A Bizottság határozata

(2001. június 15.)

a 95/46/EK irányelv alapján a személyes adatok harmadik országokba irányuló továbbítására vonatkozó általános szerződési feltételekről

(az értesítés a C(2001) 1539. számú dokumentummal történt)

(EGT vonatkozású szöveg)

(2001/497/EK)

AZ EURÓPAI KÖZÖSSÉGEK BIZOTTSÁGA,

tekintettel az Európai Közösséget létrehozó szerződésre,

tekintettel a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelvre [1] és különösen annak 26. cikke (4) bekezdésére,

mivel:

(1) A 95/46/EK irányelv értelmében a tagállamoknak rendelkezniük kell arról, hogy a személyes adatok harmadik országba irányuló továbbítására csak akkor kerülhet sor, ha a szóban forgó harmadik ország megfelelő szintű adatvédelmet biztosít, és a tagállami jogszabályokat – amelyek megfelelnek az irányelv egyéb rendelkezéseinek – a továbbítást megelőzően is betartják.

(2) A 95/46/EK irányelv 26. cikkének (2) bekezdése azonban úgy rendelkezik, hogy a tagállamok – meghatározott biztosítékok mellett – engedélyezhetik a személyes adatok egyszeri vagy többszöri továbbítását olyan harmadik országokba, amelyek nem biztosítanak megfelelő szintű védelmet. E biztosítékok különösen a megfelelő szerződési feltételekkel jöhetnek létre.

(3) A 95/46/EK irányelv értelmében az adatvédelem szintjét az adattovábbítási művelet vagy műveletek összes körülménye ismeretében kell értékelni. A személyes adatfeldolgozás vonatkozásában az egyének védelmével foglalkozó, ezen irányelv alapján létrehozott munkacsoport [2] iránymutatást bocsátott ki az értékelés elősegítése céljából [3].

(4) A 95/46/EK irányelv 26. cikkének (2) bekezdése, amely az adatokat harmadik országoknak továbbítani kívánó szervezet részére rugalmasságot biztosít, valamint a 26. cikk (4) bekezdése, amely az általános szerződési feltételekről rendelkezik, alapvető fontosságú a személyes adatoknak a Közösség és harmadik országok között szükséges áramlása fenntartásához oly módon, hogy ez ne jelentsen felesleges terheket a gazdasági szereplők számára. Ezek a rendelkezések különösen fontosak annak a ténynek az ismeretében, hogy a Bizottság rövid vagy akár középtávon valószínűleg kevés ország vonatkozásában fogja megállapítani a 25. cikk (6) bekezdése alapján az adatvédelem megfelelő szintjét.

(5) Az általános szerződési feltételek alkalmazása csupán egyike a számos rendelkezésre álló lehetőségnek a 95/46/EK alapján – a 25. cikkel és a 26. cikk (1) és (2) bekezdésével együtt – a személyes adatok harmadik ország számára történő jogszerű továbbítására. A szervezetek számára megkönnyíti a személyes adatok harmadik országok részére történő továbbítását, ha az általános szerződési feltételeket szerződésbe foglalják. Az általános szerződési feltételek kizárólag az adatvédelemre vonatkoznak. Az adatok átadója és az adatok átvevője beépíthet a szerződésbe az üzleti kérdésekre vonatkozó olyan egyéb rendelkezéseket, amelyeket a szerződés tárgyához tartozónak tartanak, például az érintettel vagy a felügyeleti hatósággal fennálló vita esetén a kölcsönös segítségnyújtásra vonatkozó rendelkezéseket, amennyiben ezek nem ellentétesek az általános szerződési feltételekkel.

(6) Ez a határozat nem sértheti azokat a nemzeti felhatalmazásokat, amelyeket a tagállamok adnak a 95/46/EK irányelv 26. cikke (2) bekezdésének végrehajtására hozott nemzeti rendelkezéseikkel összhangban. Egyes adattovábbítások körülményei szükségessé tehetik, hogy az adatkezelők különböző, a 26. cikk (2) bekezdésének értelmében vett biztosítékokkal szolgáljanak. Mindazonáltal ez a határozat csak arra kötelezi a tagállamokat, hogy ne utasítsák el a benne meghatározott szerződési feltételek megfelelő biztosítékként való elismerését; és ennek megfelelően nem érinti az egyéb szerződési feltételeket.

(7) E határozat tárgyi hatálya annak megállapítására korlátozódik, hogy a mellékletben található szerződési feltételeket a Közösségben letelepedett adatkezelő felhasználhatja a 95/46/EK irányelv 26. cikkének (2) bekezdése értelmében vett elegendő biztosíték nyújtásához. A személyes adatok harmadik országok számára történő továbbítása egy adott tagállamban elvégzett adatfeldolgozási művelet, amelynek jogszerűségét a tagállam jogszabályai szerint kell megítélni. Továbbra is a tagállamok adatvédelmi felügyeleti hatóságai illetékesek – a 95/46/EK irányelv 28. cikke szerinti feladataik és hatáskörük gyakorlása során – annak értékelésére, hogy az adatok átadója betartotta-e a 95/46/EK irányelv rendelkezéseinek végrehajtására kiadott nemzeti jogszabályokat, különösen az irányelv szerinti információszolgáltatási kötelezettségre vonatkozó különleges szabályokat.

(8) Ez a határozat nem terjed ki a személyes adatok továbbításának azon eseteire, amelyet a Közösség területén letelepedett adatkezelők végeznek a Közösség területén kívül letelepedett olyan címzettek részére, akik kizárólag adatfeldolgozóként működnek. Az ilyen adattovábbítások nem kívánják meg ugyanezen biztosítékokat, hiszen az adatfeldolgozó kizárólag az adatkezelő nevében jár el. A Bizottság az ilyen jellegű adattovábbítással egy következő határozatában szándékozik majd foglalkozni.

(9) Célszerű meghatározni azt a minimális információt, amelyet a feleknek meg kell adniuk az adatok továbbítására vonatkozó szerződésben. A tagállamok joga marad a felektől megkívánt információk részletes meghatározása. Ennek a határozatnak az alkalmazását a tapasztalatok fényében felül kell vizsgálni.

(10) A Bizottság a jövőben mérlegelni fogja azt is, hogy az üzleti szervezetek és más érdekelt felek által előterjesztett általános szerződési feltételek a 95/46/EK irányelvvel összhangban megfelelő biztosítékot nyújtanak-e.

(11) Amellett, hogy a felek szabadon állapodhatnak meg az adatok átvevője által betartandó alapvető adatvédelmi szabályokban, vannak olyan adatvédelmi alapelvek, amelyeket minden esetben alkalmazni kell.

(12) Az adatokat csak meghatározott célokra lehet feldolgozni és ezt követően felhasználni vagy továbbadni, és nem lehet a szükségesnél hosszabb ideig tárolni.

(13) A 95/46/EK irányelv 12. cikkének megfelelően az érintettnek hozzáférési joga van a rá vonatkozó adatokhoz, és adott esetben joga van bizonyos adatokat kiigazítani, törölni vagy zárolni.

(14) További személyesadat-továbbítást harmadik országban letelepedett másik adatkezelő számára csak bizonyos feltételekkel lehet engedélyezni, különösen annak biztosításával, hogy az érintettek megfelelő tájékoztatást kapnak, és lehetőségük van tiltakozni, vagy egyes esetekben megtagadni a hozzájárulásukat.

(15) Annak értékelésén felül, hogy a harmadik országok számára történő adattovábbítások összhangban vannak-e a nemzeti joggal, a felügyeleti hatóságoknak kulcsszerepet kell vállalniuk a fenti szerződéses mechanizmusban annak biztosítására, hogy a továbbítást követően is biztosított legyen a személyes adatok megfelelő védelme. Bizonyos körülmények esetén a tagállamok felügyeleti hatóságainak fenn kell tartaniuk a jogot az általános szerződési feltételeken alapuló továbbítás vagy továbbítássorozat megtiltására vagy felfüggesztésére azokban a rendkívüli esetekben, amikor megállapítást nyer, hogy a szerződéses alapon történő adattovábbítás valószínűleg alapvetően kedvezőtlen hatással lenne az érintettnek megfelelő védelmet nyújtó biztosítékokra.

(16) Nemcsak a szerződés szerződő feleinek minősülő szervezetek, hanem az érintettek számára is lehetővé kell tenni az általános szerződési feltételek érvényesítését, különösen akkor, ha az érintettek szerződésszegés következményeként kárt szenvednek.

(17) A szerződésre irányadó jog annak a tagállamnak a joga, amelyben az adat átadója letelepedett, és amely a kedvezményezett harmadik fél számára lehetővé teszi a szerződés érvényesítését. Az érintettek számára – amennyiben ezt kívánják, és amennyiben a nemzeti jog ezt megengedi – lehetővé kell tenni, hogy egyesületek vagy egyéb szervezetek útján képviseltessék magukat.

(18) Az általános szerződési feltételek alapján jogaikat érvényesíteni próbáló érintettek gyakorlati nehézségeinek csökkentése érdekében, az adatok átadójának és átvevőjének egyetemleges felelősséget kell vállalniuk a kedvezményezett harmadik félre vonatkozó kikötés alá tartozó rendelkezések bármilyen megsértéséből eredő károkért.

(19) Az érintettnek joga van keresetet indítani, valamint kártérítést követelni az adatok átadójától, az adatok átvevőjétől vagy mindkettőjüktől az általános szerződési feltételekben foglalt kötelezettségekkel összeegyeztethetetlen cselekményekkel okozott károkért. Mindkét fél mentesülhet a felelősség alól, ha bizonyítják, hogy egyikük sem felelős.

(20) Az egyetemleges felelősség nem terjed ki a kedvezményezett harmadik félre vonatkozó kikötés által nem érintett rendelkezésekre, és nem jelenti azt, hogy az egyik fél fizeti a másik fél jogellenes adatfeldolgozása miatt keletkező károkat. Bár a két fél közötti kölcsönös kártérítés nem követelménye az érintettek megfelelő védelmének és ezért kihagyható, ez a rendelkezés is szerepel az általános szerződési feltételek között a világos értelmezés biztosítása érdekében, valamint annak elkerülésére, hogy a feleknek egyénileg kelljen a kártérítési kikötésekben megállapodniuk.

(21) A felek és az érintett közötti olyan vita esetén, amely békésen nem rendezhető, és amikor az érintett a kedvezményezett harmadik félre vonatkozó kikötésekre hivatkozik, a felek elfogadják az érintett számára a közvetítő útján történő eljárás, a választottbírósági vagy a bírósági eljárás közötti választás lehetőségének felkínálását. Az érintett tényleges választási lehetősége attól függ, hogy rendelkezésre állnak-e megbízható és elismert közvetítő és választott bírósági rendszerek. Az egyik választható lehetőség – ott, ahol ilyen szolgáltatás létezik – a tagállam felügyeleti hatóságai által végzett közvetítői eljárás kell, hogy legyen.

(22) A személyes adatfeldolgozás vonatkozásában az egyének védelmével foglalkozó, a 95/46/EK irányelv 29. cikke alapján létrehozott munkacsoport véleményt adott ki az e határozat mellékletében szereplő általános szerződési feltételek által nyújtott védelem szintjéről, és a vélemény e határozat előkészítése során figyelembevételre került [4].

(23) Az e határozatban meghatározott intézkedések összhangban állnak a 95/46/EK irányelv 31. cikke alapján létrehozott bizottság véleményével,

ELFOGADTA EZT A HATÁROZATOT:

1. cikk

A mellékletben szereplő általános szerződési feltételek megfelelő biztosítékot nyújtónak minősülnek tekintettel az egyének magánélethez való jogának, alapvető jogainak és szabadságjogainak védelmére, valamint a 9/46/EK irányelv 26. cikkének (2) bekezdése által előírt megfelelő jogok gyakorlására.

2. cikk

Ez a határozat kizárólag a személyes adatok továbbítására vonatkozó, a mellékletben szereplő általános szerződési feltételek által biztosított védelem megfelelő voltára vonatkozik. A határozat nem érinti a 95/46/EK irányelv végrehajtására kiadott és a tagállamokon belül a személyes adatok feldolgozására vonatkozó egyéb nemzeti rendelkezések alkalmazását.

Ez a határozat nem alkalmazható a személyes adatok továbbításának azon eseteire, amelyet a Közösség területén letelepedett adatkezelők végeznek a Közösség területén kívül letelepedett olyan címzettek számára, akik kizárólag adatfeldolgozóként működnek.

3. cikk

E határozat alkalmazásában:

a) a 95/46/EK irányelv meghatározásait kell alkalmazni;

b) "különleges adatkategóriák" a fenti irányelv 8. cikkében említett adatok;

c) "felügyeleti hatóság" a fenti irányelv 28. cikkében említett hatóság;

d) "adatok átadója" a személyes adatokat továbbító adatkezelő;

e) "adatok átvevője" az az adatkezelő, aki e határozat rendelkezéseinek megfelelően az adatok átadójától a személyes adatokat további feldolgozásra átveszi.

4. cikk

(1) A tagállamok illetékes hatóságai – a 95/46/EK irányelv II., III., V. és VI. fejezetei alapján elfogadott nemzeti rendelkezéseknek való megfelelés biztosítása érdekében szükséges intézkedések megtételére vonatkozó hatáskörük sérelme nélkül – jelenlegi hatáskörük gyakorlásával megtilthatják vagy felfüggeszthetik a harmadik országokba irányuló adatáramlást az egyének védelme érdekében, személyes adataik feldolgozását illetően, ha:

a) megállapítást nyer, hogy az adatátvevőre vonatkozó jogszabály olyan, az adott adatvédelmi jogszabályoktól való eltérésre vonatkozó előírásokat támaszt vele szemben, amelyek túlmennek egy demokratikus társadalomban a 95/46/EK irányelv 13. cikkében foglalt szükséges korlátozásokon, amennyiben e korlátozások alapvetően ellenkező hatással lennének az általános szerződési feltételek által nyújtott biztosítékokra; vagy

b) a hatáskörrel rendelkező hatóság megállapította, hogy az adatátvevő nem tartotta tiszteletben a szerződési feltételeket; vagy

c) nagy a valószínűsége annak, hogy a mellékletben szereplő általános szerződési feltételeknek nem tesznek eleget vagy nem fognak eleget tenni, és az adattovábbítás folytatása súlyosan veszélyeztetné az érintetteket.

(2) Az (1) bekezdés szerinti tiltást vagy felfüggesztést el kell törölni, miután a tiltás vagy a felfüggesztés okai megszűnnek.

(3) Amikor a tagállamok elfogadják a (1) és (2) bekezdés szerinti intézkedéseket, erről haladéktalanul tájékoztatják a Bizottságot, amely továbbítja a tájékoztatást a többi tagállamnak.

5. cikk

A Bizottság a tagállamoknak megküldött értesítést követő három év elteltével a rendelkezésre álló információ alapján értékeli e határozat érvényesülését. Végkövetkeztetéseiről jelentést készít a 95/46/EK irányelv 31. cikke alapján létrehozott bizottságnak. A jelentésnek tartalmaznia kell a mellékletben szereplő általános szerződési feltételek megfelelő voltának értékelését adott esetben befolyásoló bizonyítékokat, valamint a határozat diszkriminatív alkalmazására vonatkozó esetleges bizonyítékokat.

6. cikk

E határozat rendelkezéseit 2001. szeptember 3-tól kell alkalmazni.

7. cikk

Ennek a határozatnak a tagállamok a címzettjei.

Kelt Brüsszelben, 2001. június 15-én.

a Bizottság részéről

Frederik Bolkestein

a Bizottság tagja

[1] HL L 281., 1995.11.23., 31. o.

[2] ti A munkacsoport internetcíme:http://www.europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm.

[3] WP 4 (5020/97) "Munkaanyag a személyes adatoknak harmadik országokba irányuló átadásával kapcsolatos elsődleges orientációról – a megfelelőség értékelésének lehetséges útjai", a munkacsoport által 1997. június 26-án elfogadott vitaanyag.WP 7 (5057/97) "Az ipar önszabályozásának megítélése: mikor jelent ez jelentős hozzájárulást az adatvédelem szintjéhez valamely harmadik országban?", a munkacsoport által 1998. január 14-én elfogadott munkaanyag.WP 9 (3005/98) "Előzetes vélemény a harmadik országokba irányuló személyes adatok átadása vonatkozásában alkalmazott szerződéses rendelkezésekről", a munkacsoport által 1998. április 22-én elfogadott munkaanyag.WP 12: "Személyes adatok továbbítása harmadik országok részére az EU adatvédelmi irányelve 25. és 26. cikkének alkalmazásával", a munkacsoport által 1998. július 24-én elfogadott munkaanyag, elérhető a Bizottság internetoldalán: "europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/wp12/en".

[4] A munkacsoport 2001. január 26-i 1/2001 véleménye (DG MARKT 5102/00 WP 38), amely elérhető a Bizottság "Európa" internetoldalán.

--------------------------------------------------

MELLÉKLET

+++++ TIFF +++++

+++++ TIFF +++++

+++++ TIFF +++++

+++++ TIFF +++++

--------------------------------------------------