Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 32002D0016

2002/16/EY: Komission päätös, tehty 27 päivänä joulukuuta 2001, direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille (ETA:n kannalta merkityksellinen teksti) (tiedoksiannettu numerolla K(2001) 4540)

EYVL L 6, 10.1.2002, p. 52–62 (ES, DA, DE, EL, EN, FR, IT, NL, PT, FI, SV)

Tämä asiakirja on julkaistu erityispainoksessa (CS, ET, LV, LT, HU, MT, PL, SK, SL, BG, RO)

Legal status of the document No longer in force, Date of end of validity: 14/05/2010; Kumoaja 32010D0087

ELI: http://data.europa.eu/eli/dec/2002/16(1)/oj

32002D0016

2002/16/EY: Komission päätös, tehty 27 päivänä joulukuuta 2001, direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille (ETA:n kannalta merkityksellinen teksti) (tiedoksiannettu numerolla K(2001) 4540)

Virallinen lehti nro L 006 , 10/01/2002 s. 0052 - 0062


Komission päätös,

tehty 27 päivänä joulukuuta 2001,

direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille

(tiedoksiannettu numerolla K(2001) 4540)

(ETA:n kannalta merkityksellinen teksti)

(2002/16/EY)

EUROOPAN YHTEISÖJEN KOMISSIO, joka

ottaa huomioon Euroopan yhteisön perustamissopimuksen,

ottaa huomioon yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY(1) ja erityisesti sen 26 artiklan 4 kohdan,

sekä katsoo seuraavaa:

(1) Direktiivin 95/46/EY mukaisesti jäsenvaltioiden on säädettävä, että henkilötietojen siirto kolmanteen maahan voidaan suorittaa ainoastaan, jos kyseisessä kolmannessa maassa taataan tietosuojan riittävä taso ja jos mainitun direktiivin muiden säännösten mukaisia jäsenvaltioiden lakeja noudatetaan ennen siirtoa.

(2) Kuitenkin direktiivin 95/46/EY 26 artiklan 2 kohdassa säädetään, että jäsenvaltiot voivat hyväksyä, tiettyjä takeita noudattaen, henkilötietojen siirron tai siirtojen sarjan sellaisiin kolmansiin maihin, joissa ei taata tietosuojan riittävää tasoa. Nämä takeet voivat perustua erityisesti asianmukaisiin sopimuslausekkeisiin.

(3) Direktiivin 95/46/EY mukaisesti tietosuojan tasoa olisi arvioitava kaikkien tiettyyn siirtoon tai siirtojen ryhmään liittyvien olosuhteiden osalta. Mainitulla direktiivillä perustettu tietosuojatyöryhmä(2) on laatinut suuntaviivat arvioinnin tueksi(3).

(4) Mallisopimuslausekkeet koskevat ainoastaan tietosuojaa. Tietojen viejä ja tietojen tuoja voivat vapaasti sisällyttää sopimukseen muita lausekkeita yritystoimintaan liittyvistä kysymyksistä, joita ne pitävät sopimuksen kannalta olennaisina, kunhan nämä lausekkeet eivät ole ristiriidassa mallisopimuslausekkeiden kanssa.

(5) Tällä päätöksellä ei rajoiteta jäsenvaltioiden mahdollisuutta antaa sellaisten kansallisten säännösten mukaisia kansallisia lupia, joilla direktiivin 95/46/EY 26 artiklan 2 kohta pannaan täytäntöön. Tämän päätöksen ainoa vaikutus on se, että jäsenvaltiot eivät kieltäydy tunnustamasta päätöksessä tarkoitettujen sopimuslausekkeiden tarjoavan riittävät takeet, ja tällä päätöksellä ei näin ollen ole vaikutusta muihin sopimuslausekkeisiin.

(6) Tämän päätöksen soveltamisala rajoittuu lausekkeiden vahvistamiseen, joita yhteisöön sijoittautunut rekisterinpitäjä voi käyttää direktiivin 95/46/EY 26 artiklan 2 kohdan mukaisten riittävien takeiden antamiseen henkilötietojen siirtämiseksi kolmanteen maahan sijoittautuneelle henkilötietojen käsittelijälle.

(7) Tällä päätöksellä olisi pantava täytäntöön direktiivin 95/46/EY 17 artiklan 3 kohdan mukainen velvoite, eikä tämä päätös vaikuta mainitun säännöksen mukaisesti laaditun sopimuksen tai oikeudellisen asiakirjan sisältöön. Kuitenkin jotkut mallisopimuslausekkeet, erityisesti tietojen viejän velvoitteita koskevat, olisi otettava mukaan sen selkeyttämiseksi, minkälaisia määräyksiä voidaan sisällyttää rekisterinpitäjän ja henkilötietojen käsittelijän väliseen sopimukseen.

(8) Tässä sopimusmenettelyssä jäsenvaltioiden valvontaviranomaisilla on keskeinen tehtävä sen varmistamisessa, että henkilötietoja suojataan riittävästi niiden siirron jälkeen. Mallisopimuslausekkeiden ansiosta valvontaviranomaiset voivat tarkastaa tietojen tuojien toimintaa ja tehdä tietojen tuojia velvoittavia päätöksiä niissä poikkeustapauksissa, joissa tietojen viejä kieltäytyy antamasta tietojen tuojalle ohjeita tai ei kykene antamaan niitä, ja on olemassa välitön vaara vakavasta haitasta rekisteröidyille. Jäsenvaltioiden valvontaviranomaisilla on oikeus kieltää tai lykätä mallisopimuslausekkeisiin perustuva tietojen siirto tai siirtojen sarja tietyin edellytyksin niissä poikkeustapauksissa, joissa sopimusperusteisella siirrolla todetaan todennäköisesti olevan merkittävä haitallinen vaikutus noudatettaviin velvollisuuksiin ja rekisteröidylle annettaviin takeisiin riittävästä tietosuojasta.

(9) Komissio voi myös tarkastella tulevaisuudessa tarjoavatko yritysorganisaatioiden tai muiden asianomaisten esittämät mallisopimuslausekkeet, jotka on laadittu niihin kolmansiin maihin, joissa ei taata tietosuojan riittävää tasoa, sijoittautuneille henkilötietojen käsittelijöille suuntautuvaa henkilötietojen siirtoa varten, direktiivin 95/46/EY 26 artiklan 2 kohdan mukaiset riittävät takeet.

(10) Henkilötietojen luovuttaminen yhteisön ulkopuolelle sijoittautuneelle tietojen käsittelijälle on direktiivin 95/46/EY IV luvun nojalla suojattu kansainvälinen siirto. Sen vuoksi tämä päätös ei koske yhteisöön sijoittautuneiden rekisterinpitäjien suorittamia henkilötietojen siirtoja rekisterinpitäjille, jotka ovat sijoittautuneet yhteisön ulkopuolelle, ja jotka kuuluvat direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen kolmansiin maihin siirtoa varten 15 päivänä kesäkuuta 2001 tehdyn komission päätöksen 2001/497/EY(4) soveltamisalaan.

(11) Mallisopimuslausekkeiden olisi sisällettävä tekniset ja organisatoriset turvatoimet, joilla taataan käsittelyyn liittyviä riskejä ja suojattujen tietojen luonnetta vastaava turvallisuuden taso, jota sellaiseen kolmanteen maahan, jossa ei taata riittävää suojaa, sijoittautuneen tietojen käsittelijän on noudatettava. Kun otetaan huomioon sovellettava tietosuojalainsäädäntö, nykyinen tekninen taso ja toimenpiteiden toteuttamiseen liittyvät kustannukset, sopimuspuolten olisi määrättävä sopimuksessa teknisistä ja organisatorisista toimenpiteistä, jotka ovat tarpeen henkilötietojen suojaamiseksi tahattomalta tai luvattomalta tuhoamiselta, tahattomalta häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai tietoihin pääsyltä taikka muulta henkilötietojen luvattomalta käsittelytavalta.

(12) Yhteisöstä tehtävien tiedonsiirtojen helpottamiseksi olisi suotavaa, että tietojen käsittelypalveluja useille yhteisön rekisterinpitäjille tarjoavat käsittelijät voivat ottaa käyttöön samat tekniset ja organisatoriset turvatoimet riippumatta siitä, mistä jäsenvaltiosta tietojen siirto on lähtöisin, erityisesti niissä tapauksissa, joissa tietojen tuoja ottaa vastaan tietoja edelleenkäsittelyä varten tietojen viejän eri toimipaikoista yhteisössä, missä tapauksessa nimetyn toimipaikan jäsenvaltion oikeutta olisi sovellettava.

(13) On asianmukaista vahvistaa vähimmäistiedot, jotka sopimuspuolten on mainittava siirtoa koskevassa sopimuksessa. Jäsenvaltioilla olisi oltava edelleen oikeus täsmentää tiedot, jotka sopimuspuolten on toimitettava. Tämän päätöksen soveltamista olisi tarkasteltava uudelleen saadun kokemuksen perusteella.

(14) Tietojen tuojan on käsiteltävä siirrettyjä henkilötietoja ainoastaan tietojen viejän puolesta ja tämän antamien ohjeiden mukaisesti ja lausekkeiden mukaisia velvollisuuksia noudattaen. Tietojen tuoja ei saa luovuttaa henkilötietoja sivullisille, elleivät tietyt edellytykset täyty. Tietojen viejän on kehotettava tietojen tuojaa käsittelemään tietoja käsittelypalvelujen koko keston ajan tietojen viejän antamien ohjeiden mukaisesti, sovellettavan tietosuojalainsäädännön mukaisesti ja lausekkeiden sisältämiä velvollisuuksia noudattaen. Henkilötietojen siirto yhteisön ulkopuolelle sijoittautuneille käsittelijöille ei vaikuta siihen, että käsittelyn on aina kuuluttava sovellettavan tietosuojalainsäädännön piiriin.

(15) Mallisopimuslausekkeiden olisi oltava täytäntöönpanokelpoisia ei ainoastaan sopimuksen sopimuspuolina olevien organisaatioiden vaan myös rekisteröityjen toimesta erityisesti, jos rekisteröidyille aiheutuu vahinkoa sopimusrikkomuksen seurauksena.

(16) Rekisteröidyllä olisi oltava oikeus ryhtyä toimiin ja tarvittaessa saada korvaus tietojen viejältä, joka on siirrettyjen henkilötietojen rekisterinpitäjä. Poikkeustapauksessa rekisteröidyllä olisi oltava myös oikeus ryhtyä toimiin ja tarvittaessa saada korvaus tietojen tuojalta niissä tapauksissa, joissa tietojen tuoja on rikkonut lausekkeen 3 toista kohtaa ja tietojen viejä on tosiasiallisesti hävinnyt tai oikeudellisesti lakannut taikka maksukyvytön.

(17) Jos rekisteröidyn ja tietojen tuojan välillä syntyy riita, jossa rekisteröity vetoaa sivullista suojaavaan edunsaajalausekkeeseen ja jossa ei päästä sovintoratkaisuun, tietojen tuoja hyväksyy, että rekisteröidyllä on mahdollisuus valita sovittelu- tai välimiesmenettely taikka asian riitauttaminen. Se, missä määrin rekisteröidyllä on käytettävissään vaihtoehtoja, on sidoksissa luotettavien ja tunnustettujen sovittelu- ja välimiesmenettelyjen käyttömahdollisuuksiin. Sen jäsenvaltion, johon tietojen viejä on sijoittautunut, tietosuojaviranomaisten järjestämän välimiesmenettelyn olisi oltava yksi vaihtoehto, jos kyseiset viranomaiset tarjoavat tällaista palvelua.

(18) Sopimukseen olisi sovellettava sen jäsenvaltion lakia, johon tietojen viejä on sijoittautunut ja jonka avulla edunsaajana oleva sivullinen voi panna sopimuksen täytäntöön. Rekisteröityjä olisi voitava edustaa yhteenliittymä tai muu elin, jos rekisteröidyt niin haluavat ja jos se on kansallisen lainsäädännön mukaan sallittua.

(19) Direktiivin 95/46/EY 29 artiklalla perustettu tietosuojatyöryhmä on antanut tämän päätöksen liitteenä olevien mallisopimuslausekkeiden antamasta suojan tasosta lausunnon, joka on otettu huomioon tätä päätöstä valmisteltaessa(5).

(20) Tässä päätöksessä säädetyt toimenpiteet ovat direktiivin 95/46/EY 31 artiklalla perustetun komitean lausunnon mukaiset,

ON TEHNYT TÄMÄN PÄÄTÖKSEN:

1 artikla

Liitteessä olevien mallisopimuslausekkeiden katsotaan antavan riittävät takeet yksityisyyden ja yksilöiden perusoikeuksien ja -vapauksien suojaamiseksi ja vastaavien oikeuksien toteutumiseksi direktiivin 95/46/EY 26 artiklan 2 kohdassa edellytetyllä tavalla.

2 artikla

Tämä päätös koskee ainoastaan mallisopimuslausekkeiden antaman suojan riittävyyttä liitteen mukaisesti henkilötietojen siirrossa henkilötietojen käsittelijöille. Se ei vaikuta direktiivin 95/46/EY täytäntöön panemiseksi annettujen muiden kansallisten säännösten soveltamiseen, jotka koskevat henkilötietojen käsittelyä jäsenvaltioissa.

Tätä päätöstä sovelletaan yhteisöön sijoittautuneiden rekisterinpitäjien suorittamaan henkilötietojen siirtoon vastaanottajille, jotka ovat sijoittautuneet yhteisön alueen ulkopuolelle ja jotka toimivat ainoastaan käsittelijöinä.

3 artikla

Tässä päätöksessä:

a) sovelletaan direktiivin 95/46/EY määritelmiä;

b) "erityisillä tietoryhmillä" tarkoitetaan direktiivin 95/46/EY 8 artiklassa tarkoitettuja tietoja;

c) "valvontaviranomaisella" tarkoitetaan direktiivin 95/46/EY 28 artiklassa tarkoitettua viranomaista;

d) "tietojen viejällä" tarkoitetaan rekisterinpitäjää, joka siirtää henkilötiedot;

e) "tietojen tuojalla" tarkoitetaan kolmanteen maahan sijoittautunutta henkilötietojen käsittelijää, joka hyväksyy vastaanottavansa tietojen viejältä henkilötietoja, jotka on siirron jälkeen tarkoitus käsitellä tietojen viejän puolesta tämän antamien ohjeiden mukaisesti ja tämän päätöksen mukaisia edellytyksiä noudattaen, ja jota ei koske riittävän suojan takaava kolmannen maan järjestelmä;

f) "sovellettavalla tietosuojalainsäädännöllä" tarkoitetaan lainsäädäntöä, jolla suojataan luonnollisten henkilöiden perusoikeudet ja -vapaudet ja erityisesti heidän oikeutensa yksityisyyteen henkilötietojen käsittelyssä ja jota sovelletaan rekisterinpitäjään siinä jäsenvaltiossa, johon tietojen viejä on sijoittautunut;

g) "teknisillä ja organisatorisilla turvatoimilla" tarkoitetaan toimenpiteitä, joiden tavoitteena on suojata henkilötietoja tahattomalta tai luvattomalta tuhoamiselta, tahattomalta häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai tietoihin pääsyltä erityisesti kun tietoja siirretään verkossa käsittelyn yhteydessä, sekä muulta henkilötietojen luvattomalta käsittelytavalta.

4 artikla

1. Jäsenvaltioiden toimivaltaiset viranomaiset voivat käyttää nykyisiä toimivaltuuksiaan kolmansiin maihin suuntautuvien tiedonsiirtojen kieltämiseksi tai lykkäämiseksi suojatakseen yksityishenkilöitä näiden henkilötietojen käsittelyssä, sanotun kuitenkaan rajoittamatta kyseisten viranomaisten toimivaltuuksia toteuttaa toimenpiteitä direktiivin 95/46/EY II, III, V ja VI luvun nojalla annettujen kansallisten säännösten noudattamisen varmistamiseksi, jos

a) todetaan, että tietojen tuojaan sovellettavaan lainsäädäntöön sisältyy sellaisia vaatimuksia poiketa sovellettavasta tietosuojalaista, jonka rajoitukset menevät pitemmälle kuin on tarpeen demokraattisessa yhteiskunnassa direktiivin 95/46/EY 13 artiklan mukaan, jos kyseisillä vaatimuksilla on todennäköisesti merkittävä haitallinen vaikutus sovellettavassa tietosuojalaissa ja mallisopimuslausekkeissa annettaviin takeisiin; tai

b) toimivaltainen viranomainen on todennut, ettei tietojen tuoja ole noudattanut liitteessä annettuja sopimuslausekkeita; taikka

c) on hyvin todennäköistä, että liitteessä olevia mallisopimuslausekkeita ei noudateta tai ei tulla noudattamaan ja siirron jatkaminen merkitsisi välitöntä vaaraa vakavan haitan aiheutumisesta rekisteröidyille.

2. Edellä 1 kohdan mukainen kielto tai lykkäys poistetaan heti kun lykkäyksen tai kiellon syyt ovat poistuneet.

3. Toteuttaessaan 1 ja 2 kohdan mukaisia toimenpiteitä jäsenvaltioiden on ilmoitettava siitä viipymättä komissiolle, joka välittää tiedon muille jäsenvaltioille.

5 artikla

Komissio arvioi tämän päätöksen soveltamista käytettävissä olevien tietojen pohjalta kolmen vuoden kuluttua sen tiedoksiantamisesta jäsenvaltioille. Se antaa kertomuksen direktiivin 95/46/EY 31 artiklalla perustetulle komitealle. Kertomus sisältää havainnot, jotka voivat vaikuttaa liitteessä olevien mallisopimuslausekkeiden riittävyyden arviointiin, sekä havainnot tämän päätöksen mahdollisesti syrjivästä soveltamisesta.

6 artikla

Tätä päätöstä sovelletaan 3 päivästä huhtikuuta 2002.

7 artikla

Tämä päätös on osoitettu kaikille jäsenvaltioille.

Tehty Brysselissä 27 päivänä joulukuuta 2001.

Komission puolesta

Frederik Bolkestein

Komission jäsen

(1) EYVL L 281, 23.11.1995, s. 31.

(2) Työryhmän www-osoite on seuraava:

http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm.

(3) WP 4 (5020/97) "Henkilötietojen siirtoa kolmansiin maihin koskevat ensimmäiset toimintaperiaatteet - mahdollisia etenemistapoja tietosuojan tason riittävyyden arvioinnissa". Työryhmän 26 päivänä kesäkuuta 1997 hyväksymä keskusteluasiakirja.

WP 7 (5057/97) Valmisteluasiakirja: "Itsesääntelyn arviointi: milloin itsesääntely vaikuttaa tietosuojan tason parantamiseen yhteisön ulkopuolisissa maissa?". Työryhmän 14 päivänä tammikuuta 1998 hyväksymä.

WP 9 (5005/98) Valmisteluasiakirja: "Sopimusmääräysten käyttäminen henkilötietojen siirrossa kolmansiin maihin". Työryhmän hyväksymä 22 päivänä huhtikuuta 1998.

WP 12: Henkilötietojen siirto EU:n ulkopuolisiin maihin: EU:n tietosuojadirektiivin 25 ja 26 artiklan soveltaminen. Työryhmän 24 päivänä heinäkuuta 1998 hyväksymä, saatavissa Euroopan komission www-sivustolla:

http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp12en.htm.

(4) EYVL L 181, 4.7.2001, s. 19.

(5) Lausunto 7/2001, työryhmän 13 päivänä syyskuuta 2001 hyväksymä (Sisämarkkinoiden PO ...), saatavissa Euroopan komission www-sivustolla "Europa".

LIITE

>PIC FILE= "L_2002006FI.005702.TIF">

>PIC FILE= "L_2002006FI.005801.TIF">

>PIC FILE= "L_2002006FI.005901.TIF">

>PIC FILE= "L_2002006FI.006001.TIF">

Lisäys 1

>PIC FILE= "L_2002006FI.006102.TIF">

Lisäys 2

>PIC FILE= "L_2002006FI.006202.TIF">

Top