12.2.2010   

SL

Uradni list Evropske unije

L 39/5

SKLEP KOMISIJE

z dne 5. februarja 2010

o standardnih pogodbenih klavzulah za prenos osebnih podatkov obdelovalcem s sedežem v tretjih državah v skladu z Direktivo Evropskega parlamenta in Sveta 95/46/ES

(notificirano pod dokumentarno številko C(2010) 593)

(Besedilo velja za EGP)

(2010/87/EU)

EVROPSKA KOMISIJA JE –

ob upoštevanju Pogodbe o delovanju Evropske unije,

ob upoštevanju Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (1) in zlasti člena 26(4) Direktive,

po posvetovanju z evropskim nadzornikom za varstvo podatkov,

ob upoštevanju naslednjega:

(1)

V skladu z Direktivo 95/46/ES morajo države članice zagotoviti, da se lahko prenos osebnih podatkov v tretjo državo izvede le, če zadevna tretja država zagotovi primerno raven varstva podatkov in če se pred prenosom upoštevajo zakoni držav članic, ki so v skladu z drugimi določbami Direktive.

(2)

Vendar pa člen 26(2) Direktive 95/46/ES določa, da lahko države članice ob upoštevanju nekaterih zaščitnih ukrepov odobrijo prenos ali niz prenosov osebnih podatkov v tretje države, ki ne zagotavljajo primerne ravni varstva. Taki zaščitni ukrepi lahko izhajajo zlasti iz ustreznih pogodbenih klavzul.

(3)

V skladu z Direktivo 95/46/ES je treba raven varstva podatkov ocenjevati z vidika vseh okoliščin, ki spremljajo postopek prenosa podatkov ali niz postopkov prenosa podatkov. Delovna skupina o varstvu posameznikov pri obdelavi osebnih podatkov, ustanovljena v skladu z navedeno direktivo, je izdala smernice, ki so v pomoč pri ocenjevanju.

(4)

Standardne pogodbene klavzule se nanašajo le na varstvo podatkov. Zato lahko izvoznik in uvoznik podatkov vključita katere koli druge klavzule o vprašanjih poslovanja, ki so po njunem mnenju primerne za pogodbo, če le niso v nasprotju s standardnimi pogodbenimi klavzulami.

(5)

Ta sklep ne sme posegati v nacionalna dovoljenja, ki jih države članice lahko odobrijo v skladu z nacionalnimi predpisi za izvajanje člena 26(2) Direktive 95/46/ES. Učinek tega sklepa je le, da od držav članic zahteva, da v njem določene standardne pogodbene klavzule priznajo kot takšne, ki zagotavljajo ustrezne zaščitne ukrepe, in torej nima nobenega vpliva na druge pogodbene klavzule.

(6)

Odločba Komisije 2002/16/ES z dne 27. decembra 2001 o standardnih pogodbenih klavzulah za prenos osebnih podatkov obdelovalcem s sedežem v tretjih državah v skladu z Direktivo 95/46/ES (2) je bila sprejeta z namenom olajšanja prenosa osebnih podatkov od upravljavca podatkov s sedežem v Evropski uniji obdelovalcu s sedežem v tretji državi, ki ne zagotavlja primerne ravni varstva.

(7)

Po sprejetju Odločbe 2002/16/ES so bile pridobljene številne izkušnje. Poročilo o izvajanju odločb o standardnih pogodbenih klavzulah za prenos osebnih podatkov v tretje države (3) je pokazalo, da obstaja vse večje zanimanje za spodbujanje uporabe standardnih pogodbenih klavzul za mednarodni prenos osebnih podatkov v tretje države, ki ne zagotavljajo primerne ravni varstva. Poleg tega so zainteresirane strani predložile predloge za posodobitev standardnih pogodbenih klavzul iz Odločbe 2002/16/ES, da bi se upošteval hitro naraščajoč obseg dejavnosti obdelave podatkov na svetu in obravnavala nekatera vprašanja, ki jih navedena odločba ne ureja (4).

(8)

Področje uporabe tega sklepa je omejeno na določitev, da lahko klavzule, ki jih opredeljuje, uporabi upravljavec podatkov s sedežem v Evropski uniji, da bi navedel ustrezne zaščitne ukrepe v smislu člena 26(2) Direktive 95/46/ES za prenos osebnih podatkov obdelovalcu s sedežem v tretji državi.

(9)

Ta sklep se ne uporablja za prenos osebnih podatkov s strani upravljavcev s sedežem v Evropski uniji upravljavcem s sedežem zunaj Evropske unije, ki sodijo v področje uporabe Odločbe Komisije 2001/497/ES z dne 15. junija 2001 o standardnih pogodbenih klavzulah za prenos osebnih podatkov v tretje države v skladu z Direktivo 95/46/ES (5).

(10)

Ta sklep naj izpolnjuje obveznost iz člena 17(3) Direktive 95/46/ES in ne vpliva na vsebino pogodb ali pravnih aktov, sestavljenih v skladu z navedeno določbo. Vendar pa morajo biti vključene nekatere standardne pogodbene klavzule, zlasti v zvezi z obveznostmi izvoznika podatkov, da bi se povečala jasnost glede določb, ki jih lahko vsebuje pogodba med upravljavcem in obdelovalcem.

(11)

Nadzorni organi držav članic imajo v tem pogodbenem mehanizmu ključno vlogo pri zagotavljanju primernega varstva osebnih podatkov po prenosu. V izjemnih primerih, kadar izvozniki podatkov odklonijo dajanje primernih navodil uvozniku podatkov ali pa so jih nesposobni dati, ter kadar obstaja neizbežna nevarnost resne škode za posameznike, na katere se nanašajo osebni podatki, naj standardne pogodbene klavzule dovolijo nadzornim organom pregled uvoznikov podatkov in podobdelovalcev ter, kjer je to primerno, sprejemanje odločitev, zavezujočih za uvoznike in podobdelovalce. Nadzorni organi naj bi imeli pooblastilo za prepoved ali začasno ustavitev prenosa podatkov ali niza prenosov, ki temelji na standardnih pogodbenih klavzulah v tistih izjemnih primerih, kjer se ugotovi verjetnost, da ima lahko prenos na pogodbeni podlagi precej škodljivih posledic za jamstva in obveznosti, ki zagotavljajo primerno varstvo posameznika, na katerega se nanašajo osebni podatki.

(12)

Standardne pogodbene klavzule naj predvidijo tehnične in organizacijske varnostne ukrepe, ki jih morajo uporabiti obdelovalci podatkov s sedežem v tretji državi, ki ne zagotavlja primernega varstva, da bi se zagotovila raven varnosti, primerna tveganju, ki ga predstavljata obdelava in narava podatkov, ki jih je treba varovati. Pogodbenici morata v pogodbi predvideti tiste tehnične in organizacijske varnostne ukrepe, ki so ob upoštevanju veljavnega prava o varstvu podatkov, najsodobnejše tehnologije in stroškov njihovega izvajanja, potrebni za varstvo osebnih podatkov pred naključnim ali nezakonitim uničenjem ali naključno izgubo, spreminjanjem, nepooblaščenim posredovanjem ali dostopom ali katerim koli drugim nezakonitim načinom obdelave.

(13)

Za pospešitev prenosa podatkov iz Evropske unije je zaželeno, da je obdelovalcem, ki zagotavljajo storitve obdelave podatkov različnim upravljavcem podatkov v Evropski uniji, dovoljeno uporabljati enake tehnične in organizacijske varnostne ukrepe ne glede na državo članico, iz katere izvira prenos podatkov, zlasti v tistih primerih, ko uvoznik podatkov prejme podatke za nadaljnjo obdelavo z različnih sedežev izvoznika podatkov v Evropski uniji; v tem primeru pa naj se uporabi zakonodaja namembne države članice, v kateri je sedež.

(14)

Primerno je določiti najmanjšo količino informacij, ki jih morata pogodbenici navesti v pogodbi o prenosu. Države članice naj ohranijo pooblastilo za podrobno določanje informacij, ki jih morata priskrbeti pogodbenici. Izvajanje tega sklepa je treba proučiti glede na izkušnje.

(15)

Uvoznik podatkov naj prenesene osebne podatke obdeluje samo v imenu izvoznika podatkov in v skladu z njegovimi navodili ter obveznostmi iz klavzul. Zlasti naj uvoznik podatkov ne posreduje osebnih podatkov tretji stranki brez predhodnega pisnega soglasja izvoznika podatkov. Izvoznik podatkov naj uvoznika podatkov med trajanjem obdelave podatkov pouči, da naj obdeluje podatke v skladu z njegovimi navodili, veljavnim pravom o varstvu podatkov in obveznostmi iz klavzul.

(16)

V poročilu o izvajanju odločb o standardnih pogodbenih klavzulah za prenos osebnih podatkov v tretje države je bila predlagana uvedba primernih standardnih pogodbenih klavzul o nadaljnjih prenosih od obdelovalca podatkov s sedežem v tretji državi drugim obdelovalcem podatkov (podobdelava), da bi se upoštevali poslovni trendi in prakse na področju vse bolj globalizirane obdelave podatkov.

(17)

Ta sklep naj vsebuje posebne standardne pogodbene klavzule o oddaji storitev obdelave podatkov v podobdelavo drugim obdelovalcem podatkov s sedežem v tretjih državah (podobdelovalci) s strani obdelovalca podatkov s sedežem v tretji državi (uvoznik podatkov). Poleg tega naj določi pogoje, ki morajo biti izpolnjeni pri podobdelavi, da se varstvo osebnih podatkov, ki se prenašajo, zagotovi tudi ob nadaljnjem prenosu podobdelovalcu.

(18)

Poleg tega naj podobdelavo sestavljajo samo postopki obdelave, ki so bili dogovorjeni v pogodbi, sklenjeni med izvoznikom in uvoznikom podatkov, ki vključuje standardne pogodbene klavzule iz tega sklepa, in nobeni drugi postopki ali nameni obdelave, tako da bo spoštovano načelo omejitve namena iz Direktive 95/46/ES. Če podobdelovalec ne izpolnjuje svojih pogodbenih obveznosti glede obdelave podatkov, je uvoznik podatkov še vedno odgovoren izvozniku podatkov. Prenos osebnih podatkov obdelovalcem s sedežem zunaj Evropske unije naj ne vpliva na dejstvo, da naj bodo dejavnosti obdelave podatkov v skladu z veljavnim pravom o varstvu podatkov.

(19)

Standardne pogodbene klavzule naj bodo izvršljive ne le s strani organizacij, ki so stranke pogodbe, ampak tudi s strani posameznikov, na katere se nanašajo osebni podatki, zlasti če so posamezniki, na katere se nanašajo osebni podatki, oškodovani zaradi kršitve pogodbe.

(20)

Posameznik, na katerega se nanašajo osebni podatki, naj bo upravičen do ukrepanja ter, kjer je to primerno, do prejetja odškodnine od izvoznika podatkov, ki je upravljavec prenesenih osebnih podatkov. Izjemoma naj bo posameznik, na katerega se nanašajo osebni podatki, upravičen tudi do ukrepanja ter, kjer je to primerno, do prejetja odškodnine od uvoznika podatkov v tistih primerih, ki izhajajo iz morebitne kršitve katere od obveznosti iz odstavka 2 klavzule 3 s strani uvoznika podatkov ali katerega koli podobdelovalca, če izvoznik podatkov dejansko izgine, pravno preneha obstajati ali pa postane insolventen. Izjemoma naj bo posameznik, na katerega se nanašajo osebni podatki, upravičen tudi do ukrepanja ter, kjer je to primerno, do prejetja odškodnine od podobdelovalca, če izvoznik in uvoznik podatkov dejansko izgineta, pravno prenehata obstajati ali pa postaneta insolventna. Takšna odgovornost podobdelovalca naj bo omejena na njegove postopke obdelave iz pogodbenih klavzul.

(21)

V primeru spora med posameznikom, na katerega se nanašajo osebni podatki in ki se sklicuje na klavzulo v korist tretjega, ter uvoznikom podatkov, ki se ne razreši po mirni poti, naj uvoznik podatkov soglaša, da posamezniku, na katerega se nanašajo osebni podatki, da na izbiro mediacijo ali sodni postopek. Obseg dejanske izbire posameznika, na katerega se nanašajo osebni podatki, bo odvisen od dostopnosti zanesljivih in priznanih sistemov mediacije. Ena od možnosti naj bo mediacija s strani nadzornih organov za varstvo podatkov države članice, v kateri je sedež izvoznika podatkov, če ti organi takšno storitev opravljajo.

(22)

Za pogodbo naj velja pravo države članice, v kateri je sedež izvoznika podatkov, s čimer se upravičeni tretji stranki omogoči izvrševanje pogodbe. Posameznikom, na katere se nanašajo osebni podatki, naj bo dovoljeno, da jih predstavljajo združenja ali drugi organi, če to želijo in če je to dovoljeno z nacionalno zakonodajo. Ta zakonodaja naj ureja tudi določbe o varstvu podatkov katere koli pogodbe s podobdelovalcem glede podobdelave osebnih podatkov, ki jih je izvoznik podatkov v skladu s pogodbenimi klavzulami prenesel uvozniku podatkov.

(23)

Ker se ta sklep uporablja samo v primerih, ko obdelovalec podatkov s sedežem v tretji državi odda izvajanje storitev obdelave podobdelovalcu s sedežem v tretji državi, naj se ne uporablja v primeru, ko obdelovalec s sedežem v Evropski uniji, ki obdeluje osebne podatke v imenu upravljavca s sedežem v Evropski uniji, odda izvajanje postopkov obdelave podobdelovalcu s sedežem v tretji državi. V takih primerih je državam članicam prepuščeno, ali bodo upoštevale dejstvo, da so bila pri oddaji dela podobdelovalcu s sedežem v tretji državi upoštevana načela in jamstva iz standardnih pogodbenih klavzul, določenih v tem sklepu, z namenom zagotavljanja primernega varstva pravic posameznikov, na katere se nanašajo osebni podatki, ki se prenašajo zaradi postopkov podobdelave.

(24)

Delovna skupina o varstvu posameznikov pri obdelavi osebnih podatkov, ustanovljena v skladu s členom 29 Direktive 95/46/ES, je dala mnenje o ravni varstva, zagotovljeni s standardnimi pogodbenimi klavzulami, priloženimi temu sklepu, ki je bilo upoštevano pri pripravi tega sklepa.

(25)

Odločbo 2002/16/ES je treba razveljaviti.

(26)

Ukrepi iz tega sklepa so v skladu z mnenjem odbora, ustanovljenega v skladu s členom 31 Direktive 95/46/ES –

SPREJELA NASLEDNJI SKLEP:

Člen 1

Standardne pogodbene klavzule iz Priloge veljajo za takšne, ki zagotavljajo ustrezne zaščitne ukrepe glede varstva zasebnosti ter temeljnih pravic in svoboščin posameznikov in glede uresničevanja ustreznih pravic, kakor zahteva člen 26(2) Direktive 95/46/ES.

Člen 2

Ta sklep zadeva le primernost varstva, ki ga zagotavljajo standardne pogodbene klavzule za prenos osebnih podatkov obdelovalcem iz Priloge. Ne vpliva na uporabo drugih nacionalnih predpisov za izvajanje Direktive 95/46/ES, ki se nanašajo na obdelavo osebnih podatkov znotraj držav članic.

Ta sklep se uporablja za prenos osebnih podatkov s strani upravljavcev s sedežem v Evropski uniji prejemnikom s sedežem zunaj ozemlja Evropske unije, ki delujejo samo kot obdelovalci.

Člen 3

V tem sklepu se uporabljajo naslednje opredelitve pojmov:

(a)

„posebne vrste podatkov“ pomenijo podatke iz člena 8 Direktive 95/46/ES;

(b)

„nadzorni organ“ pomeni organ iz člena 28 Direktive 95/46/ES;

(c)

„izvoznik podatkov“ pomeni upravljavca, ki prenaša osebne podatke;

(d)

„uvoznik podatkov“ pomeni obdelovalca s sedežem v tretji državi, ki soglaša, da od izvoznika podatkov prejema osebne podatke, namenjene za obdelavo v imenu izvoznika podatkov po prenosu v skladu z njegovimi navodili in pogoji tega sklepa, ter ki ni podvržen sistemu tretje države za zagotovitev primernega varstva v smislu člena 25(1) Direktive 95/46/ES;

(e)

„podobdelovalec“ pomeni obdelovalca, ki ga zaposli uvoznik podatkov ali kateri koli drug podobdelovalec pri uvozniku podatkov in ki soglaša, da od uvoznika podatkov ali katerega koli drugega podobdelovalca pri uvozniku podatkov prejema osebne podatke, namenjene izključno za obdelavo v imenu izvoznika podatkov po prenosu v skladu z navodili izvoznika podatkov, standardnimi pogodbenimi klavzulami iz Priloge in pogoji pisne pogodbe o podobdelavi;

(f)

„veljavno pravo o varstvu podatkov“ pomeni zakonodajo, ki varuje temeljne pravice in svoboščine posameznikov ter zlasti njihovo pravico do zasebnosti glede obdelave osebnih podatkov, ki jo uporablja upravljavec podatkov v državi članici, v kateri je sedež izvoznika podatkov;

(g)

„tehnični in organizacijski varnostni ukrepi“ pomenijo tiste ukrepe, usmerjene k varstvu osebnih podatkov pred naključnim ali nezakonitim uničenjem ali naključno izgubo, spreminjanjem, nepooblaščenim posredovanjem ali dostopom, zlasti kadar obdelava vključuje prenos podatkov prek omrežja, ter pred katero koli drugo nezakonito obliko obdelave.

Člen 4

1.   Pristojni organi v državah članicah lahko ne glede na svoja pooblastila za sprejetje ukrepov za zagotovitev skladnosti z nacionalnimi predpisi, sprejetimi v skladu s poglavji II, III, V in VI Direktive 95/46/ES, izvajajo svoja obstoječa pooblastila, da prepovejo ali začasno ustavijo pretok podatkov v tretje države zaradi varstva posameznikov pri obdelavi njihovih osebnih podatkov v primerih, če:

(a)

je ugotovljeno, da zakonodaja, ki velja za uvoznika podatkov ali podobdelovalca, temu nalaga zahteve po odstopanju od veljavnega prava o varstvu podatkov, ki presegajo omejitve, potrebne v demokratični družbi, kakor jih predvideva člen 13 Direktive 95/46/ES, če zaradi teh zahtev obstaja verjetnost precejšnjih škodljivih posledic za jamstva, zagotovljena z veljavnim pravom o varstvu podatkov in standardnimi pogodbenimi klavzulami;

(b)

pristojni organ ugotovi, da uvoznik podatkov ali podobdelovalec ni spoštoval standardnih pogodbenih klavzul iz Priloge, ali

(c)

obstaja precejšnja verjetnost, da standardne pogodbene klavzule iz Priloge niso ali ne bodo izpolnjene ter da bi nadaljnji prenos povzročil neposredno tveganje z resno škodo za posameznike, na katere se nanašajo osebni podatki.

2.   Prepoved ali začasna ustavitev v skladu z odstavkom 1 preneha veljati takoj, ko nehajo obstajati razlogi za prepoved ali začasno ustavitev.

3.   Ko države članice sprejmejo ukrepe v skladu z odstavkoma 1 in 2, takoj obvestijo Komisijo, ki bo posredovala informacije drugim državam članicam.

Člen 5

Komisija oceni izvajanje tega sklepa na podlagi razpoložljivih informacij tri leta po njegovem sprejetju. Poročilo o svojih ugotovitvah predloži odboru, ustanovljenemu v skladu s členom 31 Direktive 95/46/ES. Poročilo vključuje kakršne koli dokaze, ki bi lahko vplivali na oceno v zvezi z ustreznostjo standardnih pogodbenih klavzul iz Priloge, in kakršne koli dokaze o diskriminatorni uporabi tega sklepa.

Člen 6

Ta sklep velja od 15. maja 2010.

Člen 7

1.   Odločba 2002/16/ES se razveljavi s 15. majem 2010.

2.   Pogodba, sklenjena med izvoznikom in uvoznikom podatkov v skladu z Odločbo 2002/16/ES pred 15. majem 2010, ostane veljavna in učinkuje, dokler prenosi in postopki obdelave podatkov, ki so predmet pogodbe, ostajajo nespremenjeni ter dokler se osebni podatki, ki jih zajema ta sklep, še naprej prenašajo med strankama. Če želita pogodbenici kaj s tem v zvezi spremeniti ali oddati izvajanje postopkov obdelave, ki so predmet pogodbe, morata skleniti novo pogodbo, ki mora biti skladna s standardnimi pogodbenimi klavzulami iz Priloge.

Člen 8

Ta sklep je naslovljen na države članice.

V Bruslju, 5. februarja 2010

Za Komisijo

Jacques BARROT

Podpredsednik

(1)  UL L 281, 23.11.1995, str. 31.

(2)  UL L 6, 10.1.2002, str. 52.

(3)  SEC(2006) 95, 20.1.2006.

(4)  Mednarodna trgovinska zbornica (International Chamber of Commerce – ICC), Poslovni svet Japonske v Evropi (Japan Business Council in Europe – JBCE), Odbor za EU Ameriške gospodarske zbornice v Belgiji (EU Committee of the American Chamber of Commerce in Belgium – Amcham) in Federacija evropskih združenj za direktni marketing (Federation of European Direct Marketing Associations – FEDMA).

(5)  UL L 181, 4.7.2001, str. 19.

PRILOGA

STANDARDNE POGODBENE KLAVZULE (OBDELOVALCI)

Za namene člena 26(2) Direktive 95/46/ES glede prenosa osebnih podatkov obdelovalcem s sedežem v tretjih državah, ki ne zagotavljajo primerne ravni varstva podatkov

Ime organizacije, ki je izvoznik podatkov: …

Naslov: …

Telefon: …; telefaks: …; e-naslov: …

Drugi podatki za identifikacijo organizacije:

(izvoznik podatkov)

in

Ime organizacije, ki je uvoznik podatkov: …

Naslov: …

Telefon: …; telefaks: …; e-naslov: …

Drugi podatki za identifikacijo organizacije:

(uvoznik podatkov),

vsak od njiju „stranka“, skupaj „stranki“,

SOGLAŠATA o naslednjih pogodbenih klavzulah (v nadaljnjem besedilu: klavzule), da bi navedla ustrezne zaščitne ukrepe glede varstva zasebnosti ter temeljnih pravic in svoboščin posameznikov pri prenosu osebnih podatkov, določenih v Dodatku 1, ki jih izvoznik podatkov prenaša uvozniku podatkov.

Klavzula 1

Opredelitev pojmov

V teh klavzulah:

(a)

imajo pojmi „osebni podatki“, „posebne vrste podatkov“, „obdelava“, „upravljavec“, „obdelovalec“, „posameznik, na katerega se nanašajo osebni podatki“ in „nadzorni organ“ enak pomen kot v Direktivi Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (1);

(b)

„izvoznik podatkov“ pomeni upravljavca, ki prenaša osebne podatke;

(c)

„uvoznik podatkov“ pomeni obdelovalca, ki soglaša, da od izvoznika podatkov prejema osebne podatke, namenjene za obdelavo v imenu izvoznika podatkov po prenosu v skladu z njegovimi navodili in pogoji klavzul, ter ki ni podvržen sistemu tretje države za zagotovitev primernega varstva v smislu člena 25(1) Direktive 95/46/ES;

(d)

„podobdelovalec“ pomeni obdelovalca, ki ga zaposli uvoznik podatkov ali kateri koli drug podobdelovalec pri uvozniku podatkov in ki soglaša, da od uvoznika podatkov ali katerega koli drugega podobdelovalca pri uvozniku podatkov prejema osebne podatke, namenjene izključno za obdelavo v imenu izvoznika podatkov po prenosu v skladu z njegovimi navodili, pogoji klavzul in pogoji pisne podpogodbe;

(e)

„veljavno pravo o varstvu podatkov“ pomeni zakonodajo, ki varuje temeljne pravice in svoboščine posameznikov ter zlasti njihovo pravico do zasebnosti glede obdelave osebnih podatkov, ki jo uporablja upravljavec podatkov v državi članici, v kateri je sedež izvoznika podatkov;

(f)

„tehnični in organizacijski varnostni ukrepi“ pomenijo tiste ukrepe, usmerjene k varstvu osebnih podatkov pred naključnim ali nezakonitim uničenjem ali naključno izgubo, spreminjanjem, nepooblaščenim posredovanjem ali dostopom, zlasti tam, kjer obdelava vključuje prenos podatkov prek omrežja, ter pred katero koli drugo nezakonito obliko obdelave.

Klavzula 2

Podrobnosti prenosa

Podrobnosti prenosa in zlasti posebne vrste osebnih podatkov, kjer je to ustrezno, so določene v Dodatku 1, ki je sestavni del klavzul.

Klavzula 3

Klavzula v korist tretjega

1.

Posameznik, na katerega se nanašajo osebni podatki, lahko kot upravičena tretja stranka proti izvozniku podatkov uveljavlja to klavzulo, klavzulo 4(b) do (i), klavzulo 5(a) do (e) in (g) do (j), klavzulo 6(1) in (2), klavzulo 7, klavzulo 8(2) ter klavzule 9 do 12.

2.

Posameznik, na katerega se nanašajo osebni podatki, lahko proti uvozniku podatkov uveljavlja to klavzulo, klavzulo 5(a) do (e) in (g), klavzulo 6, klavzulo 7, klavzulo 8(2) ter klavzule 9 do 12, če izvoznik podatkov dejansko izgine ali pravno preneha obstajati, razen če je pravni naslednik s pogodbo ali po zakonu prevzel vse pravice in obveznosti izvoznika podatkov; v tem primeru lahko posameznik, na katerega se nanašajo osebni podatki, navedene klavzule uveljavlja proti pravnemu nasledniku.

3.

Posameznik, na katerega se nanašajo osebni podatki, lahko proti podobdelovalcu uveljavlja to klavzulo, klavzulo 5(a) do (e) in (g), klavzulo 6, klavzulo 7, klavzulo 8(2) ter klavzule 9 do 12, če izvoznik in uvoznik podatkov dejansko izgineta, pravno prenehata obstajati ali postaneta insolventna, razen če je pravni naslednik s pogodbo ali po zakonu prevzel vse pravice in obveznosti izvoznika podatkov; v tem primeru lahko posameznik, na katerega se nanašajo osebni podatki, navedene klavzule uveljavlja proti pravnemu nasledniku. Takšna odgovornost podobdelovalca je omejena na njegove postopke obdelave iz klavzul.

4.

Stranki ne nasprotujeta temu, da posameznika, na katerega se nanašajo osebni podatki, zastopa združenje ali drug organ, če posameznik to izrecno želi in če to dovoljuje nacionalna zakonodaja.

Klavzula 4

Obveznosti izvoznika podatkov

Izvoznik podatkov soglaša z naslednjim in zagotavlja:

(a)

da se je obdelava osebnih podatkov vključno s prenosom izvajala in se bo še naprej izvajala v skladu z ustreznimi določbami veljavnega prava o varstvu podatkov (ter so bili po potrebi o tem obveščeni pristojni organi v državi članici, v kateri je sedež izvoznika podatkov) in da ne krši ustreznih predpisov te države;

(b)

da je uvoznika podatkov poučil in mu bo med trajanjem obdelave osebnih podatkov še naprej dajal navodila, da naj obdeluje prenesene osebne podatke samo v imenu izvoznika podatkov ter v skladu z veljavnim pravom o varstvu podatkov in klavzulami;

(c)

da bo uvoznik podatkov zagotovil zadostna jamstva glede tehničnih in organizacijskih varnostnih ukrepov iz Dodatka 2 k tej pogodbi;

(d)

da so varnostni ukrepi ob upoštevanju zahtev veljavnega prava o varstvu podatkov, najsodobnejše tehnologije in stroškov njihovega izvajanja primerni za varstvo osebnih podatkov pred naključnim ali nezakonitim uničenjem ali naključno izgubo, spreminjanjem, nepooblaščenim posredovanjem ali dostopom, zlasti kadar obdelava vključuje prenos podatkov prek omrežja, ter pred katero koli drugo nezakonito obliko obdelave, in da ti ukrepi zagotavljajo raven varnosti, primerno tveganju, ki ga predstavljata obdelava in narava podatkov, ki jih je treba varovati;

(e)

da bo zagotovil upoštevanje varnostnih ukrepov;

(f)

da je bil oziroma bo posameznik, na katerega se nanašajo osebni podatki, v primeru prenosa posebnih vrst podatkov pred prenosom ali čim prej po njem obveščen o tem, da bi se njegovi podatki lahko prenesli v tretjo državo, ki ne zagotavlja primernega varstva v smislu Direktive 95/46/ES;

(g)

da v skladu s klavzulo 5(b) in klavzulo 8(3) vsako obvestilo, prejeto od uvoznika podatkov ali katerega koli podobdelovalca, posreduje nadzornemu organu za varstvo osebnih podatkov, če se odloči nadaljevati prenos ali odpraviti začasno ustavitev;

(h)

da posameznikom, na katere se nanašajo osebni podatki, na zahtevo da na voljo izvod klavzul razen Dodatka 2 in kratek opis varnostnih ukrepov, kot tudi izvod kakršne koli pogodbe o storitvah podobdelave, ki mora biti v skladu s klavzulami sklenjena s podobdelovalcem, razen če klavzule ali pogodba vsebujejo poslovne informacije; v tem primeru se take poslovne informacije lahko izvzamejo;

(i)

da podobdelovalec v primeru podobdelave obdeluje podatke v skladu s klavzulo 11 in zagotavlja najmanj enako raven varstva osebnih podatkov in pravic posameznika, na katerega se nanašajo osebni podatki, kot jo zagotavlja uvoznik podatkov v skladu s klavzulami; ter

(j)

da bo zagotovil upoštevanje klavzule 4(a) do (i).

Klavzula 5

Obveznosti uvoznika podatkov  (2)

Uvoznik podatkov soglaša z naslednjim in zagotavlja:

(a)

da obdeluje osebne podatke samo v imenu izvoznika podatkov ter v skladu z njegovimi navodili in klavzulami; če jih iz kakršnih koli razlogov ne more upoštevati, soglaša, da o tem nemudoma obvesti izvoznika podatkov, ki je v tem primeru upravičen začasno ustaviti prenos podatkov in/ali odstopiti od pogodbe;

(b)

da nima razloga za domnevo, da mu zakonodaja, ki velja zanj, preprečuje izpolnjevanje navodil izvoznika podatkov in obveznosti iz pogodbe, ter da bo v primeru spremembe te zakonodaje, ki bo verjetno imela znaten negativen učinek na jamstva in obveznosti iz klavzul, to spremembo sporočil izvozniku podatkov takoj, ko bo zanjo izvedel, izvoznik podatkov pa je v tem primeru upravičen začasno ustaviti prenos podatkov in/ali odstopiti od pogodbe;

(c)

da je pred obdelavo prenesenih osebnih podatkov izvedel tehnične in organizacijske varnostne ukrepe iz Dodatka 2;

(d)

da bo izvoznika podatkov nemudoma obvestil o:

(i)

vseh pravno zavezujočih zahtevah organa kazenskega pregona za posredovanje osebnih podatkov, razen če je to kako drugače prepovedano, na primer s prepovedjo po kazenski zakonodaji zaradi ohranjanja zaupnosti kazenske preiskave;

(ii)

vsakem naključnem ali nepooblaščenem dostopu; ter

(iii)

vseh zahtevah, prejetih neposredno od posameznikov, na katere se nanašajo osebni podatki, ne da bi nanje odgovoril, razen če dobi za to pooblastilo;

(e)

da nemudoma in ustrezno obravnava vse poizvedbe izvoznika podatkov v zvezi z obdelavo prenesenih osebnih podatkov ter upošteva nasvete nadzornega organa glede obdelave prenesenih podatkov;

(f)

da na zahtevo izvoznika podatkov predloži svojo opremo za obdelavo podatkov v pregled dejavnosti obdelave, zajetih v klavzulah, ki ga izvede izvoznik podatkov ali inšpekcijski organ, sestavljen iz neodvisnih članov, ki so primerno strokovno usposobljeni ter zavezani k molčečnosti, izbere pa jih izvoznik podatkov, po potrebi v dogovoru z nadzornim organom;

(g)

da posameznikom, na katere se nanašajo osebni podatki, na zahtevo da na voljo izvod klavzul, kot tudi izvod kakršne koli pogodbe o podobdelavi, razen če klavzule ali pogodba vsebujejo poslovne informacije; v tem primeru se take poslovne informacije lahko izvzamejo; v primerih, ko posameznik, na katerega se nanašajo osebni podatki, ne more dobiti izvoda od izvoznika podatkov, se Dodatek 2 zamenja s kratkim opisom varnostnih ukrepov;

(h)

da je v primeru podobdelave predhodno obvestil izvoznika podatkov in pridobil njegovo predhodno pisno soglasje;

(i)

da bo podobdelovalec izvajal storitve obdelave v skladu s klavzulo 11;

(j)

da izvozniku podatkov nemudoma pošlje izvod pogodbe o podobdelavi, sklenjene na podlagi klavzul.

Klavzula 6

Odgovornost

1.

Stranki soglašata, da je vsak posameznik, na katerega se nanašajo osebni podatki, ki je zaradi kršitve obveznosti iz klavzule 3 ali klavzule 11 s strani stranke ali podobdelovalca utrpel škodo, upravičen od izvoznika podatkov prejeti odškodnino za utrpelo škodo.

2.

Če posameznik, na katerega se nanašajo osebni podatki, zaradi kršitve katere koli obveznosti iz klavzule 3 ali klavzule 11 s strani uvoznika podatkov ali njegovega podobdelovalca ne more uveljavljati odškodninskega zahtevka v skladu z odstavkom 1 zoper izvoznika podatkov, ker je izvoznik podatkov dejansko izginil, pravno prenehal obstajati ali pa postal insolventen, uvoznik podatkov soglaša, da lahko posameznik zahtevek uveljavlja zoper njega namesto zoper izvoznika podatkov, razen če je kak pravni naslednik s pogodbo ali po zakonu prevzel vse pravne obveznosti izvoznika podatkov; v tem primeru lahko posameznik, na katerega se nanašajo osebni podatki, uveljavlja svoj zahtevek zoper pravnega naslednika.

Uvoznik podatkov se s sklicevanjem na kršitev obveznosti s strani podobdelovalca ne more izogniti svoji odgovornosti.

3.

Če posameznik, na katerega se nanašajo osebni podatki, zaradi kršitve katere koli obveznosti iz klavzule 3 ali klavzule 11 s strani podobdelovalca ne more uveljavljati zahtevka iz odstavkov 1 in 2 zoper izvoznika podatkov ali uvoznika podatkov, ker sta izvoznik in uvoznik podatkov dejansko izginila, pravno prenehala obstajati ali pa postala insolventna, podobdelovalec soglaša, da lahko posameznik zahtevek uveljavlja zoper njega glede njegovih postopkov obdelave iz klavzul namesto zoper izvoznika ali uvoznika podatkov, razen če je kak pravni naslednik s pogodbo ali po zakonu prevzel vse pravne obveznosti izvoznika ali uvoznika podatkov; v tem primeru lahko posameznik, na katerega se nanašajo osebni podatki, uveljavlja svoj zahtevek zoper pravnega naslednika. Odgovornost podobdelovalca je omejena na njegove postopke obdelave iz klavzul.

Klavzula 7

Mediacija in pristojnost

1.

Če posameznik, na katerega se nanašajo osebni podatki, na podlagi klavzul zoper uvoznika podatkov uveljavlja pravice kot upravičena tretja stranka in/ali odškodninski zahtevek, uvoznik podatkov soglaša, da bo sprejel odločitev posameznika, da:

(a)

spor predloži v mediacijo, ki jo izvede neodvisna oseba ali, kjer je primerno, nadzorni organ;

(b)

spor predloži sodiščem v državi članici, v kateri je sedež izvoznika podatkov.

2.

Stranki soglašata, da izbira posameznika, na katerega se nanašajo osebni podatki, ne vpliva na njegove materialne ali procesne pravice za uveljavljanje pravnih sredstev v skladu z drugimi določbami nacionalnega ali mednarodnega prava.

Klavzula 8

Sodelovanje z nadzornimi organi

1.

Izvoznik podatkov soglaša z deponiranjem izvoda te pogodbe pri nadzornem organu, če ta to zahteva ali če veljavno pravo o varstvu podatkov to predpisuje.

2.

Stranki soglašata, da ima nadzorni organ pravico izvesti pregled uvoznika podatkov in vseh podobdelovalcev, ki ima enak obseg in zanj veljajo enaki pogoji, ki bi veljali za pregled izvoznika podatkov v skladu z veljavnim pravom o varstvu podatkov.

3.

Uvoznik podatkov nemudoma obvesti izvoznika podatkov o zakonodaji, ki velja zanj ali za katerega koli podobdelovalca in preprečuje pregled uvoznika podatkov ali podobdelovalcev v skladu z odstavkom 2. Izvoznik podatkov je v tem primeru upravičen sprejeti ukrepe iz klavzule 5(b).

Klavzula 9

Pravo, ki se uporablja

Za klavzule velja pravo države članice, v kateri je sedež izvoznika podatkov, in sicer …

Klavzula 10

Spremembe pogodbe

Stranki se zavezujeta, da klavzul ne bosta spreminjali ali prilagajali. Vendar pa lahko po potrebi vključita druge klavzule o vprašanjih poslovanja, če le niso v nasprotju s klavzulami.

Klavzula 11

Podobdelava

1.

Uvoznik podatkov brez predhodnega pisnega soglasja izvoznika podatkov podobdelovalcu ne sme oddati izvajanja postopkov obdelave, ki jih izvaja v imenu izvoznika podatkov na podlagi klavzul. Uvoznik podatkov lahko s soglasjem izvoznika podatkov odda izvajanje svojih obveznosti iz klavzul samo s pisnim sporazumom s podobdelovalcem, ki podobdelovalcu nalaga iste obveznosti, kot jih ima uvoznik podatkov po klavzulah (3). Če podobdelovalec ne izpolni svojih obveznosti glede varstva podatkov iz takega pisnega sporazuma, ostane uvoznik podatkov v razmerju do izvoznika podatkov v celoti odgovoren za izpolnitev obveznosti podobdelovalca iz sporazuma.

2.

Predhodni pisni sporazum med uvoznikom podatkov in podobdelovalcem vsebuje tudi klavzulo v korist tretjega, kot je določena v klavzuli 3, za primere, ko posameznik, na katerega se nanašajo osebni podatki, ne more uveljavljati odškodninskega zahtevka iz odstavka 1 klavzule 6 zoper izvoznika podatkov ali uvoznika podatkov, ker sta dejansko izginila, pravno prenehala obstajati ali pa postala insolventna in noben pravni naslednik ni s pogodbo ali po zakonu prevzel pravnih obveznosti izvoznika ali uvoznika podatkov. Takšna odgovornost podobdelovalca je omejena na njegove postopke obdelave iz klavzul.

3.

Za določbe o varstvu podatkov pri oddaji izvajanja postopkov obdelave podobdelovalcu v skladu z odstavkom 1 velja pravo države članice, v kateri je sedež izvoznika podatkov, in sicer …

4.

Izvoznik podatkov vodi in vsaj enkrat letno posodablja seznam pogodb o podobdelavi, ki so sklenjene na podlagi klavzul in o katerih ga obvesti uvoznik podatkov v skladu s klavzulo 5(j). Seznam je na voljo nadzornemu organu izvoznika podatkov.

Klavzula 12

Obveznosti po prenehanju opravljanja storitev obdelave osebnih podatkov

1.

Stranki soglašata, da uvoznik podatkov in podobdelovalec po prenehanju opravljanja storitev obdelave podatkov glede na izbiro izvoznika podatkov vrneta vse prenesene osebne podatke in njihove kopije izvozniku podatkov ali vse osebne podatke uničita in izvozniku podatkov potrdita, da sta to storila, razen če zakonodaja, veljavna za uvoznika podatkov, temu preprečuje vračanje ali uničenje vseh ali dela prenesenih osebnih podatkov. V tem primeru uvoznik podatkov jamči, da bo zagotovil zaupnost prenesenih osebnih podatkov in jih ne bo več aktivno obdeloval.

2.

Uvoznik podatkov in podobdelovalec jamčita, da bosta na zahtevo izvoznika podatkov in/ali nadzornega organa predložila svojo opremo za obdelavo podatkov v pregled ukrepov iz odstavka 1.

V imenu izvoznika podatkov:

Ime (izpisano v celoti): …

Položaj: …

Naslov: …

Morebitni drugi podatki, ki so potrebni, da je pogodba zavezujoča:

Image

Podpis …

V imenu uvoznika podatkov:

Ime (izpisano v celoti): …

Položaj: …

Naslov: …

Morebitni drugi podatki, ki so potrebni, da je pogodba zavezujoča:

Image

Podpis …

(1)  Stranki lahko v to klavzulo vneseta opredelitve pojmov iz Direktive 95/46/ES, če menita, da je bolje, da je pogodba samostojna.

(2)  Obvezne zahteve nacionalne zakonodaje, veljavne za uvoznika podatkov, ki ne presegajo tega, kar je potrebno v demokratični družbi na podlagi enega od interesov iz člena 13(1) Direktive 95/46/ES, to je, če predstavljajo ukrep, potreben za zaščito nacionalne varnosti, obrambe, javne varnosti, preprečevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj ali etičnih kršitev za zakonsko urejene poklice, pomembnega gospodarskega ali finančnega interesa države, varstva posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih, niso v nasprotju s standardnimi pogodbenimi klavzulami. Nekateri primeri takšnih obveznih zahtev, ki ne presegajo tega, kar je potrebno v demokratični družbi, so med drugim mednarodno priznane sankcije, zahteve za prijavo davka ali zahteve za poročanje o ukrepih na področju boja proti pranju denarja.

(3)  Tej zahtevi je lahko zadoščeno, če podobdelovalec sopodpiše pogodbo, ki sta jo v skladu s tem sklepom sklenila izvoznik in uvoznik podatkov.

Dodatek 1

K standardnim pogodbenim klavzulam

Ta dodatek je sestavni del klavzul. Stranki ga morata izpolniti in podpisati.

Države članice lahko v skladu z nacionalnimi postopki dodajo ali navedejo dodatne podatke, ki jih mora vsebovati ta dodatek.

Izvoznik podatkov

Izvoznik podatkov je (na kratko navedite, prosim, vaše dejavnosti v zvezi s prenosom):

Uvoznik podatkov

Uvoznik podatkov je (na kratko navedite, prosim, dejavnosti v zvezi s prenosom):

Posamezniki, na katere se nanašajo osebni podatki

Preneseni osebni podatki se nanašajo na naslednje vrste posameznikov (navedite prosim):

Vrste podatkov

Preneseni osebni podatki spadajo v naslednje vrste podatkov (navedite prosim):

Posebne vrste podatkov (če je ustrezno)

Preneseni osebni podatki spadajo v naslednje posebne vrste podatkov (navedite prosim):

Postopki obdelave

Preneseni osebni podatki se obdelujejo v naslednjih temeljnih postopkih obdelave (navedite prosim):

 

IZVOZNIK PODATKOV

Ime: …

Podpis pooblaščene osebe …

 

UVOZNIK PODATKOV

Ime: …

Podpis pooblaščene osebe …

Dodatek 2

k standardnim pogodbenim klavzulam

Ta dodatek je sestavni del klavzul. Stranki ga morata izpolniti in podpisati.

Opis tehničnih in organizacijskih varnostnih ukrepov, ki jih izvaja uvoznik podatkov v skladu s klavzulama 4(d) in 5(c) (ali priložen dokument/predpis):

PRIMER ODŠKODNINSKE KLAVZULE (NEOBVEZNO)

Odgovornost

Stranki soglašata, da v primeru, ko je ena od strank odgovorna za kršitev klavzul, ki jo zagreši druga stranka, slednja v obsegu svoje odgovornosti prvi stranki povrne povzročene izdatke, plačila, odškodnino, stroške ali izgubo.

Plačilo odškodnine je odvisno od:

(a)

pravočasnega obvestila izvoznika podatkov uvozniku podatkov o zahtevku; ter

(b)

možnosti uvoznika podatkov, da sodeluje z izvoznikom podatkov pri obrambi in poravnavi odškodninskega zahtevka (1).

(1)  Odstavek o odgovornosti ni obvezen.