12.2.2010 |
BG |
Официален вестник на Европейския съюз |
L 39/5 |
РЕШЕНИЕ НА КОМИСИЯТА
от 5 февруари 2010 година
относно стандартните договорни клаузи при предаването на лични данни към лицата, които ги обработват, установени в трети страни, съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета
(нотифицирано под номер C(2010) 593)
(текст от значение за ЕИП)
(2010/87/ЕС)
ЕВРОПЕЙСКАТА КОМИСИЯ,
като взе предвид Договора за функционирането на Европейския съюз,
като взе предвид Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защитата на физическите лица при обработването на лични данни и за свободното движение на тези данни (1), и по-специално член 26, параграф 4 от нея,
след консултация с Европейския надзорен орган по защита на данните,
като има предвид, че:
(1) |
Съгласно Директива 95/46/ЕО държавите-членки са длъжни да следят предаването на лични данни към трета страна да се извършва само ако съответната трета страна осигурява достатъчна степен на защита на данните и ако законите на държавите-членки, които са съобразени с другите разпоредби на директивата, са спазени преди предаването. |
(2) |
Член 26, параграф 2 от Директива 95/46/ЕО обаче предвижда, че при предоставянето на известни гаранции държавите-членки могат да разрешат предаването или набора от предавания на лични данни към трети страни, които не осигуряват достатъчна степен на защита. Тези гаранции могат в частност да произтичат от съответни договорни клаузи. |
(3) |
Съгласно Директива 95/46/ЕО степента на защита на данните трябва да бъде преценена с оглед на всички обстоятелства, свързани с операцията по предаването на данни или набора от операции по предаване на данни. Работната група за защита на лицата при обработването на лични данни, създадена съгласно посочената директива, публикува насоки за улесняване на оценката. |
(4) |
Стандартните договорни клаузи трябва да се отнасят само до защитата на данни. Ето защо износителят на данни и вносителят на данни са свободни да въвеждат други клаузи от търговски характер, които смятат за необходими за договора, при условие че те не противоречат на стандартните договорни клаузи. |
(5) |
Настоящото решение не накърнява националните разрешения, които държавите-членки могат да предоставят в съответствие с националните разпоредби за прилагане на член 26, параграф 2 от Директива 95/46/ЕО. Настоящото решение следва да има за последица само това да изиска от държавите-членки да не отказват да признаят, че стандартните договорни клаузи, фигуриращи в него, предлагат достатъчни гаранции, и поради това то не следва да има действие върху други договорни клаузи. |
(6) |
Решение 2002/16/ЕО на Комисията от 27 декември 2001 г. относно общите договорни клаузи за трансфера на лични данни към лицата, които ги обработват, установени в трети страни, съгласно Директива 95/46/ЕО (2), бе прието, за да се улесни предаването на лични данни от администратор на лични данни, установен в Европейския съюз, към лице, което ги обработва, установено в трета страна, която не осигурява достатъчна степен на защита. |
(7) |
От приемането на Решение 2002/16/ЕО досега е придобит значителен опит. Освен това в доклада за прилагане на решенията относно стандартните договорни клаузи при предаването на лични данни на трети страни (3) бе показано, че съществува нарастващ интерес към насърчаване на използването на стандартните договорни клаузи за международно предаване на лични данни на трети страни, които не осигуряват достатъчна степен на защита. В допълнение заинтересованите страни направиха предложения за актуализиране на стандартните договорни клаузи, посочени в Решение 2002/16/ЕО с цел да се вземе предвид бързо разширяващият се обхват на дейностите по обработване на лични данни в световен мащаб и да се разгледат определени въпроси, които не са били обхванати от посоченото решение (4). |
(8) |
Обхватът на настоящото решение следва да се ограничи до това да установи, че клаузите, които са изброени в него, могат да бъдат използвани от администратор на лични данни, установен в Европейския съюз, за да предостави достатъчни гаранции по смисъла на член 26, параграф 2 от Директива 95/46/ЕО при предаването на лични данни на лице, което ги обработва, установено в трета страна. |
(9) |
Настоящото решение не следва да се прилага за предаването на лични данни от администратори, установени в Европейския съюз, към администратори, установени извън Европейския съюз, което попада в обхвата на Решение 2001/497/ЕО на Комисията от 15 юни 2001 г. относно общите договорни клаузи за трансфера на лични данни към трети страни съгласно Директива 95/46/ЕО (5). |
(10) |
Настоящото решение следва да изпълни задължението, предвидено в член 17, параграф 3 от Директива 95/46/ЕО, и не следва да накърнява съдържанието на договори или правни актове, изготвени съгласно тази разпоредба. Във всеки случай някои стандартни договорни клаузи, отнасящи се по-специално до задълженията на износителя на данни, трябва да бъдат включени с цел да се увеличи яснотата относно разпоредбите, които могат да съществуват в договор между администратор и лице, обработващо данните. |
(11) |
Надзорните органи на държавите-членки играят ключова роля в този договорен механизъм, като осигуряват достатъчна степен на защита на личните данни след предаването им. В изключителни случаи, когато износителите на данни откажат или не са в състояние да инструктират по подходящ начин вносителя на данни и съществува непосредствен риск от тежка вреда за заинтересованите физически лица, стандартните договорни клаузи трябва да позволяват на надзорните органи да подложат вносителите на данни и подизпълнителите на проверка и ако е необходимо, да вземат решения, които са задължителни за вносителите на данни и подизпълнителите. Надзорните органи следва да имат правомощието да забраняват или да спират предаването на данни или набора от предавания на данни въз основа на стандартните договорни клаузи в такива изключителни случаи, в които е установено, че предаването въз основа на договор може да има съществени неблагоприятни последици върху гаранциите и задълженията, предоставящи достатъчна степен на защита на заинтересованото физическо лице. |
(12) |
Стандартните договорни клаузи следва да предвиждат технически и организационни мерки за сигурност, които да бъдат прилагани от лицата, обработващи данните, установени в трета страна, която не осигурява достатъчна степен на защита, с цел да се гарантира равнище на сигурност, адаптирано към рисковете, свързани с обработването и характера на данните, подлежащи на защита. Страните трябва да предвидят в договора технически и организационни мерки, които с оглед на приложимото право за защита на данните, на равнището на технологично развитие и на разходите за тяхното изпълнение са необходими за защита на личните данни срещу неволно или незаконно унищожаване или неволно загубване, промяна, неразрешено разкриване или достъп, или всяка друга незаконна форма на обработване. |
(13) |
За да се улесни потокът от данни, идващи от Европейския съюз, е желателно лицата, обработващи данните, които предоставят такива услуги на няколко администратори от Европейския съюз, да могат да прилагат същите технически и организационни мерки за сигурност, независимо от това от коя държава-членка произхожда предаването на данни, и по-специално в случаите, когато вносителят на данни получава за последващо обработване данни, произхождащи от различни клонове на износителя на данни в Европейския съюз, в които случаи следва да се прилага правото на посочената държава-членка на клона. |
(14) |
Целесъобразно е да се установи минимална информация, която страните трябва да предвидят в договора относно предаването. Държавите-членки трябва да си запазят възможността да уточняват информацията, която страните трябва да предоставят. Действието на настоящото решение следва да се преразгледа с оглед на натрупания опит. |
(15) |
Вносителят на данни трябва да обработва предаваните лични данни единствено от името на износителя на данни и според неговите инструкции и задълженията, съдържащи се в клаузите. В частност, вносителят на данни не следва да разкрива личните данни пред трета страна без предварителното писмено съгласие на износителя на данни. Износителят на данни трябва да изисква от вносителя на данни по време на периода на услугите по обработване на данните да обработва данните съгласно неговите инструкции, приложимото право за защита на данните и задълженията, съдържащи се в клаузите. |
(16) |
В доклада за прилагане на решенията относно стандартните договорни клаузи при предаването на лични данни на трети страни бе препоръчано установяването на подходящи стандартни договорни клаузи относно последващото предаване на лични данни от лице, обработващо данните, установено в трета страна, към друго лице, обработващо данните (предаване за подизпълнение), за да се отчетат бизнес тенденциите и практиките, които са в посока към нарастваща глобализация на дейностите по обработване на лични данни. |
(17) |
Настоящото решение следва да съдържа специфични стандартни договорни клаузи относно предаването за подизпълнение от лице, обработващо данните, установено в трета страна (вносителя на данни), на неговите услуги по обработване на данните към други лица, обработващи данните (подизпълнители), установени в трети страни. Освен това настоящото решение трябва да предвиди условията, на които трябва да отговаря предаването за подизпълнение, за да се гарантира, че предаваните лични данни продължават да бъдат защитени независимо от последващото им предаване на подизпълнител. |
(18) |
В допълнение предаването за подизпълнение трябва да се отнася единствено до операциите, посочени в договора, сключен между износителя и вносителя на данни и включващ стандартните договорни клаузи, предвидени в настоящото решение, и не трябва да се отнася до други операции по обработване или да служи на други цели, така че принципът на ограничаване на предаването до специфична крайна цел, посочен в Директива 95/46/ЕО, да бъде спазен. Освен това, когато подизпълнителят не изпълни собствените си задължения по обработването на данните съгласно договора, вносителят на данни следва да продължава да носи отговорност спрямо износителя на данни. Предаването на лични данни към лица, които ги обработват, установени извън Европейския съюз, не трябва да накърнява факта, че дейностите по обработване трябва да бъдат съобразени с приложимото право за защита на данните. |
(19) |
Стандартните договорни клаузи трябва да подлежат на привеждане в изпълнение не само от организациите, страни по договора, но също и от заинтересованите физически лица, и по-специално когато на последните се нанася вреда поради нарушаване на договора. |
(20) |
Заинтересованото физическо лице следва да има право да предприеме действия и ако е необходимо, да получи обезщетение от износителя на данни, който е администратор на предаваните лични данни. В изключителни случаи заинтересованото физическо лице следва също така да има право да предприеме действия и ако е необходимо, да получи обезщетение от вносителя на данни в случай на неизпълнение от страна на вносителя на данни или на всеки негов подизпълнител на някое от задълженията, посочени в клауза 3, параграф 2, когато износителят на данни е изчезнал фактически или е престанал да съществува юридически, или е изпаднал в несъстоятелност. В изключителни случаи заинтересованото физическо лице следва също така да има право да предприеме действия и ако е необходимо, да получи обезщетение от подизпълнител в случаите, когато износителят на данни и вносителят на данни са изчезнали фактически или са престанали да съществуват юридически, или са изпаднали в несъстоятелност. Такава гражданска отговорност на подизпълнителя трябва да бъде ограничена до собствените му операции по обработване съгласно договорните клаузи. |
(21) |
Ако спор между физическо лице, което се позовава на клаузата в полза на трето лице, и вносителя на данни не бъде решен по взаимно съгласие, вносителят на данни трябва да предложи на заинтересованото физическо лице избор между медиация и съдебен процес. Степента, в която заинтересованото физическо лице ще има реална възможност за избор, ще зависи от наличието на надеждни и признати системи за медиация. Медиацията от страна на надзорните органи по защита на данните на държавата-членка, в която е установен износителят на данни, трябва да представлява опция, когато тези органи предоставят такава услуга. |
(22) |
Договорът трябва да бъде съобразен с правото на държавата-членка, в която е установен износителят на данни и която позволява на трето лице бенефициер да поиска изпълнението на даден договор. Заинтересованите физически лица трябва да могат да бъдат представлявани от асоциации или други организации, ако желаят това и ако националното право го позволява. Същото право следва да урежда и разпоредбите относно защитата на данни във всеки договор с подизпълнител за предаване за подизпълнение на дейностите по обработване на личните данни, предавани от износителя на данни към вносителя на данни съгласно договорните клаузи. |
(23) |
Тъй като настоящото решение се прилага само за предаване от страна на лице, обработващо данните, установено в трета страна, на неговите услуги за обработване на данни, на подизпълнител, установен в трета страна, то не трябва да се прилага в случаите, в които лице, обработващо данните, установено в Европейския съюз и извършващо обработването на лични данни от името на администратор, установен в Европейския съюз, предава за подизпълнение своите операции по обработване на подизпълнител, установен в трета страна В такива случаи държавите-членки решават дали да вземат предвид факта, че принципите и гаранциите на стандартните договорни клаузи, предвидени в настоящото решение, са били използвани за предаването на подизпълнител, установен в трета страна, за да се осигури достатъчна степен на защита на правата на физическите лица, чиито лични данни се предават в рамките на операциите по обработване при подизпълнение. |
(24) |
Работната група за защита на лицата при обработването на лични данни, създадена съгласно член 29 от Директива 95/46/ЕО, представи становище относно степента на защита, предвидена от стандартните договорни клаузи, приложени към настоящото решение. Това становище бе взето предвид при подготовката на настоящото решение. |
(25) |
Решение 2002/16/ЕО следва да бъде отменено. |
(26) |
Мерките, предвидени в настоящото решение, са в съответствие със становището на комитета, създаден съгласно член 31 от Директива 95/46/ЕО, |
ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:
Член 1
Счита се, че стандартните договорни клаузи, съдържащи се в приложението, предоставят достатъчни гаранции за защитата на личния живот и основните права и свободи на физическите лица, както и по отношение на упражняването на съответните права, както се изисква от член 26, параграф 2 от Директива 95/46/ЕО.
Член 2
Настоящото решение се отнася единствено до достатъчната степен на защитата, предоставяна чрез стандартните договорни клаузи, съдържащи се в приложението, при предаването на лични данни на обработващите ги лица. То не засяга прилагането на други национални разпоредби за прилагане на Директива 95/46/ЕО, които се отнасят до обработването на лични данни в държавите-членки.
Настоящото решение се прилага за предаването на лични данни от администраторите на данни, установени в Европейския съюз, към получатели, установени извън територията на Европейския съюз, които действат изключително като лица, обработващи данните.
Член 3
За целите на настоящото решение се прилагат следните определения:
а) |
„специални категории от данни“ означава данните, посочени в член 8 от Директива 95/46/ЕО; |
б) |
„надзорен орган“ означава органът, посочен в член 28 от Директива 95/46/ЕО; |
в) |
„износител на данни“ означава администраторът, който предава личните данни; |
г) |
„вносител на данни“ означава лицето, обработващо данните, установено в трета страна, което приема да получава от износителя на данни лични данни, предназначени за обработване от името на износителя на данни след предаване съгласно неговите инструкции и при условията на настоящото решение, и което не е част от системата на трета страна, осигуряваща достатъчна степен на защита по смисъла на член 25, параграф 1 от Директива 95/46/ЕО; |
д) |
„подизпълнител“ означава всяко лице, обработващо данни, наето от вносителя на данни или от всеки друг подизпълнител на вносителя на данни, което приема да получава от вносителя на данни или от всеки друг подизпълнител на вносителя на данни лични данни, предназначени за извършване на дейности по обработване изключително от името на износителя на данни след предаване съгласно неговите инструкции, при стандартните договорни клаузи, посочени в приложението, и условията на писмения договор за предаване за подизпълнение; |
е) |
„приложимо право за защита на данните“ означава законодателството, защитаващо основните права и свободи на лицата, и по-специално правото на личен живот при обработването на лични данни, приложимо към администратор на данни в държавата-членка, в която е установен износителят на данни; |
ж) |
„технически и организационни мерки за сигурност“ означава мерките, предназначени да защитават личните данни срещу неволно или незаконно унищожаване или неволно загубване, промяна, неразрешено разкриване или достъп, особено когато обработването предполага предаването на данни по мрежа, и срещу всяка друга незаконна форма на обработване. |
Член 4
1. Без да се накърняват правомощията им да предприемат мерки за осигуряване на спазването на националните разпоредби, приети съгласно глави II, III, V и VI от Директива 95/46/ЕО, компетентните органи на държавите-членки могат да упражняват правомощията, с които разполагат, за да забраняват или да спират потоците от данни към трети страни с цел защитата на физически лица при обработването на техните лични данни, в случай че:
а) |
е установено, че правото, което се прилага спрямо вносителя на данни или подизпълнител, му налага задължения за дерогиране от приложимото право за защита на данните, които се простират извън ограниченията, необходими в едно демократично общество, предвидени в член 13 от Директива 95/46/ЕО, когато тези задължения могат да има съществени неблагоприятни последици за гаранциите, предоставени от приложимото право за защита на данните и стандартните договорни клаузи; |
б) |
компетентен орган е установил, че вносителят на данни или подизпълнител не е спазил стандартните договорни клаузи от приложението; или |
в) |
е много вероятно стандартните договорни клаузи от приложението да не са или да не бъдат спазени и продължаването на предаването да създаде непосредствен риск от тежка вреда за заинтересованите физически лица. |
2. Забраната или спирането съгласно параграф 1 се отменя веднага след като причините за забраната или спирането престанат да съществуват.
3. Когато държавите-членки приемат мерки съгласно параграфи 1 и 2, те незабавно информират Комисията, която предоставя информацията на другите държави-членки.
Член 5
Комисията оценява прилагането на настоящото решение въз основа на съществуващата информация три години след неговото приемане. Тя представя доклад за направените констатации на комитета, създаден съгласно член 31 от Директива 95/46/ЕО. Докладът включва всички елементи, които могат да повлияят на оценката за достатъчната степен на стандартните договорни клаузи от приложението, и всички елементи, сочещи, че настоящото решение се прилага по дискриминационен начин.
Член 6
Настоящото решение се прилага от 15 май 2010 г.
Член 7
1. Решение 2002/16/ЕО се отменя, считано от 15 май 2010 г.
2. Договор, сключен между износител на данни и вносител на данни съгласно Решение 2002/16/ЕО преди 15 май 2010 г., остава в сила и продължава да поражда последици, докато предаването и операциите по обработване на данни, които се предмет на договора, остават непроменени и личните данни, обхванати от настоящото решение, продължават да бъдат предавани между страните. Ако договарящите се страни решат да направят промени в това отношение или да предадат за подизпълнение операциите по обработването, които са предмет на договора, те са длъжни да сключат нов договор, който трябва да бъде съобразен със стандартните договорни клаузи, съдържащи се в приложението.
Член 8
Адресати на настоящото решение са държавите-членки.
Съставено в Брюксел на 5 февруари 2010 година.
За Комисията
Jacques BARROT
Заместник-председател
(1) ОВ L 281, 23.11.1995 г., стр. 31.
(2) ОВ L 6, 10.1.2002 г., стр. 52.
(3) SEC(2006) 95, 20.1.2006 г.
(4) Международна търговска камара (ICC), Съвет на японските предприятия в Европа (JBCE), Комитет за ЕС на Американската търговска камара в Белгия (Аmcham) и Федерация на европейските асоциации за директен маркетинг (FEDMA).
(5) ОВ L 181, 4.7.2001 г., стр. 19.
ПРИЛОЖЕНИЕ
СТАНДАРТНИ ДОГОВОРНИ КЛАУЗИ (ЛИЦА, ОБРАБОТВАЩИ ДАННИТЕ)
За целите на член 26, параграф 2 от Директива 95/46/ЕО при предаването на лични данни на лица, обработващи данните, установени в трети страни, които не осигуряват подходяща степен на защита на данните
Име на организацията износител на данни: …
Адрес: …
Тел: …; факс: …; електронна поща: …
Друга информация, необходима за идентифициране на организацията:
…
(наричана по-нататък „износител на данни“)
и
Име на организацията вносител на данни: …
Адрес: …
Тел: …; факс: …; електронна поща: …
Друга информация, необходима за идентифициране на организацията:
…
(наричана по-нататък „вносител на данни“)
наричани по-нататък поотделно „страна“ и заедно „страни“,
СЕ СПОРАЗУМЯХА за следните договорни клаузи (наричани по-нататък „клаузите“) с цел да бъдат предоставени достатъчни гаранции по отношение на защитата на личния живот и основните права и свободи на физическите лица при предаването от износителя на данни на вносителя на данни на личните данни, посочени в допълнение 1.
Клауза 1
Определения
По смисъла на клаузите:
а) |
„лични данни“, „специални категории от данни“, „обработване“, „администратор“, „лице, обработващо данни“, „физическо лице“ и „надзорен орган“ имат същото значение като в Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (1); |
б) |
„износител на данни“ означава администраторът, който предава личните данни; |
в) |
„вносител на данни“ означава лицето, обработващо данните, което приема да получава от износителя на данни лични данни, предназначени за обработване от името на износителя на данни след предаване съгласно неговите инструкции и при условията на клаузите, и което не е част от системата на трета страна, осигуряваща достатъчна степен на защита по смисъла на член 25, параграф 1 от Директива 95/46/ЕО; |
г) |
„подизпълнител“ означава всяко лице, обработващо данни, наето от вносителя на данни или от всеки друг подизпълнител на вносителя на данни, което приема да получава от вносителя на данни или от всеки друг подизпълнител на вносителя на данни лични данни, предназначени за извършване на дейности по обработване изключително от името на износителя на данни след предаване съгласно неговите инструкции, при условията на клаузите и условията на писмения договор за предаване за подизпълнение; |
д) |
„приложимо право за защита на данните“ означава законодателството, защитаващо основните права и свободи на лицата, и по-специално правото на личен живот при обработването на лични данни, приложимо към администратор на данни в държавата-членка, в която е установен износителят на данни; |
е) |
„технически и организационни мерки за сигурност“ означава мерките, предназначени да защитават личните данни срещу неволно или незаконно унищожаване или неволно загубване, промяна, неразрешено разкриване или достъп, особено когато обработването предполага предаването на данни по мрежа, и срещу всяка друга незаконна форма на обработване. |
Клауза 2
Подробности за предаването
Подробностите за предаването и особено специалните категории от лични данни, ако е приложимо, са посочени в допълнение 1, което съставлява неразделна част от клаузите.
Клауза 3
Клауза в полза на трето лице
1. |
Заинтересованото физическо лице може да иска прилагането спрямо износителя на данни на настоящата клауза, клауза 4, букви б)—и), клауза 5, букви а)—д) и букви ж)—й), клауза 6, параграфи 1 и 2, клауза 7, клауза 8, параграф 2 и клаузи 9—12, като трето лице бенефициер. |
2. |
Заинтересованото физическо лице може да иска прилагането спрямо вносителя на данни на настоящата клауза, клауза 5, букви а)—д) и буква ж), клауза 6, клауза 7, клауза 8, параграф 2 и клаузи 9—12, в случай че износителят на данни е изчезнал фактически или е престанал да съществува юридически, освен ако правоприемник не е поел всички правни задължения на износителя на данни чрез договор или по закон, в резултат на което правата и задълженията на износителя на данни преминават върху правоприемника, в който случай физическото лице може да иска прилагането им спрямо правоприемника. |
3. |
Заинтересованото физическо лице може да иска прилагането спрямо вносителя на данни на настоящата клауза, клауза 5, букви а)—д) и буква ж), клауза 6, клауза 7, клауза 8, параграф 2 и клаузи 9—12, в случай че износителят на данни е изчезнал фактически или е престанал да съществува юридически, освен ако правоприемник не е поел всички правни задължения на износителя на данни чрез договор или по закон, в резултат на което правата и задълженията на износителя на данни преминават върху правоприемника, в който случай физическото лице може да иска прилагането им спрямо правоприемника. Такава гражданска отговорност на подизпълнителя е ограничена до собствените му операции по обработване съгласно клаузите. |
4. |
Страните не възразяват срещу това заинтересованото физическо лице да бъде представлявано от асоциация или друга организация, ако то изрично пожелае това и ако националното право го позволява. |
Клауза 4
Задължения на износителя на данни
Износителят на данни приема и гарантира, че:
а) |
обработването, включително самото предаване, на лични данни се извършва и ще продължава да се извършва съгласно съответните разпоредби на приложимото право за защита на данните (и ако е приложимо, съответните компетентни органи на държавата-членка, в която е установен износителят на данни, са били уведомени за обработването) и не нарушава съответните разпоредби на тази държава; |
б) |
е инструктирал и по време на периода на услугите по обработване на личните данни ще инструктира вносителя на данни да обработва предаваните лични данни единствено от името на износителя на данни и в съответствие с приложимото право за защита на данните и клаузите; |
в) |
вносителят на данни осигурява достатъчни гаранции по отношение на техническите и организационните мерки за сигурност, посочени в допълнение 2 към настоящия договор; |
г) |
след оценка на изискванията на приложимото право за защита на данните мерките за сигурност са годни да защитават личните данни срещу неволно или незаконно унищожаване или неволно загубване, промяна, неразрешено разкриване или достъп, особено когато обработването предполага предаването на данни по мрежа, и срещу всяка друга незаконна форма на обработване и че тези мерки гарантират равнище на сигурност, адаптирано към рисковете, свързани с обработването и характера на данните, подлежащи на защита, като се имат предвид равнището на технологично развитие и разходите за тяхното изпълнение; |
д) |
ще осигури спазването на мерките за сигурност; |
е) |
ако предаването включва специални категории от данни, заинтересованото физическо лице е било информирано или ще бъде информирано преди или непосредствено след предаването, че неговите данни могат да бъдат предадени на трета страна, която не осигурява достатъчна степен на защита по смисъла на Директива 95/46/ЕО; |
ж) |
ще изпрати всяко уведомление, получено от вносителя на данни или от подизпълнител съгласно клауза 5, буква б) и клауза 8, параграф 3, на надзорния орган за защита на данните, ако износителят на данни реши да продължи предаването или да отмени спирането; |
з) |
при поискване ще предостави на заинтересованото физическо лице копие от клаузите, с изключение на допълнение 2 и кратко описание на мерките за сигурност, както и копие от всеки договор за предаване за подизпълнение, който следва да бъде сключен в съответствие с клаузите, освен ако клаузите или договорът съдържат търговска информация, като в такъв случай тази търговска информация може да бъде премахната; |
и) |
в случай на предаване за подизпълнение, дейността по подизпълнение се извършва съгласно клауза 11 от подизпълнител, който предоставя поне същата степен на защита на личните данни и правата на заинтересованото физическо лице като вносителя на данни съгласно клаузите; и |
й) |
ще осигури спазването на клауза 4, букви а)—и). |
Клауза 5
Задължения на вносителя на данни (2)
Вносителят на данни приема и гарантира, че:
а) |
ще обработва личните данни единствено от името на износителя на данни и в съответствие с неговите инструкции и клаузите; ако не може да осигури такова съответствие по каквито и да е причини, той приема да информира своевременно износителя на данни за невъзможността да осигури съответствие, като в такъв случай износителят на данни може да спре предаването на данни и/или да прекрати договора; |
б) |
няма причини да се смята, че приложимото за него законодателство го възпрепятства да изпълнява инструкциите, получени от износителя на данни, и задълженията си по договора и че в случай на промяна на това законодателство, която може да има съществени неблагоприятни последици върху гаранциите и задълженията, предвидени от клаузите, той своевременно ще уведоми износителя на данни за промяната без забавяне, като в такъв случай износителят на данни може да спре предаването на данни и/или да прекрати договора; |
в) |
прилага техническите и организационните мерки за сигурност, посочени в допълнение 2, преди обработването на предаваните лични данни; |
г) |
своевременно ще уведомява износителя на данни за:
|
д) |
ще обработва своевременно и по необходимия начин всички запитвания от страна на износителя на данни, свързани с начина му на обработване на личните данни, подлежащи на предаване, и ще се съобразява с насоките на надзорния орган по отношение на обработването на предаваните данни; |
е) |
по искане на износителя на данни ще предостави оборудването и средствата си за обработване на данни за проверка на обхванатите от клаузите дейности по обработване, която проверка се извършва от износителя на данни или от контролен орган, съставен от независими членове с необходимата професионална квалификация, който е длъжен да пази служебна тайна, избран от износителя на данни, ако е приложимо, със съгласието на надзорния орган; |
ж) |
при поискване ще предостави на заинтересованото физическо лице копие от клаузите или всеки наличен договор за предаване за подизпълнение, освен ако клаузите или договорът съдържат търговска информация, като в такъв случай тази търговска информация може да бъде премахната, с изключение на допълнение 2, което ще бъде заменено от кратко описание на мерките за сигурност в случаите, в които заинтересованото физическо лице не може да получи копие от износителя на данни; |
з) |
в случай на предаване за подизпълнение той предварително е информирал износителя на данни и е получил предварителното му писмено съгласие; |
и) |
услугите по обработване от страна на подизпълнителя ще се извършват в съответствие с клауза 11; |
й) |
ще изпрати своевременно на износителя на данни копие от всяко споразумение за предаване за подизпълнение, което сключи съгласно клаузите. |
Клауза 6
Отговорност
1. |
Страните се споразумяват, че всяко физическо лице, което претърпи вреда в резултат на нарушаване на задълженията, посочени в клауза 3 или в клауза 11 от страна на една от страните или на подизпълнител, има право да получи обезщетение от износителя на данни за претърпяната вреда. |
2. |
Ако заинтересованото физическо лице не може да подаде иск за обезщетение в съответствие с параграф 1, произтичащ от нарушение от страна на вносителя на данни или негов подизпълнител на техните задължения, посочени в клауза 3 или в клауза 11, поради това, че износителят на данни е изчезнал фактически или е престанал да съществува юридически или е изпаднал в несъстоятелност, вносителят на данни приема, че заинтересованото физическо лице може да подаде иск срещу него, както ако той би бил износителя на данни, освен ако правоприемник не е поел всички правни задължения на износителя на данни чрез договор или по закон, в който случай физическото лице може да иска прилагането на правата си спрямо правоприемника. Вносителят на данни не може да се позовава на нарушение от страна на подизпълнител на неговите задължения, за да избегне собствената си отговорност. |
3. |
Ако заинтересованото физическо лице не може да подаде срещу износителя на данни или срещу вносителя на данни иска, посочен в параграфи 1 и 2, произтичащ от нарушение от страна на подизпълнителя на неговите задължения, посочени в клауза 3 или в клауза 11, поради това, че износителят на данни и вносителят на данни са изчезнали фактически или са престанали да съществуват юридически или са изпаднали в несъстоятелност, подизпълнителят приема, че заинтересованото физическо лице може да подаде иск срещу него във връзка със собствените му операции по обработване съгласно клаузите, както ако той би бил износителят на данни или вносителят на данни, освен ако правоприемник не е поел всички правни задължения на износителя на данни или на вносителя на данни чрез договор или по закон, в който случай физическото лице може да иска прилагането на правата си спрямо правоприемника. Отговорността на подизпълнителя е ограничена до собствените му операции по обработване съгласно клаузите. |
Клауза 7
Медиация и съд
1. |
Вносителят на данни приема, че ако заинтересованото физическо лице се позове спрямо него на права като трето лице бенефициер и/или търси обезщетение за вреди съгласно настоящите клаузи, вносителят на данни ще приеме решението на заинтересованото физическо лице:
|
2. |
Страните се споразумяват, че изборът на заинтересованото физическо лице не засяга неговите материални или процесуални права да търси обезщетение в съответствие с други разпоредби на националното или международното право. |
Клауза 8
Сътрудничество с надзорните органи
1. |
Износителят на данни приема да депозира копие от настоящия договор при надзорния орган, ако той го поиска или ако такова депозиране се изисква съгласно приложимото право за защита на данните. |
2. |
Страните се споразумяват, че надзорният орган има право да извършва проверка на вносителя на данни и на всеки подизпълнител със същия обхват и при същите условия, които биха се прилагали за проверка на износителя на данни съгласно приложимото право за защита на данните. |
3. |
Вносителят на данни своевременно информира износителя на данни за наличието на законодателство, приложимо спрямо него или негов подизпълнител, което възпрепятства извършването на проверка на вносителя на данни или на негов подизпълнител съгласно параграф 2. В такъв случай износителят на данни има право да предприеме мерките, предвидени в клауза 5, буква б). |
Клауза 9
Приложимо право
Клаузите трябва да бъдат съобразени с правото на държавата-членка, в която е установен износителят на данни, а именно …
Клауза 10
Изменение на договора
Страните се ангажират да не изменят, нито да променят клаузите. Ако е необходимо, страните могат да прибавят клаузи по търговски въпроси, при условие че те не противоречат на клаузата.
Клауза 11
Предаване за подизпълнение
1. |
Вносителят на данни няма да предава за подизпълнение операциите по обработване, извършвани от името на износителя на данни съгласно клаузите, без предварителното писмено съгласие на износителя на данни. Вносителят на данни предава за подизпълнение задълженията си съгласно клаузите със съгласието на износителя на данни само посредством писмено споразумение с подизпълнителя, което налага на подизпълнителя същите задължения като тези, наложени на вносителя на данни съгласно клаузите (3). Ако подизпълнителят не изпълни задълженията си за защита на данните по такова писмено споразумение, вносителят на данни носи пълна отговорност спрямо износителя на данни за изпълнението на задълженията на подизпълнителя по споразумението. |
2. |
Предварителният писмен договор между вносителя на данни и подизпълнителя предвижда също така клауза в полза на трето лице, като тази от клауза 3, за случаи, в които заинтересованото физическо лице не може да подаде иска за обезщетение, посочен в клауза 6, параграф 1, срещу износителя на данни или срещу вносителя на данни поради това, че те са изчезнали фактически или са престанали да съществуват юридически или са изпаднали в несъстоятелност, и няма правоприемник, който да е поел всички правни задължения на износителя на данни или на вносителя на данни чрез договор или по закон. Такава гражданска отговорност на подизпълнителя е ограничена до собствените му операции по обработване съгласно клаузите. |
3. |
Разпоредбите, свързани със защитата на данните при предаване за подизпълнение на договора, посочени в параграф 1, трябва да бъдат съобразени с правото на държавата-членка, в която е установен износителят на данни, а именно … |
4. |
Износителят на данни поддържа списък със споразумения за предаване за подизпълнение, сключени съгласно клаузите и за които е изпратено уведомление от страна на вносителя на данни съгласно клауза 5, буква й), който списък се актуализира поне веднъж годишно. Надзорният орган за защита на данните на износителя на данни има достъп до списъка. |
Клауза 12
Задължение след приключване на услугите по обработване на лични данни
1. |
Страните се споразумяват, че при приключване на предоставянето на услуги по обработване на лични данни вносителят на данни и подизпълнителят, по избор на износителя на данни, връщат всички предадени лични данни и направените копия на износителя на данни или унищожават всички лични данни и удостоверяват този факт на износителя на данни, освен ако приложимото спрямо вносителя на данни законодателство го възпрепятства да върне или да унищожи всички или част от предадените лични данни. В такъв случай вносителят на данни гарантира, че той ще осигури поверителността на предадените лични данни и повече няма да ги обработва активно. |
2. |
Вносителят на данни и подизпълнителят гарантират, че при поискване от износителя на данни и/или от надзорния орган те ще предоставят оборудването и средствата си за обработване на данни за проверка на мерките, посочени в параграф 1. |
От името на износителя на данни:
Име (изписва се изцяло): …
Длъжност: …
Адрес: …
Друга информация, която е необходима, за да бъде договорът правнообвързващ (ако има такава):
|
Подпис … |
От името на вносителя на данни:
Име (изписва се изцяло): …
Длъжност: …
Адрес: …
Друга информация, която е необходима, за да бъде договорът правнообвързващ (ако има такава):
|
Подпис … |
(1) Страните могат да възпроизведат в настоящата клауза определенията и значенията, съдържащи се в Директива 95/46/ЕО, ако предпочитат договорът да бъде разглеждан самостоятелно.
(2) Императивните изисквания на националното законодателство, прилагащи се за вносителя на данни, които не се простират извън необходимото в едно демократично общество, въз основа на един от интересите, изброени в член 13, параграф 1 от Директива 95/46/ЕО, т.е. ако те представляват необходима мярка за гарантиране на националната сигурност, отбраната, обществената сигурност, предотвратяването, разследването, разкриването и преследването на престъпления или на нарушения на етичните кодекси при регламентираните професии, важни икономически и финансови интереси на държавата или защитата на заинтересованото физическо лице или на правата и свободите на други лица, не са в противоречие със стандартните договорни клаузи. Няколко примера за такива императивни изисквания, които не се простират извън необходимото в едно демократично общество, са inter alia международно признатите санкции, изискванията за данъчно деклариране или изискванията за деклариране на мерки срещу изпирането на пари.
(3) Това изискване може да бъде изпълнено, като подизпълнителят също подпише договора, сключен между износителя и вносителя на данни съгласно настоящото решение.
Допълнение 1
Към стандартните договорни клаузи
Допълнението е неразделна част от клаузите и трябва да бъде попълнено и подписано от страните
Държавите-членки могат да допълнят или да уточнят в съответствие с националния си процесуален ред всяка допълнителна информация, която трябва да се съдържа в настоящото допълнение
Износител на данни
Износителят на данни е (моля, посочете накратко дейностите, свързани с предаването):
…
…
…
Вносител на данни
Вносителят на данни е (моля, посочете накратко дейностите, свързани с предаването):
…
…
…
Заинтересовани физически лица
Предаваните лични данни засягат следните категории физически лица (моля, посочете):
…
…
…
Категории данни
Предаваните лични данни засягат следните категории данни (моля, посочете):
…
…
…
Специални категории данни (ако е необходимо)
Предаваните лични данни засягат следните специални категории данни (моля, посочете):
…
…
…
Операции по преработване
Предаваните лични данни ще бъдат подложени на следните основни дейности по обработване (моля, посочете):
…
…
…
|
ИЗНОСИТЕЛ НА ДАННИ Име: … Подпис на упълномощено лице … |
|
ВНОСИТЕЛ НА ДАННИ Име: … Подпис на упълномощено лице … |
Допълнение 2
Към стандартните договорни клаузи
Допълнението е неразделна част от клаузите и трябва да бъде попълнено и подписано от страните
Описание на техническите и организационните мерки за сигурност, прилагани от вносителя на данни в съответствие с клауза 4, буква г) и клауза 5, буква в) (или приложен документ/законодателство):
…
…
…
…
ПРИМЕРНА КЛАУЗА ЗА ОБЕЗЩЕТЯВАНЕ (ФАКУЛТАТИВНА)
Отговорност
Страните се споразумяват, че ако една от страните бъде обявена за отговорна за нарушаване на клаузите, извършено от другата страна, тази страна ще обезщети обявената за отговорна страна до размера на своята отговорност за всички разходи, тежести, вреди, разноски или загуби, които е понесла.
Обезщетяването зависи от това:
а) |
износителят на данни да уведоми своевременно вносителя на данни за иска; и |
б) |
на вносителя на данни да бъде дадена възможност да си сътрудничи с износителя на данни при защитата и уреждането на иска (1). |
(1) Параграфът за отговорността е факултативен.