32002D0016

Decyzja Komisji

z dnia 27 grudnia 2001 r.

w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych przetwarzającym dane mającym siedzibę w państwach trzecich, na mocy dyrektywy 95/46/WE

(notyfikowana jako dokument nr C(2001) 4540)

(Tekst mający znaczenie dla EOG)

(2002/16/WE)

KOMISJA WSPÓLNOT EUROPEJSKICH,

uwzględniając Traktat ustanawiający Wspólnotę Europejską,

uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych [1], w szczególności jej art. 26 ust. 4,

a także mając na uwadze, co następuje:

(1) Na mocy dyrektywy 95/46/WE Państwa Członkowskie są zobowiązane zapewnić, że przekazywanie danych osobowych do państw trzecich może mieć miejsce tylko wtedy, gdy dane państwo trzecie zapewnia właściwy poziom ochrony danych i że prawa Państw Członkowskich, które są zgodne z innymi przepisami dyrektywy, są przestrzegane zanim nastąpi przekazanie danych.

(2) Jednakże art. 26 ust. 2 dyrektywy 95/46/WE zapewnia, że Państwa Członkowskie mogą zezwolić, na podstawie określonych warunków, na przekazanie lub przekazywanie danych osobowych do państw trzecich, które nie zapewniają właściwego poziomu ochrony. Takie warunki mogą w szczególności wynikać z odpowiednich klauzul umownych.

Na mocy dyrektywy 95/46/WE poziom ochrony danych powinien być oceniany w świetle wszystkich okoliczności towarzyszących transferowi lub transferom danych. Grupa robocza ds. ochrony osób fizycznych w związku z automatycznym przetwarzaniem danych osobowych, powołana na mocy omawianej dyrektywy [2], wydała wytyczne pomocne przy ocenie [3].

(4) Standardowe klauzule umowne odnoszą się tylko do ochrony danych. Przekazujący i odbierający dane mogą swobodnie dołączać inne klauzule na temat prowadzonych interesów, które uważają za właściwe dla umowy, o ile nie są one sprzeczne ze standardowymi klauzulami umownymi.

(5) Niniejsza decyzja nie skutkuje na upoważnienia krajowe, których Państwa Członkowskie mogą udzielać zgodnie z przepisami prawa krajowego przyjętymi w celu implementacji art. 26 ust. 2 dyrektywy 95/46/WE. Decyzja wymaga jedynie od Państw Członkowskich, aby nie odmawiały uznania odpowiednich klauzul ochronnych ustalonych w klauzulach umownych i dlatego decyzja nie skutkuje na inne klauzule umowne.

(6) Zakres niniejszej decyzji ogranicza się do postanowienia, że klauzule, które ustanawia, mogą być zastosowane przez administratora danych powołanego na obszarze Wspólnoty w celu powołania się na adekwatne klauzule ochronne w rozumieniu art. 26 ust. 2 dyrektywy 95/46/WE dotyczącej przekazania danych osobowych przetwarzającym dane mającym siedzibę w państwie trzecim.

(7) Niniejsza decyzja wprowadza obowiązek określony w art. 17 ust. 3 dyrektywy 95/46/WE bez wpływu na treść umów lub aktów prawnych ustanowionych na mocy tego przepisu. Jednakże niektóre standardowe klauzule umowne, w szczególności dotyczące obowiązków przekazującego dane, powinny zostać włączone w celu zwiększenia jasności w odniesieniu do postanowień, które mogą być zawarte w umowie między administratorem danych a przetwarzającym dane.

(8) Organy nadzorcze Państw Członkowskich odgrywają kluczową rolę w tym mechanizmie umownym, zapewniając, że dane osobowe po przekazaniu są właściwie chronione. W wyjątkowych przypadkach, gdy przekazujący dane odmawiają lub nie są w stanie poinstruować właściwie odbierających dane, co wiąże się z ryzykiem poważnej szkody dla osoby, której dane dotyczą, standardowe klauzule umowne umożliwiają organom nadzorczym kontrolę odbierających dane i, gdzie stosowne, podjęcie decyzji wiążących dla odbierających dane. Organy nadzorcze mają prawo zabronić lub zawiesić transfer lub transfery danych wykonywanych na podstawie standardowych klauzul umownych w tych wyjątkowych przypadkach, gdy zostało ustalone, że przekazanie na podstawie umownej może mieć poważne negatywne skutki na gwarancje i obowiązki zapewniające odpowiednią ochronę osób, których dane dotyczą.

(9) Komisja może również ocenić w przyszłości, czy standardowe klauzule umowne dotyczące przekazania danych osobowych do przetwarzających dane mających siedzibę w państwach trzecich, które nie zapewniają właściwego poziomu ochrony danych dostarczonych przez organizacje biznesowe lub inne zainteresowane strony, przewidują właściwe zabezpieczenia zgodnie z art. 26 ust. 2 dyrektywy 95/46/WE.

(10) Ujawnienie danych osobowych przetwarzającemu dane mającemu siedzibę poza obszarem Wspólnoty jest międzynarodowym transferem danych osobowych chronionym na mocy rozdziału IV dyrektywy 95/46/WE. W efekcie decyzja nie obejmuje przekazywania danych osobowych przez administratorów danych z terytorium Wspólnoty do administratorów danych spoza terytorium Wspólnoty, którzy są objęci zakresem decyzji Komisji 2001/497/WE z dnia 15 czerwca 2001 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich, na mocy dyrektywy 95/46/WE [4].

(11) Standardowe klauzule umowne powinny zapewniać techniczne i organizacyjne środki bezpieczeństwa zapewniające poziom ochrony adekwatny do ryzyka, jakie niosą przetwarzanie i charakter danych podlegających ochronie, które musi zastosować przetwarzający dane mający siedzibę w państwie trzecim nie zapewniający odpowiedniej ochrony. Strony umieszczają w umowie postanowienia dotyczące technicznych i organizacyjnych środków bezpieczeństwa, które, uwzględniając właściwe prawo o ochronie danych, sposób i koszt ich zastosowania, są niezbędne w celu ochrony danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, przypadkową stratą, zmianą, ujawnieniem lub dostępem bez upoważnienia oraz inną sprzeczną z prawem formą przetwarzania.

(12) W celu ułatwienia przepływu danych z obszaru Wspólnoty jest pożądane, by przetwarzający dane świadczący usługi przetwarzania danych wielu administratorów danych we Wspólnocie mogli stosować te same techniczne i organizacyjne środki bezpieczeństwa bez względu na Państwo Członkowskie, z którego pochodzi transfer danych, w szczególności w tych przypadkach, gdy odbierający dane otrzymuje je dla dalszego przetwarzania przekazujących dane, mających różne siedziby we Wspólnocie.

(13) Należy ustanowić minimum informacyjne, które strony muszą wyszczególnić w umowie dotyczącej przekazania. Państwa Członkowskie utrzymują prawo do szczegółowego określenia tych informacji, które strony są zobowiązane zapewnić. Funkcjonowanie omawianej decyzji jest oceniane w świetle doświadczeń.

(14) Odbierający dane przetwarza przekazane dane osobowe tylko w imieniu przekazujących dane i zgodnie z jego instrukcjami i obowiązkami zawartymi w klauzulach. W szczególności odbierającemu dane nie wolno ujawniać danych osobowych osobie trzeciej, o ile nie jest to zgodne z określonymi warunkami. Przekazujący dane poucza odbierającego dane w czasie trwania usług związanych z przetwarzaniem danych, aby przetwarzać dane zgodnie z jego instrukcjami, mającym zastosowanie prawem o ochronie danych i obowiązkami zawartymi w klauzulach. Przekazanie danych osobowych przetwarzającym dane mającym siedzibę poza obszarem Wspólnoty nie narusza faktu, że działalnością związaną z przetwarzaniem w każdym przypadku rządzi właściwe prawo o ochronie danych.

(15) Standardowe klauzule umowne są przeznaczone do stosowania nie tylko przez organizacje, które są stronami umowy, ale także przez osoby, których dane dotyczą, w szczególności gdy te podmioty ponoszą straty będące skutkiem niedotrzymania umowy.

(16) Osoba, której dotyczą dane, ma prawo podejmować działania i, gdzie właściwe, otrzymywać odszkodowanie od przekazującego dane, który jest administratorem danych przekazanych danych osobowych. Wyjątkowo, osoba, której dane dotyczą, ma prawo podejmować działania i, gdzie właściwe, otrzymywać zadośćuczynienie od odbierającego dane, w tych przypadkach wynikających z niedotrzymania przez niego któregoś z obowiązków wymienionych w ust. 2 klauzuli 3, gdy przekazujący dane przestał istnieć faktycznie lub formalnie lub stał się niewypłacalny.

(17) Jeśli spór między osobą, której dotyczą dane i która powołuje się na klauzulę beneficjenta – osoby trzeciej oraz odbierającym dane, ten ostatni wyraża zgodę, by osoba, której dane dotyczą, mogła wybrać między mediacją, arbitrażem lub postępowaniem sądowym. Zakres, w jakim osoba, której dotyczą dane, będzie miała rzeczywistą możliwość wyboru, zależy od dostępności wiarygodnych i sprawdzonych systemów mediacji i arbitrażu. Mediacja za pośrednictwem organów nadzorujących ochronę danych Państwa Członkowskiego, w którym działa przekazujący dane, powinna stanowić sposób rozwiązania sporu, jeśli organy te zapewniają możliwość skorzystania z takiej usługi.

(18) Umową rządzi prawo Państwa Członkowskiego, w którym działa przekazujący dane, umożliwiając uprawnionej osobie trzeciej egzekwowanie wykonania umowy. Osoby, których dotyczą dane, mają prawo do reprezentacji przez stowarzyszenia lub inne organy, jeśli mają takie życzenie i jest to przewidziane w prawie krajowym.

(19) Grupa Robocza ds. Ochrony Osób Fizycznych w związku z automatycznym przetwarzaniem danych osobowych powołana na mocy art. 29 dyrektywy 95/46/WE wydała opinię o poziomie bezpieczeństwa zapewnianego przez standardowe klauzule umowne załączone do niniejszej decyzji, które zostały wzięto pod uwagę w czasie przygotowywania niniejszej decyzji [5].

(20) Środki przewidziane w niniejszej decyzji są zgodne z opinią Komitetu ustanowionego na podstawie art. 31 dyrektywy 95/46/WE,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł 1

Standardowe klauzule umowne wymienione w Załączniku uważa się za zapewniające adekwatne zabezpieczenia w odniesieniu do ochrony prywatności i swobód oraz podstawowych praw jednostek i odnośnie do wykonywania praw pokrewnych, jak tego wymaga art. 26 ust. 2 dyrektywy 95/46/WE.

Artykuł 2

Niniejsza decyzja dotyczy jedynie adekwatności ochrony zapewnionej przez standardowe klauzule umowne wymienione w Załączniku dotyczącym przekazywania danych osobowych. Nie ma ona wpływu na stosowanie innych przepisów prawa krajowego implementujących dyrektywę 95/46/WE, które wchodzą w zakres przetwarzania danych osobowych w Państwach Członkowskich.

Niniejsza decyzja nie ma zastosowania do przekazywania danych osobowych przez administratorów danych z terytorium Wspólnoty do odbierających dane spoza terytorium Wspólnoty, którym powierzono jedynie przetwarzanie danych.

Artykuł 3

Do celów niniejszej decyzji:

a) stosuje się definicje z dyrektywy 95/46/WE;

b) "szczególne kategorie danych" oznaczają dane wymienione w art. 8 tej dyrektywy;

c) "organ nadzorczy" oznacza organ określony w art. 28 niniejszej dyrektywy;

d) "przekazujący dane" oznacza administratora danych, który przekazuje dane osobowe;

e) "odbierający dane" oznacza administratora danych mającego siedzibę w państwie trzecim, który wyraża zgodę na otrzymywanie od przekazującego danych osobowych w celu dalszego ich przetwarzania po przekazaniu w imieniu przekazującego, zgodnie z instrukcjami tego ostatniego i na zasadach ustalonych w niniejszej decyzji i który nie podlega systemowi zapewnienia odpowiedniej ochrony państwa trzeciego;

f) "właściwe prawo o ochronie danych" oznacza ustawodawstwo chroniące podstawowe prawa i wolności osób fizycznych i, w szczególności, ich prawo do prywatności w odniesieniu do przetwarzania danych osobowych, właściwe dla administratora danych w Państwie Członkowskim, w którym ma siedzibę przekazujący dane;

g) "techniczne i organizacyjne środki ochrony" oznaczają takie środki, które zmierzają do ochrony danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, przypadkową stratą, zmianą, ujawnieniem lub dostępem bez upoważnienia, w szczególności gdy przetwarzanie obejmuje przekazywanie danych za pomocą sieci informatycznych oraz przed inną sprzeczną z prawem formą przetwarzania.

Artykuł 4

1. Bez uszczerbku dla swoich kompetencji do podejmowania działań w celu zapewnienia zgodności z przepisami prawa krajowego przyjętego na mocy rozdziałów II, III, V i VI dyrektywy 95/46/WE, właściwe władze Państw Członkowskich mogą zastosować przysługujące im obecnie uprawnienia do zakazania lub wstrzymania przekazywania danych do państw trzecich w celu ochrony jednostek w zakresie przetwarzania ich danych osobowych, w przypadku gdy:

a) wykazano, że prawo, któremu podlega odbierający dane, nakłada na niego obowiązki w zakresie odstępowania od stosowania zasad ochrony danych, które wykraczają poza ograniczenia konieczne w demokratycznym społeczeństwie w rozumieniu w art. 13 dyrektywy 95/46/WE, w przypadku gdy wypełnianie tych obowiązków może doprowadzić do poważnego naruszenia gwarancji ustanowionych przez właściwe prawo o ochronie danych i standardowe klauzule umowne; lub

b) właściwy organ ustalił, że odbierający dane naruszył klauzule umowne określone w Załączniku; lub

c) istnieje duże prawdopodobieństwo, że standardowe klauzule umowne z Załącznika nie są lub nie będą przestrzegane, a kontynuowanie przekazywania danych może stworzyć realne zagrożenie wyrządzenia poważnych szkód osobom, których dane dotyczą.

2. Zakaz lub zawieszenie na mocy ust. 1 znosi się po ustaniu powodów wprowadzenia zawieszenia lub zakazu.

3. Gdy Państwa Członkowskie podejmą środki na mocy ust. 1 i 2, powiadamiają o tym niezwłocznie Komisję, która przesyła informacje na ten temat pozostałym Państwom Członkowskim.

Artykuł 5

Komisja oceni funkcjonowanie niniejszej decyzji na podstawie dostępnych informacji trzy lata po notyfikacji Państwom Członkowskim. Komisja dostarczy sprawozdanie ustaleń komitetowi utworzonemu na podstawie art. 31 dyrektywy 95/46/WE. Sprawozdanie to obejmie wszystkie elementy, które mogą mieć wpływ na ocenę adekwatności standardowych klauzul umownych w Załączniku i wszystkie elementy wskazujące na to, że omawiana decyzja jest stosowana w sposób dyskryminacyjny.

Artykuł 6

Niniejszą decyzję stosuje się od dnia 3 kwietnia 2002 r.

Artykuł 7

Niniejsza decyzja jest skierowana do Państw Członkowskich.

Sporządzono w Brukseli, dnia 27 grudnia 2001 r.

W imieniu Komisji

Frederik Bolkestein

Członek Komisji

[1] Dz.U. L 281 z 23.11.1995, str. 31.

[2] Adres internetowy grupy roboczej:

- http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm.

[3] WP 4 (5020/97): "Wstępne wskazówki w sprawie przekazywania danych osobowych do państw trzecich – Możliwości postępu w ocenie adekwatności", materiał do dyskusji przyjęty przez grupę roboczą dnia 26 czerwca 1997 r.WP 7 (5057/97): Dokument roboczy: "Ocena samoregulacji branży: kiedy samoregulacja przyczynia się w rozsądny sposób do ochrony danych w państwie trzecim?", przyjęty przez grupę roboczą dnia 14 stycznia 1998 r.WP 9 (5005/98): Dokument roboczy: "Wstępne oceny stosowania przepisów umownych w kontekście przekazywania danych osobowych do państw trzecich", przyjęty przez grupę roboczą dnia 22 kwietnia 1998 r.WP 12: "Przekazywanie danych osobowych do państw trzecich: stosując art. 25 i 26 dyrektywy UE w sprawie ochrony danych", dokument przyjęty przez grupę roboczą dnia 24 lipca 1998 r., dostępny na stronie internetowej Komisji Europejskiej:

- http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp12en.htm.

[4] Dz.U. L 181 z 4.7.2001, str. 19.

[5] Opinia nr 7/2001 przyjęta przez grupę roboczą dnia 13 września 2001 r. (DG MARKT.…), dostępna na stronie internetowej Komisji Europejskiej "Europa".

--------------------------------------------------

ZAŁĄCZNIK

+++++ TIFF +++++

+++++ TIFF +++++

+++++ TIFF +++++

+++++ TIFF +++++

--------------------------------------------------

Dodatek 1

+++++ TIFF +++++

--------------------------------------------------

Dodatek 2

+++++ TIFF +++++

--------------------------------------------------