13/Sv. 052 |
HR |
Službeni list Europske unije |
250 |
32010D0087
L 039/5 |
SLUŽBENI LIST EUROPSKE UNIJE |
05.02.2010. |
ODLUKA KOMISIJE
od 5. veljače 2010.
o standardnim ugovornim klauzulama za prijenos osobnih podataka obrađivačima u trećim zemljama u skladu s Direktivom 95/46/EZ Europskog parlamenta i Vijeća
(priopćena pod brojem dokumenta C (2010) 593)
(Tekst značajan za EGP)
(2010/87/EU)
EUROPSKA KOMISIJA,
uzimajući u obzir Ugovor o funkcioniranju Europske unije,
uzimajući u obzir Direktivu 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (1), a posebno njezin članak 26. stavak 4.,
nakon savjetovanja s Europskim nadzornikom za zaštitu podataka,
budući da:
(1) |
U skladu s Direktivom 95/46/EZ države članice obvezne su pobrinuti se da se prijenos osobnih podataka u treću zemlju može ostvariti jedino ako dotična treća zemlja osigurava odgovarajuću razinu zaštite podataka te da se prilikom prijenosa poštuju zakoni država članica, koji su u skladu s drugim odredbama Direktive. |
(2) |
Međutim, članak 26. stavak 2. Direktive 95/46/EZ omogućava da države članice mogu odobriti, poštujući određene zaštitne mjere, prijenos ili skup prijenosa osobnih podataka u treće zemlje koje ne osiguravaju odgovarajuću razinu zaštite podataka. Takve zaštitne mjere naročito mogu proizlaziti iz odgovarajućih ugovornih klauzula. |
(3) |
U skladu s Direktivom 95/46/EZ razinu zaštite podataka treba procijeniti s obzirom na sve okolnosti u vezi s postupkom prijenosa podataka ili skupa postupaka za prijenos podataka. Radna skupina za zaštitu pojedinaca u vezi s obradom osobnih podataka osnovana Direktivom izdala je smjernice za pomoć u procjeni. |
(4) |
Standardne ugovorne klauzule odnose se samo na zaštitu podataka. Stoga, izvoznik i uvoznik podataka mogu uključiti bilo koju drugu klauzulu u pitanjima vezanim uz poslovanje koju smatraju bitnom za ugovor sve dok nije suprotna standardnim ugovornim klauzulama. |
(5) |
Ova Odluka ne smije dovoditi u pitanje nacionalne ovlasti koje države članice mogu odobriti u skladu s nacionalnim odredbama koje provode članak 26. stavak 2. Direktive 95/46 EZ. Učinak ove Odluke je da od države članice zahtijeva da se u njoj utvrđene standardne ugovorne klauzule priznaju kao takve koje osiguravaju odgovarajuće zaštitne mjere i stoga nemaju nikakvog učinka na ostale ugovorne klauzule. |
(6) |
Odluka Komisije 2002/16/EZ od 27. prosinca 2001. o standardnim ugovornim klauzulama za prijenos osobnih podataka obrađivačima u trećim zemljama na temelju Direktive 95/46/EZ (2) usvojena je da bi olakšala prijenos osobnih podataka od nadzornika podataka s poslovnim nastanom u Europskoj uniji do obrađivača s poslovnim nastanom u trećoj zemlji koji ne osigurava odgovarajuću razinu zaštite. |
(7) |
Od donošenja Odluke 2002/16/EZ stečeno je veliko iskustvo. Izvješće o provedbi Odluke o standardnim ugovornim klauzulama za prijenos osobnih podataka trećim zemljama (3) pokazalo je da postoji povećan interes za promicanje upotrebe standardnih ugovornih klauzula za međunarodne prijenose osobnih podataka trećim zemljama koje ne osiguravaju odgovarajuću razinu zaštite. Dodatno, zainteresirane strane podnijele su prijedloge s ciljem ažuriranja standardnih ugovornih klauzula utvrđenih Odlukom 2002/16/EZ kako bi uzeli u obzir brzo rastući opseg djelatnosti obrade podataka u svijetu i da riješe pitanja koja navedena Odluka ne obuhvaća (4). |
(8) |
Područje primjene ove Odluke ograničeno je na utvrđivanje da se klauzule koje ona donosi mogu odnositi na nadzornika podataka s poslovnim nastanom u Europskoj uniji kako bi se pružile odgovarajuće zaštitne mjere u smislu članka 26. stavka 2. Direktive 95/46/EZ za prijenos osobnih podataka obrađivaču s poslovnim nastanom u trećoj zemlji. |
(9) |
Ova se Odluka ne primjenjuje na prijenos osobnih podataka od strane nadzornika s poslovnim nastanom u Europskoj uniji prema nadzornicima s poslovnim nastanom izvan Europske Unije koji su obuhvaćeni Odlukom Komisije 2001/497/EZ od 15. lipnja 2001. o standardnim ugovornim klauzulama za prijenos osobnih podataka u treće zemlje, u skladu s Direktivom 95/46/EZ (5). |
(10) |
Ova Odluka treba provesti obvezu iz članka 17. stavka 3. Direktive 95/46/EZ i ne smije utjecati na sadržaj ugovora ili pravnih akata ustanovljenih prema toj odredbi. Međutim, neke od standardnih ugovornih odredbi, posebno u pogledu obveza izvoznika podataka, trebaju biti uključene kako bi se povećala jasnoća tih odredbi koje se mogu nalaziti u ugovoru između nadzornika i obrađivača. |
(11) |
Nadzorna tijela država članica igraju ključnu ulogu u ovom ugovornom mehanizmu osiguravajući da su tijekom prijenosa osobni podaci odgovarajuće zaštićeni. U iznimnim slučajevima kada izvoznici podataka odbiju ili nisu u stanju dati odgovarajuće upute uvozniku podataka, te kada postoji neizbježna opasnost od nanošenja teške štete osobama na koje se odnose podaci, standardne ugovorne klauzule trebaju omogućiti nadzornim tijelima reviziju uvoznika podataka i podobrađivača te, gdje je to prikladno, donesu odluke koje obvezuju uvoznike podataka i podobrađivače. Nadzorna tijela trebaju imati moć da zabrane ili obustave prijenos podataka ili skup prijenosa na temelju standardnih ugovornih klauzula u takvim iznimnim slučajevima u kojima se ustanovi da je vjerojatno da prijenos na ugovornoj osnovi ima značajan nepovoljni učinak na jamstva i obveze koji osiguravaju odgovarajuću zaštitu korisnika. |
(12) |
Standardne ugovorne klauzule osiguravaju primjenu tehničkih i organizacijskih zaštitnih mjera od strane obrađivača podataka s poslovnim nastanom u trećim zemljama koji ne pružaju odgovarajuću zaštitu kako bi se osigurala razina zaštite koja odgovara rizicima koje predstavljaju obrada i priroda podataka koji se trebaju zaštititi. Stranke moraju donijeti odredbe u ugovoru za te tehničke i organizacijske mjere koje su, uzimajući u obzir pravo primjenjivo na zaštitu podataka, najnovije tehnologije i trošak njihove primjene, potrebne da bi se zaštitili osobni podaci protiv slučajnog ili nezakonitog uništenja ili slučajnog gubitka, izmjene, neovlaštenog objavljivanja ili pristupa ili bilo kojeg drugog nezakonitog oblika obrade. |
(13) |
Kako bi se olakšao protok podataka iz Europske unije poželjno je da se obrađivačima koji pružaju usluge obrade podataka za više nadzornika podataka u Europskoj uniji dozvoli primjena istih tehničkih i organizacijskih zaštitnih mjera, bez obzira na to iz koje države članice potječe prijenos podataka, naročito u onim slučajevima u kojima uvoznik podataka prima podatke radi daljnje obrade iz različitih poslovnih nastana izvoznika podataka te se u tom slučaju primjenjuje pravo navedene države članice u kojoj je poslovni nastan. |
(14) |
Primjereno je da se utvrdi minimum informacija koje stranke trebaju navesti u ugovoru vezanim uz prijenos. Države članice zadržavaju pravo da specificiraju koje informacije su stranke dužne pružiti. Primjena ove Odluke treba biti preispitana s obzirom na stečeno iskustvo. |
(15) |
Uvoznik podataka treba obraditi prenesene osobne podatke jedino u ime izvoznika podataka i u skladu s njegovim uputama i obvezama koje su sadržane u klauzulama. Uvoznik podataka posebno ne smije otkriti osobne podatke trećoj strani bez ranije dobivenog pisanog pristanka izvoznika podataka. Izvoznik podataka treba davati upute izvozniku podataka tijekom trajanja obrade podataka kako bi obradio podatke u skladu s njegovim uputama, pravom koje se primjenjuje na zaštitu podataka i obvezama sadržanim u klauzulama. |
(16) |
Izvješće o provedbi Odluke o standardnim ugovornim klauzulama za prijenos osobnih podataka trećim zemljama predložio je uspostavu odgovarajućih standardnih ugovornih klauzula na naknadne prijenose podataka od obrađivača podataka s poslovnim nastanom u trećoj zemlji do drugog obrađivača podataka (podobrada) kako bi se uzeli u obzir poslovni trendovi i praksa za sve više globaliziranu djelatnost obrade podataka. |
(17) |
Ova Odluka treba sadržavati posebne standardne ugovorne klauzule o podobradi usluga obrade koju obavlja obrađivač podataka s poslovnim nastanom u trećoj zemlji (uvoznik podataka) prema drugim obrađivačima (podobrađivačima) s poslovnim nastanom u trećim zemljama. Dodatno, ova Odluka treba donijeti uvjete koje podobrada treba ispunjavati kako bi se osiguralo da će preneseni osobni podaci biti zaštićeni neovisno od naknadnog prijenosa podobrađivaču. |
(18) |
Dodatno, podobrada može uključivati samo postupke koji su dogovoreni ugovorom između izvoznika podataka i uvoznika podataka uključujući standardne ugovorne klauzule prema ovoj Odluci i ne smije se odnositi na druge postupke obrade ili uporabe tako da se ograničenja u uporabi poštuju u skladu s načelima utvrđenim Direktivom 95/46/EZ. Uz to, ako podobrađivač ne ispuni svoje obveze podobrade prema ugovoru, uvoznik podataka ostaje odgovoran izvozniku podataka. Na prijenos osobnih podataka obrađivačima s poslovnim nastanom izvan Europske unije ne utječe činjenica da se aktivnostima obrade treba upravljati prema primjenjivom pravu o zaštiti podataka. |
(19) |
Standardne ugovorne klauzule trebaju provoditi ne samo organizacije koje su ugovorne stranke nego također i subjekti podataka, posebno kada te osobe trpe štetu koja je posljedica povrede ugovora. |
(20) |
Subjekt podataka treba imati pravo poduzimati mjere i, prema potrebi, primiti nadoknadu od izvoznika podataka koji je nadzornik osobnih podataka koji se prenose. Iznimno, subjekt podataka također može imati pravo poduzimati mjere i, prema potrebi, primiti nadoknadu od izvoznika podataka u onim slučajevima koji proizlaze iz povrede bilo kojih obveza iz stavka 2. klauzule 3. od strane uvoznika podataka ili bilo kojeg podobrađivača, kada izvoznik podataka prestane postojati ili prestane postojati pred zakonom ili postane insolventan. Iznimno, subjekt podataka također treba imati pravo poduzimati mjere i, prema potrebi, primiti naknadu od podobrađivača u onim situacijama gdje su i izvoznik podataka i uvoznik podataka prestali postojati, prestali postojati pred zakonom ili postali insolventni. Takva odgovornost podobrađivača treba biti ograničena na njegove vlastite postupke obrade prema ugovornim klauzulama. |
(21) |
U slučaju spora između subjekta podataka, koji se pozivaju na klauzulu u korist treće strane, i uvoznika podataka koji se ne riješi mirnim putem, izvoznik podataka treba ponuditi subjektu podataka da izabere postupak mirenja ili parnični postupak. Opseg stvarnog izbora koji će subjekt podataka imati ovisit će o dostupnosti pouzdanih i priznatih sistema mirenja. Jedna od mogućnosti treba biti mirenje od strane nadzornih tijela za zaštitu podataka država članica u kojima izvoznik podataka ima poslovni nastan tamo gdje ti organi takvu usluga pružaju. |
(22) |
Ugovor se treba ravnati prema pravu države članice u kojoj izvoznik podataka ima poslovni nastan omogućavajući trećoj strani da provede ugovor. Subjektima podataka treba omogućiti da ih zastupaju udruženja ili druga tijela ako one to žele i ako je tako dopušteno nacionalnim pravom. Prema tom se pravu trebaju ravnati uredbe o zaštiti podataka bilo kojeg ugovora s podobrađivačom za podobradu postupaka obrade osobnih podataka koje izvoznik podataka prenosi uvozniku podataka u skladu s ugovornim klauzulama. |
(23) |
Budući da se ova Odluka odnosi samo na obrađivača podataka s poslovnim nastanom u trećoj zemlji koji ugovara kooperaciju svojih usluga obrade s podobrađivačom s poslovnim nastanom u trećoj zemlji, ne primjenjuje se u situaciji u kojoj obrađivač s poslovnim nastanom u Europskoj uniji, koji obavlja obradu osobnih podataka u ime nadzornika s poslovnim nastanom u Europskoj uniji, ugovara kooperaciju svojih usluga obrade s podobrađivačem s poslovnim nastanom u trećoj zemlji. U takvim situacijama državama članicama je prepušteno hoće li uzeti u obzir činjenicu da su se prilikom ugovaranja kooperacija s podobrađivačem s poslovnim nastanom u trećoj zemlji koristila načela i zaštitne smjernice standardnih ugovornih klauzula kako je navedeno u ovoj Odluci s namjerom da se osigura odgovarajuća zaštita za prava subjekata podataka i prenose u postupcima podobrade. |
(24) |
Radna skupina za zaštitu pojedinaca u vezi s obradom osobnih podataka koja je osnovana člankom 29. Direktive 95/46/EZ dala je mišljenje o razini zaštiti koju pružaju standardne ugovorne klauzule priložene ovoj Odluci, a koje je bilo uzeto u obzir pri pripremi ove Odluke. |
(25) |
Odluku 2002/16/EZ treba staviti izvan snage. |
(26) |
Mjere predviđene ovom Odlukom u skladu su s mišljenjem odbora osnovanog člankom 31. Direktive 95/46/EZ, |
DONIJELA JE OVU ODLUKU:
Članak 1.
Standardne ugovorne klauzule utvrđene u Prilogu pružaju odgovarajuće zaštitne mjere u smislu zaštite privatnosti i temeljnih prava i sloboda pojedinaca u pogledu izvršavanja odgovarajućih prava kako zahtijeva članak 26. stavak 2. Direktive 95/46/EZ.
Članak 2.
Ova se Odluka tiče jedino odgovarajuće zaštite koje osiguravaju standardne ugovorne klauzule za prijenos osobnih podataka obrađivačima utvrđene u Prilogu. Ne utječe na primjenu drugih nacionalnih odredaba kojima se provodi Direktiva 95/46/EZ koje se odnose na obradu osobnih podataka unutar država članica.
Ova se Odluka primjenjuje na prijenos osobnih podataka od strane nadzornika s poslovnim nastanom u Europskoj uniji primateljima s poslovnim nastanom izvan teritorija Europske unije koji djeluju samo kao obrađivači.
Članak 3.
Za potrebe ove Odluke primjenjuju se slijedeće definicije:
(a) |
„posebne kategorije podataka” znači podaci navedeni u članku 8. Direktive 95/46/EZ; |
(b) |
„nadzorno tijelo” znači tijelo navedeno u članku 28. Direktive 95/46/EZ; |
(c) |
„izvoznik podataka” znači nadzornik koji obavlja prijenos osobnih podataka; |
(d) |
„uvoznik podataka” znači obrađivač s poslovnim nastanom u trećoj zemlji koji je od izvoznika podataka suglasan primiti osobne podatke radi njihove obrade u korist izvoznika podataka po prijenosu, u skladu s njegovim uputama i uvjetima ove Odluke, i koji nije podložan sustavu treće zemlje koji osigurava odgovarajuću zaštitu u smislu članka 25. stavka 1. Direktive 95/46/EZ. |
(e) |
„podobrađivač” znači bilo koji obrađivač, angažiran od uvoznika podataka ili bilo kojeg drugog podobrađivača od uvoznika podataka, koji je suglasan da od izvoznika podataka ili od bilo kojeg drugog podobrađivača od uvoznika podataka primi osobne podatke namijenjene isključivo djelatnosti obrade u korist izvoznika podataka po prijenosu u skladu s uputama izvoznika podataka, standardnim ugovornim klauzulama utvrđenim u Prilogu i uvjetima pisanog ugovora o podobradi; |
(f) |
„pravo koje se primjenjuje na zaštitu podataka” znači zakonodavstvo, koje štiti temeljna prava i slobode pojedinaca i posebno njihovo pravo na privatnost u pogledu obrade osobnih podataka, koje primjenjuje nadzornik podataka u državi članici u kojoj izvoznik podataka ima poslovni nastan; |
(g) |
„tehničke i organizacijske zaštitne mjere” znači one mjere s ciljem zaštite osobnih podataka protiv slučajnog ili nezakonitog uništenja ili slučajnog gubitka, izmjene, neovlaštenog objavljivanja ili pristupa, naročito kada obrada uključuje prijenos podataka putem mreže, i protiv bilo kojeg drugog nezakonitog oblika obrade. |
Članak 4.
1. Ne dovodeći u pitanje svoje ovlasti da poduzimaju mjere za osiguranje usklađenosti s nacionalnim odredbama usvojenima u skladu s poglavljima II., III., V. i VI. Direktive 95/46/EZ, nadležna tijela država članica mogu koristiti svoje postojeće ovlasti da zabrane ili obustave protok podataka u treće zemlje kako bi zaštitile pojedince s obzirom na obradu njihovih osobnih podataka u slučajevima gdje:
(a) |
je utvrđeno da pravo, kojem je uvoznik podataka ili podobrađivač podložan, njemu nameće zahtjeve koji odstupaju od prava koje se primjenjuje na zaštitu podataka, koji nadilaze ograničenja nužna u demokratskom društvu u skladu s člankom 13. Direktive 95/46/EZ gdje bi ti zahtjevi mogli imati bitne neželjene posljedice na jamstva utvrđena pravom koje se primjenjuje na zaštitu podataka i standardnim ugovornim klauzulama; |
(b) |
je nadležno tijelo utvrdilo da uvoznik podataka ili podobrađivač nisu poštovali standardne ugovorne klauzule u Prilogu; ili |
(c) |
postoji stvarna vjerojatnost da se standardne ugovorne klauzule u Prilogu nisu ili neće poštovati i da bi daljnji prijenos prouzročio neposrednu opasnost od nanošenja teške štete osobama na koje se odnose podaci. |
2. Zabrana ili suspenzija prema stavku 1. se ukida čim prestanu postojati razlozi za suspenziju ili zabranu.
3. Kada države članice usvoje mjere prema stavcima 1. i 2. bez odgode obavijestit će Komisiju koja će proslijediti informacije drugim državama članicama.
Članak 5.
Komisija na temelju dostupnih informacija ocjenjuje provedbu ove Odluke tri godine nakon njezinog usvajanja. Izvješće o svojim rezultatima predaje odboru osnovanim člankom 31. Direktive 95/46/EZ. Izvješće uključuje sve dokaze koji mogu utjecati na ocjenu da su standardne ugovorne klauzule u Prilogu odgovarajuće te dokaze da se ova Odluka provodi na diskriminirajući način.
Članak 6.
Ova se Odluka primjenjuje od 15. svibnja 2010.
Članak 7.
1. Odluka 2002/16/EZ stavlja se izvan snage s učinkom od 15. svibnja 2010.
2. Ugovor zaključen između izvoznika podataka i uvoznika podataka prema Odluci 2002/16/EZ prije 15. svibnja 2010. ostaje na snazi onoliko dugo dok prijenosi i postupci obrade podataka koji su predmet ugovora ostanu nepromijenjeni, a osobni podaci koje pokriva ova Odluka nastave se prenositi između stranaka. Tamo gdje ugovorne stranke odluče napraviti promjene u tom pogledu ili napraviti ugovor o kooperaciji postupaka obrade koji su predmet ugovora, one moraju sklopiti novi ugovor koji zadovoljava standardne ugovorne klauzule utvrđene u Prilogu.
Članak 8.
Ova je Odluka upućena državama članicama.
Sastavljeno u Bruxellesu 5. veljače 2010.
Za Komisiju
Jacques BARROT
Potpredsjednik
(1) SL L 281, 23.11.1995., str. 31.
(2) SL L 6, 10.1.2002., str. 52.
(3) SEC(2006) 95, 20.1.2006.
(4) Međunarodna trgovačka komora (ICC), Japansko poslovno vijeće u Europi (JBCE), EU Odbor Američke gospodarske zajednice u Belgiji (Amcham) i Federacija europskih udruženja za direktni marketing (FEDMA).
(5) SL C 181, 4.7.2001., str. 9.
PRILOG
STANDARDNE UGOVORNE KLAUZULE (OBRAĐIVAČI)
Za potrebe članka 26. stavka 2. Direktive 95/46/EZ o prijenosu osobnih podataka obrađivačima s poslovnim nastanom u trećim zemljama koji ne osiguravaju odgovarajuću razinu zaštite podataka
Naziv organizacije koja je izvoznik podataka: …
Adresa: …
Telefon …; faks …; e-pošta …
Ostale informacije za identifikaciju organizacije
…
(izvoznik podataka)
i
Naziv organizacije koja je uvoznik podataka: …
Adresa: …
Telefon …; faks …; e-pošta …
Ostale informacije za identifikaciju organizacije:
…
(uvoznik podataka)
svaka od njih „stranka”; zajedno „stranke”
SPORAZUMJELI SU SE o slijedećim ugovornim klauzulama (dalje u tekstu klauzule) kako bi pružili odgovarajuće zaštitne mjere u smislu zaštite privatnosti i temeljnih prava i sloboda pojedinaca tijekom prijenosa osobnih podataka navedenih u Dodatku 1. koje izvoznik podataka prenosi uvozniku podataka.
Klauzula 1.
Definicije
Za potrebe klauzula:
(a) |
„osobni podaci”, „posebne kategorije podataka”, „obrada/obrađivanje”, „nadzornik”, „subjekt podataka” i „nadzorna tijela” imaju isto značenje kao u Direktivi 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (1); |
(b) |
„izvoznik podataka” znači nadzornik koji obavlja prijenos osobnih podataka; |
(c) |
„uvoznik podataka” znači obrađivač koji je od izvoznika podataka suglasan primiti osobne podatke radi njihove obrade u korist izvoznika podataka po prijenosu, u skladu s njegovim uputama i uvjetima ove klauzule, i koji nije podložan sustavu treće zemlje koji osigurava odgovarajuću zaštitu u smislu članka 25. stavka 1. Direktive 95/46/EZ; |
(d) |
„podobrađivač” znači bilo koji obrađivač angažiran od uvoznika podataka ili bilo kojeg drugog podobrađivača od uvoznika podataka koji je suglasan, da od izvoznika podataka ili od bilo kojeg drugog podobrađivača od uvoznika podataka, primi osobne podatke namijenjene isključivo djelatnosti obrade u korist izvoznika podataka po prijenosu u skladu s uputama izvoznika podataka, standardnim ugovornim klauzulama utvrđenim Prilogom i uvjetima pisanog ugovora o podobradi; |
(e) |
„pravo koje se primjenjuje na zaštitu podataka” znači zakonodavstvo koje štiti temeljna prava i slobode pojedinaca i naročito njihovo pravo na privatnost u pogledu obrade osobnih podataka, koje primjenjuje nadzornik podataka u državi članici u kojoj izvoznik podataka ima poslovni nastan; |
(f) |
„tehničke i organizacijske zaštitne mjere” znači one mjere s ciljem zaštite osobnih podataka protiv slučajnog ili nezakonitog uništenja ili slučajnog gubitka, izmjene, neovlaštenog objavljivanja ili pristupa, naročito kada obrada uključuje prijenos podataka putem mreže, i protiv bilo kojeg drugog nezakonitog oblika obrade. |
Klauzula 2.
Pojedinosti prijenosa
Pojedinosti prijenosa i naročito posebne kategorije osobnih podataka prema potrebi navedene su u Prilogu 1. koji je sastavni dio klauzula.
Klauzula 3.
Klauzula u korist treće strane
1. |
Subjekt podataka može protiv izvoznika podataka upotrijebiti ovu klauzulu i klauzulu 4. točke (b) do (i), klauzulu 5. točke (a) do (e) i (g) do (j), klauzulu 6. stavke 1. i 2., klauzulu 7., klauzulu 8. stavak 2. i klauzule 9. do 12. u korist treće stranke. |
2. |
Subjekt podataka može protiv uvoznika podataka upotrijebiti ovu klauzulu, klauzulu 5. točke (a) do (e) i (g), klauzulu 6., klauzulu 7., klauzulu 8. stavak 2. i klauzule 9. do 12. u slučaju kada izvoznik podataka prestane postojati ili prestane postojati pred zakonom, osim ako bilo koji pravni nasljednik ne preuzme sve zakonske obveze izvoznika podataka prema ugovoru ili zakonu; u tom slučaju subjekt podataka preuzima prava i obveze izvoznika podataka te ih može upotrijebiti protiv pravnih nasljednika. |
3. |
Subjekt podataka može protiv podobrađivača upotrijebiti ovu klauzulu, klauzulu 5. točke (a) do (e) i (g), klauzulu 6., klauzulu 7., klauzulu 8. stavak 2. i klauzule 9. do 12. u slučaju kada oboje izvoznik podataka i uvoznik podataka prestanu postojati ili prestanu postojati pred zakonom ili postanu nelikvidne, osim ako bilo koji pravni nasljednik ne preuzme sve zakonske obveze izvoznika podataka prema ugovoru ili zakonu; u tom slučaju subjekt podataka preuzima prava i obveze izvoznika podataka te ih može upotrijebiti protiv pravnih nasljednika. Takva odgovornost podobrađivača ograničena je na njegove postupke obrade po klauzulama. |
4. |
Ugovorne stranke neće braniti da subjekta podataka zastupa udruženje ili drugo tijelo ako to subjekt podataka izričito želi i ako je to dozvoljeno nacionalnim pravom. |
Klauzula 4.
Obveze izvoznika podataka
Izvoznik podataka suglasan je i jamči:
(a) |
da se obrada osobnih podataka, uključujući i sam prijenos podataka, obavljala i da će se obavljati u skladu s odgovarajućim odredbama prava primjenjivog na zaštitu podataka (te da su, prema potrebi, o tome obaviještena odgovarajuća nadležna tijela država članica u kojima izvoznik podataka ima poslovni nastan) i da neće kršiti odgovarajuće odredbe te države; |
(b) |
da je dao upute i da će davati upute uvozniku podataka tijekom trajanja usluga obrade osobnih podataka kako bi obradio osobne podatke koji su preneseni jedino u korist izvoznika podataka i u skladu s odgovarajućim odredbama prava primjenjivog na zaštitu podataka i klauzulama; |
(c) |
da će uvoznik podataka osigurati dostatna jamstva u smislu tehničkih i organizacijskih zaštitnih mjera navedenih u Dodatku 2. ovom Ugovoru; |
(d) |
da su nakon procjene zahtjeva prava primjenjivog na zaštitu podataka, zaštitne mjere prikladne kako bi zaštitile osobne podatke protiv slučajnog ili nezakonitog uništenja ili slučajnog gubitka, izmjene, neovlaštenog objavljivanja ili pristupa, posebno kada obrada uključuje prijenos podataka putem mreže, i protiv bilo kojeg drugog nezakonitog oblika obrade te da te mjere osiguravaju razinu sigurnosti koja je prikladna rizicima koje donosi obrada i priroda podataka koji se štite uzimajući u obzir najnovije tehnologije i trošak njihove primjene; |
(e) |
da će osigurati poštovanje zaštitnih mjera; |
(f) |
da je u slučaju kada prijenos uključuje posebne kategorije podataka, obavijestio subjekta podataka ili će ga unaprijed obavijestiti ili netom poslije prijenosa kako bi podaci mogli biti preneseni u treću zemlju bez odgovarajuće zaštite u skladu s Direktivom 95/46/EZ; |
(g) |
da će u skladu s klauzulom 5. točkom (b) i klauzulom 8. stavkom 3. proslijediti svaku obavijest zaprimljenu od uvoznika podataka ili podobrađivača nadzornim tijelima za zaštitu podataka ako izvoznik podataka odluči nastaviti s prijenosom ili ukinuti suspenziju; |
(h) |
da će subjektu podataka, po njihovu zahtjevu, staviti na raspolaganje kopiju klauzula, izuzev Dodatka 2., i sažeti opis zaštitnih mjera kao i kopiju svakog ugovora za usluge podobrade koji mora biti u skladu s klauzulama, osim ako klauzule ili ugovor sadržavaju komercijalne podatke u kojem slučaju se ti komercijalni podaci uklanjaju; |
(i) |
da u slučaju podobrade, podobrađivač obavlja aktivnost obrade u skladu s klauzulom 11. osiguravajući barem istu razinu zaštite osobnih podataka i prava subjekta podataka poput uvoznika podataka u skladu s klauzulama; i |
(j) |
da će osigurati poštovanje klauzule 4. točke (a) do (i). |
Klauzula 5.
Obveze uvoznika podataka (2)
Uvoznik podataka suglasan je i jamči:
(a) |
obradu osobnih podatke jedino u korist izvoznika podataka i u skladu s njegovim uputama i klauzulama; ako to iz bilo kojih razloga ne može osigurati, suglasan je da o tome odmah obavijesti izvoznika podataka, te u tom slučaju izvoznik podataka ima pravo obustaviti prijenos podataka i/ili prekinuti ugovor; |
(b) |
da nema razloga za vjerovanje da ga zakonodavstvo koje se na njega primjenjuje onemogućava u ispunjavanju uputa primljenih od izvoznika podataka i njegovih obveza prema ugovoru te da će u slučaju promjene u zakonodavstvu koja bi mogla imati bitan negativan učinak na jamstva i obveze iz klauzula, o promjeni odmah obavijestiti izvoznika podataka čim toga postane svjestan, te u tom slučaju izvoznik podataka ima pravo obustaviti prijenos podataka i/ili prekinuti ugovor; |
(c) |
da je prije obrade osobnih podataka koji se prenose proveo tehničke i organizacijske zaštitne mjere navedene u Dodatku 2.; |
(d) |
da će odmah obavijestiti izvoznika podataka o:
|
(e) |
da odmah i na odgovarajući način postupa sa svim upitima izvoznika podataka koji se odnose na obradu osobnih podataka podložnim prijenosu i da poštuje savjet nadzornih tijela u pogledu obrade podataka koji se prenose; |
(f) |
da na zahtjev izvoznika podataka, preda svoju opremu za obradu podataka radi revizije aktivnosti obrade obuhvaćene klauzulama, koju obavlja izvoznik podataka ili inspekcijsko tijelo, sastavljeno od nezavisnih članova, koji posjeduju odgovarajuće stručne kvalifikacije vezani obvezom čuvanja tajne, koje prema potrebi izabire izvoznik podataka u dogovoru s nadležnim tijelima; |
(g) |
da subjektu podataka da na zahtjev kopiju klauzula ili bilo koji važeći ugovor o podobradi osim ako klauzule ili ugovor ne sadrže komercijalne podatke u kojem slučaju se oni mogu ukloniti, uz izuzetak u slučaju kada subjekt podataka ne može dobiti kopiju od izvoznika podataka, Dodatak 2. se zamjenjuje kratkim opisom zaštitnih mjera; |
(h) |
da je u slučaju podobrade prethodno obavijestio izvoznika podatka i dobio njegovo prethodno pisano odobrenje; |
(i) |
da će podobrađivač obavljati djelatnost obrade u skladu s klauzulom 11.; |
(j) |
da izvozniku podataka odmah pošalje kopiju svakog ugovora koji zaključi u skladu s klauzulama. |
Klauzula 6.
Odgovornost
1. |
Stranke su suglasne da svaki subjekt podataka koji trpi štetu kao posljedicu svakog kršenja obveza navedenih u klauzulu 3. i klauzuli 11. od strane bilo koje stranke ili podobrađivača, ima pravo od izvoznika podataka primiti naknadu štete. |
2. |
Ako subjekt podataka radi kršenja obveza navedenih u klauzuli 3. i klauzuli 11. od strane uvoznika podataka ili njegovog podobrađivača ne može podnijeti zahtjev za naknadu štete protiv izvoznika podataka u skladu sa stavkom 1. zbog toga što je izvoznik podataka prestao postojati ili prestao postojati pred zakonom ili postao nelikvidan, uvoznik podataka suglasan je da subjekt podataka može podnijeti zahtjev protiv uvoznika podataka umjesto izvoznika podataka, osim ako je neki pravni nasljednik preuzeo sve zakonske obveze izvoznika podataka po ugovoru ili po zakonu, te u tom slučaju subjekt podataka može prisilno koristiti svoja prava protiv tog nasljednika. Uvoznik podataka se ne može pozvati na kršenje obveza od strane podobrađivača kako bi izbjegao vlastitu odgovornost. |
3. |
Ako subjekt podataka radi kršenja obveza od strane podobrađivača navedenih u klauzuli 3. ili klauzuli 11. ne može podnijeti zahtjev protiv izvoznika podataka ili uvoznika podataka iz stavka 1. i 2. zbog toga što su oboje izvoznik podataka i uvoznik podataka prestali postojati ili prestali postojati pred zakonom ili postali nelikvidni, podobrađivač je suglasan da subjekt podataka može podnijeti zahtjev protiv njega u pogledu njegovih vlastitih aktivnosti obrade sukladno odredbama klauzula umjesto izvoznika podataka ili uvoznika podataka, osim ako je neki pravni nasljednik preuzeo sve zakonske obveze izvoznika podataka ili uvoznika podataka po ugovoru ili po zakonu, te u tom slučaju subjekt podataka može prisilno koristiti svoja prava protiv tog nasljednika. Odgovornost podobrađivača ograničena je na njegove postupke obrade u skladu s klauzulama. |
Klauzula 7.
Medijacija i nadležnost
1. |
Uvoznik podataka suglasan je da ako subjekt podataka protiv njega upotrijebi prava u korist treće stranke i/ili traže naknadu štete sukladno klauzulama, uvoznik podataka prihvaća odluku subjekta podataka:
|
2. |
Stranke su suglasne da izbor subjekta podataka ne utječe na njihova temeljna ili postupovna prava da traže rješenja u skladu s ostalim odredbama nacionalnog ili međunarodnog prava. |
Klauzula 8.
Suradnja s nadležnim tijelima
1. |
Izvoznik podataka suglasan je da pohrani kopiju ovog ugovora kod nadležnih tijela ako ono to zahtijeva ili ako to propisuje pravo o zaštiti podataka koji se primjenjuje. |
2. |
Stranke su suglasne da nadležna tijela imaju pravo izvršiti reviziju uvoznika podataka i bilo kojeg podobrađivača koja ima jednako područje primjene i podložna je istim uvjetima koji se primjenjuju na reviziju izvoznika podataka sukladno pravu o zaštiti podataka koji se primjenjuje. |
3. |
Uvoznik podataka odmah obavješćuje izvoznika podataka o postojanju zakonodavstva koje se primjenjuje na njega ili na bilo kojeg podobrađivača koje onemogućava provođenje revizije uvoznika podataka ili bilo kojeg podobrađivača prema članku 2. U tom slučaju izvoznik podataka ovlašten je poduzeti mjere predviđene klauzulom 5. točkom (b). |
Klauzula 9.
Mjerodavno pravo
Klauzule se ravnaju pravom države članice u kojoj izvoznika podataka ima poslovni nastan, i to …
Klauzula 10.
Izmjene u ugovoru
Stranke se obvezuju da neće mijenjati i preinačiti klauzule. To ne sprečava stranke da dodaju klauzule u pitanjima vezanim uz poslovanje gdje je to potrebno dokle god nisu u suprotnosti s klauzulama.
Klauzula 11.
Podobrada
1. |
Uvoznik podataka bez prethodnog pisanog odobrenja izvoznika podataka neće napraviti ugovor o kooperaciji niti za jedan od svojih postupaka obrade u korist izvoznika podataka sukladno klauzulama. Kada uvoznik podataka, uz pristanak izvoznika podataka, napravi ugovor o kooperaciji sukladno klauzulama, mora imati pisano odobrenje podobrađivača koje nameće iste obveze podobrađivaču onima koje ima uvoznik podataka sukladno klauzulama (3). Kada podobrađivač ne izvrši svoje obveze u pogledu zaštite podataka prema takvom pisanom odobrenju, uvoznik podataka ostaje potpuno odgovoran izvozniku podataka za izvršenje obveza podobrađivača sukladno takvom sporazumu. |
2. |
Prethodni pisani ugovor između uvoznika podataka i podobrađivača također sadrži klauzulu u korist treće stranke, kako je utvrđeno u klauzuli 3., za slučajeve u kojima osobe čiji se podaci obrađuju ne mogu tražiti zahtjev za nadoknadu štete iz članka 1. klauzule 6. protiv izvoznika podataka ili uvoznika podataka jer su prestali postojati ili prestali postojati pred zakonom ili postali nelikvidni te ni jedan pravni nasljednik nije preuzeo sve zakonske obveze izvoznika ili uvoznika podataka prema ugovoru ili po zakonu. Takva odgovornost podobrađivača ograničena je na njegove vlastite postupke obrade sukladno klauzulama. |
3. |
Odredbe koje se odnose na aspekte zaštite podataka pri ugovaranju kooperacije iz stavka 1. ravnaju se pravom države članice u kojoj izvoznik podataka ima poslovni nastan, i to … |
4. |
Izvoznik podataka vodi i popis ugovora o kooperaciji koji su zaključeni sukladno klauzulama i o kojima ga je obavijestio uvoznik podataka prema klauzuli 5. točki (j), a koji se najmanje jednom godišnje ažurira. Taj popis dostupan je nadzornom tijelu za zaštitu podataka izvoznika podataka. |
Klauzula 12.
Obveze nakon prestanka obavljanja djelatnosti obrade osobnih podataka
1. |
Stranke su suglasne da uvoznik podataka i podobrađivač nakon prestanka obavljanja djelatnosti obrade osobnih podataka, po izboru izvoznika podataka, vrate sve prenesene osobne podatke i kopije u tu svrhu izvozniku podataka ili unište sve osobne podatke i jamči izvozniku podataka o tome osim ako zakonodavstvo važeće za uvoznika podataka ne sprečava da vrati ili uništi sve ili dio prenesenih osobnih podataka. U tom slučaju uvoznik podataka jamči da će zajamčiti povjerljivost prenesenih osobnih podataka i da ih više neće aktivno obrađivati. |
2. |
Uvoznik podataka i podobrađivač jamče da će na zahtjev izvoznika podataka i/ili nadležnog tijela predati svoju opremu za obradu podataka radi revizije mjera iz stavka 1. |
U ime izvoznika podataka:
Ime (napisano u cijelosti): …
Položaj: …
Adresa: …
Ostali podaci nužni da bi ugovor bio obvezujući (ako ih ima):
|
Potpis … |
U ime uvoznika podataka:
Ime (napisano u cijelosti): …
Položaj: …
Adresa: …
Ostali podaci nužni da bi ugovor bio obvezujući (ako ih ima):
|
Potpis … |
(1) Stranke mogu u klauzulu unijeti definicije sadržane u Direktivi 95/46/EZ ako smatraju da je bolje za ugovor da je autonoman.
(2) Obvezni zahtjevi nacionalnog zakonodavstva primjenjivi na uvoznika podataka koji ne nadilaze neophodno u demokratskom društvu na temelju jednog od interesa navedenog u članku 13. stavku 1. Direktive 95/46/EZ, to jest, ako oni predstavljaju nužnu mjeru za očuvanje nacionalne sigurnosti, obrane, javne sigurnosti, prevencije, istrage, otkrivanja i progona kaznenih djela ili kršenje etike za zakonski zaštićena zanimanja, važan ekonomski ili financijski interes države ili zaštitu osoba na koje se odnose podaci ili prava i slobode drugih, a nisu protivni standardnim ugovornim klauzulama. Neki primjeri takvih obveznih zahtjeva koji ne nadilaze neophodno u demokratskom društvu su, između ostalog, međunarodno priznate sankcije, zahtjevi za prijavu poreza ili zahtjevi za izvješća o borbi protiv pranja novca.
(3) Ovaj zahtjev se može ispuniti ako je podobrađivač supotpisnik ugovora sklopljenog između izvoznika i uvoznika podataka u skladu s ovom Odlukom.
Dodatak 1.
Standardnim ugovornim klauzulama
Ovaj Dodatak sastavni je dio klauzula. Stranke ga moraju ispuniti i potpisati.
Države članice sukladno njihovim nacionalnim postupcima mogu dodati ili navesti dodatne podatke koje ovaj Dodatak mora sadržavati.
Izvoznik podataka
Izvoznik podataka je (navedite ukratko vaše aktivnosti vezane uz prijenos):
…
…
…
Uvoznik podataka
Uvoznik podataka je (navedite ukratko vaše aktivnosti vezane uz prijenos):
…
…
…
Subjekti podataka
Preneseni osobni podaci odnose se na sljedeće kategorije subjekata podataka (navesti):
…
…
…
Kategorije podataka
Preneseni osobni podaci odnose se na sljedeće kategorije podataka (navesti):
…
…
…
Posebne kategorije podataka (ako je potrebno)
Preneseni osobni podaci spadaju u sljedeće posebne kategorije podataka (navesti):
…
…
…
Djelatnosti obrade
Preneseni osobni podaci obrađuju se prema sljedećim osnovnim postupcima obrade (navesti):
…
…
…
|
IZVOZNIK PODATAKA Ime: … Potpis ovlaštene osobe: … |
|
UVOZNIK PODATAKA Ime: … Potpis ovlaštene osobe: … |
Dodatak 2.
Standardnim ugovornim klauzulama
Ovaj Dodatak sastavni je dio klauzula. Stranke ga moraju ispuniti i potpisati.
Opis tehničkih i organizacijskih zaštitnih mjera koje provodi uvoznik podataka u skladu s klauzulom 4. točkom (d) i klauzulom 5. točkom (c) (ili priloženi dokument/zakonski propis):
…
…
…
…
PRIMJER ODŠTETNE KLAUZULE (NIJE OBVEZNO)
Odgovornost
Stranke su suglasne da u slučaju kada je jedna stranka odgovorna za kršenje klauzula od strane druge stranke, posljednja stranka će, u razmjeru u kojem je odgovorna, nadoknaditi prvoj stranci sve nastale troškove, izdatke, štetu ili gubitak.
Naknada štete ovisi o:
(a) |
pravovremenoj obavijesti izvoznika podataka uvozniku podataka o zahtjevu; i |
(b) |
mogućnosti uvoznika podataka da surađuje s izvoznikom podataka u obrani i podmirenju zahtjeva (1). |
(1) Stavak o odgovornosti nije obvezan.