13/ 33

BG

Официален вестник на Европейския съюз

96

L 006/52

ОФИЦИАЛЕН ВЕСТНИК НА ЕВРОПЕЙСКИЯ СЪЮЗ

(1)

Съгласно Директива 95/46/ЕО държавите-членки се задължават да следят даден трансфер на лични данни към трета страна да се извършва само ако съответната страна гарантира адекватно ниво на защита на данните и ако законите на държавите-членки, които са съобразени с другите разпоредби на директивата, се спазват преди трансфера.

(2)

Въпреки това член 26, параграф 2 от Директива 95/46/ЕО предвижда държавите-членки да могат да разрешават при известни гаранции трансфер или цялостен набор от трансфери на лични данни към трети страни, които не гарантират адекватно ниво на защита. Тези гаранции могат да произтичат главно от съответните договорни клаузи.

(3)

Съгласно Директива 95/46/ЕО нивото на защита на данните трябва да бъде преценено с оглед всички обстоятелства, отнасящи се до трансфер или категория трансфери. Групата за защита на лицата по отношение обработването на личните данни, създадена съгласно настоящата директива (2), публикува насоки за улесняване на оценката (3).

(4)

Общите договорни клаузи се отнасят само до защитата на данните и износителят и вносителят са свободни да въвеждат други клаузи от търговски характер, каквито смятат за необходими за договора при условие че те не противоречат на общите договорни клаузи.

(5)

Настоящото решение не засяга националните разрешения, които държавите-членки могат да издават съгласно националните разпоредби, като прилагат член 26, параграф 2 от Директива 95/46/ЕО. Настоящото решение има за цел единствено да задължи държавите-членки да не отказват да признават, че фигуриращите договорни клаузи предлагат адекватни гаранции и при това положение то няма действие върху други договорни клаузи.

(6)

Обхвата на настоящото решение се ограничава да установи, че клаузите, които са изброени в него, могат да бъдат използвани от администратор на лични данни, установен в Общността, за да се гарантират адекватни гаранции по смисъла на член 26, параграф 2 от Директива 95/46/ЕО за трансфера на лични данни към лице обработващо данните, установено в трета страна.

(7)

Настоящото решение следва да изпълни задължението, предвидено в член 17, параграф 3 от Директива 95/46/ЕО и не накърнява съдържанието на договори или юридически актове, установен съгласно тази разпоредба. Във всеки случай, някои общи договорни клаузи, отнасящи се по-специално към задълженията на износителя на данни, трябва да бъдат включени в целта да се увеличи яснотата относно разпоредбите, които могат да бъдат въведени в договор между администратора и лицето, обработващо данните.

(8)

Надзорните органи на държавите-членки играят ключова роля в този договорен механизъм, като гарантират адекватната защита на личните данни след трансфера. В изключителни случаи, когато износителите на данни откажат или не са в състояние да инструктират по подходящ начин вносителя на данните или когато съществува непосредствен риск от тежка вреда за засегнатите лица, общите договорни клаузи трябва да позволяват на надзорните органи да задължават вносителите на данни да проверяват и когато това се окажеуместно, да предприемат мерки, с които последните трябва да се съобразят. Надзорните органи следва да имат правомощието да забраняват или да отменят временно трансфер на данни или цялостен набор от трансфери на данни, базиран на общи договорни клаузи, в изключителните случаи, когато е установено, че трансфер, базиран на договорни условия, рискува да промени забележимо гаранциите и задълженията, предоставящи адекватно ниво на защита на съответното физическо лице.

(9)

В бъдеще Комисията може също да преценява дали общите договорни клаузи за трансфера на лични данни към лица, обработващи данните, установени в трети страни, които не предоставят адекватно ниво на защита на данните, представени от търговски организации или други заинтересовани страни, предлагат достатъчни гаранции съгласно член 26, параграф 2 от Директива 95/46/ЕО.

(10)

Разкриването на лични данни на лице, обработващо данните, установено извън Общността, представлява защитен международен обмен по силата на Глава IV от Директива 95/46/ЕО. В резултат на това настоящата директива не покрива трансфера на лични данни, осъществяван от администраторите , установени в Общността, към лица, отговорни за обработката, установени извън Общността, които попадат в обхвата на Решение 2001/497/ЕО на Комисията от 15 юни 2001 г. относно общите договорни клаузи за трансфера на лични данни към трети страни съгласно Директива 95/46/ЕО (4).

(11)

Общите договорни клаузи следва да предвиждат технически и организационни мерки, гарантиращи равнище на сигурност, адаптирано към рисковете, свързани с обработката и характера на данните, които подлежат на защита, което трябва да прилага лице, обработващо данните, установено в трета страна, който не предоставя адекватно ниво на защита. Страните трябва да предвидят в договора технически и организационни мерки, които с оглед на приложимото право за защита на данните на технологично равнище и с цел прилагане са необходими за защита на личните данни срещу непредумишлено или незаконно унищожаване, неволно загубване, промяна, разгласяване или неразрешен достъп, или всякаква друга незаконна форма на обработка.

(12)

За да се улесни потокът на данни, идващи от Общността, е желателно лицата, обработващи данните и предоставящи такива услуги на няколко администратори от Общността, да получават разрешения да прилагат същите технически и организационни мерки, свързани със сигурността, независимо от това коя е държавата по произход на трансфера, по-специално в случаите, когато вносителят на данни получи за последваща обработка данни, произхождащи от различни учреждения на вносителя на данни в Общността.

(13)

Подходящо е да се определят минималната информация, която страните трябва да предвидят в договора за трансфера. Държавите-членки следва да запазят възможността за специфициране на информацията, които страните трябва да предоставят. Прилагането на настоящото решение трябва да се преразгледа в светлината на натрупания опит.

(14)

Вносителят на данни трябва да обработва трансферираните лични данни за изключителната сметка на износителя на данни и според инструкциите и задълженията, включени в клаузите. В частност, вносителят на данни не следва да разгласява личните данни на трета страна освен при някои условия. Износителят на данни трябва да изисква от вносителя на данни по време на периода на услугите по обработката на данните да обработва данните съгласно неговите инструкции, съгласно приложимото право за защита на данните и съгласно задълженията, съдържащи се в клаузите. Трансферът на лични данни към лица, които ги обработват, установени извън Общността, не накърнява в никаква степен факта, че дейностите по обработка трябва да бъдат съобразени във всеки случай с прилагащото се право за защита на данните.

(15)

Общите договорни клаузи трябва да бъдат изпълними не само от организациите, страни по договора, но също и от съответните физически лица, в частност когато на последните се нанася вреда поради прекратяване на договора.

(16)

Съответното физическо лице следва да има право да подаде жалба и, ако е целесъобразно, да получи обезщетение от износителя на данни, който е администратор на трансферираните лични данни. В изключителни случаи съответното физическо лице следва също да има правото да подава жалба и, когато това е целесъобразно, да получи обезщетение от вносителя на данните заради неизпълнението от страна на вносителя на данни на едно или друго задължение, посочено във втория параграф на клауза 3, когато износителят на данни фактически е изчезнал или е престанал да съществува юридически или е изпаднал в несъстоятелност.

(17)

Ако спор между съответното физическо лице, който се позовава на клаузата на трето лице — бенефициер, и вносителя на данни не бъде решен по взаимно съгласие, вносителят на данни трябва да се съгласи да предложи на съответното физическо лице да избере между посредничество, арбитраж и съдебен процес. Съответното физическо лице има реална възможност за избор в степен, в която ще може да разполага с надеждни и признати системи за посредничество и на арбитраж. Посредничеството от страна на надзорните органи и по защитата на данните на държавата-членка, в която е установен износителят на данни, трябва да бъде право на избор, когато тези органи предоставят такава услуга.

(18)

Договорът трябва да бъде съобразен с правото на държавата-членка, в която е установен износителят на данни и която позволява на трети бенефициенр да поиска изпълнението на даден договор. Съответните физически лица данни следва да могат да бъдат представлявани от асоциациите или други органи, ако те желаят това и ако националното право го разрешава.

(19)

Работната група за защита на лицата по отношение обработката на личните данни, създадена по силата на член 29 от Директива 95/46/ЕО, излезе със становище за нивото на защита, предвидено от общите договорни клаузи, приложени към настоящото решение. Това становище бе взето предвид при подготвянето на настоящото решение (5).

(20)

Мерките, предвидени в настоящото решение са в съответствие със становището на комитета, създаден съгласно член 31 от Директива 95/46/ЕО,

а)

прилагат се определенията, съдържащи се в Директива 95/46/ЕО;

б)

„особените категории данни“ са данни, посочени в член 8 на тази директива;

в)

„надзорен орган“ е органът, посочен в член 28 на въпросната директива;

г)

„износител на данни“ е администратор на данни, който трансферира личните данни;

д)

„вносител на данни“ е лице, обработващо данните, установено в трета страна, който се съгласява да приеме от износителя на данни лични данни, предназначени да бъдат обработени за сметка на последния след трансфера съгласно неговите инструкции и при условията на настоящото решение, и който не е част от системата на трета страна, гарантираща адекватна защита;

е)

„приложимо право за защита на данните“ е законодателството, защищаващо основните свободи и права на физическите лица, главно правото на личен живот, при обработката на личните данни, и прилагащо се за дадено лице, отговорно за обработката в страната, в който е установен износителят на данни;

ж)

„технически и организационни мерки, свързани със сигурността“ са мерките, предназначени да защищават личните данни срещу непредумишлено или незаконно унищожаване, неволно загубване, промяна, разгласяване или неразрешен достъп, главно когато обработката предполага превеждането на данни по мрежа, и срещу всяка друга незаконна форма на обработка.

а)

е установено, че правото, на което е субект вносителят на данни, му налага изискване за дерогиране от приложимото право за защита на данните, което се простира извън необходимите ограничения в демократично общество по една от посочените в член 13 от Директива 96/46/ЕО причини, когато тези задължения създават риска да бъдат забележимо изменени гаранциите, предоставяни от приложимото към защитата на данните право и общите договорни клаузи, или

б)

компетентна власт е установила, че вносителят на данни не е спазил договорните клаузи, фигуриращи в приложението, или

в)

е много вероятно общите договорни клаузи, фигуриращи в приложението, да не са или да не бъдат спазени и продължаването на трансфера да увеличи до висока степен риска на засегнатите лица да бъдат нанесени тежки вреди.

http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm.

„http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp12en.htm“ на Европейската комисия.