγωγέα δεδομένων δεδομένα προσωπικού χαρακτήρα που προορίζονται για επεξεργασία για λογαριασμό του εξαγωγέα δεδομένων μετά τη διαβίβαση, σύμφωνα με τις οδηγίες του και τους όρους των ρητρών, και ο οποίος δεν υπόκειται σε μηχανισμό τρίτης χώρας που εξασφαλίζει επαρκή προστασία κατά την έννοια του άρθρου 25 παράγραφος 1 της οδηγίας 95/46/ΕΚ·

δ)

ως «υπεργολάβος επεξεργασίας» νοείται κάθε εκτελών επεξεργασία τον οποίο προσλαμβάνει ο εισαγωγέας δεδομένων ή οποιοσδήποτε άλλος υπεργολάβος επεξεργασίας του εισαγωγέα δεδομένων και ο οποίος συμφωνεί να λάβει από τον εισαγωγέα δεδομένων ή από οποιονδήποτε άλλο υπεργολάβο επεξεργασίας του εισαγωγέα δεδομένων δεδομένα προσωπικού χαρακτήρα που προορίζονται αποκλειστικά για τις δραστηριότητες επεξεργασίας που πρόκειται να εκτελεστούν για λογαριασμό του εξαγωγέα δεδομένων μετά τη διαβίβαση, σύμφωνα με τις οδηγίες του, με τους όρους των ρητρών, καθώς και με τους όρους της γραπτής σύμβασης υπεργολαβίας·

ε)

ως «εφαρμοστέο δίκαιο περί προστασίας των δεδομένων» νοείται η νομοθεσία που προστατεύει τα θεμελιώδη δικαιώματα και ελευθερίες των ατόμων, και, ιδίως, το δικαίωμα προστασίας της ιδιωτικής τους ζωής από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, η οποία εφαρμόζεται σε υπεύθυνο επεξεργασίας δεδομένων στο κράτος μέλος στο οποίο είναι εγκατεστημένος ο εξαγωγέας δεδομένων·

στ)

ως «τεχνικά και οργανωτικά μέτρα ασφαλείας» νοούνται τα μέτρα που αποσκοπούν στην προστασία των δεδομένων προσωπικού χαρακτήρα από την τυχαία ή παράνομη καταστροφή, την τυχαία απώλεια, την αλλοίωση, τη μη εξουσιοδοτημένη κοινοποίηση ή πρόσβαση, ιδίως όταν η επεξεργασία συνεπάγεται τη διαβίβαση δεδομένων μέσω δικτύου, καθώς και στην προστασία από κάθε άλλη παράνομη μορφή επεξεργασίας.

Ρήτρα 2

Λεπτομέρειες της διαβίβασης

Οι λεπτομέρειες της διαβίβασης, και ιδίως οι ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα καθορίζονται, κατά περίπτωση, στο προσάρτημα 1, το οποίο αποτελεί αναπόσπαστο τμήμα των ρητρών.

Ρήτρα 3

Ρήτρα δικαιούχου τρίτου

1.

Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να επικαλεσθεί ως τρίτος δικαιούχος έναντι του εξαγωγέα δεδομένων την παρούσα ρήτρα, καθώς και τη ρήτρα 4 στοιχεία β) ως θ), τη ρήτρα 5 στοιχεία α) ως ε), και ζ) ως ι), τη ρήτρα 6 παράγραφοι 1 και 2, τη ρήτρα 7, τη ρήτρα 8 παράγραφος 2 και τις ρήτρες 9 έως 12.

2.

Το άτομο στο οποίο αναφέρονται τα δεδομένα μπορεί να επικαλεσθεί έναντι του εισαγωγέα δεδομένων την παρούσα ρήτρα, καθώς και τη ρήτρα 5 στοιχεία α) ως ε) και ζ), τη ρήτρα 6, τη ρήτρα 7, τη ρήτρα 8 παράγραφος 2, και τις ρήτρες 9 έως 12, στις περιπτώσεις που ο εξαγωγέας δεδομένων έπαυσε να υφίσταται από πραγματική ή νομική άποψη, εκτός εάν το σύνολο των νομικών υποχρεώσεών του εκχωρήθηκε, βάσει σύμβασης ή βάσει νόμου, σε διάδοχο οντότητα, η οποία συνεπώς αναλαμβάνει τα δικαιώματα και τις υποχρεώσεις του εξαγωγέα δεδομένων, και έναντι του οποίου το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να επικαλεσθεί τις εν λόγω ρήτρες.

3.

Το άτομο στο οποίο αναφέρονται τα δεδομένα μπορεί να επικαλεσθεί έναντι του υπεργολάβου επεξεργασίας την παρούσα ρήτρα, τη ρήτρα 5 στοιχεία α) ως ε) και ζ), τη ρήτρα 6, τη ρήτρα 7, τη ρήτρα 8 παράγραφος 2, και τις ρήτρες 9 έως 12, στις περιπτώσεις που ο εξαγωγέας και ο εισαγωγέας δεδομένων έπαυσαν να υφίστανται από πραγματική ή νομική άποψη ή κατέστησαν αφερέγγυοι, εκτός εάν το σύνολο των νομικών υποχρεώσεων του εξαγωγέα δεδομένων εκχωρήθηκε, βάσει σύμβασης ή βάσει νόμου, σε διάδοχο οντότητα, η οποία συνεπώς αναλαμβάνει τα δικαιώματα και τις υποχρεώσεις του εξαγωγέα δεδομένων, και έναντι του οποίου το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να επικαλεσθεί τις εν λόγω ρήτρες. Η συγκεκριμένη αστική ευθύνη του υπεργολάβου επεξεργασίας περιορίζεται στις δικές του δραστηριότητες επεξεργασίας σύμφωνα με τις ρήτρες.

4.

Τα συμβαλλόμενα μέρη δεν αντιτάσσονται στην εκπροσώπηση του προσώπου στο οποίο αναφέρονται τα δεδομένα από ένωση ή άλλο φορέα αν το πρόσωπο αυτό εκφράσει ρητά την επιθυμία και εφόσον το εθνικό δίκαιο το επιτρέπει.

Ρήτρα 4

Υποχρεώσεις του εξαγωγέα δεδομένων

Ο εξαγωγέας δεδομένων συμφωνεί και εγγυάται:

α)

ότι η επεξεργασία, περιλαμβανομένης και της διαβίβασης δεδομένων προσωπικού χαρακτήρα, έχει πραγματοποιηθεί και θα συνεχίσει να πραγματοποιείται σύμφωνα με τις σχετικές διατάξεις του εφαρμοστέου δικαίου περί προστασίας των δεδομένων (και, όπου συντρέχει περίπτωση, έχει κοινοποιηθεί στις αρμόδιες αρχές του κράτους μέλους στο οποίο είναι εγκατεστημένος ο εξαγωγέας δεδομένων) και δεν παραβιάζει τις σχετικές διατάξεις του εν λόγω κράτους·

β)

ότι έχει υποδείξει και θα υποδεικνύει καθ’ όλη τη διάρκεια των υπηρεσιών επεξεργασίας δεδομένων προσωπικού χαρακτήρα στον εισαγωγέα δεδομένων να επεξεργάζεται τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα αποκλειστικά για λογαριασμό του εξαγωγέα δεδομένων και σύμφωνα με το εφαρμοστέο δίκαιο περί προστασίας των δεδομένων και σύμφωνα με τις ρήτρες·

γ)

ότι ο εισαγωγέας δεδομένων θα παρέχει επαρκείς εγγυήσεις όσον αφορά τα τεχνικά και οργανωτικά μέτρα ασφαλείας που καθορίζονται στο προσάρτημα 2 της παρούσας σύμβασης·

δ)

ότι, μετά την αξιολόγηση των απαιτήσεων του εφαρμοστέου δικαίου περί προστασίας των δεδομένων, τα μέτρα ασφαλείας είναι επαρκή για την προστασία των δεδομένων προσωπικού χαρακτήρα από την τυχαία ή παράνομη καταστροφή, την τυχαία απώλεια, την αλλοίωση, τη μη εξουσιοδοτημένη κοινοποίηση ή πρόσβαση, ιδίως όταν η επεξεργασία συνεπάγεται τη διαβίβαση δεδομένων μέσω δικτύου, καθώς και από κάθε άλλη παράνομη μορφή επεξεργασίας, και ότι τα μέτρα αυτά διασφαλίζουν κατάλληλο επίπεδο ασφάλειας σε σχέση με τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των προς προστασία δεδομένων, λαμβανομένου υπόψη του τεχνολογικού επιπέδου και του κόστους εφαρμογής τους·

ε)

ότι θα διασφαλίσει την τήρηση των μέτρων ασφαλείας·

στ)

ότι, εάν η διαβίβαση αφορά ειδικές κατηγορίες δεδομένων, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει ενημερωθεί ή θα ενημερωθεί πριν από τη διαβίβαση ή το συντομότερο δυνατό ύστερα απ’ αυτήν ότι τα δεδομένα που το αφορούν ενδέχεται να διαβιβαστούν σε τρίτη χώρα που δεν παρέχει ικανοποιητική προστασία κατά την έννοια της οδηγίας 95/46/ΕΚ·

ζ)

ότι θα διαβιβάζει κάθε κοινοποίηση που λαμβάνει από τον εισαγωγέα δεδομένων ή κάθε υπεργολάβο επεξεργασίας σύμφωνα με τη ρήτρα 5 στοιχείο β) και τη ρήτρα 8 παράγραφος 3 στην εποπτική αρχή προστασίας δεδομένων αν ο εξαγωγέας δεδομένων αποφασίσει να συνεχίσει τη διαβίβαση ή να άρει την αναστολή·

η)

να θέσει κατόπιν αιτήσεως στη διάθεση των προσώπων στα οποία αναφέρονται τα δεδομένα αντίγραφο των ρητρών, με εξαίρεση το προσάρτημα 2, και συνοπτική παρουσίαση των μέτρων ασφαλείας, καθώς και αντίγραφο κάθε σύμβασης που αφορά την παροχή υπηρεσιών υπεργολαβίας επεξεργασίας που πρέπει να συναφθεί σύμφωνα με τις ρήτρες, εκτός αν οι ρήτρες ή η σύμβαση περιέχουν εμπορικές πληροφορίες, οπότε μπορεί να αφαιρέσει τις πληροφορίες αυτές·

θ)

ότι, στην περίπτωση υπεργολαβίας επεξεργασίας, η δραστηριότητα επεξεργασίας εκτελείται σύμφωνα με τη ρήτρα 11 από υπεργολάβο επεξεργασίας που παρέχει τουλάχιστον το ίδιο επίπεδο προστασίας για τα δεδομένα προσωπικού χαρακτήρα και τα δικαιώματα του προσώπου στο οποίο αναφέρονται τα δεδομένα όπως και ο εισαγωγέας δεδομένων βάσει των ρητρών αυτών· και

ι)

ότι θα εξασφαλίσει την τήρηση της ρήτρας 4 στοιχεία α) ως θ).

Ρήτρα 5

Υποχρεώσεις του εισαγωγέα δεδομένων  (2)

Ο εισαγωγέας δεδομένων συμφωνεί και εγγυάται:

α)

ότι θα επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο για λογαριασμό του εξαγωγέα δεδομένων και σύμφωνα με τις οδηγίες του και τις ρήτρες· αν δεν μπορεί να εξασφαλίσει τη συμμόρφωση αυτή για οποιουσδήποτε λόγους, συμφωνεί να ενημερώνει αμέσως τον εξαγωγέα δεδομένων για την αδυναμία του να συμμορφωθεί, οπότε ο εξαγωγέας δεδομένων δικαιούται να αναστείλει τη διαβίβαση των δεδομένων και/ή να λύσει τη σύμβαση·

β)

ότι δεν έχει λόγους να πιστεύει ότι η νομοθεσία που ισχύει γι’ αυτόν τον εμποδίζει να τηρήσει τις οδηγίες που λαμβάνει από τον εξαγωγέα δεδομένων και να εκπληρώσει τις υποχρεώσεις του βάσει της σύμβασης και ότι, αν γίνει τροποποίηση της εν λόγω νομοθεσίας η οποία ενδέχεται να έχει σημαντικό αρνητικό αντίκτυπο στις εγγυήσεις και τις υποχρεώσεις που προβλέπονται από τις ρήτρες, θα κοινοποιεί αμέσως την αλλαγή στον εξαγωγέα δεδομένων, μόλις αυτή περιέλθει σε γνώση του, οπότε ο εξαγωγέας δεδομένων θα δικαιούται να αναστείλει τη διαβίβαση των δεδομένων και/ή να λύσει τη σύμβαση·

γ)

ότι έχει λάβει τα τεχνικά και οργανωτικά μέτρα ασφαλείας που ορίζονται στο προσάρτημα 2 πριν από την επεξεργασία των διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα·

δ)

ότι θα ενημερώνει αμέσως τον εξαγωγέα δεδομένων σχετικά με:

i)

κάθε νομικά δεσμευτικό αίτημα κοινοποίησης των δεδομένων προσωπικού χαρακτήρα που υποβάλλεται από αρχή επιβολής του νόμου, εκτός αν υπάρχει σχετική απαγόρευση, όπως απαγόρευση συνοδευόμενη από ποινικές κυρώσεις για τη διατήρηση του εμπιστευτικού χαρακτήρα αστυνομικής έρευνας·

ii)

κάθε τυχαία ή μη εξουσιοδοτημένη πρόσβαση· και

iii)

κάθε αίτημα που λαμβάνει απευθείας από τα πρόσωπα στα οποία αναφέρονται τα δεδομένα χωρίς να τους απαντά, εκτός αν του έχει δοθεί η σχετική άδεια·

ε)

ότι θα ανταποκρίνεται άμεσα και με ακρίβεια σε όλα τα αιτήματα πληροφοριών του εξαγωγέα δεδομένων σχετικά με την εκ μέρους του επεξεργασία των δεδομένων προσωπικού χαρακτήρα που αποτελούν αντικείμενο της διαβίβασης και ότι θα συμμορφώνεται με τη γνώμη της αρχής ελέγχου όσον αφορά την επεξεργασία των διαβιβαζόμενων δεδομένων·

στ)

ότι, αιτήσει του εξαγωγέα δεδομένων, θα διαθέτει προς έλεγχο τις εγκαταστάσεις επεξεργασίας δεδομένων προκειμένου να ελέγχονται οι δραστηριότητες επεξεργασίας που καλύπτονται από τις ρήτρες. Ο έλεγχος θα διενεργείται από τον εξαγωγέα δεδομένων ή από οργανισμό επιθεώρησης αποτελούμενο από μέλη ανεξάρτητα που διαθέτουν τα απαιτούμενα επαγγελματικά προσόντα και τα οποία θα δεσμεύονται από υποχρέωση εχεμύθειας και θα επιλέγονται από τον εξαγωγέα δεδομένων, κατά περίπτωση, κατόπιν συμφωνίας με την αρχή ελέγχου·

ζ)

ότι, αιτήσει του προσώπου στο οποίο αναφέρονται τα δεδομένα, θα θέτει στη διάθεσή του αντίγραφο των ρητρών, η κάθε υφιστάμενης σύμβασης που αφορά υπεργολαβία επεξεργασίας, εκτός αν οι ρήτρες ή η σύμβαση περιέχουν εμπορικές πληροφορίες, οπότε θα μπορεί να αφαιρεί αυτές τις πληροφορίες, με εξαίρεση το προσάρτημα 2 το οποίο αντικαθίσταται από συνοπτική παρουσίαση των μέτρων ασφαλείας, εφόσον το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αδυνατεί να λάβει αντίγραφο από τον εξαγωγέα δεδομένων·

η)

ότι, στην περίπτωση υπεργολαβίας επεξεργασίας, φροντίζει να ενημερώσει προηγουμένως τον εξαγωγέα δεδομένων και να λάβει τη γραπτή του συγκατάθεση·

θ)

ότι οι υπηρεσίες επεξεργασίας που παρέχει ο υπεργολάβος θα εκτελούνται σύμφωνα με τη ρήτρα 11·

ι)

ότι θα στείλει αμέσως στον εξαγωγέα δεδομένων αντίγραφο κάθε συμφωνίας υπεργολαβίας επεξεργασίας που συνάπτεται βάσει των ρητρών.

Ρήτρα 6

Ευθύνη

1.

Τα συμβαλλόμενα μέρη συμφωνούν ότι κάθε πρόσωπο στο οποίο αναφέρονται τα δεδομένα το οποίο υφίσταται ζημία συνεπεία αθέτησης των υποχρεώσεων που αναφέρονται στη ρήτρα 3 ή στη ρήτρα 11 από έναν από τους συμβαλλόμενους ή από υπεργολάβο επεξεργασίας δικαιούται να λάβει αποζημίωση από τον εξαγωγέα δεδομένων για τη ζημία την οποία υπέστη.

2.

Αν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αδυνατεί να αξιώσει αποζημίωση, σύμφωνα με την παράγραφο 1, έναντι του εξαγωγέα δεδομένων λόγω αθέτησης από τον εισαγωγέα δεδομένων ή τον υπεργολάβο επεξεργασίας του κάποιας από τις υποχρεώσεις τους που αναφέρονται στη ρήτρα 3 ή στη ρήτρα 11, διότι ο εξαγωγέας δεδομένων έχει παύσει να υφίσταται από πραγματική ή νομική άποψη ή έχει καταστεί αφερέγγυος, ο εισαγωγέας δεδομένων συμφωνεί ότι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να ασκήσει αγωγή εναντίον του σαν να επρόκειτο για τον εξαγωγέα δεδομένων, εκτός αν το σύνολο των νομικών υποχρεώσεων του εξαγωγέα δεδομένων εκχωρήθηκε, βάσει σύμβασης ή βάσει νόμου, σε κάποια διάδοχο οντότητα έναντι της οποίας το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να επικαλεσθεί τα δικαιώματά του.

Ο εισαγωγέας δεδομένων δεν μπορεί να επικαλεσθεί την αθέτηση υποχρεώσεων εκ μέρους του υπεργολάβου επεξεργασίας προκειμένου να αποφύγει τις δικές του ευθύνες.

3.

Αν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αδυνατεί να αξιώσει αποζημίωση έναντι του εξαγωγέα ή του εισαγωγέα δεδομένων, σύμφωνα με τις παραγράφους 1 και 2, λόγω αθέτησης από τον υπεργολάβο επεξεργασίας κάποιας από τις υποχρεώσεις του που αναφέρονται στη ρήτρα 3 ή στη ρήτρα 11, διότι τόσο ο εξαγωγέας όσο και ο εισαγωγέας δεδομένων έπαυσαν να υφίστανται από πραγματική ή νομική άποψη ή κατέστησαν αφερέγγυοι, ο υπεργολάβος επεξεργασίας συμφωνεί ότι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να ασκήσει αγωγή εναντίον του όσον αφορά τις δικές του δραστηριότητες επεξεργασίας σύμφωνα με τις ρήτρες, σαν να επρόκειτο για τον εξαγωγέα ή τον εισαγωγέα δεδομένων, εκτός αν το σύνολο των νομικών υποχρεώσεων του εξαγωγέα ή του εισαγωγέα δεδομένων εκχωρήθηκε, βάσει σύμβασης ή βάσει νόμου, σε κάποια διάδοχο οντότητα έναντι της οποίας το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να επικαλεσθεί τα δικαιώματά του. Η αστική ευθύνη του υπεργολάβου επεξεργασίας περιορίζεται στις ίδιες δραστηριότητες επεξεργασίας σύμφωνα με τις παρούσες ρήτρες.

Ρήτρα 7

Διαμεσολάβηση και δικαιοδοσία

1.

Ο εισαγωγέας δεδομένων συμφωνεί ότι αν, βάσει των ρητρών, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα επικαλείται έναντι αυτού το δικαίωμα του δικαιούχου τρίτου και/ή διεκδικεί αποζημίωση για τη ζημία που υπέστη, θα δεχθεί την απόφαση του προσώπου στο οποίο αναφέρονται τα δεδομένα:

α)

να παραπέμψουν τη διαφορά στη διαμεσολάβηση ανεξάρτητου προσώπου ή, κατά περίπτωση, της αρχής ελέγχου·

β)

να παραπέμψουν τη διαφορά στα δικαστήρια του κράτους μέλους στο οποίο είναι εγκατεστημένος ο εξαγωγέας δεδομένων.

2.

Τα συμβαλλόμενα μέρη συμφωνούν ότι η επιλογή στην οποία προβαίνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δεν θίγει τα ουσιαστικού ή δικονομικού δικαίου δικαιώματά του να αναζητήσει έννομη προστασία βάσει άλλων διατάξεων του εθνικού ή του διεθνούς δικαίου.

Ρήτρα 8

Συνεργασία με τις αρχές ελέγχου

1.

Ο εξαγωγέας δεδομένων συμφωνεί να καταθέσει αντίγραφο της σύμβασης στην αρχή ελέγχου, αν αυτή το ζητήσει ή αν η κατάθεση απαιτείται από το εφαρμοστέο δίκαιο περί προστασίας των δεδομένων.

2.

Οι συμβαλλόμενοι συμφωνούν ότι η αρχή ελέγχου έχει το δικαίωμα να διενεργεί ελέγχους στις εγκαταστάσεις του εισαγωγέα δεδομένων και κάθε υπεργολάβου επεξεργασίας, στον ίδιο βαθμό και με τους ίδιους όρους που θα ίσχυαν σε περίπτωση ελέγχου του εξαγωγέα δεδομένων βάσει του εφαρμοστέου δικαίου περί προστασίας των δεδομένων.

3.

Ο εισαγωγέας δεδομένων ενημερώνει αμέσως τον εξαγωγέα δεδομένων σχετικά με την ύπαρξη νομοθεσίας που εφαρμόζεται στον ίδιο ή σε κάθε υπεργολάβο επεξεργασίας η οποία εμποδίζει τη διενέργεια ελέγχου στις εγκαταστάσεις του εισαγωγέα δεδομένων ή κάθε υπεργολάβου επεξεργασίας, σύμφωνα με την παράγραφο 2. Στην περίπτωση αυτή, ο εξαγωγέας δεδομένων έχει το δικαίωμα να λάβει τα μέτρα που προβλέπονται στη ρήτρα 5 στοιχείο β).

Ρήτρα 9

Εφαρμοστέο δίκαιο

Οι ρήτρες διέπονται από το δίκαιο του κράτους μέλους στο οποίο είναι εγκατεστημένος ο εξαγωγέας δεδομένων, ήτοι …

Ρήτρα 10

Τροποποίηση της σύμβασης

Τα συμβαλλόμενα μέρη δεσμεύονται να μη μεταβάλουν ούτε να τροποποιήσουν τις ρήτρες. Αυτό δεν εμποδίζει τα συμβαλλόμενα μέρη να περιλάβουν, αν το κρίνουν αναγκαίο, ρήτρες εμπορικού χαρακτήρα, εφόσον αυτές δεν αντιβαίνουν στη ρήτρα.

Ρήτρα 11

Υπεργολαβία επεξεργασίας

1.

Ο εισαγωγέας δεδομένων δεν συνάπτει συμβάσεις υπεργολαβίας για καμία από τις πράξεις επεξεργασίας που εκτελεί για λογαριασμό του εξαγωγέα δεδομένων σύμφωνα με τις ρήτρες χωρίς την προηγούμενη γραπτή συγκατάθεση του εξαγωγέα δεδομένων. Ο εισαγωγέας δεδομένων μπορεί να εκχωρήσει με υπεργολαβία τις υποχρεώσεις του βάσει των ρητρών, με τη συγκατάθεση του εξαγωγέα δεδομένων, μόνο μέσω γραπτής συμφωνίας την οποία συνάπτει με τον υπεργολάβο επεξεργασίας, η οποία επιβάλλει στον υπεργολάβο τις ίδιες υποχρεώσεις με εκείνες που επιβάλλονται στον εισαγωγέα δεδομένων σύμφωνα με τις ρήτρες (3) . Σε περίπτωση που ο υπεργολάβος επεξεργασίας δεν τηρήσει τις υποχρεώσεις του όσον αφορά την προστασία των δεδομένων βάσει της γραπτής αυτής συμφωνίας, ο εισαγωγέας δεδομένων παραμένει στο ολόκληρο υπεύθυνος για την τήρηση των υποχρεώσεων αυτών έναντι του εξαγωγέα δεδομένων.

2.

Η προηγούμενη γραπτή σύμβαση μεταξύ του εισαγωγέα δεδομένων και του υπεργολάβου προβλέπει επίσης ρήτρα δικαιούχου τρίτου όπως ορίζεται στη ρήτρα 3 για τις περιπτώσεις που το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αδυνατεί να αξιώσει αποζημίωση, σύμφωνα με την παράγραφο 1 της ρήτρας 6, έναντι του εξαγωγέα ή του εισαγωγέα δεδομένων διότι έπαυσαν να υφίστανται από πραγματική ή νομική άποψη ή κατέστησαν αφερέγγυοι, και το σύνολο των νομικών υποχρεώσεων του εξαγωγέα ή του εισαγωγέα δεδομένων δεν έχει εκχωρηθεί, βάσει σύμβασης ή βάσει νόμου, σε καμία διάδοχο οντότητα. Η συγκεκριμένη αστική ευθύνη του υπεργολάβου επεξεργασίας περιορίζεται στις δικές του δραστηριότητες επεξεργασίας σύμφωνα με τις ρήτρες.

3.

Οι διατάξεις που αφορούν πτυχές της σύμβασης που αναφέρεται στην παράγραφο 1 και οι οποίες συνδέονται με την προστασία των δεδομένων όσον αφορά την υπεργολαβία επεξεργασίας διέπονται από το δίκαιο του κράτους μέλους στο οποίο είναι εγκατεστημένος ο εξαγωγέας δεδομένων, ήτοι …

4.

Ο εξαγωγέας δεδομένων τηρεί κατάλογο των συμφωνιών υπεργολαβίας επεξεργασίας που συνήφθησαν σύμφωνα με τις ρήτρες και κοινοποιήθηκαν από τον εισαγωγέα δεδομένων σύμφωνα με τη ρήτρα 5 στοιχείο ι), ο οποίος επικαιροποιείται τουλάχιστον άπαξ ετησίως. Ο κατάλογος τίθεται στη διάθεση της αρχής ελέγχου για την προστασία των δεδομένων του εξαγωγέα δεδομένων.

Ρήτρα 12

Υποχρέωση μετά την περάτωση των υπηρεσιών επεξεργασίας δεδομένων προσωπικού χαρακτήρα

1.

Τα συμβαλλόμενα μέρη συμφωνούν ότι, όταν αποπερατωθεί η παροχή των υπηρεσιών επεξεργασίας δεδομένων, ο εισαγωγέας δεδομένων και ο υπεργολάβος επεξεργασίας, κατ’ επιλογή του εξαγωγέα δεδομένων, επιστρέφουν όλα τα διαβιβασθέντα δεδομένα προσωπικού χαρακτήρα και τα αντίγραφά τους στον εξαγωγέα δεδομένων ή καταστρέφουν όλα τα δεδομένα προσωπικού χαρακτήρα και προσκομίζουν τα σχετικά αποδεικτικά στοιχεία στον εξαγωγέα δεδομένων, εκτός εάν η νομοθεσία που ισχύει για τον εισαγωγέα δεδομένων δεν του επιτρέπει την επιστροφή ή την καταστροφή του συνόλου ή μέρους των διαβιβασθέντων δεδομένων προσωπικού χαρακτήρα. Στην περίπτωση αυτή, ο εισαγωγέας δεδομένων εγγυάται ότι θα διασφαλίσει την εμπιστευτικότητα των διαβιβασθέντων δεδομένων προσωπικού χαρακτήρα και ότι δεν θα επεξεργαστεί περαιτέρω τα δεδομένα αυτά.

2.

Ο εισαγωγέας δεδομένων και ο υπεργολάβος επεξεργασίας εγγυώνται ότι εφόσον το ζητήσει ο εξαγωγέας δεδομένων και/ή η αρχή ελέγχου, θα υποβάλουν τις εγκαταστάσεις επεξεργασίας δεδομένων που διαθέτουν σε έλεγχο των μέτρων που αναφέρονται στην παράγραφο 1.

Για λογαριασμό του εξαγωγέα δεδομένων:

Ονοματεπώνυμο (ολογράφως): …

Ιδιότητα: …

Διεύθυνση: …

Άλλες πληροφορίες που απαιτούνται για να θεωρηθεί η σύμβαση δεσμευτική (αν υπάρχουν):

Image

Υπογραφή …

Για λογαριασμό του εισαγωγέα δεδομένων:

Ονοματεπώνυμο (ολογράφως): …

Ιδιότητα: …

Διεύθυνση: …

Άλλες πληροφορίες που απαιτούνται για να θεωρηθεί η σύμβαση δεσμευτική (αν υπάρχουν):

Image

Υπογραφή …


(1)  Τα συμβαλλόμενα μέρη μπορούν να επαναλάβουν, στην παρούσα ρήτρα, τους ορισμούς και τις έννοιες της οδηγίας 95/46/ΕΚ, αν θεωρούν προτιμότερη την αυτοτέλεια της σύμβασης.

(2)  Οι δεσμευτικές απαιτήσεις της εθνικής νομοθεσίας που ισχύουν για τον εισαγωγέα των δεδομένων και που δεν υπερβαίνουν το αναγκαίο σε μια δημοκρατική κοινωνία μέτρο για ένα από τα συμφέροντα που αναφέρονται στο άρθρο 13 παράγραφος 1 της οδηγίας 95/46/ΕΚ, δηλαδή αν πρόκειται για μέτρο αναγκαίο για τη διαφύλαξη της ασφάλειας του κράτους, της άμυνας, της δημόσιας ασφάλειας, της πρόληψης, διερεύνησης, διαπίστωσης και δίωξης παραβάσεων του ποινικού νόμου ή της δεοντολογίας των νομοθετικά κατοχυρωμένων επαγγελμάτων, σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος, της προστασίας του προσώπου στο οποίο αναφέρονται τα δεδομένα ή των δικαιωμάτων και ελευθεριών άλλων προσώπων, δεν έρχονται σε αντίθεση με τις τυποποιημένες συμβατικές ρήτρες. Ορισμένα παραδείγματα τέτοιων δεσμευτικών απαιτήσεων οι οποίες δεν υπερβαίνουν το αναγκαίο σε μια δημοκρατική κοινωνία μέτρο είναι, μεταξύ άλλων, οι διεθνώς αναγνωρισμένες κυρώσεις, οι απαιτήσεις υποβολής φορολογικών δηλώσεων ή οι απαιτήσεις υποβολής εκθέσεων για την καταπολέμηση δραστηριοτήτων νομιμοποίησης εσόδων από παράνομες δραστηριότητες.

(3)  Η απαίτηση αυτή μπορεί να ικανοποιηθεί από τον υπεργολάβο επεξεργασίας με τη συνυπογραφή της σύμβασης που έχει συναφθεί μεταξύ του εξαγωγέα και του εισαγωγέα των δεδομένων βάσει της παρούσας απόφασης.

Προσάρτημα 1

Στις τυποποιημένες συμβατικές ρήτρες

Το παρόν προσάρτημα αποτελεί αναπόσπαστο μέρος των ρητρών και πρέπει να συμπληρωθεί και υπογραφεί από τα συμβαλλόμενα μέρη

Τα κράτη μέλη μπορούν να συμπληρώσουν ή να διευκρινίσουν, σύμφωνα με τις εθνικές τους διαδικασίες, κάθε επιπλέον πληροφορία που κρίνεται αναγκαίο να περιληφθεί στο παρόν προσάρτημα)

Εξαγωγέας δεδομένων

Ο εξαγωγέας δεδομένων είναι (διευκρινίστε συνοπτικά τις σχετικές με τη διαβίβαση δραστηριότητές σας):

Εισαγωγέας δεδομένων

Ο εισαγωγέας δεδομένων είναι (διευκρινίστε συνοπτικά τις σχετικές με τη διαβίβαση δραστηριότητές σας):

Πρόσωπα στα οποία αναφέρονται τα δεδομένα

Τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα αφορούν τις παρακάτω κατηγορίες προσώπων (προσδιορίστε επακριβώς):

Κατηγορίες δεδομένων

Τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα αφορούν τις παρακάτω κατηγορίες δεδομένων (προσδιορίστε επακριβώς):

Ειδικές κατηγορίες δεδομένων (κατά περίπτωση)

Τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα αφορούν τις παρακάτω ειδικές κατηγορίες δεδομένων (προσδιορίστε επακριβώς):

Πράξεις επεξεργασίας

Τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα θα υποβληθούν στις ακόλουθες βασικές δραστηριότητες επεξεργασίας (προσδιορίστε επακριβώς):

 

ΕΞΑΓΩΓΕΑΣ ΔΕΔΟΜΕΝΩΝ

Ονοματεπώνυμο: …

Υπογραφή εξουσιοδοτημένου προσώπου …

 

ΕΙΣΑΓΩΓΕΑΣ ΔΕΔΟΜΕΝΩΝ

Ονοματεπώνυμο: …

Υπογραφή εξουσιοδοτημένου προσώπου …

Προσάρτημα 2

στις τυποποιημένες συμβατικές ρήτρες

Το παρόν προσάρτημα αποτελεί αναπόσπαστο μέρος των ρητρών και πρέπει να συμπληρωθεί και υπογραφεί από τα συμβαλλόμενα μέρη

Περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας που εφαρμόζει ο εισαγωγέας δεδομένων σύμφωνα με τις ρήτρες 4 στοιχείο δ) και 5 στοιχείο γ) (ή συνημμένο έγγραφο/νομοθετική πράξη):

ΥΠΟΔΕΙΓΜΑ ΡΗΤΡΑΣ ΑΠΟΖΗΜΙΩΣΗΣ (ΠΡΟΑΙΡΕΤΙΚΟ)

Ευθύνη

Τα συμβαλλόμενα μέρη συμφωνούν ότι, εάν ένα μέρος κριθεί υπεύθυνο για παραβίαση των ρητρών διαπραχθείσα από το άλλο μέρος, στο μέτρο που είναι υπεύθυνο, θα αποζημιώσει το πρώτο μέρος για κάθε κόστος, επιβάρυνση, ζημία, δαπάνη ή απώλεια την οποία έχει υποστεί.

Η αποζημίωση υπόκειται στις εξής προϋποθέσεις:

α)

ο εξαγωγέας δεδομένων κοινοποιεί αμέσως την απαίτηση στον εισαγωγέα δεδομένων· και

β)

ο εισαγωγέας δεδομένων έχει τη δυνατότητα να συνεργαστεί με τον εξαγωγέα δεδομένων όσον αφορά την άμυνα και τη διευθέτηση της απαίτησης (1).


(1)  Η παράγραφος περί ευθυνών είναι προαιρετική.


Top