29.12.2004   

LT

Europos Sąjungos oficialusis leidinys

L 385/74

KOMISIJOS SPRENDIMAS

2004 m. gruodžio 27 d.

iš dalies keičiantis Sprendimą 2001/497/EB dėl sutarčių, susijusių su asmens duomenų perdavimu trečiosioms šalims, tipinių punktų

(pranešta dokumentu Nr. K(2004) 5271)

(Tekstas svarbus EEE)

(2004/915/EB)

EUROPOS BENDRIJU KOMISIJA,

atsižvelgdama į Europos bendrijos steigimo sutartį,

atsižvelgdama į 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvą 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (1), ypač į jos 26 straipsnio 4 dalį,

kadangi:

(1)

Siekiant supaprastinti duomenų srautus iš Bendrijos pageidautina, kad duomenų valdytojas galėtų atlikti duomenų perdavimą visame pasaulyje remdamasis vienu duomenų apsaugos taisyklių rinkiniu. Kadangi nėra visuotinių duomenų apsaugos standartų, tipiniai sutarčių punktai – tai svarbi priemonė, leidžianti perduoti asmens duomenis iš visų valstybių narių remiantis bendru taisyklių rinkiniu. 2001 m. birželio 15 d. Komisijos sprendime 2001/497/EB dėl sutarčių, susijusių su asmens duomenų perdavimu trečiosioms šalims, tipinių punktų, atsižvelgiant į Direktyvą 95/46/EB (2) nustatomas tipinių sutarčių punktų rinkinio modelis, kuriuo užtikrinama duomenų perdavimo į trečiąsias šalis apsauga.

(2)

Po šio sprendimo priėmimo buvo įgyta daug patirties. Be to, verslo asociacijų koalicija (3) pateikė alternatyvų sutarčių tipinių punktų rinkinį, kuris skirtas lygiaverčiam Sprendime 2001/497/EB nustatytų sutarčių tipinių punktų duomenų apsaugos lygiui užtikrinti naudojantis įvairiais mechanizmais.

(3)

Kadangi sutarčių tipinių punktų naudojimas tarptautiniams duomenų perdavimams nėra privalomas, nes sutarčių tipiniai punktai yra tik viena iš keleto Direktyvoje 95/46/EB nurodytų galimybių teisėtai perduoti asmens duomenis į trečiąją šalį, Bendrijos duomenų eksportuotojai ir trečiųjų šalių importuotojai turėtų turėti galimybę duomenų perdavimui laisvai pasirinkti bet kurį sutarčių tipinių punktų rinkinį arba kitą teisinį pagrindą. Kiekvienas rinkinys sudaro modelį, duomenų eksportuotojams neturėtų būti leidžiama iš dalies keisti šių rinkinių arba kokiu nors būdu visiškai ar iš dalies jų jungti.

(4)

Verslo asociacijų pateiktuose sutarčių tipiniuose punktuose tokių priemonių pagalba kaip lankstesni audito reikalavimai, išsamesnės prieigos teisės taisyklės siekiama, kad vis daugiau operatorių naudotųsi sutarčių tipiniais punktais.

(5)

Be to, solidariosios atsakomybės sistemos, nustatytos Sprendime 2001/497/EB, alternatyvoje pateiktajame rinkinyje nustatytas atsakomybės režimas, paremtas deramais įsipareigojimais, pagal kuriuos duomenų eksportuotojai ir duomenų importuotojai būtų atsakingi prieš duomenų subjektus už atitinkamų sutarčių įsipareigojimų nesilaikymą; duomenų eksportuotojas taip pat atsako už reikiamų pastangų nedėjimą siekiant nustatyti, ar duomenų importuotojas gali įvykdyti savo teisinius įsipareigojimus pagal šiuos punktus (culpa in eligendo), o duomenų subjektas savo ruožtu gali imtis veiksmų duomenų eksportuotojo atžvilgiu. Šiuo požiūriu ypač svarbus naujojo sutarčių tipinių punktų rinkinio I punkto b dalies vykdymas, ypač atsižvelgiant į galimybę duomenų eksportuotojui duomenų importuotojo tarnybinėse patalpose vykdyti auditą arba reikalauti pakankamų finansinių išteklių, reikalingų įsipareigojimų vykdymui, įrodymų.

(6)

Dėl duomenų subjektų pasinaudojimo trečiosios šalies, naudos iš sutarties gavėjos, teisėmis, tai reglamentuojamas svarbesnis duomenų eksportuotojo vaidmuo sprendžiant duomenų subjekto skundus, nes duomenų eksportuotojas įpareigojamas susisiekti su duomenų importuotoju ir prireikus per įprastinį vieno mėnesio laikotarpį užtikrinti sutarties vykdymą. Jei duomenų eksportuotojas nesutinka užtikrinti sutarties vykdymo, o duomenų importuotojas ir toliau nevykdo savo įsipareigojimų, duomenų subjektas gali vykdyti nepalankias duomenų importuotojui nuostatas ir iškelti jam bylą valstybėje narėje. Šis jurisdikcijos pripažinimas ir sutikimas vykdyti kompetentingo teismo ar duomenų apsaugos institucijos sprendimą nepažeidžia jokių trečiosiose šalyse nustatytų duomenų importuotojų procedūrinių teisių, tokių kaip apeliacijos teisė.

(7)

Tačiau siekiant išvengti piktnaudžiavimo šia papildoma galimybe, reikia užtikrinti, kad duomenų apsaugos institucijos galėtų lengviau uždrausti arba sustabdyti duomenų perdavimus pagal naująjį sutarčių tipinių punktų rinkinį tais atvejais, kai duomenų eksportuotojas atsisako imtis atitinkamų veiksmų, reikalingų užtikrinti, kad duomenų importuotojas vykdytų savo sutarties įsipareigojimus, arba pastarasis atsisako sąžiningai bendradarbiauti su kompetentingomis duomenų apsaugos priežiūros institucijomis.

(8)

Sutarčių tipiniai punktai bus naudojami nepažeidžiant nacionalinių nuostatų, kaip nurodyta Direktyvoje 95/46/EB arba Direktyvoje 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių) (4), ypač tiesioginės reklamos komercinių pranešimų atvejais.

(9)

Remiantis tuo, kas buvo išdėstyta, sutarčių tipiniuose punktuose nustatytos apsaugos priemonės gali būti laikomos adekvačiomis, kaip nurodyta Direktyvos 95/46/EB 26 straipsnio 2 dalyje.

(10)

Darbo grupė dėl asmenų apsaugos tvarkant asmens duomenis, sudaryta, atsižvelgus į Direktyvos 95/46/EB 29 straipsnį, pateikė savo nuomonę (5) dėl apsaugos, suteikiamos pagal tipinius sutarčių punktus, lygio, į kurią turi būti atsižvelgta.

(11)

Siekiant įvertinti Sprendimo Nr. 2001/497/EB pakeitimų veikimą yra norima, kad Komisija pateiks jų įvertinimą po trijų metų nuo pranešimo apie jų priėmimą pateikimo valstybėms narėms.

(12)

Sprendimą 2001/497/EB reikia atitinkamai pakeisti.

(13)

Šiame sprendime numatytos priemonės atitinka pagal Direktyvos 95/46/EB 31 straipsnio nuostatas įsteigto komiteto nuomonę,

PRIĖMĖ ŠĮ SPRENDIMĄ:

1 straipsnis

Sprendimas 2001/497/EB iš dalies keičiamas taip:

1)

Prie 1 straipsnio pridedama ši dalis:

„Duomenų valdytojai gali pasirinkti I arba II rinkinį, pateiktą priede. Tačiau, jie negali iš dalies keisti punktų ar derinti atskirų rinkinių punktų.“

2)

4 straipsnio 2 ir 3 dalys pakeičiamos taip:

„2.   1 dalies, kurioje nurodyta, kad domenų valdytojas pateikia adekvačias apsaugos priemones remdamasis sutarčių tipiniais punktais, nurodytais priedo II rinkinyje, tikslais kompetentingos duomenų apsaugos institucijos turi teisę pasinaudoti joms suteiktomis galiomis uždrausdamos arba sustabdydamos duomenų srautus jeigu:

a)

duomenų importuotojas atsisako sąžiningai bendradarbiauti su duomenų apsaugos institucijomis arba vykdyti aiškius sutarties įsipareigojimus;

b)

duomenų eksportuotojas atsisako imtis atitinkamų veiksmų siekiant užtikrinti, kad duomenų importuotojas per įprastinį vieno mėnesio laikotarpį po to, kai kompetentinga duomenų apsaugos institucija įspėjo duomenų eksportuotoją, įvykdytų sutartį.

Pirmosios pastraipos tikslais duomenų importuotojo atsisakymui turint negerų ketinimų arba atsisakymui užtikrinti sutarties vykdymą nepriklauso atvejai, kai bendradarbiavimas arba vykdymas prieštarautų duomenų importuotojui taikomiems privalomiems nacionalinių teisės aktų reikalavimams, kurie nėra griežtesni nei būtina demokratinėje visuomenėje ir yra paremti vienu iš Direktyvos 95/46/EB 13 straipsnio 1 dalyje nurodytų interesų, ypač tarptautinėse ir (arba) nacionalinėse priemonėse nustatytomis sankcijomis, mokesčių ataskaitų reikalavimais arba pinigų plovimo prevencijos ataskaitų reikalavimais.

Pirmosios pastraipos a punkto tikslais bendradarbiavimui visų pirma gali būti priskirtas duomenų importuotojo duomenų apdorojimo priemonių pateikimas auditui arba įsipareigojimas paklusti Bendrijos duomenų apsaugos priežiūros institucijos patarimams.

3.   1 ir 2 dalyse nurodytas uždraudimas ar sustabdymas nedelsiant atšaukiamas, pašalinus tokio uždraudimo ar sustabdymo priežastis.

4.   Jeigu valstybės narės imasi 1, 2 ir 3 dalyje nurodytų priemonių, jos nedelsdamos apie tai praneša Komisijai, kuri šią informaciją perduoda kitoms valstybėms narėms.“.

3.

5 straipsnio pirmas sakinys pakeičiamas taip:

„Komisija, remdamasi turima informacija, per tris metus po pranešimo valstybėms narėms apie šį sprendimą ir bet kokį jo pakeitimą įvertina šio sprendimo veikimą.“

4.

Priedas keičiamas taip:

1.

Po pavadinimo įterpiama sąvoka „I RINKINYS“.

2.

Pridedamas šio sprendimo priedo tekstas.

2 straipsnis

Sprendimas taikomas nuo 2005 m. balandžio 1 d.

3 straipsnis

Šis sprendimas skirtas valstybėms narėms.

Priimta Briuselyje, 2004 m. gruodžio 27 d.

Komisijos vardu

Charlie McCREEVY

Komisijos narys

(1)  OL L 281, 1995 11 23, p. 31. Direktyva su pakeitimais, padarytais Reglamentu (EB) Nr. 1883/2003 (OL L 284, 2003 10 31, p. 1).

(2)  OL L 181, 2001 7 4, p. 19.

(3)  Tarptautiniai prekybos rūmai (TPR), Japonijos verslo taryba Europoje (JBCE), Europos telekomunikacijų technologijų ir elektronikos asociacija (EICTA), Amerikos prekybos rūmų ES komitetas Belgijoje (Amcham), Britų pramonės asociacija (CBI), Tarptautinės komunikacijos apvalusis stalas (ICRT) ir Europos tiesioginio marketingo asociacijos (FEDMA).

(4)  OL L 201, 2002 7 31, p. 37.

(5)  Nuomonė Nr. 8/2003, pateikiama tinklalapyje: http://europa.eu.int/comm/privacy

PRIEDAS

II RINKINYS

Asmens duomenų perdavimo iš Bendrijos į trečiąsias šalis sutarčių tipiniai punktai (vieno valdytojo kitam perdavimai)

Duomenų perdavimo sutartis

Tarp

_ (pavadinimas)

_ (įmonės adresas ir valstybė)

(toliau – duomenų eksportuotojas)

ir

_ (pavadinimas)

_ (įmonės adresas ir valstybė)

(toliau – duomenų importuotojas),

kiekviena atskirai – Šalis, abi kartu – Šalys.

Sąvokų apibrėžimai

Šiuose punktuose:

a)

„asmens duomenys“, „ypatingi asmens duomenys“, „tvarkyti duomenis (duomenų tvarkymas)“, „valdytojas“, „tvarkytojas“, „duomenų subjektas“ ir „priežiūros institucija (institucija)“ turi 1995 m. spalio 24 d. Direktyvoje 95/46/EB įtvirtintas reikšmes („institucija“ – kompetentinga duomenų apsaugos institucija, veikianti toje teritorijoje, kurioje yra įsisteigęs duomenų eksportuotojas);

b)

„duomenų eksportuotojas“ – asmens duomenis perduodantis duomenų valdytojas;

c)

„duomenų importuotojas“ – duomenų valdytojas, sutinkantis iš duomenų eksportuotojo gauti asmens duomenis ir juos toliau tvarkyti atsižvelgdamas į šių punktų sąlygas ir nepriklausantis trečiosios šalies sistemai, užtikrinančiai reikiamą apsaugą;

d)

„punktai“ – šie sutarčių punktai, kurie yra neprivalomas dokumentas, kuriame neįtrauktos komercinės verslo sąlygos, kurias Šalys nustato atskirais susitarimais.

Su perdavimu susijusi išsami informacija (taip pat ir perduodami asmens duomenys) nurodoma B priede, kuris yra neatsiejama šių punktų dalis.

I.   Duomenų eksportuotojo įsipareigojimai

Duomenų eksportuotojas garantuoja ir užtikrina, kad:

a)

asmens duomenys būtų surenkami, tvarkomi ir perduodami laikantis duomenų eksportuotojo šalies įstatymų;

b)

jis dėjo visas pastangas, kad įsitikintų, jog duomenų importuotojas gali įvykdyti savo teisinius įsipareigojimus pagal šiuos punktus;

c)

jis duomenų importuotojui pateiks, jei šis to pageidautų, tos šalies, kurioje įsisteigęs duomenų eksportuotojas, atitinkamų duomenų apsaugos įstatymų ar nuorodų į juos kopijas (jei reikia, bet išskyrus teisinius patarimus);

d)

jis atsakys į duomenų subjektų ir institucijos užklausas dėl asmens duomenų, kuriuos tvarko duomenų importuotojas, jei Šalys nesusitarė, kad duomenų importuotojas taip pat turi į jas atsakyti, bet jei duomenų importuotojas nenori arba negali atsakyti, kiek pagrįstai įmanoma į jas atsako ir duomenų eksportuotojas ir pateikia pagrįstai turimą informaciją. Atsakymai pateikiami per pagrįstą laikotarpį;

e)

paprašius duomenų subjektams, kurie yra trečioji šalis, naudos iš sutarties gavėja, jis pateiks punktų kopiją, kaip nurodyta III punkte, jei punktuose pateikiama slapta informacija, jis gali tokią informaciją pašalinti. Jei informacija pašalinama, duomenų eksportuotojas praneša duomenų subjektams raštu apie pašalinimo priežastį ir apie jų teisę į pašalinimą atkreipti institucijos dėmesį. Tačiau duomenų eksportuotojas paklūsta institucijos sprendimui dėl duomenų subjektų prieigos prie viso punktų teksto, jei duomenų subjektai sutiko laikytis konfidencialumo principo ir nepažeisti pašalintos informacijos konfidencialumo. Institucijai paprašius duomenų eksportuotojas jai taip pat pateikia punktų kopiją.

II.   Duomenų importuotojo įsipareigojimai

Duomenų importuotojas garantuoja ir užtikrina, kad:

a)

jis turės reikiamas technines ir organizacines priemones, reikalingas asmens duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo arba atsitiktinio praradimo, pakeitimo, neteisėto atskleidimo ar prieigos, ir kurios suteikia tinkamą apsaugos nuo duomenų tvarkymo ir duomenų pobūdžio keliamo pavojaus lygį;

b)

nustatys tvarką, kurios laikydamasi bet kuri trečioji šalis, kuriai jis suteikia leidimą prieigai prie asmens duomenų, įskaitant tvarkytojus, nepažeis ir išlaikys asmens duomenų konfidencialumą ir saugumą. Bet kuris asmuo, vykdantis duomenų importuotojo įgaliojimą, įskaitant duomenų tvarkytoją, asmens duomenis privalės tvarkyti tik pagal duomenų importuotojo nurodymus. Ši nuostata netaikoma įgaliotiems asmenims arba asmenims, kuriems pagal įstatymą ar reglamentą suteikiama teisė į prieigą prie asmens duomenų;

c)

naudojimosi punktais metu jis neturi pagrindo manyti, kad vietinių įstatymų buvimas galėtų iš esmės pakenkti punktuose nurodytoms garantijoms, ir jis praneš duomenų eksportuotojui (kuris, jei reikia, tokį pranešimą perduos institucijai), jei sužinos apie tokių įstatymų buvimą;

d)

jis tvarko duomenis B priede nurodytais tikslais ir turi teisėtą įgaliojimą išduoti garantijas ir vykdyti šiuose punktuose nustatytus įsipareigojimus;

e)

jis duomenų eksportuotojui nurodo savo organizacijos kontaktinį punktą, kuris įgaliotas atsakyti į užklausas dėl asmens duomenų tvarkymo, ir sąžiningai bendradarbiaus su duomenų eksportuotoju, duomenų subjektu ir institucija su tokiomis užklausomis susijusiais klausimais per pagrįstą laikotarpį. Jei sustabdoma duomenų eksportuotojo veikla arba jei Šalys taip susitaria, duomenų importuotojas prisiima atsakomybę už I punkto e dalies nuostatų vykdymą;

f)

duomenų eksportuotojui paprašius, jis duomenų eksportuotojui pateiks įrodymų dėl pakankamų finansinių išteklių, reikalingų įsipareigojimų vykdymui pagal III punktą (prie kurių gali būti priskirtas draudimo išlaidų apmokėjimas);

g)

prieš tai per pagrįstą laikotarpį įspėjus ir įprastinių darbo valandų metu duomenų eksportuotojui pagrįstai paprašius jis pateikia savo duomenų tvarkymo priemones, duomenų bylas ir tvarkymui reikalingą dokumentaciją, kad duomenų eksportuotojas (arba nepriklausomi ar nešališki inspektoriai ar auditoriai, kuriuos pasirinko duomenų eksportuotojas ir jų kandidatūroms nepagrįstai neprieštaravo duomenų importuotojas, galėtų jas peržiūrėti, atlikti auditą ir (arba) patvirtinti siekiant užtikrinti, kad jos atitinka šiuose punktuose pateiktas garantijas ir įsipareigojimus. Prašymui turi būti suteiktas būtinas duomenų importuotojo šalies kontrolės arba priežiūros institucijos sutikimas ar patvirtinimas, tokį sutikimą ar patvirtinimą duomenų importuotojas stengsis gauti laiku;

h)

jis tvarko pasirinktus asmens duomenis pagal:

i)

šalies, kurioje įsisteigęs duomenų eksportuotojas, duomenų apsaugos įstatymus;

ii)

atitinkamas bet kurio Komisijos sprendimo nuostatas (1), kaip nurodyta Direktyvos 95/46/EB 25 straipsnio 6 dalyje, jei duomenų importuotojas atitinka reikiamas tokio įgaliojimo ar sprendimo nuostatas ir yra įsisteigęs toje šalyje, kuriai taikomas toks įgaliojimas ar sprendimas, bet jam nėra taikomas toks įgaliojimas ar leidimas asmens duomenims (2) perduoti;

iii)

duomenų tvarkymo principus, nurodytus A priede.

Duomenų importuotojas nurodo, kurią galimybę jis pasirenka: _

Duomenų importuotojo inicialai: _

i)

Jis neatskleidžia ir neperduoda asmens duomenų trečiosios šalies valdytojui, kuris įsisteigęs ne Europos ekonominėje erdvėje (EEE) nepranešęs duomenų eksportuotojui apie tokį perdavimą ir:

i)

trečiosios šalies duomenų valdytojas tvarko asmens duomenis pagal Komisijos sprendimą, jei trečioji šalis užtikrina tinkamą apsaugą, arba

ii)

trečiosios šalies duomenų valdytojas pasirašo šiuos punktus ar kitą duomenų perdavimo susitarimą, patvirtintą ES kompetentingos institucijos, arba

iii)

duomenų subjektams buvo suteikta galimybe prieštarauti, kai jiems pranešama apie duomenų perdavimo tikslus, gavėjų kategorijas ir apie tai, kad šalyse, į kurias eksportuojami duomenys, gali galioti skirtingi duomenų apsaugos standartai, arba

iv)

tolesnių ypatingų duomenų perdavimu atžvilgiu duomenų subjektai nedviprasmiškai sutiko, kad duomenys būtų ir toliau perduodami.

III.   Trečiosios šalies atsakomybė ir teisės

a)

Kiekviena Šalis yra atsakinga kitai Šaliai už pažeidžiant šiuos punktus padarytą žalą. Šalių atsakomybė apsiriboja padarytais nuostoliais. Baudžiamasis žalos atlyginimas (t. y. žalos atlyginimas, kuria siekiama nubausti Šalį už jos netinkamą elgesį) negali būti taikomi. Kiekviena Šalis yra atsakinga duomenų subjektams už pažeidžiant trečiosios Šalies teises pagal šiuos punktus padarytą žalą. Tai neturi poveikio duomenų eksportuotojo atsakomybei pagal duomenų apsaugos įstatymą.

b)

Šalys susitaria, kad duomenų subjektas kaip trečioji šalis, naudos iš sutarties gavėja, turi teisę vykdyti šį punktą ir I punkto b dalį, I punkto d dalį, I punkto e dalį, II punkto a dalį, II punkto d dalį, II punkto h dalį, II punkto i dalį, III punkto a dalį, V punktą, VI punkto d dalį ir VII punktą duomenų importuotojo ar duomenų eksportuotojo atžvilgiu, jei šie atitinkamai pažeidžia sutarties įsipareigojimus, susijusius su asmens duomenimis, ir šiuo tikslu priimti duomenų eksportuotojo šalies jurisdikciją. Jei įtariama, kad duomenų importuotojas pažeidė sutartį, duomenų subjektas visų pirma privalo paprašyti duomenų eksportuotojo imtis atitinkamų veiksmų siekiant realizuoti jo teises duomenų importuotojo atžvilgiu; jei duomenų eksportuotojas nesiima tokių veiksmų per pagrįstą laikotarpį (kuris įprastomis aplinkybėmis būtų vienas mėnuo), duomenų subjektas gali tiesiogiai realizuoti savo teises duomenų importuotojo atžvilgiu. Duomenų subjektas turi teisę tiesiogiai iškelti ieškinį duomenų eksportuotojui, nedėjusiam pakankamai pastangų, kad nustatytų, ar duomenų importuotojas gali įvykdyti savo teisinius įsipareigojimus pagal šiuos punktus (duomenų eksportuotojas turi įrodyti, kad dėjo pakankamai pastangų).

IV.   Punktams taikoma teisė

Šie punktai taikomi pagal šalies, kurioje įsisteigęs duomenų eksportuotojas, įstatymus, išskyrus įstatymus ir taisykles, susijusius su asmens duomenimis, kuriuos tvarko duomenų importuotojas pagal II punkto h dalį, kuri taikoma tik jei taip nusprendžia duomenų importuotojas pagal tą punktą.

V.   Ginčų su duomenų subjektais arba institucija sprendimas

a)

Jei kyla ginčas su duomenų subjektu ar institucija arba vienai iš Šalių arba abiem pateikiamas ieškinys dėl asmens duomenų tvarkymo, šalys praneš viena kitai apie kilusius ginčus ar pateiktus ieškinius ir bendradarbiaus siekdamos juos išspręsti taikiai ir laiku.

b)

Šalys susitaria dalyvauti duomenų subjekto ar institucijos pradėtoje visiems prieinamoje ir neprivalomoje tarpininkavimo procedūroje. Jei jos dalyvauja teismo procese, Šalys gali nuspręsti tai daryti per atstumą (telefonu arba kitomis elektroninėmis priemonėmis). Šalys taip pat susitaria apsvarstyti galimybę dalyvauti arbitražo, tarpininkavimo ar kitame ginčų sprendimo procese, skirtame ginčams dėl duomenų tvarkymo spręsti.

c)

Kiekviena Šalis paklusta šalies, kurioje įsisteigęs duomenų eksportuotojas, kompetentingo teismo arba institucijos sprendimui, kuris yra galutinis ir kuris nebegali būti apskųstas.

VI.   Nutraukimas

a)

Jei duomenų importuotojas pažeidžia savo įsipareigojimus pagal šiuos punktus, duomenų eksportuotojas gal i laikinai sustabdyti asmens duomenų perdavimą duomenų importuotojui tol, kol pažeidimas atitaisomas arba kol nutraukiama sutartis.

b)

Jeigu:

i)

duomenų eksportuotojas laikinai sustabdo asmens duomenų perdavimą duomenų importuotojui ilgesniam negu vieno mėnesio laikotarpiui pagal a dalį;

ii)

dėl šių punktų laikymosi duomenų importuotojas pažeistų savo teisinius arba taisyklių įsipareigojimus pagal importo šalies įstatymus;

iii)

duomenų importuotojas iš esmės arba pakartotinai pažeidžia pagal šiuos punktus suteiktas garantijas ar įsipareigojimus;

iv)

galutiniame ir neapskundžiamame šalies, kurioje įsisteigęs duomenų eksportuotojas, kompetentingo teismo ar institucijos sprendime nustatoma, kad duomenų importuotojas arba duomenų eksportuotojas pažeidė šiuos punktus;

v)

pateikiamas pareiškimas dėl likvidavimo paskelbimo dėl duomenų importuotojo administravimo arba likvidavimo, nesvarbu ar asmens ar verslo atžvilgiu, jei jis nėra panaikinamas per atitinkamą periodą, tokiam panaikinimui nustatytą taikytinos teisės normų; paskiriamas bet viso turimo turto gavėjas; paskiriamas bankrutuojančios įmonės administratorius, jei duomenų importuotojas yra fizinis asmuo; arba atitinkamoje jurisdikcijoje įvykdomas lygiavertis veiksmas

tada duomenų eksportuotojas, nepažeisdamas jokių kitų teisių, kurias gali turėti duomenų importuotojas, turi teisę nutraukti šių punktų galiojimą, tačiau tokiu atveju prireikus apie tai turi būti pranešta institucijai. Atvejais, numatytais i, ii ar iv, Duomenų importuotojas taip pat gali panaikinti šias nuostatas.

c)

Bet kuri Šalis gali nutraukti šių punktų galiojimą, jeigu: i) Komisija priima teigiamai lygiavertį sprendimą pagal Direktyvos 95/46/EB 25 straipsnio 6 dalį (ar kitą viršenybę turintį tekstą) Šaliai (ar jos sektoriui), į kurią duomenų importuotojas siunčia ir kurioje jis tvarko duomenis, arba ii) toje Šalyje pradedama tiesiogiai taikyti Direktyva 95/46/EB (arba kitas viršenybę turintis tekstas).

d)

Šalys susitaria, kad šių punktų galiojimo nutraukimas bet kuriuo metu, bet kokiomis aplinkybėmis ir dėl bet kurios priežasties (išskyrus galiojimo nutraukimą pagal VI punkto c dalį) neatleidžia jų nuo įsipareigojimų ar sąlygų, nustatytų šiuose punktuose, dėl perduodamų asmens duomenų perdavimo.

VII.   Nukrypimas nuo šių punktų

Šalys negali pakeisti šių punktų, išskyrus atvejus, kai tikslinama bet kokia B priede nurodyta informacija, tačiau tokiu atveju prireikus bus informuota ir institucija. Tai netrukdo Šalims prireikus pridėti papildomos komercinės informacijos punktų.

VIII.   Perdavimo apibrėžimas

Išsamesnė informacija apie asmens duomenų perdavimą pateikiama B priede. Šalys susitaria, kad B priede gali būti pateikiama konfidencialios komercinės informacijos, kurios jos neatskleis trečiosioms Šalims, išskyrus jei to reikalauja įstatymai arba kompetentinga priežiūros ar vyriausybės institucija arba I punkto e dalies nuostatos. Šalys gali parengti papildomų priedų papildomiems perdavimams, kurie prireikus bus pateikti institucijai. B priedas taip pat gali būti parengtas keletui perdavimų.

Parengta (data): _

_

_

DUOMENŲ IMPORTUOTOJO VARDU

DUOMENŲ EKSPORTUOTOJO VARDU

A PRIEDAS

DUOMENŲ TVARKYMO PRINCIPAI

1.

Tikslų apribojimas – asmens duomenys gali būti tvarkomi ir naudojami ar toliau perduodami tik B priede nurodytais tikslais arba duomenų subjektui davus leidimą.

2.

Duomenų kokybė ir proporcingumas – duomenys turi būti tikslūs, o jeigu reikia, turi būti tikslinami. Duomenys turi atitikti tikslus, kuriais jie yra perduodami ir toliau tvarkomi, jie turi būti su šiais tikslais susiję, jų neturi būti nei per daug, nei per mažai.

3.

Skaidrumas – duomenų subjektams turi būti suteikta informacija reikalinga sąžiningam tvarkymui užtikrinti (pvz.: informacija apie tikslus, kuriais duomenys yra tvarkomi ir apie perdavimą), jei tokios informacijos dar nesuteikė duomenų eksportuotojas.

4.

Saugumas ir konfidencialumas – duomenų valdytojas turi imtis atitinkamų techninių ir organizacinių saugumo priemonių, kad apsisaugotų nuo rizikos, susijusios su atsitiktiniu ar neteisėtu duomenų sunaikinimu ar atsitiktiniu praradimu, pakeitimu, neteisėtu atskleidimu ar prieiga tvarkant duomenis. Asmenys, veikiantys pagal duomenų valdytojo įgaliojimą, tarp jų ir duomenų tvarkytojas, duomenis gali tvarkyti tik gavę duomenų valdytojo nurodymus.

5.

Teisė gauti informaciją, ištaisyti, sunaikinti ir prieštarauti – remiantis Direktyvos 95/46/EB 12 straipsniu, duomenų subjektas tiesiogiai ar per trečiąją šalį turi gauti asmens informaciją, kurią organizacija turi, išskyrus užklausimus, kuriais yra akivaizdžiai piktnaudžiaujama, pateikiamus per dažnai arba pakartotinai ir sistemingai, arba kuriems pagal duomenų eksportuotojo šalies įstatymus nebūtina suteikti prieigos. Jei institucija buvo suteikusi išankstinį sutikimą, taip pat nebūtina suteikti prieigos, jei tikėtina, kad tai stipriai pažeistų duomenų importuotojo ar kitų organizacijų, susijusių su duomenų importuotoju, interesus ir šie interesai nėra viršesni už pagrindines duomenų subjekto teises ir laisves. Asmens duomenų šaltinių nurodyti nebūtina, jei tai nėra įmanoma dedant visas reikalingas pastangas arba, jei asmenų teisės, išskyrus pavienius asmenis, būtų pažeistos. Duomenų subjektams privalo būti suteikta galimybė pataisyti, pakeisti ar ištrinti su jais susijusią informaciją, jei ji yra netiksli ar tvarkyta pagal šiuos principus. Jei yra pagrįstų priežasčių abejoti užklausimo teisėtumu, prieš pataisydama, pakeisdama ar ištrindama informaciją organizacija gali reikalauti pasiteisinimo. Trečiosioms šalims, kurioms duomenys buvo atskleisti, kad duomenys buvo ištaisyti, pakeisti ar ištrinti, pranešti nebūtina, jei tai padaryti būtų pernelyg sunku. Duomenų subjektai turi teisę prieštarauti su jais susijusių asmens duomenų tvarkymui, jei yra rimtų teisėtų priežasčių, susijusių su jų konkrečia padėtimi. Įrodinėjimo pareiga priklauso duomenų importuotojui, o duomenų subjektas dėl atsisakymo visada gali kreiptis į instituciją.

6.

Ypatingi asmens duomenys – duomenų importuotojas imasi tokių papildomų priemonių (pvz., susijusių su apsauga), kurios yra būtinos ypatingiems asmens duomenims apsaugoti pagal jo įsipareigojimus, nurodytus II punkte.

7.

Duomenys, naudojami tiesioginės rinkodaros tikslais – jei duomenys tvarkomi tiesioginės rinkodaros tikslais, turi būti nustatytos veiksmingos procedūros, suteikiančios galimybę duomenų subjektui bet kuriuo metu paprieštarauti, kad jo duomenys būtų naudojami tokiais tikslais.

8.

Automatiniai sprendimai – šiuose punktuose „automatinis sprendimas“ – duomenų eksportuotojo ar duomenų importuotojo sprendimas, kuris turi teisinių pasekmių, susijusių su duomenų subjektu, arba turi svarbaus poveikio duomenų subjektui ir kuris yra paremtas tik automatiniu asmens duomenų tvarkymu, skirtu įvertinti atitinkamus su asmeniu susijusius aspektus tokius kaip darbingumas, kreditingumas, patikimumas, elgesys ir kt. Duomenų importuotojas nedaro jokių automatinių sprendimų, susijusių su duomenų subjektu, išskyrus atvejus kai:

a)

i)

duomenų importuotojas tokius sprendimus atlieka sudaręs arba vykdydamas sutartį su duomenų subjektu ir

ii)

duomenų subjektui suteikiama galimybė su bet kurios šalies, padariusios tokį sprendimą, atstovu aptarti atitinkamų automatinių sprendimų rezultatus arba nusiųsti savo atstovą pas tą Šalį.

arba

b)

jei duomenų eksportuotojo šalies įstatymuose nurodyta kitaip.

B PRIEDAS

PERDAVIMO APIBRĖŽIMAS

(Pildo Šalys)

Image

AIŠKINAMIEJI KOMERCINIAI PUNKTAI (PASIRINKTINAI)

Žalos atlyginimas duomenų eksportuotojui ir duomenų importuotojui:

„Šalys atlygina viena kitai padarytą žalą ir saugo viena kitą nuo sąnaudų, mokesčių, išlaidų ar nuostolių, kuriuos jos padaro viena kitai pažeidusios šiuos punktus. Žalos atlyginimas priklauso nuo a) Šalies (-ių), kuriai turi būti atlyginta žala (toliau – Šalis (-ys), kurioms atlyginta žala) nedelsiamo pranešimo kitai (-oms) Šaliai (-ims) (toliau – Šalis (-ys), atlyginančios žalą) apie reikalavimą atlyginti žalą, b) žalą atlyginančios Šalies (-ių) išskirtinių teisių kontroliuoti tokių reikalavimų apsaugą ir patenkinimą ir c) Šalies (-ių), kuriai turi būti atlyginta žala, bendradarbiavimo ir pagalbos Šaliai (-ims), atlyginančioms žalą, siekiant apsaugoti tokį reikalavimą.“

Duomenų eksportuotojo ir duomenų importuotojo ginčų sprendimas (Šalys gali nuspręsti pakeisti šį punktą alternatyviu ginčų sprendimo ar jurisdikcijos punktu):

„Jei tarp duomenų importuotojo ir duomenų eksportuotojo kyla ginčas dėl tariamo bet kurios šių punktų nuostatos pažeidimo, tokį ginčą vadovaudamiesi Tarptautinių prekybos rūmų Arbitražo taisyklėmis sprendžia vienas ar daugiau arbitrų, paskirtų pagal tas pačias taisykles. Arbitražo vieta yra [ ]. Arbitrų skaičius yra [ ].“

Sąnaudų paskirstymas:

„Kiekviena šalis už savo įsipareigojimų vykdymą pagal šiuos punktus moka pati.“

Papildoma nutraukimo sąlyga:

„Jei nutraukiamas šių punktų galiojimas, duomenų importuotojas privalo duomenų eksportuotojui grąžinti visus pagal šiuos punktus gautus asmens duomenis ir visas jų kopijas arba, duomenų eksportuotojui nusprendus, sunaikinti visas jų kopijas ir sunaikinimą patvirtinti duomenų eksportuotojui, jei tik duomenų importuotojui sunaikinti visų arba dalies tokių duomenų nedraudžia nacionaliniai įstatymai arba vietinės taisyklės, kitu atveju duomenys bus laikomi konfidencialiais ir nebus tvarkomi jokiais tikslais. Duomenų importuotojas sutinka, kad duomenų eksportuotojui pareikalavus, prieš tai per pagrįstą laikotarpį įspėjus ir įprastinių darbo valandų metu jis leis duomenų eksportuotojui arba jo pasirinktam inspektoriui, kurio kandidatūrai pagrįstai neprieštaravo duomenų importuotojas, atvykti į jo įmonę patikrinti, ar tai buvo atlikta.“

“.

(1)  „Atitinkamos nuostatos“ – bet kurio įgaliojimo ar sprendimo nuostatos, išskyrus įgaliojimo ar sprendimo vykdymo nuostatas (kurios reglamentuojamos šiuose punktuose).

(2)  Tačiau kai pasirenkama ši galimybė privalo būti taikomos A.5 priedo su prieigos, ištaisymo, ištrynimo ir prieštaravimo teisėmis susijusios nuostatos, kurios turi viršenybę visų panašių pasirinkto Komisijos sprendimo nuostatų atžvilgiu.