12.2.2010   

HU

Az Európai Unió Hivatalos Lapja

L 39/5


A BIZOTTSÁG HATÁROZATA

(2010. február 5.)

a 95/46/EK európai parlamenti és tanácsi irányelv alapján a személyes adatok harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről

(az értesítés a C(2010) 593. számú dokumentummal történt)

(EGT-vonatkozású szöveg)

(2010/87/EU)

AZ EURÓPAI BIZOTTSÁG,

tekintettel az Európai Unió működéséről szóló szerződésre,

tekintettel a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelvre (1) és különösen annak 26. cikke (4) bekezdésére,

az európai adatvédelmi biztossal folytatott konzultációt követően,

mivel:

(1)

A 95/46/EK irányelv értelmében a tagállamoknak biztosítaniuk kell, hogy a személyes adatoknak egy harmadik országba történő továbbítására csak abban az esetben kerülhessen sor, ha az érintett harmadik állam gondoskodik a megfelelő szintű adatvédelemről, és ha az adatok továbbítása előtt a tagállamoknak az irányelv egyéb rendelkezéseivel összhangban álló jogszabályait tiszteletben tartják.

(2)

A 95/46/EK irányelv 26. cikkének (2) bekezdése azonban úgy rendelkezik, hogy a tagállamok – meghatározott biztosítékok mellett – engedélyezhetik a személyes adatok egyszeri vagy többszöri továbbítását olyan harmadik országokba, amelyek nem biztosítanak megfelelő szintű védelmet. E biztosítékok különösen a megfelelő szerződési feltételekkel jöhetnek létre.

(3)

A 95/46/EK irányelv értelmében az adatvédelem szintjét az adattovábbítás vagy adattovábbítások valamennyi körülményének ismeretében kell értékelni. Az említett irányelv által létrehozott, a személyes adatok feldolgozása tekintetében az egyének védelmével foglalkozó munkacsoport útmutatót bocsátott ki az ilyen értékelések segítése céljából.

(4)

Általános szerződési feltételek kizárólag az adatvédelemre vonatkozhatnak. Így az adatátadó, illetve adatátvevő a szerződés szempontjából lényegesnek tartott egyéb, üzleti vonatkozású feltételekkel kiegészítheti a szerződést, amennyiben ezek nem ellentétesek az általános szerződési feltételekkel.

(5)

Ez a határozat nem sértheti azokat a nemzeti felhatalmazásokat, amelyeket a tagállamok adhatnak a 95/46/EK irányelv 26. cikke (2) bekezdésének végrehajtására hozott nemzeti rendelkezéseikkel összhangban. E határozat hatálya csak arra terjed ki, hogy a tagállamok az abban megállapított általános szerződési feltételek megfelelő biztosíték jellegét elismerjék; így ez a határozat nem érinti az egyéb szerződési feltételeket.

(6)

A 95/46/EK irányelv alapján a személyes adatoknak harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről szóló, 2001. december 27-i 2002/16/EK bizottsági határozatot (2) azzal a céllal fogadták el, hogy megkönnyítsék a személyes adatoknak egy Európai Unióban letelepedett adatkezelő által egy nem megfelelő szintű adatvédelemmel rendelkező harmadik országban letelepedett adatfeldolgozó felé történő továbbítását.

(7)

A 2002/16/EK határozat elfogadása óta jelentős tapasztalatot sikerült gyűjteni. Továbbá, a személyes adatok harmadik országok felé történő továbbítására vonatkozó általános szerződési feltételekről szóló határozatok végrehajtásáról készített jelentések (3) arról tanúskodnak, hogy növekvő érdeklődés övezi a személyes adatok nem megfelelő védelmet biztosító harmadik országok felé történő nemzetközi továbbítására vonatkozó általános szerződési feltételek alkalmazásának előmozdítását. Emellett az érdekelt felek javaslatokat nyújtottak be a 2002/16/EK határozatban megállapított általános szerződéses feltételek naprakésszé tétele céljából, hogy e feltételek figyelembe vegyék a világszintű adattovábbítási tevékenységek rohamos terjedését, és foglalkozzanak néhány, az említett határozat által nem tárgyalt kérdéssel (4).

(8)

E határozat hatálya annak megállapítására korlátozódik, hogy az Európai Unióban letelepedett adatkezelő az e határozatban megállapított szerződési feltételeket használhatja ahhoz, hogy a személyes adatoknak egy harmadik országban letelepedett feldolgozó felé történő továbbítására vonatkozó, a 95/46/EK irányelv 26. cikke (2) bekezdése szerinti megfelelő biztosítékok meglegyenek.

(9)

E határozat nem alkalmazandó a személyes adatok Európai Unióban letelepedett adatkezelők által az Európai Unión kívül letelepedett adatkezelők felé történő továbbítására, amely a 95/46/EK irányelv alapján a személyes adatok harmadik országokba irányuló továbbítására vonatkozó általános szerződési feltételekről szóló, 2001. június 15-i 2001/497/EK bizottsági határozat (5) hatálya alá tartozik.

(10)

E határozat végrehajtja a 95/46/EK határozat 17. cikkének (3) bekezdésében megállapított kötelezettséget, és nem érintheti az említett rendelkezés értelmében létrejött szerződések vagy jogi aktusok tartalmát. Néhány – különösen az adatátadó kötelezettségeire vonatkozó – általános szerződési feltételt azonban bele kell foglalni azon rendelkezések pontosítására, amelyek az adatkezelő és a feldolgozó között létrejövő szerződésbe bekerülhetnek.

(11)

A tagállamok felügyeleti hatóságai kulcsfontosságú szerepet játszanak e szerződéses mechanizmusban, mivel ők biztosítják, hogy a személyes adatok továbbításukat követően megfelelő védelemben részesüljenek. Kivételes esetekben, amikor az adatátadók nem hajlandók vagy nem képesek megfelelő módon tájékoztatni az adatátvevőket – ami az érintettek számára súlyos károkat okozhat –, az általános szerződési feltételeknek lehetővé kell tenniük, hogy a felügyeleti hatóságok ellenőrizhessék az adatátvevőket és további feldolgozókat, és – adott esetben – rájuk nézve kötelező határozatokat hozzanak. A felügyeleti hatóságoknak megfelelő hatáskörrel kell rendelkezniük ahhoz, hogy az általános szerződési feltételek alapján megtiltsanak vagy felfüggesszenek adattovábbítást vagy adattovábbításokat azokban a kivételes esetekben, amikor megállapítást nyer, hogy egy szerződés alapján teljesített adattovábbításnak vélhetően súlyosan hátrányos hatása lesz az érintettek számára megfelelő védelmet biztosító garanciákra és kötelezettségekre.

(12)

Az általános szerződési feltételeknek rendelkezniük kell azokról a technikai és szervezési biztonsági intézkedésekről, amelyeket a nem megfelelő védelmet biztosító harmadik országban letelepedett feldolgozóknak alkalmazniuk kell annak érdekében, hogy megfelelő szintű biztonságot nyújtsanak a védelmet igénylő adatok természetére és a feldolgozásban rejlő kockázatok tekintetében. A feleknek a szerződésben rendelkezniük kell azokról a technikai és szervezeti intézkedésekről, amelyek – az alkalmazandó adatvédelmi jogra, a technika mindenkori állására és a végrehajtás költségeire való tekintettel – szükségesek a személyes adatok véletlen vagy jogellenes megsemmisülése, véletlen elvesztése, megváltoztatása, jogosulatlan nyilvánosságra hozatala vagy ahhoz való jogosulatlan hozzáférés, illetve az adatfeldolgozás egyéb jogellenes formái elleni védelméhez.

(13)

Az Európai Unióból kifelé történő adatáramlás megkönnyítése érdekében célszerű gondoskodni arról, hogy az Európai Unióban több adatkezelő számára adatfeldolgozást végző feldolgozók azonos technikai és szervezési biztonsági intézkedéseket alkalmazzanak, függetlenül attól, hogy melyik tagállam az adattovábbítás kezdeményezője, különösen azokban az esetekben, ahol az adatátvevő az adatátadónak az Európai Unió területén levő különböző intézményeitől kap adatokat további feldolgozásra; amely esetben annak a tagállamnak a jogát kell alkalmazni, ahol az intézmény található.

(14)

Célszerű meghatározni azt a minimális információt, amelyet a feleknek meg kell adniuk az adatok továbbítására vonatkozó szerződésben. Továbbra is a tagállamok jogában áll a felektől megkövetelt információk részletes meghatározása. Ennek a határozatnak az alkalmazását a tapasztalatok fényében felül kell vizsgálni.

(15)

Az adatátvevő csak az adatátadó megbízásából, az általa adott utasításokkal és az általános szerződési feltételekben szereplő kötelezettségekkel összhangban kezelheti az átadott személyes adatokat. Az adatátvevő a személyes adatokat nem szolgáltathatja ki harmadik személyeknek az adatátadó előzetes írásos beleegyezése nélkül. Az adatátadónak az adatfeldolgozási szolgáltatás során utasítania kell az adatátvevőt, hogy az adatokat az utasításaival, az alkalmazandó adatvédelmi jogszabályokkal és az általános szerződési feltételekben megfogalmazott kötelezettségekkel összhangban dolgozza fel.

(16)

A személyes adatok harmadik országok felé történő továbbítására vonatkozó általános szerződési feltételekről szóló határozatok végrehajtásáról készített jelentés javasolta, hogy a határozatokba foglaljanak bele megfelelő általános szerződési feltételeket az egy harmadik országban letelepedett adatfeldolgozó által egy másik adatfeldolgozó felé történő utólagos adattovábbításra (további adatfeldolgozás) vonatkozóan, hogy figyelembe vehessék a világszinten egyre inkább kiterjedő adatfeldolgozási tevékenységgel kapcsolatos üzleti tendenciákat és gyakorlatokat.

(17)

E határozatnak sajátos szerződési feltételeket kell tartalmaznia az egy harmadik országban letelepedett adatfeldolgozó (az adatátvevő) által adatfeldolgozási tevékenységeinek további adatfeldolgozás céljából egyéb, harmadik országokban letelepedett felhasználók (további felhasználók) számára történő átadásáról. Emellett e határozatnak ki kell kötnie azt a feltételt, hogy a további adatfeldolgozásnak biztosítania kell, hogy a továbbított személyes adatok védelme a további feldolgozó felé történő utólagos továbbítás ellenére sem sérül.

(18)

Emellett a további feldolgozás csupán az adatátadó és az adatátvevő közötti, az e határozatban előírt általános szerződés feltételeket is tartalmazó szerződésben elfogadott műveletekből áll, és – a 95/46/EK irányelvben meghatározott célhoz kötöttség elvének tiszteletben tartását biztosítandó – nem utalhat egyéb felhasználási műveletekre vagy célokra. Továbbá, amennyiben a további feldolgozó nem teljesíti a szerződés szerinti saját adatfeldolgozási kötelezettségeit, az adatátvevőt továbbra is felelősség terheli az adatátadó felé. A személyes adatoknak az Európai Unión kívül letelepedett feldolgozók felé történő továbbítása nem befolyásolhatja azt a tényt, hogy az adatfeldolgozás az alkalmazandó adatvédelmi jogszabályok hatálya alá esik.

(19)

Az általános szerződési feltételeknek nemcsak a szerződő intézmények számára, de az érintett személyek számára is érvényesíthetőknek kell lenniük, különösen azokban az esetekben, amikor az érintetteknek a szerződésszegés kárt okoz.

(20)

Az érintetteket fel kell jogosítani arra, hogy felléphessenek a továbbított személyes adatok feldolgozásáért felelős adatátadóval szemben, és – adott esetben – kártérítést kapjanak tőle. Az érintettet kivételes esetben fel kell jogosítani arra is, hogy felléphessen az adatátvevővel szemben és – adott esetben – kártérítést kapjon tőle azokban az esetekben, amikor az adatátadó vállalkozása ténylegesen megszűnik, jogilag megszűnik létezni, vagy fizetésképtelenné válik az adatátvevőnek vagy az általa megbízott esetleges további feldolgozónak a 3. általános szerződési feltétel (2) bekezdésében előírt bármely kötelezettségének megszegése következtében. Az érintettet kivételes esetben fel kell jogosítani arra is, hogy felléphessen a további feldolgozóval szemben és – adott esetben – kártérítést kapjon tőle azokban az esetekben, amikor mind az adatátadó, mind az adatátvevő vállalkozása ténylegesen megszűnik, jogilag megszűnik létezni, vagy fizetésképtelenné vált. A további feldolgozó harmadik féllel szembeni polgári jogi felelősségét az e szerződési feltételek alapján végzett saját adatfeldolgozási műveleteire kell korlátozni.

(21)

A kedvezményezett harmadik személyre vonatkozó rendelkezésre hivatkozó érintett és az adatátvevő közötti, egyezséggel nem lezárt jogvita esetében az adatátadónak a közvetítés vagy a peres eljárás közötti választási lehetőséget kell felajánlania az érintett számára. Az, hogy az érintettnek mennyiben lesz tényleges választási lehetősége, attól is függ majd, mennyire állnak rendelkezésre a közvetítés megbízható és elismert rendszerei. Az adatátadó letelepedési helye szerinti tagállam adatvédelmi felügyeleti hatóságai által végzett közvetítésre lehetőséget kell biztosítani, amennyiben e hatóságok nyújtanak ilyen szolgáltatást.

(22)

A szerződésre az adatátadó letelepedési helye szerinti tagállam joga az irányadó, lehetővé téve azt, hogy egy kedvezményezett harmadik személy a szerződésnek érvényt szerezhessen. Az érintettek számára – amennyiben kívánják, és amennyiben a nemzeti jog engedi – lehetővé kell tenni, hogy egyesületek vagy egyéb szervezetek útján képviseltessék magukat. Ugyanezen jog szabályozza azon adatvédelmi rendelkezéseket is, amelyeket a szerződési feltételek alapján az adatátadó által az adatátvevő számára továbbított személyes adatokat érintő feldolgozási tevékenységek továbbadására vonatkozóan a további felhasználóval kötött szerződések tartalmaznak.

(23)

Mivel ez a határozat kizárólag akkor alkalmazandó, ha a harmadik országban letelepedett adatfeldolgozó az adatfeldolgozást harmadik országban letelepedett további felhasználó számára adja alvállalkozásba, a határozat nem vonatkozik azokra a helyzetekre, amikor egy, az Európai Unió területén letelepedett olyan feldolgozó, aki az Európai Unióban letelepedett adatkezelő nevében végzi személyes adatok feldolgozását, feldolgozási tevékenységeit alvállalkozásba adja egy harmadik országban letelepedett további felhasználó számára. Ebben az esetben a tagállamok szabadon dönthetnek annak figyelembevétele tekintetében, hogy az adatfeldolgozás harmadik országban letelepedett további felhasználó számára történő alvállalkozásba adásánál az e határozatban meghatározott általános szeződési feltételek alapelveit és biztosítékait azzal a céllal alkalmazták, hogy biztosítsák azon érintettek jogainak megfelelő védelmét, amelyek személyes adatait a további feldolgozási műveletek céljából továbbították.

(24)

A személyes adatfeldolgozás vonatkozásában az egyének védelmével foglalkozó, a 95/46/EK irányelv 29. cikke alapján létrehozott munkacsoport véleményt adott ki az e határozat mellékletében szereplő általános szerződési feltételek által nyújtott védelem szintjéről, és a vélemény e határozat előkészítése során figyelembe vették.

(25)

A 2002/16/EK határozatot hatályon kívül kell helyezni.

(26)

Az ebben a határozatban előírt intézkedések összhangban vannak a 95/46/EK irányelv 31. cikke alapján létrehozott bizottság véleményével,

ELFOGADTA EZT A HATÁROZATOT:

1. cikk

A mellékletben szereplő általános szerződési feltételek megfelelő biztosítékot nyújtónak minősülnek, tekintettel az egyének magánélethez való jogának, alapvető jogainak és szabadságjogainak védelmére, valamint a 95/46/EK irányelv 26. cikkének (2) bekezdése által előírt megfelelő jogok gyakorlására.

2. cikk

E határozat csak a mellékletben meghatározott, a személyes adatoknak az adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételek által nyújtott megfelelő védelemre vonatkozik. A határozat nem érinti a 95/46/EK irányelv végrehajtására kiadott és a tagállamokon belül a személyes adatok feldolgozására vonatkozó egyéb nemzeti rendelkezések alkalmazását.

E határozat a személyes adatok továbbításának azon eseteire vonatkozik, amikor az Európai Unióban letelepedett adatkezelők a személyes adatokat olyan, az Európai Unión kívül letelepedett adatátvevőknek továbbítják, akik csak adatfeldolgozói feladatokat látnak el.

3. cikk

E határozat alkalmazásában a következő fogalommeghatározásokat kell alkalmazni:

a)   „különleges adatkategóriák”: a 95/46/EK irányelv 8. cikkében szereplő adatok;

b)   „felügyelő hatóság”: a 95/46/EK irányelv 28. cikkében említett hatóság;

c)   „adatátadó”: a személyes adatokat továbbító adatkezelő;

d)   „adatátvevő”: egy harmadik országban letelepedett olyan feldolgozó, aki vállalja, hogy az adatátadó utasításaival és e határozat feltételeivel összhangban történt adattovábbítást követően átveszi az adatátadótól a személyes adatokat – annak nevében történő – adatfeldolgozás céljából, és aki nem tartozik egy harmadik ország – 95/46/EK irányelv 25. cikkének (1) bekezdése szerinti – megfelelő védelmet biztosító rendszerének hatálya alá;

e)   „további feldolgozó”: az adatátvevő vagy az adatátvevő által megbízott egyéb további feldolgozó által megbízott olyan feldolgozó, aki vállalja, hogy az adatátvevőtől vagy további megbízott feldolgozótól személyes adatokat kizárólag olyan célból vesz át, hogy az adatátadó nevében, az adatátadó utasításaival, a mellékletben foglalt általános szerződési feltételekkel és a további feldolgozásra vonatkozó szerződés feltételeivel összhangban történt adattovábbítást követően feldogozza;

f)   „alkalmazandó adatvédelmi jog”: az egyének alapvető jogaik és szabadságjogaik, különösen – a személyes adatok feldolgozásával kapcsolatban – a magánélet tiszteletben tartásához való jogaik védelméről szóló, az adatátadó letelepedési helye szerinti tagállamban tevékenykedő adatkezelőre vonatkozó jogszabály;

g)   „technikai és szervezési biztonsági intézkedések”: a személyes adatok véletlen vagy jogellenes megsemmisülése, véletlen elvesztése, megváltoztatása, az adatok jogosulatlan nyilvánosságra hozatala vagy az azokhoz történő jogosulatlan hozzáférés elleni védelmet nyújtó intézkedések, különösen azokban az esetekben, ahol az adatfeldolgozásnak része az adatok hálózaton keresztül történő továbbítása, valamint az adatfeldolgozás valamennyi egyéb jogellenes formája ellen védelmet nyújtó intézkedések.

4. cikk

(1)   A 95/46/EK irányelv II., III., V. és VI. fejezete alapján elfogadott nemzeti rendelkezéseknek való megfelelés céljából tett intézkedésekre vonatkozó hatásköröket nem érintve, a tagállamok illetékes hatóságai a magánszemélyek – személyes adatainak feldolgozására tekintettel történő – védelme érdekében élhetnek azzal a jogukkal, hogy megtilthatják vagy felfüggeszthetik a harmadik országokba történő adattovábbítást olyan esetekben, ha:

a)

megállapítják, hogy az adatátvevőre vagy a további feldolgozóra irányadó jog olyan követelményeket támaszt vele szemben, amelyek értelmében el kell térnie az alkalmazandó adatvédelmi jogtól, valamint amelyek – a 95/46/EK irányelv 13. cikkében foglalt, a demokratikus társadalomban szükséges korlátozásokat – túllépik; és amennyiben ezek a követelmények vélhetően jelentős hátrányos hatással lesznek az alkalmazandó adatvédelmi jog és az általános szerződési feltételek által nyújtott garanciákra;

b)

az illetékes hatóság megállapította, hogy az adatátvevő vagy a további feldolgozó nem tartotta be a mellékletben szereplő általános szerződési feltételeket; vagy

c)

nagy a valószínűsége, hogy a mellékletben szereplő általános szerződési feltételeknek nem tesznek eleget vagy nem fognak eleget tenni, és az adattovábbítás folytatása súlyosan veszélyeztetné az érintetteket.

(2)   Az (1) bekezdésben említett tilalmat vagy felfüggesztést azonnal megszüntetik, amint a felfüggesztés vagy tilalom okai megszűnnek.

(3)   A tagállamok késedelem nélkül tájékoztatják a Bizottságot az (1) és (2) bekezdés értelmében elfogadott intézkedésekről, amely továbbítja ezt az információt a többi tagállamnak.

5. cikk

A Bizottság az elfogadását követő három év elteltével a rendelkezésre álló információ alapján értékeli e határozat érvényesülését. Megállapításairól a Bizottság jelentést terjeszt a 95/46/EK irányelv 31. cikke alapján létrehozott bizottság elé. A jelentésnek tartalmaznia kell a mellékletben szereplő általános szerződési feltételek megfelelő voltának értékelését adott esetben befolyásoló bizonyítékokat, valamint e határozat diszkriminatív alkalmazására vonatkozó esetleges bizonyítékokat.

6. cikk

Ezt a határozatot 2010. május 15-től kell alkalmazni.

7. cikk

(1)   A 2002/16/EK határozat 2010. május 15-vel hatályát veszti.

(2)   Az adatátadó és az adatátvevő által a 2002/16/EK határozat alapján 2010. május 15. előtt kötött szerződések teljes mértékben hatályban maradnak mindaddig, amíg a szerződés tárgyát képező adatátadási és adatfeldolgozási műveletek változatlanok maradnak, és amíg a felek között fennáll az e határozat hatálya alá tartozó személyes adatok forgalma. Amennyiben a szerződő felek e tekintetben változtatni szeretnének vagy alvállalkozásba kívánnák adni a szerződés tárgyát képező adatfeldolgozási műveleteket, a mellékletben foglalt általános szerződéses feltételeknek megfelelő új szerződést kell kötniük.

8. cikk

Ennek a határozatnak a tagállamok a címzettjei.

Kelt Brüsszelben, 2010. február 5-én.

a Bizottság részéről

Jacques BARROT

alelnök


(1)  HL L 281., 1995.11.23., 31. o.

(2)  HL L 6., 2002.1.10., 52. o.

(3)  SEC(2006) 95, 2006.1.20.

(4)  A Nemzetközi Kereskedelmi Kamara (ICC), a Japán Európai Üzleti Tanács (JBCE), az Amerikai Kereskedelmi Kamara Belgiumi EU Bizottsága (Amcham) és az Európai Közvetlen Marketing Egyesületek Szövetsége (FEDMA).

(5)  HL L 181., 2001.7.4., 19. o.


MELLÉKLET

ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK (ADATFELDOLGOZÓK)

A 95/46/EK irányelv 26. cikke (2) bekezdésének alkalmazásában a személyes adatoknak a nem megfelelő szintű adatvédelmet biztosító harmadik országok területén letelepedett adatfeldolgozók részére történő továbbítása céljából

Az adatátadó szervezet neve: …

Cím: …

Tel.: … Fax: … E-mail: …

A szervezet azonosításához szükséges egyéb információ:

(az adatátadó)

valamint

Az adatátvevő szervezet neve: …

Cím: …

Tel.: … Fax: … E-mail: …

A szervezet azonosításához szükséges egyéb információ:

(az adatátvevő)

Külön-külön mindegyik a továbbiakban: a fél; együtt a továbbiakban: a felek.

MEGÁLLAPODTAK az alábbi szerződési feltételek alkalmazásában annak érdekében, hogy a személyes adatoknak az I. függelékben meghatározott átadójától az adatátvevő részére történő továbbítása során megfelelő biztosítékokról gondoskodjanak az egyének magánéletének tiszteletben tartásához való jogának, továbbá alapvető jogainak és szabadságjogainak védelme tekintetében.

1.   általános szerződési feltétel

Fogalommeghatározások

Az általános szerződési feltételek alkalmazásában

a)

a „személyes adatok”, „különleges adatkategóriák”, „adatfeldolgozás”, „adatkezelő”, „adatfeldolgozó”, „adatalany” és „felügyelő hatóság” kifejezések jelentése megegyezik a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelvben (1) meghatározott jelentésekkel;

b)

„adatátadó”: a személyes adatokat továbbító adatkezelő;

c)

„adatátvevő”: olyan feldolgozó, aki vállalja, hogy az adatátadó utasításaival és ennek az általános szerződési feltételekkel összhangban történőt adattovábbítást követően átveszi az adatátadótól a személyes adatokat – annak nevében történő – adatfeldolgozás céljából, és aki nem tartozik egy harmadik ország megfelelő védelmet biztosító rendszerének hatálya alá a 95/46/EK irányelv 25. cikke (1) bekezdésének értelmében;

d)

„további feldolgozó”: az adatátvevő vagy az adatátvevő által megbízott egyéb további feldolgozó által megbízott olyan feldolgozó, aki vállalja, hogy az adatátvevőtől vagy további megbízott feldolgozótól személyes adatokat kizárólag olyan célból vesz át, hogy az adatátadó nevében, az adatátadó utasításaival, a szerződési feltételekkel és az írásos alvállalkozói szerződés feltételeivel összhangban történt adattovábbítást követően feldogozza;

e)

„alkalmazandó adatvédelmi jog”: az egyének alapvető jogaik és szabadságjogaik, különösen – a személyes adatok feldolgozásával kapcsolatban – a magánélet tiszteletben tartásához való jogaik védelméről szóló, az adatátadó letelepedési helye szerinti tagállamban tevékenykedő adatkezelőre vonatkozó jogszabály;

f)

„technikai és szervezési biztonsági intézkedések”: a személyes adatok véletlen vagy jogellenes megsemmisülése, véletlen elvesztése, megváltoztatása, az adatok jogosulatlan nyilvánosságra hozatala vagy az azokhoz történő jogosulatlan hozzáférés elleni védelmet nyújtó intézkedések, különösen azokban az esetekben, ahol az adatfeldolgozásnak része az adatok hálózaton keresztül történő továbbítása, valamint az adatfeldolgozás valamennyi egyéb jogellenes formája ellen védelmet nyújtó intézkedések.

2.   általános szerződési feltétel

Az átadás részletei

A továbbítás részletei és különösen – adott esetben – a személyes adatok különleges kategóriáit az e szerződési feltételek szerves részét képező 1. függelék határozza meg.

3.   általános szerződési feltétel

A kedvezményezett harmadik személyről szóló rendelkezés

(1)

Az érintett az adatátadóval szemben – kedvezményezett harmadik személyként – érvényesítheti ezt az általános szerződési feltételt, a 4. általános szerződési feltétel b)–i) pontját, az 5. általános szerződési feltétel a)–e), valamint g)–j) pontját, a 6. általános szerződési feltétel (1) és (2) bekezdését, a 7. általános szerződési feltételt, a 8. általános szerződési feltétel (2) bekezdését, valamint a 9–12. általános szerződési feltételt.

(2)

Az érintett az adatátvevővel szemben érvényesítheti ezt az általános szerződés feltételt, az 5. általános szerződési feltétel a)–e) és g) pontját, a 6. és 7. általános szerződési feltételt, a 8. általános szerződési feltétel (2) bekezdését, valamint a 9–12. általános szerződési feltétel azokban az esetekben, amikor az adatátadó vállalkozása ténylegesen vagy jogilag megszűnik létezni, feltéve, hogy nincs olyan jogutód, amely az adatátadó valamennyi jogi kötelezettségét szerződéses vagy jogszabályi úton átvállalta, aminek eredményeként gyakorolja az adatátadó jogait és kötelezettségeit, amely esetben az érintett ezeket érvényesítheti e jogutóddal szemben.

(3)

Az érintett a további adatfeldolgozóval szemben érvényesítheti ezt az általános szerződés feltételt, az 5. általános szerződési feltétel a)–e) és g) pontját, a 6. és 7. általános szerződési feltételt, a 8. általános szerződési feltétel (2) bekezdését, valamint a 9–12. általános szerződési feltételt, azon esetekben, amikor mind az adatátadó, mind az adatátvevő ténylegesen vagy jogilag megszűnik létezni, vagy fizetésképtelenné vált, feltéve, hogy nincs olyan jogutód, amely az adatátadó valamennyi jogi kötelezettségét szerződéses vagy jogszabályi úton átvállalta, és ennek eredményeként gyakorolja az adatátadó jogait és kötelezettségeit, amely esetben az érintett ezeket érvényesítheti e jogutóddal szemben. A további feldolgozó harmadik féllel szembeni polgári jogi felelőssége az általános szerződési feltételek alapján végzett saját feldolgozási tevékenységeire korlátozódik.

(4)

A felek nem emelnek kifogást az ellen, hogy az érintett képviseletében egy egyesült vagy egyéb szerv járjon el, amennyiben az érintett ezzel élni kíván, és a nemzeti jog erre lehetőséget biztosít.

4.   általános szerződési feltétel

Az adatátadó kötelezettségei

Az adatátvevő elfogadja és garantálja, hogy:

a)

a személyes adatok feldolgozása, ideértve magát az adattovábbítást is, megfelelt és továbbra is megfelel az alkalmazandó adatvédelmi jog vonatkozó hatályos rendelkezéseinek (és adott esetben erről értesítették az adatátadó letelepedési helye szerinti tagállam hatóságait), valamint nem sérti az adott állam vonatkozó rendelkezéseit;

b)

ellátta és a személyes adatok feldolgozása során folyamatosan ellátja az adatátvevőt arra vonatkozó utasításokkal, hogy a továbbított személyes adatokat csak az adatátadó megbízásából és az alkalmazandó adatvédelmi joggal, továbbá az általános szerződési feltételekkel összhangban lehet feldolgozni;

c)

az adatátvevő elegendő garanciával szolgál majd e szerződéshez csatolt 2. függelékben meghatározott technikai és szervezési biztonsági intézkedések tekintetében;

d)

az alkalmazandó adatvédelmi jog követelményeinek értékelését követően a biztonsági intézkedések alkalmasak a személyes adatok véletlen vagy jogellenes megsemmisülése, illetve a véletlen elvesztés, megváltozás, adatok jogosulatlan közlése vagy az azokhoz történő jogosulatlan hozzáférés elleni védelemre, különösen azokban az esetekben, ahol az adatfeldolgozás része az adatok hálózaton történő továbbítása, valamint az adatfeldolgozás egyéb jogellenes formái elleni védelemre; továbbá azt, hogy ezek az intézkedések olyan szintű biztonságot nyújtanak, amely arányos a megvédendő adatok jellegével és az adatfeldolgozás kockázataival, tekintettel a mindenkori aktuális körülményekre és a végrehajtás költségeire;

e)

gondoskodik a biztonsági intézkedések tiszteletben tartásáról;

f)

amennyiben az adattovábbítás különleges adatkategóriákat érint, az érintettet az adattovábbítást megelőzően vagy – a lehető legrövidebb időn belül – az adattovábbítást követően tájékoztatják arról, hogy az adatokat egy olyan harmadik országba továbbítják, amely nem biztosítja a 95/46/EK irányelv szerinti megfelelő mértékű védelmet;

g)

továbbítja az adatvédelmi felügyeleti hatóság felé az adatátvevőtől és bármely további feldolgozótól az 5. általános szerződési feltétel b) pontja és a 8. általános szerződési feltétel (3) bekezdése értelmébe átvett értesítést, amennyiben az adatátadó úgy dönt, hogy folytatja az adattovábbítást vagy megszünteti a felfüggesztést;

h)

az érintettek kérésére rendelkezésükre bocsátja az általános szerződési feltételek egy példányát, a 2. függelék kivételével, és a biztonsági intézkedések összefoglaló leírását, valamint a további feldolgozásra vonatkozó – általános szerződési feltételekkel összhangban megkötendő – szerződések egy példányát, feltéve, hogy az általános szerződési feltételek vagy a szerződés nem tartalmaznak üzleti információt, amely esetben eltávolíthatja ezen üzleti információkat;

i)

további feldolgozás esetén a feldolgozási tevékenységet a további feldolgozó a 11. általános szerződési feltétellel összhangban végzi a személyes adatok és az érintett jogainak legalább olyan szintű biztosítása mellett, mint amilyet általános szerződési feltétel alapján az adatátvevő biztosítana; és

j)

biztosítja a 4. általános szerződési feltétel a)–i) pontjának való megfelelést.

5.   általános szerződési feltétel

Az adatátvevő kötelezettségei  (2)

Az adatátvevő elfogadja és garantálja, hogy:

a)

csak az átadó nevében, utasításaival és az általános szerződési feltételekkel összhangban dolgozza fel a személyes adatokat; amennyiben bármely oknál fogva nem képes megfelelni ezeknek a követelményeknek, haladéktalanul tájékoztatja erről az adatátadót, aki ez esetben jogosult felfüggeszteni az adattovábbítást és/vagy a szerződéstől elállni;

b)

nincs tudomása arról, hogy a rá vonatkozó jogszabályok akadályoznák az adatátadótól kapott utasítások és a szerződésben vállalt kötelezettségek teljesítését – abban az esetben, ha a jogszabályok módosítása előreláthatóan jelentősen hátrányos hatással lenne az általános szerződési feltételekben rá vonatkozóan megállapított garanciákra és kötelezettségekre, mihelyt azonban tudomást szerez erről, azonnal értesíti a módosításról az adatátadót –, ebben az esetben az adatátadó jogosult felfüggeszteni az adattovábbítást és/vagy a szerződéstől elállni;

c)

a továbbított személyes adatok feldolgozása előtt végrehajtotta a 2. függelékben meghatározott technikai és szervezési biztonsági intézkedéseket;

d)

azonnal értesíti majd az adatátadót a következőkről:

i.

ellenkező értelmű tilalom – például egy bűnügyi nyomozás titkosságának megőrzése érdekében fennálló büntetőjogi tilalom – hiányában a bűnüldöző szervek jogilag kötelező erejű felhívása a személyes adatok közlésére;

ii.

bármilyen véletlen vagy jogosulatlan hozzáférés; és

iii.

közvetlen az érintettek részéről érkező kérelem, erre adott válasz nélkül, kivéve, ha erre felhatalmazást kapott.

e)

azonnal és szakszerűen reagál az adatátadótól érkező, az adattovábbítás tárgyát képező személyes adatok feldolgozására vonatkozó valamennyi kérdésre, és követi a felügyeleti hatóság adatfeldolgozásra vonatkozó javaslatait;

f)

az adatátadó kérésére rendelkezésre bocsátja az adatfeldolgozó berendezéseket az általános szerződési feltételek hatálya alá eső feldolgozói tevékenységek ellenőrzése céljából, amelyet az adatátadó vagy a megfelelő szakképzettséggel rendelkező, az adatok bizalmas kezelésére kötelezett, az adatátadó által – adott esetben a felügyeleti hatóság beleegyezésével – kiválasztott, független szakértőkből álló testület végez;

g)

az érintett kérésére rendelkezésére bocsátja az általános szerződési feltételek vagy a további feldolgozás céljából kötött létező szerződések egy példányát – feltéve, hogy a szerződési feltételek vagy a szerződés nem tartalmaz üzleti vonatkozású információkat, amely esetben ezeket eltávolíthatja –, a 2. függelék kivételével, amely helyett a biztonsági intézkedések összefoglaló leírása szerepel abban az esetben, ha az érintett nem tudta beszerezni ezt a példányt az adatátadótól;

h)

további feldolgozás esetén előzetesen tájékoztatta az adatátadót és megkapta írásos beleegyezését;

i)

a további feldolgozó a 11. általános szerződési feltétellel összhangban végzi majd adatfeldolgozási szolgáltatásait;

j)

azonnal megküldi az adatátadónak az általános szerződési feltételek alapján kötött, további feldolgozásra vonatkozó megállapodások egy példányát.

6.   általános szerződési feltétel

Felelősség

(1)

A felek megállapodnak abban, hogy az érintett, aki a 3. vagy a 11. általános szerződési feltételben említett kötelezettségek egyik fél vagy a további felhasználó általi megsértésének következményeként kárt szenved, kártérítésre jogosult az adatátadótól.

(2)

Amennyiben az érintett – az adatátvevőnek vagy az által megbízott további feldolgozónak a 3. vagy a 11. általános szerződési feltételben meghatározott kötelezettsége valamelyikének megszegéséből eredően – nem tudja érvényesíteni az (1) bekezdés szerinti kártérítési igényt az adatátadóval szemben azért, mert az adatátadó ténylegesen megszűnt, jogilag megszűnt létezni vagy fizetésképtelenné vált, az adatátvevő hozzájárul ahhoz, hogy az érintett vele szemben érvényesíthesse az adatátadóval szembeni kártérítési igényét, feltéve, hogy nincs olyan jogutód, amely az adatátadó valamennyi jogi kötelezettségét szerződéses vagy jogszabályi úton átvállalta, amely esetben az érintett e jogutóddal szemben érvényesítheti jogait.

Az adatátvevő nem mentesülhet a saját felelőssége alól arra hivatkozva, hogy a további feldolgozó megszegte kötelezettségeit.

(3)

Amennyiben az érintett – a további feldolgozó a 3. vagy a 11. általános szerződési feltételben meghatározott kötelezettsége valamelyikének megszegéséből eredően – nem tudja érvényesíteni az (1) és (2) bekezdésben említett igényt az adatátadóval vagy adatátvevővel szemben azért, mert mind az adatátadó, mind az adatátvevő ténylegesen megszűnt, jogilag megszűnt létezni vagy fizetésképtelenné vált, a további feldolgozó – a szerződési feltételek alapján végzett saját adatfeldolgozási műveletei tekintetében – hozzájárul ahhoz, hogy az érintett vele szemben érvényesíthesse az adatátadóval vagy az adatátvevővel szembeni kártérítési igényét, feltéve, hogy nincs olyan jogutód, amely az adatátadó vagy adatátvevő valamennyi jogi kötelezettségét szerződéses vagy jogszabályi úton átvállalta, amely esetben az érintett e jogutóddal szemben érvényesítheti jogait. A további feldolgozó felelőssége a szerződési feltételek alapján végzett saját adatfeldolgozási műveleteire korlátozódik.

7.   általános szerződési feltétel

Közvetítés és joghatóság

(1)

Az adatátvevő elfogadja, hogy amennyiben az érintett érvényesíteni kívánja vele szemben a kedvezményezett harmadik személy jogait, és/vagy az általános szerződési feltételek alapján követeli a károk megtérítését, az adatátvevő elfogadja az érintett következő döntéseit:

a)

a jogvitával közvetítés céljából egy független személyhez vagy – adott esetben – a felügyeleti hatósághoz fordul;

b)

a jogvitával az adatátadó letelepedési helye szerinti tagállam bíróságához fordul.

(2)

A felek megállapodnak abban, hogy az érintett választása nem érinti az érintett arra vonatkozó anyagi vagy eljárási jogait, hogy a nemzeti vagy nemzetközi jog egyéb rendelkezéseivel összhangban jogorvoslattal éljen.

8.   általános szerződési feltétel

Együttműködés a felügyeleti hatóságokkal

(1)

Az adatátadó hozzájárul ahhoz, hogy e szerződés egy példányát letétbe helyezi a felügyeleti hatóságnál, amennyiben ez utóbbi kéri, vagy amennyiben az alkalmazandó adatvédelmi jog előírja.

(2)

A felek megállapodnak abban, hogy a felügyeleti hatóságnak jogában áll az adatátvevő és valamennyi további feldolgozó ellenőrzése; az ellenőrzés hatálya és feltételei megegyeznek az alkalmazandó adatvédelmi jog értelmében az adatátadónál elvégzendő ellenőrzés hatályával és feltételeivel.

(3)

Az adatátvevő haladéktalanul tájékoztatja az adatátadót a rá vagy bármely további felhasználóra vonatkozó olyan jogszabályok meglétéről, amelyek megakadályozzák az adatátvevőnek vagy bármely további felhasználónak a (2) bekezdés szerinti ellenőrzését. Ebben az esetben az adatátadó jogosult meghozni az 5. általános szerződési feltétel b) pontjában előírt intézkedéseket.

9.   általános szerződési feltétel

Irányadó jog

A szerződésre az adatátadó letelepedési helye szerinti tagállam, nevezetesen … joga az irányadó.

10.   általános szerződési feltétel

A szerződés módosítása

A felek kötelezettséget vállalnak arra, hogy nem változtatják vagy módosítják az általános szerződési feltételeket. Ez nem zárja ki annak lehetőségét, hogy szükség esetén a felek üzleti vonatkozású feltételekkel egészítsék ki a szerződést, feltéve, hogy ezek nem ellentétesek az általános szerződési feltételekkel.

11.   általános szerződési feltétel

További feldolgozás

(1)

Az adatátvevő az adatátadó előzetes írásos beleegyezése nélkül nem adhatja ki alvállalkozásba az általános szerződési feltételek alapján az adatátadó nevében végzett adatfeldolgozási tevékenységeit. Amennyiben az adatátvevő alvállalkozásba adja az általános szerződési feltételekből fakadó kötelezettségeit az adatátadó beleegyezésével, ezt kizárólag a további feldolgozóval kötött olyan írásos megállapodás útján teszi meg, amely az általános szerződési feltételek értelmében az adatátvevőre vonatkozóakkal (3) azonos kötelezettségeket határoz meg. Amennyiben a további feldolgozó nem tesz eleget ezen írásos megállapodásból fakadó adatvédelmi kötelezettségeinek, az adatátadó továbbra is teljes felelősséggel tartozik az adatátadó felé a további felhasználó e megállapodásból fakadó kötelezettségeinek teljesítéséért.

(2)

Az adatátvevő és a további feldolgozó közötti előzetes írásos megállapodás tartalmazza a kedvezményezett harmadik személyről szóló rendelkezést is – a 3. általános szerződési feltételben megállapítottak szerint – azon esetekre vonatkozóan, amikor az érintett nem tudja érvényesíteni a 6. általános szerződési feltétel (1) bekezdésében említett kártérítési igényt az adatátadóval vagy az adatátvevővel szemben azért, mert ténylegesen megszűntek, jogilag megszűntek létezni vagy fizetésképtelenné váltak, és nincs olyan jogutód, amely az adatátadó vagy az adatátvevő valamennyi jogi kötelezettségét szerződéses vagy jogszabályi úton átvállalta. A további feldolgozó harmadik féllel szembeni polgári jogi felelőssége az általános szerződési feltételek alapján végzett saját adatfeldolgozási műveleteire korlátozódik.

(3)

A szerződés (1) bekezdésben említett, további feldolgozást érintő adatvédelmi rendelkezéseire az adatátadó letelepedési helye szerinti tagállam, nevezetesen … joga az irányadó.

(4)

Az adatátadó listát vezet az általános szerződési feltételek alapján, további feldolgozás céljából kötött azon megállapodásokra, amelyekről az adatátvevő az 5. általános szerződési feltétel j) pontja értelmében értesítette, és e listát évente legalább egyszer naprakésszé teszi. A listát elérhetővé kell tenni az adatátadó adatvédelmi felügyelő hatósága számára.

12.   általános szerződési feltétel

A személyes adatok feldolgozásának megszüntetése után fennálló kötelezettség

(1)

A felek megállapodnak abban, hogy – amennyiben az adatátvevőre vonatkozó jogszabályok a részére továbbított személyes adatok egy részének vagy egészének visszaszolgáltatását vagy megsemmisítését nem tiltják – az adatfeldolgozás megszüntetését követően az adatátvevő és a további feldolgozó az adatátadó döntése alapján visszaszolgáltatja a számára megküldött valamennyi személyes adatot és azok másolatait az adatátadó részére, vagy megsemmisíti az összes személyes adatot, és ennek megtörténtét igazolja az adatátadó felé. Ellenkező esetben az adatátvevő szavatolja, hogy biztosítja a továbbított személyes adatok bizalmasságát, és a továbbított személyes adatokat a továbbiakban ténylegesen nem dolgozza fel.

(2)

Az adatátvevő és a további feldolgozó biztosítja, hogy az adatátadó és/vagy a felügyeleti hatóság kérésére lehetővé teszi adatfeldolgozó berendezések rendelkezésre bocsátását az (1) bekezdésben említett intézkedések ellenőrzése céljából.

Az adatátvevő nevében:

Teljes név: …

Beosztás: …

Cím: …

Egyéb szükséges információ annak érdekében, hogy a szerződés kötelező erejű legyen (amennyiben van ilyen):

Image

Aláírás …

Az adatátadó részéről:

Teljes név: …

Beosztás: …

Cím: …

Egyéb szükséges információ annak érdekében, hogy a szerződés kötelező erejű legyen (amennyiben van ilyen):

Image

Aláírás …


(1)  A felek ebben az általános szerződési feltételben megismételhetik a 95/46/EK irányelvben megfogalmazott meghatározásokat és jelentéseket, amennyiben jobbnak vélik, ha a szerződés önállóan értelmezhető.

(2)  Az adatátvevőre vonatkozó nemzeti jogszabályok kötelező követelményei, amelyek nem lépnek túl azon, amire a 95/46/EK irányelv 13. cikkének (1) bekezdésében felsorolt érdekek valamelyike alapján egy demokratikus társadalomban szükség van; vagyis amennyiben ezek az érdekek olyan intézkedések alkalmazását írják elő, amelyek a nemzetbiztonsági, honvédelmi, közbiztonsági érdekek érvényesítését, a bűncselekmények megelőzését, a nyomozást, felderítését vagy üldözését, vagy – szabályozott szakmákban – etikai szabályok megsértését, az állam fontos gazdasági vagy pénzügyi érdekének védelmét, az érintett védelmét vagy mások jogainak vagy szabadságainak védelmét érintik, és nem ellentétesek az általános szerződési feltételekkel. Egy demokratikus társadalomban ezen elengedhetetlenül szükséges követelmények közé tartoznak többek között a nemzetközileg elfogadott szankciók, adóügyi követelmények, illetve a pénzmosás megelőzését szolgáló bejelentési követelmények.

(3)  A további felhasználó eleget tehet e követelményeknek azzal, hogy együttesen aláírja az adatátadó és az adatátvevő között e határozat alapján kötött szerződést.

I. függelék

Az általános szerződési feltételekhez

Ez a függelék az általános szerződési feltételek részét képezi, amelyet a feleknek ki kell tölteniük és alá kell írniuk.

A tagállamok nemzeti eljárásaikkal összhangban kiegészíthetik vagy részletezhetik az e függelékben feltüntetendő további szükséges információkat.

Az adatátadó

Az adatátadó (határozza meg röviden az adattovábbítással kapcsolatos tevékenységeit):

Az adatátvevő

Az adatátvevő (határozza meg röviden az adattovábbítással kapcsolatos tevékenységeit):

Az adatfeldolgozás által érintett személyek

A továbbított személyes adatok az adatalanyok alábbi kategóriáit érintik (határozza meg):

Adatkategóriák

A továbbított személyes adatok az alábbi adatkategóriákat érintik (határozza meg):

Különleges adatkategóriák (adott esetben)

A továbbított személyes adatok az alábbi különleges adatkategóriákat érintik (határozza meg):

Az adatfeldolgozás műveletei

A továbbított személyes adatok az alábbi alapvető adatfeldolgozási műveletek tárgyát képezik (határozza meg):

 

ADATÁTADÓ

Név: …

Meghatalmazott aláírása …

 

ADATÁTVEVŐ

Név: …

Meghatalmazott aláírása …

2. függelék

az általános szerződési feltételekhez

Ez a függelék az általános szerződési feltételek részét képezi, amelyet a feleknek ki kell tölteniük és alá kell írniuk.

Az adatátvevő által a 4. általános szerződési feltétel d) pontja vagy az 5. általános szerződési feltétel c) pontja (vagy a mellékelt dokumentum/jogszabály) alapján végrehajtott technikai és szervezési biztonsági intézkedések leírása

PÉLDA A KÁRTALANÍTÁSI ZÁRADÉKRA (NEM KÖTELEZŐ)

Felelősség

A felek megállapodnak, hogy amennyiben egyik felet terheli felelősség az általános szerződési feltételek másik fél általi megszegéséért, ez utóbbi – felelősségének mértéke szerint – kártalanítja az előzőt valamennyi általa viselt költségért, kiadásért, illetve elszenvedett kárért és veszteségért.

A kártalanítás az alábbiaktól függ:

a)

az adatátadó haladéktalanul értesíti az adatátvevőt az igényről; továbbá

b)

az adatátvevő lehetőséget kap arra, hogy az igénnyel szembeni védekezés és annak rendezése tekintetében együttműködjön az adatátadóval (1).


(1)  A felelősségről szóló bekezdés nem kötelező.