Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 02001D0497-20161217

Consolidated text: Решение на Комисията от 15 юни 2001 година относно общите договорни клаузи за трансфера на лични данни към трети страни съгласно Директива 95/46/ЕО (нотифицирано под номер С(2001) 1539) (текст от значение за ЕИП) (2001/497/ЕО)

ELI: http://data.europa.eu/eli/dec/2001/497/2016-12-17

02001D0497 — BG — 17.12.2016 — 002.001


Този текст служи само за информационни цели и няма правно действие. Институциите на Съюза не носят отговорност за неговото съдържание. Автентичните версии на съответните актове, включително техните преамбюли, са версиите, публикувани в Официален вестник на Европейския съюз и налични в EUR-Lex. Тези официални текстове са пряко достъпни чрез връзките, публикувани в настоящия документ

►B

РЕШЕНИЕ НА КОМИСИЯТА

от 15 юни 2001 година

относно общите договорни клаузи за трансфера на лични данни към трети страни съгласно Директива 95/46/ЕО

(нотифицирано под номер С(2001) 1539)

(текст от значение за ЕИП)

(2001/497/ЕО)

(ОВ L 181, 4.7.2001 г., стp. 19)

Изменен с

 

 

Официален вестник

  №

страница

дата

►M1

РЕШЕНИЕ НА КОМИСИЯТА 2004/915/ЕО от 27 декември 2004 година

  L 385

74

29.12.2004

►M2

РЕШЕНИЕ ЗА ИЗПЪЛНЕНИЕ (ЕС) 2016/2297 НА КОМИСИЯТА текст от значение за ЕИП от 16 декември 2016 година

  L 344

100

17.12.2016




▼B

РЕШЕНИЕ НА КОМИСИЯТА

от 15 юни 2001 година

относно общите договорни клаузи за трансфера на лични данни към трети страни съгласно Директива 95/46/ЕО

(нотифицирано под номер С(2001) 1539)

(текст от значение за ЕИП)

(2001/497/ЕО)



Член 1

Общите договорни клаузи, съдържащи се в приложението, се оценяват като предоставящи достатъчни гаранции в областта на защитата на личния живот и на основните права и свободи на хората относно упражняването на съответните права, както го изисква член 26, параграф 2 от Директива 95/46/ЕО.

▼M1

Контролиращите данните органи, могат да избират между комплект I или комплект II от приложението. При това обаче те не могат да изменят клаузите, нито да комбинират отделни клаузи от различните комплекти или самите комплекти.

▼B

Член 2

Настоящото решение се отнася единствено до адекватния характер на защитата, предоставена от общите договорни клаузи за трансфера на лични данни, съдържащи се в приложението. То не засяга прилагането на другите национални разпоредби, привеждащи в действие Директива 95/46/ЕО, които се отнасят до обработката на лични данни в държавите-членки.

Настоящото решение не се прилага за трансфер на лични данни, извършен от администратори, установени в Общността към получатели, установени извън територията на Общността, които действат изключително като лица, обработващи лични данни.

Член 3

По смисъла на настоящото решение:

а) се прилагат определенията, съдържащи се в Директива 95/46/ЕО;

б) „специални категории данни“ са данните, посочени в член 8 от въпросната директива;

в) „надзорни власти“ са властите, посочени в член 28 от съответната директива;

г) „износител на данни“ е администраторът, който трансферира личните данни;

д) „вносител на данни“ е администраторът, който се съгласява да получи от износителя данни от личен характер с оглед тяхната последваща обработка в съответствие с условията на настоящото решение.

▼M2

Член 4

Когато компетентните органи в държавите членки упражняват своите правомощия съгласно член 28, параграф 3 от Директива 95/46/ЕО, в резултат на което спират или окончателно забраняват потоци данни към трети страни с цел да защитят лицата във връзка с обработката на техните лични данни, въпросната държава членка следва незабавно да информира Комисията, която от своя страна ще предаде информацията на останалите държави членки.

▼B

Член 5

►M1  Комисията дава оценка на функционирането на настоящото решение въз основа на наличната информация три години след неговото нотифициране и нотифицирането на всички негови изменения до държавите-членки. ◄ Тя представя на комитета, създаден по силата на член 31 от Директива 95/46/ЕО, доклад за извършените констатации. Докладът включва всеки елемент, който е в състояние да повлияе на оценката относно адекватността на общите договорни клаузи, фигуриращи в приложението, и всеки елемент, посочващ че настоящото решение се прилага по дискриминативен начин.

Член 6

Настоящото решение се прилага, считано от 3 септември 2001 г.

Член 7

Адресати на настоящото решение са държавите-членки.




ПРИЛОЖЕНИЕ

▼M1

КОМПЛЕКТ I

▼B

image

image

image

image

Допълнение 1

към общите договорни клаузи

image

image

Допълнение 2

към общите договорни клаузи

Задължителни принципи за защита на данните, посочени в клауза 5, буква б), първия параграф

Настоящите принципи трябва да бъдат четени и тълкувани в светлината на разпоредбите (принципи и релевантни изключения) на Директива 95/46/ЕО.

Те се прилагат при прилагащите се за вносителя на данни условия на императивните изисквания на националното законодателство, които не надвишават необходимите в едно демократично общество, на базата на един от интересите, изброени в член 13, параграф 1 от Директива 95/46/ЕО, т.е. ако те представляват необходима мярка за опазване на сигурността на държавата, отбраната, обществената сигурност, превенцията, проучването, откриването и преследването на нарушенията на закона или на липсата на деонтология в случай на регламентирани професии, икономически или финансов интерес на държава или защита на засегнато лице или правата и свободите на другиго.

1.  Ограничаване на трансферите със специфична крайна цел: данните се обработват и използват или съобщават впоследствие само за специфичните крайни цели, посочени в допълнение 1 към настоящите клаузи. Те не трябва да бъдат съхранявани по-дълго от необходимото за целите, за които са трансферирани.

2.  Качество и пропорционалност на данните: данните трябва да бъдат точни и при нужда актуализирани. Те трябва да бъдат адекватни, съществени и не излишно увеличени от гледна точка на крайните цели, на които е подчинен техният трансфер или тяхната последваща обработка.

3.  Прозрачност: назаинтересованите лица трябва да се предоставя информация за крайните цели на обработката и за самоличността на администратора в трета страна, както и друга информация в степен, в която те са необходими за осигуряването на законна обработка, освен ако тази информация са вече предоставени от износителя на данни.

4.  Сигурност и поверителност: администраторът трябва да вземе мерки за сигурност по отношение на техническия план и на организационно равнище, които са пригодни от гледна точка на представените от обработката рискове, като например неразрешен достъп. Всяко лице, действащо под разпореждането на администратора, включително обработващото данните лице, трябва да обработва данните само по инструкции на администратора.

5.  Права на достъп, на поправка, на премахване и на несъгласие: както предвижда член 12 от Директива 95/46/ЕО, засегнатото лице трябва да има право на достъп до всички обработвани данни, които го засягат, и в краен случай да получава възможността за поправката им, за премахването им или поставянето им под ключ, когато е ясно, че тяхната обработка се извършва, без да се спазват принципите, установени в настоящото допълнение, и по-специално защото тези данни са непълни или неточни. Засегнатото лице трябва също да бъде в състояние да се противопостави на обработката на данните, които го засягат, по наложителни и законни причини, отнасящи се до личното му състояние.

6.  Ограничения за последващи трансфери: последващите трансфери на лични данни, осъществени от вносителя на данни към друг администратор, установен в трета страна, която не предоставя адекватно равнище на защита, или необхванати от решение на Комисията, прието в съответствие с член 25, параграф 6 от Директива 95/46/ЕО, могат да бъдат разрешавани само ако:

а) заинтересованите лица, в случай на специални категории данни, са приели без съмнение последващия трансфер, или в другите случаи — възможността да му се противопоставят.

Минималната информация, която се предоставя на заинтересованите лица, трябва да съдържат на разбираем език:

 целите на последващия трансфер,

 самоличността на износителя на данни, установен в Общността,

 категориите на последващи адресати на данните и страните на получаване, и

 забележка, поясняваща че след последващия трансфер данните могат да бъдат обработвани от администратора, установен в страна, която не предоставя пригодно равнище на защита на личния живот на хората, или

б) износителят и вносителят на данни се споразумяват относно спазването на клаузите на друг администратор, който става страна по клаузите и поема същите задължения като вносителя на данни.

7.  Особени категории данни: когато се обработват данни, които разкриват расов или етнически произход, политически виждания, религиозни или философски убеждения, синдикална принадлежност, данни, свързани със здравето и половия живот и данни, свързани със закононарушения, наказателни присъди или мерки за сигурност, трябва да бъдат предвидени допълнителни мерки за защита по смисъла на Директива 95/46/ЕО, и по-специално пригодни мерки за сигурност като пристъпване към задълбочено криптиране за прехвърлянето или за разпределянето на достъпа до чувствителните данни.

8.  Директен маркетинг: когато данните са обработени за целите на директния маркетинг, трябва да са налице ефикасни процедури, позволяващи на засегнатото лице да се „противопостави“ на това засягащите го данни да бъдат използвани за тази цел в един или друг момент.

9.  Автоматизирани индивидуални решения: засегнатите лица имат правото да не бъдат подлагани на решение, взето единствено на базата на автоматизираната обработка на данните, освен ако не са взети други мерки за опазването на законните интереси на лицето, както предвижда член 15, параграф 2 от Директива 95/46/ЕО. Когато крайната цел на трансфера е взимането на автоматизирано решение по смисъла на член 15 от Директива 95/46/ЕО, който създава правен ефект по отношение на лицето или който го засяга по забележителен начин, и което решение е взето на базата единствено на автоматизираната обработка на данните, предназначена да оцени някои аспекти на неговата личност, като например неговата професионална ефективност, доверието в него, неговата надеждност, неговото поведение и т.н., лицето трябва да има правото да знае мотивите за това решение.

Допълнение 3

към общите договорни клаузи

Задължителни принципи на защита на данните, посочени в клауза 5, точка б), втория параграф

1.  Ограничаване на трансфери със специфична крайна цел: данните се обработват и използват или съобщават впоследствие само за специфичните крайни цели, посочени в допълнение 1 към настоящите клаузи. Те не трябва да бъдат съхранявани по-дълго от необходимото за целите, за които са трансферирани.

2.  Права на достъп, на поправка, на премахване и на несъгласие: както предвижда член 12 от Директива 95/46/ЕО, засегнатото лице трябва да има право на достъп до всички обработвани данни, които го засягат, и в краен случай да получават възможност за поправката им, за премахването им или поставянето им под ключ, когато е ясно, че тяхната обработка се извършва, без да се спазват принципите, установени в настоящото допълнение, и по-специално защото тези данни са непълни или неточни. Засегнатото лице трябва също да бъде в състояние да се противопостави на обработката на данните, които го засягат, по наложителни и законни причини, отнасящи се до личното му състояние.

3.  Ограничения за последващи трансфери: последващите трансфери на лични данни, осъществени от вносителя на данни към друго отговорно за обработката лице, установено в трета страна, непредоставяща адекватно равнище на защита, или извън приложното поле на решението на Комисията, прието в съответствие с член 25, параграф 6 от Директива 95/46/ЕО, могат да бъдат разрешавани само ако:

а) в случай на специални категории данни засегнатите лица са приели без съмнение последващия трансфер, или в другите случаи — възможността да му се противопоставят.

Минималната информация, която се предоставя на заинетересованите лица, трябва да съдържат на разбираем език:

 целите на последващия трансфер,

 самоличността на износителя на данни, установен в Общността,

 категориите на последващи адресати на данните и страните на получаване, и

 забележка, поясняваща че след последващия трансфер данните могат да бъдат обработвани от администратор, установен в страна, която не предоставя пригодно равнище на защита на личния живот на хората, или

б) износителят и вносителят на данни се споразумяват относно спазването на клаузите на друг администратор, който става страна по клаузите и поема същите задължения като вносителя на данни.

▼M1

КОМПЛЕКТ II

Общи договорни клаузи за прехвърляне на лични данни от Общността в трети страни (прехвърляния между лицата, отговарящи за обработката на данни)

Споразумение за прехвърляне на данни

между

… (имена)

… (адрес и странана установяване)

(наричан по-долу „износител на данни“)

и

… (имена)

… (адрес и страна, където е адресът на установяване)

(наричан по-долу „вносител на данни“)

всяко от горните поотделно е „страна“, а заедно са „страните“.

Определения

За целите на клаузите:

а) „лични данни“, „специални категории данни/чувствителни данни“, „обработване/обработка“, „контролиращ орган“, „обработващ орган“, „субект на данните“ и „надзорен орган/орган“ имат същото значение, каквото имат и в Директива 95/46/ЕО от 24 октомври 1995 г. (при което под „орган“ се разбира компетентният орган за защита на данните, на чиято територия е установен износителя на данни);

б) „износител на данни“ е лицето, отговарящо за обработката на данните, което прехвърля личните данни;

в) „вносител на данни“ е лицето, отговарящо за обработката на данните, което дава съгласието си да получава лични данни от износителя на данни за по-нататъшна обработка в съответствие с условията на тези клаузи и което не е субект на система на трета страна за осигуряване на съответната защита;

г) „клаузи“ означава онези договорни клаузи, които представляват отделен документ, който не включва търговски условия, учредени от страните в съответствие с отделни търговски споразумения.

Подробностите по прехвърлянето (наред с прехвърляните лични данни) са конкретизирани в приложение Б, което представлява неразделна част от клаузите.

I.   Задължения на износителя на данни

Износителят на данни гарантира и се задължава да извърши следното:

а) Събиране, обработка и прехвърляне на личните данни в съответствие със законите, приложими по отношение на износителя на данни.

б) Прилагане на разумни усилия за определяне дали вносителят на данни е в състояние да изпълни своите правни задължения съгласно настоящите клаузи.

в) При поискване от страна на вносителя на данни — предоставяне на копия от съответните закони за защита на данните или позовавания на такива закони (когато е целесъобразно и не включва юридическа консултация) на страната, в която е разположено управлението на износителя на данни.

г) Отговор на запитвания от страна на субектите на данните и на органа относно обработката на личните данни от страна на вносителя на данни, освен ако страните са се договорили, че отговорът на такива запитвания ще се получава от вносителя на данни, в който случай износителят на данни отново е длъжен да даде отговор в разумната възможна степен и с помощта на информацията, с която разполага в разумни предели, ако вносителят на данни не желае или не е в състояние да даде отговор. Отговорите се дават в рамките на разумен срок от време.

д) При поискване – предоставяне на копие на клаузите на субектите на данните, които са бенефициери трети страни съгласно клауза III, освен ако в клаузите се съдържа конфиденциална информация, в който случай износителят може да отстрани такава информация. В случаите, в които информацията е отстранена, износителят на данни информира писмено субектите на данните относно причината за отстраняването и тяхното право да привлекат вниманието на органа към такова отстраняване. Все пак износителят на данни се подчинява на решението на органа относно достъпа до пълния текст на клаузите от страна на субектите на данните, доколкото субектите на данните са дали своето съгласие да спазват поверителността на отстранената конфиденциална информация. Износителят на данни, освен това, при поискване представя на органа копие от клаузите.

II.   Задължения на вносителя на данни

Вносителят на данни гарантира и се задължава да извърши следното:

а) Прилагане на подходящи технически и организационни мерки за защита на личните данни срещу случайно или незаконно разрушаване или случайна загуба, промяна, неразрешено разкриване или достъп, които мерки са с доказано равнище на сигурност, съответстващо на риска, произтичащ от обработката и от характера на данните, подлежащи на защита.

б) Прилагане на процедури, в резултат от които всяка трета страна, която той упълномощи по отношение на достъпа до личните данни, в това число и лицата, осъществяващи обработката на личните данни, се задължава да спазва и поддържа поверителността на личните данни. Всяко лице, действащо по нареждане на вносителя на данни, в това число и лицата, осъществяващи обработката на личните данни, се задължава да обработва личните данни само по нареждане, получено от вносителя на данните. Тази разпоредба не се прилага по отношение на лицата, които са упълномощени или задължени чрез законова или подзаконова разпоредба да имат достъп до личните данни.

в) По времето на валидност на настоящите клаузи няма причини да счита, че съществуват някакви местни закони, които биха имали значителен обратен ефект върху гаранциите, предвидени съгласно настоящите клаузи, и ако узнае за всякакви такива закони, се задължава да информира износителя на данни (който при необходимост ще предаде на органа това уведомление).

г) Обработва личните данни за целите, описани в приложение Б, и има юридическите правомощия да даде гаранции и да изпълни задълженията си, произтичащи по силата на настоящите клаузи;

д) Посочва на износителя на данни контактна точка в рамките на своята организация, упълномощена да дава отговори на запитвания, свързани с обработката на данните, и сътрудничи добросъвестно с износителя на данни, субекта на данните и органа във връзка с всякакви такива запитвания в рамките на разумен срок от време. В случай на юридическо закриване на износителя на данни или в случай че страните са се договорили за това, вносителят на данни поема отговорността за спазване на разпоредбите на клауза I, буква д).

е) При поискване на износителя на данни – предоставя на износителя на данни доказателства за наличие на финансови ресурси, достатъчни, за да покрие своите задължения съгласно клауза III (където може да бъде включена и компенсация по застраховка).

ж) След обосновано искане от страна на износителя на данни – предоставя своите технически средства за обработка на данни, файловете си с данни и документацията си, необходими за обработка за преглеждане, ревизия и/или сертифициране от страна на износителя на данни (или независими или неутрални инспектори или одитори, подбрани от износителя на данни, срещу които вносителят на данни няма сериозни възражения), които да потвърдят спазването на гаранциите и задълженията, произтичащи съгласно настоящите клаузи, с изпращане на предизвестие и в рамките на редовното работно време. Искането подлежи на необходимото съгласие или одобрение от страна на регулаторния или надзорния орган от страната, на чиято територия е разположено управлението на вносителя на данни, което съгласие или одобрение вносителят на данни ще се опита да получи навреме.

з) Обработване на личните данни по собствен избор, в съответствие със:

i) законите за защита на данните в страната, на чиято територия е разположено управлението на износителя на данни, или

ii) релевантните разпоредби ( 1 ) от всяко решение на Комисията съгласно член 25, параграф 6 от Директива 95/46/ЕО, доколкото вносителят на данни изпълнява съответните разпоредби на такова разрешение или решение и адресът на управлението му е разположен на територията на страна, към която се отнася такова разрешение или решение, но не е обхваната от такова разрешение или решение що се отнася до целите на прехвърлянето/ията на лични данни ( 2 ), или

iii) принципите за обработка на данни, формулирани в приложение А.

Вносителят на данни посочва кой вариант избира: …

Инициали на вносителя на данни: …

и) Не разкрива, нито прехвърля личните данни на лице, отговарящо за обработката на данни, което е трета страна и управлението му е разположено извън Европейското икономическо пространство (ЕИП), освен ако не уведоми износителя на данни, и

i) лицето, отговарящо за обработката на данни, което е трета страна, обработва личните данни в съответствие с решението на Комисията при положение че констатира, че дадена трета страна обезпечава достатъчна защита, или

ii) лицето, отговарящо за обработката на данни, което е трета страна, стане страна, подписала настоящите клаузи или друго споразумение за прехвърляне на данни, одобрено от компетентен орган в ЕС, или

iii) субектите на данните са получили възможност да отправят възражение, след като са били информирани относно целите на прехвърлянето, категориите получатели и факта, че страните, в които се изнасят данните, е възможно да поддържат различни норми за защита на личните данни, или

iv) с оглед по-нататъшните прехвърляния на чувствителни данни, субектите на данните са дали своето недвусмислено съгласие за по-нататъшно прехвърляне.

III.   Отговорност и права на трети страни

а) Всяка страна отговаря за щети, причинени на останалите страни, възникнали заради нейно нарушение на настоящите клаузи. Взаимната отговорност между страните се ограничава до действително претърпени щети. Наказателните компенсации (т.е. компенсациите, чиято цел е наказание на страна за нейно виновно поведение) се изключват изрично. Всяка от страните отговаря пред субектите на данните за щети, които причини с нарушаване на правата на трета страна съгласно настоящите клаузи. Това не засяга отговорността на износителя на данни, която той носи съгласно закона за защита на данните.

б) Страните са съгласни, че даден субект на данните, като трета страна, която е бенефициер, има правото да задейства настоящата клауза, както и клауза I, букви б), г) и д), клауза II, букви а), в), г), д), з) и и), клауза III, буква а), клауза V, клауза VI, буква г) и клауза VII срещу вносителя на данни или износителя на данни за съответно нарушение на техните договорни задължения по отношение на неговите лични данни и с тази цел да приеме юрисдикцията на страната, в която е разположено управлението на износителя на данни. В случаите, в които са налице обвинения за нарушение, извършено от вносителя на данни, субектът на данните първо е длъжен да изиска от износителя на данни същият да предприеме съответните действия и да упражни своите права срещу износителя на данни; в случай че износителят на данни не предприеме такива действия в рамките на разумен срок от време (който при нормални обстоятелства е един месец), субектът на данните може да упражни своите права срещу износителя на данни пряко. Субектът на данните има право да процедира директно срещу износителя на данни, който не е положил разумни усилия за определяне, че вносителят на данни е в състояние да изпълни своите законни задължения, произтичащи от настоящите клаузи (износителят на данни поема тежестта да докаже, че е положил разумни усилия).

IV.   Право, приложимо по отношение на клаузите

Настоящите клаузи се регулират от правото на страната, в която е разположено управлението на износителя на данни, с изключение на законовите и подзаконовите актове, свързани с обработката на личните данни от вносителя на данни съгласно клауза II, буква з), които се прилагат само в случай че съгласно посочената клауза такъв избор направи вносителят на данни.

V.   Разрешаване на спорове със субектите на данни или с органа

а) В случай на възникване на спор или на жалба, внесена от субекта на данните или от органа, и отнасяща се до обработката на лични данни, срещу едната страна или двете страни, страните взаимно се информират относно всякакви такива спорове или жалби и си сътрудничат с оглед навременното уреждане на същите в дух на разбирателство.

б) Страните са съгласни да реагират на всяка общовалидна незадължителна процедура по посредничество, започната от субекта на данните или от органа. Ако те вземат участие в процедурата, страните могат да предпочетат да участват в процедурата дистанционно (например, по телефона или с помощта на други електронни средства). Освен това страните се споразумяват да считат участието във всякакъв друг арбитраж, посредничество или друг вид процедури за разрешаване на спорове, разработени за целите на споровете по защита на данните.

в) Всяка от страните се подчинява на решението, взето от компетентен съд в страната, на чиято територия е разположено управлението на износителя на данни или на органа, което решение е окончателно и не подлежи на обжалване.

VI.   Прекратяване

а) В случай че вносителят на данни е допуснал нарушение на своите задължения, произтичащи от настоящите клаузи, износителят на данни може временно да отмени прехвърлянето на лични данни към вносителя на данни, докато нарушението бъде коригирано или договорът бъде прекратен.

б) В случай че:

i) прехвърлянето на лични данни към вносителя на данни е временно отменено от износителя на данни за повече от един месец съгласно буква а);

ii) спазването на настоящите клаузи от страна на вносителя на данни би го поставило в положение на нарушение на законовите или подзаконовите задължения в страната на вноса;

iii) вносителят на данни се намира в положение на значително или продължително нарушение на някакви гаранции или задължения, поети от него съгласно настоящите клаузи;

iv) съгласно окончателно решение, което не подлежи на обжалване, взето от компетентен съд на страната, на чиято територия е разположено управлението на износителя на данни или на органа, е постановено, че е допуснато нарушение на клаузите от страна или на вносителя на данни, или на износителя на данни; или

v) е представена молба за прилагане на административни мерки или ликвидация на вносителя на данни било в лично качество, или в служебно качество, която молба не е отхвърлена в течение на приложимия срок за такова отхвърляне съгласно приложимия закон; съставена е заповед за ликвидация; определен е разпоредител за някаква част от неговите активи; определен е попечител в случай на банкрут, ако вносителят на данни е физическо лице; започната е доброволна процедура за разпореждане с активите от страна на вносителя на данни; или възникне някакво равносилно събитие под някаква юрисдикция,

тогава износителят на данни, без да се засягат другите права, които той би могъл да има срещу вносителя на данни, има правото да прекрати прилагането на тези клаузи, в който случай бива информиран органът. В случаите, посочени в i), ii) или iv) по-горе, вносителят на данни също може да прекрати прилагането на настоящите клаузи.

в) Всяка от страните може да прекрати прилагането на настоящите клаузи, в случай че: i) е прието положително решение на Комисията относно съответствието на нивото съгласно член 25, параграф 6 от Директива 95/46/ЕО (или всеки заместващ текст) по отношение на дадена страна (или отрасъл на такава страна), в която вносителят на данни предава личните данни и в която тези данни се обработват; или ii) Директива 95/46/ЕО (или всеки заместващ текст) стане пряко приложима в тази страна.

г) Страните се споразумяват, че прекратяването на настоящите клаузи по всяко време, във всякакви обстоятелства и по каквато и да било причина (с изключение на прекратяване съгласно клауза VI, буква в) не ги освобождава от задълженията и/или условията съгласно клаузите, отнасящи се до обработката на прехвърлените лични данни.

VII.   Изменение на настоящите клаузи

Страните не могат да изменят настоящите клаузи, освен за актуализиране на информацията, съдържаща се в приложение Б. В този случай те информират органа, когато това се изисква от тях. Това не пречи на страните да добавят допълнителни търговски клаузи, при възникване на такава необходимост.

VIII.   Описание на прехвърлянето

Подробностите по прехвърлянето и по личните данни са конкретизирани в приложение Б. Страните се споразумяват, че приложение Б може да съдържа конфиденциална търговска информация, която те не разкриват пред трети страни, освен ако такова разкриване се изисква от закона или е по искане на компетентна регулаторна или правителствена агенция, или се изисква съгласно клауза I, буква д). Страните могат да изпълняват допълнителните приложения с оглед включване на допълнителни прехвърляния, които се предават на органа при поискване. Като алтернатива може да се направи проектоприложение Б, в което да се включат повече от едно прехвърляния.



Дата: …

 

ЗА ВНОСИТЕЛЯ НА ДАННИ

ЗА ИЗНОСИТЕЛЯ НА ДАННИ

ПРИЛОЖЕНИЕ А

ПРИНЦИПИ ЗА ОБРАБОТКА НА ДАННИТЕ

1. Ограничения на целите: Личните данни могат да се обработват и впоследствие да се използват или да се предават по-нататък само за целите, описани в приложение Б, или впоследствие да се разрешат от субекта на данните.

2. Качество и пропорционалност на данните: Личните данни следва задължително да бъдат точни и там, където е необходимо, да се актуализират. Личните данни следва задължително да бъдат адекватни, да съответстват на действителността и да не са в повече по отношение на целите, за които се прехвърлят и преминават по-нататъшна обработка.

3. Прозрачност: На субектите на данните следва задължително да се обезпечава информацията, необходима за осигуряване на съвестна обработка (например, информация относно целите на обработката и прехвърлянето), освен ако такава информация е вече подадена от износителя на данни.

4. Сигурност и поверителност: Лицето, отговарящо за обработката на данните, е задължено да вземе технически и организационни предпазни мерки, които да съответстват на рисковете, например, риска от случайно или незаконно разрушаване или случайна загуба, подмяна, неразрешено разкриване или достъп, които са възможни по време на обработката. Всяко лице, действащо под ръководството на лицето, отговарящо за обработката на данните, включително лицето, осъществяващо обработката на данните, няма право да обработва данните, освен след нареждане от страна на лицето, отговарящо за обработката на данните.

5. Права на достъп, корекция, заличаване и възражения: Съгласно посоченото в член 12 от Директива 95/46/ЕО субектите на данните са длъжни, било пряко, било с посредничеството на трета страна, да разполагат с персоналната засягаща ги информация, която дадена организация съхранява, с изключение на искания, които по отношение на своята честота или брой, или повторяемост, или системност представляват явна злоупотреба, или за които не бива да се предоставя достъп съгласно закона на страната, на чиято територия е разположено управлението на износителя на данни. При условие че органът е дал своето предварително съгласие, не се предоставя достъп, когато предоставянето на такъв достъп би довело до вероятност от сериозно засягане на интересите на вносителя на данни или други организации, работещи с вносителя на данни, като такива интереси не се отменят от интереси, свързани с фундаменталните права и свободи на субекта на данните. Източниците на личните данни не е необходимо да се разкриват, когато такова разкриване не е възможно да се постигне с разумни усилия или в случаите, в които правата на лицата, различни от личните права, биха били нарушени. Субектите на данните трябва да имат възможността персоналната информация за тях да се коригира, поправи или заличи в случаите, в които тази персонална информация е неточна или е обработена в противоречие с тези принципи. Ако са налице неопровержими основания за съмнения в законността на искането, организацията може да поиска по-нататъшни аргументи, преди да пристъпи към поправка, корекция или заличаване. Не е необходимо да се изпраща уведомление за всяка поправка, корекция или заличаване до трети страни, на които данните са били разкрити, в случай че такова известие би изисквало непропорционално големи усилия. Даден субект на данните също така трябва да има възможност да възразява срещу обработката на личните данни, свързани с него, ако са налице неопровержими законни основания, свързани с неговата конкретна ситуация. Тежестта на доказателството при всеки отказ се поема от вносителя на данни, като при това субектът на данните може винаги да оспори даден отказ пред органа.

6. Чувствителни данни: Вносителят на данните предприема такива допълнителни мерки (например, свързани със сигурността), каквито са необходими с оглед защитата на такива чувствителни данни в съответствие с неговите задължения съгласно клауза II.

7. Данни, използвани за целите на маркетинга: В случаите, в които данните се обработват за целите на директния маркетинг, е необходимо да са налице ефективни процедури, позволяващи на субекта на данните да може по всяко време да „изтегли данните си“ от използване за такива цели.

8. Автоматизирани решения: За целите на настоящия документ под „автоматизирано решение“ се разбира решение, взето от износителя на данни или вносителя на данни, от което произтичат правни последици, засягащи даден субект на данни, или засягащи в значителна степен даден субект на данни, и което решение се основава единствено на автоматизираната обработка на лични данни, с която се цели оценка на определени лични аспекти, свързани със същия, например, неговата работоспособност, репутация, надеждност, поведение и т.н. Вносителят на данни не взима никакви автоматизирани решения, свързани със субектите на данните, освен в следните случаи:

а)

 

i) когато такива решения се взимат от вносителя на данни в началото на изпълнение или по време на изпълнението на договор със субекта на данните,

ii) когато на субекта на данните е дадена възможност за обсъждане та резултатите от съответното автоматизирано решение с представител на страните, взимащи такова решение,

или

б) когато правото на страната на износителя на данни предвижда друго.

ПРИЛОЖЕНИЕ Б

ОПИСАНИЕ НА ПРЕХВЪРЛЯНЕТО

(попълва се от страните)

Субекти на данните

Прехвърляните данни засягат следните категории субекти на данните:

Цели на прехвърлянето/ията

Прехвърлянето се прави със следните цели:

Категории данни

Прехвърляните лични данни засягат следните категории данни:

Получатели

Прехвърляните лични данни могат да бъдат разкрити само пред следните получатели или категории получатели

Чувствителни данни (ако е уместно)

Прехвърляните лични данни засягат следните категории чувствителни данни:

Информация за регистрацията на износителя на данни с оглед защитата на данните (когато е приложимо)

Допълнителна полезна информация (ограничения по отношение на съхранението на данните и друга информация)

Контактни точки за въпроси, свързани със защитата на данните



Вносител на данни

Износител на данни

ИЛЮСТРАТИВНИ ТЪРГОВСКИ КЛАУЗИ (ПО ИЗБОР)

Компенсации на щетите между износителя на данни и вносителя на данни „Страните взаимно си компенсират и взаимно се обезщетяват за всякакви разходи, такси, щети, разноски или загуби, които си причиняват взаимно в резултат от нарушение на някоя от разпоредбите на настоящите клаузи. Обезщетенията съгласно настоящия документ се осъществяват само в случай, че: а) страна/и, която/които следва да бъде/бъдат обезщетена/и („обезщетената/ите страна/и“) незабавно уведоми/ят другата/ите страна/и („обезщетяващата/ите страна/и“) относно претенцията, б) обезщетяващата/ите страна/и има/т изключителен контрол върху защитата и уреждането на всякаква такава претенция, и в) обезщетената/ите страна/и оказва/т разумно сътрудничество и помощ на обезщетяващата/ите страна/и при защитата на такава претенция.“.

Разрешаване на спорове между износителя на данни и вносителя на данни (разбира се, страните могат вместо това да използват която и да било друга допълнителна клауза за разрешаване на спора или съдебното производство): „В случай на спор между износителя на данни и вносителя на данни, свързан с всякакво нарушение на която и да е разпоредба от настоящите клаузи, такъв спор се урежда окончателно съгласно правилата за арбитраж на Международната търговска камара от един или повече арбитри, посочени в съответствие с гореспоменатите правила. Мястото на арбитража е (…). Броят арбитри се определя на (…).“

Разпределение на разходите „Всяка страна изпълнява своите задължения съгласно настоящите клаузи за своя собствена сметка“.

Допълнителна клауза относно прекратяването „В случай на прекратяване на настоящите клаузи вносителят на данни е длъжен незабавно да върне всички лични данни и всички копия на лични данни, обхванати от настоящите клаузи, на износителя на данни или по избор на износителя на данни може да унищожи всички копия на същите и да удостовери пред износителя на данни, че е извършил такова действие, освен ако на вносителя на данни не е забранено от национална законова разпоредба или от местни подзаконови разпоредби да унищожи или да върне всичките или част от такива данни, като в този случай по отношение на данните ще се поддържа режим на поверителност и те няма да се обработват активно за каквито и да било цели. Вносителят на данни е съгласен, че ако износителят на данни поиска, той ще предостави на износителя на данни или на инспектора, посочен от износителя на данни, срещу когото вносителят на данни няма обективни възражения, достъп до своите производствени помещения – с цел износителят на данни да се увери, че унищожаването е било извършено, като за тази цел своевременно изпрати съответното известие и такава проверка се извърши през работно време.“.



( 1 ) „Съответните разпоредби“ означава разпоредбите от разрешение или решение, с изключение на разпоредбите, свързани с въвеждане в сила на разрешение или решение (което се ръководи от настоящите клаузи).

( 2 ) Въпреки това, когато се избере тази възможност, се прилагат разпоредбите на приложение А.5 относно правата на достъп, корекцията, заличаването и възраженията, като въпросните разпоредби имат предимство пред сравнимите разпоредби от избраното решение на Комисията.

Top