32002D0016

Komisjoni otsus,

27. detsember 2001,

kolmandates riikides asuvatele volitatud töötlejatele isikuandmete edastamise lepingu tüüptingimuste kohta direktiivi 95/46/EÜ alusel

(teatavaks tehtud numbri K(2001) 4540 all)

(EMPs kohaldatav tekst)

(2002/16/EÜ)

EUROOPA ÜHENDUSTE KOMISJON,

võttes arvesse Euroopa Ühenduse asutamislepingut,

võttes arvesse Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta, [1] eriti selle artikli 26 lõiget 4,

ning arvestades järgmist:

(1) Vastavalt direktiivile 95/46/EÜ peavad liikmesriigid sätestama, et isikuandmete edastamine kolmandatesse riikidesse võib toimuda üksnes siis, kui kõnesolev kolmas riik tagab piisava andmekaitse taseme ja kui enne andmete edastamist tunnustatakse liikmesriikide seadusi, mis järgivad kõnealuse direktiivi muid sätteid.

(2) Direktiivi 95/46/EÜ artikli 26 lõige 2 näeb siiski ette, et liikmesriigid võivad teatavate tagatiste korral lubada isikuandmete edastamist või edastamiste kogumit kolmandatesse riikidesse, mis ei taga piisavat kaitsetaset. Sellised tagatised võivad tuleneda eelkõige asjakohastest lepingutingimustest.

Vastavalt direktiivile 95/46/EÜ peaks andmekaitse taset hindama kõiki andmete edastamistoimingu või edastamistoimingute kogumi asjaolusid silmas pidades. Kõnealuse direktiivi alusel loodud töörühm üksikisikute kaitseks seoses isikuandmete töötlemisega [2] on välja andnud juhised hindamise hõlbustamiseks. [3]

(4) Lepingu tüüptingimused on seotud üksnes andmekaitsega. Andmeeksportija ja andmeimportija võivad vabalt lisada mistahes muid ettevõtlusega seotud lepingutingimusi, mida nad lepingus asjakohaseks peavad, niikaua kui need ei lähe vastuollu lepingu tüüptingimustega.

(5) Käesolev otsus ei tohiks piirata riiklikke lubasid, mida liikmesriigid võivad anda kooskõlas direktiivi 95/46/EÜ artikli 26 lõiget 2 rakendavate siseriiklike õigusnormidega. Käesolev otsus nõuab ainult, et liikmesriigid ei keelduks tunnustamast selles sätestatud lepingutingimusi kui piisavaid tagatisi pakkuvaid tingimusi ning seepärast ei mõjuta otsus muid lepingutingimusi.

(6) Käesoleva otsuse reguleerimisala on piiratud, kehtestades, et selles sätestatud tingimusi võib kasutada ühenduses asuv vastutav töötleja, et esitada piisavaid tagatisi direktiivi 95/46/EÜ artikli 26 lõikes 2 määratletud tähenduses isikuandmete edastamisel kolmandas riigis asuvale volitatud töötlejale.

(7) Käesolev otsus peaks rakendama direktiivi 95/46/EÜ artikli 17 lõikes 3 ettenähtud kohustust ning ei piira vastavalt sellele sättele kehtestatud lepingute või õigusaktide sisu. Mõned lepingu tüüptingimused, eriti andmeeksportija kohustusi puudutavad punktid tuleks siiski sisse viia, suurendamaks sätete selgust, mis võivad sisalduda vastutava töötleja ja volitatud töötleja vahelises lepingus.

(8) Liikmesriikide järelevalveasutused mängivad käesolevas lepingumehhanismis võtmerolli, et tagada isikuandmete piisav kaitse pärast edastamist. Erandjuhtumitel, kui andmeeksportijad keelduvad andmeimportijat korralikult juhendamast või ei saa seda teha, millega kaasneb ähvardav oht tõsise kahju tekkimiseks andmesubjektidele, peaksid lepingu tüüptingimused lubama järelevalveasutustel andmeimportijaid kontrollida ning vajadusel andmeimportijatele siduvaid otsuseid vastu võtta. Järelevalveasutustel peaks olema õigus keelata või peatada lepingu tüüptingimustel põhinev andmete edastamine või edastamistoimingute kogum sellistel erandjuhtudel, kui on kindlaks tehtud, et lepinguline edastamine võib tõenäoliselt omada olulist ebasoodsat mõju tagatistele ja kohustustele, mis sätestavad andmesubjekti piisava kaitse.

(9) Komisjon võib tulevikus kaaluda, kas äriorganisatsioonide või muude huvitatud poolte esitatud lepingu tüüptingimused isikuandmete edastamiseks volitatud andmetöötlejatele, kes asuvad piisavat andmekaitse taset mittepakkuvates kolmandates riikides, pakuvad piisavaid tagatisi vastavalt direktiivi 95/46/EÜ artikli 26 lõikele 2.

(10) Isikuandmete avalikustamine väljaspool ühendust asuvale volitatud andmetöötlejale on rahvusvaheline edastamine, mida kaitseb direktiivi 95/46/EÜ IV peatükk. Sellest tulenevalt ei hõlma käesolev otsus isikuandmete edastamist ühenduses asuvatelt vastutavatelt töötlejatelt väljaspool ühendust asuvatele vastutavatele töötlejatele, kes jäävad 15. juuni 2001. aasta komisjoni otsuse 2001/497/EÜ reguleerimisalasse, mis puudutab isikuandmete kolmandatesse riikidesse edastamise lepingu tüüptingimusi direktiivi 95/46/EÜ alusel. [4]

(11) Lepingu tüüptingimustes peaksid olema ette nähtud tehnilised ja organisatsioonilised turvameetmed, mida ebapiisavat kaitset pakkuvas kolmandas riigis asuv volitatud andmetöötleja peab kohaldama, et tagada turvataset, mis vastab töötlemisel tekkivatele riskidele ja kaitsealuste andmete olemusele. Pooled peaksid lisama lepingusse sätte selliste tehniliste ja organisatsiooniliste meetmete kohta, mis on vajalikud isikuandmete kaitsmiseks juhusliku või ebaseadusliku hävitamise või juhusliku kaotsimineku, muutmise, volitamata avalikustamise või juurdepääsu või muude ebaseaduslike töötlemisviiside eest, võttes arvesse kohaldatavat andmekaitseseadust, tehnika taset ning meetmete rakendamise maksumust.

(12) Hõlbustamaks andmete liikumist ühendusest on soovitav, et ühenduses mitmetele vastutavatele andmetöötlejatele andmetöötlusteenuseid osutavatel volitatud töötlejatel võimaldataks kohaldada samu tehnilisi ja organisatsioonilisi turvameetmeid sõltumatult liikmesriigist, kust andmeedastus pärineb, eriti nendel juhtudel, kui andmeimportija saab edasiseks töötlemiseks andmeid ühenduse andmeeksportija erinevatest asutustest, millisel puhul peaks kohaldatama määratud asutuse liikmesriigi õigust.

(13) On asjakohane sätestada minimaalne teabehulk, mida pooled peavad edastamist käsitlevas lepingus määratlema. Liikmesriikidele peaks jääma õigus detailiseerida teavet, mida pooled peavad esitama. Käesoleva otsuse toimivust peaks läbi vaatama kogemusi silmas pidades.

(14) Andmeimportija peaks edastatud isikuandmeid töötlema üksnes andmeeksportija nimel ning kooskõlas tema juhiste ja lepingutingimustes sisalduvate kohustustega. Eelkõige andmeimportija ei tohiks avalikustada isikuandmeid kolmandale isikule, välja arvatud juhul, kui see leiab aset kooskõlas teatavate tingimustega. Andmeeksportija peaks juhendama andmeimportijat kogu andmetöötlusteenuse osutamise kestel, et andmeid töödeldaks kooskõlas tema juhiste, kohaldatavate andmekaitseseaduste ja lepingutingimustes sisalduvate kohustustega. Isikuandmete edastamine väljaspool ühendust asuvatele volitatud töötlejatele ei mõjuta tõsiasja, et töötlemistegevust peaks igal juhul reguleerima kohaldatav andmekaitseseadus.

(15) Lepingu tüüptingimusi ei peaks saama täitmisele pöörata mitte ainult lepingupoolteks olevad organisatsioonid, vaid ka andmesubjektid eriti juhul, kui andmesubjektid kannavad kahju lepingu rikkumise tagajärjel.

(16) Andmesubjektil peaks olema õigus astuda samme ning kui see on asjakohane, siis saada hüvitist andmeeksportijalt, kes on edastatud isikuandmete vastutav andmetöötleja. Erandkorras peaks andmesubjektil olema õigus võtta meetmeid ning kui see on asjakohane, siis saada hüvitist andmeimportijalt neil juhtudel, mis tulenevad teise lõike punktis 3 märgitud andmeimportija mistahes kohustuste rikkumisest, kui andmeeksportija on teadaolevalt kadunud või on oma seadusejärgse tegevuse lõpetanud või on maksejõuetuks muutunud.

(17) Soodustatud kolmanda isiku sättele tugineva andmesubjekti ja andmeimportija vahelise vaidluse korral, mida ei ole sõbralikult lahendatud, peaks andmeimportija olema nõus andma andmesubjektile valiku lepitamise, vahekohtu või kohtuvaidluse vahel. Andmesubjekti käsutuses oleva tegeliku valiku ulatus sõltub lepitamise ja vahekohtu usaldusväärsete ning tunnustatud süsteemide kättesaadavusest. Liikmesriikide järelevalveasutuste poolne lepitamine peaks olema valikuks siis, kui nad sellist teenust osutavad.

(18) Lepingut peaks reguleerima selle liikmesriigi õigus, kus andmeeksportija asub, võimaldades soodustatud kolmandal isikul lepingut täitmisele pöörata. Andmesubjektidele peaks olema lubatud lasta ennast esindada ühendustel või muudel organitel, kui nad seda soovivad ja kui see on siseriiklike õigusaktidega lubatud.

(19) Direktiivi 95/46/EÜ artikli 29 alusel loodud töörühm üksikisikute kaitseks seoses isikuandmete töötlemisega on esitanud arvamuse kaitsetaseme kohta, mida pakuvad käesolevale otsusele lisatud lepingu tüüptingimused ja mida on selle otsuse ettevalmistamisel arvesse võetud. [5]

(20) Käesoleva otsusega ettenähtud meetmed on kooskõlas direktiivi 95/46/EÜ artikli 31 alusel loodud komitee arvamusega,

ON VASTU VÕTNUD KÄESOLEVA OTSUSE:

Artikkel 1

Lisas sätestatud lepingu tüüptingimusi käsitletakse piisavate tagatistena üksikisikute eraelu puutumatuse ning põhiõiguste ja -vabaduste kaitseks ning vastavate õiguste teostamiseks, nagu on nõutud direktiivi 95/46/EÜ artikli 26 lõikes 2.

Artikkel 2

Käesolev otsus käsitleb üksnes kaitse piisavust, mida pakuvad lisas sätestatud isikuandmete volitatud töötlejatele edastamise lepingu tüüptingimused. See ei mõjuta muude direktiivi 95/46/EÜ rakendavate siseriiklike õigusnormide kohaldamist, mis on seotud isikuandmete töötlemisega liikmesriikide piires.

Käesolev otsus kehtib isikuandmete edastamise kohta ühenduses asuvatelt vastutavatelt töötlejatelt väljaspool ühenduse territooriumi asuvatele vastuvõtjatele, kes tegutsevad üksnes volitatud töötlejatena.

Artikkel 3

Käesolevas otsuses kasutatakse järgmisi mõisteid:

a) kehtivad direktiivi 95/46/EÜ mõisted;

b) andmete eriliigid — kõnealuse direktiivi artiklis 8 märgitud andmed;

c) järelevalveasutus — kõnealuse direktiivi artiklis 28 märgitud organ;

d) andmeeksportija — vastutav töötleja, kes edastab isikuandmeid;

e) andmeimportija — kolmandas riigis asuv volitatud töötleja, kes nõustub võtma andmeeksportijalt vastu isikuandmeid, mis on mõeldud töötlemiseks pärast edastamist andmeeksportija nimel ja kooskõlas tema juhiste ja käesoleva otsuse tingimustega ning kelle kohta ei kehti piisavat kaitset tagav kolmanda riigi süsteem;

f) kohaldatav andmekaitseseadus — õigusakt, mis kaitseb füüsiliste isikute põhiõigusi ja -vabadusi ning eriti nende eraelu puutumatuse õigust seoses isikuandmete töötlemisega ning mis on kohaldatav vastutava andmetöötleja suhtes liikmesriigis, kus andmeeksportija asub;

g) tehnilised ja organisatsioonilised turvameetmed — meetmed isikuandmete kaitsmiseks juhusliku või ebaseadusliku hävitamise või juhusliku kaotsimineku, muutmise, volitamata avalikustamise või juurdepääsu eest eelkõige juhul, kui töötlemine hõlmab andmete edastamist võrgu kaudu, ning igasuguse muu võimaliku ebaseadusliku töötlemise eest.

Artikkel 4

1. Ilma et see piiraks nende volitusi võtta meetmeid tagamaks vastavust siseriiklikele õigusnormidele, mis on vastu võetud direktiivi 95/46/EÜ II, III, V ja VI peatüki kohaselt, võivad liikmesriikide pädevad organid kasutada neil olemasolevaid volitusi keelata või peatada andmete liikumine kolmandatesse riikidesse, et kaitsta üksikisikuid seoses nende isikuandmete töötlemisega juhul, kui:

a) on kindlaks tehtud, et andmeimportija kohta kehtiv seadus kehtestab talle nõudeid kalduda kõrvale kohaldatavast andmekaitseseadusest, et kõnealused nõuded lähevad kaugemale direktiivi 95/46/EÜ artiklis 13 sätestatud demokraatlikus ühiskonnas vajalikest piirangutest ja et need nõuded võivad tõenäoliselt omada olulist ebasoodsat mõju kohaldatava andmekaitseseaduse ja lepingu tüüptingimustega ettenähtud tagatistele; või

b) pädev organ on kindlaks teinud, et andmeimportija ei ole järginud lisas sätestatud lepingutingimusi; või

c) on olemas oluline tõenäosus, et lisas esitatud lepingu tüüptingimusi ei järgita ning et jätkuv edastamine looks ähvardava ohu tõsise kahju tekkimiseks andmesubjektidele.

2. Keelamine või peatamine vastavalt lõikele 1 tühistatakse kohe, kui keelamise või peatamise põhjusi enam pole.

3. Kui liikmesriigid võtavad meetmeid vastavalt lõikele 1 ja 2, peavad nad neist meetmetest viivitamata komisjonile teatama, mis edastab saadud teabe teistele liikmesriikidele.

Artikkel 5

Komisjon hindab käesoleva otsuse toimivust kättesaadava teabe alusel kolme aasta pärast alates otsuse teatavakstegemisest liikmesriikidele. Tulemuste kohta esitab ta aruande direktiivi 95/46/EÜ artikli 31 alusel loodud komiteele. Aruanne sisaldab mistahes tõendusmaterjali, mis võiks mõjutada lisas esitatud lepingu tüüptingimuste piisavuse hindamist, ning mistahes tõendusmaterjali, et käesolevat otsust kohaldatakse diskrimineerivalt.

Artikkel 6

Käesolevat otsust kohaldatakse alates 3. aprillist 2002.

Artikkel 7

Käesolev otsus on adresseeritud liikmesriikidele.

Brüssel, 27. detsember 2001

Komisjoni nimel

komisjoni liige

Frederik Bolkestein

[1] EÜT L 281, 23.11.1995, lk 31.

[2] Töörühma veebiaadress on:

- http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm.

[3] WP 4 (5020/97): "Esimesed suunised isikuandmete edastamise kohta kolmandatesse riikidesse — võimalikud edasised sammud piisavuse hindamisel", 26. juunil 1997 töörühma poolt vastuvõetud aruteludokument.WP 7 (5057/97): "Majandusharu eneseregulatsiooni hindamine: millal annab see olulise panuse andmekaitse tasemele kolmandas riigis?", 14. jaanuaril 1998 töörühma poolt vastuvõetud töödokument.WP 9 (5005/98): "Esialgsed arvamused lepinguliste sätete kasutamise kohta isikuandmete kolmandatesse riikidesse edastamise kontekstis", 22. aprillil 1998 töörühma poolt vastuvõetud töödokument.WP 12: "Isikuandmete edastamised kolmandatesse riikidesse: ELi andmekaitse direktiivi artiklite 25 ja 26 kohaldamine", 24. juulil 1998 töörühma poolt vastu võetud, kättesaadav Euroopa Komisjoni hallataval veebilehel

- http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp12en.htm.

[4] EÜT L 181, 4.7.2001, lk 19.

[5] 13. septembril 2001 töörühma poolt vastuvõetud arvamus nr 7/2001 (DG MARKT.…), mis on kättesaadav Euroopa Komisjoni hallataval veebilehel "Europa".

--------------------------------------------------

LISA

+++++ TIFF +++++

+++++ TIFF +++++

+++++ TIFF +++++

+++++ TIFF +++++

--------------------------------------------------

1. liide

+++++ TIFF +++++

--------------------------------------------------

2. liide

+++++ TIFF +++++

--------------------------------------------------