Απόφαση της Επιτροπής

της 15ης Ιουνίου 2001

σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες δυνάμει του άρθρου 26 παράγραφος 4 της οδηγίας 95/46/ΕΚ

[κοινοποιηθείσα υπό τον αριθμό Ε(2001) 1539]

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

(2001/497/ΕΚ)

Η ΕΠΙΤΡΟΠΗ ΤΩΝ ΕΥΡΩΠΑΪΚΩΝ ΚΟΙΝΟΤΗΤΩΝ,

Έχοντας υπόψη:

τη συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας,

την οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών(1), και ιδίως το άρθρο 26 παράγραφος 4,

Εκτιμώντας τα ακόλουθα:

(1) Δυνάμει της οδηγίας 95/46/ΕΚ, απαιτείται από τα κράτη μέλη να προβλέπουν ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα επιτρέπεται μόνον εάν η εν λόγω τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας των δεδομένων και οι νόμοι των κρατών μελών που συνάδουν με τις λοιπές διατάξεις της εν λόγω οδηγίας έχουν τηρηθεί πριν από τη διαβίβαση.

(2) Ωστόσο, το άρθρο 26 παράγραφος 2 της οδηγίας 95/46/ΕΚ ορίζει ότι τα κράτη μέλη μπορούν να επιτρέπουν, τηρουμένων ορισμένων εγγυήσεων, μία ή πλείονες διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα η οποία δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας, Οι εν λόγω εγγυήσεις μπορούν ιδίως να απορρέουν από κατάλληλες συμβατικές ρήτρες.

(3) Σύμφωνα με την οδηγία 95/46/ΕΚ, το επίπεδο προστασίας των δεδομένων πρέπει να σταθμίζεται και να αξιολογείται λαμβανομένων υπόψη όλων των περιστάσεων που επηρεάζουν μια διαβίβαση ή κατηγορία διαβιβάσεων δεδομένων. Η ομάδα εργασίας για την προστασία των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, που συστάθηκε βάσει της εν λόγω οδηγίας(2), έχει εκδώσει κατευθυντήριες γραμμές προκειμένου να διευκολύνει την αξιολόγιση αυτή(3).

(4) Το άρθρο 26 παράγραφος 2 της οδηγίας 95/46/ΕΚ, το οποίο προσφέρει ευελιξία σε ένα φορέα που επιθυμεί να διαβιβάσει δεδομένα σε τρίτες χώρες, και το άρθρο 26 παράγραφος 4 που προβλέπει τις τυποποιημένες συμβατικές ρήτρες, έχουν ουσιώδη σημασία για τη διατήρηση της αναγκαίας ροής δεδομένου προσωπικού χαρακτήρα μεταξύ της Κοινότητας και των τρίτων χωρών, χωρίς να επιβαρύνονται αδικαιολόγητα οι οικονομικοί φορείς. Τα άρθρα αυτά είναι ιδιαιτέρως σημαντικά ενόψει του γεγονότος ότι η Επιτροπή είναι απίθανο να προβεί βραχυπρόθεσμα ή ακόμη και μεσοπρόθεσμα σε διαπιστώσεις για ικανοποιητικό επίπεδο προστασίας δυνάμει του άρθρου 25 παράγραφος 6, παρά μόνο για περιορισμένο αριθμό χωρών.

(5) Οι εν λόγω τυποποιημένες συμβατικές ρήτρες είναι μόνο μία από τις διάφορες δυνατότητες που προβλέπονται από την οδηγία 95/46/ΕΚ για τη νόμιμη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα, μαζί με τα άρθρα 25 και 26 παράγραφοι 1 και 2, και θα καταστήσουν πολύ ευκολότερη για τους διάφορους φορείς τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες μέσω της ενσωμάτωσης των τυποποιημένων συμβατικών ρητρών σε μια σύμβαση. Οι τυποποιημένες συμβατικές ρήτρες αφορούν μόνο την προστασία των δεδομένων. Ο εξαγωγέας των δεδομένων και ο εισαγωγέας των δεδομένων είναι ελεύθεροι να συμπεριλάβουν οποιεσδήποτε άλλες ρήτρες για επιχειρηματικά ζητήματα τις οποίες θεωρούν κατάλληλες για τη σύμβαση, όπως ρήτρες για αμοιβαία συνδρομή σε περίπτωση διαφορών με πρόσωπο στο οποίο αναφέρονται τα δεδομένα ή με αρχή ελέγχου, εφόσον οι ρήτρες αυτές δεν αντιφάσκουν με τις τυποποιημένες συμβατικές ρήτρες.

(6) Η παρούσα απόφαση δεν πρέπει να θίγει τις εθνικές άδειες που δύνανται να χορηγούν τα κράτη μέλη σύμφωνα με εθνικές διατάξεις εφαρμογής του άρθρου 26 παράγραφος 2 της οδηγίας 95/46/ΕΚ. Οι περιστάσεις ειδικών διαβιβάσεων ενδέχεται να απαιτούν από τους υπεύθυνους επεξεργασίας των δεδομένων να παρέχουν διάφορες εγγυήσεις κατά την έννοια του άρθρου 26 παράγραφος 2. Εν πάση περιπτώσει, μόνη συνέπεια της παρούσας απόφασης είναι ότι απαιτεί από τα κράτη μέλη να μην αρνούνται να αναγνωρίζουν ότι οι τυποποιημένες συμβατικές ρήτρες που περιγράφονται σ' αυτήν παρέχουν επαρκείς εγγυήσεις και, επομένως, δεν έχει καμία συνέπεια σε τυχόν άλλες συμβατικές ρήτρες.

(7) Το πεδίο εφαρμογής της παρούσας απόφασης περιορίζεται στη διαπίστωση ότι οι ρήτρες του παραρτήματος μπορούν να χρησιμοποιηθούν από έναν υπεύθυνο επεξεργασίας που είναι εγκατεστημένος στην Κοινότητα προκειμένου να υπάρξουν επαρκείς εγγυήσεις κατά την έννοια του άρθρου 26 παράγραφος 2 της οδηγίας 95/46/ΕΚ. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες είναι μια πράξη επεξεργασίας που πραγματοποιείται σε κράτος μέλος, η νομιμότητα της οποίας υπόκειται στο εθνικό δίκαιο. Οι αρχές ελέγχου των κρατών μελών που είναι αρμόδιες για την προστασία των δεδομένων, κατά την άσκηση των καθηκόντων και εξουσιών τους βάσει του άρθρου 28 της οδηγίας 95/46/ΕΚ, πρέπει να παραμένουν αρμόδιες να αξιολογούν το κατά πόσον ο εξαγωγέας των δεδομένων συμμορφώθηκε με την εθνική νομοθεσία εφαρμογής των διατάξεων της οδηγίας 95/46/ΕΚ, και, ιδίως, με κάθε ειδικό κανόνα που αφορά την υποχρέωση παροχής πληροφοριών δυνάμει της εν λόγω οδηγίας.

(8) Η παρούσα απόφαση δεν καλύπτει τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από υπεύθυνους επεξεργασίας εγκατεστημένους στην Κοινότητα σε αποδέκτες εγκατεστημένους εκτός του εδάφους της Κοινότητας οι οποίοι ενεργούν απλώς ως εκτελούντες επεξεργασία. Αυτές οι διαβιβάσεις δεν απαιτούν τις ίδιες εγγυήσεις, διότι ο εκτελών την επεξεργασία ενεργεί αποκλειστικά για λογαριασμό του υπεύθυνου επεξεργασίας. Η Επιτροπή προτίθεται να ασχοληθεί με τις διαβιβάσεις αυτού του είδους σε άλλη απόφαση.

(9) Πρέπει να θεσπιστούν τα ελάχιστα πληροφοριακά στοιχεία τα οποία πρέπει να διευκρινίζουν τα συμβαλλόμενα μέρη στη σύμβαση διαβίβασης. Τα κράτη μέλη διατηρούν το δικαίωμα να εξειδικεύουν τις πληροφορίες που πρέπει να παρέχουν τα συμβαλλόμενα μέρη. Η λειτουργία της παρούσας απόφασης θα επανεξεταστεί υπό το φως της πείρας που θα αποκτηθεί από την εφαρμογή της.

(10) Η Επιτροπή θα εξετάσει επίσης στο μέλλον αν και κατά πόσον τυποποιημένες συμβατικές ρήτρες που υποβάλλονται από επιχειρηματικές οργανώσεις ή άλλα ενδιαφερόμενα μέρη παρέχουν επαρκείς εγγυήσεις, σύμφωνα με την οδηγία 95/46/ΕΚ.

(11) Τα μέρη πρέπει να είναι, κατ' αρχήν, ελεύθερα να συμφωνούν επί των ουσιαστικών κανόνων για την προστασία των δεδομένων προς τους οποίους πρέπει να συμμορφώνεται ο εισαγωγέας των δεδομένων, σε κάθε περίπτωση, όμως, πρέπει να εφαρμόζονται ορισμένες αρχές προστασίας των δεδομένων.

(12) Τα δεδομένα πρέπει να τυγχάνουν επεξεργασίας και ακολούθως να χρησιμοποιούνται μόνο για συγκεκριμένους σκοπούς και δεν πρέπει να διατηρούνται μεγαλύτερο διάστημα από ότι είναι αναγκαίο.

(13) Σύμφωνα με το άρθρο 12 της οδηγίας 95/46/ΕΚ το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να έχει δικαίωμα πρόσβασης σε όλα τα δεδομένα που το αφορούν και όπου χρειάζεται, διόρθωσης, διαγραφής ή κλειδώματος ορισμένων δεδομένων.

(14) Περαιτέρω διαβίβαση προσωπικών δεδομένων σε άλλον υπεύθυνο της επεξεργασίας εγκατεστημένο σε τρίτη χώρα πρέπει να επιτρέπεται μόνον αν τηρούνται ορισμένες προϋποθέσεις, ιδίως για να εξασφαλίζεται ότι τα πρόσωπα στα οποία αφορούν τα δεδομένα έχουν ενημερωθεί κατάλληλα και τους δόθηκε η ευκαιρία να προβάλλουν αντιρρήσεις, ή, σε ορισμένες περιπτώσεις, να επιφυλαχτούν ως προς τη συγκατάθεσή τους.

(15) Πέραν της αξιολόγησης του κατά πόσον οι διαβιβάσεις σε τρίτες χώρες συνάδουν με το εθνικό δίκαιο, οι αρχές ελέγχου πρέπει να διαδραματίζουν επίσης καθοριστικό ρόλο στο πλαίσιο αυτού του συμβατικού μηχανισμού διασφαλίζοντας ότι τα δεδομένα προσωπικού χαρακτήρα προστατεύονται επαρκώς μετά τη διαβίβαση. Σε ειδικές περιστάσεις οι αρχές ελέγχου των κρατών μελών πρέπει να διατηρούν το δικαίωμα να απαγορεύουν ή να αναστέλλουν μια διαβίβαση ή μια κατηγορία διαβιβάσεων δεδομένων που βασίζεται σε τυποποιημένες συμβατικές ρήτρες στις εξαιρετικές περιπτώσεις στις οποίες αποδεικνύεται ότι μια διαβίβαση που πραγματοποιείται σε συμβατική βάση ενδέχεται να έχει σημαντικό αρνητικό αντίκτυπο στις εγγυήσεις που παρέχουν ικανοποιητική προστασία στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

(16) Την εκτέλεση των τυποποιημένων συμβατικών ρητρών πρέπει να μπορούν να επικαλούνται όχι μόνο οι φορείς που είναι συμβαλλόμενα μέρη, αλλά και τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, ιδίως όταν τα πρόσωπα αυτά υφίστανται ζημία συνεπεία παραβίασης της σύμβασης.

(17) Το δίκαιο που διέπει τη σύμβαση πρέπει να είναι το δίκαιο κράτους μέλους στο οποίο είναι εγκατεστημένος ο εξαγωγέας των δεδομένων που επιτρέπει σε δικαιούχο τρίτο να επιβάλλει την εκτέλεση της σύμβασης. Τα πρόσωπα στα οποία αναφέρονται τα δεδομένα μπορούν να εκπροσωπούνται από ενώσεις ή άλλους φορείς αν το επιθυμούν και εφόσον το επιτρέπει το εθνικό δίκαιο.

(18) Για να μειωθούν οι δυσχέρειες πρακτικού χαρακτήρα τις οποίες ενδέχεται να αντιμετωπίσουν τα πρόσωπα στα οποία αναφέρονται τα δεδομένα όταν προσπαθούν να διεκδικήσουν τα δικαιώματά τους βάσει αυτών των τυποποιημένων συμβατικών ρητρών, ο εξαγωγέας των δεδομένων και ο εισαγωγέας των δεδομένων πρέπει να είναι απεριορίστως και εις ολόκληρου υπεύθυνοι για τις ζημίες που προκύπτουν από κάθε παραβίαση των διατάξεων που υπόκεινται στη ρήτρα δικαιούχου τρίτου.

(19) Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να προσφύγει κατά του εξαγωγέα των δεδομένων, κατά του εισαγωγέα των δεδομένων ή και κατά των δύο και να ζητήσει από αυτούς αποζημίωση για κάθε ζημία που προκύπτει από κάθε ενέργεια που δεν συμβιβάζεται με τις υποχρεώσεις οι οποίες περιλαμβάνονται στις τυποποιημένες συμβατικές ρήτρες. Και τα δύο συμβαλλόμενα μέρη δύνανται να απαλλαγούν από την εν λόγω ευθύνη εάν αποδείξουν ότι κανένα από αυτά δεν φέρει ευθύνη.

(20) Η απεριόριστη και εις ολόκληρον ευθύνη δεν επεκτείνεται στις διατάξεις που δεν καλύπτονται από τη ρήτρα δικαιούχου τρίτου και δεν χρειάζεται να καθιστά το ένα μέρος υπεύθυνο για τις ζημίες που προκύπτουν από την αθέμιτη επεξεργασία στην οποία προέβη το άλλο μέρος. Αν και η αμοιβαία αποζημίωση μεταξύ των συμβαλλομένων μερών δεν αποτελεί απαραίτητη προϋπόθεση για την επάρκεια της προστασίας των προσώπων στα οποία αναφέρονται τα δεδομένα και, κατά συνέπεια, μπορεί να διαγραφεί, ωστόσο περιλαμβάνεται στις τυποποιημένες συμβατικές ρήτρες για λόγους σαφήνειας και για να αποφευχθεί η ανάγκη να διαπραγματεύονται τα συμβαλλόμενα μέρη ρήτρες αποζημίωσης χωριστά.

(21) Σε περίπτωση διαφοράς μεταξύ των συμβαλλομένων μερών και του προσώπου στο οποίο αναφέρονται τα δεδομένα, η οποία δεν επιλύεται με φιλικό διακανονισμό και στο πλαίσιο της οποίας το πρόσωπο στο οποίο αναφέρονται τα δεδομένα επικαλείται τη ρήτρα δικαιούχου τρίτου, τα συμβαλλόμενα μέρη συμφωνούν να παράσχουν στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα επιλογή μεταξύ της διαμεσολάβησης, της διαιτησίας και της αντιδικίας. Το κατά πόσον το πρόσωπο στο οποίο αναφέρονται τα δεδομένα θα έχει πραγματική επιλογή εξαρτάται από την ύπαρξη αξιόπιστων και αναγνωρισμένων συστημάτων διαμεσολάβησης και διαιτησίας. Η διαμεσολάβηση των αρχών ελέγχου των κρατών μελών πρέπει να συνιστά μία από τις επιλογές, όπου παρέχεται αυτή η υπηρεσία.

(22) Η ομάδα εργασίας για την προστασία των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, που συστάθηκε βάσει του άρθρου 29 της οδηγίας 95/46/ΕΚ, εξέδωσε γνώμη σχετικά με το επίπεδο προστασίας που παρέχουν οι τυποποιημένες συμβατικές ρήτρες που επισυνάπτονται στην παρούσα απόφαση, η οποία ελήφθη υπόψη κατά την εκπόνηση της παρούσας απόφασης(4).

(23) Τα μέτρα που προβλέπονται στην παρούσα απόφαση είναι σύμφωνα με τη γνώμη της επιτροπής που συστάθηκε βάσει του άρθρου 31 της οδηγίας 95/46/ΕΚ,

ΕΞΕΔΩΣΕ ΤΗΝ ΑΚΟΛΟΥΘΗ ΑΠΟΦΑΣΗ:

Άρθρο 1

Οι τυποποιημένες συμβατικές ρήτρες που παρατίθενται στο παράρτημα θεωρείται ότι παρέχουν επαρκείς εγγυήσεις για την προστασία της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων καθώς και την άσκηση των σχετικών δικαιωμάτων, όπως επιβάλλει το άρθρο 26 παράγραφος 2 της οδηγίας 95/46/ΕΚ.

Άρθρο 2

Η παρούσα απόφαση αφορά μόνο το ικανοποιητικό επίπεδο της προστασίας που παρέχουν οι τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα που παρατίθενται στο παράρτημα. Δεν επηρεάζει την εφαρμογή άλλων εθνικών διατάξεων εφαρμογής της οδηγίας 95/46/ΕΚ που αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη.

Η παρούσα απόφαση δεν εφαρμόζεται στη διαβίβαση δεδομένων προσωπικού χαρακτήρα από έναν υπεύθυνο επεξεργασίας που είναι εγκατεστημένος στην Κοινότητα προς αποδέκτες εγκατεστημένους εκτός της επικράτειας της Κοινότητας ο οποίοι ενεργούν απλώς ως εκτελούντες επεξεργασία.

Άρθρο 3

Για τους σκοπούς της παρούσας απόφασης:

α) εφαρμόζονται οι ορισμοί της οδηγίας 95/46/ΕΚ·

β) ως "ειδικές κατηγορίες δεδομένων" νοούνται τα δεδομένα που αναφέρονται στο άρθρο 8 της οδηγίας 95/46/ΕΚ·

γ) ως "αρχή ελέγχου" νοείται η αρχή που αναφέρεται στο άρθρο 28 της οδηγίας 95/46/ΕΚ·

δ) ως "εξαγωγέας των δεδομένων" νοείται ο υπεύθυνος επεξεργασίας ο οποίος διαβιβάζει τα δεδομένα προσωπικού χαρακτήρα·

ε) ως "εισαγωγέας των δεδομένων" νοείται ο υπεύθυνος επεξεργασίας ο οποίος συμφωνεί να παραλάβει από τον εξαγωγέα των δεδομένων δεδομένα προσωπικού χαρακτήρα για περαιτέρω επεξεργασία σύμφωνα με τους όρους της παρούσας απόφασης.

Άρθρο 4

1. Με την επιφύλαξη των εξουσιών τους να αναλαμβάνουν δράση προκειμένου να εξασφαλίζουν την τήρηση των εθνικών διατάξεων που εκδίδονται σύμφωνα με τα κεφάλαια II, III, V, και VI της οδηγίας 95/46/ΕΚ, οι αρμόδιες αρχές των κρατών μελών δύνανται να ασκούν τις υφιστάμενες εξουσίες τους για να απαγορεύουν ή να αναστέλλουν τη ροή δεδομένων προς τρίτες χώρες προκειμένου να προστατεύουν τα φυσικά πρόσωπα από την επεξεργασία δεδομένων προσωπικού χαρακτήρα που τα αφορούν στις περιπτώσεις κατά τις οποίες:

α) είναι αποδεδειγμένο ότι η νομοθεσία στην οποία υπόκειται ο εισαγωγέας των δεδομένων του επιβάλλει υποχρεώσεις παρέκκλισης από τους σχετικούς κανόνες προστασίας των δεδομένων οι οπίες υπερβαίνουν το αναγκαίο σε μια δημοκρατική κοινωνία μέτρο, όπως ορίζεται στο άρθρο 13 της οδηγίας 95/46/ΕΚ, όταν οι υποχρεώσεις ατυτές ενδέχεται να έχουν σημαντικό αρνητικό αντίκτυπο στις εγγυήσεις που παρέχονται από τιε τυποποιημένες συμβατικές ρήτρες· ή

β) κάποια αρμόδια αρχή απέδειξε ότι ο εισαγωγέας των δεδομένων δεν τήρησε τις συμβατικές ρήτρες· ή

γ) υπάρχει σοβαρή πιθανότητα ότι οι τυποποιημένες συμβατικές ρήτρες του παραρτήματος δεν τηρούνται ή δεν θα τηρηθούν και ότι η συνέχιση της διαβίβασης δημιουργεί άμεσο κίνδυνο πρόκλησης σοβαρής ζημίας στα πρόσωπα στα οποία αναφέρονται τα δεδομένα.

2. Η απαγόρευση ή η αναστολή βάσει της παραγράφου 1 αίρονται αμέσως μόλις παύσουν να υπάρχουν οι λόγοι της αναστολής ή της απαγόρευσης.

3. Τα κράτη μέλη όταν λαμβάνουν μέτρα σύμφωνα με τις ανωτέρω παραγράφους 1 και 2, ενημερώνουν χωρίς καθυστέρηση την Επιτροπή, η οποία διαβιβάζει την πληροφορία αυτή στα υπόλοιπα κράτη μέλη.

Άρθρο 5

Η Επιτροπή αξιολογεί την εφαρμογή της παρούσας απόφασης βάσει των διαθέσιμων πληροφοριών τρία έτη μετά την κοινοποίησή της στα κράτη μέλη. Υποβάλλει έκθεση ως προς τα πορίσματά της στην επιτροπή που συστάθηκε βάσει του άρθρου 31 της οδηγίας 95/46/ΕΚ, η οποία περιλαμβάνει οποιοδήποτε στοιχείο θα μπορούσε να επηρεάσει την εκτίμηση που αφορά την επάρκεια των τυποποιημένων ρητρών που παρατίθενται στο παράρτημα και κάθε ένδειξη για το ότι η παρούσα απόφαση εφαρμόζεται κατά τρόπο που επιφέρει διακρίσεις.

Άρθρο 6

Η παρούσα απόφαση εφαρμόζεται από τις 3 Σεπτεμβρίου 2001.

Άρθρο 7

Η παρούσα απόφαση απευθύνεται στα κράτη μέλη.

Βρυξέλλες, 15 Ιουνίου 2001.

Για την Επιτροπή

Frederik Bolkestein

Μέλος της Επιτροπής

(1) ΕΕ L 281 της 23.11.1995, σ. 31.

(2) Η διεύθυνση της ομάδας εργασίας στο διαδίκτυο είναι η εξής: http://www.europa.eu.int/comm/internal market/en/media/dataprot/wpdocs/indez.htm.

(3) WP 4 (5020/97) "Αρχικοί προσανατολισμοί για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες - Δυνατοί τρόποι εκτίμησης της επάρκειας της προστασίας", έγγραφο συζήτησης που εγκρίθηκε από την ομάδα εργασίας στις 26 Ιουνίου 1997.

WP 7 (5057/97) Έγγραφο εργασίας: "Εκτίμηση της αποτελεσματικότητας των πράξεων αυτορρύθμισης του τομέα: πότε συμβάλλουν ουσιαστικά στο επίπεδο προστασίας δεδομένων μιας τρίτης χώρας", εγκρίθηκε από την ομάδα εργασίας στις 14 Ιανουαρίου 1998.

WP 9 (3005/98) Έγγραφο εργασίας: "Προκαταρκτικές απόψεις για τη χρήση συμβατικών διατάξεων κατά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες", εγκρίθηκε από την ομάδα εργασίας στις 22 Απριλίου 1998.

WP 12: "Διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες: εφαρμογή των άρθρων 25 και 26 της οδηγίας της ΕΕ για την προστασία των δεδομένων", εγκρίθηκε από την ομάδα εργασίας στις 24 Ιουλίου 1998 και διατίθεται στον ιστοχώρο της Ευρωπαϊκής Επιτροπής "europa.eu.int/comm/internal-markt/en/media.dataprot/wpdocs/wp12/en".

(4) Γνωμοδότηση αριθ. 1/2001, που εγκρίθηκε από την ομάδα εργασίας στις 26 Ιανουαρίου 2001 (ΓΔ MARKT 5102/WP 38)· διατίθεται στον ιστοχώρο "Europa" της Ευρωπαϊκής Επιτροπής.

ΠΑΡΑΡΤΗΜΑ

>PIC FILE= "L_2001181EL.002402.TIF">

>PIC FILE= "L_2001181EL.002501.TIF">

>PIC FILE= "L_2001181EL.002601.TIF">

>PIC FILE= "L_2001181EL.002701.TIF">

Προσάρτημα 1

στις τυποποιημένες συμβατικές ρήτρες

>PIC FILE= "L_2001181EL.002802.TIF">

>PIC FILE= "L_2001181EL.002901.TIF">

Προσάρτημα 2

στις τυποποιημένες συμβατικές ρήτρες

Υποχρεωτικές αρχές προστασίας δεδομένων που αναφέρονται στη ρήτρα 5 στοιχείο β), πρώτη περίπτωση

Αυτές οι αρχές προστασίας δεδομένων διαβάζονται και ερμηνεύονται σε συνδυασμό με τις διατάξεις (αρχές και σχετικές εξαιρέσεις) της οδηγίας 95/46/ΕΚ.

Εφαρμόζονται με την επιφύλαξη των αναγκαστικού δικαίου διατάξεων της εθνικής νομοθεσίας που εφαρμόζεται στον εισαγωγέα των δεδομένων οι οποίες δεν βαίνουν πέραν του αναγκαίου σε μία δημοκρατική κοινωνία σε σχέση με ένα από τα συμφέροντα που παρατίθενται στο άρθρο 13 παράγραφος 1, της οδηγίας 95/46/ΕΚ, δηλαδή, αν συνιστούν μέτρο αναγκαίο για τη διαφύλαξη της ασφάλειας του κράτους, της άμυνας, της δημόσιας ασφάλειας, της πρόληψης, διερεύνησης, διαπίστωσης και δίωξης παραβάσεων του ποινικού νόμου ή της δεοντολογίας των νομοθετικά κατοχυρωμένων επαγγελμάτων, σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος, της προστασίας του προσώπου στο οποίο αναφέρονται τα δεδομένα ή των δικαιωμάτων και ελευθεριών άλλων προσώπων.

1. Περιορισμός του σκοπού: Τα δεδομένα πρέπει να υφίστανται επεξεργασία και, στη συνέχεια, να χρησιμοποιούνται ή να κοινοποιούνται περαιτέρω για τους συγκεκριμένους σκοπούς που προβλέπονται στο προσάρτημα 1 των συμβατικών ρητρών. Τα δεδομένα δεν πρέπει να διατηρούνται περισσότερο από ό,τι είναι αναγκαίο για τους σκοπούς της διαβίβασης.

2. Ποιότητα των δεδομένων και αναλογικότητα: Τα δεδομένα πρέπει να είναι ακριβή και, όταν χρειάζεται, να ενημερώνονται. Πρέπει να είναι κατάλληλα, να έχουν άμεση σχέση με το θέμα και να μην είναι περισσότερα από όσα απαιτούνται για τους σκοπούς για τους οποίους διαβιβάζονται ή υφίστανται περαιτέρω επεξεργασία.

3. Διαφάνεια: Πρέπει να παρέχονται στα πρόσωπα στα οποία αναφέρονται τα δεδομένα πληροφορίες σχετικά με τους σκοπούς της επεξεργασίας και την ταυτότητα του υπευθύνου της επεξεργασίας της τρίτης χώρας, καθώς και άλλες πληροφορίες εφόσον αυτό είναι απαραίτητο για την εξασφάλιση σωστής επεξεργασίας, εκτός αν πληροφορίες αυτού του είδους έχουν ήδη δοθεί από τον εξαγωγέα των δεδομένων.

4. Ασφάλεια και εμπιστευτικότητα: Ο υπεύθυνος της επεξεργασίας πρέπει να λαμβάνει μέτρα ασφαλείας, τεχνικής και οργανωτικής φύσης, κατάλληλα για τους κινδύνους (π.χ. μη επιτρεπόμενη πρόσβαση) που αντιπροσωπεύει η επεξεργασία. Κάθε πρόσωπο που ενεργεί υπό τις εντολές του υπευθύνου της επεξεργασίας, περιλαμβανομένου του εκτελούντος την επεξεργασία, μπορεί να επεξεργάζεται τα δεδομένα μόνο κατόπιν οδηγιών του υπευθύνου της επεξεργασίας.

5. Δικαιώματα πρόσβασης, διόρθωσης, διαγραφής και κλειδώματος: Όπως προβλέπει το άρθρο 12 της οδηγίας 95/46/ΕΚ, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να έχει δικαίωμα πρόσβασης σε όλα τα υπό επεξεργασία δεδομένα που το αφορούν και, κατά περίπτωση, το δικαίωμα να ζητήσει τη διόρθωση, τη διαγραφή ή το κλείδωμα των δεδομένων των οποίων η επεξεργασία δεν είναι σύμφωνη προς τις αρχές που παρατίθενται στο παρόν προσάρτημα, ιδίως λόγω ελλείψεων ή ανακρίβειας των δεδομένων. Πρέπει επίσης να μπορεί να αντιτάσσεται στην επεξεργασία των δεδομένων που το αφορούν επικαλούμενο νόμιμους λόγους που σχετίζονται με τη ιδιαίτερη κατάστασή του.

6. Περιορισμοί των διαδοχικών διαβιβάσεων: Η περαιτέρω διαβίβαση δεδομένων προσωπικού χαρακτήρα από τον εισαγωγέα των δεδομένων σε άλλο υπεύθυνο επεξεργασίας εγκατεστημένο σε τρίτη χώρα που δεν παρέχει ικανοποιητική προστασία ή δεν καλύπτεται από απόφαση της Επιτροπής εκδοθείσα δυνάμει του άρθρου 25 παράγραφος 6, της οδηγίας 95/46/ΕΚ (διαδοχική διαβίβαση) μπορεί να πραγματοποιηθεί μόνον εφόσον πληρούται ένας από τους παρακάτω όρους:

α) τα πρόσωπα στα οποία αναφέρονται τα δεδομένα έχουν δώσει, σε περίπτωση ειδικών κατηγοριών δεδομένων, τη συγκατάθεσή τους κατά τρόπο αναμφισβήτητο για διαδοχική διαβίβαση ή, στις άλλες περιπτώσεις τους έχει δοθεί η δυνατότητα να αντιταχθούν σ' αυτήν.

Οι ελάχιστες πληροφορίες πού πρέπει να παρέχονται στα πρόσωπα στα οποία αναφέρονται τα δεδομένα πρέπει να περιλαμβάνουν, σε γλώσσα κατανοητή σ' αυτά:

- τους σκοπούς της διαδοχικής διαβίβασης,

- τα στοιχεία του εγκατεστημένου στην Κοινότητα εξαγωγέα των δεδομένων,

- τις κατηγορίες των περαιτέρω αποδεκτών των δεδομένων και τις χώρες προορισμού και,

- διευκρίνιση ότι, μετά τη διαδοχική διαβίβαση, τα δεδομένα μπορούν να υποβληθούν σε επεξεργασία από υπεύθυνο επεξεργασίας εγκατεστημένο σε χώρα στην οποία δεν υπάρχει ικανοποιητικό επίπεδο προστασίας της ιδιωτικής ζωής των ατόμων, ή

β) ο εξαγωγέας των δεδομένων και ο εισαγωγέας των δεδομένων συμφωνούν στην προσχώρηση ενός άλλου υπεύθυνου επεξεργασίας ο οποίος με τον τρόπο αυτό καθίσταται νέο συμβαλλόμενο μέρος των παρουσών ρητρών και αναλαμβάνει τις ίδιες υποχρεώσεις με τον εισαγωγέα των δεδομένων.

7. Ειδικές κατηγορίες δεδομένων: Στις περιπτώσεις επεξεργασίας δεδομένων που παρέχουν πληροφορίες για τη φυλετική ή εθνική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστικές οργανώσεις, την υγεία ή τη σεξουαλική ζωή και δεδομένων που αφορούν παραβάσεις, ποινικές καταδίκες ή μέτρα ασφαλείας, πρέπει να υπάρχουν περισσότερες εγγυήσεις προστασίας κατά την έννοια της οδηγίας 95/46/ΕΚ, και ιδίως, κατάλληλα μέτρα ασφαλείας, όπως η κρυπτογράφηση της διαβίβασης ή η τήρηση αρχείου πρόσβασης στα ευαίσθητα δεδομένα.

8. Άμεση προώθηση προϊόντων: Στην περίπτωση επεξεργασίας δεδομένων με σκοπό την άμεση προώθηση προϊόντων, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να υφίστανται αποτελεσματικές διαδικασίες που θα επιτρέπουν στο πρόσωπο στο οποίο αφορούν τα δεδομένα να αντιτάσσεται ανά πάσα στιγμή στη χρησιμοποίηση των δεδομένων που το αφορούν για το σκοπό αυτό.

9. Αυτοματοποιημένες ατομικές αποφάσεις: Τα πρόσωπα στα οποία αναφέρονται τα δεδομένα έχουν το δικαίωμα να μην αποτελούν αντικείμενο απόφασης που βασίζεται αποκλειστικά και μόνο σε αυτοματοποιημένη επεξεργασία δεδομένων, εκτός αν λαμβάνονται άλλα μέτρα για την κατοχύρωση των εννόμων συμφερόντων του προσώπου, όπως προβλέπει το άρθρο 15 παράγραφος 2, της οδηγίας 95/46/ΕΚ. Όταν σκοπός της διαβίβασης είναι η λήψη αυτοματοποιημένης απόφασης όπως αναφέρεται στο άρθρο 15 της οδηγίας 95/46/ΕΚ, η οποία παράγει έννομα αποτελέσματα έναντι του ατόμου ή το θίγει σημαντικά και η οποία απόφαση βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία δεδομένων που αποβλέπει σε αξιολόγηση ορισμένων πτυχών της προσωπικότητάς του, όπως η απόδοσή του στην εργασία, η φερεγγυότητα, η αξιοπιστία, η διαγωγή του κ.λπ. το πρόσωπο πρέπει να έχει το δικαίωμα να γνωρίζει την αιτιολογία της απόφασης.

Προσάρτημα 3

στις τυποποιημένες συμβατικές ρήτρες

Υποχρεωτικές αρχές προστασίας δεδομένων που αναφέρονται στη ρήτρα 5 στοιχείο β), δεύτερη περίπτωση

1. Περιορισμός του σκοπού: Τα δεδομένα πρέπει να υφίστανται επεξεργασία και, στη συνέχεια, να χρησιμοποιούνται ή να κοινοποιούνται περαιτέρω για τους συγκεκριμένους σκοπούς που προβλέπονται στο προσάρτημα 1 των συμβατικών ρητρών. Τα δεδομένα δεν πρέπει να διατηρούνται περισσότερο από ό,τι είναι αναγκαίο για τους σκοπούς της διαβίβασης.

2. Δικαιώματα πρόσβασης, διόρθωσης, διαγραφής και κλειδώματος: Όπως προβλέπει το άρθρο 12 της οδηγίας 95/46/ΕΚ, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να έχει δικαίωμα πρόσβασης σε όλα τα υπό επεξεργασία δεδομένα που το αφορούν και, κατά περίπτωση, το δικαίωμα να ζητήσει τη διόρθωση, τη διαγραφή ή το κλείδωμα των δεδομένων των οποίων η επεξεργασία δεν είναι σύμφωνη προς τις αρχές που παρατίθενται στο παρόν προσάρτημα, ιδίως λόγω ελλείψεων ή ανακρίβειας των δεδομένων. Πρέπει επίσης να μπορεί να αντιτάσσεται στην επεξεργασία των δεδομένων που το αφορούν επικαλούμενο νόμιμους λόγους που σχετίζονται με τη ιδιαίτερη κατάστασή του.

3. Περιορισμοί των διαδοχικών διαβιβάσεων: Η περαιτέρω διαβίβαση δεδομένων προσωπικού χαρακτήρα από τον εισαγωγέα των δεδομένων σε άλλον υπεύθυνο επεξεργασίας εγκατεστημένο σε τρίτη χώρα που δεν παρέχει ικανοποιητική προστασία ή δεν καλύπτεται από απόφαση της Επιτροπής εκδοθείσα δυνάμει του άρθρου 25 παράγραφος 6, της οδηγίας 95/46/ΕΚ (διαδοχική διαβίβαση) μπορεί να πραγματοποιηθεί μόνον εφόσον πληρούται ένας από τους παρακάτω όρους:

α) τα πρόσωπα στα οποία αναφέρονται τα δεδομένα έχουν δώσει, σε περίπτωση ειδικών κατηγοριών δεδομένων, τη συγκατάθεσή τους κατά τρόπο αναμφισβήτητο για διαδοχική διαβίβαση ή, στις άλλες περιπτώσεις τους έχει δοθεί η δυνατότητα να αντιταχθούν σ' αυτήν.

Οι ελάχιστες πληροφορίες που πρέπει να παρέχονται στα πρόσωπα στα οποία αναφέρονται τα δεδομένα πρέπει να περιλαμβάνουν, σε γλώσσα κατανοητή σ' αυτά:

- τους σκοπούς της διαδοχικής διαβίβασης,

- τα στοιχεία του εγκατεστημένου στην Κοινότητα εξαγωγέα των δεδομένων,

- τις κατηγορίες των περαιτέρω αποδεκτών των δεδομένων και τις χώρες προορισμού και,

- διευκρίνιση ότι, μετά τη διαδοχική διαβίβαση, τα δεδομένα μπορούν να υποβληθούν σε επεξεργασία από υπεύθυνο επεξεργασίας εγκατεστημένο σε χώρα στην οποία δεν υπάρχει ικανοποιητικό επίπεδο προστασίας της ιδιωτικής ζωής των ατόμων, ή

β) ο εξαγωγέας των δεδομένων και ο εισαγωγέας των δεδομένων συμφωνούν στην προσχώρηση ενός άλλου υπεύθυνου επεξεργασίας ο οποίος με τον τρόπο αυτό καθίσταται νέο συμβαλλόμενο μέρος των παρουσών ρητρών και αναλαμβάνει τις ίδιες υποχρεώσεις με τον εισαγωγέα των δεδομένων.