EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 02001D0497-20050401
Commission Decision of 15 June 2001 on standard contractual clauses for the transfer of personal data to third countries, under Directive 95/46/EC (notified under document number C(2001) 1539) (Text with EEA relevance) (2001/497/EC)
Consolidated text: A Bizottság határozata (2001. június 15.) a 95/46/EK irányelv alapján a személyes adatok harmadik országokba irányuló továbbítására vonatkozó általános szerződési feltételekről (az értesítés a C(2001) 1539. számú dokumentummal történt) (EGT vonatkozású szöveg) (2001/497/EK)
A Bizottság határozata (2001. június 15.) a 95/46/EK irányelv alapján a személyes adatok harmadik országokba irányuló továbbítására vonatkozó általános szerződési feltételekről (az értesítés a C(2001) 1539. számú dokumentummal történt) (EGT vonatkozású szöveg) (2001/497/EK)
2001D0497 — HU — 01.04.2005 — 001.001
Ez a dokumentum kizárólag tájékoztató jellegű, az intézmények semmiféle felelősséget nem vállalnak a tartalmáért
|
A BIZOTTSÁG HATÁROZATA (2001. június 15.) a 95/46/EK irányelv alapján a személyes adatok harmadik országokba irányuló továbbítására vonatkozó általános szerződési feltételekről (az értesítés a C(2001) 1539. számú dokumentummal történt) (EGT vonatkozású szöveg) (HL L 181, 4.7.2001, p.19) |
Módosította:
|
|
|
Hivatalos Lap |
||
|
No |
page |
date |
||
|
L 385 |
74 |
29.12.2004 |
||
A BIZOTTSÁG HATÁROZATA
(2001. június 15.)
a 95/46/EK irányelv alapján a személyes adatok harmadik országokba irányuló továbbítására vonatkozó általános szerződési feltételekről
(az értesítés a C(2001) 1539. számú dokumentummal történt)
(EGT vonatkozású szöveg)
(2001/497/EK)
AZ EURÓPAI KÖZÖSSÉGEK BIZOTTSÁGA,
tekintettel az Európai Közösséget létrehozó szerződésre,
tekintettel a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelvre ( 1 ) és különösen annak 26. cikke (4) bekezdésére,
mivel:|
(1) |
A 95/46/EK irányelv értelmében a tagállamoknak rendelkezniük kell arról, hogy a személyes adatok harmadik országba irányuló továbbítására csak akkor kerülhet sor, ha a szóban forgó harmadik ország megfelelő szintű adatvédelmet biztosít, és a tagállami jogszabályokat – amelyek megfelelnek az irányelv egyéb rendelkezéseinek – a továbbítást megelőzően is betartják. |
|
(2) |
A 95/46/EK irányelv 26. cikkének (2) bekezdése azonban úgy rendelkezik, hogy a tagállamok – meghatározott biztosítékok mellett – engedélyezhetik a személyes adatok egyszeri vagy többszöri továbbítását olyan harmadik országokba, amelyek nem biztosítanak megfelelő szintű védelmet. E biztosítékok különösen a megfelelő szerződési feltételekkel jöhetnek létre. |
|
(3) |
A 95/46/EK irányelv értelmében az adatvédelem szintjét az adattovábbítási művelet vagy műveletek összes körülménye ismeretében kell értékelni. A személyes adatfeldolgozás vonatkozásában az egyének védelmével foglalkozó, ezen irányelv alapján létrehozott munkacsoport ( 2 ) iránymutatást bocsátott ki az értékelés elősegítése céljából ( 3 ). |
|
(4) |
A 95/46/EK irányelv 26. cikkének (2) bekezdése, amely az adatokat harmadik országoknak továbbítani kívánó szervezet részére rugalmasságot biztosít, valamint a 26. cikk (4) bekezdése, amely az általános szerződési feltételekről rendelkezik, alapvető fontosságú a személyes adatoknak a Közösség és harmadik országok között szükséges áramlása fenntartásához oly módon, hogy ez ne jelentsen felesleges terheket a gazdasági szereplők számára. Ezek a rendelkezések különösen fontosak annak a ténynek az ismeretében, hogy a Bizottság rövid vagy akár középtávon valószínűleg kevés ország vonatkozásában fogja megállapítani a 25. cikk (6) bekezdése alapján az adatvédelem megfelelő szintjét. |
|
(5) |
Az általános szerződési feltételek alkalmazása csupán egyike a számos rendelkezésre álló lehetőségnek a 95/46/EK alapján – a 25. cikkel és a 26. cikk (1) és (2) bekezdésével együtt – a személyes adatok harmadik ország számára történő jogszerű továbbítására. A szervezetek számára megkönnyíti a személyes adatok harmadik országok részére történő továbbítását, ha az általános szerződési feltételeket szerződésbe foglalják. Az általános szerződési feltételek kizárólag az adatvédelemre vonatkoznak. Az adatok átadója és az adatok átvevője beépíthet a szerződésbe az üzleti kérdésekre vonatkozó olyan egyéb rendelkezéseket, amelyeket a szerződés tárgyához tartozónak tartanak, például az érintettel vagy a felügyeleti hatósággal fennálló vita esetén a kölcsönös segítségnyújtásra vonatkozó rendelkezéseket, amennyiben ezek nem ellentétesek az általános szerződési feltételekkel. |
|
(6) |
Ez a határozat nem sértheti azokat a nemzeti felhatalmazásokat, amelyeket a tagállamok adnak a 95/46/EK irányelv 26. cikke (2) bekezdésének végrehajtására hozott nemzeti rendelkezéseikkel összhangban. Egyes adattovábbítások körülményei szükségessé tehetik, hogy az adatkezelők különböző, a 26. cikk (2) bekezdésének értelmében vett biztosítékokkal szolgáljanak. Mindazonáltal ez a határozat csak arra kötelezi a tagállamokat, hogy ne utasítsák el a benne meghatározott szerződési feltételek megfelelő biztosítékként való elismerését; és ennek megfelelően nem érinti az egyéb szerződési feltételeket. |
|
(7) |
E határozat tárgyi hatálya annak megállapítására korlátozódik, hogy a mellékletben található szerződési feltételeket a Közösségben letelepedett adatkezelő felhasználhatja a 95/46/EK irányelv 26. cikkének (2) bekezdése értelmében vett elegendő biztosíték nyújtásához. A személyes adatok harmadik országok számára történő továbbítása egy adott tagállamban elvégzett adatfeldolgozási művelet, amelynek jogszerűségét a tagállam jogszabályai szerint kell megítélni. Továbbra is a tagállamok adatvédelmi felügyeleti hatóságai illetékesek – a 95/46/EK irányelv 28. cikke szerinti feladataik és hatáskörük gyakorlása során – annak értékelésére, hogy az adatok átadója betartotta-e a 95/46/EK irányelv rendelkezéseinek végrehajtására kiadott nemzeti jogszabályokat, különösen az irányelv szerinti információszolgáltatási kötelezettségre vonatkozó különleges szabályokat. |
|
(8) |
Ez a határozat nem terjed ki a személyes adatok továbbításának azon eseteire, amelyet a Közösség területén letelepedett adatkezelők végeznek a Közösség területén kívül letelepedett olyan címzettek részére, akik kizárólag adatfeldolgozóként működnek. Az ilyen adattovábbítások nem kívánják meg ugyanezen biztosítékokat, hiszen az adatfeldolgozó kizárólag az adatkezelő nevében jár el. A Bizottság az ilyen jellegű adattovábbítással egy következő határozatában szándékozik majd foglalkozni. |
|
(9) |
Célszerű meghatározni azt a minimális információt, amelyet a feleknek meg kell adniuk az adatok továbbítására vonatkozó szerződésben. A tagállamok joga marad a felektől megkívánt információk részletes meghatározása. Ennek a határozatnak az alkalmazását a tapasztalatok fényében felül kell vizsgálni. |
|
(10) |
A Bizottság a jövőben mérlegelni fogja azt is, hogy az üzleti szervezetek és más érdekelt felek által előterjesztett általános szerződési feltételek a 95/46/EK irányelvvel összhangban megfelelő biztosítékot nyújtanak-e. |
|
(11) |
Amellett, hogy a felek szabadon állapodhatnak meg az adatok átvevője által betartandó alapvető adatvédelmi szabályokban, vannak olyan adatvédelmi alapelvek, amelyeket minden esetben alkalmazni kell. |
|
(12) |
Az adatokat csak meghatározott célokra lehet feldolgozni és ezt követően felhasználni vagy továbbadni, és nem lehet a szükségesnél hosszabb ideig tárolni. |
|
(13) |
A 95/46/EK irányelv 12. cikkének megfelelően az érintettnek hozzáférési joga van a rá vonatkozó adatokhoz, és adott esetben joga van bizonyos adatokat kiigazítani, törölni vagy zárolni. |
|
(14) |
További személyesadat-továbbítást harmadik országban letelepedett másik adatkezelő számára csak bizonyos feltételekkel lehet engedélyezni, különösen annak biztosításával, hogy az érintettek megfelelő tájékoztatást kapnak, és lehetőségük van tiltakozni, vagy egyes esetekben megtagadni a hozzájárulásukat. |
|
(15) |
Annak értékelésén felül, hogy a harmadik országok számára történő adattovábbítások összhangban vannak-e a nemzeti joggal, a felügyeleti hatóságoknak kulcsszerepet kell vállalniuk a fenti szerződéses mechanizmusban annak biztosítására, hogy a továbbítást követően is biztosított legyen a személyes adatok megfelelő védelme. Bizonyos körülmények esetén a tagállamok felügyeleti hatóságainak fenn kell tartaniuk a jogot az általános szerződési feltételeken alapuló továbbítás vagy továbbítássorozat megtiltására vagy felfüggesztésére azokban a rendkívüli esetekben, amikor megállapítást nyer, hogy a szerződéses alapon történő adattovábbítás valószínűleg alapvetően kedvezőtlen hatással lenne az érintettnek megfelelő védelmet nyújtó biztosítékokra. |
|
(16) |
Nemcsak a szerződés szerződő feleinek minősülő szervezetek, hanem az érintettek számára is lehetővé kell tenni az általános szerződési feltételek érvényesítését, különösen akkor, ha az érintettek szerződésszegés következményeként kárt szenvednek. |
|
(17) |
A szerződésre irányadó jog annak a tagállamnak a joga, amelyben az adat átadója letelepedett, és amely a kedvezményezett harmadik fél számára lehetővé teszi a szerződés érvényesítését. Az érintettek számára – amennyiben ezt kívánják, és amennyiben a nemzeti jog ezt megengedi – lehetővé kell tenni, hogy egyesületek vagy egyéb szervezetek útján képviseltessék magukat. |
|
(18) |
Az általános szerződési feltételek alapján jogaikat érvényesíteni próbáló érintettek gyakorlati nehézségeinek csökkentése érdekében, az adatok átadójának és átvevőjének egyetemleges felelősséget kell vállalniuk a kedvezményezett harmadik félre vonatkozó kikötés alá tartozó rendelkezések bármilyen megsértéséből eredő károkért. |
|
(19) |
Az érintettnek joga van keresetet indítani, valamint kártérítést követelni az adatok átadójától, az adatok átvevőjétől vagy mindkettőjüktől az általános szerződési feltételekben foglalt kötelezettségekkel összeegyeztethetetlen cselekményekkel okozott károkért. Mindkét fél mentesülhet a felelősség alól, ha bizonyítják, hogy egyikük sem felelős. |
|
(20) |
Az egyetemleges felelősség nem terjed ki a kedvezményezett harmadik félre vonatkozó kikötés által nem érintett rendelkezésekre, és nem jelenti azt, hogy az egyik fél fizeti a másik fél jogellenes adatfeldolgozása miatt keletkező károkat. Bár a két fél közötti kölcsönös kártérítés nem követelménye az érintettek megfelelő védelmének és ezért kihagyható, ez a rendelkezés is szerepel az általános szerződési feltételek között a világos értelmezés biztosítása érdekében, valamint annak elkerülésére, hogy a feleknek egyénileg kelljen a kártérítési kikötésekben megállapodniuk. |
|
(21) |
A felek és az érintett közötti olyan vita esetén, amely békésen nem rendezhető, és amikor az érintett a kedvezményezett harmadik félre vonatkozó kikötésekre hivatkozik, a felek elfogadják az érintett számára a közvetítő útján történő eljárás, a választottbírósági vagy a bírósági eljárás közötti választás lehetőségének felkínálását. Az érintett tényleges választási lehetősége attól függ, hogy rendelkezésre állnak-e megbízható és elismert közvetítő és választott bírósági rendszerek. Az egyik választható lehetőség – ott, ahol ilyen szolgáltatás létezik – a tagállam felügyeleti hatóságai által végzett közvetítői eljárás kell, hogy legyen. |
|
(22) |
A személyes adatfeldolgozás vonatkozásában az egyének védelmével foglalkozó, a 95/46/EK irányelv 29. cikke alapján létrehozott munkacsoport véleményt adott ki az e határozat mellékletében szereplő általános szerződési feltételek által nyújtott védelem szintjéről, és a vélemény e határozat előkészítése során figyelembevételre került ( 4 ). |
|
(23) |
Az e határozatban meghatározott intézkedések összhangban állnak a 95/46/EK irányelv 31. cikke alapján létrehozott bizottság véleményével, |
ELFOGADTA EZT A HATÁROZATOT:
1. cikk
A mellékletben szereplő általános szerződési feltételek megfelelő biztosítékot nyújtónak minősülnek tekintettel az egyének magánélethez való jogának, alapvető jogainak és szabadságjogainak védelmére, valamint a 9/46/EK irányelv 26. cikkének (2) bekezdése által előírt megfelelő jogok gyakorlására.
Az adatkezelők választhatnak a mellékletben szereplő I. és II. csomag között. A feltételeket azonban nem változtathatják meg, illetve nem vonhatnak össze egyes feltételeket, vagy a csomagokat.
2. cikk
Ez a határozat kizárólag a személyes adatok továbbítására vonatkozó, a mellékletben szereplő általános szerződési feltételek által biztosított védelem megfelelő voltára vonatkozik. A határozat nem érinti a 95/46/EK irányelv végrehajtására kiadott és a tagállamokon belül a személyes adatok feldolgozására vonatkozó egyéb nemzeti rendelkezések alkalmazását.
Ez a határozat nem alkalmazható a személyes adatok továbbításának azon eseteire, amelyet a Közösség területén letelepedett adatkezelők végeznek a Közösség területén kívül letelepedett olyan címzettek számára, akik kizárólag adatfeldolgozóként működnek.
3. cikk
E határozat alkalmazásában:
a) a 95/46/EK irányelv meghatározásait kell alkalmazni;
b) „különleges adatkategóriák” a fenti irányelv 8. cikkében említett adatok;
c) „felügyeleti hatóság” a fenti irányelv 28. cikkében említett hatóság;
d) „adatok átadója” a személyes adatokat továbbító adatkezelő;
e) „adatok átvevője” az az adatkezelő, aki e határozat rendelkezéseinek megfelelően az adatok átadójától a személyes adatokat további feldolgozásra átveszi.
4. cikk
(1) A tagállamok illetékes hatóságai – a 95/46/EK irányelv II., III., V. és VI. fejezetei alapján elfogadott nemzeti rendelkezéseknek való megfelelés biztosítása érdekében szükséges intézkedések megtételére vonatkozó hatáskörük sérelme nélkül – jelenlegi hatáskörük gyakorlásával megtilthatják vagy felfüggeszthetik a harmadik országokba irányuló adatáramlást az egyének védelme érdekében, személyes adataik feldolgozását illetően, ha:
a) megállapítást nyer, hogy az adatátvevőre vonatkozó jogszabály olyan, az adott adatvédelmi jogszabályoktól való eltérésre vonatkozó előírásokat támaszt vele szemben, amelyek túlmennek egy demokratikus társadalomban a 95/46/EK irányelv 13. cikkében foglalt szükséges korlátozásokon, amennyiben e korlátozások alapvetően ellenkező hatással lennének az általános szerződési feltételek által nyújtott biztosítékokra; vagy
b) a hatáskörrel rendelkező hatóság megállapította, hogy az adatátvevő nem tartotta tiszteletben a szerződési feltételeket; vagy
c) nagy a valószínűsége annak, hogy a mellékletben szereplő általános szerződési feltételeknek nem tesznek eleget vagy nem fognak eleget tenni, és az adattovábbítás folytatása súlyosan veszélyeztetné az érintetteket.
(2) Az (1) bekezdés céljaira, amikor az adatkezelő a melléklet II. csomagjában szereplő általános szerződési feltételek alapján megfelelő biztosítékokat ír elő, az illetékes adatvédelmi hatóságoknak jogukban áll, hogy meglévő felhatalmazásaik gyakorlásával megtiltsák vagy felfüggesszék az adatáramlást a következő esetek bármelyikében:
a) az adatátvevő megtagadja a jóhiszemű együttműködést az adatvédelmi hatóságokkal, vagy a szerződés szerinti világos kötelezettségeinek teljesítését;
b) amikor az adatátadó megtagadja, hogy megtegye a megfelelő lépéseket az adatátvevővel szemben a szerződésnek a normális, egy hónapos határidőn belül történő érvényesítésére, az illetékes adatvédelmi hatóság által az adatátadónak küldött értesítésről számítva.
Az első albekezdés céljaira a rosszhiszemű megtagadás, vagy a szerződés érvényesítésének megtagadása az adatátvevő részéről nem tartalmazza azokat az eseteket, amikor az együttműködés vagy az érvényesítés ellentétbe kerülne az adatátvevőre vonatkozó nemzeti szabályozás kötelező érvényű követelményeivel, ha azok nem mennek túl a demokratikus társadalomban szükséges mértéken, a 95/46/EK irányelv 13. cikkének (1) bekezdésében felsorolt valamely érdek alapján, különös tekintettel a nemzetközi és/vagy nemzeti aktusokban megállapított szankciókra, az adóbevallási követelményekre vagy a pénzmosással szembeni fellépéssel összefüggő bejelentési kötelezettségekre.
Az első albekezdés a) pontjának céljaira az együttműködés magában foglalhatja különösen az adatátvevő adatfeldolgozó létesítményeinek megvizsgálásra bocsátását, vagy azt a kötelezettséget, hogy betartja a Közösségen belüli adatvédelmi felügyeleti hatóság tanácsát.
(3) Az 1. és a 2. bekezdés szerinti tiltást vagy felfüggesztést meg kell szüntetni, mihelyt a tiltás vagy felfüggesztés okai többé nem állnak fenn.
(4) Amikor a tagállamok intézkedéseket fogadnak el az 1., a 2. és a 3. bekezdés értelmében, késedelem nélkül tájékoztatniuk kell a Bizottságot, amely a tájékoztatást továbbítja a többi tagállamnak.
5. cikk
►M1 A Bizottság a tagállamoknak megküldött értesítést követő három év elteltével a rendelkezésre álló információ alapján értékeli e határozat érvényesülését, valamint az azt érintő módosításról szóló értesítést. ◄ Végkövetkeztetéseiről jelentést készít a 95/46/EK irányelv 31. cikke alapján létrehozott bizottságnak. A jelentésnek tartalmaznia kell a mellékletben szereplő általános szerződési feltételek megfelelő voltának értékelését adott esetben befolyásoló bizonyítékokat, valamint a határozat diszkriminatív alkalmazására vonatkozó esetleges bizonyítékokat.
6. cikk
E határozat rendelkezéseit 2001. szeptember 3-tól kell alkalmazni.
7. cikk
Ennek a határozatnak a tagállamok a címzettjei.
MELLÉKLET
I CSOMAG
1. függelék
az általános szerződési feltételekhez
2. függelék
az általános szerződési feltételekhez
Az 5.b) pont első bekezdésében említett kötelező adatvédelmi alapelvek
Ezeket az adatvédelmi alapelveket a 95/46/EK irányelv rendelkezéseivel (alapelveivel és a vonatkozó kivételekkel) összhangban kell olvasni és értelmezni.
Az alapelveket az adatátvevőre vonatkozó nemzeti jogszabályok olyan kötelező előírásaira figyelemmel kell alkalmazni, amelyek nem lépnek túl a 95/46/EK irányelv 13. cikkének (1) bekezdésében felsorolt valamely érdek alapján a demokratikus társadalomban szükséges rendelkezéseken, azaz a nemzetbiztonságot, a védelmet, a közbiztonságot, a bűncselekmények vagy a külön jogszabályban szabályozott foglalkozások szakmai etikai szabályai megsértésének megelőzését, kivizsgálását, felderítését és eljárás alá vonását, az állam fontos gazdasági vagy pénzügyi érdekét, az érintett védelmét, vagy mások jogait és szabadságjogait biztosító elengedhetetlen intézkedésnek minősülnek.
1. Célhoz kötöttség: adatot feldolgozni, ezt követően felhasználni vagy nyilvánosságra hozni csak a feltételek 1. függelékében szereplő meghatározott célokra lehet. Az adatok csak a továbbítás céljához szükséges ideig tárolhatók.
2. Adatminőség és arányosság: az adatoknak pontosnak és, adott esetben, naprakésznek kell lenniük. Az adatoknak megfelelőnek, a tárgyhoz tartozónak, és a továbbítás illetőleg további adatfeldolgozás céljához viszonyítva arányosnak kell lenniük.
3. Átláthatóság: az érintetteket tájékoztatni kell az adatfeldolgozás céljáról, a harmadik országbeli adatkezelő személyéről, valamint – amennyiben az a tisztességes eljárás biztosításához szükséges – az egyéb információkról, kivéve ha ezeket az információkat az adatátadó már rendelkezésre bocsátotta.
4. Adatbiztonság és titoktartás: az adatkezelőnek meg kell tennie az adatfeldolgozással járó kockázatok – mint például a jogosulatlan hozzáférés – miatt szükséges műszaki és szervezeti biztonsági intézkedéseket. Az adatkezelő megbízásából eljáró személy, ideértve az adatfeldolgozót is, az adatfeldolgozást kizárólag az adatkezelő utasításai szerint végezheti.
5. Hozzáféréshez, kiigazításhoz, törléshez és zároláshoz való jog: a 95/46/EK irányelv 12. cikkének megfelelően az érintettnek biztosítani kell a rá vonatkozó, feldolgozás alatt álló adatokhoz hozzáférés, valamint adott esetben, az olyan adatok kiigazításához, törléséhez és zárolásához való jogot, amelyek feldolgozása nem felel meg az e függelékben szereplő alapelveknek, különösen azért, mert az adatok hiányosak vagy pontatlanok. Az érintett – egyéni helyzetével kapcsolatos lényeges jogos érdekből – tiltakozhat a rá vonatkozó adatok feldolgozása ellen.
6. További adattovábbításokra vonatkozó korlátozások: az adatátvevőtől a megfelelő védelmet nem biztosító vagy a 95/46/EK irányelv 25. cikkének (6) bekezdése szerint a Bizottság által hozott határozat hatálya alá nem tartozó harmadik országban letelepedett adatkezelő felé történő további személyesadat-továbbításra (további adattovábbítás) kizárólag akkor kerülhet sor, ha:
a) különleges adatkategóriák esetében az érintettek egyértelmű hozzájárulásukat adták a további adattovábbításhoz, vagy egyéb esetekben, lehetőségük volt tiltakozni.
Az érintettek részére az általuk ismert nyelven nyújtott tájékoztatásnak legalább a következő információkat kell tartalmaznia:
— a további adattovábbítás célja,
— a Közösségben letelepedett adatátadó személye,
— az adatok további címzettjeinek csoportjai és a célországok, valamint
— az arra vonatkozó magyarázat, hogy a további adattovábbítást követően az adatok olyan országban letelepedett adatkezelő feldolgozásába kerülhetnek, ahol az egyének magántitokhoz való jogának védelme nem megfelelő szintű; vagy
b) az adatátadó és az adatátvevő megállapodnak abban, hogy valamely másik adatkezelő feltételeihez csatlakoznak, amely által az említett adatkezelő a feltételek tekintetében félnek minősül, és az adatátvevővel azonos kötelezettséget vállal.
7. Különleges adatkategóriák: a 95/46/EK irányelv értelmében további garanciákra – különösen olyan megfelelő biztonsági intézkedésekre, mint az adatátvitel szigorú kódolása vagy a szenzitív adatokba való betekintésről vezetett nyilvántartás – van szükség, ha a feldolgozás alatt álló adatok faji vagy etnikai származásra, politikai nézetekre, vallási vagy filozófiai meggyőződésre vagy szakszervezeti tagságra utalnak, illetve az egészségi állapotra, a szexuális életre, továbbá bűncselekményekre, büntetett előéletre vagy biztonsági intézkedésekre vonatkoznak.
8. Direkt marketing: amennyiben az adatokat direkt marketing céljából dolgozzák fel, hatékony eljárásokat kell biztosítani arra, hogy az érintett bármikor „kivonhassa magát” adatainak ilyen célú tárolása alól.
9. Automatizált egyedi döntések: az érintetteknek joguk van arra, hogy kivonják magukat az olyan döntések hatálya alól, amelyek kizárólag automatizált adatfeldolgozáson alapulnak, kivéve ha a 95/46/EK irányelv 15. cikkének (2) bekezdésének megfelelően egyéb intézkedésekkel biztosítják az egyén jogos érdekeinek védelmét. Amennyiben az adattovábbítás célja a 95/46/EK irányelv 15. cikkében említett olyan automatikus döntéshozatal, amely az egyénre nézve joghatással jár, vagy őt jelentős mértékben érinti, és amely kizárólag egyes rá vonatkozó, személyes tulajdonságok – mint munkahelyi teljesítmény, hitelesség, megbízhatóság, magatartás stb. – értékelésére szolgáló automatizált adatfeldolgozáson alapul, akkor az egyénnek joga van megismernie e döntés indokolását.
3. függelék
az általános szerződési feltételekhez
Az 5. b) pont második bekezdésében említett kötelező adatvédelmi alapelvek
1. Célhoz kötöttség: adatot feldolgozni, ezt követően felhasználni vagy nyilvánosságra hozni csak a feltételek 1. függelékében szereplő meghatározott célokra lehet. Az adatok csak a továbbítás céljához szükséges ideig tárolhatók.
2. Hozzáféréshez, kiigazításhoz, törléshez és zároláshoz való jog: a 95/46/EK irányelv 12. cikkének megfelelően az érintettnek biztosítani kell a rá vonatkozó, feldolgozás alatt álló adatokhoz való hozzáférés, valamint adott esetben, az olyan adatok kiigazításához, törléséhez és zárolásához való jogot, amelyek feldolgozása nem felel meg az e függelékben szereplő alapelveknek, különösen azért, mert az adatok hiányosak vagy pontatlanok. Az érintett – egyéni helyzetével kapcsolatos lényeges jogos érdekből – tiltakozhat a rá vonatkozó adatok feldolgozása ellen.
3. További adattovábbításokra vonatkozó korlátozások: az adatátvevőtől a megfelelő védelmet nem biztosító vagy a 95/46/EK irányelv 25. cikkének (6) bekezdése szerint a Bizottság által hozott határozat hatálya alá nem tartozó harmadik országban letelepedett adatkezelő felé történő további személyesadat-továbbításra (további adattovábbítás) kizárólag akkor kerülhet sor, ha:
a) különleges adatkategóriák esetében az érintettek egyértelmű hozzájárulásukat adták a további adattovábbításhoz, vagy egyéb esetekben, lehetőségük volt tiltakozni.
Az érintettek részére az általuk ismert nyelven nyújtott tájékoztatásnak legalább a következő információkat kell tartalmaznia:
— a további adattovábbítás célja,
— a Közösségben letelepedett adatátadó személye,
— az adatok további címzettjeinek csoportjai és a célországok, valamint
— az arra vonatkozó magyarázat, hogy a további adattovábbítást követően az adatok olyan országban letelepedett adatkezelő feldolgozásába kerülhetnek, ahol az egyének magántitokhoz való jogának védelme nem megfelelő szintű; vagy
b) az adatátadó és az adatátvevő megállapodnak abban, hogy valamely másik adatkezelő feltételeihez csatlakoznak, amely által az említett adatkezelő a feltételek tekintetében félnek minősül, és az adatátvevővel azonos kötelezettséget vállal.
II. CSOMAG
általános szerződési feltételek személyes adatoknak harmadik országokba irányuló továbbadására (átadások kezelőtől kezelőnek)
Adatátadási megállapodás
Egyfelől
_(név)
_(cím és székhely szerinti ország)
a továbbiakban „adatátadó”
és
_(név)
_(cím és székhely szerinti ország)
a továbbiakban „adatátvevő”
egyenként a „szerződő fél”, együttesen „a szerződő felek”
Fogalommeghatározások
A feltételek alkalmazásában:
a) „személyes adatok”, „különleges adatkategóriák”/„érzékeny információk”, „folyamat/feldolgozás”, „kezelő”, „feldolgozó”, „érintett” és „felügyeleti hatóság/hatóság” ugyanazzal a jelentéssel bír, mint az 1995. október 24-i 95/46/EK irányelvben (ahol „a hatóság” az illetékes adatvédelmi hatóságot jelenti azon a területen, ahol az adatátvevő be van jegyezve);
b) „az adatátadó” a személyes adatokat továbbító adatkezelőt jelenti;
c) „az adatátvevő” azt az adatkezelőt jelenti, aki beleegyezik abba, hogy az adatátadótól személyes adatokat vegyen át további feldolgozásra ezeknek a feltételeknek az alapján, és akire nem vonatkozik egy harmadik ország megfelelő védelmet biztosító rendszere;
d) „feltételek” jelentik ezeket a szerződési feltételeket, amelyek önálló dokumentumot képeznek, amely nem tartalmazza a felek által megállapított, külön üzleti megállapodásban szereplő üzleti kondíciókat.
Az átadás részleteit (valamint a vonatkozó személyes adatokat) a B melléklet konkretizálja, amely ezeknek a feltételeknek szerves részét képezi.
I. Az adatátadó kötelezettségei
Az adatátadó garantálja és vállalja, hogy
a) A személyes adatok összegyűjtése, feldolgozása és átadása az adatátadóra vonatkozó jogszabályoknak megfelelően történt.
b) Megtette az indokolt erőfeszítéseket annak megállapítására, hogy az adatátvevő képes-e az ezen feltételek szerinti jogi kötelezettségeinek a teljesítésére.
c) Átadja az adatátvevőnek, kérésre, a vonatkozó adatvédelmi jogszabályok másolatait vagy az azokra való utalásokat (amikor arra szükség van, jogi tanácsadás nélkül) annak az országnak a tekintetében, amelyben az adatátadó székhelye van.
d) Válaszol az érintettek és a hatóság megkereséseire a személyes adatoknak az adatátvevő által történő feldolgozását illetően, kivéve, ha a felek úgy állapodtak meg, hogy az adatátvevő válaszol ezekre, amely esetben az adatátadó is válaszolni fog, az indokoltan megvalósítható mértékben és azokon az információkon belül, amelyek indokoltan a rendelkezésére állnak, ha az adatátvevő nem akar, vagy nem tud választ adni. A válaszokat indokolt időn belül meg kell adni.
e) Rendelkezésre bocsát, kérés alapján, egy másolatot a feltételekből azoknak az érintetteknek, akik harmadik félként kedvezményezettek, a III. feltétel szerint, kivéve, ha a feltételek bizalmas információkat tartalmaznak, amely esetben az ilyen információkat eltávolíthatja. Amikor az információt eltávolítják, az adatátadónak írásban tájékoztatnia kell az érintetteket az eltávolítás okáról és arról a jogukról, hogy az eltávolításra felhívják a hatóság figyelmét. Mindazonáltal, az adatátadóra nézve kötelező a hatóság határozata a feltételek teljes szövegének hozzáférhetőségéről az érintettek számára, mindaddig, amíg az érintettek beleegyeztek abba, hogy az eltávolított bizalmas információ bizalmasságát megőrzik. Az adatátadónak a feltételek egy példányát biztosítania kell a hatóság számára is, ahol ez követelmény.
II. Az adatátvevő kötelezettségei
Az adatátvevő garantálja és vállalja, hogy:
a) Megvalósítja a megfelelő műszaki és szervezeti intézkedéseket a személyes adatok véletlen vagy jogtalan tönkretételével vagy véletlen elvesztésével, módosításával, jogosulatlan közzétételével vagy hozzáférésével szemben, amelyeknek megfelelő szintű biztonságot kell jelenteniük a megvédendő adatok feldolgozása által képviselt kockázat és az adatok jellege szerint.
b) Kialakítja azokat az eljárásokat, amelyek szerint az a harmadik fél, aki a személyes adatokhoz hozzáfér, a feldolgozókat is beleértve, tiszteletben fogja tartani és be fogja tartani a személyes adatok bizalmasságát és biztonságát. Bármely személy, aki az adatátvevő felügyelete alatt cselekszik, beleértve a feldolgozót, köteles a személyes adatokat csak az adatátvevőtől kapott utasításoknak megfelelően feldolgozni. Ez a rendelkezés nem vonatkozik azokra a személyekre, akiket törvény vagy jogszabály hatalmaz fel a személyes adatokhoz való hozzáférésre.
c) Nincs oka azt hinni ezeknek a feltételeknek az elfogadásakor, hogy vannak olyan helyi jogszabályok, amelyek lényeges ellentétes hatást gyakorolnának az ezekben a feltételekben előírt garanciákhoz képest, és az adatátadót tájékoztatni fogja, ha ilyen jogszabályok a tudomására jutnak (az pedig továbbítja ezt az értesítést a hatóságnak, ha ez szükséges).
d) A személyes adatokat a B mellékletben leírt célokra dolgozza fel, és rendelkezik azzal a jogi hatáskörrel, hogy megadja azokat a garanciákat és teljesítse a vállalásokat, amelyek ezekben a feltételekben szerepelnek.
e) Az adatátadó számára megad egy kapcsolattartót a szervezetén belül, aki fel van hatalmazva arra, hogy válaszoljon a személyes adatok feldolgozásával kapcsolatos megkeresésekre, aki jóhiszeműen együttműködik az adatátadóval, az érintettel és a hatósággal, minden ilyen megkereséssel kapcsolatban, ésszerű határidőn belül. Az adatátadó jogi megszűnése esetében, vagy ha a felek így egyeznek meg, az adatátvevő felel az I. feltétel e) pontja rendelkezéseinek teljesítéséért.
f) Az adatátadó kérésére átadja az adatátadó számára a bizonyítékot arra vonatkozóan, hogy elegendő pénzügyi forrással rendelkezik a III. feltétel szerinti kötelezettségeinek teljesítéséhez (ami magában foglalhatja a biztosítási kötelezettséget is).
g) Az adatátadó indokolt kérése esetén a feldolgozáshoz szükséges adatfeldolgozó létesítményeit, adatfájljait és dokumentációját átvizsgálásra, ellenőrzésre és/vagy tanúsításra az átadó (vagy az átadó által kiválasztott, az adatátvevő által indokoltan nem kifogásolható bármely független vagy pártatlan vizsgálati megbízott vagy bevizsgáló) rendelkezésére bocsátja, az ezekben a feltételekben szereplő garanciák és vállalások megfelelősége ellenőrzése céljára, ésszerű előzetes értesítéssel és a szokásos üzleti nyitvatartási időben. A kérelemre érvényes az, hogy valamilyen beleegyezés vagy jóváhagyás szükséges lehet hozzá az adatátvevő országában a szabályozó vagy felügyelő hatóság részéről, amely beleegyezést vagy jóváhagyást az adatátvevő megkísérel a kellő időben megszerezni.
h) A személyes adatokat saját választása szerint a következők szerint dolgozza fel:
i) annak az országnak a törvényei szerint, ahol az adatátadó székhelye van; vagy
ii) a 95/46/EK irányelv 25. cikkének (6) bekezdése alapján létrejött bizottsági rendelet vonatkozó rendelkezései ( 5 ) szerint, amikor az adatátvevő betartja az ilyen felhatalmazás vagy határozat vonatkozó rendelkezéseit, és olyan országban van a székhelye, amelyben egy ilyen felhatalmazás vagy határozat érvényes, de nem vonatkozik rá ilyen felhatalmazás vagy határozat a személyes adatok átadásának céljaira ( 6 ); vagy
iii) Az A mellékletben ismertetett adatfeldolgozási elvek szerint.
Az adatátvevőnek meg kell jelölnie, hogy melyik opciót választja: _
Az adatátvevő kézjegye: _;
i) Nem ismertet meg vagy ad át személyes adatot egy harmadik félként szereplő, az Európai Gazdasági Térségen (EGT) kívüli adatkezelőnek, kivéve, ha az átadásról értesíti az adatátadót, valamint
i) a harmadik fél adatkezelő a személyes adatokat egy olyan bizottsági határozat alapján dolgozza fel, amely szerint a harmadik ország kellő védelmet biztosít, vagy
ii) a harmadik félként szereplő adatkezelő aláírója ezeknek a feltételeknek vagy más, adatátadással kapcsolatos megállapodásnak, amelyet az EU illetékes hatósága jóváhagyott, vagy
iii) Az érintettek lehetőséget kaptak arra, hogy ellenvetést tegyenek, miután tájékoztatták őket az átadás céljairól, a címzettek kategóriáiról és arról a tényről, hogy azok az országok, amelyekbe az adatokat továbbítják esetleg eltérő adatvédelmi szabványokkal rendelkeznek, vagy
iv) az érzékeny információk odairányuló átadásainak tekintetében az érintettek egyértelmű beleegyezésüket adták az odairányuló átadáshoz.
III. Felelősségviselés és harmadik felek jogai
a) Mindegyik fél felel a másik féllel szemben azokért a károkért, amelyeket ezeknek a feltételeknek a megsértésével okoz. A felek közötti felelősségviselés a ténylegesen elszenvedett kárra korlátozódik. A büntető jellegű károk (azaz olyan károk, amelyek az egyik felet tűrhetetlen viselkedése miatti büntetést szolgálják) kifejezetten kizárásra kerülnek. Mindegyik fél felel az érintettekkel szemben azokért a károkért, amelyeket egy harmadik személy ezen feltételek szerinti jogainak megsértésével okoz. Ez nem érinti az adatátadó felelősségét adatvédelmi törvénye szerint.
b) A felek megállapodnak abban, hogy az érintettnek jogában áll harmadik személy kedvezményezettként ezt a feltételt és a I. feltétel b) pontját, I. feltétel d) pontját, I. felvétel e) pontját, II. feltétel a) pontját, II. feltétel c) pontját, II. feltétel d) pontját, II. feltétel e) pontját, II. feltétel h) pontját, II. feltétel i) pontját, III. feltétel a) pontját, V. feltételt, VI. feltétel d) pontját, és VII. feltételt érvényesíteni az adatátvevővel vagy az adatátadóval szemben, ha azok a maguk részéről szerződéses kötelezettségeiket megsértik személyes adataival kapcsolatban, és elfogadja erre a célra az adatátadó székhelye szerinti ország jogrendjét. Azokban az esetekben, amikor felmerül az adatátvevő állítólagos szerződésszegése, az érintettnek először az adatátadót kell kérnie, hogy tegye meg a szükséges lépéseket jogainak érvényesítésére az adatátvevővel szemben; ha az adatátadó ilyen lépéseket nem tesz ésszerű időn belül (ami normális esetben egy hónap), az érintett közvetlenül érvényesítheti jogait az adatátvevővel szemben. Az érintettnek jogában áll közvetlenül eljárni az adatátadónál, ha az nem tette meg az indokolt erőfeszítéseket annak megállapítására, hogy az adatátvevő képes-e megfelelni az ezen feltételek szerinti jogi kötelezettségeinek (az adatátadót terheli az indokolt erőfeszítések megtétele).
IV. A feltételekre alkalmazandó jog
Ezekre a feltételekre annak az országnak a jogszabályai vonatkoznak, amelyben az adatátadó székhelye van, kivéve azokat a törvényeket és rendeleteket, amelyek a személyes adatoknak az adatátvevő által történő feldolgozására a II. feltétel h) pontja szerint vonatkoznak, amelyek csak akkor alkalmazandók, ha az adatátvevő annál a feltételnél ezt választotta.
V. Viták rendezése az érintettekkel vagy a hatósággal
a) Abban az esetben, ha a személyes adatok feldolgozásával kapcsolatban vita, illetve az érintett vagy a hatóság részéről igény merül fel a felek egyikével, vagy mindkettőjükkel szemben, a felek tájékoztatják egymást az ilyen vitákról vagy igényekről, és együttműködnek annak érdekében, hogy azokat barátságos módon és időben rendezzék.
b) A felek megállapodnak abban, hogy elfogadják az érintett vagy a hatóság által kezdeményezett általánosan elfogadott, nem kötelező érvényű közvetítés eljárást. Ha az eljárásban részt vesznek, a felek dönthetnek úgy, hogy ezt a távolból teszik (például telefonon vagy más elektronikus eszköz révén). A felek megállapodnak arról is, hogy megfontolnak minden más, olyan választottbírósági, közvetítői vagy más vitarendezési eljárást, amelyet az adatvédelmi viták rendezésére alakítottak ki.
c) Mindegyik fél számára kötelező az adatátadó székhelye szerinti ország illetékes bíróságának vagy hatóságának határozata, amely végleges és amely ellen további fellebbezésnek nincs helye.
VI. Megszüntetés
a) Abban az esetben, ha az adatátvevő megsérti az ezen feltételek szerinti kötelezettségeit, akkor az adatátadó ideiglenesen felfüggesztheti a személyes adatok védelmének továbbítását az adatátvevő felé, mindaddig, amíg a sérelem meg nem szűnik vagy a szerződés megszüntetésre nem kerül.
b) Abban az esetben, ha:
i. a személyes adatoknak az adatátvevőhöz való továbbadása ideiglenesen felfüggesztésre került az adatátadó részéről, egy hónapnál hosszabb időszakra az a) bekezdés alapján;
ii. az, ha az adatátvevő betartaná ezeket a feltételeket, jogi vagy szabályozási kötelezettségeinek megszegését eredményezné az átvevő országban;
iii. az adatátvevő jelentős mértékben vagy tartósan megszegi azokat a garanciákat vagy vállalásokat, amelyeket ezeknek a feltételeknek az alapján adott;
iv. az adatátadó székhelye szerinti ország illetékes bíróságának vagy a hatóságnak a végleges, nem megfellebbezhető határozata kimondja, hogy az adatátvevő vagy az adatátadó ezeket a feltételeket megsértette; vagy
v. kérelmet nyújtottak be az adatátvevő felszámolására vagy végelszámolására, akár személyes, akár üzleti minőségben, amely kérelmet nem utasítottak el az ilyen elutasítás számára az alkalmazandó törvény szerint nyitva álló időszakon belül; a végelszámolást elrendelték; felszámolót neveztek ki eszközeinek bármely részére; csődgondnokot neveztek ki, ha az adatátvevő magánszemély; hitelezői megállapodást kezdeményezett; vagy egy bármely jogrendben ezzel egyenértékű esemény történt
akkor az adatátadó, minden más, az adatátvevővel kapcsolatos jogának sérelme nélkül, jogosult ezeknek a feltételeknek a megszüntetésére, amely esetben a hatóságot tájékoztatni kell, ha van ilyen követelmény. A fenti i., ii. vagy iv. esetekben az adatátvevő is megszüntetheti ezeket a feltételeket.
c) Bármelyik fél megszüntetheti ezeket a feltételeket, ha i. a 95/46/EK irányelv 25. cikkének (6) bekezdése (vagy annak helyébe lépő szöveg) alapján a Bizottság határozata kimondja, hogy az az ország (vagy annak az az ágazata), ahová az adatokat továbbítják és azokat az adatátvevő feldolgozza, a követelményeknek megfelel, vagy ii. a 95/46/EK irányelv (vagy az annak helyébe lépő bármely szöveg) közvetlenül alkalmazandóvá válik az adott országban.
d) A felek megállapodnak abban, hogy ezeknek a feltételeknek a megszüntetése, bármikor, bármilyen körülmények között és bármely okból történik is (kivéve a VI. feltétel c) pontja szerinti megszüntetést), nem mentesíti őket azok alól a kötelezettségek és/vagy kondíciók alól, amelyek a feltételekben szerepelnek, az átadott személyes adatok feldolgozását illetően.
VII. A feltételek megváltoztatása
A felek nem módosíthatják ezeket a feltételeket, kivéve, ha valamely információt frissítenek a B mellékletben, amely esetben tájékoztatják a hatóságot, ha van ilyen követelmény. Ez nem akadályozza meg, hogy a felek kiegészítő üzleti feltételeket adjanak hozzá, amennnyiben az szükséges.
VIII. Az adatátadás leírása
A személyes adatok átadásának részleteit a B melléklet konkretizálja. A felek megállapodnak abban, hogy a B melléklet tartalmazhat bizonyos bizalmas üzleti információkat, amelyet nem közölnek harmadik felekkel, kivéve, ha azt a törvény megköveteli, vagy ha illetékes szabályozási vagy kormányzati szervnek válaszolnak, vagy ha azt az I. feltétel e) pontja megköveteli. A felek további mellékleteket készíthetnek a további átadásokra vonatkozóan, amelyeket a hatóságnak be kell nyújtani, ha van ilyen követelmény. A B melléklet elkészíthető oly módon is, hogy több átadásra vonatkozzon.
Kelt: _
_
_
AZ „ADATÁTVEVŐ” RÉSZÉRŐL
AZ „ADATÁTADÓ” RÉSZÉRŐL
…
…
…
…
…
…
A. MELLÉKLET
ADATFELDOLGOZÁSI ELVEK
1. A cél korlátozása: a személyes adatokat feldolgozni és később felhasználni vagy továbbadni csak a B mellékletben leírt, vagy az érintett által a későbbiekben engedélyezett célokra lehet.
2. Az adatok minősége és arányossága: a személyes adatoknak pontosaknak kell lenniük, és szükség esetén naprakésszé kell azokat tenni. A személyes adatoknak megfelelőeknek, relevánsaknak és nem túlzottaknak kell lenniük azoknak a céloknak a szempontjából, amelyekre azokat átadták, vagy tovább feldolgozták.
3. Átláthatóság: Az érintetteknek meg kell adni azokat a szükséges tájékoztatást, amely biztosítja a tisztességes feldolgozást (mint például tájékoztatás a feldolgozás céljairól és az átadásról), kivéve, ha az ilyen tájékoztatást az adatátadó már megadta.
4. Biztonság és titoktartás: Az adatkezelőnek meg kell valósítania azokat a technikai és szervezeti biztonsági intézkedéseket, amelyek a kockázatoknak megfelelnek, mint például a véletlen vagy jogtalan tönkretétellel vagy véletlen elvesztéssel, módosítással, jogtalan közzététellel vagy hozzáféréssel kapcsolatosak a feldolgozás során. Bármely személy, aki az adatkezelő felügyelete alatt cselekszik, beleértve a feldolgozót, köteles a személyes adatokat csak az adatkezelőtől kapott utasításoknak megfelelően feldolgozni.
5. Hozzáférési jogok, pontosítás, törlés és kifogás: Ahogyan azt a 95/46/EK irányelv 12. cikke előírja, az érintetteknek – akár közvetlenül, akár egy harmadik félen keresztül – meg kell adni azokat a róluk szóló személyes információkat, amelyekkel a szervezet rendelkezik, kivéve azokat a kérelmeket, amelyek nyilvánvalóan rosszindulatúak az indokolatlan indőintervallumok, vagy számuk, illetve ismétlődő vagy rendszeres jellegük miatt, vagy amelyek esetében az adatátadó országának joga szerint a hozzáférést nem kell megadni. Feltéve, hogy a hatóság nem adott előző jóváhagyást, a hozzáférést akkor sem kell megadni, ha az valószínűleg súlyos kárt okozna az adatátvevő vagy más, az adatátvevővel kapcsolatban álló szervezet érdekeinek, és ezek az érdekek nem előzik meg az érintett alapvető jogaiból és szabadságjogaiból következő érdekeket. A személyes adatok forrásait nem kell beazonosítani akkor, amikor az ésszerű erőfeszítésekkel ez nem lehetséges, vagy amikor az adott egyéntől különböző személyek jogai sérülnének. Az érintetteknek képeseknek kell lenniük arra, hogy a róluk szóló információt helyesbíttessék, módosíttassák vagy töröltessék, ha az pontatlan, vagy feldolgozása ezektől az elvektől eltérően történt. Ha vannak kényszerítő okok a kérelem jogosságában való kételkedésre, a szervezet kérhet további igazolásokat, mielőtt a helyesbítéshez, módosításhoz vagy törléshez hozzálát. A helyesbítésről, módosításról vagy törlésről harmadik személyeknek értesítést nem kell küldeni, ha ez aránytalan erőfeszítést igényelne. Az érintetteknek képesnek kell lenniük arra is, hogy a rájuk vonatkozó személyes adatok feldolgozását ellenezzék, ha vannak kényszerítő okok az adott helyzettel kapcsolatban. A bizonyítás terhét az esetleges visszautasítás esetén az adatátvevő viseli, és az érintett mindig fellebbezhet a visszautasítással szemben a hatóságnál.
6. Érzékeny információ: Az adatátvevőnek kell megtenni a kiegészítő intézkedéseket (pl. a biztonsággal kapcsolatban), ahogyan azokra szükség van az ilyen érzékeny információ megvédésére, a II. feltétel szerinti kötelezettségeivel összhangban.
7. A marketing célra használt adatok: Amikor az adatok feldolgozása közvetlen marketing céljára történik, hatékony eljárásoknak kell lenniük arra, hogy az érintett bármikor „kimaradhasson” adatainak ilyen célokra történő felhasználásából.
8. Automatizált döntések: Ennek a dokumentumnak a céljaira az „automatizált döntés” az adatátadó vagy az adatátvevő által hozott olyan döntést jelenti, amely jogi hatásokat eredményez az érintettel szemben, vagy jelentős hatást gyakorolt az érintettre, és amely egyedül a személyes adatok automatizált feldolgozásán alapul, éspedig olyan adatokén, amelyek a rá vonatkozó egyes szempontok értékelését szolgálják, mint például a munkában nyújtott teljesítménye, hitelképessége, megbízhatósága, viselkedése, stb. Az adatátvevő nem hozhat semmilyen automatizált döntést az érintettekről, kivéve, amikor:
i) az ilyen döntéseket az adatátvevő akkor hozza, amikor az érintettel szerződést köt vagy azt teljesíti, és
ii) az érintettnek lehetősége van a vonatkozó automatizált döntés eredményeinek megvitatására az ilyen döntést hozó fél képviselőjével, vagy más módon fejtheti ki a véleményét.
vagy
b) Amikor az adatátadó joga másként rendelkezik.
B. MELLÉKLET
AZ ADATÁTADÁS LEÍRÁSA
A feleknek kell kitölteniük
ILLUSZTRÁCIÓS JELLEGŰ ÜZLETI FELTÉTELEK (VÁLASZTHATÓ)
Az adatátadó és az adatátvevő közötti kártalanítási ügyek
„A felek kártalanítják és kármentesítik egymást minden olyan költséggel, megterheléssel, kárral, ráfordítással vagy veszteséggel szemben, amelyet egymásnak okoztak az ezen feltételek bármelyikének megszegésének eredményeként. Az ilyen kártalanítás feltétele, hogy a) kártalanítandó fél (felek) (a „kártalanított fél/felek”) haladéktalanul értesítsék a másik felet (feleket) („a kártalanító fél/felek”) az igényről, b) a kártalanító fél/felek egyedüli illetékességgel bírjanak az ilyen igény megvédésében és rendezésében, és c) a kártalanított fél/felek ésszerűen együttműködjenek és segítséget nyújtsanak a kártalanító félnek/feleknek az ilyen igény védelmében.”
Viták rendezése az adatátadó és az adatátvevő között (a felek természtesen bármely más alternatív vitarendezési vagy igazságszolgáltatási feltételt behelyettesíthetnek):
„Az adatátvevő és az adatátadó közötti, bármiféle, ezeknek a feltételeknek az állítólagos megszegésével kapcsolatos vita esetén, az ilyen vitát végső soron a Nemzetközi Kereskedelmi Kamara választottbírósági szabályai, vagy a hivatkozott szabályokkal összhangban kinevezett egy vagy több választottbíró révén kell rendezni. A választottbíráskodás helye [ ]. A választottbírák száma [ ].”
Költségek megosztása:
„Mindegyik félnek az ezekben a feltételekben foglalt kötelezettségeit saját költségére kell teljesítenie.”
Rendkívüli megszüntetési záradék:
„Ezeknek a feltételeknek a megszűnése esetén az adatátvevőnek vissza kell adni minden személyes adatot és a személyes adatok minden másolatát, amelyekre ezek a feltételek vonatkoznak az adatátadónak azonnal, vagy az adatátadó választása szerint, megsemmisíti azok minden példányát, és igazolja az adatátadó számára, hogy ezt megtette, kivéve, ha az adatátvevő számára nemzeti joga vagy helyi szabályozója megtiltja, hogy az ilyen adatok megsemmisítse vagy visszaadja, amely esetben az adatokat bizalmasan kell kezelni és semmilyen célra nem szabad aktívan felhasználni. Az adatátvevő beleegyezik, hogy ha azt az adatátadó kéri, megengedi az adatátadónak vagy az adatátadó által kiválasztott és az adatátvevő által indokoltan nem kifogásolt vizsgálati megbízottnak, hogy létesítményét felkeresse, annak ellenőrzésére, hogy ez megtörtént, ésszerű előzetes értesítés mellett és az üzleti nyitvatartás idejében.”
( 1 ) HL L 281., 1995.11.23., 31. o.
( 2 ) ti A munkacsoport internetcíme:
http://www.europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm.
( 3 ) WP 4 (5020/97) „Munkaanyag a személyes adatoknak harmadik országokba irányuló átadásával kapcsolatos elsődleges orientációról – a megfelelőség értékelésének lehetséges útjai”, a munkacsoport által 1997. június 26-án elfogadott vitaanyag.
WP 7 (5057/97) „Az ipar önszabályozásának megítélése: mikor jelent ez jelentős hozzájárulást az adatvédelem szintjéhez valamely harmadik országban?”, a munkacsoport által 1998. január 14-én elfogadott munkaanyag.
WP 9 (3005/98) „Előzetes vélemény a harmadik országokba irányuló személyes adatok átadása vonatkozásában alkalmazott szerződéses rendelkezésekről”, a munkacsoport által 1998. április 22-én elfogadott munkaanyag.
WP 12: „Személyes adatok továbbítása harmadik országok részére az EU adatvédelmi irányelve 25. és 26. cikkének alkalmazásával”, a munkacsoport által 1998. július 24-én elfogadott munkaanyag, elérhető a Bizottság internetoldalán: „europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/wp12/en”.
( 4 ) A munkacsoport 2001. január 26-i 1/2001 véleménye (DG MARKT 5102/00 WP 38), amely elérhető a Bizottság „Európa” internetoldalán.
( 5 ) „Vonatkozó rendelkezések” jelenti bármely engedély vagy határozat rendelkezéseit, kivéve az engedély vagy határozat érvényesítésére vonatkozó rendelkezéseket (amelyekre a jelen feltételek vonatkoznak).
( 6 ) Az A. melléklet 5. pontjának a hozzáférési, helyesbítési, törlési és ellenvetési jogokkal kapcsolatos rendelkezései azonban alkalmazandók, amikor ezt az opciót választották, és megelőzik a kiválasztott bizottsági határozat valamennyi ezekkel kapcsolatos rendelkezését.