12.2.2010   

SK

Úradný vestník Európskej únie

L 39/5


ROZHODNUTIE KOMISIE

z 5. februára 2010

o štandardných zmluvných doložkách pre prenos osobných údajov spracovateľom usadeným v tretích krajinách podľa smernice Európskeho parlamentu a Rady 95/46/ES

[oznámené pod číslom K(2010) 593]

(Text s významom pre EHP)

(2010/87/EÚ)

EURÓPSKA KOMISIA,

so zreteľom na Zmluvu o fungovaní Európskej únie,

so zreteľom na smernicu Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a o voľnom pohybe týchto údajov (1), a najmä na jej článok 26 ods. 4,

po konzultácii s Európskym dozorným úradníkom pre ochranu údajov,

keďže:

(1)

Podľa smernice 95/46/ES sa od členských štátov vyžaduje, aby stanovili, že prenos osobných údajov do tretej krajiny sa môže uskutočniť, len ak príslušná tretia krajina zabezpečí primeranú úroveň ochrany a ak budú pred prenosom rešpektované zákony členských štátov, ktoré sú v súlade s ostatnými ustanoveniami smernice.

(2)

Avšak článok 26 ods. 2 smernice 95/46/ES stanovuje, že pod podmienkou určitých záruk môžu členské štáty povoliť prenos alebo súbor prenosov osobných údajov do tretích krajín, ktoré nezabezpečujú primeranú úroveň ochrany. Takéto záruky môžu vyplývať najmä z vhodných zmluvných doložiek.

(3)

Podľa smernice 95/46/ES má byť úroveň ochrany údajov zhodnotená z hľadiska všetkých okolností sprevádzajúcich operáciu prenosu údajov alebo súbor operácií prenosu údajov. Pracovná skupina pre ochranu jednotlivcov so zreteľom na spracovanie osobných údajov vytvorená podľa tejto smernice vydala usmernenia, ktoré majú pomôcť pri takomto hodnotení.

(4)

Štandardné zmluvné doložky by sa mali vzťahovať iba na ochranu údajov. Vývozcovi a dovozcovi údajov preto nič nebráni začleniť do zmluvy ďalšie doložky týkajúce sa otázok súvisiacich s obchodom, ktoré považujú za vhodné na jej účely, pokiaľ nie sú v rozpore so štandardnými zmluvnými doložkami.

(5)

Toto rozhodnutie sa nemá dotknúť vnútroštátnych oprávnení, ktoré môžu členské štáty udeľovať v súlade s vnútroštátnymi ustanoveniami, ktorými sa vykonáva článok 26 ods. 2 smernice 95/46/ES. Toto rozhodnutie má len ten účinok, že vyžaduje od členských štátov, aby neodmietli uznať, že v ňom stanovené štandardné zmluvné doložky poskytujú primerané záruky a nemá preto žiaden účinok na iné zmluvné doložky.

(6)

Rozhodnutie Komisie 2002/16/ES z 27. decembra 2001 o štandardných zmluvných doložkách pre prenos osobných údajov spracovateľom z tretích krajín podľa smernice 95/46/ES (2) bolo prijaté s cieľom umožniť prenos osobných údajov prevádzkovateľom údajov usadeným v Európskej únii spracovateľovi usadenému v tretej krajine, ktorá nezaručuje primeranú úroveň ochrany.

(7)

Od prijatia rozhodnutia 2002/16/ES bolo získaných veľa skúseností. Navyše správa o vykonávaní rozhodnutí o štandardných zmluvných doložkách pre prenosy osobných údajov do tretích krajín (3) ukázala, že existuje vzrastajúci záujem o podporu používania štandardných zmluvných doložiek pri medzinárodných prenosoch osobných údajov do tretích krajín, ktoré nezaručujú primeranú úroveň ochrany. Zainteresované strany okrem toho predložili návrhy s cieľom aktualizovať štandardné zmluvné doložky stanovené v rozhodnutí 2002/16/ES, aby sa zohľadnil rýchle sa rozširujúci rozsah činností spojených so spracovaním údajov vo svete a vyriešili sa niektoré otázky, na ktoré sa toto rozhodnutie nevzťahovalo (4).

(8)

Rozsah pôsobnosti tohto rozhodnutia by sa mal obmedzovať na stanovenie toho, že doložky, ktoré popisuje, môže prevádzkovateľ údajov usadený v Európskej únii použiť s cieľom uvedenia primeraných záruk v zmysle článku 26 ods. 2 smernice 95/46/ES pre prenos osobných údajov spracovateľovi usadenému v tretej krajine.

(9)

Toto rozhodnutie by sa nemalo týkať prenosu osobných údajov prevádzkovateľmi usadenými v Európskej únii prevádzkovateľom usadeným mimo Európskej únie, ktorí spadajú do pôsobnosti rozhodnutia Komisie 2001/497/ES z 15. júna 2001 o štandardných zmluvných doložkách pre prenos osobných údajov do tretích krajín podľa smernice 95/46/ES (5).

(10)

Toto rozhodnutie by malo zaviesť povinnosť stanovenú v článku 17 ods. 3 smernice 95/46/ES a nemal by ním byť dotknutý obsah zmlúv alebo právnych úkonov vytvorených v súlade s týmto ustanovením. Niektoré zo štandardných zmluvných doložiek, najmä pokiaľ ide o povinnosti vývozcu údajov, by však mali byť začlenené s cieľom zabezpečiť zrozumiteľnosť ustanovení, ktoré môžu byť obsiahnuté v zmluve medzi prevádzkovateľom a spracovateľom.

(11)

Dozorné orgány členských štátov hrajú kľúčovú úlohu v tomto zmluvnom mechanizme, pokiaľ ide o zabezpečenie primeranej ochrany osobných údajov po prenose. Vo výnimočných prípadoch, kedy vývozcovia údajov odmietnu alebo nie sú schopní poskytnúť dovozcovi údajov náležité pokyny, za bezprostredného rizika vážneho poškodenia subjektov údajov, majú štandardné zmluvné doložky umožniť dozorným orgánom audit dovozcov údajov a subdodávateľov spracovateľských operácií a v prípade potreby prijať rozhodnutia, ktoré sú pre dovozcov údajov a subdodávateľov záväzné. Dozorné orgány majú mať právomoc zakázať alebo pozastaviť prenos údajov alebo skupinu prenosov na základe štandardných zmluvných doložiek v tých výnimočných prípadoch, kde sa zistí, že prevod na zmluvnom základe bude mať pravdepodobne závažný nepriaznivý účinok na záruky a záväzky poskytujúce primeranú ochranu subjektu údajov.

(12)

Štandardné zmluvné doložky majú stanovovať technické a organizačné bezpečnostné opatrenia, ktoré majú uplatniť spracovatelia údajov usadení v tretej krajine neposkytujúcej primeranú ochranu, s cieľom zaistiť úroveň bezpečnosti primeranú rizikám, ktoré predstavuje spracovanie a charakter údajov, ktoré sa majú chrániť. Zmluvné strany majú v zmluve stanoviť také technické a organizačné opatrenia, ktoré sú, so zreteľom na použiteľné právo týkajúce sa ochrany údajov, stav techniky a náklady na ich realizáciu, potrebné na ochranu osobných údajov proti neúmyselnému alebo neoprávnenému zničeniu, prípadne neúmyselnej strate, zmene, neoprávnenému prezradeniu alebo prístupu, prípadne akýmkoľvek iným nezákonným formám spracovania.

(13)

S cieľom uľahčenia tokov údajov z Európskej únie je žiaduce, aby sa spracovateľom poskytujúcim služby spracovania údajov viacerým prevádzkovateľom údajov v Európskej únii umožnilo uplatňovať rovnaké technické a organizačné bezpečnostné opatrenia bez ohľadu na členský štát, v ktorom má prenos údajov pôvod, najmä v tých prípadoch, keď dovozcovia údajov prijímajú údaje s cieľom ďalšieho spracovania z rôznych zariadení vývozcu údajov v Európskej únii, pričom v takom prípade sa má uplatniť právo príslušného členského štátu, v ktorom je vývozca údajov usadený.

(14)

Je vhodné stanoviť minimálne informácie, ktoré majú zmluvné strany špecifikovať v zmluve týkajúcej sa prenosu. Členské štáty si majú zachovať právomoc podrobne špecifikovať informácie, ktorých poskytnutie sa od zmluvných strán vyžaduje. Uplatňovanie tohto rozhodnutia by sa malo preskúmať z hľadiska skúseností.

(15)

Dovozca údajov má spracovávať prenesené osobné údaje len v mene vývozcu údajov a v súlade s jeho pokynmi a záväzkami obsiahnutými v doložkách. Dovozca údajov predovšetkým nemá prezradiť osobné údaje tretej strane bez predchádzajúceho písomného súhlasu vývozcu údajov. Vývozca údajov má poučiť dovozcu údajov, aby v priebehu trvania služieb spracovania údajov tieto spracovával v súlade s jeho pokynmi, príslušnými zákonmi na ochranu údajov a záväzkami obsiahnutými v doložkách.

(16)

V správe o vykonávaní rozhodnutí o štandardných zmluvných doložkách pre prenosy osobných údajov do tretích krajín bolo doporučené zaviesť príslušné štandardné zmluvné doložky o ďalších následných prenosoch údajov spracovateľom údajov usadeným v tretej krajine inému spracovateľovi údajov (zadávanie zákaziek na spracovanie údajov subdodávateľom) s cieľom zohľadniť obchodné trendy a postupy stále viac globalizovaných spracovateľských činností.

(17)

Toto rozhodnutie by malo obsahovať osobitné štandardné zmluvné doložky o zadávaní zákaziek na služby spracovania údajov spracovateľmi usadenými v tretej krajine (dovozca údajov) iným spracovateľom (subdodávateľom) usadeným v tretích krajinách. Okrem toho by toto rozhodnutie malo stanoviť podmienky, ktoré by zadávanie zákaziek subdodávateľom malo spĺňať na zabezpečenie toho, že prenášané osobné údaje budú naďalej chránené aj napriek následným prenosom ďalším subdodávateľom.

(18)

Zadávanie zákaziek na spracovanie údajov subdodávateľom by okrem toho malo pozostávať len z operácií dohodnutých v zmluve uzatvorenej medzi vývozcom údajov a dovozcom údajov, do ktorej by sa mali začleniť štandardné zmluvné doložky stanovené v tomto rozhodnutí a nemalo by sa vzťahovať na iné operácie alebo účely spojené so spracovaním údajov, aby bola dodržaná zásada obmedzenia účelu stanovená v smernici 95/46/ES. Navyše, ak si subdodávateľ neplní svoje zmluvné povinnosti súvisiace so spracovaním údajov, dovozca údajov by mal aj naďalej niesť zodpovednosť voči vývozcovi údajov. Prenosom osobných údajov spracovateľom usadeným mimo Európskej únie by nemala byť dotknutá skutočnosť, že činnosti v rámci spracovania sa majú v každom prípade riadiť príslušným právom týkajúcim sa ochrany údajov.

(19)

Štandardné zmluvné doložky majú byť vymáhateľné nielen organizáciami, ktoré sú stranami zmluvy, ale taktiež subjektmi údajov, najmä ak subjekty údajov utrpeli škodu v dôsledku porušenia zmluvy.

(20)

Subjekt údajov má mať nárok na žalobu a v prípade potreby na odškodnenie od vývozcu údajov, ktorý je prevádzkovateľom prenesených osobných údajov. Výnimočne má mať subjekt údajov taktiež nárok na žalobu a v prípade potreby nárok na odškodnenie od vývozcu údajov, pokiaľ došlo k porušeniu akýchkoľvek záväzkov dovozcu údajov alebo jeho subdodávateľa uvedených v odseku 2 doložky 3, ak vývozca údajov fakticky zmizol alebo prestal právne existovať, alebo sa stal platobne neschopným. Výnimočne má mať subjekt údajov taktiež nárok na žalobu a v prípade potreby nárok na odškodnenie od subdodávateľa, pokiaľ vývozca aj dovozca údajov fakticky zmizli, alebo prestali právne existovať, alebo sa stali platobne neschopnými. Táto zodpovednosť subdodávateľa voči tretím stranám by mala byť obmedzená na jeho vlastné operácie súvisiace so spracovaním údajov podľa zmluvných doložiek.

(21)

V prípade sporu medzi subjektom údajov uplatňujúcim doložku o oprávnenosti tretej strany a dovozcom údajov, ktorý sa nevyrieši mimosúdnym urovnaním, dovozca údajov by mal poskytnúť subjektu údajov možnosť voľby medzi sprostredkovaním alebo súdnym sporom. To, do akej miery bude mať subjekt údajov účinnú možnosť voľby, bude závisieť od dostupnosti spoľahlivých a uznaných systémov sprostredkovania. Sprostredkovanie dozornými orgánmi pre ochranu údajov členského štátu, v ktorom vývozca údajov pôsobí, by mala byť jedna z možností v prípade, že dozorné orgány takúto službu poskytujú.

(22)

Zmluva by sa mala riadiť právom členského štátu, v ktorom je vývozca údajov usadený, čím sa oprávnenej tretej strane umožní vymáhanie plnenia zmluvy. Subjektom údajov má byť daná možnosť, aby ich zastupovali združenia alebo iné subjekty, ak si to želajú a ak to vnútroštátne právo povoľuje. Rovnakým právom by sa mali riadiť aj ustanovenia o ochrane údajov zahrnuté v akejkoľvek zmluve so subdodávateľom, ktoré sa týkajú subdodávateľského zabezpečovania činností spojených so spracovaním osobných údajov prenesených vývozcom údajov dovozcovi údajov podľa zmluvných doložiek.

(23)

Vzhľadom na to, že toto rozhodnutie sa vzťahuje len na zadávanie spracovateľských operácií spracovateľom usadeným v tretej krajine subdodávateľovi usadenému v tretej krajine, nemalo by sa uplatňovať na situáciu, keď spracovateľ usadený v Európskej únii a vykonávajúci spracovanie osobných údajov v mene prevádzkovateľa usadeného v Európskej únii zadá svoje spracovateľské operácie subdodávateľovi usadenému v tretej krajine. V takýchto situáciách sa členské štáty môžu rozhodnúť, či zohľadnia skutočnosť, že pri zadaní zákazky subdodávateľovi usadenému v tretej krajine boli uplatnené zásady a záruky podľa štandardných zmluvných doložiek stanovených v tomto rozhodnutí, s cieľom poskytnúť primeranú ochranu práv subjektov údajov, ktorých osobné údaje sú prenášané na spracovateľské operácie subdodávateľom.

(24)

Pracovná skupina pre ochranu jednotlivcov so zreteľom na spracovanie osobných údajov ustanovená podľa článku 29 smernice 95/46/ES vyjadrila stanovisko k úrovni ochrany poskytovanej podľa štandardných zmluvných doložiek pripojených k tomuto rozhodnutiu, ktoré bolo zohľadnené pri príprave tohto rozhodnutia.

(25)

Rozhodnutie 2002/16/ES by sa malo zrušiť.

(26)

Opatrenia ustanovené v tomto rozhodnutí sú v súlade so stanoviskom výboru zriadeného podľa článku 31 smernice 95/46/ES,

PRIJALA TOTO ROZHODNUTIE:

Článok 1

Štandardné zmluvné doložky uvedené v prílohe sa považujú za doložky, ktoré poskytujú primerané záruky, pokiaľ ide o ochranu súkromia a základných práv a slobôd jednotlivcov ako aj pokiaľ ide o uplatnenie príslušných práv, ako to požaduje článok 26 ods. 2 smernice 95/46/ES.

Článok 2

Toto rozhodnutie sa týka len primeranosti ochrany poskytovanej štandardnými zmluvnými doložkami uvedenými v prílohe pre prenos osobných údajov spracovateľom. Nedotkne sa uplatňovania iných vnútroštátnych ustanovení, ktorými sa vykonáva smernica 95/46/ES a ktoré sa vzťahujú na spracovanie osobných údajov v rámci členských štátov.

Toto rozhodnutie sa bude týkať prenosu osobných údajov prevádzkovateľmi usadenými v Európskej únii príjemcom usadeným mimo územia Európskej únie, ktorí vykonávajú len funkciu spracovateľov.

Článok 3

Na účely tohto rozhodnutia sa uplatňujú tieto pojmy:

a)

„osobitné kategórie údajov“ sú údaje uvedené v článku 8 smernice 95/46/ES;

b)

„dozorný orgán“ je bezpečnostný orgán uvedený v článku 28 smernice 95/46/ES;

c)

„vývozca údajov“ je prevádzkovateľ, ktorý prenáša osobné údaje;

d)

„dovozca údajov“ je spracovateľ usadený v tretej krajine, ktorý súhlasí, že bude od vývozcu údajov prijímať osobné údaje určené na spracovanie v mene vývozcu údajov po prenose v súlade s jeho pokynmi a podmienkami tohto rozhodnutia a ktorý nepodlieha systému tretej krajiny zaisťujúcemu primeranú ochranu v zmysle článku 25 ods. 1 smernice 95/46/ES;

e)

„subdodávateľ“ je akýkoľvek spracovateľ najatý dovozcom údajov alebo iným subdodávateľom dovozcu údajov, ktorý sa zaviaže prijímať od dovozcu údajov alebo od iného subdodávateľa dovozcu údajov osobné údaje výhradne určené na spracovateľské činnosti, ktoré sa majú v mene vývozcu údajov vykonať po prenose údajov v súlade s inštrukciami vývozcu, štandardnými zmluvnými doložkami stanovenými v prílohe a podmienkami písomnej zmluvy o spracovaní údajov subdodávateľom;

f)

„príslušné právo týkajúce sa ochrany údajov“ sú právne predpisy chrániace základné práva a slobody jednotlivcov a najmä ich právo vo vzťahu k spracovaniu osobných údajov, uplatniteľné na prevádzkovateľa údajov v členskom štáte, v ktorom je vývozca údajov usadený;

g)

„technické a organizačné bezpečnostné opatrenia“ sú tie opatrenia, ktoré sa zameriavajú na ochranu osobných údajov proti neúmyselnému alebo neoprávnenému zničeniu, prípadne neúmyselnej strate, zmene, neoprávnenému prezradeniu alebo prístupu, najmä ak spracovanie zahŕňa prenos údajov prostredníctvom siete, a proti všetkým ostatným nezákonným formám spracovania.

Článok 4

1.   Bez toho, aby boli dotknuté ich právomoci podnikať právne opatrenia na zabezpečenie dodržiavania vnútroštátnych ustanovení prijatých podľa kapitol II, III, V a VI smernice 95/46/ES, môžu príslušné úrady v členských štátoch uplatniť svoje existujúce právomoci zakázať alebo pozastaviť toky údajov do tretích krajín s cieľom ochrany osôb vo vzťahu k spracovaniu ich osobných údajov v prípadoch, ak:

a)

sa zistí, že právo, ktorému vývozca údajov alebo subdodávateľ podlieha, mu ukladá povinnosti vo forme výnimky z príslušného práva týkajúceho sa ochrany údajov, ktoré presahujú obmedzenia nevyhnutné v demokratickej spoločnosti stanovené v článku 13 smernice 95/46/ES, ak je pravdepodobné, že tieto povinnosti budú mať závažný nepriaznivý účinok na záruky poskytované príslušným právom týkajúcim sa ochrany údajov a štandardnými zmluvnými doložkami;

b)

príslušný orgán zistí, že dovozca údajov alebo subdodávateľ nerešpektoval štandardné zmluvné doložky uvedené v prílohe, alebo

c)

existuje veľká pravdepodobnosť, že štandardné zmluvné doložky uvedené v prílohe nie sú alebo nebudú dodržiavané a pokračujúcim prenosom by vzniklo bezprostredné riziko vážneho poškodenia subjektov údajov.

2.   Zákaz alebo pozastavenie podľa odseku 1 bude zrušený, len čo dôvody pre pozastavenie alebo zákaz prestanú existovať.

3.   Ak členské štáty prijmú opatrenia podľa odsekov 1 a 2, budú o tom bezodkladne informovať Komisiu, ktorá príslušné informácie postúpi ostatným členským štátom.

Článok 5

Komisia zhodnotí pôsobenie tohto rozhodnutia na základe dostupných informácií tri roky po jeho prijatí. Predloží správu o zisteniach výboru vytvorenému podľa článku 31 smernice 95/46/ES. Správa bude obsahovať všetky dôkazné údaje, ktoré by mohli negatívne ovplyvniť hodnotenie týkajúce sa primeranosti štandardných zmluvných doložiek v prílohe a všetky dôkazy o tom, že toto rozhodnutie sa uplatňuje diskriminačným spôsobom.

Článok 6

Toto rozhodnutie sa uplatňuje od 15. mája 2010.

Článok 7

1.   Rozhodnutie 2002/16/ES sa zrušuje s účinnosťou od 15. mája 2010.

2.   Zmluva uzavretá medzi vývozcom údajov a dovozcom údajov podľa rozhodnutia 2002/16/ES pred 15. májom 2010 je aj naďalej platná a účinná, pokiaľ nedôjde k zmene prenosov a spracovateľských operácií, ktoré sú predmetom zmluvy, a pokiaľ sa medzi stranami budú aj naďalej prenášať údaje, na ktoré sa toto rozhodnutie vzťahuje. V prípade, že sa zmluvné strany rozhodnú uskutočniť zmeny v tomto zmysle alebo zadávať predmetné spracovateľské operácie subdodávateľovi, musia uzatvoriť novú zmluvu, ktorá bude v súlade so štandardnými zmluvnými doložkami stanovenými v prílohe.

Článok 8

Toto rozhodnutie je určené členským štátom.

V Bruseli 5. februára 2010

Za Komisiu

Jacques BARROT

podpredseda


(1)  Ú. v. ES L 281, 23.11.1995, s. 31.

(2)  Ú. v. ES L 6, 10.1.2002, s. 52.

(3)  SEK(2006) 95, 20.1.2006.

(4)  Medzinárodná obchodná komora (ICC), Japonská obchodná rada v Európe (JBCE), Výbor EÚ Americkej obchodnej komory v Belgicku (Amcham), Európska federácia priameho marketingu (FEDMA).

(5)  Ú. v. ES L 181, 4.7.2001, s. 19.


PRÍLOHA

ŠTANDARDNÉ ZMLUVNÉ DOLOŽKY (SPRACOVATELIA)

Na účely článku 26 ods. 2 smernice 95/46/ES pre prenos osobných údajov spracovateľom v tretích krajinách, ktoré nezabezpečujú primeranú úroveň ochrany

Názov organizácie vyvážajúcej údaje: …

adresa: …

telefón: …, fax: …, e-mail: …

ďalšie informácie potrebné na identifikáciu organizácie:

(vývozca údajov)

a

názov organizácie dovážajúcej údaje: …

adresa: …

telefón: …, fax: …, e-mail: …

ďalšie informácie potrebné na identifikáciu organizácie:

(dovozca údajov)

jednotlivo „strana“, spolu „strany“

SA DOHODLI na týchto zmluvných doložkách (ďalej len „doložky“) s cieľom uvedenia primeraných záruk, pokiaľ ide o ochranu súkromia a základných práv a slobôd jednotlivcov pri prenose vývozcom údajov dovozcovi údajov osobných údajov uvedených v dodatku 1.

Doložka 1

Vymedzenie pojmov

Na účely doložiek:

a)

„osobné údaje“, „osobitné kategórie údajov“, „spracovávať/spracovanie“, „prevádzkovateľ“, „spracovateľ“, „subjekt údajov“ a „dozorný orgán“ majú rovnaký význam ako v smernici Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (1);

b)

„vývozca údajov“ je prevádzkovateľ, ktorý prenáša osobné údaje;

c)

„dovozca údajov“ je spracovateľ, ktorý súhlasí, že bude od vývozcu údajov prijímať osobné údaje určené na spracovanie v mene vývozcu údajov po prenose v súlade s jeho pokynmi a podmienkami doložiek a ktorý nepodlieha systému tretej krajiny zabezpečujúcej primeranú ochranu podľa článku 25 ods. 1 smernice 95/46/ES;

d)

„subdodávateľ“ je akýkoľvek spracovateľ najatý dovozcom údajov alebo iným subdodávateľom dovozcu údajov, ktorý súhlasí, že bude od vývozcu údajov alebo od iného subdodávateľa prijímať osobné údaje určené na spracovanie v mene vývozcu údajov po prenose v súlade s jeho pokynmi, podmienkami doložiek a podmienkami písomnej zmluvy o spracovaní údajov subdodávateľom;

e)

„príslušné právo týkajúce sa ochrany údajov“ sú právne predpisy chrániace základné práva a slobody jednotlivcov a najmä ich právo vo vzťahu k spracovaniu osobných údajov, uplatniteľné na prevádzkovateľa údajov v členskom štáte, v ktorom má vývozca údajov sídlo;

f)

„technické a organizačné bezpečnostné opatrenia“ sú tie opatrenia, ktoré sa zameriavajú na ochranu osobných údajov proti neúmyselnému alebo neoprávnenému zničeniu, neúmyselnej strate, zmene, neoprávnenému prezradeniu alebo prístupu, najmä ak spracovanie zahŕňa prenos údajov prostredníctvom siete, a proti všetkým ostatným nezákonným formám spracovania.

Doložka 2

Podrobné informácie o prenose

Podrobné informácie o prenose a najmä o prípadných osobitných kategóriách osobných údajov sú uvedené v dodatku 1, ktorý je neoddeliteľnou súčasťou doložiek.

Doložka 3

Doložka o oprávnenosti tretej strany

1.

Subjekt údajov môže ako oprávnená tretia strana uplatňovať voči vývozcovi údajov túto doložku, doložku 4 písm. b) až i), doložku 5 písm. a) až e) a písm. g) až j), doložku 6 ods. 1 a 2, doložku 7, doložku 8 ods. 2 a doložky 9 až 12.

2.

Subjekt údajov môže uplatňovať voči dovozcovi údajov túto doložku, doložku 5 písm. a) až e) a písm. g), doložku 6, doložku 7, doložku 8 ods. 2 a doložky 9 až 12 v prípadoch, keď vývozca údajov fakticky zmizol alebo prestal právne existovať, pokiaľ prípadný nástupnícky subjekt neprevzal na základe zmluvy alebo podľa zákona všetky právne záväzky vývozcu údajov, v dôsledku čoho prijíma práva a záväzky vývozcu údajov a subjekt údajov ich v takom prípade môže uplatňovať voči tomuto subjektu.

3.

Subjekt údajov môže uplatňovať voči subdodávateľovi túto doložku, doložku 5 písm. a) až e) a písm. g), doložku 6, doložku 7, doložku 8 ods. 2 a doložky 9 až 12 v prípadoch, keď vývozca aj dovozca údajov fakticky zmizli alebo prestali právne existovať, alebo sa stali platobne neschopnými, pokiaľ prípadný nástupnícky subjekt neprevzal na základe zmluvy alebo podľa zákona všetky právne záväzky vývozcu údajov, v dôsledku čoho prijíma práva a záväzky vývozcu údajov a subjekt údajov ich v takom prípade môže uplatňovať voči tomuto subjektu. Táto zodpovednosť subdodávateľa voči tretím stranám je obmedzená na jeho vlastné operácie súvisiace so spracovaním údajov podľa doložiek.

4.

Strany nenamietajú proti tomu, aby bol subjekt údajov zastupovaný združeniami alebo inými subjektmi, ak si to výslovne želá a ak to vnútroštátne právo povoľuje.

Doložka 4

Povinnosti vývozcu údajov

Vývozca údajov súhlasí a zaručuje sa, že:

a)

spracovanie osobných údajov vrátane ich prenosu bolo a bude aj naďalej vykonávané v súlade s relevantnými ustanoveniami príslušného práva týkajúceho sa ochrany údajov (a prípadne bolo oznámené príslušným orgánom členského štátu, v ktorom má vývozca údajov sídlo) a že neporušuje relevantné ustanovenia daného štátu;

b)

nariadil a v priebehu trvania služieb spracovania osobných údajov bude nariaďovať dovozcovi údajov, aby prenášané osobné údaje spracovával len v mene vývozcu údajov a v súlade s príslušným právom týkajúcim sa ochrany osobných údajov a s doložkami;

c)

dovozca údajov poskytne dostatočné záruky, pokiaľ ide o technické a organizačné bezpečnostné opatrenia uvedené v dodatku 2 k tejto zmluve;

d)

po vyhodnotení požiadaviek príslušného práva týkajúceho sa ochrany údajov sú bezpečnostné opatrenia primerané na zabezpečenie ochrany osobných údajov proti neúmyselnému alebo neoprávnenému zničeniu alebo neúmyselnej strate, zmene, neoprávnenému prezradeniu alebo prístupu najmä v prípadoch, ak spracovanie zahŕňa prenos údajov prostredníctvom siete, ako aj proti všetkým ostatným nezákonným formám spracovania, a že tieto opatrenia zabezpečujú úroveň bezpečnosti primeranú rizikám spojeným so spracovávaním údajov a s povahou údajov, ktoré sa majú chrániť, vzhľadom na stav techniky a nákladnosť ich implementácie;

e)

zabezpečí plnenie bezpečnostných opatrení;

f)

ak bude prenos zahŕňať osobitné kategórie údajov, subjekt údajov bol alebo bude informovaný pred jeho uskutočnením alebo čo najskôr po ňom, že môže dôjsť k prenosu jeho údajov do tretej krajiny, ktorá neposkytuje primeranú ochranu v zmysle smernice 95/46/ES;

g)

postúpi akékoľvek oznámenie prijaté od vývozcu údajov alebo subdodávateľa podľa doložky 5 písm. b) a doložky 8 ods. 3 dozornému orgánu na ochranu údajov, pokiaľ sa vývozca údajov rozhodne pokračovať v prenose alebo zrušiť jeho pozastavenie;

h)

na požiadanie poskytne subjektom údajov kópiu doložiek uvedených v tejto prílohe s výnimkou dodatku 2 a súhrnný opis bezpečnostných opatrení, ako aj kópiu akejkoľvek subdodávateľskej zmluvy o službách spracovania údajov, ktorú je nutné uzavrieť v súlade s doložkami, pokiaľ doložky alebo zmluva neobsahujú obchodné informácie, v tomto prípade môže tieto obchodné informácie vynechať;

i)

v prípade zadania zákazky na spracovanie údajov subdodávateľovi sa činnosť spojená so spracovaním vykonáva v súlade s doložkou 11 subdodávateľom, ktorý zabezpečuje prinajmenšom rovnakú úroveň ochrany osobných údajov a práv subjektu údajov ako dovozca údajov podľa doložiek, a

j)

zabezpečí dodržiavanie doložky 4 písm. a) až i).

Doložka 5

Povinnosti vývozcu údajov  (2)

Dovozca údajov sa zaväzuje a zaručuje, že:

a)

bude spracovávať osobné údaje iba v mene vývozcu údajov a v súlade s jeho pokynmi a doložkami; ak z akýchkoľvek dôvodov nebude môcť toto dodržiavanie pokynov a doložiek zabezpečiť, zaväzuje sa bezodkladne o tom informovať vývozcu údajov, ktorý je v takom prípade oprávnený pozastaviť prenos údajov a/alebo zmluvu vypovedať;

b)

nemá dôvod sa domnievať, že právne predpisy, ktorým podlieha, mu bránia plniť pokyny vývozcu údajov a jeho záväzky vyplývajúce zo zmluvy a že v prípade zmeny týchto právnych predpisov, ktorá by mohla mať závažný nepriaznivý účinok na záruky a záväzky stanovené doložkami, bezodkladne oznámi túto zmenu vývozcovi údajov, ktorý je v takom prípade oprávnený pozastaviť prenos údajov a/alebo zmluvu vypovedať;

c)

pred spracovaním prenášaných osobných údajov vykonal organizačné a technické zabezpečenia uvedené v dodatku 2;

d)

vývozcovi údajov bezodkladne oznámi:

i)

akékoľvek právne záväzné požiadavky na sprístupnenie osobných údajov zo strany orgánu presadzovania práva, pokiaľ to nie je inak zakázané, napríklad trestným právom, v záujme zachovania dôvernosti vyšetrovania v rámci presadzovania práva;

ii)

akýkoľvek neúmyselný alebo neoprávnený prístup a

iii)

akékoľvek požiadavky pochádzajúce priamo od subjektov údajov bez toho, aby na tieto požiadavky reagoval s výnimkou prípadu, ak je tým inak poverený;

e)

bude bezodkladne a riadne reagovať na všetky otázky vývozcu údajov súvisiace s jeho spracovateľskými činnosťami osobných údajov, ktoré sú predmetom prenosu, a že bude rešpektovať odporučenia dozorného orgánu, pokiaľ ide o spracovanie prenášaných údajov;

f)

na žiadosť vývozcu údajov sprístupní svoje zariadenia spracovania údajov na audit spracovateľských činností zahrnutých v doložkách, ktorý vykoná vývozca údajov alebo inšpekčný orgán zložený z nezávislých členov s požadovanou odbornou kvalifikáciou, ktorí budú viazaní povinnosťou mlčanlivosti a budú vybraní vývozcom údajov prípadne po dohode s dozorným orgánom;

g)

na požiadanie poskytne subjektu údajov kópiu doložiek alebo akúkoľvek existujúcu subdodávateľskú zmluvu o spracovaní údajov, pokiaľ doložky alebo zmluva neobsahujú obchodné informácie; v takom prípade možno tieto obchodné informácie vynechať s výnimkou dodatku 2 ktorý bude nahradený súhrnným opisom bezpečnostných opatrení v prípadoch, ak subjekt údajov nie je schopný získať kópiu vývozcu údajov;

h)

v prípade zadania zákazky na spracovanie údajov subdodávateľom vopred informoval vývozcu údajov a získal jeho predchádzajúci písomný súhlas;

i)

spracovateľské služby poskytované subdodávateľom budú vykonávané v súlade s doložkou 11;

j)

bezodkladne zašle vývozcovi údajov kópiu akejkoľvek subdodávateľskej dohody o spracovaní údajov, ktorú uzavrie podľa týchto doložiek.

Doložka 6

Zodpovednosť

1.

Strany sa dohodli že subjekt údajov, ktorý utrpel škodu v dôsledku porušenia povinností uvedených v doložke 3 alebo doložke 11 spôsobeného ktoroukoľvek zo strán alebo subdodávateľom, má nárok na odškodnenie od vývozcu údajov.

2.

Ak subjekt údajov nemôže v súlade s odsekom 1 požadovať odškodnenie od vývozcu údajov za porušenie niektorej z povinností dovozcu údajov alebo jeho subdodávateľa uvedených v doložke 3 alebo doložke 11, pretože vývozca údajov fakticky zmizol, prestal právne existovať alebo sa stal platobne neschopným, dovozca údajov sa zaväzuje, že subjekt údajov smie uplatňovať nároky voči dovozcovi údajov, ako by bol vývozcom údajov, pokiaľ prípadný nástupnícky subjekt neprevzal na základe zmluvy alebo podľa zákona všetky právne záväzky vývozcu údajov, v dôsledku čoho ich subjekt údajov môže uplatňovať voči tomuto subjektu.

Dovozca údajov sa nemôže spoliehať na to, že subdodávateľ poruší svoje povinnosti, aby sa vyhol vlastnej zodpovednosti.

3.

Ak subjekt údajov nemôže v súlade s odsekom 1 a 2 požadovať odškodnenie od vývozcu údajov alebo dovozcu údajov za porušenie niektorej z povinností subdodávateľa uvedených v doložke 3 alebo doložke 11, pretože vývozca údajov aj dovozca údajov fakticky zmizli, prestali právne existovať alebo sa stali platobne neschopnými, subdodávateľ sa zaväzuje, že subjekt údajov smie uplatňovať nároky voči subdodávateľovi, pokiaľ ide o jeho vlastné spracovateľské operácie podľa doložiek, ako by bol vývozcom alebo dovozcom údajov, pokiaľ prípadný nástupnícky subjekt neprevzal na základe zmluvy alebo podľa zákona všetky právne záväzky vývozcu údajov alebo dovozcu údajov, v dôsledku čoho ich subjekt údajov môže uplatňovať voči tomuto subjektu. Zodpovednosť subdodávateľa je obmedzená na jeho vlastné operácie súvisiace so spracovaním údajov podľa doložiek.

Doložka 7

Mediácia a súdna právomoc

1.

Dovozca údajov súhlasí, že ak subjekt údajov voči nemu uplatní práva v prospech tretej strany a/alebo nárok na odškodnenie podľa týchto doložiek, dovozca údajov prijme rozhodnutie subjektu údajov:

a)

postúpiť spor na sprostredkovanie nezávislou osobou alebo prípadne dozorným orgánom;

b)

postúpiť spor súdom v členskom štáte, v ktorom má sídlo vývozca údajov.

2.

Strany sa dohodli, že rozhodnutím subjektu údajov nebudú dotknuté jeho hmotné ani procesné práva na podávanie žalôb v súlade s ostatnými ustanoveniami vnútroštátneho alebo medzinárodného práva.

Doložka 8

Spolupráca s dozornými orgánmi

1.

Vývozca údajov súhlasí, že uloží kópiu tejto zmluvy u dozorného orgánu, ak to vyžaduje tento orgán alebo príslušné právo týkajúce sa ochrany údajov.

2.

Strany súhlasia, že dozorný orgán má právo vykonať audit dovozcu údajov alebo akéhokoľvek subdodávateľa v rovnakom rozsahu a za rovnakých podmienok, aké by sa uplatňovali pri audite vývozcu údajov v súlade s príslušným právom týkajúcim sa ochrany údajov.

3.

Dovozca údajov bezodkladne informuje vývozcu údajov o existencii právnych predpisov, ktorým on alebo subdodávateľ podlieha a ktoré podľa odseku 2 bránia vykonaniu auditu dovozcu údajov alebo subdodávateľa. V takom prípade je vývozca údajov oprávnený vykonať opatrenia podľa doložky 5 písm. b).

Doložka 9

Rozhodné právo

Doložky sa majú riadiť právom členského štátu, v ktorom je vývozca údajov usadený, menovite …

Doložka 10

Zmena zmluvy

Strany sa zaväzujú, že doložky nebudú meniť ani upravovať. Toto nevylučuje, aby strany v prípade potreby pripojili ďalšie doložky týkajúce sa obchodných záležitostí, pokiaľ tieto doložky nie sú v rozpore s týmito doložkami.

Doložka 11

Spracovanie údajov subdodávateľmi

1.

Dovozca údajov nezadá na spracovanie subdodávateľom žiadnu zo spracovateľských operácií, ktoré vykonáva v mene vývozcu údajov podľa doložiek, bez predchádzajúceho písomného súhlasu vývozcu údajov. Pokiaľ dovozca údajov so súhlasom vývozcu údajov zadáva zákazky na spracovanie údajov subdodávateľom podľa doložiek, môže to uskutočniť len formou písomnej dohody so subdodávateľom, ktorá subdodávateľovi uloží rovnaké záväzky, aké má dovozca údajov podľa doložiek (3). Pokiaľ subdodávateľ neplní svoje povinnosti týkajúce sa ochrany údajov na základe tejto písomnej dohody, je dovozca údajov naďalej v plnej miere zodpovedný voči vývozcovi údajov za plnenie povinností subdodávateľa podľa tejto dohody.

2.

Predchádzajúca písomná zmluva medzi dovozcom údajov a subdodávateľom má tiež ustanoviť doložku o oprávnenosti tretej strany, ako je uvedené v doložke 3, pre tie prípady, keď subjekt údajov nemôže požadovať odškodnenie podľa odseku 1 doložky 6 od vývozcu údajov alebo dovozcu údajov, pretože fakticky zmizli alebo prestali právne existovať, alebo sa stali platobne neschopnými a žiaden nástupnícky subjekt neprevzal na základe zmluvy alebo podľa zákona všetky právne záväzky vývozcu údajov. Táto zodpovednosť subdodávateľa voči tretím stranám je obmedzená na jeho vlastné operácie súvisiace so spracovaním údajov podľa doložiek.

3.

Ustanovenia týkajúce sa aspektov ochrany údajov pri zadávaní zákaziek na spracovanie údajov subdodávateľom podľa zmluvy uvedenej v odseku 1 sa majú riadiť právom členského štátu, v ktorom je vývozca údajov usadený, menovite …

4.

Vývozca údajov vedie zoznam subdodávateľských dohôd o spracovaní údajov, ktoré uzavrel podľa doložiek a oznámil dovozcovi údajov podľa doložky 5 písm. j) a aktualizuje ho aspoň raz za rok. Tento zoznam má byť k dispozícii dozornému orgánu pre ochranu údajov vývozcu údajov.

Doložka 12

Povinnosti po ukončení poskytovania služieb spojených so spracovaním osobných údajov

1.

Strany sa dohodli, že po ukončení poskytovania služieb spojených so spracovaním údajov dovozca údajov a subdodávateľ podľa rozhodnutia vývozcu údajov vráti všetky prenášané osobné údaje a ich kópie vývozcovi údajov alebo zničí všetky osobné údaje a predloží vývozcovi potvrdenie o ich zničení, pokiaľ právne predpisy vzťahujúce sa na dovozcu údajov nezakazujú dovozcovi vrátenie alebo zničenie všetkých alebo časti prenášaných osobných údajov. V takom prípade dovozca údajov garantuje, že zaručí dôvernosť prenášaných osobných údajov a že nebude prenášané osobné údaje už ďalej aktívne spracovávať.

2.

Dovozca údajov a subdodávateľ zaručujú, že na požiadanie vývozcu údajov a/alebo dozorného orgánu sprístupnia svoje zariadenia na spracovanie údajov na audit opatrení uvedených v odseku 1.

Za vývozcu údajov:

Meno (napísané v neskrátenej podobe): …

Funkcia: …

Adresa: …

Prípadné ďalšie informácie potrebné na to, aby zmluva bola záväzná:

Image

Podpis …

Za dovozcu údajov:

Meno (napísané v neskrátenej podobe): …

Funkcia: …

Adresa: …

Prípadné ďalšie informácie potrebné na to, aby zmluva bola záväzná:

Image

Podpis …


(1)  Strany môžu v rámci tejto doložky citovať vymedzenia pojmov a významy uvedené v smernici 95/46/ES, ak to budú považovať za vhodné pre význam zmluvy ako samostatného dokumentu.

(2)  Povinné požiadavky vnútroštátnych právnych predpisov vzťahujúcich sa na dovozcu údajov, ktoré nepresahujú rámec toho, čo je nevyhnutné v demokratickej spoločnosti na základe jedného zo záujmov uvedených v článku 13 ods. 1 smernice 95/46/ES, t. j. ak predstavujú opatrenia nevyhnutné na zabezpečenie obrany národnej bezpečnosti, verejnej bezpečnosti, na predchádzanie, vyšetrovanie, odhaľovanie a stíhanie trestných činov alebo porušenie etických zásad regulovaných profesií, významného hospodárskeho alebo finančného záujmu štátu alebo ochrany subjektov údajov alebo práv a slobôd iných, nie sú v rozpore so štandardnými zmluvnými doložkami. Príkladmi takých povinných požiadaviek, ktoré nepresahujú rámec toho, čo je v demokratickej spoločnosti nevyhnutné, sú okrem iného medzinárodne uznávané sankcie, požiadavky na priznanie daní alebo požiadavky v súvislosti s ohlasovacou povinnosťou na účely boja proti praniu špinavých peňazí.

(3)  Táto požiadavka môže byť splnená tak, že subdodávateľ podpíše spolu zmluvu uzatvorenú medzi vývozcom a dovozcom údajov podľa tohto rozhodnutia.

Dodatok 1

k štandardným zmluvným doložkám

Tento dodatok je súčasťou doložiek a musí byť vyplnený a podpísaný stranami.

Členské štáty môžu v súlade so svojimi vnútroštátnymi postupmi doplniť alebo uviesť akékoľvek potrebné dodatočné informácie, ktoré majú byť do tohto dodatku zahrnuté.

Vývozca údajov

Vývozca údajov (uveďte stručne svoje činnosti, ktoré súvisia s prenosom údajov):

Dovozca údajov

Dovozca údajov (uveďte stručne svoje činnosti, ktoré súvisia s prenosom údajov):

Subjekty údajov

Prenášané osobné údaje sa týkajú týchto kategórií subjektov údajov (uveďte podrobnosti):

Kategórie údajov

Prenášané osobné údaje sa týkajú týchto kategórií údajov (uveďte podrobnosti):

Osobitné kategórie údajov (ak sú predmetom spracovania)

Prenášané osobné údaje sa týkajú týchto osobitných kategórií údajov (uveďte podrobnosti):

Spracovateľské činnosti

Prenášané osobné údaje budú predmetom týchto základných spracovateľských činností (uveďte podrobnosti):

 

VÝVOZCA ÚDAJOV

Meno: …

Podpis oprávnenej osoby …

 

DOVOZCA ÚDAJOV

Meno: …

Podpis oprávnenej osoby …

Dodatok 2

k štandardným zmluvným doložkám

Tento dodatok je súčasťou doložiek a musí byť vyplnený a podpísaný stranami

Opis technických a organizačných bezpečnostných opatrení zavedených dovozcom údajov v súlade s doložkou 4 písm. d) a doložkou 5 písm. c) (alebo pripojeným dokumentom/pripojenými právnymi predpismi):

PRÍKLAD DOLOŽKY O ODŠKODNENÍ (NEPOVINNÉ)

Zodpovednosť

Strany sa dohodli, že v prípade uznania jednej strany zodpovednou za porušenie doložiek, ktorého sa dopustí druhá strana, druhá strana nahradí prvej strane všetky náklady, poplatky, škody, výdavky alebo straty, ktoré prvej strane vznikli, a to v rozsahu v akom je za ne zodpovedná.

Odškodnenie závisí od toho:

a)

či vývozca údajov bezodkladne oboznámi dovozcu údajov so vzneseným nárokom a

b)

či je dovozcovi údajov umožnené spolupracovať s vývozcom údajov pri obhajobe v rámci sporu o vznesený nárok a jeho riešení (1).


(1)  Odsek o zodpovednosti nie je povinný.