02010D0087 — EL — 17.12.2016 — 001.001


Το κείμενο αυτό αποτελεί απλώς εργαλείο τεκμηρίωσης και δεν έχει καμία νομική ισχύ. Τα θεσμικά όργανα της Ένωσης δεν φέρουν καμία ευθύνη για το περιεχόμενό του. Τα αυθεντικά κείμενα των σχετικών πράξεων, συμπεριλαμβανομένων των προοιμίων τους, είναι εκείνα που δημοσιεύονται στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης και είναι διαθέσιμα στο EUR-Lex. Αυτά τα επίσημα κείμενα είναι άμεσα προσβάσιμα μέσω των συνδέσμων που περιέχονται στο παρόν έγγραφο

►B

ΑΠΌΦΑΣΗ ΤΗΣ ΕΠΙΤΡΟΠΉΣ

της 5ης Φεβρουαρίου 2010

σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου

[κοινοποιηθείσα υπό τον αριθμό Ε(2010) 593]

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

(2010/87/ΕΕ)

(ΕΕ L 039 της 12.2.2010, σ. 5)

Τροποποιείται από:

 

 

Επίσημη Εφημερίδα

  αριθ.

σελίδα

ημερομηνία

►M1

ΕΚΤΕΛΕΣΤΙΚΉ ΑΠΌΦΑΣΗ (ΕΕ) 2016/2297 ΤΗΣ ΕΠΙΤΡΟΠΉΣ Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ της 16ης Δεκεμβρίου 2016

  L 344

100

17.12.2016




▼B

ΑΠΌΦΑΣΗ ΤΗΣ ΕΠΙΤΡΟΠΉΣ

της 5ης Φεβρουαρίου 2010

σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου

[κοινοποιηθείσα υπό τον αριθμό Ε(2010) 593]

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

(2010/87/ΕΕ)



Άρθρο 1

Οι τυποποιημένες συμβατικές ρήτρες που περιλαμβάνονται στο παράρτημα θεωρείται ότι παρέχουν επαρκείς εγγυήσεις για την προστασία της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων, καθώς και για την άσκηση των σχετικών δικαιωμάτων, όπως επιβάλλει το άρθρο 26 παράγραφος 2 της οδηγίας 95/46/ΕΚ.

Άρθρο 2

Η παρούσα απόφαση αφορά μόνο το ικανοποιητικό επίπεδο της προστασίας που παρέχουν οι τυποποιημένες συμβατικές ρήτρες που παρατίθενται στο παράρτημα όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία. Δεν επηρεάζει την εφαρμογή άλλων εθνικών διατάξεων εφαρμογής της οδηγίας 95/46/ΕΚ που αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη.

Η παρούσα απόφαση εφαρμόζεται στη διαβίβαση δεδομένων προσωπικού χαρακτήρα από υπεύθυνους επεξεργασίας εγκατεστημένους στην Ευρωπαϊκή Ένωση προς αποδέκτες εγκατεστημένους εκτός Ευρωπαϊκής Ένωσης οι οποίοι ενεργούν αποκλειστικά ως εκτελούντες επεξεργασία.

Άρθρο 3

Για τους σκοπούς της παρούσας απόφασης, ισχύουν οι ακόλουθοι ορισμοί:

α) ως «ειδικές κατηγορίες δεδομένων» νοούνται τα δεδομένα που αναφέρονται στο άρθρο 8 της οδηγίας 95/46/ΕΚ·

β) ως «αρχή ελέγχου» νοείται η αρχή που αναφέρεται στο άρθρο 28 της οδηγίας 95/46/ΕΚ·

γ) ως «εξαγωγέας δεδομένων» νοείται ο υπεύθυνος επεξεργασίας ο οποίος διαβιβάζει τα δεδομένα προσωπικού χαρακτήρα·

δ) ως «εισαγωγέας δεδομένων» νοείται ο εκτελών επεξεργασία που είναι εγκατεστημένος σε τρίτη χώρα και ο οποίος συμφωνεί να παραλάβει από τον εξαγωγέα δεδομένων δεδομένα προσωπικού χαρακτήρα που προορίζονται, μετά τη διαβίβαση, για επεξεργασία για λογαριασμό του εξαγωγέα, σύμφωνα με τις οδηγίες του και σύμφωνα με τους όρους της παρούσας απόφασης, και ο οποίος δεν υπόκειται σε μηχανισμό τρίτης χώρας που διασφαλίζει ικανοποιητική προστασία, κατά την έννοια του άρθρου 25 παράγραφος 1 της οδηγίας 95/46/ΕΚ·

ε) ως «υπεργολάβος επεξεργασίας» νοείται κάθε εκτελών επεξεργασία τον οποίο προσλαμβάνει ο εισαγωγέας δεδομένων ή οποιοσδήποτε άλλος υπεργολάβος επεξεργασίας του εισαγωγέα, ο οποίος συμφωνεί να λάβει από τον εισαγωγέα δεδομένων ή από οποιονδήποτε άλλο υπεργολάβο επεξεργασίας του εισαγωγέα δεδομένα προσωπικού χαρακτήρα που προορίζονται αποκλειστικά για τις δραστηριότητες επεξεργασίας που πρόκειται να εκτελεστούν για λογαριασμό του εξαγωγέα δεδομένων μετά τη διαβίβαση, σύμφωνα με τις οδηγίες του τελευταίου, με τις τυποποιημένες συμβατικές ρήτρες που αναγράφονται στο παράρτημα, καθώς και με τους όρους της γραπτής σύμβασης σχετικά με την υπεργολαβία·

στ) ως «εφαρμοστέο δίκαιο περί προστασίας των δεδομένων» νοείται η νομοθεσία που προστατεύει τα θεμελιώδη δικαιώματα και ελευθερίες των ατόμων, και ιδίως το δικαίωμα προστασίας της ιδιωτικής τους ζωής από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, η οποία εφαρμόζεται σε υπεύθυνο επεξεργασίας δεδομένων στο κράτος μέλος στο οποίο είναι εγκατεστημένος ο εξαγωγέας δεδομένων·

ζ) Ως «τεχνικά και οργανωτικά μέτρα ασφαλείας» νοούνται τα μέτρα που στοχεύουν στην προστασία των δεδομένων προσωπικού χαρακτήρα από την τυχαία ή παράνομη καταστροφή, την τυχαία απώλεια, την αλλοίωση, τη μη εξουσιοδοτημένη κοινοποίηση ή πρόσβαση, ιδίως όταν η επεξεργασία συνεπάγεται τη διαβίβαση δεδομένων μέσω δικτύου, καθώς και στην προστασία από κάθε άλλη παράνομη μορφή επεξεργασίας.

▼M1

Άρθρο 4

Όταν αρμόδια αρχή κράτους μέλους ασκεί τις εξουσίες της βάσει του άρθρου 28 παράγραφος 3 της οδηγίας 95/46/ΕΚ για να αναστείλει ή να απαγορεύσει οριστικά ροή δεδομένων προς τρίτη χώρα προς τον σκοπό της προστασίας φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που τα αφορούν, το οικείο κράτος μέλος ενημερώνει, χωρίς καθυστέρηση, την Επιτροπή, η οποία διαβιβάζει τις σχετικές πληροφορίες στα λοιπά κράτη μέλη.

▼B

Άρθρο 5

Η Επιτροπή αξιολογεί την εφαρμογή της παρούσας απόφασης βάσει των διαθέσιμων πληροφοριών, τρία έτη μετά την έκδοσή της. Υποβάλλει έκθεση των πορισμάτων της στην επιτροπή που έχει συστάθηκε βάσει του άρθρου 31 της οδηγίας 95/46/ΕΚ. Στην έκθεση συμπεριλαμβάνεται κάθε αποδεικτικό στοιχείο που θα μπορούσε να επηρεάσει την εκτίμηση σχετικά με την επάρκεια των τυποποιημένων συμβατικών ρητρών του παραρτήματος, καθώς και κάθε στοιχείο από το οποίο προκύπτει ότι η παρούσα απόφαση εφαρμόζεται με μεροληπτικό τρόπο.

Άρθρο 6

Η παρούσα απόφαση τίθεται σε εφαρμογή στις 15 Μαΐου 2010.

Άρθρο 7

1.  Η απόφαση 2002/16/ΕΚ καταργείται από τις 15 Μαΐου 2010.

2.  Κάθε σύμβαση που έχει συναφθεί μεταξύ εξαγωγέα και εισαγωγέα δεδομένων σύμφωνα με την απόφαση 2002/16/ΕΚ πριν από τις 15 Μαΐου 2010 παραμένει πλήρως σε ισχύ και παράγει αποτελέσματα για όσο διάστημα παραμένουν αμετάβλητες οι διαβιβάσεις και οι πράξεις επεξεργασίας δεδομένων που αποτελούν το αντικείμενο της σύμβασης και εξακολουθούν να διαβιβάζονται μεταξύ των συμβαλλομένων τα δεδομένα προσωπικού χαρακτήρα που καλύπτονται από την παρούσα απόφαση εφαρμογής. Αν οι συμβαλλόμενοι αποφασίσουν να επιφέρουν σχετικές τροποποιήσεις ή να εκχωρήσουν τις δραστηριότητες επεξεργασίας που αποτελούν αντικείμενο της σύμβασης, υποχρεούνται να συνάψουν νέα σύμβαση σύμφωνα με τις τυποποιημένες συμβατικές ρήτρες που περιλαμβάνονται στο παράρτημα.

Άρθρο 8

Η παρούσα απόφαση απευθύνεται στα κράτη μέλη.




ΠΑΡΑΡΤΗΜΑ

ΤΥΠΟΠΟΙΗΜΕΝΕΣ ΣΥΜΒΑΤΙΚΕΣ ΡΗΤΡΕΣ (ΕΚΤΕΛΟΥΝΤΕΣ ΕΠΕΞΕΡΓΑΣΙΑ)

Για τους σκοπούς του άρθρου 26 παράγραφος 2 της οδηγίας 95/46/ΕΚ για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες οι οποίες δεν εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας των δεδομένων

Επωνυμία του οργανισμού που εξάγει τα δεδομένα: …

Διεύθυνση: …

Τηλ.: … Φαξ: … Ηλ. ταχ.: …

Άλλα πληροφοριακά στοιχεία που απαιτούνται για τον προσδιορισμό του οργανισμού

(ο εξαγωγέας δεδομένων)

και

Επωνυμία του οργανισμού που εισάγει τα δεδομένα: …

Διεύθυνση: …

Τηλ.: … Φαξ: … Ηλ. ταχ.: …

Άλλα πληροφοριακά στοιχεία που απαιτούνται για τον προσδιορισμό του οργανισμού

(ο εισαγωγέας δεδομένων)

Φερόμενοι στο εξής ως «ο συμβαλλόμενος» όταν πρόκειται για έκαστο μεμονωμένα και «οι συμβαλλόμενοι» όταν είναι από κοινού.

ΣΥΜΦΩΝΗΣΑΝ σχετικά με τις ακόλουθες συμβατικές ρήτρες (στο εξής «οι ρήτρες») προκειμένου να παράσχουν επαρκείς εγγυήσεις όσον αφορά την προστασία της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων κατά τη διαβίβαση, από τον εξαγωγέα δεδομένων προς τον εισαγωγέα δεδομένων, των δεδομένων προσωπικού χαρακτήρα που ορίζονται στο προσάρτημα 1.

Ρήτρα 1

Ορισμοί

Για τους σκοπούς των ρητρών:

α) οι όροι «δεδομένα προσωπικού χαρακτήρα», «ειδικές κατηγορίες δεδομένων», «επεξεργασία», «υπεύθυνος της επεξεργασίας», «εκτελών την επεξεργασία», «πρόσωπο στο οποίο αναφέρονται τα δεδομένα» και «αρχή ελέγχου» έχουν την ίδια έννοια όπως και στην οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών ( 1 ).

β) ως «εξαγωγέας δεδομένων» νοείται ο υπεύθυνος επεξεργασίας ο οποίος διαβιβάζει τα δεδομένα προσωπικού χαρακτήρα·

γ) ως «εισαγωγέας δεδομένων» νοείται ο εκτελών επεξεργασία ο οποίος συμφωνεί να παραλάβει από τον εξαγωγέα δεδομένων δεδομένα προσωπικού χαρακτήρα που προορίζονται για επεξεργασία για λογαριασμό του εξαγωγέα δεδομένων μετά τη διαβίβαση, σύμφωνα με τις οδηγίες του και τους όρους των ρητρών, και ο οποίος δεν υπόκειται σε μηχανισμό τρίτης χώρας που εξασφαλίζει επαρκή προστασία κατά την έννοια του άρθρου 25 παράγραφος 1 της οδηγίας 95/46/ΕΚ·

δ) ως «υπεργολάβος επεξεργασίας» νοείται κάθε εκτελών επεξεργασία τον οποίο προσλαμβάνει ο εισαγωγέας δεδομένων ή οποιοσδήποτε άλλος υπεργολάβος επεξεργασίας του εισαγωγέα δεδομένων και ο οποίος συμφωνεί να λάβει από τον εισαγωγέα δεδομένων ή από οποιονδήποτε άλλο υπεργολάβο επεξεργασίας του εισαγωγέα δεδομένων δεδομένα προσωπικού χαρακτήρα που προορίζονται αποκλειστικά για τις δραστηριότητες επεξεργασίας που πρόκειται να εκτελεστούν για λογαριασμό του εξαγωγέα δεδομένων μετά τη διαβίβαση, σύμφωνα με τις οδηγίες του, με τους όρους των ρητρών, καθώς και με τους όρους της γραπτής σύμβασης υπεργολαβίας·

ε) ως «εφαρμοστέο δίκαιο περί προστασίας των δεδομένων» νοείται η νομοθεσία που προστατεύει τα θεμελιώδη δικαιώματα και ελευθερίες των ατόμων, και, ιδίως, το δικαίωμα προστασίας της ιδιωτικής τους ζωής από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, η οποία εφαρμόζεται σε υπεύθυνο επεξεργασίας δεδομένων στο κράτος μέλος στο οποίο είναι εγκατεστημένος ο εξαγωγέας δεδομένων·

στ) ως «τεχνικά και οργανωτικά μέτρα ασφαλείας» νοούνται τα μέτρα που αποσκοπούν στην προστασία των δεδομένων προσωπικού χαρακτήρα από την τυχαία ή παράνομη καταστροφή, την τυχαία απώλεια, την αλλοίωση, τη μη εξουσιοδοτημένη κοινοποίηση ή πρόσβαση, ιδίως όταν η επεξεργασία συνεπάγεται τη διαβίβαση δεδομένων μέσω δικτύου, καθώς και στην προστασία από κάθε άλλη παράνομη μορφή επεξεργασίας.

Ρήτρα 2

Λεπτομέρειες της διαβίβασης

Οι λεπτομέρειες της διαβίβασης, και ιδίως οι ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα καθορίζονται, κατά περίπτωση, στο προσάρτημα 1, το οποίο αποτελεί αναπόσπαστο τμήμα των ρητρών.

Ρήτρα 3

Ρήτρα δικαιούχου τρίτου

1. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να επικαλεσθεί ως τρίτος δικαιούχος έναντι του εξαγωγέα δεδομένων την παρούσα ρήτρα, καθώς και τη ρήτρα 4 στοιχεία β) ως θ), τη ρήτρα 5 στοιχεία α) ως ε), και ζ) ως ι), τη ρήτρα 6 παράγραφοι 1 και 2, τη ρήτρα 7, τη ρήτρα 8 παράγραφος 2 και τις ρήτρες 9 έως 12.

2. Το άτομο στο οποίο αναφέρονται τα δεδομένα μπορεί να επικαλεσθεί έναντι του εισαγωγέα δεδομένων την παρούσα ρήτρα, καθώς και τη ρήτρα 5 στοιχεία α) ως ε) και ζ), τη ρήτρα 6, τη ρήτρα 7, τη ρήτρα 8 παράγραφος 2, και τις ρήτρες 9 έως 12, στις περιπτώσεις που ο εξαγωγέας δεδομένων έπαυσε να υφίσταται από πραγματική ή νομική άποψη, εκτός εάν το σύνολο των νομικών υποχρεώσεών του εκχωρήθηκε, βάσει σύμβασης ή βάσει νόμου, σε διάδοχο οντότητα, η οποία συνεπώς αναλαμβάνει τα δικαιώματα και τις υποχρεώσεις του εξαγωγέα δεδομένων, και έναντι του οποίου το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να επικαλεσθεί τις εν λόγω ρήτρες.

3. Το άτομο στο οποίο αναφέρονται τα δεδομένα μπορεί να επικαλεσθεί έναντι του υπεργολάβου επεξεργασίας την παρούσα ρήτρα, τη ρήτρα 5 στοιχεία α) ως ε) και ζ), τη ρήτρα 6, τη ρήτρα 7, τη ρήτρα 8 παράγραφος 2, και τις ρήτρες 9 έως 12, στις περιπτώσεις που ο εξαγωγέας και ο εισαγωγέας δεδομένων έπαυσαν να υφίστανται από πραγματική ή νομική άποψη ή κατέστησαν αφερέγγυοι, εκτός εάν το σύνολο των νομικών υποχρεώσεων του εξαγωγέα δεδομένων εκχωρήθηκε, βάσει σύμβασης ή βάσει νόμου, σε διάδοχο οντότητα, η οποία συνεπώς αναλαμβάνει τα δικαιώματα και τις υποχρεώσεις του εξαγωγέα δεδομένων, και έναντι του οποίου το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να επικαλεσθεί τις εν λόγω ρήτρες. Η συγκεκριμένη αστική ευθύνη του υπεργολάβου επεξεργασίας περιορίζεται στις δικές του δραστηριότητες επεξεργασίας σύμφωνα με τις ρήτρες.

4. Τα συμβαλλόμενα μέρη δεν αντιτάσσονται στην εκπροσώπηση του προσώπου στο οποίο αναφέρονται τα δεδομένα από ένωση ή άλλο φορέα αν το πρόσωπο αυτό εκφράσει ρητά την επιθυμία και εφόσον το εθνικό δίκαιο το επιτρέπει.

Ρήτρα 4

Υποχρεώσεις του εξαγωγέα δεδομένων

Ο εξαγωγέας δεδομένων συμφωνεί και εγγυάται:

α) ότι η επεξεργασία, περιλαμβανομένης και της διαβίβασης δεδομένων προσωπικού χαρακτήρα, έχει πραγματοποιηθεί και θα συνεχίσει να πραγματοποιείται σύμφωνα με τις σχετικές διατάξεις του εφαρμοστέου δικαίου περί προστασίας των δεδομένων (και, όπου συντρέχει περίπτωση, έχει κοινοποιηθεί στις αρμόδιες αρχές του κράτους μέλους στο οποίο είναι εγκατεστημένος ο εξαγωγέας δεδομένων) και δεν παραβιάζει τις σχετικές διατάξεις του εν λόγω κράτους·

β) ότι έχει υποδείξει και θα υποδεικνύει καθ’ όλη τη διάρκεια των υπηρεσιών επεξεργασίας δεδομένων προσωπικού χαρακτήρα στον εισαγωγέα δεδομένων να επεξεργάζεται τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα αποκλειστικά για λογαριασμό του εξαγωγέα δεδομένων και σύμφωνα με το εφαρμοστέο δίκαιο περί προστασίας των δεδομένων και σύμφωνα με τις ρήτρες·

γ) ότι ο εισαγωγέας δεδομένων θα παρέχει επαρκείς εγγυήσεις όσον αφορά τα τεχνικά και οργανωτικά μέτρα ασφαλείας που καθορίζονται στο προσάρτημα 2 της παρούσας σύμβασης·

δ) ότι, μετά την αξιολόγηση των απαιτήσεων του εφαρμοστέου δικαίου περί προστασίας των δεδομένων, τα μέτρα ασφαλείας είναι επαρκή για την προστασία των δεδομένων προσωπικού χαρακτήρα από την τυχαία ή παράνομη καταστροφή, την τυχαία απώλεια, την αλλοίωση, τη μη εξουσιοδοτημένη κοινοποίηση ή πρόσβαση, ιδίως όταν η επεξεργασία συνεπάγεται τη διαβίβαση δεδομένων μέσω δικτύου, καθώς και από κάθε άλλη παράνομη μορφή επεξεργασίας, και ότι τα μέτρα αυτά διασφαλίζουν κατάλληλο επίπεδο ασφάλειας σε σχέση με τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των προς προστασία δεδομένων, λαμβανομένου υπόψη του τεχνολογικού επιπέδου και του κόστους εφαρμογής τους·

ε) ότι θα διασφαλίσει την τήρηση των μέτρων ασφαλείας·

στ) ότι, εάν η διαβίβαση αφορά ειδικές κατηγορίες δεδομένων, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει ενημερωθεί ή θα ενημερωθεί πριν από τη διαβίβαση ή το συντομότερο δυνατό ύστερα απ’ αυτήν ότι τα δεδομένα που το αφορούν ενδέχεται να διαβιβαστούν σε τρίτη χώρα που δεν παρέχει ικανοποιητική προστασία κατά την έννοια της οδηγίας 95/46/ΕΚ·

ζ) ότι θα διαβιβάζει κάθε κοινοποίηση που λαμβάνει από τον εισαγωγέα δεδομένων ή κάθε υπεργολάβο επεξεργασίας σύμφωνα με τη ρήτρα 5 στοιχείο β) και τη ρήτρα 8 παράγραφος 3 στην εποπτική αρχή προστασίας δεδομένων αν ο εξαγωγέας δεδομένων αποφασίσει να συνεχίσει τη διαβίβαση ή να άρει την αναστολή·

η) να θέσει κατόπιν αιτήσεως στη διάθεση των προσώπων στα οποία αναφέρονται τα δεδομένα αντίγραφο των ρητρών, με εξαίρεση το προσάρτημα 2, και συνοπτική παρουσίαση των μέτρων ασφαλείας, καθώς και αντίγραφο κάθε σύμβασης που αφορά την παροχή υπηρεσιών υπεργολαβίας επεξεργασίας που πρέπει να συναφθεί σύμφωνα με τις ρήτρες, εκτός αν οι ρήτρες ή η σύμβαση περιέχουν εμπορικές πληροφορίες, οπότε μπορεί να αφαιρέσει τις πληροφορίες αυτές·

θ) ότι, στην περίπτωση υπεργολαβίας επεξεργασίας, η δραστηριότητα επεξεργασίας εκτελείται σύμφωνα με τη ρήτρα 11 από υπεργολάβο επεξεργασίας που παρέχει τουλάχιστον το ίδιο επίπεδο προστασίας για τα δεδομένα προσωπικού χαρακτήρα και τα δικαιώματα του προσώπου στο οποίο αναφέρονται τα δεδομένα όπως και ο εισαγωγέας δεδομένων βάσει των ρητρών αυτών· και

ι) ότι θα εξασφαλίσει την τήρηση της ρήτρας 4 στοιχεία α) ως θ).

Ρήτρα 5

Υποχρεώσεις του εισαγωγέα δεδομένων ( 2 )

Ο εισαγωγέας δεδομένων συμφωνεί και εγγυάται:

α) ότι θα επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο για λογαριασμό του εξαγωγέα δεδομένων και σύμφωνα με τις οδηγίες του και τις ρήτρες· αν δεν μπορεί να εξασφαλίσει τη συμμόρφωση αυτή για οποιουσδήποτε λόγους, συμφωνεί να ενημερώνει αμέσως τον εξαγωγέα δεδομένων για την αδυναμία του να συμμορφωθεί, οπότε ο εξαγωγέας δεδομένων δικαιούται να αναστείλει τη διαβίβαση των δεδομένων και/ή να λύσει τη σύμβαση·

β) ότι δεν έχει λόγους να πιστεύει ότι η νομοθεσία που ισχύει γι’ αυτόν τον εμποδίζει να τηρήσει τις οδηγίες που λαμβάνει από τον εξαγωγέα δεδομένων και να εκπληρώσει τις υποχρεώσεις του βάσει της σύμβασης και ότι, αν γίνει τροποποίηση της εν λόγω νομοθεσίας η οποία ενδέχεται να έχει σημαντικό αρνητικό αντίκτυπο στις εγγυήσεις και τις υποχρεώσεις που προβλέπονται από τις ρήτρες, θα κοινοποιεί αμέσως την αλλαγή στον εξαγωγέα δεδομένων, μόλις αυτή περιέλθει σε γνώση του, οπότε ο εξαγωγέας δεδομένων θα δικαιούται να αναστείλει τη διαβίβαση των δεδομένων και/ή να λύσει τη σύμβαση·

γ) ότι έχει λάβει τα τεχνικά και οργανωτικά μέτρα ασφαλείας που ορίζονται στο προσάρτημα 2 πριν από την επεξεργασία των διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα·

δ) ότι θα ενημερώνει αμέσως τον εξαγωγέα δεδομένων σχετικά με:

i) κάθε νομικά δεσμευτικό αίτημα κοινοποίησης των δεδομένων προσωπικού χαρακτήρα που υποβάλλεται από αρχή επιβολής του νόμου, εκτός αν υπάρχει σχετική απαγόρευση, όπως απαγόρευση συνοδευόμενη από ποινικές κυρώσεις για τη διατήρηση του εμπιστευτικού χαρακτήρα αστυνομικής έρευνας·

ii) κάθε τυχαία ή μη εξουσιοδοτημένη πρόσβαση· και

iii) κάθε αίτημα που λαμβάνει απευθείας από τα πρόσωπα στα οποία αναφέρονται τα δεδομένα χωρίς να τους απαντά, εκτός αν του έχει δοθεί η σχετική άδεια·

ε) ότι θα ανταποκρίνεται άμεσα και με ακρίβεια σε όλα τα αιτήματα πληροφοριών του εξαγωγέα δεδομένων σχετικά με την εκ μέρους του επεξεργασία των δεδομένων προσωπικού χαρακτήρα που αποτελούν αντικείμενο της διαβίβασης και ότι θα συμμορφώνεται με τη γνώμη της αρχής ελέγχου όσον αφορά την επεξεργασία των διαβιβαζόμενων δεδομένων·

στ) ότι, αιτήσει του εξαγωγέα δεδομένων, θα διαθέτει προς έλεγχο τις εγκαταστάσεις επεξεργασίας δεδομένων προκειμένου να ελέγχονται οι δραστηριότητες επεξεργασίας που καλύπτονται από τις ρήτρες. Ο έλεγχος θα διενεργείται από τον εξαγωγέα δεδομένων ή από οργανισμό επιθεώρησης αποτελούμενο από μέλη ανεξάρτητα που διαθέτουν τα απαιτούμενα επαγγελματικά προσόντα και τα οποία θα δεσμεύονται από υποχρέωση εχεμύθειας και θα επιλέγονται από τον εξαγωγέα δεδομένων, κατά περίπτωση, κατόπιν συμφωνίας με την αρχή ελέγχου·

ζ) ότι, αιτήσει του προσώπου στο οποίο αναφέρονται τα δεδομένα, θα θέτει στη διάθεσή του αντίγραφο των ρητρών, η κάθε υφιστάμενης σύμβασης που αφορά υπεργολαβία επεξεργασίας, εκτός αν οι ρήτρες ή η σύμβαση περιέχουν εμπορικές πληροφορίες, οπότε θα μπορεί να αφαιρεί αυτές τις πληροφορίες, με εξαίρεση το προσάρτημα 2 το οποίο αντικαθίσταται από συνοπτική παρουσίαση των μέτρων ασφαλείας, εφόσον το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αδυνατεί να λάβει αντίγραφο από τον εξαγωγέα δεδομένων·

η) ότι, στην περίπτωση υπεργολαβίας επεξεργασίας, φροντίζει να ενημερώσει προηγουμένως τον εξαγωγέα δεδομένων και να λάβει τη γραπτή του συγκατάθεση·

θ) ότι οι υπηρεσίες επεξεργασίας που παρέχει ο υπεργολάβος θα εκτελούνται σύμφωνα με τη ρήτρα 11·

ι) ότι θα στείλει αμέσως στον εξαγωγέα δεδομένων αντίγραφο κάθε συμφωνίας υπεργολαβίας επεξεργασίας που συνάπτεται βάσει των ρητρών.

Ρήτρα 6

Ευθύνη

1. Τα συμβαλλόμενα μέρη συμφωνούν ότι κάθε πρόσωπο στο οποίο αναφέρονται τα δεδομένα το οποίο υφίσταται ζημία συνεπεία αθέτησης των υποχρεώσεων που αναφέρονται στη ρήτρα 3 ή στη ρήτρα 11 από έναν από τους συμβαλλόμενους ή από υπεργολάβο επεξεργασίας δικαιούται να λάβει αποζημίωση από τον εξαγωγέα δεδομένων για τη ζημία την οποία υπέστη.

2. Αν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αδυνατεί να αξιώσει αποζημίωση, σύμφωνα με την παράγραφο 1, έναντι του εξαγωγέα δεδομένων λόγω αθέτησης από τον εισαγωγέα δεδομένων ή τον υπεργολάβο επεξεργασίας του κάποιας από τις υποχρεώσεις τους που αναφέρονται στη ρήτρα 3 ή στη ρήτρα 11, διότι ο εξαγωγέας δεδομένων έχει παύσει να υφίσταται από πραγματική ή νομική άποψη ή έχει καταστεί αφερέγγυος, ο εισαγωγέας δεδομένων συμφωνεί ότι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να ασκήσει αγωγή εναντίον του σαν να επρόκειτο για τον εξαγωγέα δεδομένων, εκτός αν το σύνολο των νομικών υποχρεώσεων του εξαγωγέα δεδομένων εκχωρήθηκε, βάσει σύμβασης ή βάσει νόμου, σε κάποια διάδοχο οντότητα έναντι της οποίας το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να επικαλεσθεί τα δικαιώματά του.

Ο εισαγωγέας δεδομένων δεν μπορεί να επικαλεσθεί την αθέτηση υποχρεώσεων εκ μέρους του υπεργολάβου επεξεργασίας προκειμένου να αποφύγει τις δικές του ευθύνες.

3. Αν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αδυνατεί να αξιώσει αποζημίωση έναντι του εξαγωγέα ή του εισαγωγέα δεδομένων, σύμφωνα με τις παραγράφους 1 και 2, λόγω αθέτησης από τον υπεργολάβο επεξεργασίας κάποιας από τις υποχρεώσεις του που αναφέρονται στη ρήτρα 3 ή στη ρήτρα 11, διότι τόσο ο εξαγωγέας όσο και ο εισαγωγέας δεδομένων έπαυσαν να υφίστανται από πραγματική ή νομική άποψη ή κατέστησαν αφερέγγυοι, ο υπεργολάβος επεξεργασίας συμφωνεί ότι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να ασκήσει αγωγή εναντίον του όσον αφορά τις δικές του δραστηριότητες επεξεργασίας σύμφωνα με τις ρήτρες, σαν να επρόκειτο για τον εξαγωγέα ή τον εισαγωγέα δεδομένων, εκτός αν το σύνολο των νομικών υποχρεώσεων του εξαγωγέα ή του εισαγωγέα δεδομένων εκχωρήθηκε, βάσει σύμβασης ή βάσει νόμου, σε κάποια διάδοχο οντότητα έναντι της οποίας το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να επικαλεσθεί τα δικαιώματά του. Η αστική ευθύνη του υπεργολάβου επεξεργασίας περιορίζεται στις ίδιες δραστηριότητες επεξεργασίας σύμφωνα με τις παρούσες ρήτρες.

Ρήτρα 7

Διαμεσολάβηση και δικαιοδοσία

1. Ο εισαγωγέας δεδομένων συμφωνεί ότι αν, βάσει των ρητρών, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα επικαλείται έναντι αυτού το δικαίωμα του δικαιούχου τρίτου και/ή διεκδικεί αποζημίωση για τη ζημία που υπέστη, θα δεχθεί την απόφαση του προσώπου στο οποίο αναφέρονται τα δεδομένα:

α) να παραπέμψουν τη διαφορά στη διαμεσολάβηση ανεξάρτητου προσώπου ή, κατά περίπτωση, της αρχής ελέγχου·

β) να παραπέμψουν τη διαφορά στα δικαστήρια του κράτους μέλους στο οποίο είναι εγκατεστημένος ο εξαγωγέας δεδομένων.

2. Τα συμβαλλόμενα μέρη συμφωνούν ότι η επιλογή στην οποία προβαίνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δεν θίγει τα ουσιαστικού ή δικονομικού δικαίου δικαιώματά του να αναζητήσει έννομη προστασία βάσει άλλων διατάξεων του εθνικού ή του διεθνούς δικαίου.

Ρήτρα 8

Συνεργασία με τις αρχές ελέγχου

1. Ο εξαγωγέας δεδομένων συμφωνεί να καταθέσει αντίγραφο της σύμβασης στην αρχή ελέγχου, αν αυτή το ζητήσει ή αν η κατάθεση απαιτείται από το εφαρμοστέο δίκαιο περί προστασίας των δεδομένων.

2. Οι συμβαλλόμενοι συμφωνούν ότι η αρχή ελέγχου έχει το δικαίωμα να διενεργεί ελέγχους στις εγκαταστάσεις του εισαγωγέα δεδομένων και κάθε υπεργολάβου επεξεργασίας, στον ίδιο βαθμό και με τους ίδιους όρους που θα ίσχυαν σε περίπτωση ελέγχου του εξαγωγέα δεδομένων βάσει του εφαρμοστέου δικαίου περί προστασίας των δεδομένων.

3. Ο εισαγωγέας δεδομένων ενημερώνει αμέσως τον εξαγωγέα δεδομένων σχετικά με την ύπαρξη νομοθεσίας που εφαρμόζεται στον ίδιο ή σε κάθε υπεργολάβο επεξεργασίας η οποία εμποδίζει τη διενέργεια ελέγχου στις εγκαταστάσεις του εισαγωγέα δεδομένων ή κάθε υπεργολάβου επεξεργασίας, σύμφωνα με την παράγραφο 2. Στην περίπτωση αυτή, ο εξαγωγέας δεδομένων έχει το δικαίωμα να λάβει τα μέτρα που προβλέπονται στη ρήτρα 5 στοιχείο β).

Ρήτρα 9

Εφαρμοστέο δίκαιο

Οι ρήτρες διέπονται από το δίκαιο του κράτους μέλους στο οποίο είναι εγκατεστημένος ο εξαγωγέας δεδομένων, ήτοι …

Ρήτρα 10

Τροποποίηση της σύμβασης

Τα συμβαλλόμενα μέρη δεσμεύονται να μη μεταβάλουν ούτε να τροποποιήσουν τις ρήτρες. Αυτό δεν εμποδίζει τα συμβαλλόμενα μέρη να περιλάβουν, αν το κρίνουν αναγκαίο, ρήτρες εμπορικού χαρακτήρα, εφόσον αυτές δεν αντιβαίνουν στη ρήτρα.

Ρήτρα 11

Υπεργολαβία επεξεργασίας

1. Ο εισαγωγέας δεδομένων δεν συνάπτει συμβάσεις υπεργολαβίας για καμία από τις πράξεις επεξεργασίας που εκτελεί για λογαριασμό του εξαγωγέα δεδομένων σύμφωνα με τις ρήτρες χωρίς την προηγούμενη γραπτή συγκατάθεση του εξαγωγέα δεδομένων. Ο εισαγωγέας δεδομένων μπορεί να εκχωρήσει με υπεργολαβία τις υποχρεώσεις του βάσει των ρητρών, με τη συγκατάθεση του εξαγωγέα δεδομένων, μόνο μέσω γραπτής συμφωνίας την οποία συνάπτει με τον υπεργολάβο επεξεργασίας, η οποία επιβάλλει στον υπεργολάβο τις ίδιες υποχρεώσεις με εκείνες που επιβάλλονται στον εισαγωγέα δεδομένων σύμφωνα με τις ρήτρες ( 3 ) . Σε περίπτωση που ο υπεργολάβος επεξεργασίας δεν τηρήσει τις υποχρεώσεις του όσον αφορά την προστασία των δεδομένων βάσει της γραπτής αυτής συμφωνίας, ο εισαγωγέας δεδομένων παραμένει στο ολόκληρο υπεύθυνος για την τήρηση των υποχρεώσεων αυτών έναντι του εξαγωγέα δεδομένων.

2. Η προηγούμενη γραπτή σύμβαση μεταξύ του εισαγωγέα δεδομένων και του υπεργολάβου προβλέπει επίσης ρήτρα δικαιούχου τρίτου όπως ορίζεται στη ρήτρα 3 για τις περιπτώσεις που το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αδυνατεί να αξιώσει αποζημίωση, σύμφωνα με την παράγραφο 1 της ρήτρας 6, έναντι του εξαγωγέα ή του εισαγωγέα δεδομένων διότι έπαυσαν να υφίστανται από πραγματική ή νομική άποψη ή κατέστησαν αφερέγγυοι, και το σύνολο των νομικών υποχρεώσεων του εξαγωγέα ή του εισαγωγέα δεδομένων δεν έχει εκχωρηθεί, βάσει σύμβασης ή βάσει νόμου, σε καμία διάδοχο οντότητα. Η συγκεκριμένη αστική ευθύνη του υπεργολάβου επεξεργασίας περιορίζεται στις δικές του δραστηριότητες επεξεργασίας σύμφωνα με τις ρήτρες.

3. Οι διατάξεις που αφορούν πτυχές της σύμβασης που αναφέρεται στην παράγραφο 1 και οι οποίες συνδέονται με την προστασία των δεδομένων όσον αφορά την υπεργολαβία επεξεργασίας διέπονται από το δίκαιο του κράτους μέλους στο οποίο είναι εγκατεστημένος ο εξαγωγέας δεδομένων, ήτοι …

4. Ο εξαγωγέας δεδομένων τηρεί κατάλογο των συμφωνιών υπεργολαβίας επεξεργασίας που συνήφθησαν σύμφωνα με τις ρήτρες και κοινοποιήθηκαν από τον εισαγωγέα δεδομένων σύμφωνα με τη ρήτρα 5 στοιχείο ι), ο οποίος επικαιροποιείται τουλάχιστον άπαξ ετησίως. Ο κατάλογος τίθεται στη διάθεση της αρχής ελέγχου για την προστασία των δεδομένων του εξαγωγέα δεδομένων.

Ρήτρα 12

Υποχρέωση μετά την περάτωση των υπηρεσιών επεξεργασίας δεδομένων προσωπικού χαρακτήρα

1. Τα συμβαλλόμενα μέρη συμφωνούν ότι, όταν αποπερατωθεί η παροχή των υπηρεσιών επεξεργασίας δεδομένων, ο εισαγωγέας δεδομένων και ο υπεργολάβος επεξεργασίας, κατ’ επιλογή του εξαγωγέα δεδομένων, επιστρέφουν όλα τα διαβιβασθέντα δεδομένα προσωπικού χαρακτήρα και τα αντίγραφά τους στον εξαγωγέα δεδομένων ή καταστρέφουν όλα τα δεδομένα προσωπικού χαρακτήρα και προσκομίζουν τα σχετικά αποδεικτικά στοιχεία στον εξαγωγέα δεδομένων, εκτός εάν η νομοθεσία που ισχύει για τον εισαγωγέα δεδομένων δεν του επιτρέπει την επιστροφή ή την καταστροφή του συνόλου ή μέρους των διαβιβασθέντων δεδομένων προσωπικού χαρακτήρα. Στην περίπτωση αυτή, ο εισαγωγέας δεδομένων εγγυάται ότι θα διασφαλίσει την εμπιστευτικότητα των διαβιβασθέντων δεδομένων προσωπικού χαρακτήρα και ότι δεν θα επεξεργαστεί περαιτέρω τα δεδομένα αυτά.

2. Ο εισαγωγέας δεδομένων και ο υπεργολάβος επεξεργασίας εγγυώνται ότι εφόσον το ζητήσει ο εξαγωγέας δεδομένων και/ή η αρχή ελέγχου, θα υποβάλουν τις εγκαταστάσεις επεξεργασίας δεδομένων που διαθέτουν σε έλεγχο των μέτρων που αναφέρονται στην παράγραφο 1.

Για λογαριασμό του εξαγωγέα δεδομένων:

Ονοματεπώνυμο (ολογράφως): …

Ιδιότητα: …

Διεύθυνση: …

Άλλες πληροφορίες που απαιτούνται για να θεωρηθεί η σύμβαση δεσμευτική (αν υπάρχουν):



image (σφραγίδα του οργανισμού)

Υπογραφή …

Για λογαριασμό του εισαγωγέα δεδομένων:

Ονοματεπώνυμο (ολογράφως): …

Ιδιότητα: …

Διεύθυνση: …

Άλλες πληροφορίες που απαιτούνται για να θεωρηθεί η σύμβαση δεσμευτική (αν υπάρχουν):



image (σφραγίδα του οργανισμού)

Υπογραφή …




Προσάρτημα 1

Στις τυποποιημένες συμβατικές ρήτρες

Το παρόν προσάρτημα αποτελεί αναπόσπαστο μέρος των ρητρών και πρέπει να συμπληρωθεί και υπογραφεί από τα συμβαλλόμενα μέρη

Τα κράτη μέλη μπορούν να συμπληρώσουν ή να διευκρινίσουν, σύμφωνα με τις εθνικές τους διαδικασίες, κάθε επιπλέον πληροφορία που κρίνεται αναγκαίο να περιληφθεί στο παρόν προσάρτημα)

Εξαγωγέας δεδομένων

Ο εξαγωγέας δεδομένων είναι (διευκρινίστε συνοπτικά τις σχετικές με τη διαβίβαση δραστηριότητές σας):

Εισαγωγέας δεδομένων

Ο εισαγωγέας δεδομένων είναι (διευκρινίστε συνοπτικά τις σχετικές με τη διαβίβαση δραστηριότητές σας):

Πρόσωπα στα οποία αναφέρονται τα δεδομένα

Τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα αφορούν τις παρακάτω κατηγορίες προσώπων (προσδιορίστε επακριβώς):

Κατηγορίες δεδομένων

Τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα αφορούν τις παρακάτω κατηγορίες δεδομένων (προσδιορίστε επακριβώς):

Ειδικές κατηγορίες δεδομένων (κατά περίπτωση)

Τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα αφορούν τις παρακάτω ειδικές κατηγορίες δεδομένων (προσδιορίστε επακριβώς):

Πράξεις επεξεργασίας

Τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα θα υποβληθούν στις ακόλουθες βασικές δραστηριότητες επεξεργασίας (προσδιορίστε επακριβώς):

ΕΞΑΓΩΓΕΑΣ ΔΕΔΟΜΕΝΩΝ

Ονοματεπώνυμο: …

Υπογραφή εξουσιοδοτημένου προσώπου …

ΕΙΣΑΓΩΓΕΑΣ ΔΕΔΟΜΕΝΩΝ

Ονοματεπώνυμο: …

Υπογραφή εξουσιοδοτημένου προσώπου …




Προσάρτημα 2

στις τυποποιημένες συμβατικές ρήτρες

Το παρόν προσάρτημα αποτελεί αναπόσπαστο μέρος των ρητρών και πρέπει να συμπληρωθεί και υπογραφεί από τα συμβαλλόμενα μέρη

Περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας που εφαρμόζει ο εισαγωγέας δεδομένων σύμφωνα με τις ρήτρες 4 στοιχείο δ) και 5 στοιχείο γ) (ή συνημμένο έγγραφο/νομοθετική πράξη):

ΥΠΟΔΕΙΓΜΑ ΡΗΤΡΑΣ ΑΠΟΖΗΜΙΩΣΗΣ (ΠΡΟΑΙΡΕΤΙΚΟ)

Ευθύνη

Τα συμβαλλόμενα μέρη συμφωνούν ότι, εάν ένα μέρος κριθεί υπεύθυνο για παραβίαση των ρητρών διαπραχθείσα από το άλλο μέρος, στο μέτρο που είναι υπεύθυνο, θα αποζημιώσει το πρώτο μέρος για κάθε κόστος, επιβάρυνση, ζημία, δαπάνη ή απώλεια την οποία έχει υποστεί.

Η αποζημίωση υπόκειται στις εξής προϋποθέσεις:

α) ο εξαγωγέας δεδομένων κοινοποιεί αμέσως την απαίτηση στον εισαγωγέα δεδομένων· και

β) ο εισαγωγέας δεδομένων έχει τη δυνατότητα να συνεργαστεί με τον εξαγωγέα δεδομένων όσον αφορά την άμυνα και τη διευθέτηση της απαίτησης ( 4 ).



( 1 ) Τα συμβαλλόμενα μέρη μπορούν να επαναλάβουν, στην παρούσα ρήτρα, τους ορισμούς και τις έννοιες της οδηγίας 95/46/ΕΚ, αν θεωρούν προτιμότερη την αυτοτέλεια της σύμβασης.

( 2 ) Οι δεσμευτικές απαιτήσεις της εθνικής νομοθεσίας που ισχύουν για τον εισαγωγέα των δεδομένων και που δεν υπερβαίνουν το αναγκαίο σε μια δημοκρατική κοινωνία μέτρο για ένα από τα συμφέροντα που αναφέρονται στο άρθρο 13 παράγραφος 1 της οδηγίας 95/46/ΕΚ, δηλαδή αν πρόκειται για μέτρο αναγκαίο για τη διαφύλαξη της ασφάλειας του κράτους, της άμυνας, της δημόσιας ασφάλειας, της πρόληψης, διερεύνησης, διαπίστωσης και δίωξης παραβάσεων του ποινικού νόμου ή της δεοντολογίας των νομοθετικά κατοχυρωμένων επαγγελμάτων, σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος, της προστασίας του προσώπου στο οποίο αναφέρονται τα δεδομένα ή των δικαιωμάτων και ελευθεριών άλλων προσώπων, δεν έρχονται σε αντίθεση με τις τυποποιημένες συμβατικές ρήτρες. Ορισμένα παραδείγματα τέτοιων δεσμευτικών απαιτήσεων οι οποίες δεν υπερβαίνουν το αναγκαίο σε μια δημοκρατική κοινωνία μέτρο είναι, μεταξύ άλλων, οι διεθνώς αναγνωρισμένες κυρώσεις, οι απαιτήσεις υποβολής φορολογικών δηλώσεων ή οι απαιτήσεις υποβολής εκθέσεων για την καταπολέμηση δραστηριοτήτων νομιμοποίησης εσόδων από παράνομες δραστηριότητες.

( 3 ) Η απαίτηση αυτή μπορεί να ικανοποιηθεί από τον υπεργολάβο επεξεργασίας με τη συνυπογραφή της σύμβασης που έχει συναφθεί μεταξύ του εξαγωγέα και του εισαγωγέα των δεδομένων βάσει της παρούσας απόφασης.

( 4 ) Η παράγραφος περί ευθυνών είναι προαιρετική.