2001D0497 — SV — 01.04.2005 — 001.001
Detta dokument är endast avsett som dokumentationshjälpmedel och institutionerna ansvarar inte för innehållet
|
KOMMISSIONENS BESLUT av den 15 juni 2001 om standardavtalsklausuler för överföring av personuppgifter till tredje land enligt direktiv 95/46/EG [delgivet med nr K(2001) 1539] (Text av betydelse för EES) (EGT L 181, 4.7.2001, p.19) |
Ändrad genom:
|
|
|
Officiella tidningen |
||
|
No |
page |
date |
||
|
L 385 |
74 |
29.12.2004 |
||
KOMMISSIONENS BESLUT
av den 15 juni 2001
om standardavtalsklausuler för överföring av personuppgifter till tredje land enligt direktiv 95/46/EG
[delgivet med nr K(2001) 1539]
(Text av betydelse för EES)
(2001/497/EG)
EUROPEISKA GEMENSKAPERNAS KOMMISSION HAR FATTAT DETTA BESLUT
med beaktande av Fördraget om upprättandet av Europeiska gemenskapen,
med beaktande av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter ( 1 ), särskilt artikel 26.4 i detta, och
av följande skäl:|
(1) |
Enligt direktiv 95/46/EG är medlemsstaterna skyldiga att se till att överföring av personuppgifter till tredje land endast får ske om det tredje landet säkerställer en adekvat skyddsnivå och om medlemsstaternas lagar, genom vilka andra bestämmelser i direktivet genomförs, efterlevs före överföringen. |
|
(2) |
Enligt artikel 26.2 i direktiv 95/46/EG år medlemsstaterna, med förbehåll för vissa garantier, tillåta en överföring eller en grupp överföringar av personuppgifter till tredje länder som inte säkerställer en adekvat skyddsnivå. Sådana garantier kan särskilt framgå av lämpliga avtalsklausuler. |
|
(3) |
Enligt direktiv 95/46/EG skall bedömningen av skyddsnivån ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp överföringar av personuppgifter. Arbetsgruppen för skydd av enskilda med avseende på behandling av personuppgifter som inrättats genom det direktivet ( 2 ) har utfärdat riktlinjer för hur sådana bedömningar skall göras ( 3 ). |
|
(4) |
Artikel 26.2 i direktiv 95/46/EG, som erbjuder flexibilitet åt organisationer som vill överföra uppgifter till tredje land, och artikel 26.4, som gäller standardavtalsklausuler, är av avgörande betydelse för att det erforderliga flödet av personuppgifter mellan Europeiska gemenskapen och tredje land skall kunna upprätthållas utan att ekonomiska aktörer belastas i onödan. Dessa bestämmelser är särskilt viktiga med tanke på att kommissionen på kort eller medellång sikt sannolikt kommer att fatta beslut enligt artikel 25.6 om att skyddsnivån är adekvat för endast ett begränsat antal länder. |
|
(5) |
Standardavtalsklausulerna utgör bara en av flera möjligheter enligt direktiv 95/46/EG tillsammans med artikel 25 och artikel 26.1 och 26.2 för laglig överföring av uppgifter till tredje land. Det kommer att bli lättare för organisationer att överföra personuppgifter till tredje land genom att standardavtalsklausulerna infogas i ett avtal. Standardavtalsklausulerna rör endast uppgiftsskydd. Uppgiftsutföraren och uppgiftsinföraren får ta med andra klausuler om affärsrelaterade frågor, såsom klausuler om ömsesidigt bistånd vid tvister med en registrerad person eller med en tillsynsmyndighet, om de anser att sådana klausuler är relevanta för avtalet och under förutsättning att de inte strider mot standardavtalsklausulerna. |
|
(6) |
Beslutet bör inte påverka de nationella tillstånd som medlemsstaterna kan komma att bevilja i enlighet med nationella bestämmelser om genomförande av artikel 26.2 i direktiv 95/46/EG. Omständigheterna vid enskilda överföringar kan kräva att de registeransvariga ställer olika garantier i den mening som avses i artikel 26.2. Under alla omständigheter har detta beslut endast som verkan att medlemsstaterna inte får vägra erkänna att de angivna avtalsklausulerna ger tillräckliga garantier, och beslutet påverkar således inte andra avtalsklausuler. |
|
(7) |
Beslutet är begränsat till att fastställa att klausulerna i bilagan får användas av en registeransvarig etablerad i gemenskapen i syfte att ställa tillräckliga garantier i den mening som avses i artikel 26.2 i direktiv 95/46/EG. Överföring av personuppgifter till tredje land är en en åtgärd som vidtas i en medlemsstat, och dess lagenlighet regleras följaktligen i nationell lag. Medlemsstaternas tillsynsmyndigheter utövar sina befogenheter enligt artikel 28 i direktiv 95/46/EG och ansvarar för att avgöra huruvida uppgiftsutföraren följt nationell lagstiftning som genomför direktiv 95/46/EG, och i synnerhet bestämmelserna om informationsplikt enligt det direktivet. |
|
(8) |
Beslutet gäller inte överföring av personuppgifter från registeransvariga som är etablerade i gemenskapen till mottagare som är etablerade utanför gemenskapens territorium och som agerar endast som registerförare. Sådana överföringar kräver inte samma garantier, eftersom registerföraren agerar uteslutande för den registeransvariges räkning. Kommissionen anser att detta slag av överföringar bör tas upp i ett senare beslut. |
|
(9) |
Det är lämpligt att fastställa den information som parterna minst skall uppge i avtalet om överföring. Medlemsstaterna bör behålla sin befogenhet att mer ingående bestämma vilken information som parterna skall uppge. Tillämpningen av detta beslut bör utvärderas mot bakgrund av den erfarenhet som görs. |
|
(10) |
Kommissionen kommer senare att överväga huruvida standardavtalsklausuler som läggs fram av branschorganisationer eller andra berörda parter erbjuder tillräckliga garantier i enlighet med direktiv 95/46/EG. |
|
(11) |
Parterna bör visserligen ha rätt att komma överens om de huvudsakliga regler om uppgiftsskydd som uppgiftsinföraren skall följa, men det finns vissa principer om uppgiftsskydd som bör gälla under alla omständigheter. |
|
(12) |
Uppgifter får behandlas, användas och överföras endast för särskilt angivna ändamål och bör inte sparas längre än nödvändigt. |
|
(13) |
I enlighet med artikel 12 i direktiv 95/46/EG bör den registrerade ha rätt att ta del av alla uppgifter om honom och, i förekommande fall, att rätta, utplåna eller hindra tillgång till vissa uppgifter. |
|
(14) |
Ytterligare överföring av personuppgifter till en registeransvarig som är etablerad i ett tredje land får endast äga rum på vissa villkor, i synnerhet så att en registrerad erhåller korrekt information och ges möjlighet att göra invändningar eller i vissa fall att vägra ge sitt tillstånd. |
|
(15) |
Utöver bedömningar av om överföringar till tredje land är förenliga med nationell rätt har tillsynsmyndigheterna även en nyckelroll i denna avtalsmekanism när det gäller att se till att personuppgifter skyddas adekvat efter det att de överförts. I vissa fall bör medlemsstaternas tillsynsmyndigheter ha rätt att förbjuda eller tillfälligt avbryta en överföring av uppgifter eller en grupp överföringar som sker enligt standardavtalsklasuler i de undantagsfall där det fastställs att en överföring på avtalsbasis sannolikt har en avsevärt skadlig inverkan på garantierna om adekvat skydd för den registrerade. |
|
(16) |
Standardavtalsklausulerna bör kunna åberopas inte bara av de organisationer som är parter i avtalet utan även av de registrerade, i synnerhet om de registrerade vållas skada till följd av avtalsbrott. |
|
(17) |
Den lag som är tillämplig på avtalet bör vara lagen i den medlemsstat där uppgiftsutföraren är etablerad så att en berättigad tredje part har möjlighet att göra gällande ett avtal. Registrerade bör få biträdas av sammanslutningar eller andra organ om de så önskar och i den mån det är tillåtet enligt nationell rätt. |
|
(18) |
För att minska de praktiska problem som registrerade kan stöta på när de försöker göra gällande sina rättigheter enligt dessa standardavtalsklausuler bör uppgiftsutföraren och uppgiftsinföraren vara solidariskt ansvariga för skada som vållats av överträdelser av de bestämmelser som omfattas av klausulen om berättigad tredje part. |
|
(19) |
Den registrerade har rätt att väcka talan mot och få skadestånd från uppgiftsutföraren, från uppgiftsinföraren eller från båda för skada som vållats genom en handling som inte är förenlig med villkoren i standardavtalsklausulerna. Bägge parter kan gå fria från detta ansvar om de kan bevisa att ingen av dem var ansvarig. |
|
(20) |
Det solidariska ansvaret omfattar inte de bestämmelser som inte omfattas av klausulen om berättigad tredje part, och det behöver inte göra den ena parten ansvarig för skada som vållats av den andra partens otillåtna behandling. Ömsesidig ersättning mellan parterna är visserligen inte nödvändig för att skyddet av de registrerade skall anses vara adekvat och parterna får låta sådan ersättning utgå, men den har tagits med i standardavtalsklausulerna som ett förtydligande och för att parterna inte skall bli tvungna att själva förhandla fram ersättningsklausuler. |
|
(21) |
Om en tvist mellan parterna och den registrerade inte kan lösas i godo och den registrerade åberopar klausulen om berättigad tredje part, skall parterna enas om att låta den registrerade välja mellan medling, skiljeförfarande och att väcka talan vid domstol. För att den registrerade skall ha en faktisk valmöjlighet måste det finnas tillgång till tillförlitliga och erkända system för medling och skiljeförfarande. Medling av medlemsstaternas tillsynsmyndigheter kan vara ett alternativ, om de tillhandahåller sådana tjänster. |
|
(22) |
Den arbetsgrupp för skydd av enskilda med avseende på behandlingen av personuppgifter som inrättats enligt artikel 29 i direktiv 95/46/EG har avgett ett yttrande om den skyddsnivå som ges av de standardavtalsklausuler som bifogas detta beslut, vilket beaktats vid utarbetandet av detta beslut ( 4 ). |
|
(23) |
Åtgärderna i detta beslut överensstämmer med yttrandet från den kommitté som inrättats enligt artikel 31 i direktiv 95/46/EG. |
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1
De standardavtalsklausuler som anges i bilagan anses ge tillräckliga garantier för att privatliv och enskilda personers grundläggande fri- och rättigheter skyddas samt för utövningen av motsvarande rättigheter i enlighet med artikel 26.2 i direktiv 95/46/EG.
De registeransvariga får välja endera av standardavtalen I eller II i bilagan. De får dock inte ändra klausulerna eller kombinera enstaka klausuler eller uppsättningar.
Artikel 2
Detta beslut skall endast tillgodose att standardavtalsklausulerna om överföring av personuppgifter som anges i bilagan erbjuder ett tillräckligt skydd. Det påverkar inte tillämpningen av andra nationella bestämmelser som antagits för genomförande av direktiv 95/46/EG och som rör behandling av personuppgifter inom medlemsstaterna.
Detta beslut skall inte gälla överföring av personuppgifter från registeransvariga som är etablerade i gemenskapen till mottagare som är etablerade utanför gemenskapens territorium och som agerar endast som registerförare.
Artikel 3
Med avseende på detta beslut skall följande gälla:
a) definitionerna i direktiv 95/46/EG skall följas,
b) med särskilda kategorier av uppgifter avses sådana uppgifter som anges i artikel 8 i det direktivet,
c) med tillsynsmyndighet avses sådan myndighet som anges i artikel 28 i det direktivet,
d) med uppgiftsutförare avses den registeransvarige som överför personupgifterna,
e) med uppgiftsutförare avses den registeransvarige som går med på att från uppgiftsutföraren ta emot personuppgifter för vidare behandling i enlighet med villkoren i detta beslut.
Artikel 4
1. Utan att det påverkar rätten för medlemsstaternas behöriga myndigheter att se till att nationella bestämmelser som antagits i enlighet med kapitelen II, III, V och VI i direktiv 95/46/EG följs, får de utöva sina befintliga befogenheter för att förbjuda eller tillfälligt avbryta flöden av uppgifter till tredje land för att skydda enskilda med avseende på behandling av deras personuppgifter i fall där
a) det fastställs att det i den lag som är tillämplig på uppgiftsinföraren ställs krav på att denne skall frångå relevanta bestämmelser om uppgiftsskydd, vilka går utöver de restriktioner som krävs i ett demokratiskt samhälle enligt artikel 13 i direktiv 95/46/EG, om sådana krav sannolikt har en avsevärt negativ inverkan på de garantier som ges i standardavtalsklausulerna, eller
b) en behörig myndighet har fastställt att uppgiftsinföraren inte har följt avtalsklausulerna, eller
c) det finns skälig grund att tro att standardavtalsklausulerna i bilagan inte följs eller inte kommer att följas och att fortsatt överföring skulle medföra en överhängande risk för allvarlig skada för de registrerade.
2. När det gäller första stycket där den registeransvarige åberopar adekvata garantier på grundval av de standardavtalsklausuler som återfinns i standardavtal II i bilagan, är de behöriga dataskyddsmyndigheterna behöriga att utöva sina befintliga befogenheter att förbjuda eller upphäva dataflödena i följande fall:
a) Uppgiftsinföraren vägrar att samarbeta efter bästa förmåga med dataskyddsmyndigheterna eller fullgöra de skyldigheter som tydligt framgår av avtalet.
b) Uppgiftsutföraren vägrar att vidta adekvata åtgärder för att tillämpa avtalet gentemot uppgiftsinföraren inom den normala fristen på en månad efter meddelande från behörig tillsynsmyndighet till uppgiftsutföraren.
Uppgiftsinföraren skall när det gäller första stycket ovan inte anses vägra samarbete efter bästa förmåga eller att fullgöra avtalen, när ett sådant samarbete eller fullgörande strider mot obligatoriska krav i den nationella lagstiftning som gäller uppgiftsinföraren och som inte går längre än vad som är nödvändigt i ett demokratiskt samhälle på grundval av en av de grunder som nämns i artikel 13.1 i direktiv 95/46/EG, särskilt påföljder som fastställs i internationell och/eller nationell lagstiftning, krav på skatterapportering eller upplysningsplikt när det gäller bekämpning av penningtvätt.
Samarbetet skall när det gäller punkt a i första stycket bl.a. innebära att uppgiftsinföraren ger tillträde till sin databehandlingsutrustning för revision eller följer råd från tillsynsmyndigheten inom gemenskapen.
3. Förbudet eller upphävandet enligt punkterna 1 och 2 skall upphöra så snart som skälen för förbudet eller upphävandet inte längre föreligger.
4. När medlemsstaterna vidtar åtgärder i enlighet med punkterna 1, 2 och 3 skall de utan dröjsmål underrätta kommissionen, som skall vidarebefordra underrättelsen till de övriga medlemsstaterna.
Artikel 5
►M1 Kommissionen skall utvärdera hur detta beslut fungerar på grundval av tillgänglig information tre år efter anmälan och efter anmälan av varje ändring av det till medlemsstaterna. ◄ Den skall rapportera resultaten till den kommitté som inrättats enligt artikel 31 i direktiv 95/46/EG. Rapporten skall innefatta alla omständigheter som kan påverka utvärderingen av standardavtalsklausulernas lämplighet och alla omständigheter som tyder på att detta beslut tillämpas på ett diskriminerande sätt.
Artikel 6
Detta beslut skall gälla från och med den 3 september 2001.
Artikel 7
Detta beslut riktar sig till medlemsstaterna.
BILAGA
STANDARDAVTAL I
Tillägg 1
till standardavtalsklausulerna
Tillägg 2
till standardavtalsklausulerna
Obligatoriska principer om uppgiftsskydd som avses i klausul 5 b första stycket
Dessa principer om uppgiftsskydd kall tolkas med ledning av bestämmelserna (principerna och undantagen) i direktiv 95/46/EG.
Dessa principer skall gälla om inte annat följer av obligatoriska krav i nationell rätt som gäller för uppgiftsinföraren och om dessa krav inte går utöver vad som krävs i ett demokratiskt samhälle enligt någon av de grunder som anges i artikel 13.1 i direktiv 95/46/EG, det vill säga att de utgör en nödvändig åtgärd med hänsyn till statens säkerhet, försvaret, allmän säkerhet, förebyggande, undersökning, avslöjande av brott eller åtal för brott eller överträdelser av etiska regler som gäller för lagreglerade yrken, ett viktigt ekonomiskt eller finansiellt intresse hos en medlemsstat eller skydd av den registrerades eller andras fri- och rättigheter.
1. Ändamålsbegränsning: Uppgifterna får behandlas, användas och överföras endast för de särskilda ändamål som anges i tillägg 1 till standardavtalsklausulerna. Uppgifterna får inte sparas längre än vad som är nödvändigt för de ändamål för vilka de överförs.
2. Uppgifternas kvalitet och proportionalitet: Uppgifterna skall vara korrekta och i förekommande fall hållas aktuella. Uppgifterna skall vara adekvata och relevanta och får inte omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de överförs och vidarebehandlas.
3. Informationsplikt: De registrerade skall informeras om behandlingens syfte och identiteten på den registeransvarige i tredje land och om andra omständigheter i den mån det krävs för en korrekt behandling, om inte sådan information redan lämnats av uppgiftsutföraren.
4. Säkerhet och sekretess: Tekniska och organisatoriska säkerhetsåtgärder skall vidtas av den registeransvarige med hänsyn tagen till de risker, exempelvis obehörig tillgång, som behandlingen innebär. Alla som agerar för den registeransvariges räkning, även registerförare, får behandla uppgifter endast på den registeransvariges uppdrag.
5. Rätt till tillgång, rättelse, utplåning och invändning: I enlighet med artikel 12 i direktiv 95/46/EG skall den registrerade ha rätt att ta del av alla uppgifter om honom som behandlas, och i förekommande fall ha rätt att göra rättelser, utplåna eller hindra tillgången till uppgifter om behandlingen av dessa uppgifter inte följer principerna i detta tillägg, särskilt av det skälet att uppgifterna är ofullständiga eller felaktiga. Den registrerade skall också ha möjlighet att invända mot att uppgifter om honom behandlas om han har berättigade skäl som rör hans särskilda situation.
6. Begränsning av vidareöverföring: Ytterligare överföring av personuppgifter från uppgiftsinföraren till en annan registeransvarig som är etablerad i ett tredje land som inte tillhandahåller ett adekvat skydd eller som inte omfattas av ett beslut av kommissionen i enlighet med artikel 25.6 i direktiv 95/46/EG (vidareöverföring) får endast äga rum om något av följande villkor är uppfyllt:
a) De registrerade har gett sitt otvetydiga samtycke till en vidareöverföring om särskilda kategorier av uppgifter berörs, eller har beretts möjlighet att invända mot vidareöverföringen i andra fall.
De registrerade måste minst förses med följande information på ett språk som de förstår:
— ändamålet med den vidareöverföringen,
— identiteten på den i gemenskapen etablerade uppgiftsutföraren,
— vilka kategorier mottagare som skall erhålla uppgifterna och vilka länder som uppgifterna skall vidareöverföras till,
— ett påpekande att uppgifterna efter vidareöverföringen kan behandlas av en registeransvarig som är etablerad i ett land som inte säkerställer en adekvat skyddsnivå för personuppgifter.
b) Uppgiftsutföraren och uppgiftsinföraren överenskommer om att en registeransvarig får ansluta sig till standardavtalsklausulerna varigenom denne blir ny part i dessa klausuler och får samma förpliktelser som uppgiftsinföraren.
7. Särskilda kategorier av uppgifter: Vid behandling av uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv samt uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder, skall ytterligare skyddsåtgärder vidtas i enlighet med direktiv 95/46/EG, särskilt säkerhetsåtgärder i forn av stark kryptering vid överföring eller registrering av vem som har haft tillgång till känsliga uppgifter.
8. Direkt marknadsföring: När uppgifter behandlas för direkt marknadsföring skall verkningsfulla rutiner finnas, vilka ger den registrerade möjlighet att när som helst hindra att uppgifter om honom används för detta ändamål.
9. Databehandlade beslut om enskilda: En registrerad har rätt att inte bli föremål för beslut som enbart grundas på automatisk behandling av uppgifter, om inte andra åtgärder vidtas för att tillvarata den enskildas berättigade intressen i enlighet med artikel 15.2 i direktiv 95/46/EG. Om syftet med överföringen är att ett databehandlat beslut i den bemärkelse som avses i artikel 15 i direktiv 95/46/EG skall fattas, vilket har rättsliga följder för den registrerade eller som märkbart påverkar honom och som enbart grundas på automatisk behandling av uppgifter som är avsedda att bedöma vissa personliga egenskaper hos honom, exempelvis hans arbetsprestationer, kreditvärdighet, pålitlighet och uppträdande, har den enskilda rätt att känna till på vilka grunder beslutet fattas.
Tillägg 3
till standardavtalsklausulerna
Obligatoriska principer för uppgiftsskydd i enlighet med klausul 5 b andra stycket
1. Ändamålsbegränsning: Uppgifterna får behandlas, användas och överföras endast för de särskilda ändamål som anges i tillägg 1 till standardavtalsklausulerna. Uppgifterna får inte sparas längre än nödvändigt för de ändamål för vilka de överförs.
2. Rätt till tillgång, rättelse, utplåning och invändning: I enlighet med artikel 12 i direktiv 95/46/EG skall den registrerade ha rätt att ta del av alla uppgifter om honom som behandlas, och i förekommande fall rätt att göra rättelser, utplåna eller hindra tillgången till uppgifter om behandlingen av dessa uppgifter inte följer principerna i detta tillägg, särskilt av det skälet att uppgifterna är ofullständiga eller felaktiga. Den registrerade skall också ha möjlighet att invända mot att uppgifter om honom behandlas om han har berättigade skäl som rör hans särskilda situation.
3. Begränsning av vidareöverföring: Ytterligare överföring av personuppgifter från uppgiftsanföraren till en annan registeransvarig som är etablerad i ett tredje land som inte tillhandahåller ett adekvat skydd eller som inte omfattas av ett beslut av kommissionen i enlighet med artikel 25.6 i direktiv 95/46/EG (vidareöverföring) får endast äga rum om något av följande villkor är uppfyllt:
a) De registrerade har gett sitt otvetydiga samtycke till en vidareöverföring om särskilda kategorier av uppgifter berörs, eller har beretts möjlighet att invända mot vidareöverföringen i andra fall.
De registrerade måste minst förses med följande information på ett språk som de förstår:
— Ändamålet med vidareöverföringen.
— Identiteten på den i gemenskapen etablerade uppgiftsutföraren.
— Vilka kategorier mottagare som skall erhålla uppgifterna och vilka länder som uppgifterna skall vidareöverföras till.
— Ett påpekande att uppgifterna efter vidareöverföringen kan behandlas av en registeransvarig som är etablerad i ett land som inte säkerställer en adekvat skyddsnivå för personuppgifter.
b) Uppgiftsutföraren och uppgiftsinföraren överenskommer om att en registeransvarig får ansluta sig till standardavtalsklausulerna varigenom denne blir ny part i dessa klausuler och får samma förpliktelser som uppgiftsinföraren.
STANDARDAVTAL II
Standardavtalsklausuler för överföring av personuppgifter från gemenskapen till tredje länder (överföring mellan registeransvariga)
Avtal om dataöverföring
Mellan
_(namn)
_(adress och etableringsland)
(nedan ”uppgiftsutföraren”)
och
_(namn)
_(adress och etableringsland)
(nedan ”uppgiftsinföraren”
var för sig ”part”, tillsammans ”parterna”)
Definitioner
I klausulerna skall följande gälla:
a) ”Personuppgifter”, ”särskilda kategorier av uppgifter/känsliga uppgifter”, ”behandla/behandling”, ”registeransvarig”, ”behandlare”, ”den registrerade” och ”tillsynsmyndighet/myndighet” skall ha samma betydelse som i direktiv 95/46/EG av den 24 oktober 1995 (där ”myndighet” skall avse behörig dataskyddsmyndighet inom det territorium där uppgiftsutföraren är etablerad).
b) Med ”uppgiftsutförare” avses den registeransvarige som överför personuppgifter.
c) Med ”uppgiftsinförare” avses den registeransvarige som samtycker till att från uppgiftsutföraren ta emot personuppgifter för vidare behandling i enlighet med dessa klausuler och som inte är underkastad lagstiftningen i tredje land som säkerställer adekvat skydd.
d) Med ”klausuler” avses dessa avtalsklausuler, vilka utgör ett fristående dokument som inte innefattar kommersiella handelsvillkor, vilka parterna fastställer enligt separata handelsavtal.
Detaljerna om överföringen (samt de personuppgifter som omfattas) specificeras i bilaga B, som ingår i klausulerna.
I. Uppgiftsutförarens skyldigheter
Uppgiftsutföraren godtar och garanterar följande:
a) Uppgiftsutföraren skall samla in, behandla och överföra personuppgifter i enlighet med den lagstiftning som gäller för uppgiftsutföraren.
b) Uppgiftsutföraren har gjort rimliga ansträngningar för att se till att uppgiftsinföraren kan uppfylla sina rättsliga skyldigheter enligt dessa klausuler.
c) Uppgiftsutföraren skall vid behov ge uppgiftsinföraren relevant dataskyddslagstiftning eller hänvisningar till den (där det är relevant och utan juridisk rådgivning) i det land där uppgiftsutföraren är etablerad.
d) Uppgiftsutföraren skall svara på förfrågningar från de registrerade och myndigheten om uppgiftsinförarens behandling av personuppgifterna, om inte parterna har avtalat att uppgiftsinföraren skall svara. I så fall skall uppgiftsutföraren fortfarande svara i den omfattning som är rimlig och möjlig och med den information som uppgiftsutföraren rimligen kan ha tillgång till, om uppgiftsinföraren inte kan eller inte vill svara. Förfrågningar skall besvaras inom rimlig tid.
e) Uppgiftsutföraren skall på begäran ge ett exemplar av klausulerna till de registrerade som omfattas av tredjemansberättigande enligt klausul III, om inte klausulerna innehåller konfidentiell information. I så fall kan uppgiftsutföraren stryka sådan information. Om information stryks, skall uppgiftsutföraren informera de registrerade skriftligt om skälen till strykningen och om deras rätt att göra myndigheten uppmärksam på strykningen. Uppgiftsutföraren skall rätta sig efter myndighetens beslut som gäller de registrerades tillgång till den fullständiga klausultexten, så länge de registrerade har accepterat att respektera sekretessen i den strukna sekretessbelagda informationen. Uppgiftsutföraren skall vid behov även tillhandahålla myndigheten ett exemplar av klausulerna.
II. Uppgiftsinförarens skyldigheter
Uppgiftsinföraren godtar och garanterar följande:
a) Uppgiftsinföraren skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter mot oavsiktlig eller olaglig utplåning eller oavsiktlig förlust, ändring, otillåtet utlämnande eller otillåten tillgång, och som ger en säkerhetsnivå som är anpassad till den risk som behandlingen och typen av uppgifter som skall skyddas utgör.
b) Uppgiftsinföraren skall ha rutiner som säkerställer att den tredje man som uppgiftsinföraren ger tillgång till personuppgifter, inbegripet behandlare, behandlar dessa på ett säkert sätt och med sekretess. Personer som agerar under uppgiftsinförarens ansvar, inklusive behandlare, skall bara kunna behandla personuppgifterna enligt instruktioner från uppgiftsinföraren. Denna bestämmelse gäller inte de personer som enligt lag eller förordning har tillgång till personuppgifter.
c) Uppgiftsinföraren har ingen anledning att då klausulerna träder i kraft tro att det skulle finnas eventuell lokal lagstiftning som skulle ha en betydande negativ inverkan på de garantier som ges enligt dessa klausuler och uppgiftsinföraren kommer att informera uppgiftsutföraren (som vid behov kommer att vidarebefordra sådan information till myndigheten), om han skulle få kännedom om sådan lagstiftning.
d) Uppgiftsinföraren skall behandla personuppgifter för de ändamål som beskrivs i bilaga B, och skall ha rättslig behörighet att ge de garantier och fullgöra de åtaganden som fastställs i dessa klausuler.
e) Uppgiftsinföraren skall ge uppgiftsutföraren upplysning om en kontaktperson inom sin organisation som har befogenhet att besvara förfrågningar som rör behandlingen av personuppgifter, och han eller hon skall samarbeta efter bästa förmåga och inom rimlig tid med uppgiftsutföraren, den registrerade och myndigheten när det gäller alla sådana förfrågningar. Om uppgiftsutförarens verksamhet upphör eller om parterna har kommit överens om det, skall upgiftsinföraren ansvara för att bestämmelserna i klausul I e följs.
f) På begäran skall uppgiftsinföraren ge uppgiftsutföraren belägg för att han eller hon har tillräckliga ekonomiska resurser för att fullgöra sina skyldigheter enligt klausul III (vilket kan omfatta lämplig försäkring).
g) Om uppgiftsutföraren lägger fram en rimlig begäran, skall uppgiftsinföraren ställa sin databehandlingsutrustning, datafiler och dokumentation som behövs för att uppgiftsutföraren (eller oberoende eller opartisk inspektör eller revisor som valts ut av uppgiftsutföraren, och som inte av goda skäl har avvisats av uppgiftsinföraren) skall kunna behandla, förnya, kontrollera och/eller certifiera för att säkerställa att garantierna och åtagandena enligt dessa klausuler följs med rimligt varsel och under normal arbetstid. Begäran skall underkastas nödvändigt samtycke eller godkännande från en lagstiftande myndighet eller tillsynsmyndighet i uppgiftsinförarens land, vars samtycke eller godkännande uppgiftsinföraren skall försöka erhålla i god tid.
h) Uppgiftsinföraren skall behandla personuppgifter i enlighet med
i) lagstiftningen om dataskydd i det land där uppgiftsutföraren är etablerad, eller
ii) relevanta bestämmelser ( 5 ) i varje beslut som kommissionen fattar i enlighet med artikel 25.6 i direktiv 95/46/EG, om uppgiftsinföraren uppfyller de relevanta bestämmelserna i ett sådant godkännande eller beslut och är etablerad i ett land som omfattas av ett sådant godkännande eller beslut, men inte omfattas av ett sådant godkännande eller beslut när det gäller överföring av personuppgifter, ( 6 ) eller
iii) databehandlingsprinciperna i bilaga A.
Uppgiftsinföraren väljer följande:_
Uppgiftsinförarens initialer:_;
i) Uppgiftsinföraren förpliktar sig att inte utlämna eller överföra personuppgifter till tredje man som är registeransvarig utanför Europeiska ekonomiska samarbetsområdet (EES), om inte uppgiftsinföraren meddelar uppgiftsutföraren om överföringen och
i) den registeransvarige som är tredje man behandlar personuppgifterna i enlighet med kommissionens beslut där det konstateras att ett tredjeland säkerställer ett adekvat skydd, eller
ii) att den registeransvarige som är tredje man undertecknar dessa klausuler eller annat avtal om uppgiftsöverföring som godkänds av behörig myndighet inom EU, eller
iii) de registrerade har fått möjlighet att göra en invändning, efter att ha fått information om syftet med överföringen, mottagarkategorier och det faktum att de länder till vilka uppgifter förs ut kan ha olika typer av dataskydd, eller
iv) de registrerade har med hänsyn till vidare överföringar av känsliga uppgifter gett sitt uttryckliga samtycke till vidare överföring.
III. Ansvar och tredje mans rättigheter
a) Varje part är skadeståndsskyldig gentemot den andra parten för skador som den orsakat vid överträdelse av dessa klausuler. Skadeståndsansvaret mellan parterna är begränsat till faktiska skador. Skadestånd i bestraffningssyfte (dvs. skadestånd som är avsett att straffa en part för opassande uppförande) är uttryckligen uteslutet. Varje part är skadeståndsansvarig gentemot de registrerade för de skador den åsamkat genom varje överträdelse av tredjemansrättigheterna enligt dessa klausuler. Detta påverkar inte uppgiftsutförarens skadeståndsskyldighet enligt gällande dataskyddslagstiftning.
b) Parterna samtycker till att den registrerade skall ha rätt att som tredjemansberättigande åberopa denna klausul och klausulerna I b, I d, I e, II a, II c, II d, II e, II h, II i, III a, V, VI d och VII mot uppgiftsinföraren eller uppgiftsutföraren för deras respektive brott mot skyldigheterna enligt avtalet med hänsyn, med hänsyn till hans personuppgifter, och välja domstol för detta ändamål i uppgiftsutförarens etableringsland. När det gäller uppgiftsinförarens påstådda överträdelser, måste den registrerade först begära att uppgiftsutföraren vidtar lämplig åtgärd för att hävda sina rättigheter gentemot uppgiftsinföraren. Om uppgiftsutföraren inte vidtar sådan åtgärd inom rimlig tid (vilket under normala förhållanden skulle vara en månad), får den registrerade vända sig direkt till uppgiftsinföraren. Den registrerade är behörig att vända sig direkt till den uppgiftsutförare, som inte har gjort tillräckliga ansträngningar för att fastställa att uppgiftsinföraren kan uppfylla sina rättsliga skyldigheter i enlighet med dessa klausuler (uppgiftsutföraren har bevisbördan för att styrka att han/hon har gjort rimliga ansträngningar).
IV. Gällande lagstiftning
Dessa klausuler skall regleras av lagstiftningen i det land där uppgiftsutföraren är etablerad, med undantag av de lagar och föreskrifter som gäller behandling av personuppgifter av uppgiftsinföraren enligt klausul II h. Dessa skall endast tillämpas om uppgiftsinföraren valt denna möjlighet i den klausulen.
V. Lösning av tvister mellan de registrerade eller myndigheten
a) Parterna skall underrätta varandra i händelse av att en registrerad eller en myndighet inleder ett tvisteförfarande eller framställer krav när det gäller behandlingen av personuppgifter mot endera parten eller mot båda parter, och de skall samarbeta i syfte att finna lösningar i godo inom rimlig tid.
b) Parterna skall samtycka till att medverka i allmän och icke-bindande medling, som inleds av den registrerade eller av myndigheten. Om de deltar i förfarandet, kan parterna välja att göra det på distans (t.ex. per telefon eller andra elektroniska medel). Parterna kan även samtycka till att beakta deltagande i varje annan form av skiljeförfarande, medling eller annat tvistlösningsförfarande som utvecklats för tvister som rör dataskydd.
c) Varje part skall rätta sig efter beslut från behörig domstol i det land där uppgiftsutföraren är etablerad eller från myndigheten om beslutet är slutligt och inte längre kan överklagas.
VI. Upphörande
a) I händelse av att uppgiftsinföraren inte uppfyller sina skyldigheter enligt dessa klausuler, kan uppgiftsutföraren tillfälligt avbryta överföringen av personuppgifter till uppgiftsinföraren tills överträdelsen har upphört eller avtalet har avslutats.
b) I händelse av att
i) överföringen av personuppgifter till uppgiftsinföraren tillfälligt har avbrutits av uppgiftsutföraren under längre tid än en månad enligt punkt a,
ii) uppgiftsinföraren genom att följa dessa klausuler skulle överträda lagar och föreskrifter i införsellandet,
iii) uppgiftsinföraren allvarligt och kontinuerligt bryter mot de garantier eller åtaganden som fastställs i dessa klausuler,
iv) att det i ett slutligt beslut som man inte längre kan överklaga vid behörig domstol i uppgiftsutförarens etableringsland eller från myndigheten konstateras att uppgiftsinföraren eller uppgiftsutföraren har brutit mot klausulerna, eller
v) en begäran om förvaltning eller likvidation för uppgiftsinföraren lämnas in, antingen personligt eller yrkesmässigt, och denna begäran inte avvisas inom normal frist för sådant avvisande enligt gällande lag, en förklaring om tvångslikvidation avges, en konkursförvaltare utses för tillgångarna, om uppgiftsinföraren är en fysisk person eller ett ackordsförfarande inleds eller liknande inträffar,
skall uppgiftsutföraren, utan att det berör uppgiftsutförarens andra rättigheter som han eller hon kan ha gentemot uppgiftsinföraren, vara behörig att avsluta dessa klausuler och myndigheten skall vid behov informeras om det. I de fall som omfattas av i, ii eller iv ovan kan även uppgiftsinföraren avsluta dessa klausuler.
c) Endera parten kan avsluta dessa klausuler om i) ett beslut från kommissionen enligt artikel 25.6 i direktiv 95/46/EG (eller annan rättsakt som har företräde) utfärdas när det gäller det land (eller bransch i landet) till vilket uppgifter har överförts och behandlats av uppgiftsinföraren, eller ii) om direktiv 95/46/EG (eller annan rättsakt som har företräde) skall tillämpas direkt i ett sådant land.
d) Parterna är eniga om att de när dessa klausuler upphör att gälla vid vilken tidpunkt som helst, under vilka omständigheter som helst och oavsett skäl (utom när det gäller upphörande enligt klausul VI c) inte är befriade från sina skyldigheter och/eller villkoren enligt klausulerna när det gäller behandlingen av de överförda personuppgifterna.
VII. Ändring av dessa klausuler
Parterna får inte ändra dessa klausuler annat än för att uppdatera information i bilaga B. I så fall skall de vid behov informera myndigheten. Detta förhindrar inte parterna från att vid behov lägga till kompletterande handelsklausuler.
VIII. Beskrivning av överföringen
Detaljerna i överföringen och i personuppgifterna specificeras i bilaga B. Parterna samtycker till att bilaga B får innehålla konfidentiell affärsinformation som de inte skall röja för tredje man, utom när det krävs enligt lag eller som svar till behörig myndighet eller regeringsorgan eller som krävs enligt klausul I e. Parterna kan utarbeta kompletterande bilagor för att täcka kompletterande överföringar, som vid behov kan läggas fram för myndigheten. Alternativt kan bilaga B utarbetas så att den omfattar flera överföringar.
Datum: _
_
_
FÖR UPPGIFTSINFÖRAREN
FÖR UPPGIFTSUTFÖRAREN
…
…
…
…
…
…
BILAGA A
PRINCIPER FÖR DATABEHANDLING
1. Ändamålsbegränsning: Personuppgifter får behandlas och därefter användas eller överföras endast för de ändamål som beskrivs i bilaga B eller som därefter godkänns av den registrerade.
2. Uppgifternas kvalitet och proportionalitet: Personuppgifterna måste vara korrekta och i förekommande fall hållas aktuella. Personuppgifterna måste vara adekvata och relevanta. De får inte omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de överförs och vidarebehandlas.
3. Öppenhet: De registrerade skall informeras om behandlingens syfte (t.ex. information om syftet med behandlingen och om överföringen), om sådan information inte redan har getts av uppgiftsutföraren.
4. Säkerhet och sekretess: Tekniska och organisatoriska säkerhetsåtgärder skall vidtas av den registeransvarige med hänsyn till de risker, såsom obehörig tillgång eller olaglig utplåning eller oavsiktlig förlust, ändring, otillåtet utlämnande eller otillåten tillgång, som behandlingen utgör. Alla som agerar för den registeransvariges räkning, även registerförare, får behandla uppgifter endast på den registeransvariges uppdrag.
5. Rätt till tillgång, rättelse, utplåning och invändning: I enlighet med artikel 12 i direktiv 95/46/EG, måste alla registrerade, antingen direkt eller via tredje man, få personlig information om uppgifter som rör honom eller henne som en organisation har, utom när det gäller förfrågningar som uppenbart utgör ett missbruk och som grundas på orimliga intervaller eller antal, är av repetitiv eller systematisk art och som man inte behöver garantera tillträde till enligt lag i uppgiftsutförarens land. Under förutsättning att myndigheten i förväg gett sitt godkännande, behöver tillgång inte heller garanteras i det fall det allvarligt skulle kunna skada uppgiftsinförarens intressen eller andra organisationers agerande gentemot uppgiftsinföraren och sådana intressen inte har företräde framför de registrerades intressen av grundläggande rättigheter och friheter. Man behöver inte ange källan till personuppgifter, om det inte är möjligt utan stora ansträngningar eller om det skulle medföra kränkning av andra personers rättigheter. De registrerade måste kunna få personliga uppgifter om sig själva rättade, ändrade eller strukna, om de är felaktiga eller behandlade mot dessa principer. Om det finns vägande skäl att tvivla på det berättigade i förfrågan, får organisationen kräva ytterligare dokumentation innan den rättar, ändrar eller utplånar information. Meddelande om rättelse, ändring eller utplåning till tredje man vars uppgifter har utlämnats behöver inte ges om det innebär ett oproportionerligt arbete. De registrerade måste även kunna göra invändningar till den som behandlar de personuppgifter som rör henne eller honom, om det föreligger vägande legitima skäl som rör hennes eller hans personliga situation. Uppgiftsinföraren har bevisbördan för varje avslag och den registrerade kan alltid bestrida ett avslag hos myndigheten.
6. Känsliga uppgifter: Uppgiftsinföraren skall vidta kompletterande åtgärder (t.ex. när det gäller säkerhet) som är nödvändiga för att skydda sådana känsliga uppgifter i enlighet med skyldigheterna enligt klausul II.
7. Uppgifter som används i marknadssyfte: Om uppgifter behandlas för direkt marknadsföring, bör de registrerade genom effektiva förfaranden när som helst ha möjlighet att hindra att hans eller hennes uppgifter används för sådana ändamål.
8. Databehandlade beslut: Med ”databehandlade beslut” avses ett beslut som fattas av uppgiftsutföraren eller uppgiftsinföraren som har rättslig effekt för den registrerade eller på ett betydande sätt påverkar den registrerade och som endast grundas på automatisk behandling av uppgifter som är avsedda att bedöma vissa personliga egenskaper hos honom eller henne, t.ex. arbetsprestationer, kreditvärdighet, pålitlighet och uppträdande. Uppgiftsinföraren får inte fatta några databehandlade beslut som rör den registrerade, utom om
i) sådana beslut fattas av uppgiftsinföraren genom att ingå eller verkställa ett avtal med den registrerade, och
ii) den registrerade har fått möjlighet att diskutera resultaten av ett databehandlat beslut med en representant för den part som fattar sådana beslut eller på annat sätt företräder den parten.
eller
b) annat fastställs i den lagstiftning som gäller för uppgiftsutföraren.
BILAGA B
BESKRIVNING AV ÖVERFÖRINGEN
(Skall fyllas i av parterna)
VÄGLEDANDE HANDELSKLAUSULER (VALFRITT)
Skadestånd mellan uppgiftsutföraren och uppgiftsinföraren:
”Parterna skall betala ut skadestånd till varandra och hålla varandra skadeslösa när det gäller alla kostnader, avgifter, skador, utgifter eller förluster som de åsamkar varandra som ett resultat av överträdelse av någon av bestämmelserna i dessa klausuler. Varje skadeståndsersättning är villkorad av att a) parten(erna) hålls skadeslösa (den part(er) som får skadestånd skall omgående meddela den andra parten(erna) som skall betala ut skadestånd om ett ersättningsanspråk, b) endast den skadeståndsskyldiga parten(erna) har kontroll över hur ärendet skall handläggas och c) den skadeståndsberättigade parten samarbetar på ett rimligt sätt och biträder den eller de parter som är skadeståndsskyldiga att handlägga klagomålet.”
Tvistlösning mellan uppgiftsutföraren och uppgiftsinföraren (parterna kan naturligtvis föra in en annan alternativ tvistlösning eller rättslig bestämmelse):
”I händelse av tvist mellan uppgiftsinföraren och uppgiftsutföraren när det gäller påstådda överträdelser av en bestämmelse i dessa klausuler, skall den slutligen avgöras enligt Internationella handelskammarens regler av en eller flera skiljemän som utses enligt dessa regler. Platsen för skiljeförfarandet skall vara [ ]. Skiljemännen skall vara [ ].”
Kostnadsfördelning:
”Varje part skall stå för sina egna kostnader vid genomförandet av dessa klausuler.”
Extra uppsägningsklausul:
”Om dessa klausuler sägs upp, måste uppgiftsinföraren skyndsamt sända tillbaka alla personuppgifter och alla kopior på personuppgifter i enlighet med dessa klausuler till uppgiftsutföraren eller enligt uppgiftsutförarens önskemål förstöra alla kopior av dessa uppgifter och styrka att det har gjorts, om inte uppgiftsinföraren är förhindrad genom nationell lagstiftning eller lagstiftande myndighet att förstöra eller returnera alla eller del av sådana uppgifter. I så fall skall uppgifterna behandlas med sekretess och de får inte aktivt behandlas för något ändamål. Uppgiftsinföraren samtycker till att, om uppgiftsutföraren begärt det, tillåta uppgiftsutföraren, eller en inspektör som uppgiftsutföraren valt, och som uppgiftsinföraren inte har rimliga skäl att avvisa, att få tillträde till uppgiftsinförarens lokaler för att kontrollera att det har gjorts med rimlig varsel och på arbetstid.”
( 1 ) EGT L 281, 23.11.1995, s. 31.
( 2 ) Arbetsgruppens Internet adress: http://www.europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm.
( 3 ) Arbetsdokument 4 (5020/97): ”En första orientering om överföring av personuppgifter till tredje land – möjligheter till en förbättrad bedömning av om skyddsnivån är adekvat”, antaget av arbetsgruppen den 26 juni 1997.
Arbetsdokument 7 (5057/97): ”Bedömning av branschers självreglering: när bidrar den på ett meningsfullt sätt till skyddsnivån för uppgifter i tredje land?”, antaget av arbetsgruppen den 14 januari 1998.
Arbetsdokument 9 (5005/98): ”Användning av avtalsreglering vid överföring av personuppgifter till tredje land”, antaget av arbetsgruppen den 22 april 1998.
Arbetsdokument 12: ”Överföring av personuppgifter till tredje land: tillämpning av artiklarna 25 och 26 i EU:s dataskyddsdirektiv”, antaget av arbetsgruppen den 24 juli 1998, finns på Europeiska kommissionens webbplats Europa på adressen http://www.europa.eu. int/comm/internal_market/en/media/dataprot/wpdocs/wp 12sv.pdf.
( 4 ) Yttrande nr 1/2001 antaget av arbetsgruppen den 26 januari 2001 (GD MARKT 5102/00 WP 38), tillgängligt på Europeiska kommissionens webbplats Europa.
( 5 ) Med ”relevanta bestämmelser” avses bestämmelser i varje enskilt godkännande eller beslut utom för tillämpningsbestämmelser för ett godkännande eller ett beslut (som skall regleras genom dessa klausuler).
( 6 ) Bestämmelserna i bilaga A.5 om rätt till tillgång, rättelse, utplåning och invändningar måste tillämpas när detta val görs och har företräde framför jämförbara bestämmelser i det valda kommissionsbeslutet.