а) се прилагат определенията, съдържащи се в Директива 95/46/ЕО;

б) „специални категории данни“ са данните, посочени в член 8 от въпросната директива;

в) „надзорни власти“ са властите, посочени в член 28 от съответната директива;

г) „износител на данни“ е администраторът, който трансферира личните данни;

д) „вносител на данни“ е администраторът, който се съгласява да получи от износителя данни от личен характер с оглед тяхната последваща обработка в съответствие с условията на настоящото решение.

а) е установено, че правото, на което е подчинен вносителят на данни, го възпрепятства при спазване на съществените правила за защита на данните, които надвишават необходимите в едно демократично общество ограничения, предвидени в член 13 от Директива 95/46/ЕО, когато тези изисквания може да имат значителен обратен ефект по отношение на гаранциите, предвидени от общите договорни клаузи, или

б) компетентна власт е установила, че вносителят на данни не е спазил клаузите на договора, или

в) много е вероятно общите договорни клаузи, фигуриращи в приложението, да не са или да не бъдат спазени и продължаването на трансфера да създаде за засегнатите лица сериозен риск да понесат тежки вреди.

а) отказ на вносителя на данните да оказва доброволно сътрудничество на органите за защита на данните или да спазва своите ясни задължения съгласно договора;

б) отказ на износителя на данни да предприеме целесъобразни стъпки по търсене на принудително изпълнение на договора срещу вносителя на данни в рамките на обичайния едномесечен период след уведомлението, изпратено на износителя на данни от компетентния орган за защита на данните.

1.  Ограничаване на трансферите със специфична крайна цел: данните се обработват и използват или съобщават впоследствие само за специфичните крайни цели, посочени в допълнение 1 към настоящите клаузи. Те не трябва да бъдат съхранявани по-дълго от необходимото за целите, за които са трансферирани.

2.  Качество и пропорционалност на данните: данните трябва да бъдат точни и при нужда актуализирани. Те трябва да бъдат адекватни, съществени и не излишно увеличени от гледна точка на крайните цели, на които е подчинен техният трансфер или тяхната последваща обработка.

3.  Прозрачност: назаинтересованите лица трябва да се предоставя информация за крайните цели на обработката и за самоличността на администратора в трета страна, както и друга информация в степен, в която те са необходими за осигуряването на законна обработка, освен ако тази информация са вече предоставени от износителя на данни.

4.  Сигурност и поверителност: администраторът трябва да вземе мерки за сигурност по отношение на техническия план и на организационно равнище, които са пригодни от гледна точка на представените от обработката рискове, като например неразрешен достъп. Всяко лице, действащо под разпореждането на администратора, включително обработващото данните лице, трябва да обработва данните само по инструкции на администратора.

5.  Права на достъп, на поправка, на премахване и на несъгласие: както предвижда член 12 от Директива 95/46/ЕО, засегнатото лице трябва да има право на достъп до всички обработвани данни, които го засягат, и в краен случай да получава възможността за поправката им, за премахването им или поставянето им под ключ, когато е ясно, че тяхната обработка се извършва, без да се спазват принципите, установени в настоящото допълнение, и по-специално защото тези данни са непълни или неточни. Засегнатото лице трябва също да бъде в състояние да се противопостави на обработката на данните, които го засягат, по наложителни и законни причини, отнасящи се до личното му състояние.

6.  Ограничения за последващи трансфери: последващите трансфери на лични данни, осъществени от вносителя на данни към друг администратор, установен в трета страна, която не предоставя адекватно равнище на защита, или необхванати от решение на Комисията, прието в съответствие с член 25, параграф 6 от Директива 95/46/ЕО, могат да бъдат разрешавани само ако:

7.  Особени категории данни: когато се обработват данни, които разкриват расов или етнически произход, политически виждания, религиозни или философски убеждения, синдикална принадлежност, данни, свързани със здравето и половия живот и данни, свързани със закононарушения, наказателни присъди или мерки за сигурност, трябва да бъдат предвидени допълнителни мерки за защита по смисъла на Директива 95/46/ЕО, и по-специално пригодни мерки за сигурност като пристъпване към задълбочено криптиране за прехвърлянето или за разпределянето на достъпа до чувствителните данни.

8.  Директен маркетинг: когато данните са обработени за целите на директния маркетинг, трябва да са налице ефикасни процедури, позволяващи на засегнатото лице да се „противопостави“ на това засягащите го данни да бъдат използвани за тази цел в един или друг момент.

9.  Автоматизирани индивидуални решения: засегнатите лица имат правото да не бъдат подлагани на решение, взето единствено на базата на автоматизираната обработка на данните, освен ако не са взети други мерки за опазването на законните интереси на лицето, както предвижда член 15, параграф 2 от Директива 95/46/ЕО. Когато крайната цел на трансфера е взимането на автоматизирано решение по смисъла на член 15 от Директива 95/46/ЕО, който създава правен ефект по отношение на лицето или който го засяга по забележителен начин, и което решение е взето на базата единствено на автоматизираната обработка на данните, предназначена да оцени някои аспекти на неговата личност, като например неговата професионална ефективност, доверието в него, неговата надеждност, неговото поведение и т.н., лицето трябва да има правото да знае мотивите за това решение.

1.  Ограничаване на трансфери със специфична крайна цел: данните се обработват и използват или съобщават впоследствие само за специфичните крайни цели, посочени в допълнение 1 към настоящите клаузи. Те не трябва да бъдат съхранявани по-дълго от необходимото за целите, за които са трансферирани.

2.  Права на достъп, на поправка, на премахване и на несъгласие: както предвижда член 12 от Директива 95/46/ЕО, засегнатото лице трябва да има право на достъп до всички обработвани данни, които го засягат, и в краен случай да получават възможност за поправката им, за премахването им или поставянето им под ключ, когато е ясно, че тяхната обработка се извършва, без да се спазват принципите, установени в настоящото допълнение, и по-специално защото тези данни са непълни или неточни. Засегнатото лице трябва също да бъде в състояние да се противопостави на обработката на данните, които го засягат, по наложителни и законни причини, отнасящи се до личното му състояние.

3.  Ограничения за последващи трансфери: последващите трансфери на лични данни, осъществени от вносителя на данни към друго отговорно за обработката лице, установено в трета страна, непредоставяща адекватно равнище на защита, или извън приложното поле на решението на Комисията, прието в съответствие с член 25, параграф 6 от Директива 95/46/ЕО, могат да бъдат разрешавани само ако:

а) „лични данни“, „специални категории данни/чувствителни данни“, „обработване/обработка“, „контролиращ орган“, „обработващ орган“, „субект на данните“ и „надзорен орган/орган“ имат същото значение, каквото имат и в Директива 95/46/ЕО от 24 октомври 1995 г. (при което под „орган“ се разбира компетентният орган за защита на данните, на чиято територия е установен износителя на данни);

б) „износител на данни“ е лицето, отговарящо за обработката на данните, което прехвърля личните данни;

в) „вносител на данни“ е лицето, отговарящо за обработката на данните, което дава съгласието си да получава лични данни от износителя на данни за по-нататъшна обработка в съответствие с условията на тези клаузи и което не е субект на система на трета страна за осигуряване на съответната защита;

г) „клаузи“ означава онези договорни клаузи, които представляват отделен документ, който не включва търговски условия, учредени от страните в съответствие с отделни търговски споразумения.

а) Събиране, обработка и прехвърляне на личните данни в съответствие със законите, приложими по отношение на износителя на данни.

б) Прилагане на разумни усилия за определяне дали вносителят на данни е в състояние да изпълни своите правни задължения съгласно настоящите клаузи.

в) При поискване от страна на вносителя на данни — предоставяне на копия от съответните закони за защита на данните или позовавания на такива закони (когато е целесъобразно и не включва юридическа консултация) на страната, в която е разположено управлението на износителя на данни.

г) Отговор на запитвания от страна на субектите на данните и на органа относно обработката на личните данни от страна на вносителя на данни, освен ако страните са се договорили, че отговорът на такива запитвания ще се получава от вносителя на данни, в който случай износителят на данни отново е длъжен да даде отговор в разумната възможна степен и с помощта на информацията, с която разполага в разумни предели, ако вносителят на данни не желае или не е в състояние да даде отговор. Отговорите се дават в рамките на разумен срок от време.

д) При поискване – предоставяне на копие на клаузите на субектите на данните, които са бенефициери трети страни съгласно клауза III, освен ако в клаузите се съдържа конфиденциална информация, в който случай износителят може да отстрани такава информация. В случаите, в които информацията е отстранена, износителят на данни информира писмено субектите на данните относно причината за отстраняването и тяхното право да привлекат вниманието на органа към такова отстраняване. Все пак износителят на данни се подчинява на решението на органа относно достъпа до пълния текст на клаузите от страна на субектите на данните, доколкото субектите на данните са дали своето съгласие да спазват поверителността на отстранената конфиденциална информация. Износителят на данни, освен това, при поискване представя на органа копие от клаузите.

а) Прилагане на подходящи технически и организационни мерки за защита на личните данни срещу случайно или незаконно разрушаване или случайна загуба, промяна, неразрешено разкриване или достъп, които мерки са с доказано равнище на сигурност, съответстващо на риска, произтичащ от обработката и от характера на данните, подлежащи на защита.

б) Прилагане на процедури, в резултат от които всяка трета страна, която той упълномощи по отношение на достъпа до личните данни, в това число и лицата, осъществяващи обработката на личните данни, се задължава да спазва и поддържа поверителността на личните данни. Всяко лице, действащо по нареждане на вносителя на данни, в това число и лицата, осъществяващи обработката на личните данни, се задължава да обработва личните данни само по нареждане, получено от вносителя на данните. Тази разпоредба не се прилага по отношение на лицата, които са упълномощени или задължени чрез законова или подзаконова разпоредба да имат достъп до личните данни.

в) По времето на валидност на настоящите клаузи няма причини да счита, че съществуват някакви местни закони, които биха имали значителен обратен ефект върху гаранциите, предвидени съгласно настоящите клаузи, и ако узнае за всякакви такива закони, се задължава да информира износителя на данни (който при необходимост ще предаде на органа това уведомление).

г) Обработва личните данни за целите, описани в приложение Б, и има юридическите правомощия да даде гаранции и да изпълни задълженията си, произтичащи по силата на настоящите клаузи;

д) Посочва на износителя на данни контактна точка в рамките на своята организация, упълномощена да дава отговори на запитвания, свързани с обработката на данните, и сътрудничи добросъвестно с износителя на данни, субекта на данните и органа във връзка с всякакви такива запитвания в рамките на разумен срок от време. В случай на юридическо закриване на износителя на данни или в случай че страните са се договорили за това, вносителят на данни поема отговорността за спазване на разпоредбите на клауза I, буква д).

е) При поискване на износителя на данни – предоставя на износителя на данни доказателства за наличие на финансови ресурси, достатъчни, за да покрие своите задължения съгласно клауза III (където може да бъде включена и компенсация по застраховка).

ж) След обосновано искане от страна на износителя на данни – предоставя своите технически средства за обработка на данни, файловете си с данни и документацията си, необходими за обработка за преглеждане, ревизия и/или сертифициране от страна на износителя на данни (или независими или неутрални инспектори или одитори, подбрани от износителя на данни, срещу които вносителят на данни няма сериозни възражения), които да потвърдят спазването на гаранциите и задълженията, произтичащи съгласно настоящите клаузи, с изпращане на предизвестие и в рамките на редовното работно време. Искането подлежи на необходимото съгласие или одобрение от страна на регулаторния или надзорния орган от страната, на чиято територия е разположено управлението на вносителя на данни, което съгласие или одобрение вносителят на данни ще се опита да получи навреме.

з) Обработване на личните данни по собствен избор, в съответствие със:

и) Не разкрива, нито прехвърля личните данни на лице, отговарящо за обработката на данни, което е трета страна и управлението му е разположено извън Европейското икономическо пространство (ЕИП), освен ако не уведоми износителя на данни, и

а) Всяка страна отговаря за щети, причинени на останалите страни, възникнали заради нейно нарушение на настоящите клаузи. Взаимната отговорност между страните се ограничава до действително претърпени щети. Наказателните компенсации (т.е. компенсациите, чиято цел е наказание на страна за нейно виновно поведение) се изключват изрично. Всяка от страните отговаря пред субектите на данните за щети, които причини с нарушаване на правата на трета страна съгласно настоящите клаузи. Това не засяга отговорността на износителя на данни, която той носи съгласно закона за защита на данните.

б) Страните са съгласни, че даден субект на данните, като трета страна, която е бенефициер, има правото да задейства настоящата клауза, както и клауза I, букви б), г) и д), клауза II, букви а), в), г), д), з) и и), клауза III, буква а), клауза V, клауза VI, буква г) и клауза VII срещу вносителя на данни или износителя на данни за съответно нарушение на техните договорни задължения по отношение на неговите лични данни и с тази цел да приеме юрисдикцията на страната, в която е разположено управлението на износителя на данни. В случаите, в които са налице обвинения за нарушение, извършено от вносителя на данни, субектът на данните първо е длъжен да изиска от износителя на данни същият да предприеме съответните действия и да упражни своите права срещу износителя на данни; в случай че износителят на данни не предприеме такива действия в рамките на разумен срок от време (който при нормални обстоятелства е един месец), субектът на данните може да упражни своите права срещу износителя на данни пряко. Субектът на данните има право да процедира директно срещу износителя на данни, който не е положил разумни усилия за определяне, че вносителят на данни е в състояние да изпълни своите законни задължения, произтичащи от настоящите клаузи (износителят на данни поема тежестта да докаже, че е положил разумни усилия).

а) В случай на възникване на спор или на жалба, внесена от субекта на данните или от органа, и отнасяща се до обработката на лични данни, срещу едната страна или двете страни, страните взаимно се информират относно всякакви такива спорове или жалби и си сътрудничат с оглед навременното уреждане на същите в дух на разбирателство.

б) Страните са съгласни да реагират на всяка общовалидна незадължителна процедура по посредничество, започната от субекта на данните или от органа. Ако те вземат участие в процедурата, страните могат да предпочетат да участват в процедурата дистанционно (например, по телефона или с помощта на други електронни средства). Освен това страните се споразумяват да считат участието във всякакъв друг арбитраж, посредничество или друг вид процедури за разрешаване на спорове, разработени за целите на споровете по защита на данните.

в) Всяка от страните се подчинява на решението, взето от компетентен съд в страната, на чиято територия е разположено управлението на износителя на данни или на органа, което решение е окончателно и не подлежи на обжалване.

а) В случай че вносителят на данни е допуснал нарушение на своите задължения, произтичащи от настоящите клаузи, износителят на данни може временно да отмени прехвърлянето на лични данни към вносителя на данни, докато нарушението бъде коригирано или договорът бъде прекратен.

б) В случай че:

тогава износителят на данни, без да се засягат другите права, които той би могъл да има срещу вносителя на данни, има правото да прекрати прилагането на тези клаузи, в който случай бива информиран органът. В случаите, посочени в i), ii) или iv) по-горе, вносителят на данни също може да прекрати прилагането на настоящите клаузи.

в) Всяка от страните може да прекрати прилагането на настоящите клаузи, в случай че: i) е прието положително решение на Комисията относно съответствието на нивото съгласно член 25, параграф 6 от Директива 95/46/ЕО (или всеки заместващ текст) по отношение на дадена страна (или отрасъл на такава страна), в която вносителят на данни предава личните данни и в която тези данни се обработват; или ii) Директива 95/46/ЕО (или всеки заместващ текст) стане пряко приложима в тази страна.

г) Страните се споразумяват, че прекратяването на настоящите клаузи по всяко време, във всякакви обстоятелства и по каквато и да било причина (с изключение на прекратяване съгласно клауза VI, буква в) не ги освобождава от задълженията и/или условията съгласно клаузите, отнасящи се до обработката на прехвърлените лични данни.

1. Ограничения на целите: Личните данни могат да се обработват и впоследствие да се използват или да се предават по-нататък само за целите, описани в приложение Б, или впоследствие да се разрешат от субекта на данните.

2. Качество и пропорционалност на данните: Личните данни следва задължително да бъдат точни и там, където е необходимо, да се актуализират. Личните данни следва задължително да бъдат адекватни, да съответстват на действителността и да не са в повече по отношение на целите, за които се прехвърлят и преминават по-нататъшна обработка.

3. Прозрачност: На субектите на данните следва задължително да се обезпечава информацията, необходима за осигуряване на съвестна обработка (например, информация относно целите на обработката и прехвърлянето), освен ако такава информация е вече подадена от износителя на данни.

4. Сигурност и поверителност: Лицето, отговарящо за обработката на данните, е задължено да вземе технически и организационни предпазни мерки, които да съответстват на рисковете, например, риска от случайно или незаконно разрушаване или случайна загуба, подмяна, неразрешено разкриване или достъп, които са възможни по време на обработката. Всяко лице, действащо под ръководството на лицето, отговарящо за обработката на данните, включително лицето, осъществяващо обработката на данните, няма право да обработва данните, освен след нареждане от страна на лицето, отговарящо за обработката на данните.

5. Права на достъп, корекция, заличаване и възражения: Съгласно посоченото в член 12 от Директива 95/46/ЕО субектите на данните са длъжни, било пряко, било с посредничеството на трета страна, да разполагат с персоналната засягаща ги информация, която дадена организация съхранява, с изключение на искания, които по отношение на своята честота или брой, или повторяемост, или системност представляват явна злоупотреба, или за които не бива да се предоставя достъп съгласно закона на страната, на чиято територия е разположено управлението на износителя на данни. При условие че органът е дал своето предварително съгласие, не се предоставя достъп, когато предоставянето на такъв достъп би довело до вероятност от сериозно засягане на интересите на вносителя на данни или други организации, работещи с вносителя на данни, като такива интереси не се отменят от интереси, свързани с фундаменталните права и свободи на субекта на данните. Източниците на личните данни не е необходимо да се разкриват, когато такова разкриване не е възможно да се постигне с разумни усилия или в случаите, в които правата на лицата, различни от личните права, биха били нарушени. Субектите на данните трябва да имат възможността персоналната информация за тях да се коригира, поправи или заличи в случаите, в които тази персонална информация е неточна или е обработена в противоречие с тези принципи. Ако са налице неопровержими основания за съмнения в законността на искането, организацията може да поиска по-нататъшни аргументи, преди да пристъпи към поправка, корекция или заличаване. Не е необходимо да се изпраща уведомление за всяка поправка, корекция или заличаване до трети страни, на които данните са били разкрити, в случай че такова известие би изисквало непропорционално големи усилия. Даден субект на данните също така трябва да има възможност да възразява срещу обработката на личните данни, свързани с него, ако са налице неопровержими законни основания, свързани с неговата конкретна ситуация. Тежестта на доказателството при всеки отказ се поема от вносителя на данни, като при това субектът на данните може винаги да оспори даден отказ пред органа.

6. Чувствителни данни: Вносителят на данните предприема такива допълнителни мерки (например, свързани със сигурността), каквито са необходими с оглед защитата на такива чувствителни данни в съответствие с неговите задължения съгласно клауза II.

7. Данни, използвани за целите на маркетинга: В случаите, в които данните се обработват за целите на директния маркетинг, е необходимо да са налице ефективни процедури, позволяващи на субекта на данните да може по всяко време да „изтегли данните си“ от използване за такива цели.

8. Автоматизирани решения: За целите на настоящия документ под „автоматизирано решение“ се разбира решение, взето от износителя на данни или вносителя на данни, от което произтичат правни последици, засягащи даден субект на данни, или засягащи в значителна степен даден субект на данни, и което решение се основава единствено на автоматизираната обработка на лични данни, с която се цели оценка на определени лични аспекти, свързани със същия, например, неговата работоспособност, репутация, надеждност, поведение и т.н. Вносителят на данни не взима никакви автоматизирани решения, свързани със субектите на данните, освен в следните случаи: