29.12.2004   

PL

Dziennik Urzędowy Unii Europejskiej

L 385/74

DECYZJA KOMISJI

z dnia 27 grudnia 2004 r.

zmieniająca decyzję 2001/497/WE w zakresie wprowadzenia alternatywnego zestawu standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich

(notyfikowana jako dokument nr K(2004) 5271)

(Tekst mający znaczenie dla EOG)

(2004/915/WE)

KOMISJA WSPÓLNOT EUROPEJSKICH,

uwzględniając Traktat ustanawiający Wspólnotę Europejską,

uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (1), w szczególności jej art. 26 ust. 4,

a także mając na uwadze, co następuje:

(1)

W celu ułatwienia przepływu danych ze Wspólnoty jest pożądane, aby administratorzy danych mieli możliwość globalnego przekazywania danych w ramach jednego pakietu zasad ochrony danych. Wobec braku globalnych norm ochrony danych ważnym narzędziem umożliwiającym przekazywanie danych osobowych ze wszystkich Państw Członkowskich w ramach wspólnego pakietu zasad są standardowe klauzule umowne. W związku z powyższym decyzja Komisji 2001/497/WE z dnia 15 czerwca 2001 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na mocy dyrektywy 95/46/WE (2) ustanawia modelowy pakiet standardowych klauzul umownych, gwarantujący właściwy poziom ochrony transferu danych do państw trzecich.

(2)

Od czasu przyjęcia tej decyzji zgromadzono wiele nowych doświadczeń. Ponadto koalicja zrzeszeń przedsiębiorców (3) zgłosiła pakiet alternatywnych standardowych klauzul umownych mający zapewnić taki poziom ochrony danych jak ustanowiony pakietem standardowych klauzul umownych na mocy decyzji 2001/497/WE, aczkolwiek przy użyciu odmiennych mechanizmów.

(3)

Ponieważ stosowanie standardowych klauzul umownych do międzynarodowego przekazywania danych jest dobrowolne, gdyż klauzule te stanowią jedną z kilku możliwości zgodnego z prawem przekazywania danych osobowych do państwa trzeciego na mocy dyrektywy 95/46/WE, zatem przekazujący dane ze Wspólnoty oraz odbierający dane w państwach trzecich mogą wybrać dowolny pakiet standardowych klauzul umownych tudzież skorzystać z innej podstawy prawnej transferu danych. Jednakże ponieważ każdy pakiet jako całość stanowi model, przekazującym dane nie powinno zezwalać się na zmianę tych pakietów tudzież w jakikolwiek sposób ich łączyć, całkowicie lub częściowo.

(4)

Standardowe klauzule umowne przedłożone przez organizacje przedsiębiorców mają na celu zwiększenie wykorzystywania klauzul umownych przez operatorów poprzez takie mechanizmy, jak bardziej elastyczne wymagania kontrolne czy bardziej szczegółowe zasady dotyczące prawa dostępu.

(5)

Ponadto obecnie przedłożony pakiet zawiera alternatywę dla systemu odpowiedzialności solidarnej przewidzianego w decyzji 2001/497/WE, tj. system odpowiedzialności oparty na zobowiązaniu należytej staranności, gdzie przekazujący i odbierający dane za naruszenia zobowiązań umownych, których się dopuszczą, będą odpowiedzialni, każdy z osobna, wobec osób, których te dane dotyczą; przekazujący dane ponosi ponadto odpowiedzialność za niepodjęcie odpowiednich działań w celu ustalenia, czy importer danych może spełnić swoje zobowiązania prawne wynikające z tych klauzul (culpa in eligendo – wina w wyborze), a osoba, której dane dotyczą może podjąć kroki przeciwko przekazującemu dane w związku z wyżej opisanym niepodjęciem działań. W tym względzie wykonanie klauzuli I pkt b) nowego pakietu standardowych klauzul umownych ma szczególne znaczenie, w szczególności w związku z możliwością przeprowadzania przez przekazujących dane kontroli w siedzibie odbierającego dane tudzież żądania przez nich przedstawienia dowodu na posiadanie przez odbierającego dane środków finansowych wystarczających do realizacji jego zobowiązań.

(6)

Jeśli chodzi o realizację klauzuli beneficjenta – osoby trzeciej, przez osoby, których dotyczą dane, klauzule przewidują większe zaangażowanie przekazującego dane w rozstrzyganie zażaleń tych osób; w szczególności przekazujący dane jest zobowiązany do skontaktowania się z odbierającym dane i, jeśli jest to konieczne, realizacji umowy w zwykłym terminie jednego miesiąca; jeśli przekazujący dane odmówi realizacji umowy, a naruszenie jej postanowień przez odbierającego dane będzie trwać, wówczas osoba, której dane dotyczą, może rozpocząć realizację klauzul odpowiedzialności importera, a ostatecznie pozwać go do sądu w Państwie Członkowskim. Niniejsza zgoda na poddanie się jurysdykcji oraz na podporządkowanie się decyzji właściwego sądu lub organu nadzorczego nie wyklucza innych praw proceduralnych odbierających dane, jakie mogą posiadać w państwach trzecich, w tym prawa do odwołania.

(7)

Jednakże aby zapobiec nadużyciom mogącym wyniknąć ze zwiększenia elastyczności postanowień, organy nadzorcze powinny mieć większą możliwość zakazania lub zawieszenia transferu danych na podstawie nowego pakietu standardowych klauzul umownych, w przypadkach gdy przekazujący dane odmówi podjęcia stosownych kroków w celu realizacji zobowiązań umownych dotyczących odpowiedzialności odbierającego dane lub odbierający dane odmówi współpracy w dobrej wierze z właściwymi organami nadzorczymi w zakresie ochrony danych.

(8)

Standardowe klauzule umowne będą wykonywane bez uszczerbku dla zastosowania postanowień przepisów krajowych przyjętych na mocy dyrektywy 95/46/WE lub dyrektywy 2002/58/WE (4) dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej), w szczególności jeśli chodzi o łączność handlową dla celów marketingu bezpośredniego.

(9)

Na tej podstawie można uznać, że środki ochrony uwzględnione w przedłożonym pakiecie standardowych klauzul umownych są adekwatne w znaczeniu art. 26 ust. 2 dyrektywy 95/46/WE.

(10)

Grupa Robocza ds. Ochrony Osób Fizycznych w zakresie przetwarzania danych osobowych powołana na mocy art. 29 dyrektywy 95/46/WE wydała opinię (5) o poziomie bezpieczeństwa zapewnianego przez standardowe klauzule umowne, która została uwzględniona.

(11)

Aby zapewnić realizację poprawek do decyzji 2001/497/WE, powinny one zostać poddane ocenie Komisji trzy lata po notyfikacji Państwom Członkowskim.

(12)

W związku z powyższym należy wprowadzić zmiany w decyzji 2001/497/WE.

(13)

Środki przewidziane niniejszą decyzją są zgodne z opinią komitetu ustanowionego na mocy art. 31 dyrektywy 95/46/WE,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł 1

W decyzji 2001/497/WE wprowadza się następujące zmiany:

1)

w art. 1 dodaje się następujący ustęp:

„Administratorzy danych mogą wybrać pakiet I lub II z zamieszczonych w Załączniku. Nie mogą jednak zmieniać klauzul ani łączyć poszczególnych klauzul lub pakietów.”

;

2)

w art. 4 ust. 2 i 3 otrzymują następujące brzmienie:

„2.   Do celów ust. 1, na mocy którego administrator danych powołuje się na odpowiednie środki ochrony wynikające ze standardowych klauzul umownych zamieszczonych w pakiecie II Załącznika, właściwe organy nadzorcze są uprawnione do zastosowania przysługującego im prawa do zakazania lub wstrzymania przekazywania danych w następujących przypadkach:

a)

odmowy współpracy w dobrej wierze z organami nadzorczymi ds. ochrony danych lub wypełniania zobowiązań jasno określonych w umowie przez odbierającego dane;

b)

odmowy przekazującego dane podjęcia stosownych kroków w celu wyegzekwowania realizacji umowy przez odbierającego dane w zwyczajowym okresie jednego miesiąca od powiadomienia przekazującego dane o tym fakcie przez właściwe organy nadzorcze.

Do celów pierwszego akapitu odmowa w złej wierze lub odmowa realizacji umowy przez odbierającego dane nie dotyczy przypadków, w których współpraca lub wykonanie byłoby sprzeczne z wymaganiami ustawodawstwa krajowego, które obowiązują odbierającego dane, a nie wykraczają poza ograniczenia konieczne w demokratycznym społeczeństwie w rozumieniu art. 13 dyrektywy 95/46/WE, w szczególności sankcje ustanowione instrumentami międzynarodowymi i/lub krajowymi, zobowiązania związane ze sprawozdawczością podatkową lub dotyczącą prania pieniędzy.

Dla celów pkt. a) pierwszego akapitu współpraca może obejmować w szczególności przedłożenie celem kontroli urządzeń przetwarzania danych odbierającego dane lub obowiązek poddania się zaleceniom organu nadzorczego ds. ochrony danych we Wspólnocie.

3.   Zakaz lub zawieszenie na mocy ust. 1 i 2 znosi się natychmiast po ustaniu powodów wprowadzenia takiego zakazu lub zawieszenia.

4.   Gdy Państwa Członkowskie podejmą środki na mocy ust. 1, 2 i 3, powiadomią o tym niezwłocznie Komisję, która prześle informacje na ten temat pozostałym Państwom Członkowskim.”;

3)

w art. 5 pierwsze zdanie otrzymuje następujące brzmienie:

„Komisja oceni funkcjonowanie niniejszej decyzji na podstawie dostępnych informacji trzy lata po notyfikacji tej decyzji i wszelkich zmian Państwom Członkowskim.”

;

4)

w Załączniku wprowadza się następujące zmiany:

1.

po tytule dodaje się określenie „PAKIET I”;

2.

dodaje się treść Załącznika do niniejszej decyzji.

Artykuł 2

Niniejszą decyzję stosuje się od dnia 1 kwietnia 2005 r.

Artykuł 3

Niniejsza decyzja skierowana jest do Państw Członkowskich.

Sporządzono w Brukseli, dnia 27 grudnia 2004 r.

W imieniu Komisji

Charlie McCREEVY

Członek Komisji

(1)  Dz.U. L 281 z 23.11.95, str. 31. Dyrektywa zmieniona rozporządzeniem (WE) nr 1883/2003 (Dz.U. L 284 z 31.10.2003, str. 1).

(2)  Dz.U. L 181 z 4.7.2001, str. 19.

(3)  Międzynarodowa Izba Handlowa (ICC), Japońska Rada Biznesu w Europie (JBCE), Europejskie Stowarzyszenie Producentów Technologii Informacyjnych i Komunikacyjnych (EICTA), Komitet UE Amerykańskiej Izby Handlowej w Belgii (Amcham), Konfederacja Przemysłu Brytyjskiego (CBI), Międzynarodowy Okrągły Stół Firm Branży Komunikacyjnej (ICRT) oraz Europejska Federacja Stowarzyszeń Marketingu Bezpośredniego (FEDMA).

(4)  Dz.U. L 201 z 31.7.2002, str. 37.

(5)  Opinia nr 8/2003, dostępna na stronie internetowej: http://europa.eu.int/comm/privacy

Załącznik

PAKIET II

Standardowe klauzule umowne w sprawie przekazywania danych osobowych ze Wspólnoty do państw trzecich (transfer między administratorami)

Umowa o przekazywaniu danych

pomiędzy

_ (nazwa)

_ (adres i kraj siedziby)

(zwanym dalej »przekazującym dane«)

i

_ (nazwa)

_ (adres i kraj siedziby)

zwanym dalej »odbierającym dane«,

Każdy z nich zwany »Stroną«, a wspólnie »Stronami«.

Definicje

Do celów klauzul:

a)

»dane osobowe«, »szczególne kategorie danych/dane sensytywne«, »przetwarzać/przetwarzanie«, »administrator danych«, »przetwarzający dane«, »osoba, której dane dotyczą« oraz »organ nadzorczy« mają takie samo znaczenie jak w dyrektywie 95/46/WE z dnia 24 października 1995 r. (gdzie »organ nadzorczy« oznacza właściwy organ nadzoru ochrony danych na terytorium państwa, w którym siedzibę ma przekazujący dane);

b)

»przekazujący dane« oznacza administratora danych, który przesyła dane osobowe;

c)

»odbierający dane« oznacza administratora danych, który wyraża zgodę na odbiór danych osobowych od przekazującego w celu ich dalszego przetwarzania na zasadach określonych w niniejszych klauzulach, a który nie podlega obowiązującemu w państwie trzecim systemowi zapewniającemu właściwy poziom ochrony danych;

d)

»klauzule« oznaczają niniejsze klauzule umowne, będące samodzielnym dokumentem, który nie uwzględnia warunków handlowych ustalonych pomiędzy stronami osobną umową handlową.

Szczegóły przekazania danych (jak również rodzaje danych osobowych) są wyszczególnione w załączniku B, który stanowi integralną część klauzul.

I.   Obowiązki przekazującego dane

Przekazujący dane zgadza się na poniższe warunki i zapewnia, co następuje:

a)

że dane osobowe będzie zbierał, przetwarzał i przekazywał zgodnie z przepisami obowiązującego go prawa;

b)

że podjął zasadne kroki w celu ustalenia, że odbierający dane jest w stanie wywiązać się z obowiązków prawnych określonych w niniejszych klauzulach;

c)

na życzenie odbierającego dane udostępni mu kopie właściwych przepisów dotyczących ochrony danych państwa, w którym przekazujący dane ma siedzibę, tudzież poinformuje go, gdzie szukać informacji o takich przepisach (tam gdzie jest to zasadne i nie obejmuje porady prawnej);

d)

będzie odpowiadać wyczerpująco i w rozsądnym terminie na zapytania organu nadzorczego i osoby, której dane dotyczą odnośnie do przetwarzania przez odbierającego dane, o ile strony nie uzgodniły, że takich odpowiedzi będzie udzielać odbierający dane, w którym to przypadku przekazujący dane nadal będzie udzielać, w zasadnych przypadkach i zakresie, odpowiedzi na zapytania, jeśli odbierający dane nie może lub nie chce udzielić takiej odpowiedzi. Odpowiedzi będą udzielane w rozsądnym terminie;

e)

na życzenie osoby, której dane dotyczą, lub beneficjentów – strony trzeciej w rozumieniu klauzuli 3, udostępni im kopię niniejszych klauzul, o ile klauzule nie zawierają informacji poufnych, w którym to wypadku przekazujący dane może usunąć takie informacje przed udostępnieniem klauzul. W przypadku usunięcia informacji przekazujący dane poinformuje na piśmie osobę, której dane dotyczą, o przyczynie usunięcia tych informacji oraz o przysługującym jej prawie poinformowania o takim usunięciu organu nadzorczego. Jednakże przekazujący dane zastosuje się do decyzji organu nadzorczego w sprawie pełnego dostępu osób, których dane dotyczą, do klauzul, o ile osoby takie zobowiążą się do przestrzegania poufności usuniętych danych. Przekazujący dane na życzenie organu nadzorczego udostępni mu kopię niniejszych klauzul.

II.   Obowiązki odbierającego dane

Odbierający dane zgadza się na poniższe warunki i zapewnia:

a)

że zastosuje stosowne środki techniczne i organizacyjne, aby chronić dane osobowe przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą, zmianą oraz ujawnieniem lub udostępnieniem osobom nieupoważnionym, oraz że zapewni poziom bezpieczeństwa właściwy ze względu na zagrożenia powstające przy przetwarzaniu i związane z naturą danych;

b)

że zastosuje procedury zapewniające zachowanie bezpieczeństwa i poufności danych osobowych przez strony trzecie, także przetwarzających dane, które upoważnił do przetwarzania takich danych. Wszystkie osoby działające z upoważnienia odbierającego dane, w tym przetwarzający dane, zobowiązują się do przetwarzania danych osobowych tylko z polecenia odbierającego dane. To postanowienie nie dotyczy osób uprawnionych do dostępu do danych osobowych lub mających takie uprawnienia z tytułu prawa;

c)

że nie ma żadnego powodu, aby sądzić, że ustawodawstwo, któremu podlega, mogłoby mieć znaczący negatywny skutek dla gwarancji określonych w niniejszych warunkach, a w przypadku gdy taka sytuacja miałaby miejsce, powiadomi o tym przekazującego dane (który, jeśli jest to konieczne, przekaże tę informację organowi nadzorczemu);

d)

że będzie przetwarzać dane osobowe do celów opisanych w załączniku B oraz że podlega organowi nadzorczemu, który gwarantuje wypełnienie zobowiązań określonych w niniejszych klauzulach;

e)

że poinformuje przekazującego dane o osobie, która w jego organizacji zajmuje się zapytaniami dotyczącymi przetwarzania danych osobowych, i będzie współpracować w dobrej wierze z przekazującym dane, osobami, których dane dotyczą oraz organem nadzorczym i rozpatrywać takie zapytania w rozsądnym terminie. W przypadku rozwiązania organizacji przekazującego dane lub jeśli strony tak ustalą, odbierający dane przyjmie odpowiedzialność za zapewnienie zgodności z postanowieniami klauzuli I lit. e);

f)

że na życzenie przekazującego dane, przedstawi mu dowody posiadania środków finansowych wystarczających do wypełnienia swoich zobowiązań określonych w klauzuli III (łącznie z ubezpieczeniem);

g)

że na zasadne życzenie przekazującego dane umożliwi mu (tudzież innym niezależnym lub bezstronnym agentom kontrolującym albo rewidentom wskazanym przez przekazującego dane i niezakwestionowanym niezasadnie przez odbierającego dane) po uprzedzeniu w rozsądnym terminie i w godzinach pracy przegląd, kontrolę i/lub certyfikację posiadanych urządzeń do przetwarzania danych oraz akt i dokumentów związanych z przetwarzaniem danych w celu sprawdzenia zgodności z gwarancjami i zobowiązaniami określonymi w niniejszych klauzulach. Życzenie takie musi być poparte potwierdzeniem lub zgodą organu prawnego lub nadzorczego państwa odbierającego dane, który to uzyska takie potwierdzenie lub zgodę w rozsądnym terminie;

h)

że będzie przetwarzać dane osobowe w miarę swoich możliwości zgodnie z:

i)

przepisami dotyczącymi ochrony danych kraju przekazującego dane, lub

ii)

właściwymi przepisami (1) każdej decyzji Komisji wydanej na podstawie art. 25 ust. 6 dyrektywy 95/46/WE, jeśli odbierający dane spełnia właściwe postanowienia takiego upoważnienia lub decyzji i działa w kraju, gdzie przepisy te obowiązują, ale nie dotyczą go takie upoważnienia lub decyzje w zakresie przekazywania danych osobowych (2), lub

iii)

zasadami przekazywania danych określonymi w załączniku A.

Odbierający dane wpisuje wybraną opcję:_

Podpis odbierającego dane:_;

i)

że nie ujawni i nie przekaże danych osobowych administratorowi danych spoza Europejskiego Obszaru Ekonomicznego (EEA), chyba że poinformuje o tym fakcie przekazującego dane, i

i)

administrator danych z takiego kraju będzie przetwarzać dane osobowe zgodnie z decyzją Komisji stwierdzającą, że państwo trzecie zapewnia adekwatną ochronę, lub

ii)

administrator danych z państwa trzeciego podpisze niniejsze klauzule lub inną umowę o przekazaniu danych zatwierdzoną przez właściwy organ z terenu UE, lub

iii)

osoby, których dane dotyczą, po otrzymaniu informacji o celu takiego przekazania danych, kategorii odbiorców danych oraz fakcie, że w państwie, do którego przekazywane są dane, mogą obowiązywać inne normy ochrony danych, będą miały prawo sprzeciwu, lub

iv)

osoby, których dane dotyczą, wyraziły jednoznaczną zgodę na dalsze przekazanie danych sensytywnych.

III.   Odpowiedzialność i prawa strony trzeciej

a)

Strony będą wzajemnie odpowiedzialne wobec siebie za szkody powstałe w wyniku naruszenia przepisów określonych w niniejszych klauzulach. Odpowiedzialność wzajemna stron jest ograniczona do rzeczywistych szkód. W szczególności wyklucza to możliwość odszkodowania za straty moralne (tj. odszkodowania mającego na celu ukaranie strony za jej znieważające zachowanie). Każda ze stron będzie odpowiedzialna wobec osoby, której dane dotyczą, za szkody powstałe w wyniku naruszenia przez nią praw osób trzecich określonych w niniejszych klauzulach. Nie wyklucza to odpowiedzialności przekazującego dane wynikającej z obowiązujących go przepisów dotyczących ochrony danych.

b)

Strony postanawiają, że osoba, której dane dotyczą, jest uprawniona jako beneficjant – osoba trzecia do zastosowania wobec odbierającego lub przekazującego dane, w przypadku naruszenia przez nich zobowiązań umownych w zakresie dotyczącym danych osobowych tej osoby, postanowień niniejszej klauzuli oraz klauzuli I lit. b), I lit. d), I lit. e), II lit. a), II lit. c), II lit. d), II lit. e), II lit. h), II lit. i), III lit. a), V, VI lit. d) oraz VII. Do tych celów zastosowanie ma prawodawstwo kraju przekazującego dane. W sprawach obejmujących stwierdzenie naruszenia postanowień przez odbierającego dane osoba, której dane dotyczą, musi najpierw zwrócić się do przekazującego dane z prośbą o podjęcie przez niego stosownych kroków w celu egzekucji praw dotyczących działań, jakie może podjąć wobec odbierającego dane, a jeśli przekazujący dane nie podejmie takich kroków w rozsądnym terminie (w zwykłych okolicznościach jest to termin jednego miesiąca), wówczas osoba, której dane dotyczą, może dochodzić swoich praw bezpośrednio wobec odbierającego dane. Osoba, której dane dotyczą, ma prawo do bezpośredniego dochodzenia swoim praw wobec przekazującego dane, który nie spełnił obowiązku ustalenia, czy odbierający dane ma możliwość spełnienia zobowiązań prawnych określonych w niniejszych klauzulach (na przekazującym dane spoczywa obowiązek udowodnienia, że podjął w tym celu zasadne kroki).

IV.   Prawo właściwe dla niniejszych klauzul

Prawem właściwym dla niniejszych klauzul jest prawo kraju przekazującego dane, z wyjątkiem przepisów i praw związanych z przetwarzaniem danych osobowych przez odbierającego dane na mocy klauzuli II lit. h), które mają zastosowanie jedynie, jeśli tak postanowi odbierający dane.

V.   Rozstrzyganie sporów z osobami, których dane dotyczą, lub organem nadzorczym

a)

W przypadku sporów lub roszczeń związanych z przetwarzaniem danych między osobą, której dane dotyczą, lub organem nadzorczym a każdą ze stron lub oboma stronami strony powiadomią się wzajemnie o zaistnieniu takiego sporu lub roszczenia i będą współpracować na rzecz polubownego rozstrzygnięcia sporu w rozsądnym terminie.

b)

Strony postanawiają, że będą uczestniczyć w każdym publicznie dostępnym niewiążącym procesie mediacyjnym zainicjowanym przez osobę, której dane dotyczą, lub organ nadzorczy. Strony mogą zdecydować o zdalnym udziale w postępowaniach mediacyjnych (poprzez połączenie telefoniczne lub inną drogą przekazu elektronicznego). Strony postanawiają ponadto, że rozważą udział w innych postępowaniach rozstrzygających, arbitrażowych lub mediacyjnych mających na celu rozstrzygnięcie sporu związanego z ochroną danych.

c)

Każda ze stron poddaje się jurysdykcji sądu właściwego kraju przekazującego dane lub organu nadzorczego, a decyzję takiego sądu lub organu uznaje za ostateczną i niepodlegającą odwołaniu.

VI.   Wypowiedzenie

a)

W przypadku gdy odbierający dane narusza zobowiązania wynikające z niniejszych klauzul, przekazujący dane może czasowo, do chwili ustania takiego naruszenia lub rozwiązania umowy, wstrzymać przekazywanie danych odbierającemu.

b)

W przypadku gdy:

i)

przekazywanie danych osobowych odbierającemu dane zostało czasowo wstrzymane przez przekazującego dane na okres dłuższy niż jeden miesiąc na mocy ust. a),

ii)

wypełnianie zobowiązań określonych w niniejszych klauzulach przez odbierającego dane spowodowałoby naruszenie przez niego zobowiązań wynikających z przepisów prawnych lub uregulowań obowiązujących w kraju, do którego przekazywane są dane,

iii)

odbierający dane w poważnym stopniu lub uporczywie narusza którekolwiek gwarancje lub postanowienia określone w niniejszych klauzulach,

iv)

wydana zostanie ostateczna decyzja właściwego sądu państwa przekazującego dane lub przepisów organu nadzorczego, od której nie przysługuje odwołanie, o naruszeniu postanowień niniejszych klauzul przez przekazującego lub odbierającego dane, lub

v)

złożony zostanie wniosek o ustanowienie zarządu lub likwidację odbierającego dane, niezależnie od tego, czy jest on przedsiębiorstwem czy osobą indywidualną, który nie zostanie odrzucony w przewidzianym dla takich wniosków terminie, zostanie wystawiony nakaz likwidacji, na dowolnej części jego majątku zostanie ustanowiony syndyk, powołany zostanie syndyk masy upadłości – jeśli odbierający dane jest osobą fizyczną, zostanie wszczęte postępowanie prowadzące do zawarcia ugody lub zaistnieje podobne zdarzenie prawne,

wówczas przekazujący dane może, bez uszczerbku dla innych zobowiązań, jakie ma wobec odbierającego dane na mocy niniejszych klauzul, wypowiedzieć niniejsze klauzule, informując w takim przypadku organ nadzorczy. W przypadkach, o których mowa w i), ii) lub iv), także odbierający dane może wypowiedzieć niniejsze klauzule.

c)

Każda ze stron może wypowiedzieć niniejsze klauzule, jeśli i) w odniesieniu do państwa (lub jego sektora), do którego są przekazywane dane lub w którym dane są przetwarzane przez odbierającego, zostanie wydana decyzja Komisji o adekwatności przepisów na mocy art. 25 ust. 6) dyrektywy 95/46/WE (lub tekstu, który ją zastępuje) lub ii) w takim państwie będzie bezpośrednio stosowana dyrektywa 95/46/WE (lub tekst, który ją zastępuje).

d)

Strony postanawiają, że wypowiedzenie niniejszych klauzul w każdym czasie, z jakiejkolwiek przyczyny i z powodu jakichkolwiek okoliczności [z wyjątkiem wypowiedzenia na mocy klauzuli VI c)] nie zwalnia z wynikających z klauzul zobowiązań i/lub warunków dotyczących przetwarzania przekazanych danych.

VII.   Zmiany niniejszych klauzul

Strony nie mogą zmieniać niniejszych klauzul z wyjątkiem aktualizacji wszelkich informacji zawartych w załączniku B, w którym to wypadku, i jeśli jest to wymagane, poinformują o tym fakcie organ nadzorczy. Nie wyklucza to możliwości dodawania przez strony innych klauzul handlowych.

VIII.   Opis przekazywania danych

Szczegóły przekazywania danych osobowych są sprecyzowane w załączniku B. Strony postanawiają, że załącznik B może zawierać poufne informacje handlowe, których nie ujawnią stronom trzecim, chyba że będzie to wymagane przepisami prawa lub z nakazu właściwej agencji regulacyjnej lub rządowej, zgodnie z wymogiem klauzuli I lit. e). Strony mogą sporządzić dodatkowe załączniki dotyczące dodatkowych transferów danych, które, jeśli to konieczne, przedłożą organowi nadzorczemu. Alternatywnie załącznik B może obejmować wiele transferów danych.

Data: _

_

_

ODBIERAJĄCY DANE

PRZEKAZUJĄCY DANE

ZAŁĄCZNIK A

ZASADY PRZEKAZYWANIA DANYCH

1.

Ograniczenia celu: dane osobowe mogą być przetwarzane, a następnie wykorzystywane lub dalej przekazywane wyłącznie do celów opisanych w załączniku B lub po uzyskaniu zgody na takie dalsze przetwarzanie przez osobę, której dane dotyczą.

2.

Jakość danych i zasada proporcjonalności: dane muszą być zgodne z prawdą i, w miarę potrzeb, aktualizowane. Dane muszą być odpowiednie i nie wykraczać poza to, co jest potrzebne dla realizacji celów, dla których zostały one przekazane i są dalej przetwarzane.

3.

Przejrzystość: osobie, której dane dotyczą, powinny zostać przekazane informacje konieczne do zapewnienia rzetelnego przekazywania danych (takie jak dotyczące celu przetwarzania oraz przekazywania danych), o ile informacje te nie zostały wcześniej przekazane przez przekazującego dane.

4.

Środki bezpieczeństwa i poufność: administrator danych jest obowiązany przedsięwziąć techniczne i organizacyjne środki w celu zapewnienia poziomu bezpieczeństwa właściwego ze względu na zagrożenia powstające przy przetwarzaniu danych, jak na przykład przypadkowe lub bezprawne zniszczenie lub przypadkowa utrata, zmiana, bezprawne ujawnienie lub dostęp. Żadnej osobie działającej z upoważnienia administratora danych, włączając w to osobę, której powierzono przetwarzanie danych, nie wolno przetwarzać danych w inny sposób niż zgodny z instrukcjami administratora danych.

5.

Prawo do dostępu do danych, sprostowania, usuwania danych ze zbioru i wstrzymywania przetwarzania danych: zgodnie z art. 12 dyrektywy 95/46/WE osoba, której dane dotyczą, powinna mieć zapewniony dostęp, bezpośredni lub przez stronę trzecią, do wszystkich danych osobowych odnoszących się do niej, z wyjątkiem sytuacji, gdy osoba, której dane dotyczą, ostentacyjnie nadużywa tego prawa poprzez nieuzasadnione częste, powtarzające się lub systematyczne prośby o udostępnienie tych danych lub w przypadku, gdy przepisy prawa kraju przekazującego dane nie nakazują udostępnienia takich danych. Pod warunkiem uprzedniej zgody organu nadzorczego osoba, której dane dotyczą, może również nie uzyskać prawa dostępu do danych, jeśli udzielenie takiego dostępu poważnie naruszyłoby interesy odbierającego dane lub innych organizacji mających do czynienia z odbierającym dane, a spełnienie tego warunku nie naruszałoby podstawowych praw i wolności osoby, której dotyczą dane. Źródło danych osobowych nie musi być ujawniane, jeśli nie jest to możliwe mimo podjęcia zasadnych kroków lub gdy spowodowałoby to pogwałcenie praw innych osób. Osoba, której dane dotyczą, musi mieć prawo do sprostowania lub usuwania danych ze zbioru, jeśli są niedokładne lub są przetwarzane niezgodnie z zasadami wymienionymi w niniejszym Załączniku. Jeśli istnieją ważne podstawy, by wątpić w zasadność takiej prośby, przed przystąpieniem do sprostowania, poprawiania lub usuwania danych ze zbioru organizacja może zażądać wyjaśnień. Zawiadomienie stron trzecich, którym ujawniono zmienione, poprawione lub usunięte ze zbioru dane, nie jest konieczne, jeśli wymagałoby to niewspółmiernych wysiłków. Z prawnie uzasadnionych przyczyn wynikających ze szczególnej sytuacji, w jakiej znajduje się osoba, której dane dotyczą, powinna mieć ona również prawo do sprzeciwienia się przetwarzaniu jej danych. Obowiązek udowodnienia zasadności odmowy dostępu do danych spoczywa na odbierającym dane, a osoba, której dane dotyczą, ma zawsze prawo do odwołania się od tej odmowy do organu nadzorczego.

6.

Dane sensytywne: Odbierający dane musi podjąć takie dodatkowe środki (jak na przykład związane z ochroną danych), jakie są konieczne do zapewnienia ochrony danych sensytywnych zgodnie z jego obowiązkami wynikającymi z klauzuli II.

7.

Dane wykorzystywane do celów marketingu bezpośredniego: w przypadku gdy dane przetwarza się dla celów marketingu bezpośredniego, powinny istnieć skuteczne procedury zapewniające osobie, której te dane dotyczą, możliwość zabronienia w każdej chwili wykorzystywania danych do takich celów.

8.

Decyzje podejmowane w sposób automatyczny: do celów niniejszych klauzul określenie „decyzje podejmowane w sposób automatyczny” oznaczają decyzję przekazującego lub odbierającego dane, która powoduje skutki prawne dotyczące osoby, której dane dotyczą, lub mają znaczący wpływ na jej sytuację, a która opiera się jedynie na automatycznym przetwarzaniu danych w celu oceny niektórych cech osobistych, takich jak osiągnięcia w pracy, zdolność kredytowa, rzetelność, zachowanie itd. Odbierający dane nie może podejmować w sposób automatyczny żadnych decyzji dotyczących osoby, której dane dotyczą, z wyjątkiem sytuacji, gdy:

a)

i)

takie decyzje są podejmowane przez odbierającego dane w trakcie zawierania lub realizacji umowy z osobą, której dotyczą dane, lub

ii)

osoba, której dane dotyczą, ma możliwość omówienia skutków decyzji podjętej w sposób automatyczny z przedstawicielem strony, która podejmuje taką decyzję lub w inny sposób przedstawienia swojego punktu widzenia tej stronie;

lub

b)

taka decyzja jest wymagana prawem kraju przekazującego dane.

ZAŁĄCZNIK B

OPIS PRZEKAZYWANIA DANYCH

[wypełniają strony]

Image

PRZYKŁADOWE KLAUZULE HANDLOWE (DOBROWOLNE)

Odszkodowania wzajemne między przekazującym a odbierającym dane:

»Strony zobowiązują się do wzajemnego wynagrodzenia wszelkich kosztów, opłat, wydatków lub strat poniesionych przez jedną ze stron w wyniku naruszenia przez drugą stronę postanowień niniejszych klauzul. Odszkodowanie wzajemne na mocy niniejszej klauzuli uzależnione jest od spełnienia następujących warunków: a) strona (strony), która(-e) jest uprawniona (są uprawnione) do odszkodowania [‘strona poszkodowana’ (‘strony poszkodowane’)] niezwłocznie poinformuje o roszczeniu drugą stronę (strony) [‘stronę odpowiedzialną’ (‘strony odpowiedzialne’)], b) strona odpowiedzialna (strony odpowiedzialne) jest jedyną stroną uprawnioną do obrony i zaspokojenia takiego roszczenia oraz c) strona poszkodowana (strony poszkodowane) zapewni(-ą), w rozsądnym zakresie, współpracę i pomoc stronie odpowiedzialnej (stronom odpowiedzialnym) w zakresie zaspokojenia takiego roszczenia.«.

Rozstrzyganie sporów pomiędzy przekazującym a odbierającym dane (strony mogą naturalnie zastosować dowolną inną metodę rozstrzygania sporu lub uzgodnić inną klauzulę jurysdykcyjną):

»W przypadku zaistnienia sporu dotyczącego rzekomego naruszenia któregokolwiek postanowienia niniejszych klauzul pomiędzy odbierającym a przekazującym dane spór taki zostanie ostatecznie rozstrzygnięty zgodnie z regulaminem arbitrażu Międzynarodowej Izby Handlowej przez jednego lub więcej arbitrów powołanych na mocy wspomnianych zasad. Miejscem postępowania arbitrażowego będzie […]. Powołanych zostanie […] arbitrów.«.

Podział kosztów:

»Każda ze stron będzie realizować zobowiązania wynikające z niniejszych klauzul na własny koszt.«.

Dodatkowa klauzula o wypowiedzeniu:

»W przypadku wypowiedzenia niniejszych klauzul odbierający dane musi niezwłocznie zwrócić przekazującemu dane wszystkie dane osobowe i wszystkie kopie danych objęte postanowieniami niniejszych klauzul lub, zgodnie z życzeniem przekazującego dane, zniszczyć wszystkie kopie powyższych i przedstawić przekazującemu dane dowód dokonania takiego zniszczenia, pod warunkiem że prawo krajowe lub lokalne odbierającego dane nie zabrania mu zniszczenia lub zwrotu całości lub części takich danych. W takim przypadku dane muszą być traktowane jak poufne i nie mogą być aktywnie przetwarzane do żadnych celów. Odbierający dane zgadza się, że na życzenie przekazującego dane umożliwi mu lub wskazanemu przez niego, a zatwierdzonemu przez odbierającego dane, kontrolerowi wstęp do swojej siedziby, po uprzednim powiadomieniu i w godzinach pracy, w celu sprawdzenia, czy zastosował się do postanowień powyższych klauzul.«

”.

(1)  Określenie »właściwe przepisy« oznacza przepisy każdych zezwoleń lub decyzji z wyjątkiem przepisów wykonawczych do tych zezwoleń lub decyzji (które są objęte niniejszymi klauzulami).

(2)  Jednakże postanowienia pkt. 5 załącznika A dotyczące prawa do dostępu, naprawy, usuwania danych oraz sprzeciwu muszą być stosowane, jeśli zostanie wybrana niniejsza opcja i mają pierwszeństwo przed innymi porównywalnymi postanowieniami decyzji Komisji.