Dziennik Urzędowy L 181 , 04/07/2001 P. 0019 - 0031
Decyzja Komisji z dnia 15 czerwca 2001 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich, na mocy dyrektywy 95/46/WE (notyfikowana jako dokument nr C(2001) 1539) (Tekst mający znaczenie dla EOG) (2001/497/WE) KOMISJA WSPÓLNOT EUROPEJSKICH, uwzględniając Traktat ustanawiający Wspólnotę Europejską, uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych [1], w szczególności jej art. 26 ust. 4, a także mając na uwadze, co następuje: (1) Na mocy dyrektywy 95/46/WE, Państwa Członkowskie są zobowiązane zapewnić, że przekazywanie danych osobowych do państw trzecich może mieć miejsce tylko wtedy, gdy dane państwo trzecie zapewnia właściwy poziom ochrony danych i że prawa Państw Członkowskich, które są zgodne z innymi przepisami dyrektywy, są przestrzegane zanim nastąpi przekazanie danych. (2) Jednakże art. 26 ust. 2 dyrektywy 95/46/WE zapewnia, że Państwa Członkowskie mogą zezwolić, na podstawie określonych warunków, na przekazanie lub przekazywanie danych osobowych do państw trzecich, które nie zapewniają właściwego poziomu ochrony. Takie warunki mogą w szczególności wynikać z odpowiednich klauzul umownych. (3) Na mocy dyrektywy 95/46/WE poziom ochrony danych powinien być oceniany w świetle wszystkich okoliczności towarzyszących transferowi lub transferom danych. Grupa Robocza ds. ochrony osób fizycznych w związku z automatycznym przetwarzaniem danych osobowych powołana na mocy omawianej dyrektywy [2], wydała wytyczne pomocne przy ocenie [3]. (4) Artykuł 26 ust. 2 dyrektywy 95/46/WE, który przewiduje w stosunku do podmiotów zamierzających przekazywać dane do państw trzecich pewną elastyczność oraz art. 26 ust. 4, który stanowi o standardowych klauzulach umownych, są niezbędne dla zapewnienia koniecznego przepływu danych osobowych między Wspólnotą a państwami trzecimi, bez zbędnych obciążeń dla podmiotów gospodarczych. Powyższe artykuły są szczególnie ważne ze względu na fakt, że jest mało prawdopodobne, aby Komisja, w krótkim lub średnim okresie, przyjęła decyzję, co do zapewniania odpowiedniego poziomu ochrony zgodnie z art. 25 ust. 6, w odniesieniu do większej niż ograniczona liczba państw. (5) Zgodnie z dyrektywą 95/46/WE, obok sposobów przewidzianych w art. 25 i art. 26 ust. 1 i 2, stosowanie standardowych klauzul umownych stanowi jeden z kilku możliwych sposobów legalnego przekazywania danych osobowych do państw trzecich. Uwzględnienie standardowych klauzul umownych w umowach, ułatwi różnym podmiotom przekazywanie danych osobowych do państw trzecich. Standardowe klauzule umowne odnoszą się jedynie do ochrony danych. Przekazujący i odbierający dane mogą włączyć do umowy wszelkie inne postanowienia dotyczące spraw związanych z ich działalnością, które uważają za stosowne, a które nie pozostają w sprzeczności ze standardowymi klauzulami umownymi, na przykład postanowienia o pomocy wzajemnej w przypadku sporów z osobą, której dane dotyczą lub sporów z organem nadzorczym. (6) Niniejsza decyzja nie narusza kompetencji Państw Członkowskich do wydawania zezwoleń na podstawie przepisów prawa krajowego wykonujących art. 26 ust. 2 dyrektywy 95/46/WE. Okoliczności poszczególnych przypadków przekazywania danych mogą sprawiać, że nieodzowne będzie, aby administratorzy danych zapewnili stosowanie określonych środków bezpieczeństwa w rozumieniu art. 26 ust. 2. W każdym przypadku, niniejsza decyzja nakłada na Państwa Członkowskie jedynie wymóg, aby nie odmawiały one uznania za zapewniające odpowiedni poziom ochrony danych, zabezpieczeń ustanowionych w standardowych klauzulach umownych określonych w tej decyzji, a zatem, nie ma ona żadnego wpływu na inne przepisy umowne. (7) Zakres niniejszej decyzji ogranicza się do postanowienia, że administratorzy z terytorium Wspólnoty mogą powoływać się na zastosowanie standardowych klauzul umownych z Załącznika, w celu wykazania, że wypełnili wymóg zapewnienia odpowiedniej ochrony danych w rozumieniu dyrektywy 95/46/WE art. 26 ust. 2. Przekazanie danych osobowych do państw trzecich to operacja przetwarzania danych na terytorium Państwa Członkowskiego, której legalność jest przedmiotem prawa krajowego. Władze Państw Członkowskich ds. ochrony danych osobowych, wykonując swoje obowiązki i uprawnienia zgodnie z art. 28 dyrektywy 95/46/WE, powinny zachować kompetencje w dziedzinie oceny czy przekazujący dane zastosował się do ustawodawstwa krajowego realizującego przepisy dyrektywy 95/46/WE, w szczególności, przepisów odnoszących się do obowiązków informacyjnych przewidzianych w dyrektywie. (8) Niniejsza decyzja nie obejmuje przekazywania danych osobowych przez administratorów danych z terytorium Wspólnoty do administratorów danych spoza terytorium Wspólnoty i zajmujących się tylko przetwarzaniem danych. Tego rodzaju przekazanie danych nie wymaga takiego samego poziomu zabezpieczeń, ponieważ osoba, której powierzono przetwarzanie danych działa wyłącznie w imieniu administratora danych. Komisja zamierza objąć ten rodzaj przekazania danych inną decyzją w późniejszym terminie. (9) Należy określić podstawowe informacje, które Strony są zobowiązane podać w umowie dotyczącej przekazywania danych. Państwa Członkowskie powinny zachować uprawnienia w zakresie określania szczegółowych informacji, które Strony są zobowiązane dostarczyć. Działanie niniejszej decyzji powinno być poddane ocenie w świetle doświadczeń z jej stosowania w praktyce. (10) W przyszłości Komisja oceni czy standardowe klauzule umowne przedstawione przez organizacje przedsiębiorców lub inne zainteresowane Strony, zapewniają środki ochrony zgodne z dyrektywą 95/46/WE. (11) Podczas gdy Strony umowy powinny mieć możliwość swobodnego ustalania zasad ochrony danych obowiązujących odbierających dane, pewne zasady ochrony danych, powinny być stosowane w każdym przypadku. (12) Dane powinny być przetwarzane, a następnie wykorzystywane lub dalej przekazywane tylko w określonym celu i nie powinny być przechowywane dłużej niż to konieczne. (13) Zgodnie z art. 12 dyrektywy 95/46/WE, osoba, której dane dotyczą, powinna posiadać prawo dostępu do wszystkich dotyczących jej danych oraz do sprostowania, usunięcia ze zbioru lub wstrzymania przetwarzania pewnych danych. (14) Dalsze przekazywanie danych osobowych administratorom danych z państwa trzeciego, może być dozwolone tylko z zachowaniem określonych warunków, mających w szczególności na celu zapewnienie, aby osoba, której dane dotyczą, była poinformowana we właściwy sposób i miała możliwość sprzeciwu lub, w niektórych przypadkach, wycofania swojej zgody na przekazanie danych. (15) Oprócz dokonywania oceny zgodności przekazywania danych do państw trzecich z ustawodawstwem krajowym, organy nadzorcze powinny, wykorzystując wpisane w umowie środki zapewnienia właściwego poziomu ochrony danych osobowych, odegrać kluczową rolę w zapewnieniu właściwego poziomu ochrony tych danych po ich przekazaniu. W szczególnych przypadkach, organy nadzorcze Państw Członkowskich powinny zachować, na podstawie standardowych klauzul umownych, uprawnienia do zakazania lub wstrzymania jednokrotnego lub wielokrotnego przekazywania danych, w szczególności w przypadku gdy stwierdzono, że przekazanie danych na podstawie umowy może w poważny sposób naruszyć gwarancje zapewniające właściwy poziom ochrony osobie, której te dane dotyczą. (16) Standardowe klauzule umowne są przeznaczone do stosowania nie tylko przez organizacje, które są stronami umowy, ale także przez osoby, których dane dotyczą, w szczególności gdy te podmioty ponoszą straty będące skutkiem niedotrzymania umowy. (17) Prawem właściwym dla umowy powinno być prawo Państwa Członkowskiego przekazującego dane, co umożliwi beneficjentowi umowy powołanie się na jej przepisy. Osoby, których dane dotyczą, powinny mieć prawo powoływania swoich przedstawicieli: stowarzyszeń lub innych organizacji, jeśli taka jest ich wola i zezwala na to prawo krajowe. (18) Aby zmniejszyć praktyczne trudności, na jakie narażona jest osoba, której dane dotyczą, przy wykonywaniu uprawnień przyznanych jej w standardowych klauzulach umownych, przekazujący i odbierający dane powinni być solidarnie zobowiązani do wynagrodzenia szkody wynikającej z naruszenia postanowień umowy przewidujących świadczenie na rzecz osoby trzeciej. (19) Osoba, której dane dotyczą jest uprawniona do pozywania i uzyskania odszkodowania od przekazującego dane, odbierającego dane lub obu, za szkodę wynikającą z działań niezgodnych ze zobowiązaniami zawartymi w standardowych klauzulach umownych. Obie Strony mogą zostać zwolnione z odpowiedzialności, jeśli udowodnią, że żadna z nich nie ponosi odpowiedzialności za wyrządzoną szkodę. (20) Przepisy dotyczące odpowiedzialności solidarnej nie dotyczą przepisów, których nie ujęto w klauzuli beneficjenta – osoby trzeciej, i nie nakładają na jedną ze Stron obowiązku naprawienia szkody powstałej w wyniku nielegalnego przetwarzania danych przez drugą Stronę. Mimo, że postanowienie o wzajemnej odpowiedzialności odszkodowawczej Stron umowy nie jest nieodzowne dla zapewnienia odpowiedniego poziomu ochrony osobie, której dane dotyczą i dlatego nie musi być ono uwzględnione w umowie, stanowi ono część standardowych klauzul umownych ze względu na zachowanie klarowności, a także, aby uniknąć potrzeby indywidualnego negocjowania przez Strony postanowień umowy dotyczących wzajemnej odpowiedzialności odszkodowawczej. (21) Jeśli spór między Stronami a osobą, której dane dotyczą, nie został rozwiązany polubownie oraz osoba, której dane dotyczą powołuje się na klauzulę beneficjenta, Strony umowy wyrażają zgodę, by osoba, której dane dotyczą mogła wybrać między mediacją, arbitrażem lub postępowaniem sądowym. Zakres, w jakim osoba, której dane dotyczą, będzie miała rzeczywistą możliwość wyboru, zależy od dostępności wiarygodnych i sprawdzonych systemów mediacji i arbitrażu. Mediacja za pośrednictwem organów nadzorczych danego Państwa Członkowskiego, powinna stanowić sposób rozwiązania sporu, jeśli organy te zapewniają możliwość skorzystania z takiej usługi. (22) Grupa Robocza ds. ochrony osób fizycznych w związku z automatycznym przetwarzaniem danych osobowych powołana na mocy art. 29 dyrektywy 95/46/WE, wydała opinię o poziomie bezpieczeństwa zapewnianego przez standardowe klauzule umowne, załączone do niniejszej decyzji, którą wzięto pod uwagę w czasie przygotowywania niniejszej decyzji [4]. (23) Środki przewidziane w niniejszej decyzji są zgodne z opinią Komitetu ustanowionego na mocy art. 31 dyrektywy 95/46/WE, PRZYJMUJE NINIEJSZĄ DECYZJĘ: Artykuł 1 Standardowe klauzule umowne wymienione w załączniku uważa się za zapewniające adekwatne zabezpieczenie w odniesieniu do ochrony prywatności oraz podstawowych praw i swobód jednostek, oraz wykonywania praw pokrewnych zgodnie wymogami art. 26 ust. 2 dyrektywy 9/46/WE. Artykuł 2 Niniejsza decyzja dotyczy jedynie adekwatności ochrony zapewnionej przez standardowe klauzule umowne wymienione w załączniku dotyczącym przekazywania danych osobowych. Nie ma ona wpływu na stosowanie innych przepisów prawa krajowego implementujących dyrektywę 95/46/WE, które wchodzą w zakres przetwarzania danych osobowych w Państwach Członkowskich. Niniejsza decyzja nie ma zastosowania do przekazywania danych osobowych przez administratorów danych z terytorium Wspólnoty, do odbierających dane spoza terytorium Wspólnoty, którym powierzono jedynie przetwarzanie danych. Artykuł 3 Do celów niniejszej decyzji: a) stosuje się definicje z dyrektywy 95/46/WE; b) "szczególne kategorie danych" oznaczają dane określone w art. 8 niniejszej dyrektywy; c) "organ nadzorczy" oznacza organ określony w art. 28 niniejszej dyrektywy; d) "przekazujący dane" oznacza administratora danych, który przekazuje dane osobowe; e) "odbierający dane" oznacza administratora danych, który wyraża zgodę na otrzymywanie od przekazującego danych osobowych w celu dalszego ich przetwarzania na zasadach ustalonych w niniejszej decyzji. Artykuł 4 1. Bez uszczerbku dla swoich kompetencji do podejmowania działań w celu zapewnienia zgodności z przepisami prawa krajowego przyjętymi na mocy rozdziałów II, III, V i VI dyrektywy 95/46/WE, właściwe władze Państw Członkowskich mogą zastosować przysługujące im obecnie uprawnienia do zakazania lub wstrzymania przekazywania danych do państw trzecich w celu ochrony jednostek w zakresie przetwarzania ich danych osobowych, w przypadku gdy: a) wykazano, że prawo któremu podlega odbierający dane nakłada na niego obowiązki w zakresie odstępowania od stosowania zasad ochrony danych, które wykraczają poza ograniczenia konieczne w demokratycznym społeczeństwie w rozumieniu art. 13 dyrektywy 95/46/WE w przypadku gdy wypełnianie tych obowiązków może doprowadzić do poważnego naruszenia gwarancji ustanowionych w standardowych klauzulach umownych; lub b) właściwy organ ustalił, że odbierający dane naruszył klauzule umowne; lub c) istnieje duże prawdopodobieństwo, że standardowe klauzule umowne z załącznika nie są lub nie będą przestrzegane, a kontynuowanie przekazywania danych może stworzyć realne zagrożenie wyrządzenia poważnych szkód osobom, których dane dotyczą. 2. Zakaz lub zawieszenie na mocy ust. 1 znosi się po ustaniu powodów wprowadzenia zawieszenia lub zakazu. 3. Gdy Państwa Członkowskie podejmą środki na mocy ust. 1 i 2, powiadomią o tym niezwłocznie Komisję, która prześle informacje na ten temat pozostałym Państwom Członkowskim. Artykuł 5 Komisja oceni funkcjonowanie niniejszej decyzji na podstawie dostępnych informacji trzy lata po notyfikacji Państwom Członkowskim. Komisja dostarczy protokół ustaleń komitetowi utworzonemu na podstawie art. 31 dyrektywy 95/46/WE. Dokument ten obejmie wszystkie dowody, które wpływają na ocenę, dotyczącą adekwatności standardowych klauzul umownych w Załączniku i wszystkie dowody, że omawiana decyzja jest stosowana w sposób dyskryminacyjny. Artykuł 6 Niniejszą decyzję stosuje się od dnia 3 września 2001 r. Artykuł 7 Niniejsza decyzja skierowana jest do Państw Członkowskich. Sporządzono w Brukseli, dnia 15 czerwca 2001 r. W imieniu Komisji Frederik Bolkestein Członek Komisji [1] Dz.U. L 281 z 23.11.1995, str. 31. [2] Adres internetowy Grupy Roboczej:http://www.europa.eu.intlcomm/internal_market/en/medial/dataprot/wpdocs/index.htm. [3] WP 4 (5020/97) "Wstępne wskazówki w sprawie przekazywania danych osobowych do państw trzecich – możliwości postępu w ocenie adekwatności" materiał do dyskusji przyjęty przez grupę roboczą dnia 26 czerwca 1997 r.WP 7 (5057/97) Dokument roboczy: "Ocena samoregulację branży: kiedy samoregulacja przyczynia się w rozsądny sposób do ochrony danych w państwie trzecim?", przyjęty przez grupę roboczą dnia 14 stycznia 1998 r.WP 9 (3005/98) Dokument roboczy: "Wstępne oceny stosowania przepisów umownych w kontekście przekazywania danych osobowych do państw trzecich", przyjęty przez grupę roboczą dnia 22 kwietnia 1998 r.WP 12: "Przekazywanie danych osobowych do państw trzecich: stosowanie art. 25 i 26 dyrektywy UE w sprawie ochrony danych", dokument przyjęty przez grupę roboczą dnia 24 lipca 1998 r., dostępny na stronie internetowej Komisji Europejskiej: "europa.eu.int/comm/internal_markt/en/media.dataprot/wpdocs/wp12/en". [4] Opinia nr 1/2001 przyjęta przez grupę roboczą dnia 26 stycznia 2001 r. (DG MARKT 5102/00 WP 38), dostępna na stronie internetowej Komisji Europejskiej "Europa". -------------------------------------------------- ZAŁĄCZNIK +++++ TIFF +++++ +++++ TIFF +++++ +++++ TIFF +++++ +++++ TIFF +++++ --------------------------------------------------