This document is an excerpt from the EUR-Lex website
Document 32004D0915
2004/915/EC: Commission Decision of 27 December 2004 amending Decision 2001/497/EC as regards the introduction of an alternative set of standard contractual clauses for the transfer of personal data to third countries (notified under document number C(2004) 5271)Text with EEA relevance
2004/915/EZ: Odluka Komisije od 27. prosinca 2004. o izmjeni Odluke 2001/497/EZ u pogledu uvođenja alternativnog skupa standardnih ugovornih klauzula za prijenos osobnih podataka u treće zemlje (objavljeno pod brojem dokumenta C(2004) 5271) Tekst značajan za EGP
2004/915/EZ: Odluka Komisije od 27. prosinca 2004. o izmjeni Odluke 2001/497/EZ u pogledu uvođenja alternativnog skupa standardnih ugovornih klauzula za prijenos osobnih podataka u treće zemlje (objavljeno pod brojem dokumenta C(2004) 5271) Tekst značajan za EGP
SL L 385, 29.12.2004, p. 74–84
(ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, NL, PL, PT, SK, SL, FI, SV) Ovaj dokument objavljen je u određenim posebnim izdanjima
(BG, RO, HR)
SL L 306M, 15.11.2008, p. 69–79
(MT)
No longer in force, Date of end of validity: 26/09/2021; Implicitno stavljeno izvan snage 32021D0914
13/Sv. 016 |
HR |
Službeni list Europske unije |
210 |
32004D0915
L 385/74 |
SLUŽBENI LIST EUROPSKE UNIJE |
27.12.2004. |
ODLUKA KOMISIJE
od 27. prosinca 2004.
o izmjeni Odluke 2001/497/EZ u pogledu uvođenja alternativnog skupa standardnih ugovornih klauzula za prijenos osobnih podataka u treće zemlje
(objavljeno pod brojem dokumenta C(2004) 5271)
(Tekst značajan za EGP)
(2004/915/EZ)
KOMISIJA EUROPSKIH ZAJEDNICA,
uzimajući u obzir Ugovor o osnivanju Europske zajednice,
uzimajući u obzir Direktivu 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (1), a posebno njezin članak 26. stavak 4.,
budući da:
(1) |
Radi lakšeg prijenosa podataka iz Zajednice, poželjno je nadzornicima podataka omogućiti globalni prijenos podataka na temelju jedinstvenih pravila za zaštitu podataka. U nedostatku globalnih standarda za zaštitu podataka, standardne ugovorne klauzule omogućavaju prijenos osobnih podataka iz svih država članica prema zajedničkim pravilima. Odluka Komisije 2001/497/EZ od 15. lipnja 2001. o standardnim ugovornim klauzulama za prijenos osobnih podataka u treće zemlje na temelju Direktive 95/46/EZ (2) zato utvrđuje ogledni skup standardnih ugovornih klauzula koji osigurava prikladnu zaštitu za prijenos podataka u treće zemlje. |
(2) |
Od donošenja te Odluke stečeno je veliko iskustvo. Pored toga, koalicija poslovnih udruženja (3) je predložila skup alternativnih standardnih ugovornih klauzula oblikovanih tako da pružaju stupanj zaštite podataka jednak stupnju zaštite koji pruža skup standardnih ugovornih klauzula iz Odluke 2001/497/EZ, ali uporabom drugačijih mehanizama. |
(3) |
S obzirom na to da je uporaba standardnih ugovornih klauzula za međunarodne prijenose podataka dobrovoljna jer su standardne ugovorne klauzule samo jedna od mogućnosti za zakoniti prijenos osobnih podataka na temelju Direktive 95/46/EZ, izvoznici podataka iz Zajednice i uvoznici podataka u treće zemlje moraju imati slobodu u odabiru skupa standardnih ugovornih klauzula ili u odabiru neke druge pravne osnove za prijenos podataka. Kako svaki skup kao cjelina čini jedan model, izvoznicima podataka nije dopušteno mijenjati skupove ili ih, na bilo koji način, u cijelosti ili djelomično, povezivati. |
(4) |
Standardne ugovorne klauzule koje su predložila poslovna udruženja imaju za cilj povećanje uporabe ugovornih klauzula među izvođačima pomoću mehanizama kao što su prilagodljiviji zahtjevi revizije i podrobna pravila o pravu na pristup. |
(5) |
Sada predloženi skup uz to kao alternativu sadrži sustav solidarne i pojedinačne odgovornosti predviđen Odlukom 2001/497/EZ, sustav odgovornosti utemeljen na obvezama dužne pažnje, kako bi izvoznik i uvoznik podataka bili odgovorni za povrede ugovornih obveza prema pojedincima na koje se osobni podaci odnose; izvoznik podataka također je odgovoran ako se u razumnim razmjerima ne potrudi utvrditi može li uvoznik podataka ispuniti svoje pravne obveze na temelju klauzula (culpa in eligendo), a pojedinac na kojeg se osobni podaci odnose može u tom smislu poduzeti mjere protiv izvoznika podataka. Provođenje klauzule I(b) novog skupa standardnih ugovornih klauzula je od posebne važnosti u ovom pogledu, posebno u vezi s mogućnošću izvoznika podataka da na licu mjesta izvrši pregled prostorija uvoznika podataka ili da zahtijeva dokaze o dovoljnim financijskim sredstvima za ispunjavanje obveza. |
(6) |
Pojedinci na koje se odnose osobni podaci imaju pri ostvarivanju prava u korist trećega osiguranu veću uključenost izvoznika podataka u rješavanju žalbi pojedinca na kojeg se odnose osobni podaci, pri čemu je izvoznik podataka obvezan stupiti u kontakt s uvoznikom podataka i izvršiti ugovor u uobičajenom roku od jednog mjeseca, ako je to potrebno. Ako izvoznik podataka odbija izvršiti ugovor i ako uvoznik nastavlja s povredama ugovora, pojedinac na kojeg se odnose osobni podaci može tada izvršiti klauzule protiv uvoznika podataka i tužiti ga u državi članici. Ovo prihvaćanje nadležnosti i dogovor u vezi s poštivanjem odluke nadležnog suda ili tijela za zaštitu podatka ne dovodi u pitanje postupovna prava uvoznika podataka koji imaju poslovni nastan u trećim zemljama, kao što je pravo žalbe. |
(7) |
Međutim, radi sprečavanja zlouporaba ove dodatne prilagodljivosti, prikladno je nadležnim tijelima za zaštitu podataka omogućiti lakšu zabranu ili prekid prijenosa podataka na osnovi novog skupa standardnih ugovornih klauzula u onim slučajevima kada izvoznik podataka odbija poduzeti prikladne mjere za izvršavanje ugovornih obveza protiv uvoznika podataka ili ako potonji odbija u dobroj vjeri s surađivati nadležnim nadzornim tijelima za zaštitu podataka. |
(8) |
Uporaba standardnih ugovornih klauzula ne dovodi u pitanje primjenu nacionalnih odredbi donesenih u skladu s Direktivom 95/46/EZ ili Direktivom 2002/58/EZ Europskog parlamenta i Vijeća u vezi s obradom osobnih podataka i zaštitom privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (4), posebno u vezi s posredovanjem poslovnih komunikacija za potrebe izravne trgovine. |
(9) |
Na temelju toga, mjere zaštite koje su sadržane u predloženim standardnim ugovornim klauzulama mogu se smatrati dostatnima u smislu članka 26. stavka 2. Direktive 95/46/EZ. |
(10) |
Radna skupina o zaštiti pojedinaca s obzirom na obradu osobnih podataka, osnovana na temelju članka 29. Direktive 95/46/EZ, donijela je mišljenje (5) o stupnju zaštite na temelju predloženih standardnih ugovornih klauzula, koje je uzeto u obzir. |
(11) |
Radi ocjene provedbe izmjena Odluke 2001/497/EZ, prikladno je da ih Komisija ocijeni tri godine nakon što su države članice o njima obaviještene. |
(12) |
Odluku 2001/497/EZ treba u skladu s tim izmijeniti. |
(13) |
Mjere predviđene ovom Odlukom u skladu su s mišljenjem Odbora osnovanog na temelju članka 31. Direktive 95/46/EZ, |
DONIJELA JE OVU ODLUKU:
Članak 1.
Odluka 2001/497/EZ mijenja se kako slijedi:
1. |
U članku 1. dodaje se sljedeći stavak: „Nadzornici podataka mogu izabrati bilo koji od skupova I. ili II. iz Priloga koji je tiskan uz ovu Odluku i njezin je sastavni dio. Međutim, ne mogu mijenjati klauzule niti povezivati pojedine klauzule ili skupove.” |
2. |
U članku 4. stavci 2. i 3. zamjenjuju se sljedećim: „2. Za potrebe stavka 1. ovoga članka, kada nadzornik podataka navodi dostatne mjere zaštite na temelju standardnih ugovornih klauzula iz skupa II. Priloga koji je tiskan uz ovu Odluku i njezin je sastavni dio, nadležna tijela za zaštitu podataka imaju pravo koristiti svoje postojeće ovlasti radi zabrane ili obustave prijenosa podataka u bilo kojem od sljedećih slučajeva:
Za potrebe podstavka 1. ovoga stavka, zlonamjerno odbijanje ili odbijanje izvršenja ugovora od strane uvoznika podataka ne uključuje slučajeve u kojima su suradnja ili izvršavanje u suprotnosti s obveznim zahtjevima nacionalnog zakonodavstva važećeg za uvoznika podataka koji ne prelaze ono što je potrebno u demokratskom društvu na temelju jednog od interesa iz članka 13. stavka 1. Direktive 95/46/EZ, posebno sankcije iz međunarodnih i/ili nacionalnih instrumenata, zahtjeve za podnošenje porezne prijave ili zahtjeve izvješćivanjem o borbi protiv pranja novca. Za potrebe podstavka 1. točke (a) ovog stavka, suradnja osobito može uključivati reviziju sredstava obrade podataka uvoznika podataka ili obvezu poštivanja savjeta nadležnog nadzornog tijela u Zajednici. 3. Zabrana ili privremeni prekid u skladu sa stavcima 1. i 2. ovoga članka prestaju važiti kada prestanu postojati razlozi za zabranu ili privremeni prekid. 4. Kada države članice donose mjere u skladu sa stavcima 1., 2. i 3. ovoga članka, one o tome odmah obavješćuju Komisiju koja taj podatak prosljeđuje ostalim državama članicama”. |
3. |
U članku 5. prva rečenica zamjenjuje se sljedećim: „Komisija ocjenjuje provedbu ove Odluke na temelju dostupnih podataka tri godine nakon njezine notifikacije i notifikacije o svakoj njezinoj izmjeni državama članicama.” |
4. |
Prilog se mijenja kako slijedi:
|
Članak 2.
Ova se Odluka primjenjuje od 1. travnja 2005.
Članak 3.
Ova je Odluka upućena državama članicama.
Sastavljeno u Bruxellesu 27. prosinca 2004.
Za Komisiju
Charlie McCREEVY
Član Komisije
(1) SL L 281, 23.11.1995., str. 31. Direktiva kako je zadnje izmijenjena Uredbom (EZ-a) br. 1883/2003 (SL L 284, 31.10.2003., str. 1.).
(2) SL L 181, 4.7.2001., str. 19.
(3) Međunarodna trgovinska komora (ICC), Japansko poslovno vijeće u Europi (JBCE), Europsko udruženje informacijske i komunikacijske tehnologije (EICTA), EU odbor Američke trgovinske komore u Belgiji (Amcham), Konfederacija britanske industrije (CBI), Međunarodni komunikacijski okrugli stol (ICRT) i Federacija europskih udruženja izravnog marketinga (FEDMA).
(4) SL L 201, 31.7.2002., str. 37.
(5) Mišljenje br. 8/2003, dostupno na: http://europa.eu.int/comm/privacy
PRILOG
„
SKUP II.
Standardne ugovorne klauzule za prijenos osobnih podataka iz Zajednice u treće zemlje (prijenosi od nadzornika do nadzornika)
Sporazum o prijenosu podataka
između
… (naziv)
… (adresa i država poslovnog nastana)
u daljnjem tekstu ‚izvoznik podataka’)
i
… (naziv)
… (adresa i država poslovnog nastana)
u daljnjem tekstu ‚uvoznik podataka’
pojedinačno ‚stranka’; zajedno ‚stranke’.
Pojmovi
Za potrebe klauzula:
(a) |
pojmovi ‚osobni podaci’, ‚posebne kategorije podataka/podaci osjetljive prirode’, ‚postupak/obrada’, ‚nadzornik’, ‚obrađivač’, ‚pojedinac na kojeg se odnose osobni podaci’ i ‚nadzorno nadležno tijelo’ imaju jednako značenje kao u Direktivi 95/46/EZ od 24. listopada 1995. (gdje ‚nadležno tijelo’ znači nadležno tijelo za zaštitu podataka na području na kojem izvoznik podataka ima poslovni nastan); |
(b) |
‚izvoznik podataka’ je nadzornik koji prenosi osobne podatke; |
(c) |
‚uvoznik podataka’ je nadzornik koji je suglasan s tim da od izvoznika podataka zaprimi osobne podatke radi daljnje obrade u skladu s uvjetima ovih klauzula te koji ne podliježe sustavu treće zemlje za osiguranjem dostatne zaštite; |
(d) |
‚klauzule’ su ugovorne klauzule koje predstavljaju samostalni dokument koji ne uključuje trgovačke i poslovne uvjete što su ih stranke odredile u posebnim trgovačkim sporazumima. |
Podrobnosti prijenosa (kao i obuhvaćeni osobni podaci) navedene su u Prilogu B, koji je sastavni dio klauzula.
I. Obveze izvoznika podataka
Izvoznik podataka jamči i obvezuje se da:
(a) |
su osobni podaci prikupljeni, obrađeni i preneseni u skladu sa zakonima koji važe za izvoznika podataka; |
(b) |
je poduzeo razumne napore kako bi utvrdio je li uvoznik podataka u mogućnosti ispuniti svoje pravne obveze iz ovih klauzula; |
(c) |
uvozniku podataka osigura preslike mjerodavnih zakona o zaštiti podataka ili upute na njih (gdje je potrebno i ne uključujući pravni savjet) one države u kojoj izvoznik podataka ima poslovni nastan; |
(d) |
odgovori na upite pojedinaca na koje se osobni podaci odnose i na upite nadležnih tijela u vezi s obradom osobnih podataka koju obavlja uvoznik podataka, osim ako su se stranke dogovorile da odgovara uvoznik; u tom slučaju izvoznik odgovora u razumno mogućoj mjeri i s dostupnim podacima ako uvoznik ne želi ili nije u mogućnosti odgovoriti. Odgovori se dostavljaju u razumnom roku; |
(e) |
pojedincima na koje se osobni podaci odnose i koji prema klauzuli III imaju korist trećega, na zahtjev dostavi preslike klauzula, osim ako klauzule sadrže povjerljive podatke; u tom slučaju ima pravo ukloniti takve podatke. Ako su podaci uklonjeni, izvoznik podataka pojedince na koje se osobni podaci odnose pisanim putem obavješćuje o razlogu uklanjanja i njihovom pravu da o tome obavijeste nadležna tijela. Međutim, izvoznik podataka dužan je postupiti prema odluci nadležnog tijela u vezi s pristupom pojedinaca na koje se osobni podaci odnose punom tekstu klauzula, sve dok pojedinci na koje se osobni podaci odnose poštuju povjerljivost uklonjenih povjerljivih podataka. Izvoznik podataka dostavlja presliku klauzula nadležnom tijelu prema potrebi. |
II. Obveze uvoznika podataka
Uvoznik podataka jamči i obvezuje se na sljedeće:
(a) |
postojanje prikladnih tehničkih i organizacijskih mjera za zaštitu osobnih podataka od slučajnog ili nezakonitog uništavanja ili slučajnog gubitka, promjene, nedozvoljenog otkrivanja ili pristupa, koje pružaju stupanj zaštite primjeren riziku što ga obrada i priroda zaštićenih podataka predstavljaju; |
(b) |
postojanje postupaka koji će osigurati da bilo koja treća strana kojoj omogući pristup osobnim podacima poštuje i održava povjerljivost i sigurnost osobnih podataka. Svaka osoba koja djeluje pod nadzorom uvoznika podataka, uključujući obrađivača podataka, obvezna je obrađivati osobne podatke samo po nalogu uvoznika podataka. Ova se odredba ne primjenjuje na osobe koje zakon ili drugi propis ovlašćuje ili od njih zahtijeva da imaju pristup osobnim podacima; |
(c) |
kako nema razloga sumnjati, u trenutku prihvaćanja ovih klauzula, u postojanje bilo kakvih lokalnih propisa koji bi imali značajan suprotni učinak na jamstva predviđena ovim klauzulama te da će izvoznika podataka (koji takve obavijesti prosljeđuje nadležnim tijelima prema potrebi) obavijestiti ako uoči postojanje takvih zakona; |
(d) |
obradu osobnih podataka za potrebe iz Priloga B te da ima pravno ovlaštenje za davanje jamstva i da će ispunjavati obveze utvrđene ovim klauzulama; |
(e) |
izvozniku podataka dostaviti podatke o osobi za kontakt u svojoj organizaciji koja je nadležna za odgovore na upite u vezi s obradom osobnih podataka i za suradnju u dobroj vjeri i u razumnom roku, s izvoznikom podataka, pojedincima na koje se osobni podaci odnose i nadležnim tijelima u vezi sa svim upitima takve vrste. U slučaju prestanka djelovanja izvoznika podataka, ili ako su se stranke tako dogovorile, uvoznik podataka preuzima odgovornost za postupanje prema odredbama klauzule I(e); |
(f) |
izvozniku podataka, na njegov zahtjev, pružiti dokaze o financijskim sredstvima dovoljnim za ispunjavanje svojih obveza na temelju klauzule III (što može uključivati pokriće osiguranjem); |
(g) |
na razumni zahtjev izvoznika podataka omogućiti izvozniku podataka (ili bilo kojem nezavisnom ili nepristranom inspekcijskom tijelu ili revizoru, izabranom od strane izvoznika podataka i na koje uvoznik podataka nema razumne primjedbe) pregled, reviziju i/ili odobravanje svojih sredstava za obradu podataka, podataka i potrebne dokumentacije radi utvrđivanja usuglašenosti s jamstvima i preuzetim obvezama u ovim klauzulama, s prikladnom najavom i tijekom redovnog radnog vremena. Ovaj zahtjev podliježe svakom potrebnom pristanku ili odobrenju regulatornog ili nadzornog nadležnog tijela u državi uvoznika podataka, čiji pristanak ili odobrenje će uvoznik podataka pokušati pravovremeno dobiti; |
(h) |
obradu osobnih podataka, po svom izboru, u skladu sa:
|
(i) |
da osobne podatke neće otkrivati ni prenositi nadzorniku podataka treće strane smještenom izvan Europskog gospodarskog prostora (EGP-a), a da o prijenosu ne obavijesti izvoznika, osim ako:
|
III. Odgovornost i prava trećih stranaka
(a) |
Svaka stranka je ostalim strankama odgovorna za štetu koju učini bilo kakvim povredom ovih klauzula. Odgovornost među strankama je ograničena na stvarnu počinjenu štetu. Dodatna odšteta (tj. obeštećivanje s namjerom kažnjavanja stranke zbog neprimjerenog postupanja) je izrijekom isključena. Svaka je stranka pojedincima na koje se osobni podaci odnose odgovorna za štetu koju prouzroči povredom prava trećih na temelju ovih klauzula. To ne utječe na odgovornost izvoznika podataka prema pravu o zaštiti podataka; |
(b) |
Stranke su suglasne da pojedinac na kojeg se osobni podaci odnose kao treća strana ima pravo provesti ove klauzule i klauzule I(b), I(d), I(e), II(a), II(c), II(d), II(e), II(h), II(i), III(a), V, VI(d) i VII protiv uvoznika ili izvoznika podataka zbog njihovih povreda ugovornih obveza, s obzirom na njegove osobne podatke i u tu svrhu prihvaća nadležnost države u kojoj izvoznik podataka ima poslovni nastan. Ako postoji sumnja o povredama od strane uvoznika podataka, pojedinac na kojeg se osobni podaci odnose, prvo od izvoznika podataka mora zahtijevati da poduzme primjerene mjere protiv uvoznika podataka radi ostvarenja svojih prava; ako izvoznik podataka ne poduzme takve mjere u razumnom roku (koji bi u uobičajenim okolnostima bilo jedan mjesec), pojedinac na kojeg se osobni podaci odnose tada može zaštitu svojih prava potraživati izravno od uvoznika podataka. Pojedinac na kojeg se osobni podaci odnose ima pravo postupiti izravno protiv izvoznika podataka koji nije uložio razuman trud da odredi je li uvoznik podataka u mogućnosti ispuniti svoje pravne obveze prema ovim klauzulama (teret dokaza o tome da je uložen razuman trud snosi izvoznik podataka). |
IV. Pravo koje se primjenjuje na klauzule
Ove su klauzule uređene zakonodavstvom države u kojoj izvoznik podataka ima poslovni nastan, s izuzetkom zakona i propisa koji se odnose na obradu osobnih podataka od strane uvoznika podataka na temelju klauzule II(h), koji važe samo u slučaju ako je uvoznik podataka tako odlučio prema toj klauzuli.
V. Rješavanje sporova s pojedincima na koje se osobni podaci odnose ili nadležnim tijelima
(a) |
U slučaju spora ili zahtjeva pojedinca na kojeg se osobni podaci odnose ili nadležno tijelo u vezi s obradom osobnih podataka povezanih s bilo kojom ili obje stranke, stranke se međusobno obavješćuju o svim takvim sporovima ili zahtjevima i surađuju imajući u vidu pravovremeno rješavanje sporova mirnim putem; |
(b) |
Stranke su suglasne odazvati se svakom općenito dostupnom neobvezujućem postupku posredovanja koji pokrene pojedinac na kojeg se osobni podaci odnose ili nadležno tijelo. Ako sudjeluju u postupku, stranke mogu izabrati sudjelovanje na daljinu (putem telefona ili elektronskim putem). Stranke su suglasne razmotriti sudjelovanje u bilo kojoj drugoj arbitraži, posredovanju ili ostalim postupcima rješavanja sporova koji se koriste za sporove u vezi sa zaštitom podataka; |
(c) |
Svaka stranka poštuje odluku nadležnog suda države u kojoj izvoznik podataka ima poslovni nastan ili nadležnog tijela, koja je konačna i protiv koje se ne može izjaviti žalba. |
VI. Prestanak
(a) |
U slučaju da je uvoznik podataka povrijedio svoje obveze prema ovim klauzulama, izvoznik podataka može uvozniku podataka privremeno obustaviti prijenos osobnih podataka dok se povreda ne ispravi ili ugovor ne raskine. |
(b) |
U slučaju:
tada izvoznik podataka, ne dovodeći u pitanje ostala prava koja može imati nad uvoznikom podataka, ima pravo raskinuti ove klauzule, u slučaju čega prema potrebi obavješćuje nadležna tijela. U slučajevima i., ii. ili iv. klauzule može raskinuti i uvoznik podataka; |
(c) |
Bilo koja stranka može raskinuti ove klauzule u slučaju da i. Komisija donese bilo koju odluku na temelju članka 25. stavka 6. Direktive 95/46/EZ (ili bilo kojeg nadomjesnog teksta) u vezi s državom (ili njezinim područjem) u kojoj uvoznik podataka prenosi i obrađuje podatke, ili ii. Direktiva 95/46/EZ (ili bilo koji nadomjesni tekst) postane neposredno primjenjiva u toj državi; |
(d) |
Stranke su suglasne da ih raskid klauzula bilo kada, u bilo kojim okolnostima i zbog bilo kojeg razloga (osim prekida na temelju klauzule VI(c)) ne oslobađa odgovornosti i/ili uvjeta pod klauzulama koji se odnose na obradu prenesenih osobnih podataka. |
VII. Izmjene ovih klauzula
Stranke ne smiju mijenjati ove klauzule osim radi upotpunjavanja bilo kojih podataka u Prilogu B, pri čemu prema potrebi obavješćuju nadležna tijela. Ovo ne isključuje eventualno dodavanje dodatnih trgovačkih klauzula.
VIII. Opis prijenosa
Podrobnosti prijenosa i osobnih podataka su navedene u Prilogu B. Stranke su suglasne da Prilog B može sadržavati povjerljive poslovne podatke koje neće otkrivati trećima, osim ako to ne zahtijeva zakon ili kao odgovor nadležnom nadzornom tijelu ili vladinoj agenciji, ili ako to zahtijeva klauzula I(e). Stranke mogu uporabiti dodatne priloge radi obuhvaćanja dodatnih prijenosa, koji će prema potrebi biti podneseni nadležnom tijelu. Prilog B može, alternativno, biti sastavljen tako da obuhvaća višestruke prijenose.
Datum: … |
|
… |
… |
ZA UVOZNIKA PODATAKA |
ZA IZVOZNIKA PODATAKA |
… |
… |
… |
… |
… |
… |
PRILOG A
NAČELA OBRADE PODATAKA
1. |
Ograničavanje svrhe: Osobni podaci mogu biti obrađeni i kasnije uporabljeni ili dalje isporučeni samo za potrebe iz Priloga B ili naknadno odobrene od strane pojedinca na kojeg se osobni podaci odnose. |
2. |
Kvaliteta podataka i razmjernost: Osobni podaci moraju biti točni i, prema potrebi, upotpunjeni. Osobni podaci moraju biti dostatni, bitni i nepretjerani u odnosu na svrhu za koju se prenose i dalje obrađuju. |
3. |
Preglednost: Pojedinci na koje se osobni podaci odnose moraju raspolagati potrebnim podacima radi osiguranja pravilne obrade (kao što su podaci o svrsi obrade i o prijenosu), osim ako su takve podatke dobili od izvoznika podataka. |
4. |
Sigurnost i povjerljivost: Nadzornici podataka moraju poduzeti tehničke i organizacijske mjere primjerene za sigurnost osobnih podataka od slučajnog ili nezakonitog uništavanja podataka ili slučajnog gubitka, promjene, neovlaštenog otkrivanja ili pristupa koji se javljaju pri obradi. Osobe koje su pod nadzorom nadzornika podataka, uključujući obrađivače, ne smiju obrađivati podatke, osim po naredbi nadzornika podataka. |
5. |
Prava pristupa, ispravljanja, brisanja i primjedbi: Kako je predviđeno člankom 12. Direktive 95/46/EZ, pojedincima na koje se osobni podaci odnose izravno ili preko treće strane moraju biti pruženi osobni podaci koje organizacija o njima posjeduje, osim za zahtjeve koji su očito neprimjereni, temeljeni na nerazumnim rokovima ili njihovom broju, ili se ponavljaju, ili do kojih je pristup onemogućen prema zakonodavstvu države izvoznika podataka. Pristup ne mora biti odobren u slučaju da su nadležna tijela prethodno dala dopuštenje, ako postoji mogućnost stvarnog ugrožavanja interesa uvoznika podataka ili ostalih organizacija koje posluju s uvoznikom podataka i takvi interesi nisu manje važni od interesa osnovnih prava i sloboda pojedinca na kojeg se osobni podaci odnose. Izvori osobnih podataka ne moraju biti navedeni kada to nije moguće uz razumni napor ili kada bi bila ugrožena prava ostalih osoba. Pojedinci na koje se osobni podaci odnose moraju imati mogućnost da se njihovi osobni podaci isprave, izmijene ili izbrišu ako su netočni ili obrađeni protivno ovim načelima. Ako postoje značajni temelji za sumnju u zakonitost zahtjeva, organizacija može zahtijevati daljnja opravdanja prije nego što nastavi s ispravcima, izmjenama ili brisanjem podataka. Nije nužno obavijestiti treće strane kojima su podaci o ispravcima, izmjenama ili brisanju podataka otkriveni ako to uključuje nerazmjeran napor. Pojedinac na kojeg se osobni podaci odnose mora biti u mogućnosti prigovoriti zbog obrade osobnih podataka koji se odnose na njega ako postoje značajni zakonski temelji koji se odnose na njegovu posebnu situaciju. Teret dokaza za bilo kakvo odbijanje snosi uvoznik podataka, pojedinac na kojeg se osobni podaci odnose tome uvijek može prigovoriti pred nadležnim tijelom. |
6. |
Podaci osjetljive prirode: Uvoznik podataka u skladu sa svojim obvezama prema klauzuli II poduzima dodatne mjere (npr. koje se odnose na sigurnost) koje su potrebne za zaštitu takvih podataka osjetljive prirode. |
7. |
Podaci koji se koriste za svrhe trgovine: Kada se podaci obrađuju za potrebe izravne trgovine, moraju postojati učinkoviti postupci koji pojedincu na kojeg se osobni podaci odnose dopuštaju da isključi svoje podatke koji se koriste u te svrhe. |
8. |
Automatizirane odluke: Za potrebe ovoga, ‚automatizirana odluka’ jest odluka izvoznika podataka ili uvoznika podataka koja ima pravni učinak u vezi s pojedincem na kojeg se osobni podaci odnose ili značajno utječe na pojedinca na kojeg se osobni podaci odnose i koja se temelji isključivo na automatiziranoj obradi osobnih podataka namijenjenih procjeni njegovih određenih osobnih aspekata, kao što su uspješnost na radnom mjestu, kreditna sposobnost, pouzdanost, ponašanje itd. Uvoznik podataka neće donositi automatizirane odluke koje se odnose na pojedinca na kojeg se osobni podaci odnose, osim kada:
|
PRILOG B
OPIS PRIJENOSA
(Ispunjavaju stranke)
Pojedinci na koje se osobni podaci odnose
Preneseni osobni podaci odnose se na sljedeće kategorije pojedinaca na koje se osobni podaci odnose:
…
…
…
…
Svrhe prijenosa
Prijenos se obavlja u sljedeće svrhe:
…
…
…
…
Kategorije podataka
Preneseni osobni podaci odnose se na sljedeće kategorije podataka:
…
…
…
…
Primatelji
Preneseni podaci se mogu otkriti samo sljedećim primateljima ili kategorijama primatelja:
…
…
…
Podaci osjetljive prirode (prema potrebi)
Preneseni osobni podaci odnose se na sljedeće kategorije podataka osjetljive prirode:
…
…
…
…
Registracijski podaci izvoznika podataka o zaštiti podataka (prema potrebi)
…
…
Dodatni korisni podaci (kapaciteti pohrane i ostali bitni podaci)
…
…
Kontakti za upite u vezi sa zaštitom podataka
Uvoznik podataka |
Izvoznik podataka |
… |
… |
… |
… |
… |
… |
OGLEDNE TRGOVAČKE KLAUZULE (NEOBVEZNO)
Naknada štete između izvoznika podataka i uvoznika podataka:
‚Stranke se međusobno obeštećuju i preuzimaju odgovornost za troškove, štete ili gubitke koje su uzrokovale jedna drugoj kao povredu bilo koje odredbe ovih klauzula. Naknada štete nadalje ovisi o tome da (a) stranka/e koje treba obeštetiti (‚obeštećenik’) bez zadrške obavijeste druge stranke (‚obeštećivače’) o potraživanju; (b) stranke koje plaćaju odštetu imaju potpuni nadzor nad obranom i rješavanjem svih sporova; i (c) oštećene stranke pružaju razumnu suradnju i pomoć strankama koje plaćaju odštetu u obrani od takvih potraživanja.’
Rješavanje sporova između izvoznika podataka i uvoznika podataka (stranke, naravno, mogu koristiti bilo koji drugi mehanizam rješavanja sporova ili klauzulu sudske nadležnosti):
‚U slučaju spora između izvoznika podataka i uvoznika podataka koji se odnosi na bilo koju povredu bilo koje odredbe ovih klauzula; takvi se sporovi konačno rješavaju prema arbitražnim pravilima Međunarodne trgovinske komore putem jednog ili više arbitara imenovanih u skladu s navedenim pravilima. Mjesto arbitraže je []. Broj arbitara je [].’
Namjena troškova:
‚Svaka stranka izvršava svoje obveze prema ovim klauzulama o svom trošku.’
Dodatna klauzula o raskidu:
‚U slučaju raskida ovih klauzula, uvoznik podataka mora smjesta vratiti sve osobne podatke i sve preslike osobnih podataka podložne ovim klauzulama izvozniku podataka, ili ovisno o izboru izvoznika podataka, mora uništiti sve njihove preslike i potvrditi izvozniku podataka da je to učinjeno, osim ako uvozniku podataka njegovo nacionalno zakonodavstvo ili regulatorna agencija brane uništiti podatke ili vratiti sve ili dio tih podataka, u slučaju čega se podaci čuvaju kao povjerljivi i ne obrađuju se aktivno ni u koju svrhu. Uvoznik podataka se slaže da će, ako tako zahtijeva izvoznik podataka, dopustiti izvozniku podataka ili inspekcijskom agentu kojeg je izabrao izvoznik podataka i na kojeg uvoznik nema razumne primjedbe, pristup svojim sredstvima radi provjere da je to učinjeno, uz razumnu najavu i tijekom radnog vremena.’
”
(1) ‚Odgovarajuće odredbe’ su odredbe bilo koje autorizacije ili odluke osim za provedbene odredbe bilo koje autorizacije ili odluke (kojima upravljaju ove klauzule).
(2) Međutim, odredbe Priloga A5 koje se odnose na pristup, ispravljanje, brisanje i primjedbe, moraju se primijeniti kada je ta opcija izabrana i imaju prednost pred bilo kojim usporedivim odredbama izabrane odluke Komisije.