13/Sv. 051 |
HR |
Službeni list Europske unije |
31 |
32001D0497
L 181/19 |
SLUŽBENI LIST EUROPSKE UNIJE |
15.06.2001. |
ODLUKA KOMISIJE
od 15. lipnja 2001.
o standardnim ugovornim klauzulama za prijenos osobnih podataka u treće zemlje, u skladu s Direktivom 95/46/EZ
(objavljeno u skladu s dokumentom broj C(2001) 1539)
(Tekst značajan za EGP)
(2001/497/EZ)
KOMISIJA EUROPSKIH ZAJEDNICA,
uzimajući u obzir Ugovor o osnivanju Europske zajednice,
uzimajući u obzir Direktivu 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (1), a posebno njezin članak 26. stavak 4.,
budući da:
(1) |
Države članice, u skladu s Direktivom 95/46/EZ obvezne su predvidjeti da se iznošenje osobnih podataka u treće zemlje može izvršiti samo ako treća zemlja o kojoj se radi osigurava odgovarajuću razinu zaštite podataka i ako se prije iznošenja podataka poštuju propisi država članica koji su u skladu s ostalim odredbama Direktive. |
(2) |
Međutim, članak 26. stavak 2. Direktive 95/46/EZ određuje da države članice mogu odobriti, u skladu s određenim zaštitnim mjerama, iznošenje ili niz iznošenja osobnih podataka u treće zemlje koje nemaju osiguranu prikladnu razinu zaštite. Takve zaštitne mjere mogu se posebno ostvariti putem primjene odgovarajućih ugovornih klauzula. |
(3) |
U skladu s Direktivom 95/46/EZ razina zaštite podataka treba se ocijeniti u svjetlu svih okolnosti koje se odnose na aktivnost iznošenja podataka ili niz aktivnosti iznošenja podataka. Radna skupina za zaštitu pojedinaca u pogledu obrade osobnih podataka osnovana prema toj Direktivi (2) objavila je smjernice radi olakšavanja te ocjene (3). |
(4) |
Članak 26. stavak 2. Direktive 95/46/EZ, koji omogućuje fleksibilnost organizacije koja želi iznijeti podatke u treće zemlje i članak 26. stavak 4., koji određuje standardne ugovorne klauzule, ključni su za održavanje potrebnog protoka osobnih podataka između Zajednice i trećih zemalja bez nepotrebnih tereta za gospodarske subjekte. Ti su članci posebno važni s obzirom na činjenicu da Komisija vjerojatno neće donijeti nalaz o adekvatnosti u skladu s člankom 25. stavkom 6., osim kratkoročno ili čak srednjoročno za točno određen broj država. |
(5) |
Standardne ugovorne klauzule samo su jedna od nekoliko mogućnosti, prema Direktivi 95/46/EZ, zajedno s člankom 25. i člankom 26. stavcima 1. i 2., zakonitog iznošenja osobnih podataka u treće zemlje. Organizacijama će biti jednostavnije iznositi osobne podatke u treće zemlje unošenjem standardnih ugovornih klauzula u ugovor. Standardne ugovorne klauzule odnose se samo na zaštitu podataka. Iznositelj podataka i primatelj podataka slobodno uključuju sve druge klauzule poslovne prirode, kao što su klauzule o uzajamnoj pomoći u slučajevima sporova s ispitanicima ili nadzornim tijelom, koje oni smatraju primjerenima za ugovor dokle god one nisu u suprotnosti sa standardnim ugovornim klauzulama. |
(6) |
Ova Odluka treba biti bez utjecaja na nacionalna ovlaštenja koja države članice mogu odobriti u skladu s odredbama nacionalnog prava kojima se primjenjuje članak 26. stavak 2. Direktive 95/46/EZ. Okolnosti posebnih slučajeva iznošenja podataka mogu zahtijevati da voditelji zbirki osobnih podataka osiguraju različite zaštitne mjere u smislu članka 26. stavka 2. Ova Odluka, u svakom slučaju, ima samo učinak postavljanja zahtjeva državama članicama da ne odbiju priznati, kao osiguranje odgovarajuće razine zaštite, ugovorne klauzule iz ove Odluke, te stoga nema učinak na druge ugovorne klauzule. |
(7) |
Područje primjene ove Odluke ograničeno je na utvrđivanje da voditelji zbirki osobnih podataka osnovani u Zajednici mogu koristiti klauzule iz Priloga radi uvođenja dostatnih zaštitnih mjera u smislu članka 26. stavka 2. Direktive 95/46/EZ. Iznošenje osobnih podataka u treće zemlje je aktivnost obrade podataka u državi članici, čija je zakonitost podložna nacionalnom pravu. Nadzorna tijela država članica nadležna za zaštitu podataka, prilikom izvršenja njihovih funkcija i ovlaštenja u skladu s člankom 28. Direktive 95/46/EZ, trebaju ostati nadležna za ocjenjivanje je li iznositelj podataka postupao sukladno odredbama nacionalnog prava kojima se primjenjuju odredbe Direktive 95/46/EZ, a posebno sukladno bilo kojim posebnim pravilima u pogledu obveze pružanja informacija prema toj Direktivi. |
(8) |
Ova se Odluka ne odnosi na iznošenje osobnih podataka od strane voditelja zbirki osobnih podataka osnovanih u Zajednici primateljima osnovanima izvan područja Zajednice koji djeluju samo kao izvršitelji obrade. Takve aktivnosti iznošenja podataka ne zahtijevaju iste zaštitne mjere budući da izvršitelj obrade djeluje isključivo u ime voditelja zbirke osobnih podataka. Komisija namjerava regulirati tu vrstu iznošenja podataka naknadnom odlukom. |
(9) |
Prikladno je odrediti najmanju količinu informacija koje ugovorne stranke moraju navesti u ugovoru koji se odnosi na iznošenje podataka. Države članice trebaju zadržati pravo da odrede informacije koje su ugovorne stranke dužne pružiti. Primjena ove Odluke treba se ispitati u svjetlu iskustva. |
(10) |
Komisija će u budućnosti također razmotriti pružaju li standardne ugovorne klauzule koje podnose poslovne organizacije ili druge zainteresirane strane odgovarajuću razinu zaštite u skladu s Direktivom 95/46/EZ. |
(11) |
Iako ugovorne stranke trebaju biti slobodne prilikom ugovaranja materijalno-pravnih odredaba o zaštiti podataka koje primatelj podataka mora poštovati, postoje određena načela zaštite podataka koja se, u svakom slučaju, trebaju primjenjivati. |
(12) |
Podaci se trebaju obrađivati i nakon toga koristiti ili prosljeđivati samo za određene potrebe i ne trebaju se čuvati duže nego što je to potrebno. |
(13) |
U skladu s člankom 12. Direktive 95/46/EZ ispitanik treba imati pravo na uvid u sve podatke koji se na njega odnose i, na odgovarajući način, pravo na izmjenu, brisanje ili blokiranje određenih podataka. |
(14) |
Daljnja iznošenja osobnih podataka drugom voditelju zbirke osobnih podataka u trećoj zemlji trebaju biti dopuštena samo pod određenim uvjetima, posebno kako bi se osiguralo da ispitanici primaju prave informacije i imaju mogućnost prigovora ili da u određenim slučajevima uskrate odobrenja. |
(15) |
Pored ocjenjivanja jesu li iznošenja podataka u treće zemlje u skladu s odredbama nacionalnog prava, nadzorna tijela trebaju imati ključnu ulogu u ovom ugovornom mehanizmu kako bi osigurala da su osobni podaci prikladno zaštićeni nakon iznošenja. Pod posebnim okolnostima, nadzorna tijela država članica trebaju zadržati pravo na zabranu ili obustavu iznošenja podataka ili niza iznošenja podataka koja se temelje na standardnim ugovornim klauzulama u onim iznimnim slučajevima kad se utvrdi da će iznošenje podataka na temelju ugovora vjerojatno bitno štetno utjecati na jamstva osiguranja prikladne zaštite dane ispitaniku. |
(16) |
Standardne ugovorne klauzule ne trebaju provoditi samo organizacije koje su ugovorne stranke ugovora, nego i ispitanici, posebno u slučajevima kad ispitanici pretrpe štetu kao posljedicu povrede odredbi ugovora. |
(17) |
Mjerodavno pravo za ugovor treba biti pravo države članice u kojoj je osnovan iznositelj podataka, kako bi se trećoj ovlaštenoj strani omogućilo da osigura provedbu ugovora. Ispitanicima se treba omogućiti da ih se zastupa putem udruga ili drugih tijela, ako to žele i ako je to dopušteno prema nacionalnom pravu. |
(18) |
Radi umanjenja praktičnih poteškoća koje ispitanici mogu prilikom pokušaja ostvarivanja njihovih prava prema standardnim ugovornim klauzulama, iznositelj podataka i primatelj podataka trebaju biti solidarno i pojedinačno odgovorni za štetu koja proizlazi iz bilo koje povrede tih odredaba koje su obuhvaćene klauzulom o pravima trećih strana. |
(19) |
Ispitanik ima pravo poduzeti radnje i primiti od iznositelja podataka, primatelja podataka ili od oboje, naknadu bilo koje štete koja proizlazi iz bilo koje radnje koja nije u skladu s obvezama sadržanima u standardnim ugovornim klauzulama. Obje ugovorne stranke mogu biti izuzete od te odgovornosti ako dokažu da nijedna od njih nije odgovorna. |
(20) |
Solidarna i pojedinačna odgovornost ne odnosi se na one odredbe koje nisu obuhvaćene klauzulom o pravima trećih i da ne treba odrediti da jedna ugovorna strana nadoknađuje štetu koja proizlazi iz nezakonite obrade podataka od strane druge ugovorne stranke. Iako uzajamna naknada štete između ugovornih strana nije uvjet za dostatnost razine zaštite ispitanika i stoga može biti izbrisana, ona je uključena u standardne ugovorne klauzule radi pojašnjenja i radi izbjegavanja potrebe da ugovorne stranke posebno pregovaraju o odredbama o naknadi štete. |
(21) |
U slučaju spora između ugovornih strana i ispitanika koji se ne može riješiti mirnim putem i u slučajevima kad se ispitanik poziva na klauzulu o pravima trećih, ugovorne stranke su suglasne omogućiti ispitaniku da izabere između posredovanja, arbitraže ili sudskog postupka. Mjera u kojoj će ispitanik imati stvarno pravo na izbor ovisit će o dostupnosti pouzdanih i priznatih sustava posredovanja i arbitraže. Posredovanje od strane nadzornih tijela države članice treba predstavljati jednu od mogućnosti kad ta tijela pružaju takvu uslugu. |
(22) |
Radna skupina za zaštitu pojedinaca u pogledu obrade osobnih podataka, koja je osnovana prema članku 29. Direktive 95/46/EZ, dostavila je mišljenje o razini zaštite osigurane prema standardnim ugovornim klauzulama navedenima u Prilogu ove Odluke, koje je uzeto u obzir prilikom pripremanja ove Odluke (4). |
(23) |
Mjere predviđene ovom Odlukom u skladu su s mišljenjem Odbora osnovanog prema članku 31. Direktive 95/46/EZ, |
DONIJELA JE OVU ODLUKU:
Članak 1.
Smatra se da standardne ugovorne klauzule navedene u Prilogu pružaju odgovarajuću razinu zaštite u pogledu zaštite privatnosti i temeljnih prava i sloboda pojedinaca te u pogledu ostvarivanja odgovarajućih prava, kako je to određeno u članku 26. stavku 2. Direktive 95/46/EZ.
Članak 2.
Ova Odluka odnosi se samo na dostatnost razine zaštite koju pružaju standardne ugovorne klauzule za iznošenje osobnih podataka koje su navedene u Prilogu. Ona ne utječe na primjenu drugih odredaba nacionalnog prava kojima se primjenjuje Direktiva 95/46/EZ, a koje su u vezi s obradom osobnih podataka u državama članicama.
Ova se Odluka ne primjenjuje na iznošenje osobnih podataka od strane voditelja zbirke osobnih podataka osnovanih u Zajednici primateljima osnovanima izvan područja Zajednice koji djeluju samo kao izvršitelji obrade.
Članak 3.
Za potrebe ove Odluke:
(a) |
primjenjuju se definicije iz Direktive 95/46/EZ; |
(b) |
„posebne kategorije podataka” znači podaci navedeni u članku 8. te Direktive; |
(c) |
„nadzorno tijelo” znači tijelo navedeno u članku 28. te Direktive; |
(d) |
„iznositelj podataka” znači voditelj zbirke osobnih podataka koji iznosi osobne podatke; |
(e) |
„primatelj podataka” znači voditelj zbirke osobnih podataka koji je suglasan od iznositelja podataka primiti osobne podatke radi daljnje obrade sukladno uvjetima ove Odluke. |
Članak 4.
1. Bez utjecaja na njihova ovlaštenja da poduzmu radnje radi osiguranja postupanja u skladu s odredbama nacionalnog prava donesenima na temelju poglavlja II., III., V. i VI. Direktive 95/46/EZ, nadzorna tijela u državama članicama mogu koristiti njihova postojeća prava na zabranu ili obustavu iznošenja podataka u treće zemlje radi zaštite pojedinaca u pogledu obrade njihovih osobnih podataka kada:
(a) |
se utvrdi da pravo koje je mjerodavno za primatelja podataka njemu određuje zahtjeve za odstupanje od relevantnih pravila za zaštitu podataka koji nadilaze ograničenja potrebna u demokratskom društvu, kako je to određeno u članku 13. Direktive 95/46/EZ, kad je vjerojatno da će takvi zahtjevi bitno štetno utjecati na jamstva koja pružaju standardne ugovorne klauzule; ili |
(b) |
nadležno tijelo utvrdi da primatelj podataka nije postupao sukladno ugovornim klauzulama; ili |
(c) |
postoji velika vjerojatnost da se ne poštuju ili da se neće poštovati standardne ugovorne klauzule sadržane u Prilogu te da bi nastavak iznošenja podataka stvorio rizik od nastanka znatne štete za ispitanike. |
2. Zabrana ili suspenzija u skladu sa stavkom 1. se ukida čim razlozi za zabranu ili obustavu prestanu postojati.
3. Kad države članice donesu mjere u skladu sa stavcima 1. i 2., one o tome odmah obavješćuju Komisiju koja će informacije proslijediti drugim državama članicama.
Članak 5.
Komisija će ocijeniti primjenu ove Odluke na temelju dostupnih podataka tri godine nakon njene objave državama članicama. Komisija će ponijeti izvješće o primjeni Odboru osnovanom prema članku 31. Direktive 95/46/EZ u koje će uključiti bilo koji dokaz koji bi mogao utjecati na ocjenu prikladnosti standardnih ugovornih klauzula u Prilogu i bilo koji dokaz o diskriminirajućoj primjeni ove Odluke.
Članak 6.
Ova se Odluka primjenjuje od 3. rujna 2001.
Članak 7.
Ova je Odluka upućena državama članicama.
Sastavljeno u Bruxellesu 15. lipnja 2001.
Za Komisiju
Frederik BOLKESTEIN
Član Komisije
(1) SL L 281, 23.11.1995., str. 31.
(2) Internetska adresa Radne skupine je:
http://www.europa.eu.intlcomm/internal_market/en/medial/dataprot/wpdocs/index.htm.
(3) WP 4 (5020/97) „Prva razmišljanja o iznošenjima osobnih podataka u treće zemlje - mogući načini za ocjenjivanje adekvatnosti”, raspravni dokument koji je donijela Radna skupina 26. lipnja 1997.
WP 7 (5057/97) „Ocjenjivanje propisa o samouređenju industrijskih grana: kad oni predstavljaju smisleni doprinos razini zaštite podataka u trećoj zemlji?”, radni dokument koji je donijela Radna skupina 14. siječnja 1998.
WP 9 (3005/98) „Preliminarni pogledi na korištenje ugovornih klauzula u kontekstu iznošenja osobnih podataka u treće zemlje”, radni dokument koji je donijela Radna skupina 22. travnja 1998.
WP 12: „Iznošenja osobnih podataka u treće zemlje: primjena članaka 25. i 26. Direktive Europske unije o zaštiti podataka”, radni dokument koji je donijela Radna skupina 24. srpnja 1998., dostupan na internetskoj stranici radnih dokumenata „europa.eu.int/comm/internal_markt/en/media.dataprot/wpdocs/wp12/en” Europske Komisije.
(4) Mišljenje br. 1/2001, koje je donijela Radna skupina 26. siječnja 2001. (DG MARKT 5102/00 WP 38), dostupno je na internetskoj stranici „Europa” Europske komisije.
PRILOG
Dodatak 1.
standardnim ugovornim klauzulama
Dodatak 2.
standardnim ugovornim klauzulama
Obvezujuća načela zaštite podataka navedena u prvom stavku Klauzule 5.(b)
Ova načela zaštite podataka trebaju se čitati i tumačiti u svjetlu odredaba (načela i relevantnih iznimaka) Direktive 95/46/EZ.
Ona se primjenjuju podložno obvezujućim odredbama nacionalnog prava koje je mjerodavno za primatelja podataka, a koje nadilaze ono što je potrebno u demokratskom društvu na osnovi jednog od interesa navedenih u članku 13. stavku 1. Direktive 95/46/EZ tj. ako oni predstavljaju mjeru potrebnu za zaštitu nacionalne sigurnosti, obranu, javnu sigurnost, prevenciju, istragu, otkrivanje i progon kaznenih djela ili povreda etičkih pravila za određena uređena zanimanja, važnih gospodarskih ili financijskih interesa države ili za zaštitu ispitanika ili prava i sloboda drugih.
1. |
Ograničenje svrhe: podaci se moraju obrađivati i kasnije koristiti ili prosljeđivati samo za svrhe navedene u Dodatku I. klauzulama. Podaci se ne smiju čuvati duže nego što je to potrebno za svrhe radi kojih se iznose. |
2. |
Kvaliteta i proporcionalnost podataka: podaci moraju biti točni i, kad je to potrebno, moraju se ažurirati. Podaci moraju biti prikladni, relevantni i umjereni u odnosu na svrhe radi kojih se iznose i dalje obrađuju. |
3. |
Transparentnost: ispitanici moraju biti obaviješteni o svrhama obrade podataka i o identitetu voditelja zbirke podataka u trećoj zemlji te o drugim podacima u mjeri u kojoj je to potrebno kako bi se osigurala poštena obrada podataka, osim ako je te informacije već pružio iznositelj podataka. |
4. |
Sigurnost i povjerljivost: voditelj zbirke osobnih podataka mora poduzeti tehničke i organizacijske sigurnosne mjere koje su adekvatne rizicima koji proizlaze iz obrade podataka, kao što su neovlašteni pristup. Bilo koja osoba koja postupa sukladno ovlaštenjima voditelja zbirke osobnih podataka, uključujući izvršitelja obrade, ne smije obrađivati podatke osim sukladno uputama voditelja zbirke osobnih podataka. |
5. |
Pravo na uvid, izmjenu, brisanje ili blokiranje podataka: kako je to određeno u članku 12. Direktive 95/46/EZ, ispitanik mora imati pravo na uvid u sve podatke koji se na njega odnose i koji se obrađuju te, u mjeri u kojoj je to prikladno, pravo na izmjenu, brisanje ili blokiranje podataka čija obrada ne udovoljava načelima navedenima u ovom Dodatku, posebno zbog nepotpunosti ili netočnosti podataka. Ispitanik također treba imati pravo prigovoriti obradi podataka koji se na njega odnose zbog određenih zakonom koji se odnose na njegovu posebnu situaciju. |
6. |
Ograničenja daljnjeg iznošenja: daljnje iznošenje osobnih podataka od strane primatelja podataka drugom voditelju zbirke osobnih podataka osnovanom u trećoj državi koja ne osigurava prikladnu razinu zaštite ili koja nije obuhvaćena odlukom Komisije donesenom sukladno članku 25. stavku 6. Direktive 95/46/EZ (daljnje iznošenje) može se izvršiti samo ako:
|
7. |
Posebne kategorije podataka: kad se obrađuju podaci o rasnom ili etničkom podrijetlu, političkim stajalištima, vjerskim ili filozofskim uvjerenjima ili sindikalnom članstvu, i podaci o zdravstvenom stanju ili spolnom životu, te podaci koji se odnose na prekršaje, kažnjavanje ili mjere sigurnosti, trebaju se primijeniti dodatne zaštitne mjere u smislu Direktive 95/46/EZ, posebno odgovarajuće sigurnosne mjere, kao što su veći stupanj kodiranja iznošenja podataka ili vođenje evidencije o pristupu osjetljivim podacima. |
8. |
Izravno oglašavanje: kad se podaci obrađuju za potrebe izravnog oglašavanja, trebaju postojati učinkoviti postupci koji omogućuju ispitaniku da u bilo koje vrijeme „odustane” od korištenja njegovih podataka za te potrebe. |
9. |
Odluke o automatskoj obradi osobnih podataka: ispitanici imaju pravo ne biti predmet odluke koja se isključivo temelji na automatskoj obradi podataka, osim ako se poduzmu druge mjere radi zaštite legitimnih interesa pojedinca, kako je to predviđeno u članku 15. stavku 2. Direktive 95/46/EZ. Kad je svrha iznošenja donošenje odluke o automatskoj obradi, kako je to navedeno u članku 15. Direktive 95/46/EZ, koja proizvodi pravne učinke u pogledu pojedinca ili koja bitno utječe na pojedinca, a koja se isključivo temelji na automatskoj obradi podataka namijenjenoj za ocjenjivanje određenih aspekata njegove osobnosti, kao što je radna sposobnost, kreditna sposobnost, pouzdanost, ponašanje itd., pojedinac treba imati pravo znati razloge za donošenje takve odluke. |
Dodatak 3.
standardnim ugovornim klauzulama
Obvezujuća načela zaštite podataka navedena u drugom stavku Klauzule 5.(b)
1. |
Ograničenje svrhe: podaci se moraju obrađivati i kasnije koristiti ili prosljeđivati samo za svrhe navedene u Dodatku I. klauzulama. Podaci se ne smiju čuvati duže nego što je to potrebno za svrhe radi kojih se iznose. |
2. |
Pravo na uvid, izmjenu, brisanje ili blokiranje podataka: kako je to određeno u članku 12. Direktive 95/46/EZ, ispitanik mora imati pravo na uvid u sve podatke koji se na njega odnose i koji se obrađuju te, u mjeri u kojoj je to prikladno, pravo na izmjenu, brisanje ili blokiranje podataka čija obrada ne udovoljava načelima navedenima u ovom Dodatku, posebno zbog nepotpunosti ili netočnosti podataka. Ispitanik također treba imati pravo prigovoriti obradi podataka koji se na njega odnose zbog određenih zakonom koji se odnose na njegovu posebnu situaciju. |
3. |
Ograničenja daljnjeg iznošenja: daljnje iznošenje osobnih podataka od strane primatelja podataka drugom voditelju zbirke osobnih podataka osnovanom u trećoj zemlji koja ne osigurava prikladnu razinu zaštite ili koja nije obuhvaćena odlukom Komisije donesenom u skladu s člankom 25. stavkom 6. Direktive 95/46/EZ (daljnje iznošenje) može se izvršiti samo ako:
|