32002D0016

Odločba Komisije

z dne 27. decembra 2001

o standardnih pogodbenih klavzulah za prenos osebnih podatkov obdelovalcem s sedežem v tretjih državah v skladu z Direktivo 95/46/ES

(notificirana pod dokumentarno številko K(2001) 4540)

(Besedilo velja za EGP)

(2002/16/ES)

KOMISIJA EVROPSKIH SKUPNOSTI JE –

ob upoštevanju Pogodbe o ustanovitvi Evropske skupnosti,

ob upoštevanju Direktive 95/46/ES Evropskega parlamenta in Sveta z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov [1] in zlasti člena 26(4) Direktive,

ob upoštevanju naslednjega:

(1) V skladu z Direktivo 95/46/ES morajo države članice zagotoviti, da se lahko prenos osebnih podatkov v tretjo državo izvede le, če zadevna tretja država zagotovi primerno raven varstva podatkov in če se pred prenosom upoštevajo zakoni držav članic, ki so v skladu z drugimi določbami Direktive.

(2) Vendar pa člen 26(2) Direktive 95/46/ES določa, da lahko države članice ob upoštevanju določenih zaščitnih ukrepov odobrijo prenos ali niz prenosov osebnih podatkov v tretje države, ki ne zagotavljajo primerne ravni varstva. Taki zaščitni ukrepi lahko izhajajo zlasti iz ustreznih pogodbenih klavzul.

V skladu z Direktivo 95/46/ES je treba raven varstva podatkov ocenjevati z vidika vseh okoliščin, ki spremljajo postopek prenosa podatkov ali niz postopkov prenosa podatkov. Delovna skupina o varstvu posameznikov pri obdelavi osebnih podatkov, ustanovljena v skladu z navedeno direktivo [2], je izdala smernice, ki so v pomoč pri ocenjevanju [3].

(4) Standardne pogodbene klavzule se nanašajo le na varstvo podatkov. Izvoznik in uvoznik podatkov lahko vključita katere koli druge klavzule o vprašanjih poslovanja, ki so po njunem mnenju primerna za pogodbo, če le niso v nasprotju s standardnimi pogodbenimi klavzulami.

(5) Ta odločba ne sme posegati v nacionalna dovoljenja, ki jih države članice lahko odobrijo v skladu z nacionalnimi predpisi za izvajanje člena 26(2) Direktive 95/46/ES. Učinek te odločbe je le, da od držav članic zahteva, da v njej določene pogodbene klavzule priznajo kot takšna, ki zagotavljajo ustrezne zaščitne ukrepe, in torej nima nobenega vpliva na druge pogodbene klavzule.

(6) Področje uporabe te odločbe je omejeno na določitev, da lahko klavzule, ki jih opredeljuje, uporabi upravljavec podatkov s sedežem v Skupnosti, da bi navedel ustrezne zaščitne ukrepe v smislu člena 26(2) Direktive 95/46/ES za prenos osebnih podatkov obdelovalcu s sedežem v tretji državi.

(7) Ta odločba naj izpolnjuje obveznost, predvideno v členu 17(3) Direktive 95/46/ES, in ne vpliva na vsebino pogodb ali pravnih predpisov, sestavljenih v skladu z navedeno določbo. Vendar pa morajo biti vključene nekatere standardne pogodbene klavzule, zlasti v zvezi z obveznostmi izvoznika podatkov, da bi se povečala jasnost glede določb, ki jih lahko vsebuje pogodba med upravljavcem in obdelovalcem.

(8) Nadzorni organi držav članic imajo v tem pogodbenem mehanizmu ključno vlogo pri zagotavljanju zadostnega varstva osebnih podatkov po prenosu. V izjemnih primerih, kadar izvozniki podatkov odklonijo dajanje primernih navodil uvozniku podatkov ali pa so jih nesposobni dati, ter kadar obstaja neizbežna nevarnost resne škode za posameznike, na katere se nanašajo osebni podatki, naj standardne pogodbene klavzule dovolijo nadzornim organom pregled uvoznikov podatkov in, kjer je to primerno, sprejemanje odločitev, zavezujočih za uvoznike. Nadzorni organi naj bi imeli pooblastilo za prepoved ali začasno ustavitev prenosa podatkov ali niza prenosov, ki temelji na standardnih pogodbenih klavzulah v tistih izjemnih primerih, kjer se ugotovi verjetnost, da ima lahko prenos na pogodbeni podlagi precej škodljivih posledic za jamstva in obveznosti, ki zagotavljajo zadostno varstvo posameznika, na katerega se nanašajo osebni podatki.

(9) Komisija lahko v prihodnje tudi preuči, ali standardne pogodbene klavzule za prenos osebnih podatkov obdelovalcem podatkov s sedežem v tretjih državah, ki ne zagotavljajo ustrezne ravni varstva podatkov, ki so jih predložile poslovne organizacije ali druge zainteresirane stranke, nudijo zadostne zaščitne ukrepe v skladu s členom 26(2) Direktive 95/46/ES.

(10) Posredovanje osebnih podatkov obdelovalcu podatkov s sedežem zunaj Skupnosti je mednarodni prenos, varovan s poglavjem IV Direktive 95/46/ES. Zato ta odločba ne zajema prenosa osebnih podatkov s strani upravljavcev s sedežem v Skupnosti upravljavcem s sedežem zunaj Skupnosti, ki sodijo v področje uporabe Odločbe Komisije 2001/497/ES z dne 15. junija 2001 o standardnih pogodbenih klavzulah za prenos osebnih podatkov v tretje države v skladu z Direktivo 95/46/ES [4].

(11) Standardne pogodbene klavzule naj predvidijo tehnične in organizacijske varnostne ukrepe, ki zagotavljajo raven varnosti, primerno tveganju, ki ga predstavljata obdelava in narava podatkov, predvidenih za varstvo, in ki jih mora uporabiti obdelovalec podatkov s sedežem v tretji državi, ki ne zagotavlja zadostnega varstva. Pogodbenici morata v pogodbi predvideti tiste tehnične in organizacijske varnostne ukrepe, ki so ob upoštevanju veljavnega prava o varstvu podatkov, najsodobnejše tehnologije in stroškov njihovega izvajanja, potrebni za varstvo osebnih podatkov pred naključnim ali nezakonitim uničenjem ali naključno izgubo, spreminjanjem, nepooblaščenim posredovanjem ali dostopom ali katerim koli drugim nezakonitim načinom obdelave.

(12) Za pospešitev prenosa podatkov iz Skupnosti je zaželeno, da je obdelovalcem, ki zagotavljajo storitve obdelave podatkov različnim upravljavcem podatkov v Skupnosti, dovoljeno uporabljati enake tehnične in organizacijske varnostne ukrepe ne glede na državo članico, iz katere izvira prenos podatkov, zlasti v tistih primerih, ko uvoznik podatkov prejme podatke za nadaljnjo obdelavo z različnih sedežev izvoznika podatkov v Skupnosti; v tem primeru pa naj se uporabi zakonodaja namembne države članice, v kateri je sedež.

(13) Primerno je določiti najmanjšo količino informacij, ki jih morata pogodbenici navesti v pogodbi o prenosu. Države članice naj obdržijo pooblastilo za podrobno določanje informacij, ki jih morata priskrbeti pogodbenici. Izvajanje te odločbe je treba preučiti z vidika izkušenj.

(14) Uvoznik podatkov naj prenesene osebne podatke obdeluje samo v imenu izvoznika podatkov in v skladu z njegovimi navodili ter obveznostmi iz klavzul. Zlasti uvoznik podatkov naj ne posreduje osebnih podatkov tretji stranki, razen če je to v skladu z določenimi pogoji. Izvoznik podatkov naj uvoznika podatkov med trajanjem obdelave podatkov pouči, da naj obdeluje podatke v skladu z njegovimi navodili, veljavnimi zakoni o varstvu podatkov in zahtevami iz klavzul. Prenos osebnih podatkov obdelovalcem s sedežem zunaj Skupnosti ne vpliva na dejstvo, da naj bodo dejavnosti obdelave podatkov v vsakem primeru v skladu z veljavnim pravom o varstvu podatkov.

(15) Standardne pogodbene klavzule naj bodo izvršljive ne le s strani organizacij, ki so stranke pogodbe, ampak tudi s strani posameznikov, na katere se nanašajo osebni podatki, zlasti če so posamezniki, na katere se nanašajo osebni podatki, oškodovani zaradi kršitve pogodbe.

(16) Posameznik, na katerega se nanašajo osebni podatki, naj bo upravičen do ukrepanja ter, kjer je to primerno, do prejetja odškodnine od izvoznika podatkov, ki je upravljavec prenesenih osebnih podatkov. Izjemoma naj bo posameznik, na katerega se nanašajo osebni podatki, upravičen tudi do ukrepanja ter, kjer je to primerno, do prejetja odškodnine od uvoznika podatkov v tistih primerih, ki izhajajo iz morebitne kršitve katere od obveznosti iz drugega odstavka klavzule 3 s strani uvoznika podatkov, če izvoznik podatkov dejansko izgine, pravno preneha obstajati ali pa postane nesolventen.

(17) V primeru spora med posameznikom, na katerega se nanašajo osebni podatki, in ki se sklicuje na klavzulo v korist tretjega, ter uvoznikom podatkov, ki se ne razreši po mirni poti, naj uvoznik podatkov soglaša, da posamezniku, na katerega se nanašajo osebni podatki, da na izbiro poravnave, arbitražo ali sodni postopek. Obseg dejanske izbire posameznika, na katerega se nanašajo osebni podatki, naj bo odvisen od dostopnosti zanesljivih in priznanih sistemov poravnavanja in arbitraže. Ena od možnosti naj bo tudi poravnavanje s strani nadzornih organov za varstvo podatkov države članice, v kateri je sedež izvoznika podatkov, če le ti takšno storitev opravljajo.

(18) Za pogodbo naj velja pravo države članice, v kateri ima sedež izvoznik podatkov, s čimer se upravičeni tretji stranki omogoči izvrševanje pogodbe. Posameznikom, na katere se nanašajo osebni podatki, naj bo dovoljeno, da jih predstavljajo združenja ali drugi organi, če to želijo in če je to dovoljeno z nacionalno zakonodajo.

(19) Delovna skupina o varstvu posameznikov pri obdelavi osebnih podatkov, ustanovljena v skladu s členom 29 Direktive 95/46/ES, je dala mnenje o ravni varstva, zagotovljeni s standardnimi pogodbenimi klavzulami, priloženimi tej odločbi, ki je bilo upoštevano pri pripravi te odločbe [5].

(20) Ukrepi, predvideni s to odločbo, so v skladu z mnenjem odbora, ustanovljenega v skladu s členom 31 Direktive 95/46/ES –

SPREJELA NASLEDNJO ODLOČBO:

Člen 1

Standardne pogodbene klavzule iz Priloge veljajo za takšne, ki zagotavljajo primerne zaščitne ukrepe glede varstva zasebnosti ter temeljnih pravic in svoboščin posameznikov in glede uresničevanja ustreznih pravic, kakor zahteva člen 26(2) Direktive 95/46/ES.

Člen 2

Ta odločba zadeva le primernost varstva, ki ga zagotavljajo standardne pogodbene klavzule za prenos osebnih podatkov obdelovalcem iz Priloge. Ne vpliva na uporabo drugih nacionalnih predpisov za izvajanje Direktive 95/46/ES, ki se nanašajo na obdelavo osebnih podatkov znotraj držav članic.

Ta odločba se uporablja za prenos osebnih podatkov s strani upravljavcev s sedežem v Skupnosti k prejemnikom s sedežem zunaj ozemlja Skupnosti, ki delujejo samo kot obdelovalci.

Člen 3

V tej odločbi:

(a) se uporabljajo opredelitve iz Direktive 95/46/ES;

(b) "posebne vrste podatkov" pomenijo podatke iz člena 8 navedene direktive;

(c) "nadzorni organ" pomeni organ iz člena 28 navedene direktive;

(d) "izvoznik podatkov" pomeni upravljavca, ki prenaša osebne podatke;

(e) "uvoznik podatkov" pomeni obdelovalca s sedežem v tretji državi, ki soglaša, da od izvoznika podatkov prejema osebne podatke, namenjene za obdelavo v imenu izvoznika podatkov po prenosu v skladu z njegovimi navodili in pogoji te odločbe ter ki ni podvržen sistemu tretje države za zagotovitev primernega varstva;

(f) "veljavno pravo o varstvu podatkov" pomeni zakonodajo, ki varuje temeljne pravice in svoboščine fizičnih oseb in zlasti njihovo pravico do zasebnosti glede obdelave osebnih podatkov, ki jo uporablja upravljavec podatkov v državi članici, kjer je sedež izvoznika podatkov;

(g) "tehnični in organizacijski varnostni ukrepi" pomenijo tiste ukrepe, usmerjene k varstvu osebnih podatkov pred naključnim ali nezakonitim uničenjem ali naključno izgubo, spreminjanjem, nepooblaščenim posredovanjem ali dostopom, zlasti tam, kjer obdelava vključuje prenos podatkov prek omrežja, ter proti katerikoli drugi nezakoniti obliki obdelave.

Člen 4

1. Pristojni organi v državah članicah lahko ne glede na njihova pooblastila za sprejetje ukrepov za zagotovitev skladnosti z nacionalnimi predpisi, sprejetimi v skladu s poglavji II, III, V in VI Direktive 95/46/ES, izvajajo svoja obstoječa pooblastila, da prepovejo ali začasno ustavijo pretok podatkov v tretje države zaradi varstva posameznikov pri obdelavi njihovih osebnih podatkov v primerih, kjer:

(a) je ugotovljeno, da zakonodaja, ki velja za uvoznika podatkov, temu nalaga zahteve po odstopanju od veljavnega prava o varstvu podatkov, ki presegajo omejitve, potrebne v demokratični družbi, kakor jih predvideva člen 13 Direktive 95/46/ES, če zaradi teh zahtev obstaja verjetnost precejšnjih škodljivih posledic za jamstva, zagotovljena z veljavnim pravom o varstvu podatkov in standardnimi pogodbenimi klavzulami; ali

(b) pristojni organ ugotovi, da uvoznik podatkov ni spoštoval pogodbenih klavzul iz Priloge; ali

(c) obstaja precejšnja verjetnost, da standardne pogodbene klavzule iz Priloge niso ali ne bodo izpolnjene ter da bi nadaljnji prenos povzročil neposredno tveganje z resno škodo za posameznike, na katere se nanašajo osebni podatki.

2. Prepoved ali začasna ustavitev v skladu z odstavkom 1 preneha veljati takoj, ko razlogi za prepoved ali začasno ustavitev nehajo obstajati.

3. Ko države članice sprejmejo ukrepe v skladu z odstavkoma 1 in 2, takoj obvestijo Komisijo, ki bo posredovala informacije drugim državam članicam.

Člen 5

Komisija oceni izvajanje te odločbe na podlagi razpoložljivih informacij tri leta po njeni notifikaciji državam članicam. Poročilo o svojih ugotovitvah predloži odboru, ustanovljenemu v skladu s členom 31 Direktive 95/46/ES. Poročilo vključuje kakršne koli dokaze, ki bi lahko vplivali na presojo ustreznosti standardnih pogodbenih klavzul iz Priloge, in kakršne koli dokaze o diskriminatorni uporabi te odločbe.

Člen 6

Ta odločba se uporablja od 3. aprila 2002.

Člen 7

Ta odločba je naslovljena na države članice.

V Bruslju, 27. decembra 2001

Za Komisijo

Frederik Bolkestein

Član Komisije

[1] UL L 281, 23.11.1995, str. 31.

[2] Spletni naslov Delovne skupine je:

- http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm.

[3] WP 4 (5020/97):"Prve smernice o prenosih osebnih podatkov v tretje države — možni prihodnji načini pri ocenjevanju ustreznosti", dokument za razpravo, ki ga je sprejela Delovna skupina 26. junija 1997.WP 7 (5057/97): Delovni dokument: "Presoja industrijske samoregulacije: kdaj predstavlja pomemben prispevek k ravni varstva podatkov v tretji državi?", ki ga je sprejela Delovna skupina 14. januarja 1998.WP 9 (5005/98): Delovni dokument: "Predhodna mnenja o uporabi pogodbenih določb v kontekstu prenosov osebnih podatkov v tretje države", ki ga je sprejela Delovna skupina 22. aprila 1998.WP 12: Prenosi osebnih podatkov v tretje države: Uporaba členov 25 in 26 direktive Evropske Unije o varstvu podatkov, ki jo je sprejela Delovna skupina 24. julija 1998, na voljo na spletni strani

- "http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp12en.htm" Evropske komisije.

[4] UL L 181, 4.7.2001, str. 19.

[5] Mnenje št. 7/2001, ki ga je sprejela Delovna skupina 13. septembra 2001 (DG MARKT.…), na voljo na spletni strani "Europa" Evropske komisije.

--------------------------------------------------

PRILOGA

+++++ TIFF +++++

+++++ TIFF +++++

+++++ TIFF +++++

+++++ TIFF +++++

--------------------------------------------------

Dodatek 1

+++++ TIFF +++++

--------------------------------------------------

Dodatek 2

+++++ TIFF +++++

--------------------------------------------------