Komisijas Lēmums

(2001. gada 27. decembris)

par līguma standartklauzulām attiecībā uz personas datu nosūtīšanu trešās valstīs reģistrētiem apstrādātājiem saskaņā ar Direktīvu 95/46/EK

(paziņots ar dokumenta numuru C(2001) 4540)

(Dokuments attiecas uz EEZ)

EIROPAS KOPIENU KOMISIJA,

ņemot vērā Eiropas Kopienas dibināšanas līgumu,

ņemot vērā Eiropas Parlamenta un Padomes 1995. gada 24. oktobra Direktīvu 95/46/EK par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti [1] un jo īpaši tās 26. panta 4. punktu,

tā kā:

(1) Atbilstīgi Direktīvai 95/46/EK, dalībvalstīm jāparedz, ka personas datu nosūtīšana trešai valstij var notikt tikai tad, ja attiecīgā trešā valsts nodrošina pienācīgu datu aizsardzības līmeni un ja pirms nosūtīšanas ievēro tos dalībvalsts tiesību aktus, kas atbilst citiem minētās direktīvas noteikumiem.

(2) Tomēr Direktīvas 95/46/EK 26. panta 2. punktā ir noteikts, ka dalībvalstis, ievērojot konkrētus nodrošinājumus, var atļaut vienu vai vairākas personas datu nosūtīšanas uz trešām valstīm, kas nenodrošina pienācīgu aizsardzības līmeni. Šādi nodrošinājumi jo īpaši var izrietēt no attiecīgām līguma klauzulām.

Atbilstīgi Direktīvai 95/46/EK, datu aizsardzības līmenis jānovērtē, ņemot vērā visus apstākļus vienā vai vairākās datu nosūtīšanas darbībās. Indivīdu aizsardzības darba grupa attiecībā uz personas datu apstrādi, kas ir izveidota ar minēto direktīvu [2], ir izdevusi pamatnostādnes, lai palīdzētu veikt šo novērtējumu [3].

(4) Līguma standartklauzulas attiecas tikai uz datu aizsardzību. Datu nosūtītājs un datu saņēmējs drīkst brīvi iekļaut citas klauzulas, kas ir saistītas ar uzņēmējdarbību un kuras tie uzskata par līgumam atbilstīgiem, ciktāl šādas klauzulas nav pretrunā līguma standartklauzulām.

(5) Šis lēmums neskar valsts atļaujas, ko dalībvalstis var piešķirt saskaņā ar valsts tiesību aktiem, īstenojot Direktīvas 95/46/EK 26. panta 2. punktu. Šis lēmums tikai prasa dalībvalstīm neatteikties atzīt, ka tajā aprakstītās līguma klauzulas sniedz pienācīgu nodrošinājumu, un tādēļ tas neattiecas uz citām līguma klauzulām.

(6) Šī lēmuma darbības joma ir tikai noteikt, ka tajā paredzētās klauzulas var izmantot Kopienā reģistrēti atbildīgie par datu apstrādi, lai, nosūtot personas datus trešā valstī reģistrētam apstrādātājam, sniegtu pietiekamus nodrošinājumus Direktīvas 95/46/EK 26. panta 2. punkta nozīmē.

(7) Ar šo lēmumu īsteno Direktīvas 95/46/EK 17. panta 3. punktā noteikto pienākumu, un tas neietekmē saskaņā ar minēto noteikumu izstrādātu līgumu vai citu tiesību aktu saturu. Tomēr dažas no līguma standartklauzulām, jo īpaši attiecībā uz datu nosūtītāja pienākumiem, jāiekļauj, lai būtu lielāka skaidrība par noteikumiem, kas var būt līgumā starp atbildīgo par datu apstrādi un apstrādātāju.

(8) Dalībvalstu uzraudzības iestādēm ir izšķiroša nozīme šajā līguma mehānismā, nodrošinot personas datu pienācīgu aizsardzību pēc nosūtīšanas. Izņēmuma gadījumos, kad datu nosūtītāji atsakās dot datu saņēmējam pietiekamus norādījumus vai arī nespēj šādus norādījumus dot, tādējādi radot būtiska kaitējuma draudus datu subjektiem, līguma standartklauzulās uzraudzības iestādēm jāļauj veikt pārbaudes attiecībā uz datu saņēmējiem un, attiecīgā gadījumā, pieņemt lēmumus, kas datu saņēmējiem ir saistoši. Uzraudzības iestādēm jābūt pilnvarotām aizliegt vai pārtraukt vienu vai vairākas datu nosūtīšanas, balstoties uz līguma standartklauzulām tajos izņēmuma gadījumos, kad ir noteikts, ka nosūtīšana, pamatojoties uz līgumu, iespējams, var ļoti negatīvi ietekmēt garantijas un pienākumus, kas datu subjektam sniedz pienācīgu aizsardzību.

(9) Komisija var arī turpmāk apsvērt, vai uzņēmējsabiedrību vai citu ieinteresēto personu iesniegtās līguma standartklauzulas par personas datu nosūtīšanu tādās trešās valstīs reģistrētiem datu apstrādātājiem, kur nav pienācīga datu aizsardzības līmeņa, sniedz pienācīgus nodrošinājumus saskaņā ar Direktīvas 95/46/EK 26. panta 2. punktu.

(10) Personas datu izpaušana datu apstrādātājam, kas ir reģistrēts ārpus Kopienas, ir starptautiska nosūtīšana, kura ir aizsargāta saskaņā ar Direktīvas 95/46/EK IV nodaļu. Līdz ar to šis lēmums neattiecas uz gadījumiem, kad Kopienā reģistrēti atbildīgie par datu apstrādi nosūta datus tādiem atbildīgajiem, kuri ir reģistrēti ārpus Kopienas un uz kuriem attiecas Komisijas 2001. gada 15. jūnija Lēmums 2001/497/EK par līguma standartklauzulām attiecībā uz personas datu nosūtīšanu trešām valstīm saskaņā ar Direktīvu 95/46/EK [4].

(11) Līguma standartklauzulās jāparedz tehniski un organizatoriski drošības pasākumi, ko piemēro datu apstrādātājiem, kuri reģistrēti tādā trešā valstī, kur nenodrošina pienācīgu aizsardzību, lai nodrošinātu tādu drošības līmeni, kas atbilst ar apstrādi saistītajam riskam un aizsargājamo personas datu īpatnībām. Pusēm līgumā jāparedz šie tehniskie un organizatoriskie pasākumi, kādi, ņemot vērā piemērojamos tiesību aktus datu aizsardzības jomā, jaunākos sasniegumus un to īstenošanas izmaksas, ir vajadzīgi, lai personas datus aizsargātu pret nejaušu vai nelikumīgu iznīcināšanu vai nejaušu nozaudēšanu, izmainīšanu, neatļautu izpaušanu vai piekļuvi vai citām nelikumīgām apstrādes formām.

(12) Lai atvieglotu datu plūsmas no Kopienas, ir vēlams, lai datu apstrādātājiem, kas datu apstrādes pakalpojumus sniedz vairākiem Kopienas atbildīgajiem par datu apstrādi, atļautu piemērot vienādus tehniskos un organizatoriskos pasākumus, neatkarīgi no dalībvalsts, no kuras datus sākotnēji nosūta, jo īpaši gadījumos, kad datu saņēmējs datus turpmākai apstrādei saņem no Kopienas datu nosūtītāja dažādiem uzņēmumiem; šajā gadījumā jāpiemēro izraudzītās reģistrācijas dalībvalsts tiesību akti.

(13) Ir lietderīgi noteikt informācijas minimumu, kas pusēm jānorāda nosūtīšanas līgumā. Dalībvalstīm jāsaglabā pilnvaras precizēt informāciju, kas pusēm ir jāsniedz. Šā lēmuma darbība jāpārskata, ņemot vērā pieredzi.

(14) Datu saņēmējam nosūtītie personas dati jāapstrādā tikai datu nosūtītāja uzdevumā un saskaņā ar tā norādījumiem, kā arī ievērojot noteikumos ietvertās saistības. Īpaši personas datus datu saņēmējs nedrīkst izpaust trešai personai, izņemot, ja tas notiek saskaņā ar dažiem nosacījumiem. Datu nosūtītājam visā datu apstrādes pakalpojumu sniegšanas laikā jāinstruē datu saņēmējs, lai dati tiktu apstrādāti saskaņā ar tā norādījumiem, piemērojamiem tiesību aktiem datu aizsardzības jomā un ievērojot noteikumos minētās saistības. Personas datu nosūtīšana apstrādātājiem, kas ir reģistrēti ārpus Kopienas, neietekmē to, ka jebkurā gadījumā apstrādes darbības jāreglamentē piemērojamiem tiesību aktiem datu aizsardzības jomā.

(15) Jānodrošina, ka līguma standartklauzulas īsteno ne tikai organizācijas, kas ir līgumslēdzējas puses, bet arī datu subjekti, jo īpaši, ja datu subjektiem līguma laušanas dēļ ir nodarīts kaitējums.

(16) Datu subjektiem jābūt tiesībām vērsties pret datu nosūtītāju, kas ir atbildīgs par personas datu apstrādi, un, attiecīgā gadījumā, saņemt kompensāciju no tā. Izņēmuma gadījumā datu subjektiem jābūt tiesīgiem arī vērsties pret datu saņēmēju un, attiecīgā gadījumā, saņemt kompensāciju no datu saņēmēja, ja datu saņēmējs nav izpildījis kādu no 3. klauzulas otrajā daļā minētajiem pienākumiem, ja datu nosūtītājs ir faktiski zudis vai juridiski beidzis pastāvēt, vai arī ir kļuvis maksātnespējīgs.

(17) Ja starp datu subjektu, kas piemēro ieinteresētās trešās personas klauzulu, un datu saņēmēju rodas strīds, kuru nevar atrisināt ar izlīgumu, tad datu saņēmējs ļauj datu subjektam izvēlēties starp starpniecību, šķīrējtiesu vai valsts tiesu. Tas, cik lielā mērā datu subjekta izvēle būs efektīva, būs atkarīgs no uzticamu un atzītu starpniecības un šķīrējtiesas sistēmu pieejamības. Dalībvalsts uzraudzības iestāžu starpniecībai jābūt kā izvēlei, ja tās šādu pakalpojumu sniedz.

(18) Līgumam piemērojamiem tiesību aktiem jābūt tās dalībvalsts tiesību aktiem, kurā datu nosūtītājs ir reģistrēts, ļaujot ieinteresētajai trešai personai līgumu izpildīt. Asociācijām vai citām institūcijām jāļauj pārstāvēt datu subjektus, ja tās to vēlas un ja to atļauj valsts tiesību akti.

(19) Indivīdu aizsardzības darba grupa attiecībā uz personas datu apstrādi, kas ir izveidota ar Direktīvas 95/46/EK 29. pantu, ir sniegusi atzinumu [5] par aizsardzības līmeni, kurš ir noteikts saskaņā ar šim lēmumam pievienotajām līguma standartklauzulām, un tas ir ņemts vērā šā lēmuma sagatavošanā.

(20) Šajā lēmumā paredzētie pasākumi ir saskaņā ar atzinumu, ko sniegusi Komiteja, kura izveidota saskaņā ar Direktīvas 95/46/EK 31. pantu,

IR PIEŅĒMUSI ŠO LĒMUMU.

1. pants

Uzskata, ka šā lēmuma pielikumā paredzētās līguma standartklauzulas sniedz pienācīgus nodrošinājumus attiecībā uz indivīdu privātās dzīves, pamattiesību un pamatbrīvību aizsardzību un attiecībā uz attiecīgo tiesību izmantošanu, kā prasīts Direktīvas 95/46/EK 26. panta 2. punktā.

2. pants

Šis lēmums attiecas tikai uz pienācīgu aizsardzību, kas paredzēta pielikumā izklāstītajās līguma standartklauzulās par personas datu nosūtīšanu apstrādātājiem. Tas neattiecas uz citu tādu valsts tiesību aktu piemērošanu, ar kuriem īsteno Direktīvu 95/46/EK un kuri attiecas uz personas datu apstrādi dalībvalstīs.

Šis lēmums attiecas uz personas datiem, ko Kopienā reģistrēti atbildīgie par datu apstrādi nosūta saņēmējiem, kuri ir reģistrēti ārpus Kopienas teritorijas un kuri darbojas tikai kā apstrādātāji.

3. pants

Šajā lēmumā:

a) ir spēkā Direktīvas 95/46/EK definīcijas;

b) "īpašas datu kategorijas" ir minētās direktīvas 8. pantā noteiktie dati;

c) "uzraudzības iestāde" ir minētās direktīvas 28. pantā noteiktā iestāde;

d) "datu nosūtītājs" ir atbildīgais par datu apstrādi, kas personas datus nosūta;

e) "datu saņēmējs" ir trešā valstī reģistrēts atbildīgais par datu apstrādi, kas piekrīt personas datus saņemt no datu nosūtītāja, lai tos turpmāk apstrādātu nosūtītāja uzdevumā saskaņā ar tā norādījumiem un šā lēmuma noteikumiem, un uz ko neattiecas trešās valsts sistēma, ar kuru nodrošina pienācīgu aizsardzību;

f) "piemērojamie tiesību akti datu aizsardzības jomā" ir tiesību akti, kas aizsargā fizisku personu pamattiesības un pamatbrīvības, un, jo īpaši, viņu tiesības uz privāto dzīvi attiecībā uz personas datu apstrādi, un kas attiecas uz atbildīgo par datu apstrādi dalībvalstī, kur datu nosūtītājs ir reģistrēts;

g) "tehniski un organizatoriski drošības pasākumi" ir pasākumi, kas ir paredzēti, lai personas datus aizsargātu pret nejaušu vai nelikumīgu iznīcināšanu vai nejaušu nozaudēšanu, izmainīšanu, neatļautu izpaušanu vai piekļuvi, jo īpaši, ja apstrādē ir iekļauta datu nosūtīšana tīklā, kā arī pret citām nelikumīgām apstrādes formām.

4. pants

1. Neskarot dalībvalstu kompetento iestāžu pilnvaras rīkoties, lai nodrošinātu to valsts tiesību aktu ievērošanu, kas ir pieņemti atbilstīgi Direktīvas 95/46/EK II, III, V un VI nodaļai, tās var īstenot savas pašreizējās pilnvaras, lai aizliegtu vai apturētu datu plūsmu uz trešām valstīm, lai indivīdus aizsargātu attiecībā uz viņu personas datu apstrādi, ja:

a) konstatē, ka tiesību akti, kuri datu saņēmējam jāievēro, uzliek tam pienākumu atkāpties no piemērojamiem tiesību aktiem datu aizsardzības jomā, kas pārsniedz ierobežojumus, kuri ir vajadzīgi demokrātiskā sabiedrībā, kā paredzēts Direktīvas 95/46/EK 13. pantā, ja ir iespējamība, ka šis pienākums var ļoti negatīvi ietekmēt garantijas, kas ir paredzētas piemērojamos tiesību aktos datu aizsardzības jomā un līguma standartklauzulās, vai

b) kompetentā iestāde ir konstatējusi, ka datu saņēmējs nav ievērojis pielikumā minētās līguma klauzulas, vai

c) ir liela iespējamība, ka nav ievērotas vai netiks ievērotas pielikumā dotās līguma standartklauzulas, un nosūtīšanas turpināšana datu subjektiem radītu būtiska kaitējuma draudus.

2. Aizliegumu vai pārtraukšanu atbilstīgi 1. punktam atceļ, tiklīdz tam vairs nav iemesla.

3. Ja dalībvalstis nosaka pasākumus atbilstīgi 1. un 2. punktam, tās nekavējoties informē Komisiju, kas nosūta informāciju pārējām dalībvalstīm.

5. pants

Komisija trīs gadus pēc paziņošanas dalībvalstīm izvērtē šā lēmuma darbību, pamatojoties uz pieejamo informāciju. Komitejai, kas izveidota saskaņā ar Direktīvas 95/46/EK 31. pantu, tā iesniedz ziņojumu par rezultātiem. Ziņojumā ietver pierādījumus, kas varētu ietekmēt novērtējumu par pielikumā noteikto līguma standartklauzulu atbilstību, un pierādījumus, kas varētu liecināt, ka šo lēmumu piemēro diskriminējošā veidā.

6. pants

Šo lēmumu piemēro no 2002. gada 3. aprīļa.

7. pants

Šis lēmums ir adresēts dalībvalstīm.

Briselē, 2001. gada 27. decembrī

Komisijas vārdā —

Komisijas loceklis

Frederik Bolkestein

[1] OV L 281, 23.11.1995., 31. lpp.

[2] Darba grupas Interneta adrese ir:

- http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm.

[3] WP 4 (5020/97): "Pirmās ievirzes par personas datu nosūtīšanu uz trešām valstīm — iespējamie veidi, kā novērtēt atbilstību", apspriežu dokuments, ko Darba grupa pieņēmusi 1997. gada 26. jūnijā.WP 7 (5057/97): Darba dokuments: "Nozaru paškontroles novērtējums: kas ir lietderīgs ieguldījums trešās valsts datu aizsardzībā?"; Darba grupa pieņēmusi 1998. gada 14. janvārī.WP 9 (5005/98): Darba dokuments: "Provizoriskie plāni par līguma noteikumu izmantošanu, nosūtot personas datus uz trešām valstīm", ko Darba grupa pieņēmusi 1998. gada 22. aprīlī.WP 12"Personas datu nosūtīšana uz trešām valstīm: ES datu aizsardzības direktīvas 25. un 26. panta piemērošana", Darba grupa pieņēmusi 1998. gada 24. jūlijā, pieejams Eiropas Komisijas tīmekļa vietnē:

- "http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp12en.htm"

[4] OV L 181, 4.7.2001., 19. lpp.

[5] Atzinums Nr. 7/2001, ko Darba grupa pieņēmusi 2001. gada 13. septembrī (DG MARKT…) un kas ir pieejams Eiropas Komisijas tīmekļa vietnē "Europa".

--------------------------------------------------

PIELIKUMS

+++++ TIFF +++++

+++++ TIFF +++++

+++++ TIFF +++++

+++++ TIFF +++++

--------------------------------------------------