|
13/ 31 |
BG |
Официален вестник на Европейския съюз |
70 |
32001D0497
|
L 181/19 |
ОФИЦИАЛЕН ВЕСТНИК НА ЕВРОПЕЙСКИЯ СЪЮЗ |
РЕШЕНИЕ НА КОМИСИЯТА
от 15 юни 2001 година
относно общите договорни клаузи за трансфера на лични данни към трети страни съгласно Директива 95/46/ЕО
(нотифицирано под номер С(2001) 1539)
(текст от значение за ЕИП)
(2001/497/ЕО)
КОМИСИЯТА НА ЕВРОПЕЙСКИТЕ ОБЩНОСТИ,
като взе предвид Договора за създаване на Европейската общност,
като взе предвид Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (1), и по-специално член 26, параграф 4 от нея,
като има предвид, че:
|
(1) |
Съгласно Директива 95/46/ЕО държавите-членки са задължени да вземат мерки трансфер на лични данни към трета страна да се извършва само ако въпросната страна осигурява адекватно равнище на защита на данните и ако законите на държавите-членки, които са в съответствие с другите разпоредби на директивата, се спазват преди трансфера. |
|
(2) |
Въпреки това член 26, параграф 2 от Директива 95/46/ЕО предвижда държавите-членки да могат да разрешават при известни гаранции трансфер или цялостен набор от трансфери на лични данни към трета страна, която не осигурява адекватното равнище на защита. Тези гаранции трябва също да се отразяват в подходящи договорни клаузи. |
|
(3) |
В съответствие с Директива 95/46/ЕО равнището на защита на данните трябва да бъде одобрено от позицията на всички обстоятелства, свързани с трансфер или категория трансфери. Работната група за защита на лицата по отношение на обработката на личните данни, установена съгласно тази директива (2), публикува насоки за улесняване на оценката (3). |
|
(4) |
Член 26, параграф 2 от Директива 95/46/ЕО, който осигурява гъвкавостта на дадена организация, която желае да трансферира данни към трети страни, и член 26, параграф 4, който предвижда общи договорни клаузи, са съществени за осигуряването на необходимия поток лични данни между Общността и третите страни, без да натоварват ненужно икономическите оператори. Въпросните членове са особено важни, като се има предвид, че съществува вероятност Комисията да изработи механизми, удостоверяващи адекватното равнище на защита на данните в съответствие с член 25, параграф 6 само за ограничен брой държави, краткосрочно или средносрочно. |
|
(5) |
Общите договорни клаузи представляват само една от различните възможности, предвидени от Директива 95/46/ЕО за законно трансфериране на лични данни съвместно с член 25 и член 26, параграфи 1 и 2. Като се съберат тези договорни клаузи в даден договор, организациите ще могат да трансферират много по-леко личните данни към трети страни. Общите договорни клаузи са свързани единствено със защитата на данните. Износителят и вносителят на данни са свободни да включват други клаузи от търговски характер, като клаузи за взаимно сътрудничество в случай на спорове със субекта на данните или надзорен орган, които те оценят като уместни за договора, при условие че те не противоречат на общите договорни клаузи. |
|
(6) |
Настоящото решение не засяга националните разрешения, които държавите-членки могат да издават в съответствие с националните разпоредби, въвеждащи в действие член 26, параграф 2 от Директива 95/46/ЕО. Поради обстоятелства, свързани със специфични трансфери може да се наложи администраторите на лични данни да предоставят различни гаранции по смисъла на член 26, параграф 2. Във всеки случай настоящото решение има единствената цел да задължи държавите-членки да не откажат да признаят, че договорните клаузи, които са описани в него, предлагат адекватни гаранции и при това положение то няма никакъв ефект върху други договорни клаузи. |
|
(7) |
Обхватът на настоящото решение се ограничава да установи, че клаузите, посочени в приложението, могат да бъдат използвани от администратора, установен в Общността, за да предостави достатъчни гаранции по смисъла на член 26, параграф 2 от Директива 95/46/ЕО. Трансферът на лични данни към трети страни представлява обработка в държава-членка, като законността на обработката се урежда по националното право. При упражняването на функциите и на правомощията, които са им предоставени от член 28 от Директива 95/46/ЕО, надзорните органи на държавите-членки остават компетентни да преценяват дали износителят на данни е спазил националното законодателство, въвеждащо в действие разпоредбите на Директива 95/46/ЕО, и по-специално всяко специфично правило относно задължението да се предостави информация съгласно тази директива. |
|
(8) |
Настоящото решение не обхваща трансфера на лични данни, извършен от администраторите на лични данни, установени в Общността към получатели, установени извън територията на Общността, които действат изключително като лица, обработващи лични данни. Тези трансфери не изискват същите гаранции, защото обработващият лични данни действа изключително за сметка на администратора. Комисията оценява в последващо решение дали е необходимо да се предприеме трансферът. |
|
(9) |
Целесъобразно е да се установи минимална информация, която страните трябва да предвидят в договора, отнасно трансфера. Държавите-членки трябва да запазят възможността да посочат точно информацията, която страните трябва да предоставят. Приложението на настоящото решение следва да се преразгледа в светлината на натрупания опит. |
|
(10) |
Комисията ще следи в бъдеще и дали общите договорни клаузи, представени от търговските организации или други засегнати страни, предлагат достатъчни гаранции в съответствие с Директива 95/46/ЕО. |
|
(11) |
Докато страните трябва да бъдат свободни да договарят правила на защита на основни данни, които вносителят на данни трябва да спазва, трябва във всеки случай да се прилагат някои принципи на защита на данни. |
|
(12) |
Данните следва да бъдат обработвани и впоследствие използвани или съобщавани на други лица само за определените цели и не трябва да бъдат съхранявани по-дълго от необходимото. |
|
(13) |
В съответствие с член 12 от Директива 95/46/ЕО засегнатото лице трябва да има право на достъп до всички данни, които го засягат, а в краен случай и право на поправка, на премахване или на несъгласие с някои данни. |
|
(14) |
Следващи трансфери на лични данни до друг администратор, установен в трета страна, се разрешават само при някои условия, по-специално за да гарантират, че заинтересованите лица получават точна информация и имат възможността да се противопоставят или в някои случаи да оттеглят своето съгласие. |
|
(15) |
Освен одобрението на съответствието на трансферите към трети страни с националното право, надзорните власти следва също да играят ключова роля в този договорен механизъм, като гарантират адекватната защита на личните данни след трансфера. При особени обстоятелства надзорните органи на държавите-членки трябва да запазят възможността да забраняват или временно да отменят трансфер на данни или цялостен набор трансфери на данни, основан на общи договорни клаузи, в изключителните случаи, когато е установено, че трансфер, основан на договорни клаузи, рискува да промени чувствително гаранциите, предоставящи адекватно равнище на гаранция за засегнатото лице. |
|
(16) |
Общите договорни клаузи следва да бъдат изпълними не само от организациите — страни по договора, но и от засегнатите лица, в частност когато последните понасят щета заради прекратяване на договора. |
|
(17) |
Приложимото право към договора трябва да бъде правото на държавата-членка, в която е установен износителят на данни, който разрешава на трето лице бенефициент да поиска да бъде изпълнен даден договор. Заинтересованите лица трябва да могат да бъдат представлявани от асоциации или други организации, ако желаят това и ако националното право го разрешава. |
|
(18) |
За да се намалят практическите трудности, които засегнатите лица биха могли да срещнат, когато се опитват да изискат прилагането на техните права по силата на общите договорни клаузи, износителят и вносителят на данни трябва да бъдат солидарно отговорни за щетите, произтичащи от всяко нарушение на разпоредбите, обхванати от клаузата за третото лице бенефициер. |
|
(19) |
Заинтересованото лице има правото да предприеме действия и да получи обезщетение от износителя на данни, от вносителя на данни или от двамата за всяка щета, произтичаща от всяко действие, несъвместимо със задълженията, предвидени от общите договорни клаузи. Двете страни могат да бъдат освободени от тази отговорност, ако докажат, че нито единият, нито другият са били отговорни. |
|
(20) |
Солидарната отговорност не се разпростира върху разпоредбите, които не са обхванати от клаузата за трето лице бенефициент, и не следва да се държи отговорна едната страна за вреди, произтичащи от противозаконна обработка, извършена от другата страна. Въпреки че не е задължително взаимно обезщетяване, за да гарантира адекватното равнище на защита на заинтерисованите лица и може следователно да бъде отменена, тя се включва в общите договорни клаузи с оглед загрижеността за изясняване и за да се избегне необходимостта двете страни да договарят поотделно клаузи за обезщетяване. |
|
(21) |
В случай на спор между страните и засегнатото лице, който не е решен добронамерено и ако засегнатото лице се позове на клаузата за третото лице бенефициент, страните се договарят да предложат на засегнатото лице избора между посредничество, арбитраж или процес. Степента, в която засегнатото лице ще има реален избор, зависи от наличието на надеждни и признати системи за посредничество и арбитраж. Посредничеството от страна на контролната власт на дадена държава-членка следва да бъде възможност в случаите, когато тя предоставя такава услуга. |
|
(22) |
Работната група за защита на лицата във връзка с обработката на лични данни, създадена съгласно член 29 от Директива 95/46/ЕО, представи становище относно равнището на защита, предвидено от общите договорни клаузи, приложени към настоящото решение. Това становище бе взето предвид при подготовката на настоящото решение (4). |
|
(23) |
Мерките, предвидени в настоящото решение, са в съответствие със становището на Комитета, създаден съгласно член 31 от Директива 95/46/ЕО, |
ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:
Член 1
Общите договорни клаузи, съдържащи се в приложението, се оценяват като предоставящи достатъчни гаранции в областта на защитата на личния живот и на основните права и свободи на хората относно упражняването на съответните права, както го изисква член 26, параграф 2 от Директива 95/46/ЕО.
Член 2
Настоящото решение се отнася единствено до адекватния характер на защитата, предоставена от общите договорни клаузи за трансфера на лични данни, съдържащи се в приложението. То не засяга прилагането на другите национални разпоредби, привеждащи в действие Директива 95/46/ЕО, които се отнасят до обработката на лични данни в държавите-членки.
Настоящото решение не се прилага за трансфер на лични данни, извършен от администратори, установени в Общността към получатели, установени извън територията на Общността, които действат изключително като лица, обработващи лични данни.
Член 3
По смисъла на настоящото решение:
|
а) |
се прилагат определенията, съдържащи се в Директива 95/46/ЕО; |
|
б) |
„специални категории данни“ са данните, посочени в член 8 от въпросната директива; |
|
в) |
„надзорни власти“ са властите, посочени в член 28 от съответната директива; |
|
г) |
„износител на данни“ е администраторът, който трансферира личните данни; |
|
д) |
„вносител на данни“ е администраторът, който се съгласява да получи от износителя данни от личен характер с оглед тяхната последваща обработка в съответствие с условията на настоящото решение. |
Член 4
1. Без да се засягат техните правомощия да взимат мерки, целящи осигуряването на спазването на изработените национални разпоредби в съответствие с глави II, III, V и VI на Директива 95/46/ЕО, компетентните власти на държавите-членки могат да упражняват правомощията, с които разполагат, за да забраняват или да прекратяват временно потоците данни към трети страни, с цел да защитят лицата във връзка с обработката на техните лични данни, в случай че:
|
а) |
е установено, че правото, на което е подчинен вносителят на данни, го възпрепятства при спазване на съществените правила за защита на данните, които надвишават необходимите в едно демократично общество ограничения, предвидени в член 13 от Директива 95/46/ЕО, когато тези изисквания може да имат значителен обратен ефект по отношение на гаранциите, предвидени от общите договорни клаузи, или |
|
б) |
компетентна власт е установила, че вносителят на данни не е спазил клаузите на договора, или |
|
в) |
много е вероятно общите договорни клаузи, фигуриращи в приложението, да не са или да не бъдат спазени и продължаването на трансфера да създаде за засегнатите лица сериозен риск да понесат тежки вреди. |
2. Забраната или временното прекратяване в съответствие с параграф 1 се вдига от момента, в който изчезнат причините, които го мотивират.
3. Когато държавите-членки предприемат мерките в съответствие с параграфи 1 и 2, те незабавно информират за това Комисията, която предава информацията на другите държави-членки.
Член 5
Комисията оценява прилагането на настоящото решение на базата на съществуващата информация три години след нотифицирането му до държавите-членки. Тя представя на комитета, създаден по силата на член 31 от Директива 95/46/ЕО, доклад за извършените констатации. Докладът включва всеки елемент, който е в състояние да повлияе на оценката относно адекватността на общите договорни клаузи, фигуриращи в приложението, и всеки елемент, посочващ че настоящото решение се прилага по дискриминативен начин.
Член 6
Настоящото решение се прилага, считано от 3 септември 2001 г.
Член 7
Адресати на настоящото решение са държавите-членки.
Съставено в Брюксел на 15 юни 2001 година.
За Комисията
Frederik BOLKESTEIN
Член на Комисията
(1) ОВ L 281, 23.11.1995 г., стр. 31.
(2) Интернет-адресът на работната група е следният:
http://www.europa.eu.int/comm/internal_market/еn/media/dataprot/wpdocs/index.htm
(3) WP 4 (5020/97) „Първи ориентации, отнасящи се до трансферите на лични данни към трети страни — възможни методи на оценка на адекватния характер на защитата“, документ за обсъждане, приет от работната група на 26 юни 1997 г.
WP 7 (5057/97) „Оценка на кодовете на секторна авторегламентация, когато може да се каже, че те подпомагат полезно защитата на данните в трета страна?“, работен документ, приет от работната група на 14 януари 1998 г.
WP 9 (3005/98) „Предварителен поглед върху прибягването до договорни разпоредби в рамките на трансферите на лични данни към трети страни“, работен документ, приет от работната група на 22 април 1998 г.
WP 12: „Трансфери на лични данни към трети страни: приложение на членове 25 и 26 от директивата, отнасяща се до защитата на данните“, документ, приет от работната група на 24 юли 1998 г. и на разположение на Интернет-сайта на Комисията „europa.eu.int/comm/internal_market/еn /media.dataprot/wpdocs/wp12/еn“.
(4) Становище № 1/2001, изработено от работната група на 26 януари 2001 г. (DG MARKT 5102/00 WP 38), наличен в Интернет-сайта на Комисията „Europa“.
ПРИЛОЖЕНИЕ
Допълнение 1
към общите договорни клаузи
Допълнение 2
към общите договорни клаузи
Задължителни принципи за защита на данните, посочени в клауза 5, буква б), първия параграф
Настоящите принципи трябва да бъдат четени и тълкувани в светлината на разпоредбите (принципи и релевантни изключения) на Директива 95/46/ЕО.
Те се прилагат при прилагащите се за вносителя на данни условия на императивните изисквания на националното законодателство, които не надвишават необходимите в едно демократично общество, на базата на един от интересите, изброени в член 13, параграф 1 от Директива 95/46/ЕО, т.е. ако те представляват необходима мярка за опазване на сигурността на държавата, отбраната, обществената сигурност, превенцията, проучването, откриването и преследването на нарушенията на закона или на липсата на деонтология в случай на регламентирани професии, икономически или финансов интерес на държава или защита на засегнато лице или правата и свободите на другиго.
|
1. |
Ограничаване на трансферите със специфична крайна цел: данните се обработват и използват или съобщават впоследствие само за специфичните крайни цели, посочени в допълнение 1 към настоящите клаузи. Те не трябва да бъдат съхранявани по-дълго от необходимото за целите, за които са трансферирани. |
|
2. |
Качество и пропорционалност на данните: данните трябва да бъдат точни и при нужда актуализирани. Те трябва да бъдат адекватни, съществени и не излишно увеличени от гледна точка на крайните цели, на които е подчинен техният трансфер или тяхната последваща обработка. |
|
3. |
Прозрачност: назаинтересованите лица трябва да се предоставя информация за крайните цели на обработката и за самоличността на администратора в трета страна, както и друга информация в степен, в която те са необходими за осигуряването на законна обработка, освен ако тази информация са вече предоставени от износителя на данни. |
|
4. |
Сигурност и поверителност: администраторът трябва да вземе мерки за сигурност по отношение на техническия план и на организационно равнище, които са пригодни от гледна точка на представените от обработката рискове, като например неразрешен достъп. Всяко лице, действащо под разпореждането на администратора, включително обработващото данните лице, трябва да обработва данните само по инструкции на администратора. |
|
5. |
Права на достъп, на поправка, на премахване и на несъгласие: както предвижда член 12 от Директива 95/46/ЕО, засегнатото лице трябва да има право на достъп до всички обработвани данни, които го засягат, и в краен случай да получава възможността за поправката им, за премахването им или поставянето им под ключ, когато е ясно, че тяхната обработка се извършва, без да се спазват принципите, установени в настоящото допълнение, и по-специално защото тези данни са непълни или неточни. Засегнатото лице трябва също да бъде в състояние да се противопостави на обработката на данните, които го засягат, по наложителни и законни причини, отнасящи се до личното му състояние. |
|
6. |
Ограничения за последващи трансфери: последващите трансфери на лични данни, осъществени от вносителя на данни към друг администратор, установен в трета страна, която не предоставя адекватно равнище на защита, или необхванати от решение на Комисията, прието в съответствие с член 25, параграф 6 от Директива 95/46/ЕО, могат да бъдат разрешавани само ако:
|
|
7. |
Особени категории данни: когато се обработват данни, които разкриват расов или етнически произход, политически виждания, религиозни или философски убеждения, синдикална принадлежност, данни, свързани със здравето и половия живот и данни, свързани със закононарушения, наказателни присъди или мерки за сигурност, трябва да бъдат предвидени допълнителни мерки за защита по смисъла на Директива 95/46/ЕО, и по-специално пригодни мерки за сигурност като пристъпване към задълбочено криптиране за прехвърлянето или за разпределянето на достъпа до чувствителните данни. |
|
8. |
Директен маркетинг: когато данните са обработени за целите на директния маркетинг, трябва да са налице ефикасни процедури, позволяващи на засегнатото лице да се „противопостави“ на това засягащите го данни да бъдат използвани за тази цел в един или друг момент. |
|
9. |
Автоматизирани индивидуални решения: засегнатите лица имат правото да не бъдат подлагани на решение, взето единствено на базата на автоматизираната обработка на данните, освен ако не са взети други мерки за опазването на законните интереси на лицето, както предвижда член 15, параграф 2 от Директива 95/46/ЕО. Когато крайната цел на трансфера е взимането на автоматизирано решение по смисъла на член 15 от Директива 95/46/ЕО, който създава правен ефект по отношение на лицето или който го засяга по забележителен начин, и което решение е взето на базата единствено на автоматизираната обработка на данните, предназначена да оцени някои аспекти на неговата личност, като например неговата професионална ефективност, доверието в него, неговата надеждност, неговото поведение и т.н., лицето трябва да има правото да знае мотивите за това решение. |
Допълнение 3
към общите договорни клаузи
Задължителни принципи на защита на данните, посочени в клауза 5, точка б), втория параграф
|
1. |
Ограничаване на трансфери със специфична крайна цел: данните се обработват и използват или съобщават впоследствие само за специфичните крайни цели, посочени в допълнение 1 към настоящите клаузи. Те не трябва да бъдат съхранявани по-дълго от необходимото за целите, за които са трансферирани. |
|
2. |
Права на достъп, на поправка, на премахване и на несъгласие: както предвижда член 12 от Директива 95/46/ЕО, засегнатото лице трябва да има право на достъп до всички обработвани данни, които го засягат, и в краен случай да получават възможност за поправката им, за премахването им или поставянето им под ключ, когато е ясно, че тяхната обработка се извършва, без да се спазват принципите, установени в настоящото допълнение, и по-специално защото тези данни са непълни или неточни. Засегнатото лице трябва също да бъде в състояние да се противопостави на обработката на данните, които го засягат, по наложителни и законни причини, отнасящи се до личното му състояние. |
|
3. |
Ограничения за последващи трансфери: последващите трансфери на лични данни, осъществени от вносителя на данни към друго отговорно за обработката лице, установено в трета страна, непредоставяща адекватно равнище на защита, или извън приложното поле на решението на Комисията, прието в съответствие с член 25, параграф 6 от Директива 95/46/ЕО, могат да бъдат разрешавани само ако:
|