29.12.2004   

SL

Uradni list Evropske unije

L 385/74

ODLOČBA KOMISIJE

z dne 27. decembra 2004

o spremembi Odločbe 2001/497/ES glede uvedbe alternativnega sklopa standardnih pogodbenih klavzul za prenos osebnih podatkov v tretje države

(notificirana pod dokumentarno številko K(2004) 5271)

(Besedilo velja za EGP)

(2004/915/ES)

KOMISIJA EVROPSKIH SKUPNOSTI JE –

ob upoštevanju Pogodbe o ustanovitvi Evropske skupnosti,

ob upoštevanju Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (1) ter zlasti člena 26(4) Direktive,

ob upoštevanju naslednjega:

(1)

Da bi pospešili prenos podatkov iz Skupnosti je zaželeno, da upravljavci zagotovijo globalen prenos podatkov po enotnem sklopu pravil o varstvu podatkov. Če ni globalnih standardov za varstvo podatkov, zagotovijo standardne pogodbene klavzule pomembno orodje, ki omogoča prenos osebnih podatkov iz vseh držav članic po skupnem sklopu pravil. Odločba Komisije 2001/497/ES z dne 15. junija 2001 o standardnih pogodbenih klavzulah za prenos osebnih podatkov v tretje države v skladu z Direktivo 95/46/ES (2) zato določa vzorec sklopa standardnih pogodbenih klavzul, ki zagotavlja ustrezno zaščito prenosa podatkov v tretje države.

(2)

Po sprejetju te odločbe je bilo pridobljenih veliko izkušenj. Poleg tega je koalicija poslovnih združenj (3) predložila sklop alternativnih standardnih pogodbenih klavzul, ki so oblikovane tako, da lahko zagotavljajo enakovredno raven varstva podatkov kot jo določajo standardne pogodbene klavzule iz Odločbe 2001/497/ES, čeprav uporabljajo različne mehanizme.

(3)

Ker je uporaba standardnih pogodbenih klavzul za mednarodne prenose podatkov prostovoljna, saj so standardne pogodbene klavzule le ena od več možnosti, ki jih predvideva Direktiva 95/46/ES, je treba, da lahko za zakonito prenašanje osebnih podatkov v tretjo državo izvozniki podatkov v Skupnosti in uvozniki podatkov v tretjih državah svobodno izbirajo med sklopi standardnih pogodbenih klavzul ali kako drugo pravno podlago za prenos podatkov. Vendar, ker je vzorec vsak sklop kot celota, izvoznikom podatkov ni dovoljeno spreminjati teh sklopov ali jih popolnoma ali delno združevati na kakršen koli način.

(4)

Standardne pogodbene klavzule, ki so jih predložila poslovna združenja, si prizadevajo povečati uporabo pogodbenih klavzul med izvajalci z mehanizmi, kot so bolj prilagodljive zahteve pri pregledih, natančnejša pravila v zvezi s pravico do dostopa.

(5)

Sedaj predloženi sklep vsebuje poleg tega, kot alternativo k sistemu solidarne odgovornosti, določene v Odločbi 2001/497/ES, režim odgovornosti, ki temelji na obveznostih primerne skrbnosti, pri čemer sta izvoznik podatkov in uvoznik podatkov odgovorna za svoje kršitve pogodbenih obveznosti v razmerju do posameznikov, na katere se nanašajo osebni podatki. Izvoznik podatkov je odgovoren tudi za neprizadevnost pri ugotavljanju, ali je uvoznik podatkov zmožen izpolniti svoje pravne obveznosti po klavzulah (odgovornost za skrbnost pri izbiri, culpa in eligendo), in s tem v zvezi lahko oseba, na katero se nanašajo osebni podatki, ukrepa proti izvozniku podatkov. Izvajanje točke (b) klavzule I novega sklopa standardnih pogodbenih klavzul je s tega vidika posebej pomembna, še zlasti v zvezi z možnostjo izvoznika podatkov, da pregleda prostore uvoznika podatkov ali da zahteva dokaze o zadostnih finančnih sredstvih za izpolnjevanje njegovih obveznosti.

(6)

Posamezniki, na katere se nanašajo osebni podatki, imajo pri uveljavljanju pravice v korist tretjega zagotovljeno večjo udeležbo izvoznika podatkov pri razreševanju pritožb posameznikov, na katere se nanašajo osebni podatki, pri čemer je izvoznik podatkov dolžan stopiti v stik z uvoznikom podatkov in uresničiti pogodbo v razumnem roku enega meseca, če je to potrebno. Če izvoznik podatkov zavrne izvajanje pogodbe in če uvoznik podatkov še naprej nadaljuje s kršitvijo lahko posameznik, na katerega se nanašajo osebni podatki, uveljavlja klavzule proti uvozniku podatkov in ga nazadnje toži v državi članici. To sprejetje pristojnosti in soglasje v zvezi z izpolnjevanjem odločbe pristojnega sodišča ali organa za varstvo podatkov ne posega v postopkovne pravice uvoznikov podatkov, uveljavljene v tretjih državah, kot je pravica do pritožbe.

(7)

Vendar pa je zaradi preprečevanja zlorabljanja te dodatne prilagodljivosti organom za varovanje podatkov primerno zagotoviti lažjo prepoved ali zaustavitev prenosa podatkov na podlagi novega sklopa standardnih pogodbenih klavzul v tistih primerih, ko izvoznik podatkov zavrne sprejetje vseh primernih ukrepov za izvajanje obveznosti pogodbenih klavzul do uvoznika podatkov ali ko slednji v dobri veri noče sodelovati s pristojnimi nadzornimi organi za varovanje podatkov.

(8)

Uporaba standardnih pogodbenih klavzul ne posega v uveljavljanje nacionalnih predpisov, sprejetih v skladu z Direktivo 95/46/ES ali Direktivo 2002//58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 (4), o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah), še zlasti v zvezi s posredovanjem poslovnih komunikacij za namene neposrednega trženja.

(9)

Na podlagi omenjenega se lahko varnostni ukrepi, navedeni v predloženih standardnih pogodbenih klavzulah, štejejo kot primerni v smislu člena 26(2) Direktive 95/46/ES.

(10)

Delovna skupina za varstvo posameznikov pri obdelavi osebnih podatkov, ustanovljena v skladu s členom 29 Direktive 95/46/ES, je posredovala mnenje (5) o ravni varstva, zagotovljeni s standardnimi pogodbenimi klavzulami, priloženimi k tej odločbi, ki je bilo upoštevano pri pripravi te odločbe.

(11)

Da bi se vrednotilo izvajanje sprememb Odločbe 2001/497/ES, je primerno, da jih Komisija oceni tri leta po tem, ko so bile države članice o njih obveščene.

(12)

Odločbo 2001/497/ES je treba ustrezno spremeniti.

(13)

Ukrepi, predvideni s to odločbo, so v skladu z mnenjem Odbora, ustanovljenega v skladu s členom 31 Direktive 95/46/ES –

SPREJELA NASLEDNJO ODLOČBO:

Člen 1

Odločba 2001/497/ES se spremeni:

1.

V členu 1 se doda naslednji odstavek:

„Upravljavci podatkov lahko izberejo katerega koli od sklopov I ali II v Prilogi. Vendar pa ne smejo niti spreminjati klavzul niti kombinirati posameznih klavzul ali sklopov.“

2.

V členu 4 se odstavka 2 in 3 nadomestita z naslednjim besedilom:

„2.   Za namene odstavka 1, ko upravljavec podatkov navaja primerne varnostne ukrepe na podlagi standardnih pogodbenih klavzul iz sklopa II v Prilogi, imajo pristojni organi za varstvo podatkov pravico do izvajanja svojih obstoječih pooblastil, da prepovejo ali začasno ustavijo prenos podatkov v katerem koli od naslednjih primerov:

(a)

zavrnitev uvoznika podatkov, da v dobri veri sodeluje z organi za varstvo podatkov ali izpolnjuje čiste obveznosti po pogodbi;

(b)

zavrnitev izvoznika podatkov, da sprejme vse primerne ukrepe za izvajanje pogodbe proti uvozniku podatkov v razumnem roku enega meseca od trenutka, ko pristojni organ za varstvo podatkov obvesti izvoznika podatkov.

Za namene prvega pododstavka, zlonamerna zavrnitev ali zavrnitev izvajanja pogodbe s strani uvoznika podatkov ne vključuje primerov, v katerih je sodelovanje ali izvajanje v nasprotju z obveznimi zahtevami nacionalne zakonodaje, veljavne za uvoznika podatkov, ki ne presegajo tega, kar je potrebno v demokratični družbi na podlagi enega od interesov iz člena 13(1) Direktive 95/46/ES, še zlasti sankcije iz mednarodnih in/ali nacionalnih instrumentov, zahteve za prijavo davka ali zahteve za poročanje o boju proti pranju denarja.

Za namene točke (a) prvega pododstavka lahko sodelovanje zajema zlasti predložitev opreme za obdelavo podatkov uvoznika podatkov v pregled ali obveznost upoštevanja nasvetov nadzornega organa za varstvo podatkov v Skupnosti.

3.   Prepoved ali začasna ustavitev v skladu z odstavkoma 1 in 2 preneha veljati takoj, ko so odstranjeni razlogi za prepoved ali začasno ustavitev.

4.   Potem ko države članice sprejmejo ukrepe v skladu z odstavki 1, 2 in 3, nemudoma obvestijo Komisijo, ta pa bo posredovala informacije drugim državam članicam.“

3.

V členu 5 se prvi stavek nadomesti z naslednjim:

„Komisija oceni izvajanje te odločbe na podlagi razpoložljivih informacij tri leta po njeni notifikaciji in po notifikaciji katere koli njene spremembe državam članicam.“.

4.

V Prilogi se spremeni naslednje:

1.

Za naslovom se vstavi izraz „SKLOP I“.

2.

K tej odločbi se doda besedilo iz Priloge.

Člen 2

Ta odločba se uporablja od 1. aprila 2005.

Člen 3

Ta odločba je naslovljena na države članice.

V Bruslju, 27. decembra 2004

Za Komisijo

Charlie McCREEVY

Član Komisije

(1)  UL L 281, 23.11.1995, str. 31. Direktiva, kakor je bila nazadnje spremenjena z Uredbo (ES) št. 1883/2003 (UL L 284, 31.10.2003, str. 1).

(2)  UL L 181, 4.7.2001, str. 19.

(3)  Mednarodna trgovinska zbornica (ICC), Poslovni svet Japonske v Evropi (JBCE), Evropsko združenje industrije informacijske in komunikacijske tehnike in tehnologije (EICTA), Odbor za EU Ameriške gospodarske zbornice v Belgiji (Amcham), Združenje britanske industrije (CBI), Okrogla miza za mednarodno komunikacijo (ICRT) in Evropska federacija združenj za direktni marketing (FEDMA).

(4)  UL L 201, 31.7.2002, str. 37.

(5)  Mnenje št. 8/2003, dostopno na spletni strani: http://europa.eu.int/comm/privacy

PRILOGA

SKLOP II

Standardne pogodbene klavzule za prenos osebnih podatkov iz Skupnosti v tretje države (prenosi od upravljavca k upravljavcu)

Dogovor o prenosu podatkov

med

_ (ime)

_ (naslov in država sedeža)

v nadaljnjem besedilu ‚izvoznik podatkov‘

in

_ (ime)

_ (naslov in država sedeža)

(v nadaljnjem besedilu ‚uvoznik podatkov‘),

posamezno je vsaka stranka ‚pogodbenica‘; skupaj ‚pogodbenici‘.

Opredelitev pojmov

V teh klavzulah:

(a)

imajo izrazi ‚osebni podatki‘, ‚posebne vrste podatkov/občutljivi podatki‘, ‚obdelovati/obdelava‘, ‚pravljavec‘, ‚obdelovalec‘, ‚posameznik, na katerega se nanašajo osebni podatki‘ in ‚nadzorni organ/organ‘ enak pomen kot v Direktivi 95/46/ES z dne 24. oktobra 1995 (pri čemer pomeni ‚organ‘ pristojni organ za varstvo podatkov na ozemlju, kjer je sedež izvoznika podatkov);

(b)

‚izvoznik podatkov‘ pomeni upravljavca, ki prenese osebne podatke;

(c)

‚uvoznik podatkov‘ pomeni upravljavca, ki soglaša s tem, da prejme od izvoznika podatkov osebne podatke za nadaljnjo obdelavo v skladu s pogoji teh klavzul, in ki ni podvržen sistemu tretje države za zagotovitev ustreznega varstva;

(d)

‚klavzule‘ pomenijo pogodbene klavzule, ki so samostojen dokument in ne vsebujejo trgovinskih in poslovnih pogojev, določenih s strani pogodbenic v posebnih trgovinskih dogovorih.

Podrobnosti prenosa (kot tudi zajeti osebni podatki) so navedene v Prilogi B, ki je sestavni del klavzul.

I.   Obveznosti izvoznika podatkov

Izvoznik podatkov jamči in se zavezuje, da:

(a)

so bili osebni podatki zbrani, obdelani in preneseni v skladu z zakoni, ki veljajo za izvoznika podatkov;

(b)

je sprejel vse primerne ukrepe, s katerimi je ugotovil, da je uvoznik podatkov zmožen izpolniti svoje pravne obveznosti iz teh klavzul;

(c)

uvozniku podatkov zagotovi kopije ustreznih zakonov o varstvu podatkov ali kopije sklicev nanje (kadar so ti ustrezni in ne vključujejo pravnih nasvetov) v državi, v kateri ima izvoznik podatkov sedež, če je to potrebno;

(d)

se odzove na poizvedbe posameznikov, na katere se nanašajo osebni podatki, in organa v zvezi z osebnimi podatki, ki jih obdela uvoznik podatkov, razen če pogodbenici soglašata, da to stori uvoznik podatkov, v tem primeru pa se izvoznik podatkov še vedno odzove v razumni meri in z dosegljivimi podatki, če se uvoznik podatkov noče ali ne more odzvati. Na poizvedbe se odzove v razumnem času;

(e)

posameznikom, na katere se nanašajo osebni podatki in ki imajo po klavzuli III korist tretjega, na njihovo zahtevo da na voljo kopijo klavzul, razen če klavzule vsebujejo zaupne podatke; v tem primeru ima pravico, da jih odstrani. Če so bili podatki odstranjeni, mora izvoznik podatkov pisno obvestiti posameznike, na katere se nanašajo osebni podatki, o razlogu odstranitve in o njihovi pravici, da na odstranitev opozorijo. Vendar pa izvoznik podatkov spoštuje odločbo organa v zvezi z dostopom posameznikov, na katere se nanašajo osebni podatki, do celotnega besedila klavzul, dokler se posamezniki, na katere se nanašajo osebni podatki, strinjajo, da bodo spoštovali tajnost odstranjenih zaupnih podatkov. Izvoznik podatkov zagotovi tudi organu kopijo klavzul, če je to potrebno.

II.   Obveznosti uvoznika podatkov

Uvoznik podatkov jamči in se zavezuje, da:

(a)

bo poskrbel za ustrezne tehnične in organizacijske ukrepe in z njimi zaščitil osebne podatke pred naključnim ali nezakonitim uničenjem ali naključno izgubo, spreminjanjem, nepooblaščenim posredovanjem ali dostopom in zagotovil varnostno raven, ustrezno tveganju, ki ga predstavljata obdelava in narava podatkov, ki jih je treba zaščititi;

(b)

bo poskrbel za postopke, ki spoštujejo in ohranjajo zaupnost osebnih podatkov, tako da bo vsaka tretja oseba, pooblaščena za dostop do osebnih podatkov, vključno z obdelovalci, spoštoval in ohranjal zaupnost in varnost osebnih podatkov. Vsaka oseba, ki je pod nadzorom uvoznika podatkov, vključno z obdelovalcem podatkov, mora obdelovati podatke samo v skladu z navodili uvoznika podatkov. Ta določba ne velja za osebe, ki jih zakon ali drugi predpisi pooblaščajo ali od njih zahtevajo, da imajo dostop do osebnih podatkov;

(c)

nima nobenega razloga za domnevo, da v času sprejetja teh klavzul obstajajo kakršni koli lokalni zakoni s precejšnjimi škodljivimi posledicami za jamstva, določena s temi klavzulami, in obvesti izvoznika podatkov (ki prenese to obvestilo organu, če je to potrebno), če ugotovi, da takšni zakoni obstajajo;

(d)

obdeluje osebne podatke v namene, opisane v Prilogi B, in ima pravno pooblastilo, da daje jamstva in izpolnjuje obveznosti, določene v teh klavzulah;

(e)

izvozniku podatkov določi kontaktno točko znotraj organizacije, ki je pooblaščena, da odgovarja na poizvedbe v zvezi z obdelovanjem osebnih podatkov, in v dobri veri ter razumnem roku sodeluje z izvoznikom podatkov, s posameznikom, na katerega se nanašajo osebni podatki, in organom pri vseh takih poizvedbah. Če izvoznik podatkov preneha delovati ali če sta se tako zmenili pogodbenici, prevzame uvoznik podatkov odgovornost za ravnanje po določbah klavzule I(e);

(f)

na njegovo zahtevo izvozniku podatkov priskrbi dokaze o zadostnih finančnih sredstvih za izpolnitev svojih obveznosti iz klavzule III (ki lahko vključujejo zavarovanje);

(g)

na razumno zahtevo izvoznika podatkov predloži izvozniku podatkov (ali katerim koli neodvisnim ali nepristranskim inšpekcijskim uslužbencem ali revizorjem, ki jih izbere izvoznik podatkov, uvoznik podatkov pa temu izboru ne nasprotuje na podlagi utemeljenega razloga) v presojo, pregled in/ali certificiranje svojo opremo za obdelovanje podatkov, datoteke in dokumentacijo, potrebno za obdelavo, zaradi preverjanja skladnosti z jamstvi in obveznostmi v teh klavzulah, ob primernem predhodnem obvestilu in v času uradnih ur. Pri zahtevi se upoštevajo vse potrebne odobritve ali privoljenja regulativnega ali nadzornega organa države, v kateri ima uvoznik podatkov sedež, s tem da bo skušal uvoznik podatkov te odobritve ali privoljenja dobiti pravočasno;

(h)

obdeluje osebne podatke po svoji izbiri v skladu:

(i)

z zakoni o varstvu podatkov v državi, v kateri ima izvoznik podatkov sedež;

(ii)

z ustreznimi določbami (1) katere koli odločbe Komisije iz člena 25(6) Direktive 95/46/ES, pri čemer uvoznik podatkov upošteva ustrezne določbe takega pooblastila ali odločbe in ima sam sedež v državi, na katero se tako pooblastilo ali taka odločba nanaša, vendar pa ni zajet v takem pooblastilu ali taki odločbi za namene prenosa(-ov) osebnih podatkov (2), ali

(iii)

z načeli obdelave podatkov, določenimi v Prilogi A.

Uvoznik podatkov označi izbrano možnost: _

Začetnici uvoznika podatkov: _;

(i)

ne razkriva ali prenaša osebnih podatkov upravljavcu podatkov, ki je tretja oseba in je zunaj Evropskega gospodarskega prostora (EGP), razen če o prenosu obvesti izvoznika podatkov in če

(i)

obdeluje upravljavec podatkov, ki je tretja oseba, osebne podatke v skladu z odločbo Komisije, ki ugotavlja, da tretja država zagotavlja ustrezno zaščito; ali

(ii)

postane upravljavec podatkov, ki je tretja oseba, podpisnik teh klavzul ali drugega dogovora o prenosu podatkov, odobrenega s strani pristojnega organa v Evropski uniji; ali

(iii)

so posamezniki, na katere se nanašajo osebni podatki, dobili priložnost ugovora, potem ko so bili obveščeni o namenu prenosa, kategorijah prejemnikov in dejstvu, da lahko imajo države, v katere se izvažajo podatki, drugačne standarde varovanja podatkov; ali

(iv)

dajo posamezniki, na katere se nanašajo osebni podatki, v zvezi z nadaljnjim prenosom občutljivih podatkov izrecno soglasje za nadaljnji prenos.

III.   Odgovornost in pravice tretjih oseb

(a)

Vsaka pogodbenica odgovarja drugi pogodbenici za škodo, ki jo povzroči s kakršno koli kršitvijo teh klavzul. Odgovornost med pogodbenicama je omejena na dejansko povzročeno škodo. Dodatne odškodnine (tj. odškodnine, s katerimi se pogodbenica kaznuje zaradi neprimernega ravnanja) so izrecno izvzete. Vsaka pogodbenica odgovarja drugi pogodbenici za škodo, ki jo povzroči s kakršno koli kršitvijo teh klavzul. To ne vpliva na odgovornost izvoznika podatkov po pravu o varstvu podatkov.

(b)

Pogodbenici soglašata, da ima posameznik, na katerega se nanašajo osebni podatki, pravico, da kot tretja oseba uveljavi to klavzulo in klavzule I(b), I(d), I(e), II(a), II(c), II(d), II(e), II(h), II(i), III(a), V, VI(d) in VII zoper uvoznika podatkov ali izvoznika podatkov za njune kršitve obligacijskih razmerij v zvezi z osebnimi podatki in da v ta namen prizna pristojnost države, v kateri ima izvoznik podatkov sedež. Če obstajajo domneve o kršitvi s strani uvoznika podatkov, mora posameznik, na katerega se nanašajo osebni podatki, najprej zahtevati od izvoznika podatkov, naj primerno ukrepa in uveljavi svoje pravice nasproti uvozniku podatkov; če izvoznik podatkov ne ravna tako v razumnem roku (v normalnih okoliščinah je to en mesec), lahko posameznik, na katerega se nanašajo osebni podatki, uveljavlja svoje pravice neposredno nasproti uvozniku podatkov. Posameznik, na katerega se nanašajo osebni podatki, je upravičen do neposrednega ukrepanja zoper izvoznika podatkov, ki ni sprejel vseh primernih ukrepov, s katerimi bi ugotovil, ali je uvoznik podatkov zmožen izpolniti svoje pravne obveznosti iz teh klavzul (dokazno breme, da si je za to razumno prizadeval, nosi izvoznik podatkov).

IV.   Zakonodaja, ki se uporablja za klavzule

Te klavzule ureja zakonodaja države, v kateri ima izvoznik podatkov sedež, z izjemo zakonov in predpisov, povezanih z obdelavo osebnih podatkov s strani uvoznika podatkov v klavzuli II(h), ki veljajo samo v primeru, da se uvoznik podatkov tako odloči v tej klavzuli.

V.   Reševanje sporov s posamezniki, na katere se nanašajo osebni podatki, ali z organom

(a)

Pogodbenici se pri sporu ali zahtevku, ki ga vloži posameznik, na katerega se nanašajo osebni podatki, ali organ, v zvezi z obdelavo osebnih podatkov, povezanih s katero koli pogodbenico ali z obema pogodbenicama, pogodbenici medsebojno obvestita o vsakem takem sporu ali zahtevku in sodelujeta zato, da ga poravnata po mirni poti in pravočasno.

(b)

Pogodbenici soglašata, da se odzoveta na kateri koli splošno dosegljiv nezavezujoč postopek mediacije, sprožen s strani posameznika, na katerega se nanašajo osebni podatki, ali organa. Če pogodbenici sodelujeta v postopkih, se lahko odločita za sodelovanje na daljavo (po telefonu ali elektronski poti). Pogodbenici tudi soglašata, da bosta premislili o sodelovanju v kateri koli drugi arbitraži, mediaciji ali drugih postopkih za reševanje sporov, ki se uporabljajo za spore v zvezi z varstvom podatkov.

(c)

Vsaka pogodbenica spoštuje odločbo pristojnega sodišča iz države, v kateri ima izvoznik podatkov sedež, ali organa; ta je dokončna in zoper njo se ni več mogoče pritožiti.

VI.   Prenehanje

(a)

Če uvoznik podatkov krši svoje obveznosti po teh klavzulah, lahko izvoznik podatkov začasno ustavi prenos osebnih podatkov k uvozniku podatkov, dokler se kršitev ne odpravi ali dokler pogodba ne preneha veljati.

(b)

V primeru:

(i)

začasne zaustavitve prenosa osebnih podatkov k uvozniku podatkov s strani izvoznika podatkov za več kot en mesec v skladu z odstavkom (a);

(ii)

kršitve zakonskih ali uradnih obveznosti v državi uvoza s strani uvoznika podatkov zaradi upoštevanja teh klavzul;

(iii)

resnega in vztrajnega kršenja jamstev ali obveznosti po teh klavzulah s strani uvoznika podatkov;

(iv)

končne odločitve pristojnega sodišča v državi, v kateri ima izvoznik podatkov sedež, ali predpisov organa iz te države, zoper katero se ni mogoče več pritožiti, da je prišlo do kršitve klavzul s strani uvoznika podatkov ali izvoznika podatkov; ali

(v)

se predloži peticija za uresničevanje ali prenehanje delovanja uvoznika podatkov, osebnega ali poslovnega, vendar se ta peticija ne zavrne v primernem roku za tako zavrnitev v okviru veljavnega zakona; se izda nalog za likvidacijo; je imenovan prejemnik katerih koli njegovih sredstev; se v primeru bankrota imenuje skrbnik, če je uvoznik podatkov posameznik; se začne s strani družbe predlagana sporazumna poravnava; ali se zgodi enako v kateri koli pristojnosti

potem ima izvoznik podatkov pravico, brez poseganja v katere koli druge pravice, ki jih lahko ima nasproti uvozniku podatkov, do odpovedi teh klavzul; v tem primeru se po potrebi obvesti organ. V primerih, zajetih v (i), (ii), ali (iv), je tudi uvoznik podatkov upravičen do odpovedi teh klavzul.

(c)

Vsaka pogodbenica lahko odpove te klavzule, če (i) se izda kakršna koli ustrezna odločba Komisije v skladu s členom 25(6) Direktive 95/46/ES (ali kakšno nadomestno besedilo) v zvezi z državo (ali sektorjem le-te), v katero uvoznik podatkov prenaša podatke in jih obdeluje, ali (ii) se Direktiva 95/46/ES (ali kakšno nadomestno besedilo) začne neposredno uporabljati v taki državi.

(d)

Pogodbenici soglašata, da ju prenehanje veljavnosti klavzul kadar koli in v kakršnih koli okoliščinah ter iz katerega koli vzroka (razen prenehanja v klavzuli VI(c)) ne odvezuje od obveznosti in/ali pogojev iz klavzul, ki zadevajo obdelavo prenesenih osebnih podatkov.

VII.   Spreminjanje teh klavzul

Pogodbenice ne smejo spreminjati teh klavzul, razen v primeru posodobitve kakršnih koli informacij v Prilogi B, pri čemer obvestijo organ, če je to potrebno. To pogodbenicam ne preprečuje, da dodajo še kakšne trgovinske klavzule, če je to potrebno.

VIII.   Opis prenosa

Podrobnosti o prenosu in o osebnih podatkih so navedeni v Prilogi B. Pogodbenici soglašata, da lahko Priloga B vsebuje poslovne informacije zaupne narave, ki se ne smejo razkriti tretjim osebam, razen če to zahteva zakon, pristojni nadzorni organ, agencija ali klavzula I(e). Pogodbenici lahko uporabljata dodatne priloge za zajemanje dodatnih prenosov, ki se po potrebi predložijo organu. Druga možnost je, da se Priloga B izpolni tako, da zajema večkratne prenose.

Datum: _

_

_

ZA UVOZNIKA PODATKOV

ZA IZVOZNIKA PODATKOV

PRILOGA A

NAČELA OBDELAVE PODATKOV

1.

Omejitev namenov: Osebni podatki se lahko obdelujejo in posledično uporabljajo ali posredujejo naprej samo v namene, opisane v Prilogi B, ali če posameznik, na katerega se nanašajo osebni podatki, pozneje dovoli njihovo uporabo.

2.

Kakovost in sorazmernost podatkov: Osebni podatki morajo biti točni in, kjer je to potrebno, ažurirani. Podatki morajo biti primerni, ustrezni in ne pretirani glede na namene, zaradi katerih so preneseni in nadalje obdelani.

3.

Preglednost: Posamezniki, na katere se nanašajo osebni podatki, morajo razpolagati z informacijami, potrebnimi za pravično obdelavo (kot je informacija o namenih obdelave in o prenosu), razen če so tako informacijo že dobili od izvoznika podatkov.

4.

Varnost in tajnost: Upravljavec podatkov mora pri obdelavi poskrbeti za tehnične in organizacijske varnostne ukrepe, ustrezne za varstvo osebnih podatkov pred naključnim ali nezakonitim uničenjem ali naključno izgubo, spreminjanjem, nepooblaščenim posredovanjem ali dostopom. Podatkov ne sme obdelovati nobena oseba, ki deluje pod vodstvom upravljavca podatkov, vključno z obdelovalcem, razen v skladu z navodili upravljavca.

5.

Pravica do dostopa, rektifikacije, izbrisa in ugovora: Kot določa člen 12 Direktive 95/46/ES, morajo posamezniki, na katere se nanašajo osebni podatki, neposredno ali po tretji osebi, priskrbeti osebne informacije, ki jih ima o njih organizacija, razen pri zahtevah, ki so očitno neprimerne, temeljijo na nerazumnih rokih, številu, se ponavljajo, ali do katerih je dostop onemogočen po zakonodaji države izvoznika podatkov. Dostopa ni treba odobriti v primeru predhodne odobritve s strani organa, če obstaja možnost resnega škodovanja interesom uvoznika podatkov ali drugih organizacij, ki zadevajo uvoznika podatkov, in če take interese ne prekrijejo interesi človekovih pravic in temeljnih svoboščin posameznika, na katerega se nanašajo osebni podatki. Virov osebnih podatkov ni treba identificirati, kadar to po najboljših možnih prizadevanjih ni mogoče ali kadar bi bile kršene zakonite pravice drugih oseb. Posamezniki, na katere se nanašajo osebni podatki, morajo popraviti, spremeniti ali zbrisati svoje osebne informacije, če so netočne ali obdelane v nasprotju s temi načeli. Če obstajajo nujni razlogi za dvom v zakonitost odločitev, lahko organizacija zahteva nadaljnje obrazložitve, še preden pride do rektifikacije, spremembe ali izbrisa. Tretjih oseb, ki so jim bili razkriti podatki, ni treba uradno obvestiti o kakršni koli rektifikaciji, spremembi ali izbrisu, če predstavlja to izjemen napor. Posameznikom, na katere se nanašajo osebni podatki, naj bo omogočeno tudi, da na nujni zakonski podlagi v zvezi z njihovim posebnim položajem ugovarjajo obdelavi podatkov, ki se nanašajo nanje. Dokazno breme za vsako zavrnitev nosi uvoznik podatkov, posameznik, na katerega se nanašajo osebni podatki, pa lahko pred organom vedno spodbija to zavrnitev.

6.

Občutljivi podatki: Uvoznik podatkov sprejme dodatne ukrepe (npr. tiste, povezane z varnostjo), ki so potrebni za varstvo takih občutljivih podatkov, v skladu z obveznostmi v klavzuli II.

7.

Podatki, ki se uporabljajo v namen trženja: Kjer so podatki obdelani v namen neposrednega trženja, naj obstajajo učinkoviti postopki, ki posamezniku, na katerega se nanašajo osebni podatki, dovoljujejo, da kadar koli izbere možnost, da se njegovi podatki ne uporabljajo v takšne namene.

8.

Avtomatizirane odločitve: V ta namen pomeni ‚avtomatizirana odločitev‘ odločitev izvoznika podatkov ali uvoznika podatkov, ki ima pravne učinke za posameznika, na katerega se nanašajo osebni podatki, ali ki nanj v precejšnji meri vpliva, ter temelji zgolj na avtomatizirani obdelavi osebnih podatkov za ocenitev nekaterih osebnih vidikov, ki se nanj nanašajo, kot so na primer njegova delovna uspešnost, kreditna sposobnost, zanesljivost, njegovo vedenje idr. Uvoznik podatkov ne sprejema avtomatiziranih odločitev, povezanih s posameznikom, na katerega se nanašajo osebni podatki, razen ko:

(a)

(i)

take odločitve sprejme uvoznik podatkov pri sklenitvi ali izvajanju pogodbe s posameznikom, na katerega se nanašajo osebni podatki; in

(ii)

ima posameznik, na katerega se nanašajo osebni podatki, priložnost, da se posvetuje o ustrezni avtomatizirani odločitvi s predstavnikom pogodbenice, ki je sprejela tako odločitev, ali drugače poda izjavo tej pogodbenici;

ali

b)

kjer zakonodaja, ki velja za izvoznika podatkov, to drugače določa.

PRILOGA B

OPIS PRENOSA

(Izpolnijo pogodbenice)

Image

PONAZORITVENE TRGOVINSKE KLAVZULE (NEOBVEZNO)

Plačilo odškodnine med izvoznikom podatkov in uvoznikom podatkov:

‚Pogodbenici si medsebojno povrneta odškodnino in prevzameta odgovornost za kakršne koli izdatke, plačila, odškodnino ali izgubo, ki jih povzroči ena pogodbenica drugi pogodbenici zaradi kršitve katere koli določbe teh klavzul. Plačilo odškodnine je odvisno od tega, da (a) pogodbenica(-e), ki se ji(m) povrne odškodnina (‚odškodovanka(-ke)‘), pravočasno obvesti(-jo) drugo(-e) pogodbenico(-e) (‚odškodovalka(-ke)‘) o zahtevku, (b) ima(-jo) odškodovalka(-ke) izključen nadzor nad obravnavo in poravnavo vsakega takega zahtevka in da (c) odškodovanka(-ke) zagotovi(-jo) odškodovalki(-kam) primerno sodelovanje pri obrambi takega zahtevka.‘

Reševanje spora med izvoznikom podatkov in uvoznikom podatkov (seveda lahko pogodbenici uporabita kateri koli drug mehanizem drugačnega reševanja sporov ali klavzulo sodne pristojnosti):

‚Če pride do spora med uvoznikom podatkov in izvoznikom podatkov v zvezi s kakršno koli domnevno kršitvijo katere koli določbe v teh klavzulah, ta spor dokončno reši eden ali več imenovanih arbitrov po arbitražnih pravilih Mednarodne trgovinske zbornice. Kraj arbitraže je [ ]. Število arbitrov je [ ].‘

Razdelitev stroškov:

‚Vsaka pogodbenica izpolni svoje obveznosti po teh klavzulah na svoje stroške.‘

Posebna klavzula o prenehanju pogodbe:

‚Uvoznik podatkov mora v primeru prenehanja veljavnosti teh klavzul takoj vrniti vse osebne podatke in vse kopije osebnih podatkov, za katere veljajo te klavzule, izvozniku podatkov ali, po izbiri izvoznika podatkov, uničiti vse kopije omenjenega in izvozniku podatkov potrditi, da je bilo to storjeno, razen če uvozniku podatkov njegova nacionalna zakonodaja ali lokalni zakonodajalec preprečuje, da uniči ali vrne vse ali del takih podatkov, pri čemer ostanejo podatki zaupni in se ne bodo aktivno obdelovali za noben namen. Uvoznik podatkov se strinja, če to zahteva izvoznik podatkov, da dovoli izvozniku podatkov ali inšpekcijskemu uslužbencu, ki ga izbere izvoznik podatkov, uvoznik podatkov pa temu utemeljeno ne nasprotuje, dostop do svojih prostorov, ob predhodnem obvestilu in v času uradnih ur preveriti, ali je bilo to storjeno.‘

(1)  ‚Ustrezne določbe‘ pomenijo določbe katerega koli pooblastila ali odločbe, razen določb o izvajanju katerega koli pooblastila ali odločbe (ki jih urejajo te klavzule).

(2)  Vendar pa ko je izbrana ta možnost, se morajo določbe točke 5 Priloge A v zvezi s pravicami do dostopa, rektifikacije, izbrisa in ugovora upoštevati in imajo prednost pred katero koli primerljivo določbo izbrane odločbe Komisije.