а) се прилагат определенията, съдържащи се в Директива 95/46/ЕО;

б) „специални категории данни“ са данните, посочени в член 8 от въпросната директива;

в) „надзорни власти“ са властите, посочени в член 28 от съответната директива;

г) „износител на данни“ е администраторът, който трансферира личните данни;

д) „вносител на данни“ е администраторът, който се съгласява да получи от износителя данни от личен характер с оглед тяхната последваща обработка в съответствие с условията на настоящото решение.

1.  Ограничаване на трансферите със специфична крайна цел: данните се обработват и използват или съобщават впоследствие само за специфичните крайни цели, посочени в допълнение 1 към настоящите клаузи. Те не трябва да бъдат съхранявани по-дълго от необходимото за целите, за които са трансферирани.

2.  Качество и пропорционалност на данните: данните трябва да бъдат точни и при нужда актуализирани. Те трябва да бъдат адекватни, съществени и не излишно увеличени от гледна точка на крайните цели, на които е подчинен техният трансфер или тяхната последваща обработка.

3.  Прозрачност: назаинтересованите лица трябва да се предоставя информация за крайните цели на обработката и за самоличността на администратора в трета страна, както и друга информация в степен, в която те са необходими за осигуряването на законна обработка, освен ако тази информация са вече предоставени от износителя на данни.

4.  Сигурност и поверителност: администраторът трябва да вземе мерки за сигурност по отношение на техническия план и на организационно равнище, които са пригодни от гледна точка на представените от обработката рискове, като например неразрешен достъп. Всяко лице, действащо под разпореждането на администратора, включително обработващото данните лице, трябва да обработва данните само по инструкции на администратора.

5.  Права на достъп, на поправка, на премахване и на несъгласие: както предвижда член 12 от Директива 95/46/ЕО, засегнатото лице трябва да има право на достъп до всички обработвани данни, които го засягат, и в краен случай да получава възможността за поправката им, за премахването им или поставянето им под ключ, когато е ясно, че тяхната обработка се извършва, без да се спазват принципите, установени в настоящото допълнение, и по-специално защото тези данни са непълни или неточни. Засегнатото лице трябва също да бъде в състояние да се противопостави на обработката на данните, които го засягат, по наложителни и законни причини, отнасящи се до личното му състояние.

6.  Ограничения за последващи трансфери: последващите трансфери на лични данни, осъществени от вносителя на данни към друг администратор, установен в трета страна, която не предоставя адекватно равнище на защита, или необхванати от решение на Комисията, прието в съответствие с член 25, параграф 6 от Директива 95/46/ЕО, могат да бъдат разрешавани само ако:

а) заинтересованите лица, в случай на специални категории данни, са приели без съмнение последващия трансфер, или в другите случаи — възможността да му се противопоставят.

— целите на последващия трансфер,

— самоличността на износителя на данни, установен в Общността,

— категориите на последващи адресати на данните и страните на получаване, и

— забележка, поясняваща че след последващия трансфер данните могат да бъдат обработвани от администратора, установен в страна, която не предоставя пригодно равнище на защита на личния живот на хората, или

б) износителят и вносителят на данни се споразумяват относно спазването на клаузите на друг администратор, който става страна по клаузите и поема същите задължения като вносителя на данни.

7.  Особени категории данни: когато се обработват данни, които разкриват расов или етнически произход, политически виждания, религиозни или философски убеждения, синдикална принадлежност, данни, свързани със здравето и половия живот и данни, свързани със закононарушения, наказателни присъди или мерки за сигурност, трябва да бъдат предвидени допълнителни мерки за защита по смисъла на Директива 95/46/ЕО, и по-специално пригодни мерки за сигурност като пристъпване към задълбочено криптиране за прехвърлянето или за разпределянето на достъпа до чувствителните данни.

8.  Директен маркетинг: когато данните са обработени за целите на директния маркетинг, трябва да са налице ефикасни процедури, позволяващи на засегнатото лице да се „противопостави“ на това засягащите го данни да бъдат използвани за тази цел в един или друг момент.

9.  Автоматизирани индивидуални решения: засегнатите лица имат правото да не бъдат подлагани на решение, взето единствено на базата на автоматизираната обработка на данните, освен ако не са взети други мерки за опазването на законните интереси на лицето, както предвижда член 15, параграф 2 от Директива 95/46/ЕО. Когато крайната цел на трансфера е взимането на автоматизирано решение по смисъла на член 15 от Директива 95/46/ЕО, който създава правен ефект по отношение на лицето или който го засяга по забележителен начин, и което решение е взето на базата единствено на автоматизираната обработка на данните, предназначена да оцени някои аспекти на неговата личност, като например неговата професионална ефективност, доверието в него, неговата надеждност, неговото поведение и т.н., лицето трябва да има правото да знае мотивите за това решение.

1.  Ограничаване на трансфери със специфична крайна цел: данните се обработват и използват или съобщават впоследствие само за специфичните крайни цели, посочени в допълнение 1 към настоящите клаузи. Те не трябва да бъдат съхранявани по-дълго от необходимото за целите, за които са трансферирани.

2.  Права на достъп, на поправка, на премахване и на несъгласие: както предвижда член 12 от Директива 95/46/ЕО, засегнатото лице трябва да има право на достъп до всички обработвани данни, които го засягат, и в краен случай да получават възможност за поправката им, за премахването им или поставянето им под ключ, когато е ясно, че тяхната обработка се извършва, без да се спазват принципите, установени в настоящото допълнение, и по-специално защото тези данни са непълни или неточни. Засегнатото лице трябва също да бъде в състояние да се противопостави на обработката на данните, които го засягат, по наложителни и законни причини, отнасящи се до личното му състояние.

3.  Ограничения за последващи трансфери: последващите трансфери на лични данни, осъществени от вносителя на данни към друго отговорно за обработката лице, установено в трета страна, непредоставяща адекватно равнище на защита, или извън приложното поле на решението на Комисията, прието в съответствие с член 25, параграф 6 от Директива 95/46/ЕО, могат да бъдат разрешавани само ако:

а) в случай на специални категории данни засегнатите лица са приели без съмнение последващия трансфер, или в другите случаи — възможността да му се противопоставят.

— целите на последващия трансфер,

— самоличността на износителя на данни, установен в Общността,

— категориите на последващи адресати на данните и страните на получаване, и

— забележка, поясняваща че след последващия трансфер данните могат да бъдат обработвани от администратор, установен в страна, която не предоставя пригодно равнище на защита на личния живот на хората, или

б) износителят и вносителят на данни се споразумяват относно спазването на клаузите на друг администратор, който става страна по клаузите и поема същите задължения като вносителя на данни.

а) „лични данни“, „специални категории данни/чувствителни данни“, „обработване/обработка“, „контролиращ орган“, „обработващ орган“, „субект на данните“ и „надзорен орган/орган“ имат същото значение, каквото имат и в Директива 95/46/ЕО от 24 октомври 1995 г. (при което под „орган“ се разбира компетентният орган за защита на данните, на чиято територия е установен износителя на данни);

б) „износител на данни“ е лицето, отговарящо за обработката на данните, което прехвърля личните данни;

в) „вносител на данни“ е лицето, отговарящо за обработката на данните, което дава съгласието си да получава лични данни от износителя на данни за по-нататъшна обработка в съответствие с условията на тези клаузи и което не е субект на система на трета страна за осигуряване на съответната защита;

г) „клаузи“ означава онези договорни клаузи, които представляват отделен документ, който не включва търговски условия, учредени от страните в съответствие с отделни търговски споразумения.

а) Събиране, обработка и прехвърляне на личните данни в съответствие със законите, приложими по отношение на износителя на данни.

б) Прилагане на разумни усилия за определяне дали вносителят на данни е в състояние да изпълни своите правни задължения съгласно настоящите клаузи.

в) При поискване от страна на вносителя на данни — предоставяне на копия от съответните закони за защита на данните или позовавания на такива закони (когато е целесъобразно и не включва юридическа консултация) на страната, в която е разположено управлението на износителя на данни.

г) Отговор на запитвания от страна на субектите на данните и на органа относно обработката на личните данни от страна на вносителя на данни, освен ако страните са се договорили, че отговорът на такива запитвания ще се получава от вносителя на данни, в който случай износителят на данни отново е длъжен да даде отговор в разумната възможна степен и с помощта на информацията, с която разполага в разумни предели, ако вносителят на данни не желае или не е в състояние да даде отговор. Отговорите се дават в рамките на разумен срок от време.

д) При поискване – предоставяне на копие на клаузите на субектите на данните, които са бенефициери трети страни съгласно клауза III, освен ако в клаузите се съдържа конфиденциална информация, в който случай износителят може да отстрани такава информация. В случаите, в които информацията е отстранена, износителят на данни информира писмено субектите на данните относно причината за отстраняването и тяхното право да привлекат вниманието на органа към такова отстраняване. Все пак износителят на данни се подчинява на решението на органа относно достъпа до пълния текст на клаузите от страна на субектите на данните, доколкото субектите на данните са дали своето съгласие да спазват поверителността на отстранената конфиденциална информация. Износителят на данни, освен това, при поискване представя на органа копие от клаузите.

а) Прилагане на подходящи технически и организационни мерки за защита на личните данни срещу случайно или незаконно разрушаване или случайна загуба, промяна, неразрешено разкриване или достъп, които мерки са с доказано равнище на сигурност, съответстващо на риска, произтичащ от обработката и от характера на данните, подлежащи на защита.

б) Прилагане на процедури, в резултат от които всяка трета страна, която той упълномощи по отношение на достъпа до личните данни, в това число и лицата, осъществяващи обработката на личните данни, се задължава да спазва и поддържа поверителността на личните данни. Всяко лице, действащо по нареждане на вносителя на данни, в това число и лицата, осъществяващи обработката на личните данни, се задължава да обработва личните данни само по нареждане, получено от вносителя на данните. Тази разпоредба не се прилага по отношение на лицата, които са упълномощени или задължени чрез законова или подзаконова разпоредба да имат достъп до личните данни.

в) По времето на валидност на настоящите клаузи няма причини да счита, че съществуват някакви местни закони, които биха имали значителен обратен ефект върху гаранциите, предвидени съгласно настоящите клаузи, и ако узнае за всякакви такива закони, се задължава да информира износителя на данни (който при необходимост ще предаде на органа това уведомление).

г) Обработва личните данни за целите, описани в приложение Б, и има юридическите правомощия да даде гаранции и да изпълни задълженията си, произтичащи по силата на настоящите клаузи;

д) Посочва на износителя на данни контактна точка в рамките на своята организация, упълномощена да дава отговори на запитвания, свързани с обработката на данните, и сътрудничи добросъвестно с износителя на данни, субекта на данните и органа във връзка с всякакви такива запитвания в рамките на разумен срок от време. В случай на юридическо закриване на износителя на данни или в случай че страните са се договорили за това, вносителят на данни поема отговорността за спазване на разпоредбите на клауза I, буква д).

е) При поискване на износителя на данни – предоставя на износителя на данни доказателства за наличие на финансови ресурси, достатъчни, за да покрие своите задължения съгласно клауза III (където може да бъде включена и компенсация по застраховка).

ж) След обосновано искане от страна на износителя на данни – предоставя своите технически средства за обработка на данни, файловете си с данни и документацията си, необходими за обработка за преглеждане, ревизия и/или сертифициране от страна на износителя на данни (или независими или неутрални инспектори или одитори, подбрани от износителя на данни, срещу които вносителят на данни няма сериозни възражения), които да потвърдят спазването на гаранциите и задълженията, произтичащи съгласно настоящите клаузи, с изпращане на предизвестие и в рамките на редовното работно време. Искането подлежи на необходимото съгласие или одобрение от страна на регулаторния или надзорния орган от страната, на чиято територия е разположено управлението на вносителя на данни, което съгласие или одобрение вносителят на данни ще се опита да получи навреме.

з) Обработване на личните данни по собствен избор, в съответствие със:

i) законите за защита на данните в страната, на чиято територия е разположено управлението на износителя на данни, или

ii) релевантните разпоредби ( 1 ) от всяко решение на Комисията съгласно член 25, параграф 6 от Директива 95/46/ЕО, доколкото вносителят на данни изпълнява съответните разпоредби на такова разрешение или решение и адресът на управлението му е разположен на територията на страна, към която се отнася такова разрешение или решение, но не е обхваната от такова разрешение или решение що се отнася до целите на прехвърлянето/ията на лични данни ( 2 ), или

iii) принципите за обработка на данни, формулирани в приложение А.

и) Не разкрива, нито прехвърля личните данни на лице, отговарящо за обработката на данни, което е трета страна и управлението му е разположено извън Европейското икономическо пространство (ЕИП), освен ако не уведоми износителя на данни, и

i) лицето, отговарящо за обработката на данни, което е трета страна, обработва личните данни в съответствие с решението на Комисията при положение че констатира, че дадена трета страна обезпечава достатъчна защита, или

ii) лицето, отговарящо за обработката на данни, което е трета страна, стане страна, подписала настоящите клаузи или друго споразумение за прехвърляне на данни, одобрено от компетентен орган в ЕС, или

iii) субектите на данните са получили възможност да отправят възражение, след като са били информирани относно целите на прехвърлянето, категориите получатели и факта, че страните, в които се изнасят данните, е възможно да поддържат различни норми за защита на личните данни, или

iv) с оглед по-нататъшните прехвърляния на чувствителни данни, субектите на данните са дали своето недвусмислено съгласие за по-нататъшно прехвърляне.

а) Всяка страна отговаря за щети, причинени на останалите страни, възникнали заради нейно нарушение на настоящите клаузи. Взаимната отговорност между страните се ограничава до действително претърпени щети. Наказателните компенсации (т.е. компенсациите, чиято цел е наказание на страна за нейно виновно поведение) се изключват изрично. Всяка от страните отговаря пред субектите на данните за щети, които причини с нарушаване на правата на трета страна съгласно настоящите клаузи. Това не засяга отговорността на износителя на данни, която той носи съгласно закона за защита на данните.

б) Страните са съгласни, че даден субект на данните, като трета страна, която е бенефициер, има правото да задейства настоящата клауза, както и клауза I, букви б), г) и д), клауза II, букви а), в), г), д), з) и и), клауза III, буква а), клауза V, клауза VI, буква г) и клауза VII срещу вносителя на данни или износителя на данни за съответно нарушение на техните договорни задължения по отношение на неговите лични данни и с тази цел да приеме юрисдикцията на страната, в която е разположено управлението на износителя на данни. В случаите, в които са налице обвинения за нарушение, извършено от вносителя на данни, субектът на данните първо е длъжен да изиска от износителя на данни същият да предприеме съответните действия и да упражни своите права срещу износителя на данни; в случай че износителят на данни не предприеме такива действия в рамките на разумен срок от време (който при нормални обстоятелства е един месец), субектът на данните може да упражни своите права срещу износителя на данни пряко. Субектът на данните има право да процедира директно срещу износителя на данни, който не е положил разумни усилия за определяне, че вносителят на данни е в състояние да изпълни своите законни задължения, произтичащи от настоящите клаузи (износителят на данни поема тежестта да докаже, че е положил разумни усилия).

а) В случай на възникване на спор или на жалба, внесена от субекта на данните или от органа, и отнасяща се до обработката на лични данни, срещу едната страна или двете страни, страните взаимно се информират относно всякакви такива спорове или жалби и си сътрудничат с оглед навременното уреждане на същите в дух на разбирателство.

б) Страните са съгласни да реагират на всяка общовалидна незадължителна процедура по посредничество, започната от субекта на данните или от органа. Ако те вземат участие в процедурата, страните могат да предпочетат да участват в процедурата дистанционно (например, по телефона или с помощта на други електронни средства). Освен това страните се споразумяват да считат участието във всякакъв друг арбитраж, посредничество или друг вид процедури за разрешаване на спорове, разработени за целите на споровете по защита на данните.

в) Всяка от страните се подчинява на решението, взето от компетентен съд в страната, на чиято територия е разположено управлението на износителя на данни или на органа, което решение е окончателно и не подлежи на обжалване.

а) В случай че вносителят на данни е допуснал нарушение на своите задължения, произтичащи от настоящите клаузи, износителят на данни може временно да отмени прехвърлянето на лични данни към вносителя на данни, докато нарушението бъде коригирано или договорът бъде прекратен.

б) В случай че:

i) прехвърлянето на лични данни към вносителя на данни е временно отменено от износителя на данни за повече от един месец съгласно буква а);

ii) спазването на настоящите клаузи от страна на вносителя на данни би го поставило в положение на нарушение на законовите или подзаконовите задължения в страната на вноса;

iii) вносителят на данни се намира в положение на значително или продължително нарушение на някакви гаранции или задължения, поети от него съгласно настоящите клаузи;

iv) съгласно окончателно решение, което не подлежи на обжалване, взето от компетентен съд на страната, на чиято територия е разположено управлението на износителя на данни или на органа, е постановено, че е допуснато нарушение на клаузите от страна или на вносителя на данни, или на износителя на данни; или

v) е представена молба за прилагане на административни мерки или ликвидация на вносителя на данни било в лично качество, или в служебно качество, която молба не е отхвърлена в течение на приложимия срок за такова отхвърляне съгласно приложимия закон; съставена е заповед за ликвидация; определен е разпоредител за някаква част от неговите активи; определен е попечител в случай на банкрут, ако вносителят на данни е физическо лице; започната е доброволна процедура за разпореждане с активите от страна на вносителя на данни; или възникне някакво равносилно събитие под някаква юрисдикция,

в) Всяка от страните може да прекрати прилагането на настоящите клаузи, в случай че: i) е прието положително решение на Комисията относно съответствието на нивото съгласно член 25, параграф 6 от Директива 95/46/ЕО (или всеки заместващ текст) по отношение на дадена страна (или отрасъл на такава страна), в която вносителят на данни предава личните данни и в която тези данни се обработват; или ii) Директива 95/46/ЕО (или всеки заместващ текст) стане пряко приложима в тази страна.

г) Страните се споразумяват, че прекратяването на настоящите клаузи по всяко време, във всякакви обстоятелства и по каквато и да било причина (с изключение на прекратяване съгласно клауза VI, буква в) не ги освобождава от задълженията и/или условията съгласно клаузите, отнасящи се до обработката на прехвърлените лични данни.

1. Ограничения на целите: Личните данни могат да се обработват и впоследствие да се използват или да се предават по-нататък само за целите, описани в приложение Б, или впоследствие да се разрешат от субекта на данните.

2. Качество и пропорционалност на данните: Личните данни следва задължително да бъдат точни и там, където е необходимо, да се актуализират. Личните данни следва задължително да бъдат адекватни, да съответстват на действителността и да не са в повече по отношение на целите, за които се прехвърлят и преминават по-нататъшна обработка.

3. Прозрачност: На субектите на данните следва задължително да се обезпечава информацията, необходима за осигуряване на съвестна обработка (например, информация относно целите на обработката и прехвърлянето), освен ако такава информация е вече подадена от износителя на данни.

4. Сигурност и поверителност: Лицето, отговарящо за обработката на данните, е задължено да вземе технически и организационни предпазни мерки, които да съответстват на рисковете, например, риска от случайно или незаконно разрушаване или случайна загуба, подмяна, неразрешено разкриване или достъп, които са възможни по време на обработката. Всяко лице, действащо под ръководството на лицето, отговарящо за обработката на данните, включително лицето, осъществяващо обработката на данните, няма право да обработва данните, освен след нареждане от страна на лицето, отговарящо за обработката на данните.

5. Права на достъп, корекция, заличаване и възражения: Съгласно посоченото в член 12 от Директива 95/46/ЕО субектите на данните са длъжни, било пряко, било с посредничеството на трета страна, да разполагат с персоналната засягаща ги информация, която дадена организация съхранява, с изключение на искания, които по отношение на своята честота или брой, или повторяемост, или системност представляват явна злоупотреба, или за които не бива да се предоставя достъп съгласно закона на страната, на чиято територия е разположено управлението на износителя на данни. При условие че органът е дал своето предварително съгласие, не се предоставя достъп, когато предоставянето на такъв достъп би довело до вероятност от сериозно засягане на интересите на вносителя на данни или други организации, работещи с вносителя на данни, като такива интереси не се отменят от интереси, свързани с фундаменталните права и свободи на субекта на данните. Източниците на личните данни не е необходимо да се разкриват, когато такова разкриване не е възможно да се постигне с разумни усилия или в случаите, в които правата на лицата, различни от личните права, биха били нарушени. Субектите на данните трябва да имат възможността персоналната информация за тях да се коригира, поправи или заличи в случаите, в които тази персонална информация е неточна или е обработена в противоречие с тези принципи. Ако са налице неопровержими основания за съмнения в законността на искането, организацията може да поиска по-нататъшни аргументи, преди да пристъпи към поправка, корекция или заличаване. Не е необходимо да се изпраща уведомление за всяка поправка, корекция или заличаване до трети страни, на които данните са били разкрити, в случай че такова известие би изисквало непропорционално големи усилия. Даден субект на данните също така трябва да има възможност да възразява срещу обработката на личните данни, свързани с него, ако са налице неопровержими законни основания, свързани с неговата конкретна ситуация. Тежестта на доказателството при всеки отказ се поема от вносителя на данни, като при това субектът на данните може винаги да оспори даден отказ пред органа.

6. Чувствителни данни: Вносителят на данните предприема такива допълнителни мерки (например, свързани със сигурността), каквито са необходими с оглед защитата на такива чувствителни данни в съответствие с неговите задължения съгласно клауза II.

7. Данни, използвани за целите на маркетинга: В случаите, в които данните се обработват за целите на директния маркетинг, е необходимо да са налице ефективни процедури, позволяващи на субекта на данните да може по всяко време да „изтегли данните си“ от използване за такива цели.

8. Автоматизирани решения: За целите на настоящия документ под „автоматизирано решение“ се разбира решение, взето от износителя на данни или вносителя на данни, от което произтичат правни последици, засягащи даден субект на данни, или засягащи в значителна степен даден субект на данни, и което решение се основава единствено на автоматизираната обработка на лични данни, с която се цели оценка на определени лични аспекти, свързани със същия, например, неговата работоспособност, репутация, надеждност, поведение и т.н. Вносителят на данни не взима никакви автоматизирани решения, свързани със субектите на данните, освен в следните случаи:

а)

 

б) когато правото на страната на износителя на данни предвижда друго.