12.2.2010   

FI

Euroopan unionin virallinen lehti

L 39/5


KOMISSION PÄÄTÖS,

annettu 5 päivänä helmikuuta 2010,

Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille

(tiedoksiannettu numerolla K(2010) 593)

(ETA:n kannalta merkityksellinen teksti)

(2010/87/EU)

EUROOPAN KOMISSIO, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,

ottaa huomioon yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (1) ja erityisesti sen 26 artiklan 4 kohdan,

on kuullut Euroopan tietosuojavaltuutettua,

sekä katsoo seuraavaa:

(1)

Jäsenvaltioiden on direktiivin 95/46/EY nojalla säädettävä siitä, että henkilötietojen siirto kolmanteen maahan voidaan suorittaa ainoastaan, jos kyseisessä kolmannessa maassa taataan tietosuojan riittävä taso ja jos direktiivin muiden säännösten mukaisia jäsenvaltioiden lakeja noudatetaan ennen siirtoa.

(2)

Kuitenkin direktiivin 95/46/EY 26 artiklan 2 kohdassa säädetään, että jäsenvaltiot voivat hyväksyä tiettyjä takeita noudattaen henkilötietojen siirron tai siirtojen sarjan sellaisiin kolmansiin maihin, joissa ei taata tietosuojan riittävää tasoa. Nämä takeet voivat perustua erityisesti asianmukaisiin sopimuslausekkeisiin.

(3)

Direktiivin 95/46/EY mukaan tietosuojan tasoa olisi arvioitava kaikkien tiettyyn siirtoon tai siirtojen sarjaan liittyvien olosuhteiden osalta. Mainitulla direktiivillä perustettu tietosuojatyöryhmä on laatinut suuntaviivat arvioinnin tueksi.

(4)

Mallisopimuslausekkeiden olisi koskettava ainoastaan tietosuojaa. Tietojen viejä ja tietojen tuoja voivat vapaasti sisällyttää sopimukseen muita yritystoimintaan liittyviä kysymyksiä koskevia lausekkeita, joita ne pitävät sopimuksen kannalta olennaisina, kunhan nämä lausekkeet eivät ole ristiriidassa mallisopimuslausekkeiden kanssa.

(5)

Tällä päätöksellä ei pitäisi rajoittaa jäsenvaltioiden mahdollisuutta antaa sellaisten kansallisten säännösten mukaisia kansallisia lupia, joilla direktiivin 95/46/EY 26 artiklan 2 kohta pannaan täytäntöön. Tämän päätöksen ainoana vaikutuksena olisi oltava se, että jäsenvaltiot eivät kieltäydy tunnustamasta siinä esitettyjen mallisopimuslausekkeiden tarjoavan riittävät takeet, eikä päätöksellä näin ollen pitäisi olla vaikutusta muihin sopimuslausekkeisiin.

(6)

Direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille 27 päivänä joulukuuta 2001 tehdyn komission päätöksen 2002/16/EY (2) tarkoituksena on helpottaa henkilötietojen siirtoa Euroopan unioniin sijoittautuneelta rekisterinpitäjältä sellaiseen kolmanteen maahan sijoittautuneelle käsittelijälle, jossa ei taata tietosuojan riittävää tasoa.

(7)

Päätöksen 2002/16/EY tekemisen jälkeen on saatu runsaasti kokemusta. Lisäksi kertomus, joka koskee mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin tehtyjen päätösten täytäntöönpanoa (3), on osoittanut, että havaittavissa on yhä suurempaa kiinnostusta edistää mallisopimuslausekkeiden käyttöä henkilötietojen kansainvälisiä siirtoja varten kolmansiin maihin, joissa ei taata tietosuojan riittävää tasoa. Myös sidosryhmät ovat esittäneet ehdotuksia päätöksessä 2002/16/EY esitettyjen mallisopimuslausekkeiden saattamisesta ajan tasalle, jotta voitaisiin ottaa huomioon tietojenkäsittelytoiminnan nopea kasvu maailmassa ja eräitä kysymyksiä, joita kyseinen päätös ei kattanut (4).

(8)

Tämän päätöksen soveltamisalan olisi rajoituttava sen vahvistamiseen, että Euroopan unioniin sijoittautunut rekisterinpitäjä voi käyttää siinä esitettyjä lausekkeita direktiivin 95/46/EY 26 artiklan 2 kohdan mukaisten riittävien takeiden antamiseen henkilötietojen siirtämiseksi käsittelijälle, joka on sijoittautunut kolmanteen maahan.

(9)

Tätä päätöstä ei pitäisi soveltaa Euroopan unioniin sijoittautuneen rekisterinpitäjän suorittamaan henkilötietojen siirtoon Euroopan unionin ulkopuolelle sijoittautuneille rekisterinpitäjille, jotka kuuluvat direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen kolmansiin maihin siirtoa varten 15 päivänä kesäkuuta 2001 tehdyn komission päätöksen 2001/497/EY (5) soveltamisalaan.

(10)

Tällä päätöksellä olisi pantava täytäntöön direktiivin 95/46/EY 17 artiklan 3 kohdassa säädetty velvoite, eikä sen pitäisi vaikuttaa kyseisen säännöksen mukaisesti laadittujen sopimusten tai säädösten sisältöön. Siihen olisi kuitenkin sisällytettävä joitakin, varsinkin tietojen viejän velvoitteita koskevia mallisopimuslausekkeita, tilanteen selkeyttämiseksi niiden säännösten osalta, jotka voidaan sisällyttää rekisterinpitäjän ja käsittelijän väliseen sopimukseen.

(11)

Tässä sopimusmenettelyssä jäsenvaltioiden valvontaviranomaisilla on keskeinen tehtävä sen varmistamisessa, että henkilötietoja suojataan riittävästi niiden siirron jälkeen. Poikkeustapauksissa, joissa tietojen viejä kieltäytyy antamasta tietojen tuojalle ohjeita tai ei kykene antamaan niitä asianmukaisesti, ja on olemassa välitön vaara vakavasta haitasta rekisteröidyille, mallisopimuslausekkeiden olisi mahdollistettava se, että valvontaviranomaiset voivat tarkastaa tietojen tuojien ja alihankkijoina toimivien käsittelijöiden toimintaa ja tarvittaessa tehdä tietojen tuojia ja alihankkijana toimivia käsittelijöitä velvoittavia päätöksiä. Valvontaviranomaisilla olisi oltava oikeus kieltää tai lykätä mallisopimuslausekkeisiin perustuva tietojen siirto tai siirtojen sarja tietyin edellytyksin niissä poikkeustapauksissa, joissa sopimusperusteisella siirrolla todennäköisesti on merkittävä haitallinen vaikutus takeisiin ja velvoitteisiin, joilla rekisteröidylle annetaan riittävä tietosuoja.

(12)

Mallisopimuslausekkeiden olisi sisällettävä tekniset ja organisatoriset turvatoimet, joita sellaiseen kolmanteen maahan, jossa ei taata riittävää suojaa, sijoittautuneen tietojen käsittelijän olisi sovellettava, jotta taataan käsittelyyn liittyviä riskejä ja suojattujen tietojen luonnetta vastaava turvallisuuden taso. Kun otetaan huomioon sovellettava tietosuojalainsäädäntö, nykyinen tekninen taso ja toimenpiteiden toteuttamiseen liittyvät kustannukset, sopimuspuolten olisi määrättävä sopimuksessa teknisistä ja organisatorisista toimenpiteistä, jotka ovat tarpeen henkilötietojen suojaamiseksi tahattomalta tai laittomalta tuhoamiselta, tahattomalta häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai tietoihin pääsyltä tai muulta henkilötietojen laittomalta käsittelytavalta.

(13)

Euroopan unionista tehtävien tiedonsiirtojen helpottamiseksi olisi suotavaa, että tietojen käsittelypalveluja useille Euroopan unionin rekisterinpitäjille tarjoavat käsittelijät voivat soveltaa samoja teknisiä ja organisatorisia turvatoimia riippumatta siitä, mistä jäsenvaltiosta tietojen siirto on lähtöisin, erityisesti niissä tapauksissa, joissa tietojen tuoja ottaa vastaan tietoja edelleenkäsittelyä varten tietojen viejän eri toimipaikoista Euroopan unionissa, missä tapauksessa olisi sovellettava nimetyn sijoittautumisjäsenvaltion lainsäädäntöä.

(14)

On tarpeen vahvistaa vähimmäistiedot, jotka sopimuspuolten olisi mainittava siirtoa koskevassa sopimuksessa. Jäsenvaltioilla olisi oltava edelleen oikeus täsmentää tiedot, jotka sopimuspuolten on toimitettava. Tämän päätöksen soveltamista olisi tarkasteltava uudelleen saadun kokemuksen perusteella.

(15)

Tietojen tuojan olisi käsiteltävä siirrettyjä henkilötietoja ainoastaan tietojen viejän puolesta ja tämän antamien ohjeiden mukaisesti ja lausekkeiden mukaisia velvoitteita noudattaen. Tietojen tuojan ei varsinkaan pitäisi luovuttaa henkilötietoja kolmannelle osapuolelle ilman tietojen viejän ennakkoon antamaa kirjallista suostumusta. Tietojen viejän olisi kehotettava tietojen tuojaa käsittelemään tietoja käsittelypalvelujen koko keston ajan tietojen viejän antamien ohjeiden mukaisesti, sovellettavan tietosuojalainsäädännön mukaisesti ja lausekkeiden sisältämiä velvoitteita noudattaen.

(16)

Kertomuksessa, joka koskee mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin tehtyjen päätösten täytäntöönpanoa, suositeltiin, että laadittaisiin asianmukaisia mallisopimuslausekkeita, jotka koskevat myöhempiä edelleen siirtoja kolmanteen maahan sijoittautuneelta tietojen käsittelijältä toiselle tietojen käsittelijälle (alihankintana suoritettava käsittely). Näin otettaisiin huomioon liiketoiminnan suuntaukset ja käytännöt yhä pitemmälle globalisoituvassa käsittelytoiminnassa.

(17)

Tämän päätöksen olisi sisällettävä erityisiä mallisopimuslausekkeita, jotka koskevat kolmanteen maahan sijoittautuneen tietojen käsittelijän (tietojen tuoja) alihankintana kolmanteen maahan sijoittautuneilla muilla tietojen käsittelijöillä (alihankkijoina toimivat käsittelijät) teettämää tietojen käsittelypalvelua. Lisäksi tässä päätöksessä olisi esitettävä edellytykset, jotka alihankintana suoritettavan käsittelyn olisi täytettävä siitä huolehtimiseksi, että siirrettävät henkilötiedot ovat edelleen suojattuja huolimatta myöhemmästä siirrosta alihankkijana toimivalle käsittelijälle.

(18)

Lisäksi alihankintana suoritettavan käsittelyn olisi koostuttava ainoastaan toiminnoista, joista on sovittu tässä päätöksessä säädetyt mallisopimuslausekkeet sisältävässä, tietojen viejän ja tietojen tuojan välisessä sopimuksessa, eikä siinä pitäisi viitata muihin käsittelytoimintoihin tai -tarkoituksiin, jotta direktiivissä 95/46/EY esitettyä tarkoituksen rajoittamisen periaatetta noudatetaan. Jos alihankkijana toimiva käsittelijä ei täytä omia sopimuksen mukaisia tietojenkäsittelyvelvoitteitaan, tietojen tuojan olisi oltava edelleen vastuussa suhteessa tietojen viejään. Henkilötietojen siirron Euroopan unionin ulkopuolelle sijoittautuneille käsittelijöille ei pitäisi vaikuttaa siihen, että käsittelyn on kuuluttava sovellettavan tietosuojalainsäädännön piiriin.

(19)

Mallisopimuslausekkeiden olisi oltava täytäntöönpanokelpoisia sekä sopimuspuolina olevien organisaatioiden että rekisteröityjen toimesta erityisesti, jos rekisteröidyille aiheutuu vahinkoa sopimusrikkomuksen seurauksena.

(20)

Rekisteröidyllä olisi oltava oikeus ryhtyä toimenpiteisiin ja tarvittaessa saada korvausta tietojen viejältä, joka on siirrettyjen henkilötietojen rekisterinpitäjä. Poikkeuksellisesti rekisteröidyllä olisi myös oltava oikeus ryhtyä toimenpiteisiin ja tarvittaessa saada korvausta tietojen tuojalta tapauksissa, joissa tietojen tuoja tai jokin sen alaisena alihankkijana toimiva käsittelijä rikkoo jotakin lausekkeen 3 kohdassa 2 tarkoitetuista velvoitteistaan, kun tietojen viejä on tosiasiallisesti lakkautettu tai on lakannut oikeudellisesti olemasta taikka on menettänyt maksukykynsä. Poikkeuksellisesti rekisteröidyllä olisi myös oltava oikeus ryhtyä toimenpiteisiin ja tarvittaessa saada korvausta alihankkijana toimivalta käsittelijältä tapauksissa, joissa sekä tietojen viejä että tietojen tuoja on tosiasiallisesti lakkautettu tai ne ovat lakanneet oikeudellisesti olemasta taikka ovat menettäneet maksukykynsä. Tällaisen alihankkijana toimivan käsittelijän yksityisoikeudellisen vastuun olisi koskettava ainoastaan sen omaa sopimuslausekkeiden mukaista käsittelytoimintaa.

(21)

Jos rekisteröidyn ja tietojen tuojan välillä syntyy riita, jossa rekisteröity vetoaa kolmatta osapuolta suojaavaan edunsaajalausekkeeseen ja jossa ei päästä sovintoratkaisuun, tietojen tuojan olisi tarjottava rekisteröidylle mahdollisuus valita sovittelumenettely tai asian riitauttaminen. Se, missä määrin rekisteröidyllä on käytettävissään vaihtoehtoja, on sidoksissa luotettavien ja tunnustettujen sovittelumenettelyjen saatavuuteen. Sen jäsenvaltion, johon tietojen viejä on sijoittautunut, tietosuojaviranomaisten järjestämän sovittelumenettelyn olisi oltava yhtenä vaihtoehtona, mikäli kyseiset viranomaiset tarjoavat tällaista palvelua.

(22)

Sopimukseen olisi sovellettava sen jäsenvaltion lakia, johon tietojen viejä on sijoittautunut ja jonka avulla edunsaajana oleva kolmas osapuoli voi panna sopimuksen täytäntöön. Yhteenliittymän tai muun elimen olisi voitava edustaa rekisteröityjä, jos rekisteröidyt niin haluavat ja jos se on kansallisen lainsäädännön mukaan sallittua. Samaa lakia olisi sovellettava myös tietosuojaa koskeviin säännöksiin kaikissa alihankkijana toimivan käsittelijän kanssa tehdyissä sopimuksissa, jotka koskevat tietojen viejän sopimuslausekkeiden mukaisesti tietojen tuojalle siirtämien henkilötietojen käsittelytoiminnan suorittamista alihankintana.

(23)

Koska tätä päätöstä sovelletaan ainoastaan kolmanteen maahan sijoittautuneen tietojen käsittelijän käsittelypalvelujen teettämiseen alihankintana kolmanteen maahan sijoittautuneella alihankkijana toimivalla käsittelijällä, sitä ei pitäisi soveltaa tilanteeseen, jossa Euroopan unioniin sijoittautunut käsittelijä, joka käsittelee henkilötietoja Euroopan unioniin sijoittautuneen rekisterinpitäjän puolesta, antaa käsittelytoimintansa tehtäväksi alihankintana kolmanteen maahan sijoittautuneelle alihankkijana toimivalle käsittelijälle. Tällaisessa tilanteessa jäsenvaltioilla on mahdollisuus valita, ottavatko ne huomioon sen, että alihankintatyön antamisen yhteydessä kolmanteen maahan sijoittautuneelle alihankkijana toimivalle käsittelijälle on käytetty tässä päätöksessä esitettyjä mallisopimuslausekkeiden periaatteita ja takeita, kun tarkoitus on suojata asianmukaisesti niiden rekisteröityjen oikeuksia, joiden henkilötietoja siirretään alihankintana suoritettavaa käsittelytoimintaa varten.

(24)

Direktiivin 95/46/EY 29 artiklalla perustettu tietosuojatyöryhmä on antanut tämän päätöksen liitteenä olevien mallisopimuslausekkeiden antamasta suojan tasosta lausunnon, joka on otettu huomioon tätä päätöstä valmisteltaessa.

(25)

Päätös 2002/16/EY olisi kumottava.

(26)

Tässä päätöksessä säädetyt toimenpiteet ovat direktiivin 95/46/EY 31 artiklalla perustetun komitean lausunnon mukaiset,

ON HYVÄKSYNYT TÄMÄN PÄÄTÖKSEN:

1 artikla

Liitteessä olevien mallisopimuslausekkeiden katsotaan antavan riittävät takeet yksityisyyden ja yksilöiden perusoikeuksien ja -vapauksien suojaamiseksi ja vastaavien oikeuksien toteutumiseksi direktiivin 95/46/EY 26 artiklan 2 kohdassa edellytetyllä tavalla.

2 artikla

Tämä päätös koskee ainoastaan liitteen mukaisten mallisopimuslausekkeiden antaman suojan riittävyyttä henkilötietojen siirrossa henkilötietojen käsittelijöille. Päätös ei vaikuta direktiivin 95/46/EY täytäntöön panemiseksi annettujen henkilötietojen käsittelyä jäsenvaltioissa koskevien muiden kansallisten säännösten soveltamiseen.

Tätä päätöstä sovelletaan Euroopan unioniin sijoittautuneiden rekisterinpitäjien suorittamaan henkilötietojen siirtoon vastaanottajille, jotka ovat sijoittautuneet Euroopan unionin alueen ulkopuolelle ja jotka toimivat ainoastaan käsittelijöinä.

3 artikla

Tässä päätöksessä käytetään seuraavia määritelmiä:

a)

’erityisillä tietoryhmillä’ tarkoitetaan direktiivin 95/46/EY 8 artiklassa tarkoitettuja tietoja;

b)

’valvontaviranomaisella’ tarkoitetaan direktiivin 95/46/EY 28 artiklassa tarkoitettua viranomaista;

c)

’tietojen viejällä’ tarkoitetaan rekisterinpitäjää, joka siirtää henkilötietoja;

d)

’tietojen tuojalla’ tarkoitetaan kolmanteen maahan sijoittautunutta henkilötietojen käsittelijää, joka hyväksyy vastaanottavansa tietojen viejältä henkilötietoja, jotka on siirron jälkeen tarkoitus käsitellä tietojen viejän puolesta tämän antamien ohjeiden mukaisesti ja tämän päätöksen mukaisia edellytyksiä noudattaen, ja jota ei koske direktiivin 95/46/EY 25 artiklan 1 kohdassa tarkoitettu riittävän tietosuojan takaava kolmannen maan järjestelmä;

e)

’alihankkijana toimivalla käsittelijällä’ tarkoitetaan tietojen tuojan tai jonkin muun alihankkijana toimivan käsittelijän toimeksiannosta toimivaa käsittelijää, joka hyväksyy vastaanottavansa tietojen tuojalta tai joltakin muulta tietojen tuojan alihankkijana toimivalta käsittelijältä henkilötietoja, jotka on siirron jälkeen tarkoitettu ainoastaan käsiteltäviksi tietojen viejän puolesta tämän antamien ohjeiden, liitteessä esitettyjen mallisopimuslausekkeiden ja alihankintana suoritettavaa käsittelyä koskevan kirjallisen sopimuksen ehtojen mukaisesti;

f)

’sovellettavalla tietosuojalainsäädännöllä’ tarkoitetaan lainsäädäntöä, jolla suojataan yksilöiden perusoikeudet ja -vapaudet ja erityisesti näiden yksilöiden oikeus yksityisyyteen henkilötietojen käsittelyssä ja jota sovelletaan rekisterinpitäjään siinä jäsenvaltioissa, johon tietojen viejä on sijoittautunut;

g)

’teknisillä ja organisatorisilla turvatoimilla’ tarkoitetaan toimenpiteitä, joiden tavoitteena on suojata henkilötietoja tahattomalta tai laittomalta tuhoamiselta, tahattomalta häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai tietoihin pääsyltä erityisesti, kun tietoja siirretään verkossa käsittelyn yhteydessä, sekä muulta henkilötietojen laittomalta käsittelytavalta.

4 artikla

1.   Jäsenvaltioiden toimivaltaiset viranomaiset voivat käyttää nykyisiä toimivaltuuksiaan kolmansiin maihin suuntautuvien tiedonsiirtojen kieltämiseksi tai lykkäämiseksi suojatakseen yksilöitä näiden henkilötietojen käsittelyssä, sanotun kuitenkaan rajoittamatta kyseisten viranomaisten toimivaltuuksia toteuttaa toimenpiteitä direktiivin 95/46/EY II, III, V ja VI luvun nojalla annettujen kansallisten säännösten noudattamisen varmistamiseksi, jos

a)

todetaan, että tietojen tuojaan tai alihankkijana toimivaan käsittelijään sovellettavaan lainsäädäntöön sisältyy sellaisia vaatimuksia poiketa sovellettavasta tietosuojalainsäädännöstä, joiden rajoitukset menevät pitemmälle kuin on tarpeen demokraattisessa yhteiskunnassa direktiivin 95/46/EY 13 artiklan mukaan, kun kyseisillä vaatimuksilla on todennäköisesti merkittävä haitallinen vaikutus mallisopimuslausekkeilla annettaviin takeisiin;

b)

toimivaltainen viranomainen on todennut, ettei tietojen tuoja tai alihankkijana toimiva käsittelijä ole noudattanut liitteessä olevia mallisopimuslausekkeita; tai

c)

on hyvin todennäköistä, että liitteessä olevia mallisopimuslausekkeita ei noudateta tai ei tulla noudattamaan, ja siirron jatkaminen merkitsisi välitöntä vaaraa vakavan haitan aiheutumisesta rekisteröidyille.

2.   Edellä olevan 1 kohdan mukainen kielto tai lykkäys poistetaan heti kun lykkäyksen tai kiellon syyt ovat poistuneet.

3.   Toteuttaessaan 1 ja 2 kohdan mukaisia toimenpiteitä jäsenvaltioiden on ilmoitettava siitä viipymättä komissiolle, joka välittää tiedon edelleen muille jäsenvaltioille.

5 artikla

Komissio arvioi tämän päätöksen toimintaa käytettävissä olevien tietojen pohjalta kolmen vuoden kuluttua sen hyväksymisestä. Se antaa kertomuksen direktiivin 95/46/EY 31 artiklalla perustetulle komitealle. Kertomus sisältää havainnot, jotka voivat vaikuttaa liitteessä olevien mallisopimuslausekkeiden riittävyyden arviointiin, sekä havainnot tämän päätöksen mahdollisesti syrjivästä soveltamisesta.

6 artikla

Tätä päätöstä sovelletaan 15 päivästä toukokuuta 2010.

7 artikla

1.   Kumotaan päätös 2002/16/EY 15 päivästä toukokuuta 2010 alkaen.

2.   Tietojen viejän ja tietojen tuojan välillä päätöksen 2002/16/EY nojalla ennen 15 päivää toukokuuta 2010 tehdyn sopimuksen voimassaolo jatkuu niin kauan kuin sopimuksen kohteena olevat siirrot ja tietojenkäsittelytoiminnat säilyvät muuttumattomina ja tämän päätöksen soveltamisalaan kuuluvia henkilötietoja edelleen siirretään sopimuspuolten välillä. Jos sopimuspuolet päättävät tehdä tähän liittyviä muutoksia tai antaa sopimuksen kohteena olevat käsittelytoiminnat suoritettaviksi alihankintana, niiden on tehtävä uusi sopimus, joka on liitteessä esitettyjen mallisopimuslausekkeiden mukainen.

8 artikla

Tämä päätös on osoitettu kaikille jäsenvaltioille.

Tehty Brysselissä 5 päivänä helmikuuta 2010.

Komission puolesta

Jacques BARROT

Varapuheenjohtaja


(1)  EYVL L 281, 23.11.1995, s. 31.

(2)  EYVL L 6, 10.1.2002, s. 52.

(3)  SEC(2006) 95, 20.1.2006.

(4)  Kansainvälinen kauppakamari (ICC), Japan Business Council in Europe (JBCE), EU Committee of the American Chamber of Commerce in Belgium (Amcham) ja Euroopan suoramarkkinointiyhdistysten liitto (Federation of European Direct Marketing Associations, FEDMA).

(5)  EYVL L 181, 4.7.2001, s. 19.


LIITE

MALLISOPIMUSLAUSEKKEET (HENKILÖTIETOJEN KÄSITTELIJÄT)

Direktiivin 95/46/EY 26 artiklan 2 kohdassa tarkoitetut lausekkeet, joita käytetään henkilötietojen siirrossa sellaisiin kolmansiin maihin sijoittautuneille käsittelijöille, joissa ei taata tietosuojan riittävää tasoa

Tietojen viejänä toimivan organisaation nimi: …

Osoite: …

Puhelin: …; faksi: …; sähköposti: …

Muut organisaation yksilöintitiedot:

(”tietojen viejä”)

ja

Tietojen tuojana toimivan organisaation nimi: …

Osoite: …

Puhelin: …; faksi: …; sähköposti: …

Muut organisaation yksilöintitiedot:

(”tietojen tuoja”),

joista kumpikin ovat ”sopimuspuolia”, yhdessä ”sopimuspuolet’,

OVAT SOPINEET seuraavista sopimuslausekkeista, jäljempänä ’lausekkeet’, riittävien takeiden antamiseksi yksilöiden yksityisyyden suojasta ja perusoikeuksien ja -vapauksien suojasta lisäyksessä 1 mainittujen henkilötietojen siirrossa tietojen viejältä tietojen tuojalle.

Lauseke 1

Määritelmät

Lausekkeissa tarkoitetaan:

a)

’henkilötiedoilla’, ’erityisillä tietoryhmillä’, ’käsittelyllä’, ’rekisterinpitäjällä’, ’käsittelijällä’, ’rekisteröidyllä’ ja ’valvontaviranomaisella’ samaa kuin yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetussa Euroopan parlamentin ja neuvoston direktiivissä 95/46/EY (1),

b)

’tietojen viejällä’ rekisterinpitäjää, joka siirtää henkilötietoja,

c)

’tietojen tuojalla’ käsittelijää, joka hyväksyy vastaanottavansa tietojen viejältä henkilötietoja, jotka on siirron jälkeen tarkoitus käsitellä tietojen viejän puolesta tämän antamien ohjeiden mukaisesti ja lausekkeiden mukaisia edellytyksiä noudattaen, ja jota ei koske direktiivin 95/46/EY 25 artiklan 1 kohdassa tarkoitettu riittävän tietosuojan takaava kolmannen maan järjestelmä,

d)

’alihankkijana toimivalla käsittelijällä’ tietojen tuojan tai jonkin muun alihankkijana toimivan käsittelijän toimeksiannosta toimivaa käsittelijää, joka hyväksyy vastaanottavansa tietojen tuojalta tai joltakin muulta tietojen tuojan alihankkijana toimivalta käsittelijältä henkilötietoja, jotka on siirron jälkeen tarkoitettu ainoastaan käsiteltäviksi tietojen viejän puolesta tämän antamien ohjeiden, lausekkeiden mukaisten edellytysten ja kirjallisen alihankintasopimuksen ehtojen mukaisesti,

e)

’sovellettavalla tietosuojalainsäädännöllä’ lainsäädäntöä, jolla suojataan yksilöiden perusoikeudet ja -vapaudet ja erityisesti näiden yksilöiden oikeus yksityisyyteen henkilötietojen käsittelyssä ja jota sovelletaan rekisterinpitäjään siinä jäsenvaltioissa, johon tietojen viejä on sijoittautunut,

f)

’teknisillä ja organisatorisilla turvatoimilla’ toimenpiteitä, joiden tavoitteena on suojata henkilötietoja tahattomalta tai laittomalta tuhoamiselta, tahattomalta häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai tietoihin pääsyltä erityisesti kun tietoja siirretään verkossa käsittelyn yhteydessä, sekä muulta henkilötietojen laittomalta käsittelytavalta.

Lauseke 2

Siirron yksityiskohdat

Siirron yksityiskohdat, erityisesti tarvittaessa henkilötietojen erityisryhmät, esitetään lisäyksessä 1, joka on näiden lausekkeiden erottamaton osa.

Lauseke 3

Kolmatta osapuolta suojaava edunsaajalauseke

1.

Rekisteröity voi panna täytäntöön tämän lausekkeen, lausekkeen 4 kohdan b–i, lausekkeen 5 kohdan a–e sekä kohdan g–j, lausekkeen 6 kohdan 1 ja 2, lausekkeen 7, lausekkeen 8 kohdan 2 ja lausekkeen 9–12 tietojen viejää vastaan edunsaajana olevan kolmannen osapuolen ominaisuudessa.

2.

Rekisteröity voi panna täytäntöön tämän lausekkeen, lausekkeen 5 kohdan a–e ja g, lausekkeen 6 ja 7, lausekkeen 8 kohdan 2 ja lausekkeen 9–12 tietojen tuojaa vastaan tapauksissa, joissa tietojen viejä on tosiasiallisesti lakkautettu tai lakannut oikeudellisesti olemasta, ellei mahdollinen seuraaja ole ottanut hoitaakseen tietojen viejän kaikkia oikeudellisia velvoitteita sopimuksella tai lain perusteella, minkä tuloksena se ottaa vastaan tietojen viejän oikeudet ja velvoitteet, jolloin rekisteröity voi panna lausekkeet täytäntöön tällaista seuraajaa vastaan.

3.

Rekisteröity voi panna täytäntöön tämän lausekkeen, lausekkeen 5 kohdan a–e ja g, lausekkeen 6 ja 7, lausekkeen 8 kohdan 2 ja lausekkeen 9–12 alihankkijana toimivaa käsittelijää vastaan tapauksissa, joissa sekä tietojen viejä että tietojen tuoja on tosiasiallisesti lakkautettu tai lakannut oikeudellisesti olemasta taikka menettänyt maksukykynsä, ellei mahdollinen seuraaja ole ottanut hoitaakseen tietojen viejän kaikkia oikeudellisia velvoitteita sopimuksella tai lain perusteella, minkä tuloksena se ottaa vastaan tietojen viejän oikeudet ja velvoitteet, jolloin rekisteröity voi panna lausekkeet täytäntöön tällaista seuraajaa vastaan. Tällainen alihankkijana toimivan käsittelijän yksityisoikeudellinen vastuu koskee ainoastaan sen lausekkeiden mukaista omaa käsittelytoimintaa.

4.

Sopimuspuolet eivät vastusta sitä, että rekisteröityä edustaa yhteenliittymä tai muu elin, jos rekisteröity niin nimenomaan haluaa ja jos se on kansallisen lainsäädännön mukaan sallittua.

Lauseke 4

Tietojen viejän velvollisuudet

Tietojen viejä hyväksyy ja takaa, että

a)

henkilötietojen käsittely, mukaan luettuna itse siirto, on suoritettu ja suoritetaan edelleen sovellettavan tietosuojalainsäädännön asiaankuuluvien säännösten mukaisesti (ja siitä on tarvittaessa ilmoitettu sen jäsenvaltion toimivaltaisille viranomaisille, johon tietojen viejä on sijoittautunut), ja ettei siirrolla rikota kyseisen valtion asiaankuuluvia säännöksiä,

b)

tietojen viejä on antanut ohjeet ja antaa koko henkilötietojen käsittelypalvelun kestoajan ohjeita tietojen tuojalle siitä, että tämä käsittelee siirrettyjä henkilötietoja ainoastaan tietojen viejän puolesta ja sovellettavan tietosuojalainsäädännön ja lausekkeiden mukaisesti,

c)

tietojen tuoja antaa riittävät takeet tämän sopimuksen lisäyksen 2 mukaisista teknisistä ja organisatorisista turvatoimista,

d)

sen jälkeen kun sovellettavan tietosuojalainsäädännön mukaiset vaatimukset on arvioitu, kyseisten turvatoimien avulla henkilötiedot voidaan asianmukaisesti suojata tahattomalta tai laittomalta tuhoamiselta, tahattomalta häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai tietoihin pääsyltä erityisesti kun tietoja siirretään verkossa käsittelyn yhteydessä, ja muulta henkilötietojen laittomalta käsittelytavalta, ja että nämä toimet takaavat käsittelyyn liittyviä riskejä ja suojattavien tietojen luonnetta vastaavan turvallisuuden tason, kun otetaan huomioon nykyinen tekninen taso ja toimenpiteiden toteuttamisen kustannukset,

e)

tietojen viejä varmistaa kyseisten turvatoimien noudattamisen,

f)

jos siirto koskee erityisiä tietoryhmiä, rekisteröidyille on ilmoitettu tai ilmoitetaan ennen siirtoa tai mahdollisimman pian sen jälkeen, että niiden tietoja voidaan siirtää kolmanteen maahan, jossa ei taata direktiivissä 95/46/EY tarkoitettua tietosuojan riittävää tasoa,

g)

tietojen viejä toimittaa tietojen tuojalta tai alihankkijana toimivalta käsittelijältä lausekkeen 5 kohdan b ja lausekkeen 8 kohdan 3 mukaisesti saadun tiedon tietosuojaviranomaisille, kun se päättää jatkaa siirtoa tai lopettaa lykkäyksen,

h)

tietojen viejä saattaa rekisteröityjen saataville pyynnöstä jäljennöksen lausekkeista, paitsi lisäyksestä 2, ja yleisen kuvauksen turvatoimista, sekä jäljennöksen mahdollisesta alihankintana suoritettavia käsittelypalveluita koskevasta sopimuksesta, joka on tehtävä lausekkeiden mukaisesti, elleivät lausekkeet tai sopimus sisällä kaupallisia tietoja, jolloin tietojen viejä voi poistaa tällaiset kaupalliset tiedot,

i)

jos käsittely suoritetaan alihankintana, alihankkijana toimiva käsittelijä suorittaa käsittelytoiminnan lausekkeen 11 mukaisesti ja suojaa rekisteröidyn henkilötiedot ja oikeudet vähintään yhtä hyvin kuin tietojen tuoja näiden lausekkeiden mukaisesti, ja

j)

tietojen viejä varmistaa lausekkeen 4 kohdan a–i noudattamisen.

Lauseke 5

Tietojen tuojan velvollisuudet  (2)

Tietojen tuoja hyväksyy ja takaa, että

a)

tietojen tuoja käsittelee henkilötietoja ainoastaan tietojen viejän puolesta tämän antamien ohjeiden ja lausekkeiden mukaisesti, ja jos se ei voi noudattaa näitä ohjeita ja sääntöjä mistä tahansa syystä, se ilmoittaa tästä viipymättä tietojen viejälle, jolloin tietojen viejällä on oikeus lykätä tietojen siirtoa ja/tai irtisanoa sopimus,

b)

tietojen tuojalla ei ole mitään syytä olettaa, että siihen sovellettava lainsäädäntö estäisi tietojen viejältä saatujen ohjeiden noudattamisen ja tietojen tuojalle sopimuksen mukaan kuuluvien velvoitteiden täyttämisen, ja jos kyseistä lainsäädäntöä muutetaan ja muutoksella on todennäköisesti merkittävä haitallinen vaikutus lausekkeilla annettaviin takeisiin ja lausekkeiden mukaisiin velvoitteisiin, tietojen tuoja antaa muutoksen tiedoksi tietojen viejälle viipymättä saatuaan itse tiedon siitä, jolloin tietojen viejällä on oikeus lykätä tietojen siirtoa ja/tai irtisanoa sopimus,

c)

tietojen tuoja on pannut täytäntöön lisäyksessä 2 määritellyt tekniset ja organisatoriset turvatoimet ennen siirrettyjen henkilötietojen käsittelyä,

d)

tietojen tuoja ilmoittaa viipymättä tietojen viejälle seuraavista seikoista:

i)

säännösten täytäntöönpanosta vastaavan viranomaisen oikeudellisesti sitovasta pyynnöstä luovuttaa henkilötietoja, ellei sitä muutoin kielletä esimerkiksi rikoslainsäädännön mukaisella kiellolla lainvalvontaan liittyvien tutkimusten luottamuksellisuuden säilyttämiseksi,

ii)

kaikista tahattomista tai luvattomista pääsyistä tietoihin, ja

iii)

rekisteröidyiltä suoraan saaduista tiedusteluista niihin vastaamatta, ellei siihen muutoin anneta lupaa,

e)

tietojen tuoja hoitaa tietojen viejältä saadut siirrettävien henkilötietojen käsittelyyn liittyvät tiedustelut viipymättä ja asianmukaisesti ja noudattaa siirrettyjen tietojen käsittelyssä valvontaviranomaisen neuvoja,

f)

tietojen tuoja antaa tietojen viejän vaatimuksesta tietojenkäsittelyjärjestelmänsä tarkastettavaksi lausekkeiden piiriin kuuluvien käsittelytoimien osalta. Tarkastuksen suorittaa tietojen viejä tai vaaditun ammattipätevyyden omaavien ja salassapitovelvollisuuden alaisten riippumattomien jäsenten muodostama tarkastuselin, jonka tietojen viejä valitsee mahdollisesti valvontaviranomaisen kanssa,

g)

tietojen tuoja saattaa rekisteröityjen saataville pyynnöstä jäljennöksen lausekkeista sekä jäljennöksen mahdollisesta alihankintana suoritettavia käsittelypalveluita koskevasta sopimuksesta, elleivät lausekkeet tai sopimus sisällä kaupallisia tietoja, jolloin tietojen tuoja voi poistaa tällaiset kaupalliset tiedot, paitsi lisäyksestä 2, joka korvataan yleisellä kuvauksella turvatoimista siinä tapauksessa, että rekisteröity ei pysty saamaan jäljennöstä tietojen viejältä,

h)

tietojen tuoja on ilmoittanut alihankintana suoritettavasta käsittelystä etukäteen tietojen viejälle ja saanut tältä ennakkoon kirjallisen suostumuksen,

i)

alihankkijana toimiva käsittelijä suorittaa käsittelypalvelut lausekkeen 11 mukaisesti,

j)

tietojen tuoja lähettää viipymättä jäljennöksen kaikista lausekkeiden mukaisesti tekemistään alihankintana suoritettavaa käsittelyä koskevista sopimuksista tietojen viejälle.

Lauseke 6

Vastuu

1.

Sopimuspuolet sopivat, että rekisteröidyllä, jolle on koitunut vahinkoa jonkin sopimuspuolen tai alihankkijana toimivan käsittelijän rikottua lausekkeessa 3 tai lausekkeessa 11 tarkoitettuja velvoitteita, on oikeus saada tietojen viejältä korvaus aiheutuneista vahingoista.

2.

Jos rekisteröity ei voi nostaa kohdan 1 mukaista vahingonkorvauskannetta tietojen viejää vastaan, kun tietojen tuoja tai sen alihankkijana toimiva käsittelijä ei ole täyttänyt lausekkeessa 3 tai 11 tarkoitettuja velvoitteitaan, sen vuoksi, että tietojen viejä on tosiasiallisesti lakkautettu, lakannut oikeudellisesti olemasta tai todettu maksukyvyttömäksi, tietojen tuoja hyväksyy, että rekisteröity voi nostaa kanteen tietojen tuojaa vastaan samaan tapaan kuin tietojen viejää vastaan, ellei mahdollinen seuraaja ole ottanut hoitaakseen tietojen viejän kaikkia oikeudellisia velvoitteita sopimuksella tai lain perusteella, jolloin rekisteröity voi panna oikeutensa täytäntöön tällaista seuraajaa vastaan.

Tietojen tuoja ei voi vetäytyä vastuustaan vetoamalla siihen, että alihankkijana toimiva käsittelijä ei ole täyttänyt velvoitteitaan.

3.

Jos rekisteröity ei voi nostaa kohdassa 1 ja 2 tarkoitettua kannetta tietojen viejää tai tietojen tuojaa vastaan, kun alihankkijana toimiva käsittelijä ei ole täyttänyt lausekkeessa 3 tai 11 tarkoitettuja velvoitteitaan, sen vuoksi, että sekä tietojen viejä että tietojen tuoja on tosiasiallisesti lakkautettu, lakannut oikeudellisesti olemasta tai todettu maksukyvyttömiksi, alihankkijana toimiva käsittelijä hyväksyy, että rekisteröity voi nostaa sen lausekkeiden mukaista omaa käsittelytoimintaa koskevan kanteen sitä vastaan samaan tapaan kuin tietojen viejää tai tietojen tuojaa vastaan, ellei mahdollinen seuraaja ole ottanut hoitaakseen tietojen viejän tai tietojen tuojan kaikkia oikeudellisia velvoitteita sopimuksella tai lain perusteella, jolloin rekisteröity voi panna oikeutensa täytäntöön tällaista seuraajaa vastaan. Tällainen alihankkijana toimivan käsittelijän vastuu koskee ainoastaan sen näiden lausekkeiden mukaista omaa käsittelytoimintaa.

Lauseke 7

Sovittelu ja toimivaltainen tuomioistuin

1.

Jos rekisteröity vetoaa kolmannen osapuolen etua suojaavaan oikeuteen ja/tai vaatii vahingonkorvausta lausekkeiden nojalla, tietojen tuoja hyväksyy rekisteröidyn päätöksen

a)

saattaa riita käsiteltäväksi sovittelumenettelyssä, jossa on mukana riippumaton henkilö tai tarvittaessa valvontaviranomainen,

b)

saattaa riita sen jäsenvaltion tuomioistuinten ratkaistavaksi, johon tietojen viejä on sijoittautunut.

2.

Sopimuspuolet sopivat, että rekisteröidyn tekemä valinta ei vaikuta rekisteröidyn oikeuteen hakea tilanteeseen korjausta asiasisällön tai menettelyn osalta kansallisen tai kansainvälisen yksityisoikeuden muiden säännösten mukaisesti.

Lauseke 8

Yhteistyö valvontaviranomaisten kanssa

1.

Tietojen viejä suostuu tallettamaan tämän sopimuksen jäljennöksen valvontaviranomaisen huostaan, jos tämä sitä vaatii tai jos sovellettava tietosuojalainsäädäntö sisältää vaatimuksen tallettamisesta.

2.

Sopimuspuolet sopivat, että valvontaviranomaisella on oikeus tehdä tietojen tuojaan ja kaikkiin alihankkijoina toimiviin käsittelijöihin kohdistuvia tarkastuksia samassa laajuudessa ja samoin edellytyksin kuin se voisi tehdä tietojen viejään kohdistuvia tarkastuksia sovellettavan tietosuojalainsäädännön nojalla.

3.

Tietojen tuoja ilmoittaa viipymättä tietojen viejälle siihen tai johonkin alihankkijana toimivaan käsittelijään sovellettavasta lainsäädännöstä, joka estää tietojen tuojaa tai jotakin alihankkijana toimivaa käsittelijää koskevan, kohdan 2 mukaisen tarkastuksen suorittamisen. Tässä tapauksessa tietojen viejällä on oikeus ryhtyä lausekkeen 5 kohdassa b tarkoitettuihin toimenpiteisiin.

Lauseke 9

Sovellettava laki

Lausekkeisiin sovelletaan sen jäsenvaltion lakia, johon tietojen viejä on sijoittautunut ja joka on …

Lauseke 10

Sopimuksen mukauttaminen

Sopimuspuolet sitoutuvat olemaan mukauttamatta tai muuttamatta lausekkeita. Tämä ei estä sopimuspuolia tarvittaessa lisäämästä lausekkeita yritystoimintaan liittyvistä kysymyksistä, kunhan nämä lausekkeet eivät ole ristiriidassa lausekkeiden kanssa.

Lauseke 11

Alihankintana suoritettava käsittely

1.

Tietojen tuoja ei anna alihankintana suoritettavaksi mitään tietojen viejän puolesta lausekkeiden mukaisesti hoidettavia käsittelytoimintoja ilman tietojen viejän ennakkoon antamaa kirjallista suostumusta. Jos tietojen tuoja antaa näiden lausekkeiden mukaisia velvoitteitaan suoritettaviksi alihankintana tietojen viejän suostumuksella, sen on tehtävä alihankkijana toimivan käsittelijän kanssa kirjallinen sopimus, jossa tälle määrätään samat velvoitteet kuin lausekkeiden nojalla määrätään tietojen tuojalle (3). Jos alihankkijana toimiva käsittelijä ei täytä tällaisen kirjallisen sopimuksen mukaisia tietosuojavelvoitteitaan, tietojen tuoja on edelleen täysimääräisesti vastuussa alihankkijana toimivan käsittelijän tällaisen sopimuksen mukaisten velvoitteiden täyttämisestä suhteessa tietojen viejään.

2.

Ennakkoon tehdyssä tietojen tuojan ja alihankkijana toimivan käsittelijän välisessä kirjallisessa sopimuksessa on myös oltava lausekkeessa 3 määrätty kolmatta osapuolta suojaava edunsaajalauseke niitä tapauksia varten, joissa rekisteröity ei voi nostaa lausekkeen 6 kohdassa 1 tarkoitettua vahingonkorvauskannetta tietojen viejää tai tietojen tuojaa vastaan, koska ne on tosiasiallisesti lakkautettu, ovat lakanneet oikeudellisesti olemasta tai ne on todettu maksukyvyttömiksi, eikä mikään seuraaja ole ottanut hoitaakseen tietojen viejän tai tietojen tuojan kaikkia oikeudellisia velvoitteita sopimuksen tai lain perusteella. Tällainen alihankkijana toimivan käsittelijän yksityisoikeudellinen vastuu koskee ainoastaan sen lausekkeiden mukaista omaa käsittelytoimintaa.

3.

Kohdassa 1 tarkoitetun sopimuksen säännöksiin, jotka koskevat alihankintana suoritettavan käsittelyn tietosuojanäkökohtia, sovelletaan sen jäsenvaltion lakia, johon tietojen viejä on sijoittautunut ja joka on …

4.

Tietojen viejän on pidettävä luetteloa lausekkeiden nojalla tehdyistä, tietojen tuojan lausekkeen 5 kohdan j mukaisesti ilmoittamista alihankintana suoritettavaa käsittelyä koskevista sopimuksista, ja luettelo on saatettava ajan tasalle vähintään kerran vuodessa. Luettelon on oltava tietojen viejän tietosuojavalvontaviranomaisen saatavilla.

Lauseke 12

Tietojen käsittelypalvelujen päättymisen jälkeiset velvoitteet

1.

Sopimuspuolet sopivat, että tietojen käsittelypalvelujen päättymisen jälkeen tietojen tuojan ja alihankkijana toimivan käsittelijän on tietojen viejän valinnan mukaan palautettava kaikki siirretyt henkilötiedot ja jäljennökset näistä tiedoista tietojen viejälle tai hävitettävä kaikki henkilötiedot ja annettava tietojen viejälle todistus tästä, jollei tietojen tuojaan sovellettavalla lainsäädännöllä estetä tietojen tuojaa palauttamasta tai hävittämästä siirrettyjä henkilötietoja kokonaan tai osittain. Siinä tapauksessa tietojen tuoja takaa varmistavansa siirrettyjen henkilötietojen luottamuksellisuuden sekä sen, ettei se enää aktiivisesti käsittele siirrettyjä henkilötietoja.

2.

Tietojen tuoja ja alihankkijana toimiva käsittelijä takaavat, että ne antavat tietojen viejän ja/tai valvontaviranomaisen vaatimuksesta tietojenkäsittelyjärjestelmänsä tarkastettavaksi kohdassa 1 tarkoitettujen toimenpiteiden tarkastusta varten.

Tietojen viejän puolesta:

Nimi (täydellinen): …

Asema: …

Osoite: …

Muut (mahdolliset) tiedot, jotka vaaditaan sopimuksen sitovuuden vahvistamiseksi:

Image

Allekirjoitus …

Tietojen tuojan puolesta:

Nimi (täydellinen): …

Asema: …

Osoite: …

Muut (mahdolliset) tiedot, jotka vaaditaan sopimuksen sitovuuden vahvistamiseksi:

Image

Allekirjoitus …


(1)  Sopimuspuolet voivat mainita direktiivin 95/46/EY sisältämät määritelmät ja niiden selitykset tässä lausekkeessa, jos ne pitävät parempana sitä, että sopimus on itsenäinen kokonaisuus.

(2)  Tietojen tuojaan sovellettavat kansallisen lainsäädännön sisältämät pakolliset vaatimukset, jotka eivät mene pitemmälle kuin on tarpeen demokraattisessa yhteiskunnassa direktiivin 95/46/EY 13 artiklan 1 kohdassa lueteltujen etujen perusteella, toisin sanoen vaatimukset, jotka ovat välttämättömiä, jotta varmistettaisiin valtion turvallisuus, puolustus, yleinen turvallisuus, rikosten tai, säännellyn ammattitoiminnan osalta, ammattietiikan rikkomusten torjunta, tutkinta, selvittäminen ja syyteharkinta, valtion tärkeä taloudellinen tai rahoituksellinen etu tai rekisteröidyn suojelu tai muiden oikeudet ja vapaudet, ja jotka eivät ole ristiriidassa mallisopimuslausekkeiden kanssa. Esimerkkejä tällaisista pakollisista vaatimuksista, jotka eivät mene pitemmälle kuin on tarpeen demokraattisessa yhteiskunnassa, ovat kansainvälisesti tunnustetut pakotteet, raportointivaatimukset verotusta varten ja raportointivaatimukset rahanpesun torjumiseksi.

(3)  Tämä edellytys voidaan täyttää siten, että myös alihankkijana toimiva käsittelijä allekirjoittaa tietojen viejän ja tietojen tuojan tämän päätöksen mukaisesti tekemän sopimuksen.

Lisäys 1

Mallisopimuslausekkeisiin

Tämä lisäys on osa mallisopimuslausekkeita, ja sopimuspuolten on täytettävä ja allekirjoitettava se.

Jäsenvaltiot voivat täydentää tai eritellä kansallisten menettelyjensä mukaisesti tietoja, jotka on tarpeen sisällyttää tähän lisäykseen.

Tietojen viejä

Tietojen viejä (lyhyt kuvaus tiedonsiirtoon liittyvistä tehtävistä):

Tietojen tuoja

Tietojen tuoja (lyhyt kuvaus tiedonsiirtoon liittyvistä tehtävistä):

Rekisteröidyt

Siirrettävät henkilötiedot koskevat seuraavia rekisteröityjen ryhmiä (erittely):

Tietoryhmät

Siirrettävät henkilötiedot koskevat seuraavia tietoryhmiä (erittely):

Erityiset tietoryhmät (tarvittaessa)

Siirrettävät henkilötiedot koskevat seuraavia erityisiä tietoryhmiä (erittely):

Käsittelytoiminnat

Siirretyille henkilötiedoille suoritetaan seuraavat peruskäsittelytoiminnat (erittely):

 

TIETOJEN VIEJÄ

Nimi: …

Valtuutetun henkilön allekirjoitus …

 

TIETOJEN TUOJA

Nimi: …

Valtuutetun henkilön allekirjoitus …

Lisäys 2

Mallisopimuslausekkeisiin

Tämä lisäys on osa mallisopimuslausekkeita, ja sopimuspuolten on täytettävä ja allekirjoitettava se.

Selvitys teknisistä ja organisatorisista turvatoimista, jotka tietojen tuoja on pannut täytäntöön lausekkeen 4 kohdan d ja lausekkeen 5 kohdan c mukaisesti (tai oheistetaan kyseinen asiakirja/lainsäädäntö):

ESIMERKKI VAHINGONKORVAUSLAUSEKKEESTA (VALINNAINEN)

Vastuu

Sopimuspuolet sopivat, että tilanteessa, jossa sopimuspuolen katsotaan olevan vastuussa siitä, että toinen sopimuspuoli on rikkonut sovittuja lausekkeita, viimeksi mainittu sopimuspuoli korvaa oman vastuunsa rajoissa ensin mainitulle sopimuspuolelle aiheutuneet kustannukset, kulut, vahingot, menetykset tai tappiot.

Korvauksen edellytyksenä on se, että

a)

tietojen viejä on antanut kanteen viipymättä tiedoksi tietojen tuojalle ja

b)

tietojen tuojalle on annettu mahdollisuus yhteistyöhön tietojen viejän kanssa puolustuksen ja kanteen käsittelyn osalta (1).


(1)  Vastuita koskeva kohta on valinnainen.