29.12.2004   

FI

Euroopan unionin virallinen lehti

L 385/74


KOMISSION PÄÄTÖS,

tehty 27 päivänä joulukuuta 2004,

päätöksen 2001/497/EY muuttamisesta vaihtoehtoisten mallisopimuslausekkeiden ottamiseksi käyttöön henkilötietojen kolmansiin maihin siirtoa varten

(tiedoksiannettu numerolla K(2004) 5271)

(ETA:n kannalta merkityksellinen teksti)

(2004/915/EY)

EUROOPAN YHTEISÖJEN KOMISSIO, joka

ottaa huomioon Euroopan yhteisön perustamissopimuksen,

ottaa huomioon yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (1) ja erityisesti sen 26 artiklan 4 kohdan,

sekä katsoo seuraavaa:

(1)

Yhteisöstä tapahtuvien tiedonsiirtojen helpottamiseksi on toivottavaa, että rekisterinpitäjät voivat siirtää tietoja kaikkialla maailmassa samojen tietoturvasääntöjen mukaisesti. Maailmanlaajuisten tietoturvastandardien puuttuessa mallisopimuslausekkeet ovat tärkeä väline, joka mahdollistaa henkilötietojen siirron kaikista jäsenvaltioista yhteisten sääntöjen mukaisesti. Direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen kolmansiin maihin siirtoa varten 15 päivänä kesäkuuta 2001 tehdyssä komission päätöksessä 2001/497/EY (2) säädetään tämän vuoksi mallisopimuslausekkeista, joilla taataan riittävät takeet tietojen kolmansiin maihin siirtoa varten.

(2)

Päätöksen hyväksymisen jälkeen on saatu paljon kokemuksia. Lisäksi elinkeinonharjoittajien järjestöjen yhteenliittymä (3) on esittänyt vaihtoehtoisia mallisopimuslausekkeita, jotka on suunniteltu tarjoamaan päätöksessä 2001/497/EY säädettyjä mallisopimuslausekkeita vastaava tietosuojan taso mutta eri mekanismeja hyödyntäen.

(3)

Mallisopimuslausekkeiden käyttö kansainvälisissä tiedonsiirroissa on vapaaehtoista, koska ne ovat vain yksi direktiivin 95/46/EY tarjoamista useista mahdollisuuksista henkilötietojen siirtämiseen kolmansiin maihin laillisesti, ja tämän vuoksi tietojen viejillä yhteisössä ja tietojen tuojilla kolmansissa maissa pitäisi olla vapaus valita mikä tahansa mallisopimuslausekkeiden kokonaisuus tai jokin muu laillinen perusta tiedonsiirroille. Koska kukin lausekekokonaisuus muodostaa mallin, tietojen viejät eivät kuitenkaan saa muuttaa näitä kokonaisuuksia tai yhdistellä niitä kokonaan tai osittain millään tavoin.

(4)

Elinkeinonharjoittajien järjestöjen esittämillä mallisopimuslausekkeilla pyritään lisäämään sopimuslausekkeiden käyttöä toimijoiden parissa esimerkiksi joustavampien tarkastusvaatimusten tai tietojen saantioikeutta koskevien yksityiskohtaisempien sääntöjen kaltaisilla mekanismeilla.

(5)

Lisäksi päätöksessä 2001/497/EY säädetyn yhteisvastuujärjestelmän vaihtoehtona nyt esitettävään kokonaisuuteen sisältyy riittävän huolellisuuden velvoitteeseen perustuva vahinkovastuujärjestelmä, jossa tietojen viejä ja tietojen tuoja vastaavat kukin rekisteröidylle sopimusvelvoitteidensa rikkomisesta; lisäksi tietojen viejä on vastuussa, ellei se ole pyrkinyt parhaansa mukaan varmistamaan, että tietojen tuoja kykenee täyttämään näiden lausekkeiden mukaiset oikeudelliset velvoitteensa (culpa in eligendo), ja rekisteröity voi ryhtyä oikeustoimiin tietojen viejää vastaan tämän asian osalta. Uusien mallisopimuslausekkeiden lausekkeen I kohdan b täytäntöönpano on erityisen tärkeää tässä suhteessa, etenkin kun otetaan huomioon tietojen viejän mahdollisuus tehdä tarkastuksia tietojen tuojan tiloissa tai pyytää tietojen tuojalta todisteita riittävistä varoista velvoitteiden hoitamiseksi.

(6)

Rekisteröityjen harjoittamien kolmannen osapuolen etua suojaavien oikeuksien osalta määrätään tietojen viejän tiiviimmästä osallistumisesta rekisteröityjen tekemien valitusten ratkaisuun niin, että tietojen viejän on otettava yhteyttä tietojen tuojaan ja tarvittaessa vaadittava sopimuksen täytäntöönpanoa tavanomaisessa yhden kuukauden ajassa. Jos tietojen viejä kieltäytyy vaatimasta sopimuksen täytäntöönpanoa ja tietojen tuojan rikkomus jatkuu edelleen, rekisteröity voi vaatia tietojen tuojaa panemaan lausekkeet täytäntöön ja viime kädessä haastaa tämän oikeuteen jossakin jäsenvaltiossa. Se, että tietojen tuoja hyväksyy tuomiovallan ja suostuu noudattamaan toimivaltaisen tuomioistuimen tai viranomaisen päätöstä, ei estä kolmansiin maihin sijoittautuneita tietojen tuojia käyttämästä oikeuskeinoja, kuten valitusoikeutta.

(7)

Jotta kuitenkin voitaisiin torjua lisääntyneestä joustavuudesta johtuvat väärinkäytökset, on asianmukaista määrätä, että tietosuojaviranomaiset voivat helpommin kieltää tai keskeyttää uuteen mallisopimuslausekkeiden kokonaisuuteen perustuvat tiedonsiirrot tapauksissa, joissa tietojen viejä kieltäytyy toteuttamasta asianmukaisia toimia tietojen tuojan sopimusvelvoitteiden täytäntöönpanoa varten tai tietojen tuoja kieltäytyy tekemästä lojaalia yhteistyötä toimivaltaisten tietosuojavalvontaviranomaisten kanssa.

(8)

Mallisopimuslausekkeiden käytöllä ei rajoiteta direktiivin 95/46/EY tai henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) 12 päivänä heinäkuuta 2002 annetun Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY (4) täytäntöönpanemiseksi annettujen kansallisten säännösten soveltamista, etenkään niiltä osin, jotka koskevat kaupallisten viestien lähettämistä suoramarkkinointitarkoituksiin.

(9)

Esitettyihin mallisopimuslausekkeisiin sisältyviä takeita voidaan tällä perusteella pitää riittävinä direktiivin 95/46/EY 26 artiklan 2 kohdan mukaisesti.

(10)

Direktiivin 95/46/EY 29 artiklalla perustettu tietosuojatyöryhmä on antanut liitteenä olevien mallisopimuslausekkeiden antamasta suojan tasosta lausunnon (5), joka on otettu huomioon.

(11)

Voidakseen arvioida muutosten vaikutusta päätökseen 2001/497/EY komission on aiheellista tarkastella niitä kolmen vuoden kuluttua niiden tiedoksiantamisesta jäsenvaltioille.

(12)

Päätös 2001/497/EY olisi muutettava vastaavasti.

(13)

Tässä päätöksessä säädetyt toimenpiteet ovat direktiivin 95/46/EY 31 artiklalla perustetun komitean lausunnon mukaiset,

ON TEHNYT TÄMÄN PÄÄTÖKSEN:

1 artikla

Muutetaan päätös 2001/497/EY seuraavasti:

1)

Lisätään 1 artiklaan seuraava kohta:

”Rekisterinpitäjät voivat valita kumman tahansa liitteessä olevista lausekekokonaisuuksista I tai II. Ne eivät kuitenkaan voi muuttaa lausekkeita eivätkä yhdistää yksittäisiä lausekkeita tai lausekekokonaisuuksia.”

2)

Korvataan 4 artiklan 2 ja 3 kohta seuraavasti:

”2.   Jos 1 kohtaa sovellettaessa rekisterinpitäjä esittää riittävät takeet liitteessä olevaan kokonaisuuteen II sisältyvien mallisopimuslausekkeiden perusteella, toimivaltaiset tietosuojaviranomaiset voivat harjoittaa toimivaltaansa ja kieltää tai keskeyttää tiedonsiirrot seuraavissa tapauksissa:

a)

tietojen tuoja kieltäytyy tekemästä vilpitöntä yhteistyötä tietosuojaviranomaisten kanssa tai noudattamasta selkeästi sopimuksen mukaisia velvoitteitaan;

b)

tietojen viejä kieltäytyy ryhtymästä asianmukaisiin toimenpiteisiin tietojen tuojaa vastaan sopimuksen täytäntöönpanemiseksi tavanomaisessa yhden kuukauden ajassa siitä, kun toimivaltainen tietosuojaviranomainen on huomauttanut asiasta tietojen viejälle.

Ensimmäistä alakohtaa sovellettaessa tietojen tuojan ei katsota kieltäytyvän vilpillisessä mielessä tai kieltäytyvän sopimuksen täytäntöönpanosta tapauksissa, joissa yhteistyö tai täytäntöönpano olisi sellaisten tietojen tuojaan sovellettavien kansallisen lainsäädännön pakollisten vaatimusten vastaista, jotka eivät mene pidemmälle kuin on tarpeen demokraattisessa yhteiskunnassa jonkin direktiivin 95/46/EY 13 artiklan 1 kohdassa luetellun perusteen kannalta; tällaisia vaatimuksia ovat erityisesti kansainvälisten ja/tai kansallisten sopimusten mukaiset pakotteet, raportointivaatimukset verotusta varten ja raportointivaatimukset rahanpesun torjumiseksi.

Ensimmäisen alakohdan a alakohtaa sovellettaessa yhteistyöhön voi sisältyä erityisesti tietojen tuojan tietojenkäsittelyjärjestelmien tarkastusten salliminen tai velvoite noudattaa yhteisön tietosuojaviranomaisten ohjeita.

3.   Edellä 1 ja 2 kohdan mukainen kielto tai keskeytys poistetaan heti kun kiellon tai keskeytyksen syyt ovat poistuneet.

4.   Toteuttaessaan 1, 2 ja 3 kohdan mukaisia toimenpiteitä jäsenvaltioiden on ilmoitettava siitä viipymättä komissiolle, joka välittää tiedon edelleen muille jäsenvaltioille.”

3)

Korvataan 5 artiklan ensimmäinen virke seuraavasti:

”Komissio arvioi tämän päätöksen toimintaa käytettävissä olevien tietojen pohjalta kolmen vuoden kuluttua sen ja sitä koskevien muutosten tiedoksiantamisesta jäsenvaltioille.”

4)

Muutetaan liite seuraavasti:

1.

Lisätään otsikon jälkeen sanat ”KOKONAISUUS I”.

2.

Lisätään tämän päätöksen liitteen teksti.

2 artikla

Tätä päätöstä sovelletaan 1 päivästä huhtikuuta 2005.

3 artikla

Tämä päätös on osoitettu kaikille jäsenvaltioille.

Tehty Brysselissä 27 päivänä joulukuuta 2004.

Komission puolesta

Charlie McCREEVY

Komission jäsen


(1)  EYVL L 281, 23.11.1995, s. 31. Direktiivi sellaisena kuin se on muutettuna asetuksella (EY) N:o 1883/2003 (EUVL L 284, 31.10.2003, s. 1).

(2)  EYVL L 181, 4.7.2001, s. 19.

(3)  The International Chamber of Commerce (ICC), Japan Business Council in Europe (JBCE), European Information and Communications Technology Association (EICTA), EU Committee of the American Chamber of Commerce in Belgium (Amcham), Confederation of British Industry (CBI), International Communication Round Table (ICRT) ja the Federation of European Direct Marketing Associations (FEDMA).

(4)  EYVL L 201, 31.7.2002, s. 37.

(5)  Lausunto N:o 8/2003, http://europa.eu.int/comm/privacy


LIITE

KOKONAISUUS II

Mallisopimuslausekkeet henkilötietojen siirtämiseksi yhteisöstä kolmansiin maihin (rekisterinpitäjien väliset siirrot)

Tiedonsiirtosopimus

seuraavien tahojen välillä:

_(nimi)

_(osoite ja sijoittautumismaa)

jäljempänä ’tietojen viejä’

ja

_(nimi)

_(osoite ja sijoittautumismaa)

jäljempänä ’tietojen tuoja’

kumpikin on ’sopimuspuoli’, yhdessä ’sopimuspuolet’

Määritelmät

Lausekkeissa tarkoitetaan:

a)

’henkilötiedoilla’, ’erityisillä tietoryhmillä / arkaluonteisilla tiedoilla’, ’käsittelyllä’, ’rekisterinpitäjällä’, ’käsittelijällä’, ’rekisteröidyllä’ ja ’valvontaviranomaisella’ samaa kuin 24 päivänä lokakuuta 1995 annetussa direktiivissä 95/46/EY (’viranomaisella’ tarkoitetaan toimivaltaista tietosuojaviranomaista alueella, johon tietojen viejä on sijoittautunut);

b)

’tietojen viejällä’ rekisterinpitäjää, joka siirtää henkilötietoja;

c)

’tietojen tuojalla’ rekisterinpitäjää, joka sopii henkilötietojen vastaanottamisesta tietojen viejältä edelleen käsittelyä varten näiden lausekkeiden ehtojen mukaisesti ja jota ei koske riittävän suojan takaava kolmannen maan järjestelmä;

d)

’lausekkeilla’ näitä sopimuslausekkeita, jotka muodostavat itsenäisen asiakirjan, johon eivät sisälly sopimuspuolten erillisten kaupankäyntijärjestelyiden mukaisesti vahvistamat kaupalliset ehdot.

Tiedon siirtoja (sekä soveltamisalaan kuuluvia henkilötietoja) koskevat yksityiskohdat annetaan liitteessä B, joka on kiinteä osa lausekkeita.

I.   Tietojen viejän velvollisuudet

Tietojen viejä hyväksyy ja takaa, että

a)

henkilötiedot on kerätty, käsitelty ja siirretty tietojen viejään sovellettavan lainsäädännön mukaisesti;

b)

se on pyrkinyt parhaansa mukaan varmistamaan, että tietojen tuoja pystyy täyttämään näiden lausekkeiden mukaiset oikeudelliset velvoitteensa;

c)

se toimittaa pyydettäessä tietojen tuojalle kopiot asiaan liittyvistä tietojen viejän sijoittautumismaan tietosuojalaeista tai viitteet niihin (tarvittaessa; tämä ei koske oikeudellista neuvontaa);

d)

se vastaa rekisteröidyn ja viranomaisen tiedusteluihin, jotka koskevat tietojen tuojan suorittamaa henkilötietojen käsittelyä, elleivät sopimuspuolet ole sopineet, että tietojen tuoja hoitaa vastaamisen, jolloin tietojen viejä edelleenkin vastaa siinä määrin kuin se on kohtuullisesti katsottuna mahdollista ja jos se saa tiedot käyttöönsä kohtuullisen helposti, jos tietojen tuoja on haluton tai ei pysty vastaamaan; vastaukset on annettava kohtuullisessa ajassa;

e)

se toimittaa pyynnöstä kopion lausekkeista rekisteröidyille, jotka ovat edunsaajina olevia kolmansia osapuolia lausekkeen III mukaisesti, elleivät lausekkeet sisällä luottamuksellista tietoa, jolloin se voi poistaa tällaiset tiedot. Jos tietoja on poistettu, tietojen viejä ilmoittaa rekisteröidyille kirjallisesti poistamisen syistä ja rekisteröityjen oikeudesta saattaa poistaminen viranomaisen tietoon. Tietojen viejää sitoo kuitenkin viranomaisen päätös, joka koskee lausekkeiden täydellisen tekstin antamista rekisteröidyille, jos rekisteröidyt ovat luvanneet noudattaa poistetun luottamuksellisen tekstin luottamuksellisuutta. Tietojen viejän on toimitettava pyydettäessä kopio lausekkeista myös viranomaiselle.

II.   Tietojen tuojan velvollisuudet

Tietojen tuoja hyväksyy ja takaa, että

a)

se toteuttaa asianmukaisia teknisiä ja organisatorisia toimenpiteitä, joilla suojataan henkilötiedot tahattomalta tai luvattomalta tuhoamiselta, tahattomalta häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai tietoihin pääsyltä ja jotka tarjoavat asianmukaisen turvallisuustason suojattavien tietojen käsittelyn ja luonteen edustamaan riskiin nähden;

b)

sillä on käytössään menettelyt, joilla varmistetaan, että kaikki kolmannet osapuolet, joille tietojen tuoja sallii pääsyn henkilötietoihin, käsittelijät mukaan luettuina, noudattavat ja pitävät yllä henkilötietojen luottamuksellisuutta ja suojaa. Kaikki tietojen tuojan lukuun toimivat henkilöt, myös tiedon käsittelijät, saavat käsitellä henkilötietoja vain tietojen tuojan luvalla. Tämä ei koske henkilöitä, joilla lain tai asetuksen perusteella on oikeus tai velvollisuus saada henkilötietoja;

c)

sillä ei ole syytä olettaa, että näiden lausekkeiden tullessa voimaan voimassa olisi paikallisia lakeja, joilla olisi merkittävää haitallista vaikutusta lausekkeilla annettaviin takeisiin, ja se ilmoittaa tietojen viejälle (joka välittää tämän ilmoituksen viranomaiselle, jos sitä vaaditaan), jos se saa tietoa tällaisista laeista;

d)

se käsittelee henkilötietoja liitteessä B esitettyjä tarkoituksia varten, ja sillä on sellainen oikeudellinen toimivalta, että se voi antaa takeet ja sitoumukset, jotka on esitetty näissä lausekkeissa;

e)

se osoittaa tietojen viejälle organisaatiossaan yhteystahon, jolla on valtuudet vastata henkilötietojen käsittelyä koskeviin tiedusteluihin, ja se tekee vilpitöntä yhteistyötä tietojen viejän, rekisteröidyn ja viranomaisen kanssa vastatakseen tiedusteluihin kohtuullisessa ajassa. Jos tietojen viejän toiminta lakkautetaan tai jos sopimuspuolet ovat niin sopineet, tietojen tuoja vastaa lausekkeen I kohdan e määräysten noudattamisesta;

f)

se toimittaa tietojen viejän pyynnöstä tälle todisteet riittävistä varoista, jotta se voi hoitaa lausekkeen III mukaiset velvoitteensa (joihin saattaa sisältyä vakuutusturva);

g)

se antaa tietojen viejän perustellun pyynnön perusteella käsittelyyn vaadittavat tietojenkäsittelyjärjestelmät, tietueet ja asiakirjat tietojen viejän (tai sen valitsemien riippumattomien tai puolueettomien tarkastuselimien tai tarkastajien, joiden valintaa tietojen tuoja ei ole perustellusti vastustanut) tutkittaviksi, tarkastettaviksi ja/tai sertifioitaviksi, jotta varmistetaan lausekkeiden mukaisten takeiden ja sitoumusten noudattaminen; tarkastuksesta on ilmoitettava kohtuullisessa ajassa etukäteen ja se on tehtävä tavanomaisena työaikana. Pyyntö edellyttää tietojen tuojan sijoittautumismaan sääntely- tai valvontaviranomaiselta mahdollisesti tarvittavaa suostumusta tai hyväksyntää, jonka tietojen tuoja pyrkii saamaan mahdollisimman pikaisesti;

h)

se käsittelee henkilötietoja valintansa mukaan

i)

tietojen viejän sijoittautumismaan tietosuojalakien mukaisesti; tai

ii)

direktiivin 95/46/EY 25 artiklan 6 kohdan nojalla tehdyn minkä tahansa komission päätöksen asiaa koskevien säännösten (1) mukaisesti, jolloin tietojen tuoja noudattaa tällaisen luvan tai päätöksen asiaa koskevia säännöksiä ja on sijoittautunut maahan, jossa tällaista lupaa tai päätöstä sovelletaan, mutta ei kuulu luvan tai päätöksen soveltamisalaan henkilötietojen siirtojen (2) osalta; tai

iii)

liitteessä A esitettyjen tiedonkäsittelyperiaatteiden mukaisesti.

Tietojen tuojan valitsema vaihtoehto:

Tietojen tuojan nimikirjaimet: _;

i)

se ei luovuta tai siirrä henkilötietoja Euroopan talousalueen (ETA:n) ulkopuolella sijaitsevalle kolmantena osapuolena olevalle rekisterinpitäjälle ilmoittamatta siirrosta tietojen viejälle, ja

i)

kolmantena osapuolena oleva rekisterinpitäjä käsittelee henkilötietoja komission sellaisen päätöksen mukaisesti, jossa kolmannen maan todetaan takaavan riittävä henkilötietojen suoja; tai

ii)

kolmantena osapuolena oleva rekisterinpitäjä allekirjoittaa nämä lausekkeet tai jonkin muun tiedonsiirtosopimuksen, jonka toimivaltainen viranomainen hyväksyy EU:ssa; tai

iii)

rekisteröidyillä on ollut mahdollisuus vastustaa tietojen käsittelyä, kun heille on ilmoitettu siirron tarkoituksista, vastaanottajien ryhmistä ja siitä, että maissa, joihin tietoja viedään, saattaa olla erilaiset tietosuojavaatimukset; tai

iv)

arkaluontoisten tietojen edelleensiirtojen osalta rekisteröidyt ovat antaneet yksiselitteisen suostumuksen edelleensiirtoa varten.

III.   Vastuu ja kolmannen osapuolen oikeudet

a)

Kumpikin sopimuspuoli on vastuussa toiselle sopimuspuolelle vahingoista, jotka ovat aiheutuneet näiden lausekkeiden rikkomisesta. Sopimuspuolten välinen vastuu rajoittuu todellisuudessa kärsittyihin vahinkoihin. Rankaisevat vahingonkorvaukset (eli vahingonkorvaukset, joilla on tarkoitus rangaista sopimuspuolta sopimattomasta käytöksestä) on nimenomaisesti jätetty soveltamisalan ulkopuolelle. Kumpikin sopimuspuoli on vastuussa rekisteröidyille vahingoista, jotka ovat aiheutuneet siitä, että sopimuspuolet ovat rikkoneet näiden lausekkeiden mukaisia kolmannen osapuolen etua suojaavia oikeuksia. Tämä ei vaikuta tietojen viejän vastuuseen siihen sovellettavan tietosuojalain mukaisesti.

b)

Sopimuspuolet sopivat, että rekisteröidyllä – kolmantena osapuolena olevana edunsaajana – on oikeus vaatia tietojen tuojaa tai tietojen viejää panemaan tämä lauseke ja lausekkeet I b, I d, I e, II a, II c, II d, II e, II h, II i, III a, V, VI d ja VII täytäntöön, jos ne ovat rikkoneet sopimusvelvoitteitaan rekisteröidyn henkilötietojen osalta, ja hyväksyvät tietojen viejän sijoittautumismaan tuomiovallan asiassa. Tapauksissa, joissa esitetään väitteitä tietojen tuojan sopimusrikkomuksesta, rekisteröidyn täytyy ensin pyytää tietojen viejää toteuttamaan asianmukaiset toimet, jotta tietojen tuoja panisi rekisteröidyn oikeudet täytäntöön; ellei tietojen viejä toteuta tällaisia toimia kohtuullisen ajan kuluessa (joka tavanomaisissa olosuhteissa olisi yksi kuukausi), rekisteröity voi vaatia oikeuksiensa täytäntöönpanoa suoraan tietojen tuojalta. Rekisteröidyllä on oikeus ryhtyä oikeustoimiin suoraan sellaista tietojen viejää vastaan, joka ei ole pyrkinyt parhaansa mukaan varmistamaan, että tietojen tuoja pystyy täyttämään lausekkeiden mukaiset oikeudelliset velvoitteensa (tietojen viejällä on todistustaakka osoittaa, että se on toiminut parhaan kykynsä mukaan).

IV.   Lausekkeisiin sovellettava lainsäädäntö

Näihin lausekkeisiin sovelletaan sen maan lainsäädäntöä, johon tietojen viejä on sijoittautunut; poikkeuksena ovat lausekkeen II kohdan h mukaiset tietojen tuojan harjoittamaa tietojen käsittelyä koskevat lait ja asetukset, joita sovelletaan vain, jos tietojen tuoja on niin valinnut kyseisen lausekkeen mukaisesti.

V.   Riitojen ratkaisu rekisteröityjen tai viranomaisen kanssa

a)

Kun kyseessä on rekisteröidyn tai viranomaisen esiin ottama henkilötietojen käsittelyä koskeva riita-asia tai vaatimus, joka kohdistuu toiseen tai molempiin sopimuspuoliin, sopimuspuolet ilmoittavat toisilleen tällaisista riita-asioista tai vaatimuksista ja tekevät yhteistyötä, jotta niissä päästäisiin sovintoratkaisuun mahdollisimman pikaisesti.

b)

Sopimuspuolet sopivat vastaavansa yleisesti käytössä olevaan ei-sitovaan välitysmenettelyyn, jonka rekisteröity tai viranomainen on käynnistänyt. Jos sopimuspuolet osallistuvat menettelyyn, ne voivat tehdä niin olematta paikan päällä (esimerkiksi puhelimitse tai muuta sähköistä välinettä käyttäen). Sopimuspuolet sopivat myös, että ne harkitsevat osallistumista muuhun sovittelu-, välitys- tai riitojenratkaisumenettelyyn, joka on tarkoitettu tietosuojariitoja varten.

c)

Sopimuspuolet noudattavat tietojen viejän sijoittautumismaan toimivaltaisen tuomioistuimen tai viranomaisen päätöstä, joka on lopullinen ja josta ei voi valittaa.

VI.   Sopimuksen päättyminen

a)

Jos tietojen tuoja rikkoo näiden lausekkeiden mukaisia velvoitteitaan, tietojen viejä voi tilapäisesti keskeyttää henkilötietojen siirron tietojen tuojalle, kunnes rikkominen päättyy, tai sopimus päätetään.

b)

Siinä tapauksessa, että

i)

tietojen viejä on tilapäisesti keskeyttänyt henkilötietojen siirron tietojen tuojalle yli kuukaudeksi kohdan a mukaisesti,

ii)

lausekkeiden noudattamisen vuoksi tietojen tuoja rikkoisi lainsäädäntöön tai sääntelyyn perustuvia velvoitteitaan tuontimaassa,

iii)

tietojen tuoja rikkoo merkittävästi tai jatkuvasti näiden lausekkeiden mukaisesti antamiaan takeita tai sitoumuksia,

iv)

tietojen viejän sijoittautumismaan toimivaltainen tuomioistuin tai viranomainen on tehnyt lopullisen päätöksen, josta ei voi valittaa ja jonka mukaan tietojen tuoja tai tietojen viejä on rikkonut lausekkeita, tai

v)

tietojen tuojan – joko yksityishenkilönä tai yrityksenä – toiminnan lopettamiseksi tai selvitystilaan asettamiseksi on esitetty kanne, jota ei ole hylätty sovellettavassa lainsäädännössä hylkäämiselle asetetussa määräajassa; on tehty lopettamismääräys; sen varoja valvomaan on nimitetty väliaikainen pesänhoitaja; on nimitetty konkurssipesän hoitaja, jos tietojen tuoja on yksityishenkilö; on aloitettu vapaaehtoinen yritysjärjestely; tai jokin vastaava tapahtuma on käynnistetty jollakin lainkäyttöalueella,

tietojen viejällä on oikeus päättää näiden lausekkeiden voimassaolo, sanotun rajoittamatta muiden oikeuksien täytäntöönpanoa tietojen tuojaa vastaan, jolloin viranomaiselle ilmoitetaan tarvittaessa. Tapauksissa, joita koskevat edellä olevat kohdat i, ii tai iv, myös tietojen tuoja voi päättää lausekkeiden voimassaolon.

c)

Sopimuspuolet voivat päättää lausekkeiden voimassaolon, jos i) direktiivin 95/46/EY 25 artiklan 6 kohdan (tai muun korvaavan tekstin) nojalla komissio tekee tietosuojan riittävää tasoa koskevan myönteisen päätöksen sen maan (tai siellä olevan toimialan) osalta, johon tiedot on siirretty ja jossa tietojen tuoja on ne käsitellyt tai ii) direktiivistä 95/46/EY (tai muusta korvaavasta tekstistä) tulee suoraan sovellettava kyseisessä maassa.

d)

Sopimuspuolet sopivat, että näiden lausekkeiden voimassaolon päättäminen milloin tahansa, missä tahansa olosuhteissa ja mistä tahansa syystä (lukuun ottamatta lausekkeen VI kohdan c mukaista päättämistä) ei vapauta sopimuspuolia näiden lausekkeiden mukaisista velvoitteista ja/tai ehdoista siirrettyjen henkilötietojen käsittelyn osalta.

VII.   Lausekkeiden muuttaminen

Sopimuspuolet eivät saa muuttaa näitä lausekkeita lukuun ottamatta liitteeseen B sisältyvien tietojen päivittämistä, missä tapauksessa niiden on ilmoitettava viranomaiselle tarvittaessa. Tämä ei estä sopimuspuolia lisäämästä uusia kaupallisia lausekkeita tarvittaessa.

VIII.   Siirron kuvaus

Siirtoa ja henkilötietoja koskevat yksityiskohdat esitetään liitteessä B. Sopimuspuolet sopivat, että liitteeseen B voi sisältyä liiketoimintaan liittyvää luottamuksellista tietoa, jota ne eivät paljasta kolmansille osapuolille, paitsi jos sitä vaaditaan lainsäädännössä tai vastauksessa toimivaltaiselle sääntelyviranomaiselle tai valtion virastolle taikka lausekkeen I kohdan e mukaisesti. Sopimuspuolet voivat ottaa käyttöön lisäsiirtojen kattamiseksi lisäliitteitä, jotka on toimitettava viranomaiselle tarvittaessa. Vaihtoehtoisesti liite B voidaan laatia kattamaan useita siirtoja.

Päiväys: _

_

_

TIETOJEN TUOJAN PUOLESTA

TIETOJEN VIEJÄN PUOLESTA

LIITE A

TIETOJEN KÄSITTELYÄ KOSKEVAT PERIAATTEET

1.

Tarkoituksen rajoittaminen – Henkilötietoja saa käsitellä ja sen jälkeen käyttää tai luovuttaa edelleen ainoastaan liitteessä B esitettyjä tarkoituksia varten tai jos rekisteröity on antanut siihen luvan.

2.

Tiedon laatu ja suhteellisuus – Henkilötietojen on oltava täsmällisiä ja ne on tarvittaessa saatettava ajan tasalle. Henkilötietojen on oltava asianmukaisia ja olennaisia eikä niitä saa olla liikaa suhteessa siirron tai edelleen käsittelyn tarkoituksiin.

3.

Avoimuus – Rekisteröidyille on annettava tarvittavat tiedot oikeudenmukaisen käsittelyn varmistamiseksi (kuten tiedot käsittelyn tarkoituksista ja siirrosta), ellei tietojen viejä ole jo antanut näitä tietoja.

4.

Turvallisuus ja luottamuksellisuus – Rekisterinpitäjän on huolehdittava teknisistä ja organisatorisista toimenpiteistä, jotka ovat asianmukaisia käsittelystä aiheutuviin riskeihin nähden, kuten tietojen vahingossa tapahtuva tai laiton tuhoaminen, vahingossa tapahtuva häviäminen, muuttaminen, luvaton luovuttaminen tai antaminen. Rekisterinpitäjän lukuun toimiva henkilö, myös henkilötietojen käsittelijä, saa käsitellä tietoja ainoastaan rekisterinpitäjän luvalla.

5.

Tietojen saantia, oikaisemista, poistamista ja käsittelyn vastustamista koskevat oikeudet – Direktiivin 95/46/EY 12 artiklan mukaisesti rekisteröidyille on – joko suoraan tai kolmannen osapuolen kautta – annettava heitä koskevat henkilötiedot, jotka organisaatiolla on hallussaan, lukuun ottamatta pyyntöjä, jotka ovat selvästi kohtuuttomia kohtuuttoman tiheytensä tai lukumääränsä taikka toistuvan tai järjestelmällisen luonteensa vuoksi tai jotka koskevat tietoja, joita ei tarvitse antaa tietojen viejän sijoittautumismaan lainsäädännön mukaisesti. Sillä edellytyksellä, että viranomainen on antanut etukäteen hyväksyntänsä, tietoja ei tarvitse myöskään antaa silloin, kun se todennäköisesti vahingoittaisi vakavasti tietojen tuojan tai muiden tietojen tuojan kanssa toimivien organisaatioiden etuja ja kun rekisteröidyn intressit ja perusoikeudet ja -vapaudet eivät syrjäytä näitä etuja. Henkilötietojen lähteitä ei tarvitse ilmoittaa, jos se ei ole mahdollista ilman kohtuutonta vaivaa tai jos muiden kuin kyseisen henkilön oikeuksia rikottaisiin. Rekisteröityjen on voitava saada heitä koskevat henkilötiedot oikaistuksi, muutetuksi tai poistetuksi, jos ne ovat epätarkkoja tai niitä on käsitelty näiden periaatteiden vastaisesti. Jos on perusteltuja syitä epäillä, että pyyntö ei ole oikeutettu, organisaatio voi pyytää lisäperusteita ennen oikaisun, muutoksen tai poiston tekemistä. Oikaisusta, muutoksesta tai poistosta ei tarvitse ilmoittaa kolmansille osapuolille, joille tiedot on luovutettu, jos siitä aiheutuu kohtuutonta vaivaa. Rekisteröidyn on lisäksi voitava vastustaa itseään koskevien tietojen käsittelyä tilanteeseensa liittyvien huomattavan tärkeiden ja perusteltujen syiden vuoksi. Kieltäytymisen osalta todistustaakka on tietojen tuojalla, ja rekisteröity voi aina tehdä valituksen kieltäytymisestä viranomaiselle.

6.

Arkaluonteiset tiedot – Tietojen tuoja toteuttaa (esim. tietoturvaan liittyviä) lisätoimenpiteitä, jotka ovat tarpeen arkaluonteisten tietojen suojaamiseksi lausekkeen II mukaisten velvoitteiden nojalla.

7.

Markkinointiin tarkoitetut tiedot – Kun tietoja käsitellään suoramarkkinointia varten, käytettävissä on oltava tehokkaat menettelyt, joiden avulla rekisteröity voi milloin tahansa kieltää henkilötietojensa käytön sellaisiin tarkoituksiin.

8.

Automatisoidut päätökset – Näissä lausekkeissa ’automatisoidulla päätöksellä’ tarkoitetaan tietojen viejän tai tietojen tuojan päätöstä, josta aiheutuu rekisteröityä koskevia oikeudellisia vaikutuksia tai joka merkittävästi vaikuttaa rekisteröityyn ja joka perustuu yksinomaan henkilötietojen automatisoituun käsittelyyn, jolla on tarkoitus arvioida tiettyjä rekisteröityyn liittyviä henkilökohtaisia ominaisuuksia, esimerkiksi hänen työsuoritustaan, luottokelpoisuuttaan, luotettavuuttaan tai käytöstään. Tietojen tuoja ei saa tehdä mitään rekisteröityjä koskevia automatisoituja päätöksiä, paitsi jos

a)

i)

tietojen tuoja tekee tällaisia päätöksiä tehdessään sopimuksen rekisteröidyn kanssa tai pannessaan sopimusta täytäntöön ja

ii)

rekisteröidylle annetaan mahdollisuus keskustella kyseisen automatisoidun päätöksen tuloksista päätöksen tekevän osapuolen edustajan kanssa tai muutoin esittää kantansa kyseiselle osapuolelle;

tai

b)

jos muutoin säädetään tietojen viejään sovellettavassa lainsäädännössä.

LIITE B

SIIRRON KUVAUS

(sopimuspuolet täyttävät)

Image

KAUPALLISIA ESIMERKKILAUSEKKEITA (VAPAAEHTOINEN)

Korvausvelvollisuus tietojen viejän ja tietojen tuojan välillä:

’Sopimuspuolet korvaavat toisilleen ja ottavat vastatakseen toisilleen aiheuttamansa kustannukset, kulut, vahingot, menetykset tai tappiot, jotka johtuvat näiden lausekkeiden määräysten rikkomisesta. Tällainen korvaus edellyttää, että a) korvauksen saava sopimuspuoli (’saava sopimuspuoli’) ilmoittaa välittömästi muille sopimuspuolille (’maksavalle sopimuspuolelle’) korvausvaatimuksesta, b) maksava sopimuspuoli huolehtii yksin korvausvaatimukseen vastaamisesta ja sen sovittelusta ja c) saava sopimuspuoli tarjoaa kohtuullista yhteistyötä ja apua maksavalle sopimuspuolelle korvausvaatimukseen vastaamisessa.’

Riitojenratkaisu tietojen viejän ja tietojen tuojan välillä (sopimuspuolet voivat tietenkin korvata tämän millä tahansa muulla vaihtoehtoista riidanratkaisua koskevalla lausekkeella tai oikeuspaikkalausekkeella):

’Jos tietojen tuojan ja tietojen viejän välillä syntyy riita näiden lausekkeiden väitetystä rikkomisesta, riita ratkaistaan lopullisesti kansainvälisen kauppakamarin sovittelu- ja välimiesmenettelysääntöjen mukaisesti nimettyjen yhden tai useamman sovittelijan päätöksellä. Sovittelupaikka on [ ]. Sovittelijoiden lukumäärä on [ ].’

Kulujen jakaminen:

’Sopimuspuolet hoitavat lausekkeiden mukaiset velvoitteensa omalla kustannuksellaan.’

Lausekkeiden irtisanomista koskeva lisälauseke:

’Jos nämä lausekkeet irtisanotaan, tietojen tuojan on palautettava tietojen viejälle kaikki henkilötiedot ja kopiot henkilötiedoista, joihin näitä lausekkeita sovelletaan, tai tietojen viejän valinnan mukaan hävitettävä kaikki kopiot kyseisistä henkilötiedoista ja todistettava tietojen viejälle, että se on tehnyt niin, elleivät kansalliset lait tai paikallinen sääntely estä tietojen tuojaa hävittämästä tai palauttamasta tällaisia tietoja kokonaan tai osittain, missä tapauksessa tiedot pidetään luottamuksellisina eikä niitä käsitellä aktiivisesti mitään tarkoituksia varten. Tietojen tuoja suostuu siihen, että tietojen viejän pyynnöstä se sallii tietojen viejän tai tietojen viejän valitseman tarkastuselimen, jota tietojen tuojalla ei ole perusteltua syytä vastustaa, pääsyn tiloihinsa varmistamaan, että näin on tehty; tarkastuksesta on ilmoitettava kohtuullisessa ajassa etukäteen ja se on tehtävä tavanomaisena työaikana.’

”.

(1)  ’Asiaa koskevilla säännöksillä’ tarkoitetaan kaikkien lupien tai päätösten muita kuin täytäntöönpanoa koskevia säännöksiä (joihin näitä lausekkeita sovelletaan).

(2)  Liitteessä A olevan 5 kohdan määräyksiä tietojen saantia, oikaisemista, poistamista ja käsittelyn vastustamista koskevasta oikeudesta on kuitenkin sovellettava, kun tämä vaihtoehto valitaan, ja ne ovat etusijalla minkä tahansa valitun komission päätöksen vastaaviin säännöksiin nähden.