EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 02001D0497-20050401
Commission Decision of 15 June 2001 on standard contractual clauses for the transfer of personal data to third countries, under Directive 95/46/EC (notified under document number C(2001) 1539) (Text with EEA relevance) (2001/497/EC)
Consolidated text: Απόφαση της Επιτροπής της 15ης Ιουνίου 2001 σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες δυνάμει του άρθρου 26 παράγραφος 4 της οδηγίας 95/46/ΕΚ [κοινοποιηθείσα υπό τον αριθμό Ε(2001) 1539] (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ) (2001/497/ΕΚ)
Απόφαση της Επιτροπής της 15ης Ιουνίου 2001 σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες δυνάμει του άρθρου 26 παράγραφος 4 της οδηγίας 95/46/ΕΚ [κοινοποιηθείσα υπό τον αριθμό Ε(2001) 1539] (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ) (2001/497/ΕΚ)
- Date of document:
- 01/04/2005
- Date of effect:
- 01/04/2005
- Author:
- Not available
- Form:
- Ενοποιημένο κείμενο
- Additional information:
- LASTMODIN 32004D0915
- Link
- Link
- Link
- Select all documents mentioning this document
- Consolidation: basic act:
- 32001D0497
2001D0497 — EL — 01.04.2005 — 001.001
Το έγγραφο αυτό συνιστά βοήθημα τεκμηρίωσης και δεν δεσμεύει τα κοινοτικά όργανα
|
ΑΠΌΦΑΣΗ ΤΗΣ ΕΠΙΤΡΟΠΉΣ της 15ης Ιουνίου 2001 σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες δυνάμει του άρθρου 26 παράγραφος 4 της οδηγίας 95/46/ΕΚ [κοινοποιηθείσα υπό τον αριθμό Ε(2001) 1539] (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ) (ΕΕ L 181, 4.7.2001, p.19) |
Τροποποιείται από:
|
|
|
Επίσημη Εφημερίδα |
||
|
No |
page |
date |
||
|
L 385 |
74 |
29.12.2004 |
||
ΑΠΌΦΑΣΗ ΤΗΣ ΕΠΙΤΡΟΠΉΣ
της 15ης Ιουνίου 2001
σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες δυνάμει του άρθρου 26 παράγραφος 4 της οδηγίας 95/46/ΕΚ
[κοινοποιηθείσα υπό τον αριθμό Ε(2001) 1539]
(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)
(2001/497/ΕΚ)
Η ΕΠΙΤΡΟΠΗ ΤΩΝ ΕΥΡΩΠΑΪΚΩΝ ΚΟΙΝΟΤΗΤΩΝ,
Έχοντας υπόψη:τη συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας,
την οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών ( 1 ), και ιδίως το άρθρο 26 παράγραφος 4,
Εκτιμώντας τα ακόλουθα:|
(1) |
Δυνάμει της οδηγίας 95/46/ΕΚ, απαιτείται από τα κράτη μέλη να προβλέπουν ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα επιτρέπεται μόνον εάν η εν λόγω τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας των δεδομένων και οι νόμοι των κρατών μελών που συνάδουν με τις λοιπές διατάξεις της εν λόγω οδηγίας έχουν τηρηθεί πριν από τη διαβίβαση. |
|
(2) |
Ωστόσο, το άρθρο 26 παράγραφος 2 της οδηγίας 95/46/ΕΚ ορίζει ότι τα κράτη μέλη μπορούν να επιτρέπουν, τηρουμένων ορισμένων εγγυήσεων, μία ή πλείονες διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα η οποία δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας, Οι εν λόγω εγγυήσεις μπορούν ιδίως να απορρέουν από κατάλληλες συμβατικές ρήτρες. |
|
(3) |
Σύμφωνα με την οδηγία 95/46/ΕΚ, το επίπεδο προστασίας των δεδομένων πρέπει να σταθμίζεται και να αξιολογείται λαμβανομένων υπόψη όλων των περιστάσεων που επηρεάζουν μια διαβίβαση ή κατηγορία διαβιβάσεων δεδομένων. Η ομάδα εργασίας για την προστασία των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, που συστάθηκε βάσει της εν λόγω οδηγίας ( 2 ), έχει εκδώσει κατευθυντήριες γραμμές προκειμένου να διευκολύνει την αξιολόγιση αυτή ( 3 ). |
|
(4) |
Το άρθρο 26 παράγραφος 2 της οδηγίας 95/46/ΕΚ, το οποίο προσφέρει ευελιξία σε ένα φορέα που επιθυμεί να διαβιβάσει δεδομένα σε τρίτες χώρες, και το άρθρο 26 παράγραφος 4 που προβλέπει τις τυποποιημένες συμβατικές ρήτρες, έχουν ουσιώδη σημασία για τη διατήρηση της αναγκαίας ροής δεδομένου προσωπικού χαρακτήρα μεταξύ της Κοινότητας και των τρίτων χωρών, χωρίς να επιβαρύνονται αδικαιολόγητα οι οικονομικοί φορείς. Τα άρθρα αυτά είναι ιδιαιτέρως σημαντικά ενόψει του γεγονότος ότι η Επιτροπή είναι απίθανο να προβεί βραχυπρόθεσμα ή ακόμη και μεσοπρόθεσμα σε διαπιστώσεις για ικανοποιητικό επίπεδο προστασίας δυνάμει του άρθρου 25 παράγραφος 6, παρά μόνο για περιορισμένο αριθμό χωρών. |
|
(5) |
Οι εν λόγω τυποποιημένες συμβατικές ρήτρες είναι μόνο μία από τις διάφορες δυνατότητες που προβλέπονται από την οδηγία 95/46/ΕΚ για τη νόμιμη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα, μαζί με τα άρθρα 25 και 26 παράγραφοι 1 και 2, και θα καταστήσουν πολύ ευκολότερη για τους διάφορους φορείς τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες μέσω της ενσωμάτωσης των τυποποιημένων συμβατικών ρητρών σε μια σύμβαση. Οι τυποποιημένες συμβατικές ρήτρες αφορούν μόνο την προστασία των δεδομένων. Ο εξαγωγέας των δεδομένων και ο εισαγωγέας των δεδομένων είναι ελεύθεροι να συμπεριλάβουν οποιεσδήποτε άλλες ρήτρες για επιχειρηματικά ζητήματα τις οποίες θεωρούν κατάλληλες για τη σύμβαση, όπως ρήτρες για αμοιβαία συνδρομή σε περίπτωση διαφορών με πρόσωπο στο οποίο αναφέρονται τα δεδομένα ή με αρχή ελέγχου, εφόσον οι ρήτρες αυτές δεν αντιφάσκουν με τις τυποποιημένες συμβατικές ρήτρες. |
|
(6) |
Η παρούσα απόφαση δεν πρέπει να θίγει τις εθνικές άδειες που δύνανται να χορηγούν τα κράτη μέλη σύμφωνα με εθνικές διατάξεις εφαρμογής του άρθρου 26 παράγραφος 2 της οδηγίας 95/46/ΕΚ. Οι περιστάσεις ειδικών διαβιβάσεων ενδέχεται να απαιτούν από τους υπεύθυνους επεξεργασίας των δεδομένων να παρέχουν διάφορες εγγυήσεις κατά την έννοια του άρθρου 26 παράγραφος 2. Εν πάση περιπτώσει, μόνη συνέπεια της παρούσας απόφασης είναι ότι απαιτεί από τα κράτη μέλη να μην αρνούνται να αναγνωρίζουν ότι οι τυποποιημένες συμβατικές ρήτρες που περιγράφονται σ' αυτήν παρέχουν επαρκείς εγγυήσεις και, επομένως, δεν έχει καμία συνέπεια σε τυχόν άλλες συμβατικές ρήτρες. |
|
(7) |
Το πεδίο εφαρμογής της παρούσας απόφασης περιορίζεται στη διαπίστωση ότι οι ρήτρες του παραρτήματος μπορούν να χρησιμοποιηθούν από έναν υπεύθυνο επεξεργασίας που είναι εγκατεστημένος στην Κοινότητα προκειμένου να υπάρξουν επαρκείς εγγυήσεις κατά την έννοια του άρθρου 26 παράγραφος 2 της οδηγίας 95/46/ΕΚ. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες είναι μια πράξη επεξεργασίας που πραγματοποιείται σε κράτος μέλος, η νομιμότητα της οποίας υπόκειται στο εθνικό δίκαιο. Οι αρχές ελέγχου των κρατών μελών που είναι αρμόδιες για την προστασία των δεδομένων, κατά την άσκηση των καθηκόντων και εξουσιών τους βάσει του άρθρου 28 της οδηγίας 95/46/ΕΚ, πρέπει να παραμένουν αρμόδιες να αξιολογούν το κατά πόσον ο εξαγωγέας των δεδομένων συμμορφώθηκε με την εθνική νομοθεσία εφαρμογής των διατάξεων της οδηγίας 95/46/ΕΚ, και, ιδίως, με κάθε ειδικό κανόνα που αφορά την υποχρέωση παροχής πληροφοριών δυνάμει της εν λόγω οδηγίας. |
|
(8) |
Η παρούσα απόφαση δεν καλύπτει τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από υπεύθυνους επεξεργασίας εγκατεστημένους στην Κοινότητα σε αποδέκτες εγκατεστημένους εκτός του εδάφους της Κοινότητας οι οποίοι ενεργούν απλώς ως εκτελούντες επεξεργασία. Αυτές οι διαβιβάσεις δεν απαιτούν τις ίδιες εγγυήσεις, διότι ο εκτελών την επεξεργασία ενεργεί αποκλειστικά για λογαριασμό του υπεύθυνου επεξεργασίας. Η Επιτροπή προτίθεται να ασχοληθεί με τις διαβιβάσεις αυτού του είδους σε άλλη απόφαση. |
|
(9) |
Πρέπει να θεσπιστούν τα ελάχιστα πληροφοριακά στοιχεία τα οποία πρέπει να διευκρινίζουν τα συμβαλλόμενα μέρη στη σύμβαση διαβίβασης. Τα κράτη μέλη διατηρούν το δικαίωμα να εξειδικεύουν τις πληροφορίες που πρέπει να παρέχουν τα συμβαλλόμενα μέρη. Η λειτουργία της παρούσας απόφασης θα επανεξεταστεί υπό το φως της πείρας που θα αποκτηθεί από την εφαρμογή της. |
|
(10) |
Η Επιτροπή θα εξετάσει επίσης στο μέλλον αν και κατά πόσον τυποποιημένες συμβατικές ρήτρες που υποβάλλονται από επιχειρηματικές οργανώσεις ή άλλα ενδιαφερόμενα μέρη παρέχουν επαρκείς εγγυήσεις, σύμφωνα με την οδηγία 95/46/ΕΚ. |
|
(11) |
Τα μέρη πρέπει να είναι, κατ' αρχήν, ελεύθερα να συμφωνούν επί των ουσιαστικών κανόνων για την προστασία των δεδομένων προς τους οποίους πρέπει να συμμορφώνεται ο εισαγωγέας των δεδομένων, σε κάθε περίπτωση, όμως, πρέπει να εφαρμόζονται ορισμένες αρχές προστασίας των δεδομένων. |
|
(12) |
Τα δεδομένα πρέπει να τυγχάνουν επεξεργασίας και ακολούθως να χρησιμοποιούνται μόνο για συγκεκριμένους σκοπούς και δεν πρέπει να διατηρούνται μεγαλύτερο διάστημα από ότι είναι αναγκαίο. |
|
(13) |
Σύμφωνα με το άρθρο 12 της οδηγίας 95/46/ΕΚ το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να έχει δικαίωμα πρόσβασης σε όλα τα δεδομένα που το αφορούν και όπου χρειάζεται, διόρθωσης, διαγραφής ή κλειδώματος ορισμένων δεδομένων. |
|
(14) |
Περαιτέρω διαβίβαση προσωπικών δεδομένων σε άλλον υπεύθυνο της επεξεργασίας εγκατεστημένο σε τρίτη χώρα πρέπει να επιτρέπεται μόνον αν τηρούνται ορισμένες προϋποθέσεις, ιδίως για να εξασφαλίζεται ότι τα πρόσωπα στα οποία αφορούν τα δεδομένα έχουν ενημερωθεί κατάλληλα και τους δόθηκε η ευκαιρία να προβάλλουν αντιρρήσεις, ή, σε ορισμένες περιπτώσεις, να επιφυλαχτούν ως προς τη συγκατάθεσή τους. |
|
(15) |
Πέραν της αξιολόγησης του κατά πόσον οι διαβιβάσεις σε τρίτες χώρες συνάδουν με το εθνικό δίκαιο, οι αρχές ελέγχου πρέπει να διαδραματίζουν επίσης καθοριστικό ρόλο στο πλαίσιο αυτού του συμβατικού μηχανισμού διασφαλίζοντας ότι τα δεδομένα προσωπικού χαρακτήρα προστατεύονται επαρκώς μετά τη διαβίβαση. Σε ειδικές περιστάσεις οι αρχές ελέγχου των κρατών μελών πρέπει να διατηρούν το δικαίωμα να απαγορεύουν ή να αναστέλλουν μια διαβίβαση ή μια κατηγορία διαβιβάσεων δεδομένων που βασίζεται σε τυποποιημένες συμβατικές ρήτρες στις εξαιρετικές περιπτώσεις στις οποίες αποδεικνύεται ότι μια διαβίβαση που πραγματοποιείται σε συμβατική βάση ενδέχεται να έχει σημαντικό αρνητικό αντίκτυπο στις εγγυήσεις που παρέχουν ικανοποιητική προστασία στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα. |
|
(16) |
Την εκτέλεση των τυποποιημένων συμβατικών ρητρών πρέπει να μπορούν να επικαλούνται όχι μόνο οι φορείς που είναι συμβαλλόμενα μέρη, αλλά και τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, ιδίως όταν τα πρόσωπα αυτά υφίστανται ζημία συνεπεία παραβίασης της σύμβασης. |
|
(17) |
Το δίκαιο που διέπει τη σύμβαση πρέπει να είναι το δίκαιο κράτους μέλους στο οποίο είναι εγκατεστημένος ο εξαγωγέας των δεδομένων που επιτρέπει σε δικαιούχο τρίτο να επιβάλλει την εκτέλεση της σύμβασης. Τα πρόσωπα στα οποία αναφέρονται τα δεδομένα μπορούν να εκπροσωπούνται από ενώσεις ή άλλους φορείς αν το επιθυμούν και εφόσον το επιτρέπει το εθνικό δίκαιο. |
|
(18) |
Για να μειωθούν οι δυσχέρειες πρακτικού χαρακτήρα τις οποίες ενδέχεται να αντιμετωπίσουν τα πρόσωπα στα οποία αναφέρονται τα δεδομένα όταν προσπαθούν να διεκδικήσουν τα δικαιώματά τους βάσει αυτών των τυποποιημένων συμβατικών ρητρών, ο εξαγωγέας των δεδομένων και ο εισαγωγέας των δεδομένων πρέπει να είναι απεριορίστως και εις ολόκληρου υπεύθυνοι για τις ζημίες που προκύπτουν από κάθε παραβίαση των διατάξεων που υπόκεινται στη ρήτρα δικαιούχου τρίτου. |
|
(19) |
Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να προσφύγει κατά του εξαγωγέα των δεδομένων, κατά του εισαγωγέα των δεδομένων ή και κατά των δύο και να ζητήσει από αυτούς αποζημίωση για κάθε ζημία που προκύπτει από κάθε ενέργεια που δεν συμβιβάζεται με τις υποχρεώσεις οι οποίες περιλαμβάνονται στις τυποποιημένες συμβατικές ρήτρες. Και τα δύο συμβαλλόμενα μέρη δύνανται να απαλλαγούν από την εν λόγω ευθύνη εάν αποδείξουν ότι κανένα από αυτά δεν φέρει ευθύνη. |
|
(20) |
Η απεριόριστη και εις ολόκληρον ευθύνη δεν επεκτείνεται στις διατάξεις που δεν καλύπτονται από τη ρήτρα δικαιούχου τρίτου και δεν χρειάζεται να καθιστά το ένα μέρος υπεύθυνο για τις ζημίες που προκύπτουν από την αθέμιτη επεξεργασία στην οποία προέβη το άλλο μέρος. Αν και η αμοιβαία αποζημίωση μεταξύ των συμβαλλομένων μερών δεν αποτελεί απαραίτητη προϋπόθεση για την επάρκεια της προστασίας των προσώπων στα οποία αναφέρονται τα δεδομένα και, κατά συνέπεια, μπορεί να διαγραφεί, ωστόσο περιλαμβάνεται στις τυποποιημένες συμβατικές ρήτρες για λόγους σαφήνειας και για να αποφευχθεί η ανάγκη να διαπραγματεύονται τα συμβαλλόμενα μέρη ρήτρες αποζημίωσης χωριστά. |
|
(21) |
Σε περίπτωση διαφοράς μεταξύ των συμβαλλομένων μερών και του προσώπου στο οποίο αναφέρονται τα δεδομένα, η οποία δεν επιλύεται με φιλικό διακανονισμό και στο πλαίσιο της οποίας το πρόσωπο στο οποίο αναφέρονται τα δεδομένα επικαλείται τη ρήτρα δικαιούχου τρίτου, τα συμβαλλόμενα μέρη συμφωνούν να παράσχουν στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα επιλογή μεταξύ της διαμεσολάβησης, της διαιτησίας και της αντιδικίας. Το κατά πόσον το πρόσωπο στο οποίο αναφέρονται τα δεδομένα θα έχει πραγματική επιλογή εξαρτάται από την ύπαρξη αξιόπιστων και αναγνωρισμένων συστημάτων διαμεσολάβησης και διαιτησίας. Η διαμεσολάβηση των αρχών ελέγχου των κρατών μελών πρέπει να συνιστά μία από τις επιλογές, όπου παρέχεται αυτή η υπηρεσία. |
|
(22) |
Η ομάδα εργασίας για την προστασία των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, που συστάθηκε βάσει του άρθρου 29 της οδηγίας 95/46/ΕΚ, εξέδωσε γνώμη σχετικά με το επίπεδο προστασίας που παρέχουν οι τυποποιημένες συμβατικές ρήτρες που επισυνάπτονται στην παρούσα απόφαση, η οποία ελήφθη υπόψη κατά την εκπόνηση της παρούσας απόφασης ( 4 ). |
|
(23) |
Τα μέτρα που προβλέπονται στην παρούσα απόφαση είναι σύμφωνα με τη γνώμη της επιτροπής που συστάθηκε βάσει του άρθρου 31 της οδηγίας 95/46/ΕΚ, |
ΕΞΕΔΩΣΕ ΤΗΝ ΑΚΟΛΟΥΘΗ ΑΠΟΦΑΣΗ:
Άρθρο 1
Οι τυποποιημένες συμβατικές ρήτρες που παρατίθενται στο παράρτημα θεωρείται ότι παρέχουν επαρκείς εγγυήσεις για την προστασία της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών των προσώπων καθώς και την άσκηση των σχετικών δικαιωμάτων, όπως επιβάλλει το άρθρο 26 παράγραφος 2 της οδηγίας 95/46/ΕΚ.
Οι υπεύθυνοι επεξεργασίας δεδομένων μπορούν να επιλέξουν είτε τη δέσμη Ι είτε τη δέσμη ΙΙ του παραρτήματος. Ωστόσο, δεν μπορούν να τροποποιήσουν τις ρήτρες ούτε να συνδυάσουν μεμονωμένες ρήτρες ή τις δέσμες μεταξύ τους.
Άρθρο 2
Η παρούσα απόφαση αφορά μόνο το ικανοποιητικό επίπεδο της προστασίας που παρέχουν οι τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα που παρατίθενται στο παράρτημα. Δεν επηρεάζει την εφαρμογή άλλων εθνικών διατάξεων εφαρμογής της οδηγίας 95/46/ΕΚ που αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη.
Η παρούσα απόφαση δεν εφαρμόζεται στη διαβίβαση δεδομένων προσωπικού χαρακτήρα από έναν υπεύθυνο επεξεργασίας που είναι εγκατεστημένος στην Κοινότητα προς αποδέκτες εγκατεστημένους εκτός της επικράτειας της Κοινότητας ο οποίοι ενεργούν απλώς ως εκτελούντες επεξεργασία.
Άρθρο 3
Για τους σκοπούς της παρούσας απόφασης:
α) εφαρμόζονται οι ορισμοί της οδηγίας 95/46/ΕΚ·
β) ως «ειδικές κατηγορίες δεδομένων» νοούνται τα δεδομένα που αναφέρονται στο άρθρο 8 της οδηγίας 95/46/ΕΚ·
γ) ως «αρχή ελέγχου» νοείται η αρχή που αναφέρεται στο άρθρο 28 της οδηγίας 95/46/ΕΚ·
δ) ως «εξαγωγέας των δεδομένων» νοείται ο υπεύθυνος επεξεργασίας ο οποίος διαβιβάζει τα δεδομένα προσωπικού χαρακτήρα·
ε) ως «εισαγωγέας των δεδομένων» νοείται ο υπεύθυνος επεξεργασίας ο οποίος συμφωνεί να παραλάβει από τον εξαγωγέα των δεδομένων δεδομένα προσωπικού χαρακτήρα για περαιτέρω επεξεργασία σύμφωνα με τους όρους της παρούσας απόφασης.
Άρθρο 4
1. Με την επιφύλαξη των εξουσιών τους να αναλαμβάνουν δράση προκειμένου να εξασφαλίζουν την τήρηση των εθνικών διατάξεων που εκδίδονται σύμφωνα με τα κεφάλαια II, III, V, και VI της οδηγίας 95/46/ΕΚ, οι αρμόδιες αρχές των κρατών μελών δύνανται να ασκούν τις υφιστάμενες εξουσίες τους για να απαγορεύουν ή να αναστέλλουν τη ροή δεδομένων προς τρίτες χώρες προκειμένου να προστατεύουν τα φυσικά πρόσωπα από την επεξεργασία δεδομένων προσωπικού χαρακτήρα που τα αφορούν στις περιπτώσεις κατά τις οποίες:
α) είναι αποδεδειγμένο ότι η νομοθεσία στην οποία υπόκειται ο εισαγωγέας των δεδομένων του επιβάλλει υποχρεώσεις παρέκκλισης από τους σχετικούς κανόνες προστασίας των δεδομένων οι οπίες υπερβαίνουν το αναγκαίο σε μια δημοκρατική κοινωνία μέτρο, όπως ορίζεται στο άρθρο 13 της οδηγίας 95/46/ΕΚ, όταν οι υποχρεώσεις ατυτές ενδέχεται να έχουν σημαντικό αρνητικό αντίκτυπο στις εγγυήσεις που παρέχονται από τιε τυποποιημένες συμβατικές ρήτρες· ή
β) κάποια αρμόδια αρχή απέδειξε ότι ο εισαγωγέας των δεδομένων δεν τήρησε τις συμβατικές ρήτρες· ή
γ) υπάρχει σοβαρή πιθανότητα ότι οι τυποποιημένες συμβατικές ρήτρες του παραρτήματος δεν τηρούνται ή δεν θα τηρηθούν και ότι η συνέχιση της διαβίβασης δημιουργεί άμεσο κίνδυνο πρόκλησης σοβαρής ζημίας στα πρόσωπα στα οποία αναφέρονται τα δεδομένα.
2. Για τους σκοπούς της παραγράφου 1, όταν ο υπεύθυνος επεξεργασίας δεδομένων παρέχει επαρκείς εγγυήσεις βάσει των τυποποιημένων συμβατικών ρητρών που περιέχονται στη δέσμη ΙΙ του παραρτήματος, οι αρμόδιες αρχές προστασίας των δεδομένων δύνανται να ασκούν τις υφιστάμενες εξουσίες τους για να απαγορεύουν ή να αναστέλλουν τη ροή δεδομένων σε όποια από τις ακόλουθες δύο περιπτώσεις:
α) άρνηση του εισαγωγέα των δεδομένων να συνεργαστεί καλόπιστα με τις αρχές προστασίας των δεδομένων ή να συμμορφωθεί με τις υποχρεώσεις που υπέχει δυνάμει της σύμβασης·
β) άρνηση του εξαγωγέα των δεδομένων να προβεί στις αναγκαίες ενέργειες για να υποχρεώσει τον εισαγωγέα των δεδομένων να συμμορφωθεί με τη σύμβαση εντός της κανονικής περιόδου του ενός μήνα από τη σχετική ειδοποίηση της αρμόδιας αρχής προστασίας των δεδομένων προς τον εξαγωγέα των δεδομένων.
Για τους σκοπούς του πρώτου εδαφίου, η κακόπιστη άρνηση ή η άρνηση εφαρμογής της σύμβασης εκ μέρους του εισαγωγέα των δεδομένων δεν περιλαμβάνει τις περιπτώσεις κατά τις οποίες η συνεργασία ή η εφαρμογή θα μπορούσαν να έλθουν σε σύγκρουση με υποχρεωτικές απαιτήσεις του εθνικού δικαίου στο οποίο υπόκειται ο εισαγωγέας των δεδομένων, απαιτήσεις οι οποίες δεν υπερβαίνουν το αναγκαίο σε μια δημοκρατική κοινωνία μέτρο βάσει των συμφερόντων που απαριθμούνται στο άρθρο 13 παράγραφος 1 της οδηγίας 95/46/ΕΚ, και ιδίως τις κυρώσεις που προβλέπονται από διεθνείς ή/και εθνικές νομοθετικές πράξεις, τις απαιτήσεις υποβολής φορολογικών δηλώσεων ή τις απαιτήσεις υποβολής εκθέσεων για την καταπολέμηση δραστηριοτήτων «ξεπλύματος» παράνομου χρήματος.
Για τους σκοπούς του στοιχείου α) του πρώτου εδαφίου, η συνεργασία μπορεί να περιλαμβάνει, ειδικότερα, την υποχρέωση του εισαγωγέα των δεδομένων να διαθέτει προς έλεγχο τις εγκαταστάσεις που χρησιμοποιεί για την επεξεργασία των δεδομένων ή την υποχρέωσή του να συμμορφώνεται με τις συστάσεις της αρχής ελέγχου που είναι αρμόδια για την προστασία των δεδομένων στην Κοινότητα.
3. Η απαγόρευση ή η αναστολή βάσει των παραγράφων 1 και 2 αίρονται αμέσως μόλις παύσουν να υπάρχουν οι λόγοι της αναστολής ή της απαγόρευσης.
4. Τα κράτη μέλη, όταν λαμβάνουν μέτρα σύμφωνα με τις παραγράφους 1, 2 και 3, ενημερώνουν χωρίς καθυστέρηση την Επιτροπή, η οποία διαβιβάζει την πληροφορία αυτή στα υπόλοιπα κράτη μέλη.
Άρθρο 5
►M1 Η Επιτροπή θα αξιολογήσει τη λειτουργία της παρούσας απόφασης με βάση τις διαθέσιμες πληροφορίες τρία χρόνια μετά την κοινοποίησή της και την κοινοποίηση οποιασδήποτε τροπολογίας της στα κράτη μέλη. ◄ Υποβάλλει έκθεση ως προς τα πορίσματά της στην επιτροπή που συστάθηκε βάσει του άρθρου 31 της οδηγίας 95/46/ΕΚ, η οποία περιλαμβάνει οποιοδήποτε στοιχείο θα μπορούσε να επηρεάσει την εκτίμηση που αφορά την επάρκεια των τυποποιημένων ρητρών που παρατίθενται στο παράρτημα και κάθε ένδειξη για το ότι η παρούσα απόφαση εφαρμόζεται κατά τρόπο που επιφέρει διακρίσεις.
Άρθρο 6
Η παρούσα απόφαση εφαρμόζεται από τις 3 Σεπτεμβρίου 2001.
Άρθρο 7
Η παρούσα απόφαση απευθύνεται στα κράτη μέλη.
ΠΑΡΑΡΤΗΜΑ
ΔΕΣΜΗ I
Προσάρτημα 1
στις τυποποιημένες συμβατικές ρήτρες
Προσάρτημα 2
στις τυποποιημένες συμβατικές ρήτρες
Υποχρεωτικές αρχές προστασίας δεδομένων που αναφέρονται στη ρήτρα 5 στοιχείο β), πρώτη περίπτωση
Αυτές οι αρχές προστασίας δεδομένων διαβάζονται και ερμηνεύονται σε συνδυασμό με τις διατάξεις (αρχές και σχετικές εξαιρέσεις) της οδηγίας 95/46/ΕΚ.
Εφαρμόζονται με την επιφύλαξη των αναγκαστικού δικαίου διατάξεων της εθνικής νομοθεσίας που εφαρμόζεται στον εισαγωγέα των δεδομένων οι οποίες δεν βαίνουν πέραν του αναγκαίου σε μία δημοκρατική κοινωνία σε σχέση με ένα από τα συμφέροντα που παρατίθενται στο άρθρο 13 παράγραφος 1, της οδηγίας 95/46/ΕΚ, δηλαδή, αν συνιστούν μέτρο αναγκαίο για τη διαφύλαξη της ασφάλειας του κράτους, της άμυνας, της δημόσιας ασφάλειας, της πρόληψης, διερεύνησης, διαπίστωσης και δίωξης παραβάσεων του ποινικού νόμου ή της δεοντολογίας των νομοθετικά κατοχυρωμένων επαγγελμάτων, σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος, της προστασίας του προσώπου στο οποίο αναφέρονται τα δεδομένα ή των δικαιωμάτων και ελευθεριών άλλων προσώπων.
1. Περιορισμός του σκοπού: Τα δεδομένα πρέπει να υφίστανται επεξεργασία και, στη συνέχεια, να χρησιμοποιούνται ή να κοινοποιούνται περαιτέρω για τους συγκεκριμένους σκοπούς που προβλέπονται στο προσάρτημα 1 των συμβατικών ρητρών. Τα δεδομένα δεν πρέπει να διατηρούνται περισσότερο από ό,τι είναι αναγκαίο για τους σκοπούς της διαβίβασης.
2. Ποιότητα των δεδομένων και αναλογικότητα: Τα δεδομένα πρέπει να είναι ακριβή και, όταν χρειάζεται, να ενημερώνονται. Πρέπει να είναι κατάλληλα, να έχουν άμεση σχέση με το θέμα και να μην είναι περισσότερα από όσα απαιτούνται για τους σκοπούς για τους οποίους διαβιβάζονται ή υφίστανται περαιτέρω επεξεργασία.
3. Διαφάνεια: Πρέπει να παρέχονται στα πρόσωπα στα οποία αναφέρονται τα δεδομένα πληροφορίες σχετικά με τους σκοπούς της επεξεργασίας και την ταυτότητα του υπευθύνου της επεξεργασίας της τρίτης χώρας, καθώς και άλλες πληροφορίες εφόσον αυτό είναι απαραίτητο για την εξασφάλιση σωστής επεξεργασίας, εκτός αν πληροφορίες αυτού του είδους έχουν ήδη δοθεί από τον εξαγωγέα των δεδομένων.
4. Ασφάλεια και εμπιστευτικότητα: Ο υπεύθυνος της επεξεργασίας πρέπει να λαμβάνει μέτρα ασφαλείας, τεχνικής και οργανωτικής φύσης, κατάλληλα για τους κινδύνους (π.χ. μη επιτρεπόμενη πρόσβαση) που αντιπροσωπεύει η επεξεργασία. Κάθε πρόσωπο που ενεργεί υπό τις εντολές του υπευθύνου της επεξεργασίας, περιλαμβανομένου του εκτελούντος την επεξεργασία, μπορεί να επεξεργάζεται τα δεδομένα μόνο κατόπιν οδηγιών του υπευθύνου της επεξεργασίας.
5. Δικαιώματα πρόσβασης, διόρθωσης, διαγραφής και κλειδώματος: Όπως προβλέπει το άρθρο 12 της οδηγίας 95/46/ΕΚ, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να έχει δικαίωμα πρόσβασης σε όλα τα υπό επεξεργασία δεδομένα που το αφορούν και, κατά περίπτωση, το δικαίωμα να ζητήσει τη διόρθωση, τη διαγραφή ή το κλείδωμα των δεδομένων των οποίων η επεξεργασία δεν είναι σύμφωνη προς τις αρχές που παρατίθενται στο παρόν προσάρτημα, ιδίως λόγω ελλείψεων ή ανακρίβειας των δεδομένων. Πρέπει επίσης να μπορεί να αντιτάσσεται στην επεξεργασία των δεδομένων που το αφορούν επικαλούμενο νόμιμους λόγους που σχετίζονται με τη ιδιαίτερη κατάστασή του.
6. Περιορισμοί των διαδοχικών διαβιβάσεων: Η περαιτέρω διαβίβαση δεδομένων προσωπικού χαρακτήρα από τον εισαγωγέα των δεδομένων σε άλλο υπεύθυνο επεξεργασίας εγκατεστημένο σε τρίτη χώρα που δεν παρέχει ικανοποιητική προστασία ή δεν καλύπτεται από απόφαση της Επιτροπής εκδοθείσα δυνάμει του άρθρου 25 παράγραφος 6, της οδηγίας 95/46/ΕΚ (διαδοχική διαβίβαση) μπορεί να πραγματοποιηθεί μόνον εφόσον πληρούται ένας από τους παρακάτω όρους:
α) τα πρόσωπα στα οποία αναφέρονται τα δεδομένα έχουν δώσει, σε περίπτωση ειδικών κατηγοριών δεδομένων, τη συγκατάθεσή τους κατά τρόπο αναμφισβήτητο για διαδοχική διαβίβαση ή, στις άλλες περιπτώσεις τους έχει δοθεί η δυνατότητα να αντιταχθούν σ' αυτήν.
Οι ελάχιστες πληροφορίες πού πρέπει να παρέχονται στα πρόσωπα στα οποία αναφέρονται τα δεδομένα πρέπει να περιλαμβάνουν, σε γλώσσα κατανοητή σ' αυτά:
— τους σκοπούς της διαδοχικής διαβίβασης,
— τα στοιχεία του εγκατεστημένου στην Κοινότητα εξαγωγέα των δεδομένων,
— τις κατηγορίες των περαιτέρω αποδεκτών των δεδομένων και τις χώρες προορισμού και,
— διευκρίνιση ότι, μετά τη διαδοχική διαβίβαση, τα δεδομένα μπορούν να υποβληθούν σε επεξεργασία από υπεύθυνο επεξεργασίας εγκατεστημένο σε χώρα στην οποία δεν υπάρχει ικανοποιητικό επίπεδο προστασίας της ιδιωτικής ζωής των ατόμων, ή
β) ο εξαγωγέας των δεδομένων και ο εισαγωγέας των δεδομένων συμφωνούν στην προσχώρηση ενός άλλου υπεύθυνου επεξεργασίας ο οποίος με τον τρόπο αυτό καθίσταται νέο συμβαλλόμενο μέρος των παρουσών ρητρών και αναλαμβάνει τις ίδιες υποχρεώσεις με τον εισαγωγέα των δεδομένων.
7. Ειδικές κατηγορίες δεδομένων: Στις περιπτώσεις επεξεργασίας δεδομένων που παρέχουν πληροφορίες για τη φυλετική ή εθνική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστικές οργανώσεις, την υγεία ή τη σεξουαλική ζωή και δεδομένων που αφορούν παραβάσεις, ποινικές καταδίκες ή μέτρα ασφαλείας, πρέπει να υπάρχουν περισσότερες εγγυήσεις προστασίας κατά την έννοια της οδηγίας 95/46/ΕΚ, και ιδίως, κατάλληλα μέτρα ασφαλείας, όπως η κρυπτογράφηση της διαβίβασης ή η τήρηση αρχείου πρόσβασης στα ευαίσθητα δεδομένα.
8. Άμεση προώθηση προϊόντων: Στην περίπτωση επεξεργασίας δεδομένων με σκοπό την άμεση προώθηση προϊόντων, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να υφίστανται αποτελεσματικές διαδικασίες που θα επιτρέπουν στο πρόσωπο στο οποίο αφορούν τα δεδομένα να αντιτάσσεται ανά πάσα στιγμή στη χρησιμοποίηση των δεδομένων που το αφορούν για το σκοπό αυτό.
9. Αυτοματοποιημένες ατομικές αποφάσεις: Τα πρόσωπα στα οποία αναφέρονται τα δεδομένα έχουν το δικαίωμα να μην αποτελούν αντικείμενο απόφασης που βασίζεται αποκλειστικά και μόνο σε αυτοματοποιημένη επεξεργασία δεδομένων, εκτός αν λαμβάνονται άλλα μέτρα για την κατοχύρωση των εννόμων συμφερόντων του προσώπου, όπως προβλέπει το άρθρο 15 παράγραφος 2, της οδηγίας 95/46/ΕΚ. Όταν σκοπός της διαβίβασης είναι η λήψη αυτοματοποιημένης απόφασης όπως αναφέρεται στο άρθρο 15 της οδηγίας 95/46/ΕΚ, η οποία παράγει έννομα αποτελέσματα έναντι του ατόμου ή το θίγει σημαντικά και η οποία απόφαση βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία δεδομένων που αποβλέπει σε αξιολόγηση ορισμένων πτυχών της προσωπικότητάς του, όπως η απόδοσή του στην εργασία, η φερεγγυότητα, η αξιοπιστία, η διαγωγή του κ.λπ. το πρόσωπο πρέπει να έχει το δικαίωμα να γνωρίζει την αιτιολογία της απόφασης.
Προσάρτημα 3
στις τυποποιημένες συμβατικές ρήτρες
Υποχρεωτικές αρχές προστασίας δεδομένων που αναφέρονται στη ρήτρα 5 στοιχείο β), δεύτερη περίπτωση
1. Περιορισμός του σκοπού: Τα δεδομένα πρέπει να υφίστανται επεξεργασία και, στη συνέχεια, να χρησιμοποιούνται ή να κοινοποιούνται περαιτέρω για τους συγκεκριμένους σκοπούς που προβλέπονται στο προσάρτημα 1 των συμβατικών ρητρών. Τα δεδομένα δεν πρέπει να διατηρούνται περισσότερο από ό,τι είναι αναγκαίο για τους σκοπούς της διαβίβασης.
2. Δικαιώματα πρόσβασης, διόρθωσης, διαγραφής και κλειδώματος: Όπως προβλέπει το άρθρο 12 της οδηγίας 95/46/ΕΚ, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να έχει δικαίωμα πρόσβασης σε όλα τα υπό επεξεργασία δεδομένα που το αφορούν και, κατά περίπτωση, το δικαίωμα να ζητήσει τη διόρθωση, τη διαγραφή ή το κλείδωμα των δεδομένων των οποίων η επεξεργασία δεν είναι σύμφωνη προς τις αρχές που παρατίθενται στο παρόν προσάρτημα, ιδίως λόγω ελλείψεων ή ανακρίβειας των δεδομένων. Πρέπει επίσης να μπορεί να αντιτάσσεται στην επεξεργασία των δεδομένων που το αφορούν επικαλούμενο νόμιμους λόγους που σχετίζονται με τη ιδιαίτερη κατάστασή του.
3. Περιορισμοί των διαδοχικών διαβιβάσεων: Η περαιτέρω διαβίβαση δεδομένων προσωπικού χαρακτήρα από τον εισαγωγέα των δεδομένων σε άλλον υπεύθυνο επεξεργασίας εγκατεστημένο σε τρίτη χώρα που δεν παρέχει ικανοποιητική προστασία ή δεν καλύπτεται από απόφαση της Επιτροπής εκδοθείσα δυνάμει του άρθρου 25 παράγραφος 6, της οδηγίας 95/46/ΕΚ (διαδοχική διαβίβαση) μπορεί να πραγματοποιηθεί μόνον εφόσον πληρούται ένας από τους παρακάτω όρους:
α) τα πρόσωπα στα οποία αναφέρονται τα δεδομένα έχουν δώσει, σε περίπτωση ειδικών κατηγοριών δεδομένων, τη συγκατάθεσή τους κατά τρόπο αναμφισβήτητο για διαδοχική διαβίβαση ή, στις άλλες περιπτώσεις τους έχει δοθεί η δυνατότητα να αντιταχθούν σ' αυτήν.
Οι ελάχιστες πληροφορίες που πρέπει να παρέχονται στα πρόσωπα στα οποία αναφέρονται τα δεδομένα πρέπει να περιλαμβάνουν, σε γλώσσα κατανοητή σ' αυτά:
— τους σκοπούς της διαδοχικής διαβίβασης,
— τα στοιχεία του εγκατεστημένου στην Κοινότητα εξαγωγέα των δεδομένων,
— τις κατηγορίες των περαιτέρω αποδεκτών των δεδομένων και τις χώρες προορισμού και,
— διευκρίνιση ότι, μετά τη διαδοχική διαβίβαση, τα δεδομένα μπορούν να υποβληθούν σε επεξεργασία από υπεύθυνο επεξεργασίας εγκατεστημένο σε χώρα στην οποία δεν υπάρχει ικανοποιητικό επίπεδο προστασίας της ιδιωτικής ζωής των ατόμων, ή
β) ο εξαγωγέας των δεδομένων και ο εισαγωγέας των δεδομένων συμφωνούν στην προσχώρηση ενός άλλου υπεύθυνου επεξεργασίας ο οποίος με τον τρόπο αυτό καθίσταται νέο συμβαλλόμενο μέρος των παρουσών ρητρών και αναλαμβάνει τις ίδιες υποχρεώσεις με τον εισαγωγέα των δεδομένων.
ΔΕΣΜΗ II
Τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από την Κοινότητα προς τρίτες χώρες (διαβιβάσεις από υπεύθυνο επεξεργασίας σε υπεύθυνο επεξεργασίας)
Συμφωνία διαβίβασης δεδομένων
Μεταξύ, αφενός,
_ (ονοματεπώνυμο/επωνυμία)
_ (διεύθυνση και χώρα εγκατάστασης)
(που στο εξής θα καλείται «εξαγωγέας των δεδομένων»)
και, αφετέρου,
_ (ονοματεπώνυμο/επωνυμία)
_ (διεύθυνση και χώρα εγκατάστασης)
(που στο εξής θα καλείται «εισαγωγέας των δεδομένων»),
(ο καθένας μεμονωμένα θα καλείται «συμβαλλόμενο μέρος»; ενώ και οι δύο μαζί θα καλούνται «συμβαλλόμενα μέρη»)
Ορισμοί
Για τους σκοπούς των ρητρών:
α) οι όροι «δεδομένα προσωπικού χαρακτήρα», «ειδικές κατηγορίες δεδομένων/ευαίσθητα δεδομένα», «επεξεργασία», «υπεύθυνος της επεξεργασίας», «εκτελών την επεξεργασία», «πρόσωπο στο οποίο αναφέρονται τα δεδομένα» και «αρχή ελέγχου/αρχή» έχουν την ίδια έννοια όπως στην οδηγία 95/46/ΕΚ, (επομένως ως «αρχή» νοείται η αρμόδια για την προστασία των δεδομένων αρχή της χώρας στην οποία είναι εγκατεστημένος ο εξαγωγέας των δεδομένων)·
β) ο όρος «εξαγωγέας των δεδομένων» σημαίνει τον υπεύθυνο επεξεργασίας που διαβιβάζει τα δεδομένα προσωπικού χαρακτήρα·
γ) ο όρος «εισαγωγέας των δεδομένων» σημαίνει τον υπεύθυνο επεξεργασίας που συμφωνεί να παραλάβει από τον εξαγωγέα των δεδομένων δεδομένα προσωπικού χαρακτήρα για περαιτέρω επεξεργασία, σύμφωνα με τους όρους των παρουσών ρητρών, και ο οποίος δεν υπόκειται σε σύστημα τρίτης χώρας που εξασφαλίζει ικανοποιητική προστασία·
δ) ο όρος «ρήτρες» σημαίνει τις παρούσες συμβατικές ρήτρες, που αποτελούν αυτοτελές έγγραφο το οποίο δεν περιλαμβάνει εμπορικούς όρους συναλλαγών που θεσπίζονται από τα συμβαλλόμενα μέρη βάσει χωριστών εμπορικών συμφωνιών.
Οι λεπτομέρειες της διαβίβασης (καθώς και τα καλυπτόμενα δεδομένα προσωπικού χαρακτήρα) προσδιορίζονται στο παράρτημα B, το οποίο αποτελεί αναπόσπαστο τμήμα των ρητρών.
I. Υποχρεώσεις του εξαγωγέα των δεδομένων
Ο εξαγωγέας των δεδομένων εγγυάται και δεσμεύεται για τα ακόλουθα:
α) τα δεδομένα προσωπικού χαρακτήρα συνελέγησαν, υποβλήθηκαν σε επεξεργασία και διαβιβάστηκαν σύμφωνα με τη νομοθεσία που ισχύει για τον εξαγωγέα των δεδομένων·
β) κατέβαλε εύλογες προσπάθειες για να εξασφαλίσει ότι ο εισαγωγέας των δεδομένων είναι σε θέση να εκπληρώσει τις νομικές υποχρεώσεις που υπέχει βάσει των παρουσών ρητρών·
γ) θα παράσχει στον εισαγωγέα των δεδομένων, αν του ζητηθεί, αντίγραφα των νόμων που διέπουν την προστασία των δεδομένων στη χώρα στην οποία είναι εγκατεστημένος ο εξαγωγέας των δεδομένων ή παραπομπές στους νόμους αυτούς (εφόσον υπάρχουν σχετικές νομοθετικές ρυθμίσεις και μη περιλαμβανομένων των νομικών συμβουλών)·
δ) θα απαντά σε ερωτήματα/αιτήματα που υποβάλλονται από τα πρόσωπα στα οποία αναφέρονται τα δεδομένα και από την Αρχή όσον αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα από τον εισαγωγέα των δεδομένων, εκτός αν τα συμβαλλόμενα μέρη έχουν συμφωνήσει ότι οι σχετικές πληροφορίες θα παρέχονται από τον εισαγωγέα των δεδομένων. Στην περίπτωση αυτή, ο εξαγωγέας των δεδομένων εξακολουθεί να οφείλει να απαντά, στο μέτρο του λογικά δυνατού και βάσει των πληροφοριών που λογικά έχει στη διάθεσή του, αν ο εισαγωγέας των δεδομένων δεν είναι πρόθυμος ή δεν είναι σε θέση να απαντήσει. Οι απαντήσεις πρέπει να παρέχονται σε εύλογο χρονικό διάστημα·
ε) θα θέτει αντίγραφο των ρητρών στη διάθεση των προσώπων στα οποία αναφέρονται τα δεδομένα που είναι δικαιούχοι τρίτοι βάσει της ρήτρας III., κατόπιν αιτήσεως των προσώπων αυτών, εκτός εάν οι ρήτρες περιέχουν εμπιστευτικές πληροφορίες, οπότε θα μπορεί να αφαιρέσει τις πληροφορίες αυτές. Σε περίπτωση αφαίρεσης πληροφοριών, ο εξαγωγέας των δεδομένων ενημερώνει γραπτώς τα πρόσωπα στα οποία αναφέρονται τα δεδομένα για το λόγο της αφαίρεσης και για το δικαίωμά τους να γνωστοποιήσουν την αφαίρεση στην Αρχή. Ωστόσο, ο εξαγωγέας των δεδομένων οφείλει να συμμορφώνεται με απόφαση της Αρχής σχετικά με την πρόσβαση των προσώπων στα οποία αναφέρονται τα δεδομένα στο πλήρες κείμενο των ρητρών, εφόσον τα πρόσωπα στα οποία αναφέρονται τα δεδομένα έχουν συμφωνήσει να σεβαστούν τον απόρρητο χαρακτήρα των εμπιστευτικών πληροφοριών που αφαιρέθηκαν. Ο εξαγωγέας των δεδομένων παρέχει επίσης αντίγραφο των ρητρών στην Αρχή, αν του ζητηθεί.
II. Υποχρεώσεις του εισαγωγέα των δεδομένων
Ο εισαγωγέας των δεδομένων εγγυάται και δεσμεύεται για τα ακόλουθα:
α) θα λάβει κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των δεδομένων προσωπικού χαρακτήρα από την τυχαία ή παράνομη καταστροφή ή την τυχαία απώλεια, αλλοίωση, άνευ αδείας κοινοποίηση ή πρόσβαση, μέτρα που παρέχουν κατάλληλο επίπεδο ασφάλειας σε σχέση με τον κίνδυνο που εγκυμονεί η επεξεργασία και η φύση των προς προστασία δεδομένων·
β) θα θεσπίσει τις κατάλληλες διαδικασίες ούτως ώστε κάθε τρίτος στον οποίο επιτρέπει να έχει πρόσβαση στα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των εκτελούντων επεξεργασία, να σέβεται και να τηρεί την εμπιστευτικότητα και την ασφάλεια των δεδομένων προσωπικού χαρακτήρα. Κάθε πρόσωπο που ενεργεί υπό την ευθύνη του εισαγωγέα των δεδομένων, περιλαμβανομένων των εκτελούντων επεξεργασία, υποχρεούται να επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο σύμφωνα με τις οδηγίες του εισαγωγέα των δεδομένων. Η διάταξη αυτή δεν ισχύει για τα πρόσωπα που επιτρέπεται ή επιβάλλεται βάσει νομοθετικών ή κανονιστικών ρυθμίσεων να έχουν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα·
γ) δεν έχει κανένα λόγο να πιστεύει, κατά τη στιγμή της προσχώρησής του στις παρούσες ρήτρες, ότι υπάρχει οποιαδήποτε τοπική νομοθετική ρύθμιση η οποία ενδέχεται να έχει σημαντικό αρνητικό αντίκτυπο στις εγγυήσεις που προβλέπονται από τις παρούσες ρήτρες, δεσμεύεται δε να ενημερώσει τον εξαγωγέα των δεδομένων (ο οποίος θα διαβιβάσει την πληροφορία αυτή στην Αρχή, εφόσον απαιτείται) αν περιέλθει σε γνώση του οποιαδήποτε τέτοια νομοθετική ρύθμιση·
δ) θα επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα για τους σκοπούς που περιγράφονται στο παράρτημα B, έχει δε τη νομική δυνατότητα να παράσχει τις εγγυήσεις και να εκπληρώσει τις δεσμεύσεις που αναφέρονται στις παρούσες ρήτρες·
ε) θα γνωστοποιήσει στον εξαγωγέα των δεδομένων τα στοιχεία επικοινωνίας ενός υπαλλήλου του, εξουσιοδοτημένου να απαντά στα ερωτήματα/αιτήματα τα σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, και θα συνεργάζεται καλόπιστα με τον εξαγωγέα των δεδομένων, με το πρόσωπο στο οποίο αναφέρονται τα δεδομένα και με την Αρχή σχετικά με όλα τα εν λόγω ερωτήματα/αιτήματα εντός ευλόγου χρονικού διαστήματος. Αν ο εξαγωγέας των δεδομένων παύσει να υφίσταται από νομικής απόψεως ή αν τα συμβαλλόμενα μέρη το αποφασίσουν, ο εισαγωγέας των δεδομένων θα αναλάβει την ευθύνη για τη συμμόρφωση με τις διατάξεις της ρήτρας Ι στοιχείο ε)·
στ) αιτήσει του εξαγωγέα των δεδομένων, θα παράσχει στον εξαγωγέα των δεδομένων αποδεικτικά στοιχεία από τα οποία να προκύπτει ότι διαθέτει χρηματοοικονομικούς πόρους που επαρκούν για την εκπλήρωση των υποχρεώσεων που υπέχει βάσει της ρήτρας III (πράγμα που ενδέχεται να περιλαμβάνει την ασφαλιστική κάλυψη)·
ζ) κατόπιν ευλόγου αιτήματος του εξαγωγέα των δεδομένων, θα δέχεται να υποβάλλει τις εγκαταστάσεις που διαθέτει για την επεξεργασία δεδομένων, καθώς επίσης τα αρχεία δεδομένων που τηρεί και την τεκμηρίωση που απαιτείται για την επεξεργασία, σε εξέταση, έλεγχο ή/και πιστοποίηση από τον εξαγωγέα των δεδομένων (ή από οποιουσδήποτε ανεξάρτητους ή αμερόληπτους επιθεωρητές ή ελεγκτές που θα επιλεγούν από τον εξαγωγέα των δεδομένων και κατά των οποίων ο εισαγωγέας των δεδομένων δεν έχει προβάλει λογικές αντιρρήσεις), προκειμένου να ελεγχθεί η συμμόρφωση με τις εγγυήσεις και τις δεσμεύσεις που προβλέπονται στις παρούσες ρήτρες. Οι έλεγχοι θα γίνονται έπειτα από εύλογη προθεσμία προειδοποίησης και κατά τη διάρκεια του κανονικού ωραρίου εργασίας. Το αίτημα θα υπόκειται στην όποια αναγκαία συγκατάθεση ή έγκριση κανονιστικής ή εποπτικής αρχής της χώρας του εισαγωγέα των δεδομένων, την οποία (συγκατάθεση ή έγκριση) ο εισαγωγέας των δεδομένων θα επιδιώξει να λάβει έγκαιρα·
η) θα επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα, κατ’ επιλογήν του, σύμφωνα με:
i) τη νομοθεσία περί προστασίας δεδομένων της χώρας στην οποία είναι εγκατεστημένος ο εξαγωγέας των δεδομένων, ή
ii) τις σχετικές διατάξεις ( 5 ) κάθε απόφασης που εκδίδεται από την Επιτροπή σύμφωνα με το άρθρο 25 παράγραφος 6 της οδηγίας 95/46/ΕΚ, όταν ο εισαγωγέας των δεδομένων συμμορφώνεται με τις σχετικές διατάξεις μιας τέτοιας άδειας ή απόφασης και έχει την έδρα του σε χώρα την οποία αφορά η εν λόγω άδεια ή απόφαση, αλλά δεν καλύπτεται από αυτήν την άδεια ή απόφαση για τους σκοπούς της(των) διαβίβασης(-άσεων) των δεδομένων προσωπικού χαρακτήρα ( 6 ), ή
iii) τις αρχές επεξεργασίας δεδομένων που ορίζονται στο παράρτημα A.
Ο εισαγωγέας των δεδομένων αναφέρει την επιλογή του:_
Αρχικά του εισαγωγέα των δεδομένων:_;
θ) δεν θα αποκαλύψει ούτε θα διαβιβάσει τα δεδομένα προσωπικού χαρακτήρα σε τρίτο υπεύθυνο επεξεργασίας δεδομένων εγκατεστημένο εκτός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ), εκτός αν ενημερώσει τον εξαγωγέα των δεδομένων για τη διαβίβαση και
i) ο τρίτος υπεύθυνος επεξεργασίας δεδομένων επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα σύμφωνα με απόφαση της Επιτροπής που αποφαίνεται ότι η σχετική τρίτη χώρα παρέχει ικανοποιητικό επίπεδο προστασίας, ή
ii) ο τρίτος υπεύθυνος επεξεργασίας δεδομένων προσχωρήσει στις παρούσες ρήτρες ή σε άλλη συμφωνία διαβίβασης δεδομένων εγκεκριμένη από αρμόδια αρχή στην ΕΕ, ή
iii) δόθηκε στα πρόσωπα στα οποία αναφέρονται τα δεδομένα, μετά την ενημέρωσή τους για τους σκοπούς της διαβίβασης, η δυνατότητα να εκφράσουν τις αντιρρήσεις τους για τις κατηγορίες αποδεκτών και να αντιτάξουν το γεγονός ότι οι χώρες στις οποίες εξάγονται τα δεδομένα ενδέχεται να έχουν διαφορετικά επίπεδα προστασίας, ή
iv) όσον αφορά τις περαιτέρω διαβιβάσεις ευαίσθητων δεδομένων, τα πρόσωπα στα οποία αναφέρονται τα δεδομένα έδωσαν τη σαφή και απερίφραστη συγκατάθεσή τους για την περαιτέρω διαβίβαση.
III. Ευθύνη και δικαιώματα τρίτων
α) Κάθε συμβαλλόμενο μέρος ευθύνεται έναντι του άλλου για τις ζημίες που του προξενεί συνεπεία οποιασδήποτε παραβίασης των παρουσών ρητρών. Η ευθύνη μεταξύ των συμβαλλομένων μερών δεν δύναται να υπερβαίνει την προκαλούμενη πραγματική ζημία. Η αποζημίωση δίκην ποινής (δηλαδή η αποζημίωση που αποσκοπεί στο να τιμωρηθεί το συμβαλλόμενο μέρος για την επίμεμπτη συμπεριφορά του) αποκλείεται ρητά. Κάθε συμβαλλόμενο μέρος ευθύνεται έναντι των προσώπων στα οποία αναφέρονται τα δεδομένα για τις ζημίες που προξενεί συνεπεία οποιασδήποτε παραβίασης δικαιωμάτων τρίτων βάσει των παρουσών ρητρών. Η διάταξη αυτή δεν θίγει την ευθύνη του εξαγωγέα των δεδομένων βάσει της δικής του νομοθεσίας περί προστασίας των δεδομένων.
β) Τα συμβαλλόμενα μέρη συμφωνούν ότι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει το δικαίωμα να επικαλεστεί ως δικαιούχος τρίτος την παρούσα ρήτρα καθώς και τη ρήτρα I στοιχεία β), δ) και ε), τη ρήτρα II στοιχεία α), γ), δ), ε), η) και θ), τη ρήτρα III στοιχείο α), τη ρήτρα V, τη ρήτρα VI στοιχείο δ) και τη ρήτρα VII. κατά του εισαγωγέα ή του εξαγωγέα των δεδομένων, για την αντίστοιχη από μέρους τους παραβίαση των συμβατικών τους υποχρεώσεων, όσον αφορά τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, και δέχεται ότι αρμόδια για το σκοπό αυτό είναι τα δικαστήρια της χώρας εγκατάστασης του εξαγωγέα των δεδομένων. Αν προβληθεί ο ισχυρισμός ότι ο εισαγωγέας των δεδομένων παραβιάζει τις υποχρεώσεις του, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει πρώτα να ζητήσει από τον εξαγωγέα των δεδομένων να προβεί στις ενδεδειγμένες ενέργειες κατά του εισαγωγέα των δεδομένων για να προασπίσει τα δικαιώματά του· αν ο εξαγωγέας των δεδομένων δεν προβεί στις ενέργειες αυτές εντός ευλόγου χρονικού διαστήματος (το οποίο, σε κανονικές συνθήκες, θα ανέρχεται σε ένα μήνα), το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δύναται να προσφύγει απευθείας κατά του εισαγωγέα των δεδομένων. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει το δικαίωμα να προσφύγει απ’ ευθείας κατά του εξαγωγέα των δεδομένων ο οποίος δεν κατέβαλε εύλογες προσπάθειες για να εξασφαλίσει ότι ο εισαγωγέας των δεδομένων είναι σε θέση να εκπληρώσει τις νομικές υποχρεώσεις που υπέχει βάσει των παρουσών ρητρών (ο εξαγωγέας των δεδομένων είναι εκείνος που οφείλει να αποδείξει ότι κατέβαλε εύλογες προσπάθειες).
IV. Δίκαιο που διέπει τις ρήτρες
Οι παρούσες ρήτρες διέπονται από το δίκαιο της χώρας στην οποία είναι εγκατεστημένος ο εξαγωγέας των δεδομένων, με εξαίρεση τις νομοθετικές και κανονιστικές διατάξεις που σχετίζονται με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα από τον εισαγωγέα των δεδομένων βάσει της ρήτρας II στοιχείο η), διατάξεις οι οποίες θα εφαρμόζονται μόνον αν ο εισαγωγέας των δεδομένων προβεί στην επιλογή αυτή βάσει της εν λόγω ρήτρας.
V. Επίλυση διαφορών με τα πρόσωπα στα οποία αναφέρονται τα δεδομένα ή με την Αρχή
α) Σε περίπτωση διαφοράς ή απαίτησης που προβάλλεται από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ή από την Αρχή κατά ενός ή και των δύο συμβαλλομένων μερών όσον αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, τα συμβαλλόμενα μέρη ενημερώνονται αμοιβαία για κάθε τέτοια διαφορά ή απαίτηση και συνεργάζονται για τη φιλική διευθέτησή της το ταχύτερο δυνατόν.
β) Τα συμβαλλόμενα μέρη συμφωνούν να ανταποκρίνονται θετικά σε κάθε γενικώς διαθέσιμη, μη δεσμευτική διαδικασία διαμεσολάβησης που κινείται από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ή από την Αρχή. Σε περίπτωση συμμετοχής τους στη διαδικασία, τα συμβαλλόμενα μέρη μπορούν να επιλέξουν να το κάνουν εξ αποστάσεως (π.χ., μέσω τηλεφώνου ή άλλου ηλεκτρονικού μέσου). Τα συμβαλλόμενα μέρη συμφωνούν επίσης να εξετάσουν τη συμμετοχή τους σε κάθε άλλη διαδικασία διαιτησίας, διαμεσολάβησης ή επίλυσης διαφορών η οποία θεσπίζεται για την επίλυση διαφορών σχετικών με θέματα προστασίας δεδομένων.
γ) Κάθε συμβαλλόμενο μέρος συμμορφώνεται με τις οριστικές και τελεσίδικες αποφάσεις των αρμόδιων δικαστηρίων της χώρας εγκατάστασης του εξαγωγέα των δεδομένων ή της Αρχής.
VI. Καταγγελία
α) Αν ο εισαγωγέας των δεδομένων παραβιάσει τις υποχρεώσεις που υπέχει δυνάμει των παρουσών ρητρών, ο εξαγωγέας των δεδομένων δύναται να αναστείλει προσωρινά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα στον εισαγωγέα των δεδομένων έως ότου παύσει η παραβίαση ή καταγγελθεί η σύμβαση.
β) Αν:
i) η διαβίβαση δεδομένων προσωπικού χαρακτήρα στον εισαγωγέα των δεδομένων ανασταλεί προσωρινά από τον εξαγωγέα των δεδομένων για διάστημα μεγαλύτερο του ενός μηνός σύμφωνα με το στοιχείο α)·
ii) η συμμόρφωση του εισαγωγέα των δεδομένων με τις παρούσες ρήτρες θα συνιστούσε παραβίαση των νομικών ή κανονιστικών του υποχρεώσεων στη χώρα εισαγωγής·
iii) ο εισαγωγέας των δεδομένων διαπράξει σοβαρή ή διαρκή παραβίαση οποιωνδήποτε εγγυήσεων ή υποχρεώσεων έχει αναλάβει βάσει των παρουσών ρητρών·
iv) σε οριστική και τελεσίδικη απόφαση αρμόδιου δικαστηρίου της χώρας εγκατάστασης του εξαγωγέα των δεδομένων ή της Αρχής κρίνεται ότι έχει γίνει παραβίαση των ρητρών από τον εισαγωγέα ή τον εξαγωγέα των δεδομένων, ή
v) υποβληθεί αίτηση για να τεθεί ο εισαγωγέας των δεδομένων σε αναγκαστική διαχείριση ή δικαστική εκκαθάριση, είτε υπό την προσωπική είτε υπό την επιχειρηματική του ιδιότητα, και η αίτηση αυτή δεν απορριφθεί εντός της προθεσμίας που προβλέπεται σχετικά από το εφαρμοστέο δίκαιο· εκδοθεί διαταγή εκκαθάρισης· διοριστεί εκκαθαριστής για τη διαχείριση οποιωνδήποτε από τα περιουσιακά του στοιχεία· διοριστεί σύνδικος πτωχεύσεως, αν ο εισαγωγέας των δεδομένων είναι φυσικό πρόσωπο· κινηθεί απ’ αυτόν διαδικασία πτωχευτικού συμβιβασμού· ή λάβει χώρα οποιοδήποτε ανάλογο γεγονός σε οποιοδήποτε δικαστήριο,
ο εξαγωγέας των δεδομένων, με την επιφύλαξη τυχόν άλλων δικαιωμάτων που ενδέχεται να έχει κατά του εισαγωγέα των δεδομένων, δικαιούται να καταγγείλει τις παρούσες ρήτρες. Στην περίπτωση αυτή ενημερώνεται, εφόσον απαιτείται, η Αρχή. Ο εισαγωγέας των δεδομένων δύναται επίσης να καταγγείλει τις παρούσες ρήτρες στις περιπτώσεις των σημείων i), ii) ή iv) ανωτέρω.
γ) Κάθε συμβαλλόμενο μέρος δύναται να καταγγείλει τις παρούσες ρήτρες (i) αν εκδοθεί, βάσει του άρθρου 25 παράγραφος 6 της οδηγίας 95/46/ΕΚ (ή κάθε πράξης που ενδεχομένως την αντικαταστήσει), για τη χώρα (ή το σχετικό τομέα) στην οποία διαβιβάζονται τα δεδομένα και υποβάλλονται σε επεξεργασία από τον εισαγωγέα των δεδομένων, απόφαση της Επιτροπής που να διαπιστώνει ικανοποιητικό επίπεδο προστασίας ή (ii) αν η οδηγία 95/46/ΕΚ (ή κάθε πράξη που ενδεχομένως την αντικαταστήσει) καταστεί άμεσα εφαρμοστέα στη χώρα αυτή.
δ) Τα συμβαλλόμενα μέρη συμφωνούν ότι η καταγγελία των παρουσών ρητρών σε κάθε στιγμή, υπό οποιεσδήποτε συνθήκες και για οποιονδήποτε λόγο [πλην της καταγγελίας βάσει της ρήτρας VI.(γ)] δεν τα απαλλάσσει από τις υποχρεώσεις ή/και τους όρους που προβλέπουν οι ρήτρες όσον αφορά την επεξεργασία των διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα.
VII. Τροποποίηση των παρουσών ρητρών
Τα συμβαλλόμενα μέρη δεν μπορούν να τροποποιήσουν τις παρούσες ρήτρες παρά μόνο για να επικαιροποιήσουν τις πληροφορίες που περιέχονται στο παράρτημα B. Στην περίπτωση αυτή, ενημερώνουν την Αρχή, εφόσον απαιτείται. Αυτό δεν αποκλείει τη δυνατότητα των συμβαλλομένων μερών να προσθέτουν πρόσθετες εμπορικές ρήτρες, όταν χρειάζεται.
VIII. Περιγραφή της διαβίβασης
Οι λεπτομέρειες της διαβίβασης και των δεδομένων προσωπικού χαρακτήρα προσδιορίζονται στο παράρτημα B. Τα συμβαλλόμενα μέρη συμφωνούν ότι το παράρτημα B ενδέχεται να περιέχει εμπιστευτικές επιχειρηματικές πληροφορίες τις οποίες δεν θα αποκαλύψουν σε τρίτους, εκτός αν αυτό επιβάλλεται από το νόμο ή από τη ρήτρα I στοιχείο ε) ή αν επειδή πρέπει να δοθεί απάντηση σε αρμόδια κανονιστική ή κρατική υπηρεσία. Τα συμβαλλόμενα μέρη, για να καλύψουν πρόσθετες διαβιβάσεις, μπορούν να συνάψουν πρόσθετα παραρτήματα, τα οποία θα υποβληθούν στην Αρχή εφόσον απαιτείται. Εναλλακτικά, το παράρτημα B μπορεί να συνταχθεί κατά τρόπο που να καλύπτει πολλαπλές διαβιβάσεις.
Ημερομηνία: _
_
_
ΓΙΑ ΤΟΝ ΕΙΣΑΓΩΓΕΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ
ΓΙΑ ΤΟΝ ΕΞΑΓΩΓΕΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ
…
…
…
…
…
…
ΠΑΡΑΡΤΗΜΑ A
ΑΡΧΕΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΤΩΝ ΔΕΔΟΜΕΝΩΝ
1) Περιορισμός του σκοπού: Τα δεδομένα προσωπικού χαρακτήρα μπορούν να υφίστανται επεξεργασία και, στη συνέχεια, να χρησιμοποιούνται ή να κοινοποιούνται περαιτέρω μόνο για τους σκοπούς που περιγράφονται στο παράρτημα B ή εγκρίνονται στη συνέχεια από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα.
2) Ποιότητα των δεδομένων και αναλογικότητα: Τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι ακριβή και, όταν χρειάζεται, να ενημερώνονται. Τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι κατάλληλα, να έχουν σχέση με το θέμα και να μην είναι περισσότερα από όσα απαιτούνται για τους σκοπούς για τους οποίους διαβιβάζονται ή υφίστανται περαιτέρω επεξεργασία.
3) Διαφάνεια: Πρέπει να παρέχονται στα πρόσωπα στα οποία αναφέρονται τα δεδομένα οι πληροφορίες που απαιτούνται για να διασφαλιστεί η θεμιτή επεξεργασία των δεδομένων (όπως πληροφορίες για τους σκοπούς της επεξεργασίας και για τη διαβίβαση), εκτός αν πληροφορίες αυτού του είδους έχουν ήδη δοθεί από τον εξαγωγέα των δεδομένων.
4) Ασφάλεια και εμπιστευτικότητα: Ο υπεύθυνος της επεξεργασίας πρέπει να λαμβάνει τεχνικά και οργανωτικά μέτρα ασφαλείας κατάλληλα για τους κινδύνους που εγκυμονεί η επεξεργασία, π.χ. για την αποτροπή της τυχαίας ή παράνομης καταστροφής, της τυχαίας απώλειας, της αλλοίωσης και της άνευ αδείας αποκάλυψης ή πρόσβασης στα δεδομένα. Κάθε πρόσωπο που ενεργεί υπό τις εντολές του υπευθύνου της επεξεργασίας, περιλαμβανομένου του εκτελούντος την επεξεργασία, μπορεί να επεξεργάζεται τα δεδομένα μόνον κατόπιν οδηγιών του υπευθύνου της επεξεργασίας.
5) Δικαιώματα πρόσβασης, διόρθωσης, διαγραφής και αντίταξης: Όπως προβλέπει το άρθρο 12 της οδηγίας 95/46/ΕΚ, πρέπει, είτε άμεσα είτε μέσω τρίτου, να παρέχονται στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα οι πληροφορίες προσωπικού χαρακτήρα που το αφορούν και που βρίσκονται στην κατοχή κάποιου φορέα, με εξαίρεση τα αιτήματα που είναι προδήλως καταχρηστικά λόγω του ότι υποβάλλονται σε μη εύλογα διαστήματα ή λόγω του αριθμού τους ή του επαναληπτικού ή συστηματικού χαρακτήρα τους, καθώς και τα αιτήματα για τα οποία, βάσει της νομοθεσίας της χώρας του εξαγωγέα των δεδομένων, δεν είναι υποχρεωτικό να επιτρέπεται η πρόσβαση. Με την προϋπόθεση ότι η Αρχή έχει δώσει εκ των προτέρων την έγκρισή της, δεν είναι επίσης υποχρεωτικό να επιτρέπεται η πρόσβαση όταν αυτό θα ήταν δυνατόν να θίξει σοβαρά τα συμφέροντα του εισαγωγέα των δεδομένων ή άλλων φορέων που συναλλάσσονται μ’ αυτόν και εφόσον των εν λόγω συμφερόντων δεν υπερισχύουν συμφέροντα που άπτονται των θεμελιωδών δικαιωμάτων και ελευθεριών του προσώπου στο οποίο αναφέρονται τα δεδομένα. Οι πηγές των δεδομένων προσωπικού χαρακτήρα δεν χρειάζεται να προσδιορίζονται όταν αυτό δεν είναι δυνατό να γίνει με εύλογες προσπάθειες ή όταν κάτι τέτοιο θα παραβίαζε τα δικαιώματα άλλων ατόμων πέραν του προσώπου στο οποίο αναφέρονται τα δεδομένα. Τα πρόσωπα στα οποία αναφέρονται τα δεδομένα πρέπει να έχουν τη δυνατότητα να ζητούν τη διόρθωση, την τροποποίηση ή τη διαγραφή των πληροφοριών προσωπικού χαρακτήρα που τα αφορούν, όταν οι πληροφορίες αυτές είναι ανακριβείς ή η επεξεργασία τους γίνεται κατά παράβαση των παρουσών αρχών. Αν υπάρχουν επιτακτικοί λόγοι που θέτουν σε αμφισβήτηση τη νομιμότητα του αιτήματος, ο φορέας δύναται να ζητήσει περαιτέρω εξηγήσεις προτού προβεί στη διόρθωση, την τροποποίηση ή τη διαγραφή. Δεν χρειάζεται να γίνεται κοινοποίηση κάθε διόρθωσης, τροποποίησης ή διαγραφής σε τρίτους στους οποίους έχουν ανακοινωθεί τα δεδομένα, αν αυτό συνεπάγεται δυσανάλογες προσπάθειες. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει επίσης να μπορεί να αντιτάσσεται στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν, αν υπάρχουν επιτακτικοί νόμιμοι λόγοι που σχετίζονται με τη ιδιαίτερη κατάστασή του. Το βάρος της απόδειξης για κάθε άρνηση φέρει ο εισαγωγέας των δεδομένων, ενώ το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει πάντοτε το δικαίωμα να προσβάλει τυχόν άρνηση ενώπιον της Αρχής.
6) Ευαίσθητα δεδομένα: Ο εισαγωγέας των δεδομένων λαμβάνει κάθε πρόσθετο αναγκαίο μέτρο (π.χ., στον τομέα της ασφάλειας) προκειμένου να εξασφαλίσει την προστασία των ευαίσθητων δεδομένων σύμφωνα με τις υποχρεώσεις που υπέχει βάσει της ρήτρας II.
7) Δεδομένα που χρησιμοποιούνται για σκοπούς εμπορικής προώθησης (μάρκετινγκ): Όταν η επεξεργασία των δεδομένων γίνεται για σκοπούς άμεσης εμπορικής προώθησης, πρέπει να υπάρχουν αποτελεσματικές διαδικασίες που να επιτρέπουν στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα να ζητήσει ανά πάσα στιγμή να μη χρησιμοποιούνται τα δεδομένα που το αφορούν για τέτοιους σκοπούς.
8) Αυτοματοποιημένες αποφάσεις: Για τους σκοπούς των παρουσών ρητρών ο όρος «αυτοματοποιημένη απόφαση» σημαίνει κάθε απόφαση του εξαγωγέα ή του εισαγωγέα των δεδομένων η οποία παράγει έννομα αποτελέσματα έναντι προσώπου στο οποίο αναφέρονται τα δεδομένα ή το θίγει σημαντικά και η οποία βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποβλέπει σε αξιολόγηση ορισμένων πτυχών της προσωπικότητάς του, όπως η απόδοσή του στην εργασία, η φερεγγυότητα, η αξιοπιστία, η διαγωγή του κ.λπ. Ο εισαγωγέας των δεδομένων δεν λαμβάνει καμία αυτοματοποιημένη απόφαση για πρόσωπα στα οποία αναφέρονται τα δεδομένα, εκτός όταν:
i) οι αποφάσεις αυτές λαμβάνονται από τον εισαγωγέα των δεδομένων κατά τη σύναψη ή την εκτέλεση σύμβασης με το πρόσωπο στο οποίο αναφέρονται τα δεδομένα και
ii) παρέχεται στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα η δυνατότητα να συζητήσει τα αποτελέσματα αυτοματοποιημένης απόφασης που το αφορά με εκπρόσωπο του συμβαλλόμενου μέρους που λαμβάνει τέτοια απόφαση ή, διαφορετικά, να υποβάλει τις παρατηρήσεις του στο εν λόγω συμβαλλόμενο μέρος·
ή
β) όταν ορίζεται διαφορετικά από τη νομοθεσία που ισχύει για τον εξαγωγέα των δεδομένων.
ΠΑΡΑΡΤΗΜΑ B
ΠΕΡΙΓΡΑΦΗ ΤΗΣ ΔΙΑΒΙΒΑΣΗΣ
[Συμπληρώνεται από τα συμβαλλόμενα μέρη]
ΠΑΡΑΔΕΙΓΜΑΤΑ ΕΜΠΟΡΙΚΩΝ ΡΗΤΡΩΝ (ΠΡΟΑΙΡΕΤΙΚΟΥ ΧΑΡΑΚΤΗΡΑ)
Αποζημίωση μεταξύ του εξαγωγέα και του εισαγωγέα των δεδομένων:
«Τα συμβαλλόμενα μέρη αποζημιώνονται αμοιβαίως για κάθε κόστος, επιβάρυνση, ζημία, δαπάνη ή απώλεια που προξενεί το ένα στο άλλο συνεπεία της παραβίασης οποιασδήποτε διάταξης των παρουσών ρητρών. Η αποζημίωση υπόκειται στις εξής προϋποθέσεις: α) το συμβαλλόμενο μέρος που δέχεται την αποζημίωση (“αποζημιούμενο συμβαλλόμενο μέρος”) ενημερώνει αμέσως το άλλο συμβαλλόμενο μέρος (“συμβαλλόμενο μέρος που προβαίνει στην αποζημίωση”) για την ύπαρξη απαίτησης· β) το συμβαλλόμενο μέρος που προβαίνει στην αποζημίωση έχει τον αποκλειστικό έλεγχο της διαδικασίας άμυνάς του κατά οποιασδήποτε τέτοιας απαίτησης και διευθέτησής της και γ) το αποζημιούμενο συμβαλλόμενο μέρος προσφέρει εύλογη συνεργασία και αρωγή στο συμβαλλόμενο μέρος που προβαίνει στην αποζημίωση στην άμυνά του κατά τέτοιας απαίτησης.»
Επίλυση διαφορών μεταξύ του εξαγωγέα και του εισαγωγέα των δεδομένων (εξυπακούεται ότι τα συμβαλλόμενα μέρη μπορούν να χρησιμοποιήσουν οποιαδήποτε άλλη εναλλακτική ρήτρα επίλυσης διαφορών ή απονομής δικαιοδοσίας):
«Σε περίπτωση διαφοράς μεταξύ του εισαγωγέα και του εξαγωγέα των δεδομένων σχετικά με οποιαδήποτε υποτιθέμενη παραβίαση οποιασδήποτε διάταξης των παρουσών ρητρών, η διαφορά αυτή θα επιλύεται οριστικά βάσει των κανόνων διαιτησίας του Διεθνούς Εμπορικού Επιμελητηρίου (International Chamber of Commerce) από έναν ή περισσότερους διαιτητές, οριζόμενους σύμφωνα με τους προαναφερθέντες κανόνες. Τόπος διαιτησίας θα είναι [ ]. Ο αριθμός των διαιτητών θα είναι [ ].»
Κατανομή των δαπανών:
«Κάθε συμβαλλόμενο μέρος εκπληρώνει τις υποχρεώσεις που υπέχει βάσει των παρουσών ρητρών με δικά του έξοδα.».
Πρόσθετη ρήτρα καταγγελίας:
«Σε περίπτωση καταγγελίας των παρουσών ρητρών, ο εισαγωγέας των δεδομένων υποχρεούται να επιστρέψει αμέσως στον εξαγωγέα των δεδομένων όλα τα δεδομένα προσωπικού χαρακτήρα και όλα τα αντίγραφα των δεδομένων προσωπικού χαρακτήρα που υπόκεινται στις παρούσες ρήτρες ή, κατ’ επιλογή του εξαγωγέα των δεδομένων, να καταστρέψει όλα τα αντίγραφα των εν λόγω δεδομένων και να πιστοποιήσει στον εξαγωγέα των δεδομένων ότι προέβη στην ενέργεια αυτή, εκτός εάν το εθνικό του δίκαιο ή η τοπική του ρυθμιστική αρχή δεν επιτρέπουν στον εισαγωγέα των δεδομένων την καταστροφή ή την επιστροφή του συνόλου ή μέρους των δεδομένων αυτών. Στην περίπτωση αυτή, τα δεδομένα αντιμετωπίζονται ως εμπιστευτικά και δεν υποβάλλονται σε επεξεργασία για κανένα σκοπό. Ο εισαγωγέας των δεδομένων συμφωνεί, αν υποβληθεί σχετικό αίτημα από τον εξαγωγέα των δεδομένων, να επιτρέψει στον εξαγωγέα των δεδομένων ή σε οργανισμό επιθεώρησης που θα επιλεγεί από τον εξαγωγέα των δεδομένων και κατά του οποίου ο εισαγωγέας των δεδομένων δεν προβάλλει λογικές αντιρρήσεις την πρόσβαση στις εγκαταστάσεις του προκειμένου να ελεγχθεί η τήρηση της υποχρέωσης αυτής. Στην περίπτωση αυτή, ο έλεγχος θα γίνει έπειτα από εύλογη προθεσμία προειδοποίησης και κατά τη διάρκεια του κανονικού ωραρίου εργασίας.»
( 1 ) ΕΕ L 281 της 23.11.1995, σ. 31.
( 2 ) Η διεύθυνση της ομάδας εργασίας στο διαδίκτυο είναι η εξής: http://www.europa.eu.int/comm/internal market/en/media/dataprot/wpdocs/indez.htm.
( 3 ) WP 4 (5020/97) «Αρχικοί προσανατολισμοί για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες — Δυνατοί τρόποι εκτίμησης της επάρκειας της προστασίας», έγγραφο συζήτησης που εγκρίθηκε από την ομάδα εργασίας στις 26 Ιουνίου 1997.
WP 7 (5057/97) Έγγραφο εργασίας: «Εκτίμηση της αποτελεσματικότητας των πράξεων αυτορρύθμισης του τομέα: πότε συμβάλλουν ουσιαστικά στο επίπεδο προστασίας δεδομένων μιας τρίτης χώρας», εγκρίθηκε από την ομάδα εργασίας στις 14 Ιανουαρίου 1998.
WP 9 (3005/98) Έγγραφο εργασίας: «Προκαταρκτικές απόψεις για τη χρήση συμβατικών διατάξεων κατά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες», εγκρίθηκε από την ομάδα εργασίας στις 22 Απριλίου 1998.
WP 12: «Διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες: εφαρμογή των άρθρων 25 και 26 της οδηγίας της ΕΕ για την προστασία των δεδομένων», εγκρίθηκε από την ομάδα εργασίας στις 24 Ιουλίου 1998 και διατίθεται στον ιστοχώρο της Ευρωπαϊκής Επιτροπής «europa.eu.int/comm/internal—markt/en/media.dataprot/wpdocs/wp12/en».
( 4 ) Γνωμοδότηση αριθ. 1/2001, που εγκρίθηκε από την ομάδα εργασίας στις 26 Ιανουαρίου 2001 (ΓΔ MARKT 5102/WP 38)· διατίθεται στον ιστοχώρο «Europa» της Ευρωπαϊκής Επιτροπής.
( 5 ) Ο όρος «σχετικές διατάξεις» σημαίνει τις διατάξεις κάθε άδειας ή απόφασης πλην των διατάξεων εκτέλεσής της (που θα διέπονται από τις παρούσες ρήτρες).
( 6 ) Ωστόσο, όταν υιοθετείται αυτή η επιλογή, πρέπει να εφαρμόζονται οι διατάξεις του σημείου 5 του παραρτήματος A, σχετικά με τα δικαιώματα πρόσβασης, διόρθωσης, διαγραφής και αντίταξης, οι οποίες υπερισχύουν κάθε άλλης ανάλογης διάταξης της επιλεγείσας απόφασης της Επιτροπής.
