Uradni list L 181 , 04/07/2001 str. 0019 - 0031
Odločba Komisije z dne 15. junija 2001 o standardnih pogodbenih klavzulah za prenos osebnih podatkov v tretje države v skladu z Direktivo 95/46/ES (notificirana pod dokumentarno številko K(2001) 1539) (Besedilo velja za EGP) (2001/497/ES) KOMISIJA EVROPSKIH SKUPNOSTI JE – ob upoštevanju Pogodbe o ustanovitvi Evropske skupnosti, ob upoštevanju Direktive 95/46/ES Evropskega parlamenta in Sveta z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov [1] in zlasti člena 26(4) Direktive, ob upoštevanju naslednjega: (1) V skladu z Direktivo 95/46/ES morajo države članice zagotoviti, da se lahko prenos osebnih podatkov v tretjo državo izvede le, če zadevna tretja država zagotovi primerno raven varstva podatkov in če se pred prenosom spoštujejo zakoni držav članic, ki so v skladu z drugimi določbami Direktive. (2) Vendar pa člen 26(2) Direktive 95/46/ES določa, da lahko države članice ob upoštevanju nekaterih zaščitnih ukrepov odobrijo prenos ali niz prenosov osebnih podatkov v tretje države, ki ne zagotavljajo primerne ravni varstva. Taki zaščitni ukrepi lahko izhajajo zlasti iz ustreznih pogodbenih klavzul. (3) V skladu z Direktivo 95/46/ES je treba raven varstva podatkov ocenjevati z vidika vseh okoliščin, ki spremljajo postopek prenosa podatkov ali niz postopkov prenosa podatkov. Delovna skupina o varstvu posameznikov pri obdelavi osebnih podatkov, ustanovljena v skladu z navedeno direktivo [2], je izdala smernice, ki so v pomoč pri ocenjevanju [3]. (4) Člen 26(2) Direktive 95/46/ES, ki zagotavlja prožnost organizaciji, ki želi prenesti podatke v tretje države, in člen 26(4), ki predvideva standardne pogodbene klavzule, sta bistvena za ohranjanje potrebnega prenosa osebnih podatkov med Skupnostjo in tretjimi državami brez nepotrebnih obremenitev za gospodarske subjekte. Navedena člena sta še zlasti pomembna glede na dejstvo, da je malo verjetno, da bo Komisija kratkoročno ali celo srednjeročno sprejela ugotovitve o ustreznosti v skladu s členom 25(6) za več kot omejeno število držav. (5) Standardne pogodbene klavzule so skupaj s členoma 25 ter 26(1) in (2) le ena od številnih možnosti v skladu z Direktivo 95/46/ES za zakonit prenos osebnih podatkov v tretjo državo. Organizacijam bo lažje prenesti osebne podatke v tretje države z vključitvijo standardnih pogodbenih klavzul v pogodbo. Standardne pogodbene klavzule se nanašajo le na varstvo podatkov. Izvoznik in uvoznik podatkov lahko vključita katere koli druge klavzula o vprašanjih poslovanja, ki so po njunem mnenju primerna za pogodbo, kot na primer klavzule o vzajemni pomoči v primeru sporov s posameznikom, na katerega se nanašajo osebni podatki, ali nadzornim organom, če niso v nasprotju s standardnimi pogodbenimi klavzulami. (6) Ta odločba ne sme posegati v nacionalna dovoljenja, ki jih države članice lahko odobrijo v skladu z nacionalnimi predpisi za izvajanje člena 26(2) Direktive 95/46/ES. Okoliščine določenih prenosov lahko zahtevajo, da upravljavci podatkov zagotovijo drugačne zaščitne ukrepe v smislu člena 26(2). V vsakem primeru pa ta odločba od držav članic zahteva le, da ne zavrnejo priznanja, da v njej opisane pogodbene klavzule zagotavljajo ustrezne zaščitne ukrepe, in torej nima nobenega vpliva na druge pogodbene klavzule. (7) Področje uporabe te odločbe je omejeno na določitev, da lahko klavzule iz Priloge uporabi upravljavec s sedežem v Skupnosti, da bi navedel zadostne zaščitne ukrepe v smislu člena 26(2) Direktive 95/46/ES. Prenos osebnih podatkov v tretje države je postopek obdelave v državi članici, zakonitost katere je predmet nacionalnega prava. Nadzorni organi za varstvo podatkov držav članic naj pri izvajanju svojih nalog in pooblastil v skladu s členom 28 Direktive 95/46/ES ostanejo pristojni za oceno tega, ali izvoznik podatkov ravna v skladu z nacionalno zakonodajo za izvajanje določb Direktive 95/46/ES in zlasti morebitnih posebnih pravil v zvezi z obveznostjo zagotavljanja informacij v skladu z navedeno direktivo. (8) Ta odločba ne zajema prenosa osebnih podatkov od upravljavcev s sedežem v Skupnosti do prejemnikov s sedežem zunaj ozemlja Skupnosti, ki delujejo le kot obdelovalci. Navedeni prenosi ne zahtevajo enakih zaščitnih ukrepov, ker obdelovalec deluje izključno v imenu upravljavca. Komisija ima namen obravnavati navedeno vrsto prenosa v kasnejši odločbi. (9) Primerno je določiti najmanjšo količino informacij, ki jih morata pogodbenici navesti v pogodbi o prenosu. Države članice naj ohranijo pooblastilo za podrobno določanje informacij, ki jih morata priskrbeti pogodbenici. Izvajanja te odločbe je treba preučiti glede na izkušnje. (10) Komisija bo v prihodnje tudi preučila, ali standardne pogodbene klavzule, ki jih predložijo poslovne organizacije ali druge zainteresirane stranke, zagotavljajo primerne zaščitne ukrepe v skladu z Direktivo 95/46/ES. (11) Pogodbenici se lahko poljubno dogovorita o bistvenih pravilih za varstvo podatkov, ki naj jih upošteva uvoznik podatkov, vendar pa obstajajo določena načela varstva podatkov, ki naj veljajo v vsakem primeru. (12) Podatki naj bodo obdelani in nato uporabljeni ali posredovani naprej samo za določene namene ter ne smejo biti hranjeni dlje, kot je potrebno. (13) V skladu s členom 12 Direktive 95/46/ES naj ima posameznik, na katerega se nanašajo osebni podatki, pravico do dostopa do vseh podatkov, ki se nanašajo nanj in, kot je primerno, do popravljanja, izbrisa ali blokiranja nekaterih podatkov. (14) Nadaljnji prenosi osebnih podatkov drugemu upravljavcu s sedežem v tretji državi, naj bodo dovoljeni le pod določenimi pogoji, zlasti zato, da bi se zagotovilo, da so posameznikom, na katere se nanašajo osebni podatki, na voljo prave informacije in da imajo možnost ugovora ali, v nekaterih primerih, do zavrnitve soglasja. (15) Poleg ocene o tem, ali so prenosi v tretje države v skladu z nacionalno zakonodajo, naj imajo nadzorni organi v tem pogodbenem mehanizmu ključno vlogo pri zagotavljanju primernega varstva osebnih podatkov po prenosu. V posebnih okoliščinah naj nadzorni organi držav članic ohranijo pooblastilo, da prepovejo ali začasno ustavijo prenos podatkov ali niz prenosov, ki temelji na standardnih pogodbenih klavzulah, v tistih izjemnih primerih, kjer se ugotovi, da ima lahko prenos na pogodbeni podlagi precej škodljive posledice za jamstva, ki zagotavljajo ustrezno varstvo posameznika, na katerega se nanašajo osebni podatki. (16) Standardne pogodbene klavzule naj bodo izvršljive ne le s strani organizacij, ki so stranke pogodbe, ampak tudi s strani posameznikov, na katere se nanašajo osebni podatki, zlasti, če so posamezniki, na katere se nanašajo osebni podatki, oškodovani zaradi kršitve pogodbe. (17) Za pogodbo naj velja pravo države članice, v kateri ima izvoznik podatkov sedež, s čimer se upravičeni tretji strani omogoči izvajanje pogodbe. Posameznikom, na katere se nanašajo osebni podatki, naj bo dovoljeno, da jih predstavljajo združenja ali drugi organi, če to želijo in če je to dovoljeno z nacionalno zakonodajo. (18) Zaradi zmanjšanja praktičnih težav, ki jih lahko imajo posamezniki, na katere se nanašajo osebni podatki, pri poskusu uveljavitve svojih pravic v skladu s standardnimi pogodbenimi klavzulami, naj bosta izvoznik in uvoznik podatkov skupno in solidarno odgovorna za škodo, ki je posledica kakršne koli kršitve določb, zajetih v klavzulah v korist tretjega. (19) Posameznik, na katerega se nanašajo osebni podatki, ima pravico ukrepati in prejeti odškodnino od izvoznika podatkov, uvoznika podatkov ali od obeh, za vsako škodo, nastalo zaradi katerega koli dejanja, ki ni združljivo z obveznostmi iz standardnih pogodbenih klavzul. Obe pogodbenici sta te odgovornosti lahko oproščeni, če dokažeta, da nobena izmed njiju ni odgovorna. (20) Solidarna odgovornost ne velja za določbe, ki niso zajete v klavzuli v korist tretjega, ter ne pomeni, da mora ena pogodbenica plačevati odškodnino za škodo, ki je posledica nezakonite obdelave s strani druge pogodbenice. Čeprav medsebojna odškodninska odgovornost med pogodbenicami ne predstavlja zahteve za zadostnost varstva posameznikov, na katere se nanašajo osebni podatki, in ga je torej dovoljeno črtati, je vključeno v standardne pogodbene klavzule zaradi razjasnitve in v izogib potrebi po individualnih pogajanjih pogodbenic o odškodninskih klavzulah. (21) V primeru spora med pogodbenicama in posameznikom, na katerega se nanašajo osebni podatki, ki se ne razreši po mirni poti in pri čemer posameznik, na katerega se nanašajo osebni podatki, uveljavlja klavzulo v korist tretjega, pogodbenici soglašata, da posamezniku, na katerega se nanašajo osebni podatki, dasta na izbiro poravnavo, arbitražo ali sodni postopek. Obseg dejanske izbire posameznika, na katerega se nanašajo osebni podatki, bo odvisen od dostopnosti zanesljivih in priznanih sistemov poravnave in arbitraže. Ena od možnosti naj bo tudi poravnava s strani nadzornih organov države članice, če ti opravljajo takšno storitev. (22) Delovna skupina o varstvu posameznikov pri obdelavi osebnih podatkov, ustanovljena v skladu s členom 29 Direktive 95/46/ES, je dala mnenje o ravni varstva, zagotovljeni s standardnimi pogodbenimi klavzulami, priloženimi k tej odločbi, ki je bilo upoštevano pri pripravi te odločbe [4]. (23) Ukrepi, predvideni s to odločbo, so v skladu z mnenjem odbora, ustanovljenega v skladu s členom 31 Direktive 95/46/ES – SPREJELA NASLEDNJO ODLOČBO: Člen 1 Standardne pogodbene klavzule iz Priloge veljajo za takšne, ki zagotavljajo primerne zaščitne ukrepe glede varstva zasebnosti ter temeljnih pravic in svoboščin posameznikov in glede uveljavljanja ustreznih pravic, kakor zahteva člen 26(2) Direktive 95/46/ES. Člen 2 Ta odločba zadeva le primernost varstva, ki ga zagotavljajo standardne pogodbene klavzule za prenos osebnih podatkov iz Priloge. Ne vpliva na uporabo drugih nacionalnih predpisov za izvajanje Direktive 95/46/ES, ki se nanašajo na obdelavo osebnih podatkov znotraj držav članic. Ta odločba se ne uporablja za prenos osebnih podatkov s strani upravljavcev s sedežem v Skupnosti k prejemnikom s sedežem zunaj ozemlja Skupnosti, ki delujejo samo kot obdelovalci. Člen 3 V tej odločbi: (a) se uporabljajo opredelitve iz Direktive 95/46/ES; (b) "posebne vrste podatkov" pomenijo podatke iz člena 8 navedene direktive; (c) "nadzorni organ" pomeni organ iz člena 28 navedene direktive; (d) "izvoznik podatkov" pomeni upravljavca, ki prenaša osebne podatke; (e) "uvoznik podatkov" pomeni upravljavca, ki soglaša s prejemanjem osebnih podatkov za nadaljnjo obdelavo od izvoznika podatkov v skladu s klavzulami te odločbe. Člen 4 1. Pristojni organi v državah članicah lahko ne glede na svoja pooblastila za sprejetje ukrepov za zagotovitev skladnosti z nacionalnimi predpisi, sprejetimi v skladu s poglavji II, III, V in VI Direktive 95/46/ES, izvajajo svoja obstoječa pooblastila, da prepovejo ali začasno ustavijo prenos podatkov v tretje države zaradi varstva posameznikov glede obdelave njihovih osebnih podatkov v primerih, ko: (a) je ugotovljeno, da zakonodaja, ki velja za uvoznika podatkov, temu nalaga zahteve po odstopanju od ustreznih pravil o varstvu podatkov, ki presegajo omejitve, potrebne v demokratični družbi, kakor jih predvideva člen 13 Direktive 95/46/ES, če obstaja verjetnost, da imajo te zahteve precejšnje škodljive posledice za jamstva, zagotovljena s standardnimi pogodbenimi klavzulami; ali (b) pristojni organ ugotovi, da uvoznik podatkov ni spoštoval pogodbenih klavzul; ali (c) obstaja precejšnja verjetnost, da se standardne pogodbene klavzule iz Priloge ne upoštevajo ali se ne bodo upoštevale ter da bi nadaljnji prenos povzročil neposredno tveganje z resno škodo za posameznike, na katere se nanašajo osebni podatki. 2. Prepoved ali začasna ustavitev v skladu z odstavkom 1 preneha veljati takoj, ko razlogi za prepoved ali začasno ustavitev nehajo obstajati. 3. Ko države članice sprejmejo ukrepe v skladu z odstavkoma 1 in 2, takoj obvestijo Komisijo, ki bo posredovala informacije drugim državam članicam. Člen 5 Komisija oceni izvajanje te odločbe na podlagi razpoložljivih informacij tri leta po njeni notifikaciji državam članicam. Poročilo o svojih ugotovitvah predloži odboru, ustanovljenemu v skladu s členom 31 Direktive 95/46/ES. Poročilo vključuje kakršne koli dokaze, ki bi lahko vplivali na oceno v zvezi z ustreznostjo standardnih pogodbenih klavzul iz Priloge, in kakršne koli dokaze o diskriminatorni uporabi te odločbe. Člen 6 Ta odločba se uporablja od 3. septembra 2001. Člen 7 Ta odločba je naslovljena na države članice. V Bruslju, dne 15. junija 2001 Za Komisijo Frederik Bolkestein Član Komisije [1] UL L 281, 23.11.1995, str. 31. [2] Spletni naslov Delovne skupine je:http://europa.eu.intlcomm/internal_market/en/medial/dataprot/wpdocs/index.htm. [3] WP 4 (5020/97) "Delovni dokument o prvih smernicah o prenosih osebnih podatkov v tretje države — možni prihodnji načini pri ocenjevanju ustreznosti", dokument o razpravi, ki ga je sprejela Delovna skupina dne 26. junija 1997.WP 7 (5057/97) "Presoja industrijske samoregulacije: kdaj predstavlja pomemben prispevek k ravni varstva podatkov v tretji državi?", delovni dokument: sprejela ga je Delovna skupina dne 14. januarja 1998.WP 9 (3005/98) "Predhodna mnenja o uporabi pogodbenih določb v kontekstu prenosov osebnih podatkov v tretje države", delovni dokument: ki ga je sprejela Delovna skupina dne 22. aprila 1998.WP 12: "Prenosi osebnih podatkov v tretje države: uporaba členov 25 in 26 Direktive Evropske Unije o varstvu podatkov", delovni dokument, ki ga je sprejela Delovna skupina dne 24. julija 1998, na voljo na spletni strani z delovnimi dokumenti "europa.eu.int/comm/internal_market/en/media.dataprot/wpdocs/wp12en", ki jo upravlja Evropska komisija. [4] Mnenje št. 1/2001, ki ga je sprejela Delovna skupina dne 26. januarja 2001 (DG MARKT 5102/00 WP 38), na voljo na spletni strani "Europa", ki jo upravlja Evropska komisija. -------------------------------------------------- PRILOGA +++++ TIFF +++++ +++++ TIFF +++++ +++++ TIFF +++++ +++++ TIFF +++++ --------------------------------------------------