EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 02001D0497-20050401
Commission Decision of 15 June 2001 on standard contractual clauses for the transfer of personal data to third countries, under Directive 95/46/EC (notified under document number C(2001) 1539) (Text with EEA relevance) (2001/497/EC)
Consolidated text: Komisijos Sprendimas 2001 m. birželio 15 d. dėl sutarčių, susijusių su asmens duomenų perdavimu trečiosioms šalims, tipinių punktų, atsižvelgiant į Direktyvą 95/46/EB (pranešta dokumentu Nr. C(2001) 1539) (tekstas svarbus EEE) (2001/497/EB)
Komisijos Sprendimas 2001 m. birželio 15 d. dėl sutarčių, susijusių su asmens duomenų perdavimu trečiosioms šalims, tipinių punktų, atsižvelgiant į Direktyvą 95/46/EB (pranešta dokumentu Nr. C(2001) 1539) (tekstas svarbus EEE) (2001/497/EB)
2001D0497 — LT — 01.04.2005 — 001.001
Šis dokumentas yra skirtas tik informacijai, ir institucijos nėra teisiškai atsakingos už jo turinį
|
KOMISIJOS SPRENDIMAS 2001 m. birželio 15 d. dėl sutarčių, susijusių su asmens duomenų perdavimu trečiosioms šalims, tipinių punktų, atsižvelgiant į Direktyvą 95/46/EB (pranešta dokumentu Nr. C(2001) 1539) (tekstas svarbus EEE) (OL L 181, 4.7.2001, p.19) |
iš dalies keičiamas:
|
|
|
Oficialusis leidinys |
||
|
No |
page |
date |
||
|
L 385 |
74 |
29.12.2004 |
||
KOMISIJOS SPRENDIMAS
2001 m. birželio 15 d.
dėl sutarčių, susijusių su asmens duomenų perdavimu trečiosioms šalims, tipinių punktų, atsižvelgiant į Direktyvą 95/46/EB
(pranešta dokumentu Nr. C(2001) 1539)
(tekstas svarbus EEE)
(2001/497/EB)
EUROPOS BENDRIJŲ KOMISIJA,
atsižvelgdama į Europos bendrijos steigimo sutartį,
atsižvelgdama į 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvą 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ( 1 ), ypač į jos 26 straipsnio 4 dalį,
kadangi:|
(1) |
Pagal Direktyvą 95/46/EB valstybės narės privalo imtis priemonių, kad asmens duomenys būtų perduodami trečiajai šaliai tik tuomet, jei ta trečioji šalis užtikrina pakankamą apsaugos lygį ir prieš perduodant duomenis atsižvelgiama į tos valstybės narės įstatymus, įgyvendinančius kitas tos direktyvos nuostatas. |
|
(2) |
Vis dėlto Direktyvos 95/46/EB 26 straipsnio 2 dalis nurodo, kad valstybės narės gali leisti vieną ar daugiau kartų perduoti asmens duomenis trečiosioms šalims, kurios neužtikrina reikiamos apsaugos, su sąlyga, kad bus garantuotos tam tikros apsaugos priemonės. Tokios apsaugos priemonės pirmiausia gali būti nustatytos atitinkamuose sutarčių punktuose. |
|
(3) |
Pagal Direktyvą 95/46/EB, duomenų apsaugos lygį reikia įvertinti, atsižvelgiant į visas su duomenų perdavimo operacija arba duomenų perdavimo operacijų rinkiniu susijusias aplinkybes. Pagal šią direktyvą įkurta Darbo grupė dėl asmenų apsaugos, tvarkant asmens duomenis ( 2 ), išleido gaires, tokiems įvertinimams ( 3 ). |
|
(4) |
Reikiamą asmens duomenų srautą tarp Bendrijos ir trečiųjų šalių, ekonominiams operatoriams netaikant nereikalingų suvaržymų, reglamentuoja Direktyvos 95/46/EB 26 straipsnio 2 dalis, kuri nurodo, kad organizacijos, norinčios perduoti duomenis trečiosioms šalims, turi būti lanksčios, ir 26 straipsnio 4 dalis, kuri nustato tipinius sutarčių punktus. Šie straipsniai svarbūs visų pirma todėl, kad Komisija, atsižvelgdama į 25 straipsnio 6 dalį, per vidutinės trukmės ar net trumpesnį laikotarpį paskelbs savo išvadas tikriausiai tik dėl kai kurių šalių apsaugos lygio. |
|
(5) |
Atsižvelgiant į Direktyvą 95/46/EB, į jos 25 straipsnį ir į 26 straipsnio 1 ir 2 dalis, tipiniai sutarčių punktai tėra tik viena iš keleto galimybių, kaip teisėtai trečiosioms šalims perduoti asmens duomenis. Į sutartis įtraukus tipinius sutarčių punktus, organizacijoms bus paprasčiau perduoti duomenis trečiosioms šalims. Tipiniai sutarčių punktai yra susiję tik su duomenų apsauga. Duomenų eksportuotojas ir duomenų importuotojas gali į sutartį įtraukti kitus su sutarties dalyku susijusius punktus, pavyzdžiui, punktus dėl tarpusavio pagalbos kilus ginčų su duomenų subjektu ar priežiūros institucija, kurie, jų manymu, yra susiję su sutartimi, tačiau su sąlyga, kad šie neprieštaraus tipiniams sutarčių punktams. |
|
(6) |
Šis sprendimas nepažeidžia nacionalinių įgaliojimų, kuriuos valstybės narės gali suteikti, atsižvelgdamos į nacionalines nuostatas, kuriomis įgyvendinama Direktyvos 95/46/EB 26 straipsnio 2 dalis. Konkretaus perdavimo aplinkybės gali reikalauti, kad duomenų valdytojas, remdamasis 26 straipsnio 2 dalimi, užtikrintų specialias apsaugos priemones. Bet kokiu atveju šiuo sprendimu tik reikalaujama, kad valstybės narės neatsisakytų pripažinti sprendime nurodytų sutarčių punktų, užtikrinančių reikiamas apsaugos priemones. Kitiems sutarčių punktams šis sprendimas netaikytinas. |
|
(7) |
Šio sprendimo taikymo sritis apsiriboja tuo, kad Bendrijos duomenų valdytojas gali naudoti priede nurodytus punktus tam, kad, remdamasis Direktyvos 95/46/EB 26 straipsnio 2 dalimi, užtikrintų reikiamas apsaugos priemones. Asmens duomenų perdavimas trečiosioms šalims — tai valstybės narės duomenų tvarkymo operacija, kurios teisėtumą reglamentuoja nacionaliniai įstatymai. Valstybių narių duomenų apsaugos priežiūros institucijos, atlikdamos Direktyvos 95/46/EB 28 straipsnyje nurodytas funkcijas ir naudodamosi tame pačiame straipsnyje nurodytomis teisėmis, turėtų būti kompetentingos įvertinti, ar duomenų eksportuotojas laikosi nacionalinių teisės aktų, įgyvendinančių Direktyvos 95/46/EB nuostatas, ir ypač specialių taisyklių, kurios, atsižvelgiant į minėtąją direktyvą, įpareigoja teikti informaciją. |
|
(8) |
Šis sprendimas nereglamentuoja Bendrijoje įsteigtų duomenų valdytojų atliekamo asmens duomenų perdavimo duomenų gavėjams, įsteigtiems už Bendrijos ribų, kurie veikia tik kaip duomenų tvarkytojai. Tokiam duomenų perdavimui atlikti nereikia minėtų apsaugos priemonių, nes duomenų tvarkytojas veikia tik duomenų valdytojo vardu. Komisija ketina tokį duomenų perdavimą reglamentuoti kitu sprendimu. |
|
(9) |
Reikėtų nustatyti būtiniausią informaciją, kurią šalys privalo nurodyti duomenų perdavimo sutartyje. Valstybės narės pasilieka teisę patikslinti, kokią informaciją šalys turi pateikti. Šis sprendimas turėtų būti tikslinamas, atsižvelgiant į įgytą patirtį. |
|
(10) |
Komisija ateityje taip pat svarstys, ar verslo organizacijų ir kitų suinteresuotųjų šalių pateikti tipiniai sutarčių punktai užtikrina reikiamas apsaugos priemones, kurias nurodo Direktyva 95/46/EB. |
|
(11) |
Nors šalys turėtų turėti teisę susitarti dėl svarbiausių duomenų apsaugos taisyklių, kurių turi laikytis duomenų importuotojas, tam tikri duomenų apsaugos principai turėtų būti taikomi bet kokiu atveju. |
|
(12) |
Duomenys turėtų būti tvarkomi ir vėliau naudojami ar toliau perduodami tik nurodytais tikslais, ir neturi būti laikomi ilgiau nei reikia. |
|
(13) |
Atsižvelgiant į Direktyvos 95/46/EB 12 straipsnį, duomenų subjektas turėtų turėti teisę gauti visus su juo susijusius duomenis ir prireikus reikalauti, kad tam tikri duomenys būtų ištaisyti, sunaikinti, ar sustabdyti tvarkymo veiksmus. |
|
(14) |
Asmens duomenys gali būti perduodami kitam trečiojoje šalyje įsteigtam duomenų valdytojui tik atsižvelgus į tam tikras sąlygas ir pirmiausia užtikrinus, kad duomenų subjektai gaus reikiamą informaciją ir turės galimybę paprieštarauti arba tam tikrais atvejais neduoti sutikimo. |
|
(15) |
Priežiūros institucijos turėtų ne tik vertinti, ar laikomasi nacionalinių teisės aktų perduodant duomenis trečiosioms šalims, sudarant šias sutartis, joms turėtų tekti svarbiausias vaidmuo užtikrinant, kad perduotieji asmens duomenys bus toliau tinkamai saugomi. Tam tikromis aplinkybėmis, atsižvelgdamos į tipinius sutarčių punktus, valstybių narių priežiūros institucijos turėtų pasilikti teisę uždrausti ar sustabdyti duomenų perdavimą ar duomenų perdavimų srautą tais išimtiniais atvejais, kai nustatoma, kad duomenų perdavimas pagal sutartį gali iš esmės pakenkti garantijoms, kurios duomenų subjektui suteikia reikiamą apsaugą. |
|
(16) |
Tipinių sutarčių punktų turėtų laikytis ne tik organizacijos, kurios yra tos sutarties šalys, bet ir duomenų subjektai, ypač jei pažeidus sutartį žalą patiria duomenų subjektai. |
|
(17) |
Sutarčiai turėtų būti taikoma valstybės narės, kurioje duomenų eksportuotojas yra įsisteigęs, teisė, kuri įgalintų trečiąją šalį, naudos iš sutarties gavėją, užtikrinti sutarties vykdymą. Duomenų subjektams gali atstovauti asociacijos ar kitos institucijos, jeigu to pageidauja duomenų subjektai ir leidžia nacionaliniai teisės aktai. |
|
(18) |
Siekdami sumažinti praktinius sunkumus, kuriuos duomenų subjektai gali patirti, stengdamiesi realizuoti savo teises pagal tipinius sutarčių punktus, duomenų eksportuotojas ir duomenų importuotojas turėtų solidariai ir individualiai atsakyti už žalą, atsiradusią pažeidus tas nuostatas, kuriomis yra apdrausta trečioji šalis, naudos iš sutarties gavėja. |
|
(19) |
Duomenų subjektas turi teisę pareikšti ieškinį duomenų eksportuotojui, duomenų importuotojui arba jiems abiem ir gauti iš jų kompensaciją už žalą, atsiradusią dėl bet kokių veiksmų, kurie prieštarauja tipiniuose sutarčių punktuose įtvirtintiems įsipareigojimams. Abi šalys gali būti atleistos nuo šios atsakomybės, jeigu įrodytų, kad nė viena iš jų už tai neatsako. |
|
(20) |
Šalys nei solidariai, nei individualiai neatsako pagal tas nuostatas, kurios nėra įtrauktos į trečiosios šalies, naudos iš sutarties gavėjos, punktą, ir neprivalo atlyginti žalą, atsiradusią dėl neteisėtų kitos šalies veiksmų. Nors šalies atlyginimas už kitai šaliai padarytą žalą nėra privalomas užtikrinant reikiamą duomenų subjekto apsaugą ir todėl gali būti išbrauktas, į tipinius sutarčių punktus jis įtrauktas aiškumo dėlei ir tam, kad šalims nereikėtų atskirai derėtis dėl žalos atlyginimo sąlygų. |
|
(21) |
Tarp šalių ir duomenų subjekto kilus ginčui, kurio nepavyktų išspręsti taikiai, ir duomenų subjektui remiantis trečiosios šalies, naudos iš sutarties gavėjos, punktu, šalys susitaria leisti duomenų subjektui pačiam pasirinkti, ar šį ginčą spręsti tarpininkavimo būdu, ar arbitraže, ar teisme. Duomenų subjekto pasirinkimo laisvė priklausys nuo to, ar bus patikima ir pripažinta tarpininkavimo ar arbitražo sistema. Tarpininkės galėtų būti valstybių narių priežiūros institucijos, jeigu jos tokią paslaugą teikia. |
|
(22) |
Darbo grupė dėl asmenų apsaugos tvarkant asmens duomenis, sudaryta, atsižvelgus į Direktyvos 95/46/EB 29 straipsnį, pateikė savo nuomonę dėl apsaugos, suteikiamos pagal tipinius sutarčių punktus, lygio, kuri pridedama prie šio sprendimo kaip priedas. Į šią nuomonę buvo atsižvelgta, rengiant šį sprendimą ( 4 ). |
|
(23) |
Šiame sprendime įtvirtintos priemonės yra pateikiamos, atsižvelgiant į Komiteto išvadą, priimtą, remiantis Direktyvos 95/46/EB 31 straipsniu, |
PRIĖMĖ ŠĮ SPRENDIMĄ:
1 straipsnis
Atsižvelgiant į Direktyvos 95/46/EB 26 straipsnio 2 dalį, priede nurodyti tipiniai sutarčių punktai vertinami kaip suteikiantys reikiamas apsaugos priemones asmens privatumo ir jo pagrindinių teisių ir laisvių apsaugai ir atitinkamoms teisėms įgyvendinti.
Duomenų valdytojai gali pasirinkti I arba II rinkinį, pateiktą priede. Tačiau, jie negali iš dalies keisti punktų ar derinti atskirų rinkinių punktų.
2 straipsnis
Šis sprendimas susijęs tik su reikiama asmens duomenų perdavimo apsauga, įtvirtinta priede nurodytuose tipiniuose sutarčių punktuose. Jis netaikomas kitoms su asmens duomenų tvarkymu valstybėse narėse susijusioms nacionalinėms nuostatoms, įgyvendinančioms Direktyvą 95/46/EB.
Šis sprendimas netaikomas tiems asmens duomenims, kuriuos Bendrijoje įsisteigę duomenų valdytojai perduoda duomenų gavėjams, įsisteigusiems už Bendrijos ribų, kurie veikia tik kaip duomenų tvarkytojai.
3 straipsnis
Šiame sprendime:
a) sąvokos naudojamos Direktyvoje 95/46/EB nustatytomis reikšmėmis;
b) „ypatingi asmens duomenys“ reiškia minėtosios direktyvos 8 straipsnyje nurodytus duomenis;
c) „priežiūros institucija“ reiškia minėtosios direktyvos 28 straipsnyje nurodytą instituciją;
d) „duomenų eksportuotojas“ reiškia duomenų valdytoją, kuris perduoda asmens duomenis;
e) „duomenų importuotojas“ reiškia duomenų valdytoją, kuris sutinka iš duomenų eksportuotojo gauti asmens duomenis, skirtus toliau tvarkyti atsižvelgiant į šio sprendimo nuostatas.
4 straipsnis
1. Valstybių narių kompetentingos institucijos, nepažeisdamos savo teisių imtis priemonių, skirtų užtikrinti, kad būtų laikomasi nacionalinių nuostatų, priimtų, atsižvelgiant į Direktyvos 95/46/EB II, III, V ir VI skyrius, gali pasinaudoti savo teisėmis uždrausti ar sustabdyti duomenų srautus į trečiąsias šalis, siekdamos apsaugoti asmenis, kai tvarkomi jų asmens duomenys, jeigu:
a) remiantis duomenų importuotojui taikoma teise, jis turi su tam tikromis išimtimis laikytis atitinkamų duomenų apsaugos taisyklių, kurios, atsižvelgiant į Direktyvos 95/46/EB 13 straipsnį, viršija demokratinėje visuomenėje nustatytus apribojimus, jeigu tokie reikalavimai gali iš esmės pakenkti tipiniuose sutarčių punktuose nurodytoms garantijoms; arba
b) kompetentinga institucija nustato, kad duomenų importuotojas nesilaikė sutarties punktų; arba
c) yra pagrindo manyti, kad priede nurodytų tipinių sutarčių punktų nebuvo arba nebus laikomasi, o duomenų perdavimas neišvengiamai sukeltų duomenų subjektams didelės žalos pavojų.
2. 1 dalies, kurioje nurodyta, kad domenų valdytojas pateikia adekvačias apsaugos priemones remdamasis sutarčių tipiniais punktais, nurodytais priedo II rinkinyje, tikslais kompetentingos duomenų apsaugos institucijos turi teisę pasinaudoti joms suteiktomis galiomis uždrausdamos arba sustabdydamos duomenų srautus jeigu:
a) duomenų importuotojas atsisako sąžiningai bendradarbiauti su duomenų apsaugos institucijomis arba vykdyti aiškius sutarties įsipareigojimus;
b) duomenų eksportuotojas atsisako imtis atitinkamų veiksmų siekiant užtikrinti, kad duomenų importuotojas per įprastinį vieno mėnesio laikotarpį po to, kai kompetentinga duomenų apsaugos institucija įspėjo duomenų eksportuotoją, įvykdytų sutartį.
Pirmosios pastraipos tikslais duomenų importuotojo atsisakymui turint negerų ketinimų arba atsisakymui užtikrinti sutarties vykdymą nepriklauso atvejai, kai bendradarbiavimas arba vykdymas prieštarautų duomenų importuotojui taikomiems privalomiems nacionalinių teisės aktų reikalavimams, kurie nėra griežtesni nei būtina demokratinėje visuomenėje ir yra paremti vienu iš Direktyvos 95/46/EB 13 straipsnio 1 dalyje nurodytų interesų, ypač tarptautinėse ir (arba) nacionalinėse priemonėse nustatytomis sankcijomis, mokesčių ataskaitų reikalavimais arba pinigų plovimo prevencijos ataskaitų reikalavimais.
Pirmosios pastraipos a punkto tikslais bendradarbiavimui visų pirma gali būti priskirtas duomenų importuotojo duomenų apdorojimo priemonių pateikimas auditui arba įsipareigojimas paklusti Bendrijos duomenų apsaugos priežiūros institucijos patarimams.
3. 1 ir 2 dalyse nurodytas uždraudimas ar sustabdymas nedelsiant atšaukiamas, pašalinus tokio uždraudimo ar sustabdymo priežastis.
4. Jeigu valstybės narės imasi 1, 2 ir 3 dalyje nurodytų priemonių, jos nedelsdamos apie tai praneša Komisijai, kuri šią informaciją perduoda kitoms valstybėms narėms.
5 straipsnis
►M1 Komisija, remdamasi turima informacija, per tris metus po pranešimo valstybėms narėms apie šį sprendimą ir bet kokį jo pakeitimą įvertina šio sprendimo veikimą. ◄ Ataskaitą apie rezultatus ji pateikia komitetui, įsteigtam vadovaujantis Direktyvos 95/46/EB 31 straipsniu. Joje turi būti pateikti visi įrodymai, kuriais remiantis atliktas priede pateiktų tipinių sutarčių punktų tinkamumo įvertinimas, ir bet kokius įrodymus, patvirtinančius, kad taikant šį sprendimą kas nors yra diskriminuojamas.
6 straipsnis
Šis sprendimas taikomas nuo 2001 m. rugsėjo 3 d.
7 straipsnis
Šis sprendimas skirtas valstybėms narėms.
PRIEDAS
I RINKINYS
1 priedėlis
Prie tipinių sutarčių punktų
2 priedėlis
Prie tipinių sutarčių punktų
5 punkto b papunkčio pirmojoje pastraipoje nurodyti privalomi duomenų apsaugos principai
Šie duomenų apsaugos principai turėtų būti skaitomi ir aiškinami, atsižvelgus į Direktyvos 95/46/EB nuostatas (principus ir reikiamas išimtis).
Jie taikomi atsižvelgus į privalomus nacionalinių teisės aktų, kurie taikomi duomenų importuotojui, reikalavimus, kurie neviršija demokratinei visuomenei taikomų reikalavimų, remiantis vienu iš Direktyvos 95/46/EB 13 straipsnio 1 dalyje nurodytų interesų, tai yra, jeigu jais sukuriamos reikiamos priemonės, suteikiančios apsaugą nacionaliniam saugumui, gynybai, visuomenės saugumui, nusikaltimų prevencijai, tyrimui, išaiškinimui, baudžiamajam persekiojimui bei reglamentuojamų profesijų etikos pažeidimų prevencijai, tyrimui, išaiškinimui ir svarbiems ekonominiams ar finansiniams valstybės interesams arba duomenų subjekto, arba kitų asmenų teisių ir laisvių apsaugai.
1. Tikslų apribojimas: duomenys turi būti tvarkomi ir vėliau naudojami ar toliau perduodami tik šių punktų 1 priedėlyje nurodytais tikslais. Duomenys negali būti laikomi ilgiau, nei to reikia tikslams, kuriais jie perduodami, įgyvendinti.
2. Duomenų kokybė ir proporcingumas: duomenys turi būti tikslūs, ir, jeigu reikia, turi būti tikslinami. Duomenys turi atitikti tikslus, kuriais jie yra perduodami ir toliau tvarkomi, jie turi būti su šiais tikslais susiję, jų neturi būti nei per daug, nei per mažai.
3. Skaidrumas: duomenų subjektams turi būti suteikta informacija apie tikslus, kuriais duomenys yra tvarkomi, informacija apie trečiosios šalies duomenų valdytojo tapatybę bei kita informacija, jeigu ji būtina, kad duomenys būtų tvarkomi sąžiningai, nebent duomenų eksportuotojui tokia informacija jau buvo suteikta.
4. Saugumas ir konfidencialumas: duomenų valdytojas turi imtis techninių ir organizacinių saugumo priemonių, kad apsisaugotų nuo rizikos, susijusios su neteisėtu duomenų gavimu tvarkant duomenis. Asmenys, veikiantys pagal duomenų valdytojo įgaliojimą, tarp jų ir duomenų tvarkytojas, duomenis gali tvarkyti tik gavę duomenų valdytojo nurodymus.
5. Teisė gauti informaciją, ištaisyti, sunaikinti ir sustabdyti duomenų tvarkymo veiksmus: remiantis Direktyvos 95/46/EB 12 straipsniu, duomenų subjektas turi turėti teisę gauti informaciją apie visus su juo susijusius tvarkomus duomenis, o prireikus — teisę juos ištaisyti, sunaikinti ar sustabdyti duomenų tvarkymo veiksmus, jeigu duomenys tvarkomi nesilaikant šiame priedėlyje nustatytų principų, ypač jeigu duomenys yra neišsamūs ar netikslūs. Duomenų subjektui taip pat turi būti suteikta galimybė, nurodžius teisėtą pagrindą, atsižvelgus į savo konkrečią padėtį, prieštarauti, kad su juo susiję duomenys būtų tvarkomi.
6. Tolesnio duomenų perdavimo apribojimai: duomenų importuotojas gali toliau perduoti asmens duomenis kitam trečiojoje šalyje įsteigtam duomenų valdytojui, kuris neužtikrina reikiamos apsaugos arba kuris nėra nurodytas Komisijos sprendime, priimtame atsižvelgus į Direktyvos 95/46/EB 25 straipsnio 6 dalį (tolesnis duomenų perdavimas), tik vienu iš šių atvejų, jeigu:
a) duomenų subjektai yra davę aiškų sutikimą toliau perduoti ypatingus savo duomenis arba jeigu jiems buvo suteikta galimybė pareikšti prieštaravimą.
Duomenų subjektams jiems suprantama kalba turi būti pateikta ši būtiniausia informacija:
— tolesnio duomenų perdavimo tikslai,
— duomenys apie Bendrijoje įsisteigusį duomenų eksportuotoją,
— tolesnių duomenų gavėjų kategorijos ir šalys gavėjos ir
— paaiškinimas, kad toliau perduotus duomenis gali tvarkyti duomenų valdytojas, įsisteigęs šalyje, kuri neužtikrina reikiamos asmens privatumo apsaugos; arba
b) duomenų eksportuotojas ir importuotojas sutinka laikytis kito duomenų valdytojo punktų, o šis duomenų valdytojas tampa šių punktų šalimi ir prisiima tuos pačius įsipareigojimus kaip ir duomenų importuotojas.
7. Ypatingi asmens duomenys: tvarkant duomenis, kurie atskleidžia rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus arba narystę profesinėse sąjungose, taip pat tvarkant duomenis apie asmens sveikatą ar lytinį gyvenimą, duomenis, susijusius su nusikalstamomis veikomis, teistumu ar saugumo priemonėmis, remiantis Direktyva 95/46/EB, turi būti užtikrintos papildomos apsaugos priemonės, ypač reikiamos saugumo priemonės, tokios kaip sudėtingas duomenų užšifravimas prieš juos perduodant arba asmenų, gaunančių ypatingus asmens duomenis, registravimas.
8. Tiesioginė rinkodara: jeigu duomenys tvarkomi tiesioginės rinkodaros tikslais, turi būti užtikrintos veiksmingos procedūros, įgalinančios duomenų subjektą bet kuriuo metu pareikalauti, kad jo duomenys šiais tikslais nebūtų naudojami.
9. Atskiri automatiniai sprendimai: duomenų subjektai turi teisę nevykdyti sprendimų, kurie pagrįsti tik duomenų tvarkymu automatiniu būdu, nebent jeigu, atsižvelgus į Direktyvos 95/46/EB 15 straipsnio 2 dalį, būtų imtasi kitų priemonių asmens teisėtiems interesams apsaugoti. Jeigu duomenys perduodami siekiant priimti Direktyvos 95/46/EB 15 straipsnyje nurodytą automatinį sprendimą, dėl kurio toks asmuo patiria teisinių pasekmių, arba kuris iš esmės daro jam įtaką ir yra pagrįstas tik automatiniu duomenų tvarkymu, kuriuo siekiama įvertinti tam tikras su tokiu asmeniu susijusias asmenines savybes: darbingumą, kreditingumą, patikimumą, elgesį ir pan., asmuo turėtų teisę žinoti tokio sprendimo motyvus.
3 priedėlis
Prie tipinių sutarčių punktų
5 punkto b papunkčio antrojoje pastraipoje nurodyti privalomi duomenų apsaugos principai
1. Tikslų apribojimas: duomenys turi būti tvarkomi ir vėliau naudojami ar toliau perduodami tik šių punktų 1 priedėlyje nurodytais tikslais. Duomenys negali būti laikomi ilgiau, nei to reikia tikslams, kuriais jie perduodami, įgyvendinti.
2. Teisė gauti informaciją, ištaisyti, sunaikinti ir sustabdyti duomenų tvarkymo veiksmus: vadovaujantis Direktyvos 95/46/EB 12 straipsniu, duomenų subjektas turi turėti teisę gauti informaciją apie visus su juo susijusius tvarkomus duomenis, o prireikus — teisę juos ištaisyti, sunaikinti ar sustabdyti duomenų tvarkymo veiksmus, jeigu duomenys tvarkomi nesilaikant šiame priedėlyje nustatytų principų, ypač jeigu duomenys yra neišsamūs ar netikslūs. Duomenų subjektui taip pat turi būti suteikta galimybė, nurodžius teisėtą pagrindą, atsižvelgus į savo konkrečią padėtį, prieštarauti, kad su juo susiję duomenys būtų tvarkomi.
3. Tolesnio duomenų perdavimo apribojimai: duomenų importuotojas gali toliau perduoti asmens duomenis kitam trečiojoje šalyje įsisteigusiam duomenų valdytojui, kuris neužtikrina reikiamos apsaugos arba kuris nėra nurodytas Komisijos sprendime, priimtame atsižvelgus į Direktyvos 95/46/EB 25 straipsnio 6 dalį (tolesnis duomenų perdavimas), tik vienu iš šių atvejų, jeigu:
a) duomenų subjektai yra davę aiškų sutikimą toliau perduoti ypatingus savo duomenis arba jeigu jiems buvo suteikta galimybė pareikšti prieštaravimą.
Duomenų subjektams jiems suprantama kalba turi būti pateikta ši būtiniausia informacija:
— tolesnio duomenų perdavimo tikslai,
— duomenys apie Bendrijoje įsisteigusį duomenų eksportuotoją,
— tolesnių duomenų gavėjų kategorijos ir šalys gavėjos ir
— paaiškinimas, kad toliau perduotus duomenis gali tvarkyti duomenų valdytojas, įsisteigęs šalyje, kuri neužtikrina reikiamos asmens privatumo apsaugos; arba
b) duomenų eksportuotojas ir importuotojas sutinka laikytis kito duomenų valdytojo punktų, o šis duomenų valdytojas tampa šių punktų šalimi ir prisiima tuos pačius įsipareigojimus kaip ir duomenų importuotojas.
II RINKINYS
Asmens duomenų perdavimo iš Bendrijos į trečiąsias šalis sutarčių tipiniai punktai (vieno valdytojo kitam perdavimai)
Duomenų perdavimo sutartis
Tarp
_ (pavadinimas)
_ (įmonės adresas ir valstybė)
(toliau – duomenų eksportuotojas)
ir
_ (pavadinimas)
_ (įmonės adresas ir valstybė)
(toliau – duomenų importuotojas),
kiekviena atskirai – Šalis, abi kartu – Šalys.
Sąvokų apibrėžimai
Šiuose punktuose:
a) „asmens duomenys“, „ypatingi asmens duomenys“, „tvarkyti duomenis (duomenų tvarkymas)“, „valdytojas“, „tvarkytojas“, „duomenų subjektas“ ir „priežiūros institucija (institucija)“ turi 1995 m. spalio 24 d. Direktyvoje 95/46/EB įtvirtintas reikšmes („institucija“ – kompetentinga duomenų apsaugos institucija, veikianti toje teritorijoje, kurioje yra įsisteigęs duomenų eksportuotojas);
b) „duomenų eksportuotojas“ – asmens duomenis perduodantis duomenų valdytojas;
c) „duomenų importuotojas“ – duomenų valdytojas, sutinkantis iš duomenų eksportuotojo gauti asmens duomenis ir juos toliau tvarkyti atsižvelgdamas į šių punktų sąlygas ir nepriklausantis trečiosios šalies sistemai, užtikrinančiai reikiamą apsaugą;
d) „punktai“ – šie sutarčių punktai, kurie yra neprivalomas dokumentas, kuriame neįtrauktos komercinės verslo sąlygos, kurias Šalys nustato atskirais susitarimais.
Su perdavimu susijusi išsami informacija (taip pat ir perduodami asmens duomenys) nurodoma B priede, kuris yra neatsiejama šių punktų dalis.
I. Duomenų eksportuotojo įsipareigojimai
Duomenų eksportuotojas garantuoja ir užtikrina, kad:
a) asmens duomenys būtų surenkami, tvarkomi ir perduodami laikantis duomenų eksportuotojo šalies įstatymų;
b) jis dėjo visas pastangas, kad įsitikintų, jog duomenų importuotojas gali įvykdyti savo teisinius įsipareigojimus pagal šiuos punktus;
c) jis duomenų importuotojui pateiks, jei šis to pageidautų, tos šalies, kurioje įsisteigęs duomenų eksportuotojas, atitinkamų duomenų apsaugos įstatymų ar nuorodų į juos kopijas (jei reikia, bet išskyrus teisinius patarimus);
d) jis atsakys į duomenų subjektų ir institucijos užklausas dėl asmens duomenų, kuriuos tvarko duomenų importuotojas, jei Šalys nesusitarė, kad duomenų importuotojas taip pat turi į jas atsakyti, bet jei duomenų importuotojas nenori arba negali atsakyti, kiek pagrįstai įmanoma į jas atsako ir duomenų eksportuotojas ir pateikia pagrįstai turimą informaciją. Atsakymai pateikiami per pagrįstą laikotarpį;
e) paprašius duomenų subjektams, kurie yra trečioji šalis, naudos iš sutarties gavėja, jis pateiks punktų kopiją, kaip nurodyta III punkte, jei punktuose pateikiama slapta informacija, jis gali tokią informaciją pašalinti. Jei informacija pašalinama, duomenų eksportuotojas praneša duomenų subjektams raštu apie pašalinimo priežastį ir apie jų teisę į pašalinimą atkreipti institucijos dėmesį. Tačiau duomenų eksportuotojas paklūsta institucijos sprendimui dėl duomenų subjektų prieigos prie viso punktų teksto, jei duomenų subjektai sutiko laikytis konfidencialumo principo ir nepažeisti pašalintos informacijos konfidencialumo. Institucijai paprašius duomenų eksportuotojas jai taip pat pateikia punktų kopiją.
II. Duomenų importuotojo įsipareigojimai
Duomenų importuotojas garantuoja ir užtikrina, kad:
a) jis turės reikiamas technines ir organizacines priemones, reikalingas asmens duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo arba atsitiktinio praradimo, pakeitimo, neteisėto atskleidimo ar prieigos, ir kurios suteikia tinkamą apsaugos nuo duomenų tvarkymo ir duomenų pobūdžio keliamo pavojaus lygį;
b) nustatys tvarką, kurios laikydamasi bet kuri trečioji šalis, kuriai jis suteikia leidimą prieigai prie asmens duomenų, įskaitant tvarkytojus, nepažeis ir išlaikys asmens duomenų konfidencialumą ir saugumą. Bet kuris asmuo, vykdantis duomenų importuotojo įgaliojimą, įskaitant duomenų tvarkytoją, asmens duomenis privalės tvarkyti tik pagal duomenų importuotojo nurodymus. Ši nuostata netaikoma įgaliotiems asmenims arba asmenims, kuriems pagal įstatymą ar reglamentą suteikiama teisė į prieigą prie asmens duomenų;
c) naudojimosi punktais metu jis neturi pagrindo manyti, kad vietinių įstatymų buvimas galėtų iš esmės pakenkti punktuose nurodytoms garantijoms, ir jis praneš duomenų eksportuotojui (kuris, jei reikia, tokį pranešimą perduos institucijai), jei sužinos apie tokių įstatymų buvimą;
d) jis tvarko duomenis B priede nurodytais tikslais ir turi teisėtą įgaliojimą išduoti garantijas ir vykdyti šiuose punktuose nustatytus įsipareigojimus;
e) jis duomenų eksportuotojui nurodo savo organizacijos kontaktinį punktą, kuris įgaliotas atsakyti į užklausas dėl asmens duomenų tvarkymo, ir sąžiningai bendradarbiaus su duomenų eksportuotoju, duomenų subjektu ir institucija su tokiomis užklausomis susijusiais klausimais per pagrįstą laikotarpį. Jei sustabdoma duomenų eksportuotojo veikla arba jei Šalys taip susitaria, duomenų importuotojas prisiima atsakomybę už I punkto e dalies nuostatų vykdymą;
f) duomenų eksportuotojui paprašius, jis duomenų eksportuotojui pateiks įrodymų dėl pakankamų finansinių išteklių, reikalingų įsipareigojimų vykdymui pagal III punktą (prie kurių gali būti priskirtas draudimo išlaidų apmokėjimas);
g) prieš tai per pagrįstą laikotarpį įspėjus ir įprastinių darbo valandų metu duomenų eksportuotojui pagrįstai paprašius jis pateikia savo duomenų tvarkymo priemones, duomenų bylas ir tvarkymui reikalingą dokumentaciją, kad duomenų eksportuotojas (arba nepriklausomi ar nešališki inspektoriai ar auditoriai, kuriuos pasirinko duomenų eksportuotojas ir jų kandidatūroms nepagrįstai neprieštaravo duomenų importuotojas, galėtų jas peržiūrėti, atlikti auditą ir (arba) patvirtinti siekiant užtikrinti, kad jos atitinka šiuose punktuose pateiktas garantijas ir įsipareigojimus. Prašymui turi būti suteiktas būtinas duomenų importuotojo šalies kontrolės arba priežiūros institucijos sutikimas ar patvirtinimas, tokį sutikimą ar patvirtinimą duomenų importuotojas stengsis gauti laiku;
h) jis tvarko pasirinktus asmens duomenis pagal:
i) šalies, kurioje įsisteigęs duomenų eksportuotojas, duomenų apsaugos įstatymus;
ii) atitinkamas bet kurio Komisijos sprendimo nuostatas ( 5 ), kaip nurodyta Direktyvos 95/46/EB 25 straipsnio 6 dalyje, jei duomenų importuotojas atitinka reikiamas tokio įgaliojimo ar sprendimo nuostatas ir yra įsisteigęs toje šalyje, kuriai taikomas toks įgaliojimas ar sprendimas, bet jam nėra taikomas toks įgaliojimas ar leidimas asmens duomenims ( 6 ) perduoti;
iii) duomenų tvarkymo principus, nurodytus A priede.
Duomenų importuotojas nurodo, kurią galimybę jis pasirenka: _
Duomenų importuotojo inicialai: _
i) Jis neatskleidžia ir neperduoda asmens duomenų trečiosios šalies valdytojui, kuris įsisteigęs ne Europos ekonominėje erdvėje (EEE) nepranešęs duomenų eksportuotojui apie tokį perdavimą ir:
i) trečiosios šalies duomenų valdytojas tvarko asmens duomenis pagal Komisijos sprendimą, jei trečioji šalis užtikrina tinkamą apsaugą, arba
ii) trečiosios šalies duomenų valdytojas pasirašo šiuos punktus ar kitą duomenų perdavimo susitarimą, patvirtintą ES kompetentingos institucijos, arba
iii) duomenų subjektams buvo suteikta galimybe prieštarauti, kai jiems pranešama apie duomenų perdavimo tikslus, gavėjų kategorijas ir apie tai, kad šalyse, į kurias eksportuojami duomenys, gali galioti skirtingi duomenų apsaugos standartai, arba
iv) tolesnių ypatingų duomenų perdavimu atžvilgiu duomenų subjektai nedviprasmiškai sutiko, kad duomenys būtų ir toliau perduodami.
III. Trečiosios šalies atsakomybė ir teisės
a) Kiekviena Šalis yra atsakinga kitai Šaliai už pažeidžiant šiuos punktus padarytą žalą. Šalių atsakomybė apsiriboja padarytais nuostoliais. Baudžiamasis žalos atlyginimas (t. y. žalos atlyginimas, kuria siekiama nubausti Šalį už jos netinkamą elgesį) negali būti taikomi. Kiekviena Šalis yra atsakinga duomenų subjektams už pažeidžiant trečiosios Šalies teises pagal šiuos punktus padarytą žalą. Tai neturi poveikio duomenų eksportuotojo atsakomybei pagal duomenų apsaugos įstatymą.
b) Šalys susitaria, kad duomenų subjektas kaip trečioji šalis, naudos iš sutarties gavėja, turi teisę vykdyti šį punktą ir I punkto b dalį, I punkto d dalį, I punkto e dalį, II punkto a dalį, II punkto d dalį, II punkto h dalį, II punkto i dalį, III punkto a dalį, V punktą, VI punkto d dalį ir VII punktą duomenų importuotojo ar duomenų eksportuotojo atžvilgiu, jei šie atitinkamai pažeidžia sutarties įsipareigojimus, susijusius su asmens duomenimis, ir šiuo tikslu priimti duomenų eksportuotojo šalies jurisdikciją. Jei įtariama, kad duomenų importuotojas pažeidė sutartį, duomenų subjektas visų pirma privalo paprašyti duomenų eksportuotojo imtis atitinkamų veiksmų siekiant realizuoti jo teises duomenų importuotojo atžvilgiu; jei duomenų eksportuotojas nesiima tokių veiksmų per pagrįstą laikotarpį (kuris įprastomis aplinkybėmis būtų vienas mėnuo), duomenų subjektas gali tiesiogiai realizuoti savo teises duomenų importuotojo atžvilgiu. Duomenų subjektas turi teisę tiesiogiai iškelti ieškinį duomenų eksportuotojui, nedėjusiam pakankamai pastangų, kad nustatytų, ar duomenų importuotojas gali įvykdyti savo teisinius įsipareigojimus pagal šiuos punktus (duomenų eksportuotojas turi įrodyti, kad dėjo pakankamai pastangų).
IV. Punktams taikoma teisė
Šie punktai taikomi pagal šalies, kurioje įsisteigęs duomenų eksportuotojas, įstatymus, išskyrus įstatymus ir taisykles, susijusius su asmens duomenimis, kuriuos tvarko duomenų importuotojas pagal II punkto h dalį, kuri taikoma tik jei taip nusprendžia duomenų importuotojas pagal tą punktą.
V. Ginčų su duomenų subjektais arba institucija sprendimas
a) Jei kyla ginčas su duomenų subjektu ar institucija arba vienai iš Šalių arba abiem pateikiamas ieškinys dėl asmens duomenų tvarkymo, šalys praneš viena kitai apie kilusius ginčus ar pateiktus ieškinius ir bendradarbiaus siekdamos juos išspręsti taikiai ir laiku.
b) Šalys susitaria dalyvauti duomenų subjekto ar institucijos pradėtoje visiems prieinamoje ir neprivalomoje tarpininkavimo procedūroje. Jei jos dalyvauja teismo procese, Šalys gali nuspręsti tai daryti per atstumą (telefonu arba kitomis elektroninėmis priemonėmis). Šalys taip pat susitaria apsvarstyti galimybę dalyvauti arbitražo, tarpininkavimo ar kitame ginčų sprendimo procese, skirtame ginčams dėl duomenų tvarkymo spręsti.
c) Kiekviena Šalis paklusta šalies, kurioje įsisteigęs duomenų eksportuotojas, kompetentingo teismo arba institucijos sprendimui, kuris yra galutinis ir kuris nebegali būti apskųstas.
VI. Nutraukimas
a) Jei duomenų importuotojas pažeidžia savo įsipareigojimus pagal šiuos punktus, duomenų eksportuotojas gal i laikinai sustabdyti asmens duomenų perdavimą duomenų importuotojui tol, kol pažeidimas atitaisomas arba kol nutraukiama sutartis.
b) Jeigu:
i) duomenų eksportuotojas laikinai sustabdo asmens duomenų perdavimą duomenų importuotojui ilgesniam negu vieno mėnesio laikotarpiui pagal a dalį;
ii) dėl šių punktų laikymosi duomenų importuotojas pažeistų savo teisinius arba taisyklių įsipareigojimus pagal importo šalies įstatymus;
iii) duomenų importuotojas iš esmės arba pakartotinai pažeidžia pagal šiuos punktus suteiktas garantijas ar įsipareigojimus;
iv) galutiniame ir neapskundžiamame šalies, kurioje įsisteigęs duomenų eksportuotojas, kompetentingo teismo ar institucijos sprendime nustatoma, kad duomenų importuotojas arba duomenų eksportuotojas pažeidė šiuos punktus;
v) pateikiamas pareiškimas dėl likvidavimo paskelbimo dėl duomenų importuotojo administravimo arba likvidavimo, nesvarbu ar asmens ar verslo atžvilgiu, jei jis nėra panaikinamas per atitinkamą periodą, tokiam panaikinimui nustatytą taikytinos teisės normų; paskiriamas bet viso turimo turto gavėjas; paskiriamas bankrutuojančios įmonės administratorius, jei duomenų importuotojas yra fizinis asmuo; arba atitinkamoje jurisdikcijoje įvykdomas lygiavertis veiksmas
tada duomenų eksportuotojas, nepažeisdamas jokių kitų teisių, kurias gali turėti duomenų importuotojas, turi teisę nutraukti šių punktų galiojimą, tačiau tokiu atveju prireikus apie tai turi būti pranešta institucijai. Atvejais, numatytais i, ii ar iv, Duomenų importuotojas taip pat gali panaikinti šias nuostatas.
c) Bet kuri Šalis gali nutraukti šių punktų galiojimą, jeigu: i) Komisija priima teigiamai lygiavertį sprendimą pagal Direktyvos 95/46/EB 25 straipsnio 6 dalį (ar kitą viršenybę turintį tekstą) Šaliai (ar jos sektoriui), į kurią duomenų importuotojas siunčia ir kurioje jis tvarko duomenis, arba ii) toje Šalyje pradedama tiesiogiai taikyti Direktyva 95/46/EB (arba kitas viršenybę turintis tekstas).
d) Šalys susitaria, kad šių punktų galiojimo nutraukimas bet kuriuo metu, bet kokiomis aplinkybėmis ir dėl bet kurios priežasties (išskyrus galiojimo nutraukimą pagal VI punkto c dalį) neatleidžia jų nuo įsipareigojimų ar sąlygų, nustatytų šiuose punktuose, dėl perduodamų asmens duomenų perdavimo.
VII. Nukrypimas nuo šių punktų
Šalys negali pakeisti šių punktų, išskyrus atvejus, kai tikslinama bet kokia B priede nurodyta informacija, tačiau tokiu atveju prireikus bus informuota ir institucija. Tai netrukdo Šalims prireikus pridėti papildomos komercinės informacijos punktų.
VIII. Perdavimo apibrėžimas
Išsamesnė informacija apie asmens duomenų perdavimą pateikiama B priede. Šalys susitaria, kad B priede gali būti pateikiama konfidencialios komercinės informacijos, kurios jos neatskleis trečiosioms Šalims, išskyrus jei to reikalauja įstatymai arba kompetentinga priežiūros ar vyriausybės institucija arba I punkto e dalies nuostatos. Šalys gali parengti papildomų priedų papildomiems perdavimams, kurie prireikus bus pateikti institucijai. B priedas taip pat gali būti parengtas keletui perdavimų.
Parengta (data): _
_
_
DUOMENŲ IMPORTUOTOJO VARDU
DUOMENŲ EKSPORTUOTOJO VARDU
…
…
…
…
…
…
A PRIEDAS
DUOMENŲ TVARKYMO PRINCIPAI
1. Tikslų apribojimas – asmens duomenys gali būti tvarkomi ir naudojami ar toliau perduodami tik B priede nurodytais tikslais arba duomenų subjektui davus leidimą.
2. Duomenų kokybė ir proporcingumas – duomenys turi būti tikslūs, o jeigu reikia, turi būti tikslinami. Duomenys turi atitikti tikslus, kuriais jie yra perduodami ir toliau tvarkomi, jie turi būti su šiais tikslais susiję, jų neturi būti nei per daug, nei per mažai.
3. Skaidrumas – duomenų subjektams turi būti suteikta informacija reikalinga sąžiningam tvarkymui užtikrinti (pvz.: informacija apie tikslus, kuriais duomenys yra tvarkomi ir apie perdavimą), jei tokios informacijos dar nesuteikė duomenų eksportuotojas.
4. Saugumas ir konfidencialumas – duomenų valdytojas turi imtis atitinkamų techninių ir organizacinių saugumo priemonių, kad apsisaugotų nuo rizikos, susijusios su atsitiktiniu ar neteisėtu duomenų sunaikinimu ar atsitiktiniu praradimu, pakeitimu, neteisėtu atskleidimu ar prieiga tvarkant duomenis. Asmenys, veikiantys pagal duomenų valdytojo įgaliojimą, tarp jų ir duomenų tvarkytojas, duomenis gali tvarkyti tik gavę duomenų valdytojo nurodymus.
5. Teisė gauti informaciją, ištaisyti, sunaikinti ir prieštarauti – remiantis Direktyvos 95/46/EB 12 straipsniu, duomenų subjektas tiesiogiai ar per trečiąją šalį turi gauti asmens informaciją, kurią organizacija turi, išskyrus užklausimus, kuriais yra akivaizdžiai piktnaudžiaujama, pateikiamus per dažnai arba pakartotinai ir sistemingai, arba kuriems pagal duomenų eksportuotojo šalies įstatymus nebūtina suteikti prieigos. Jei institucija buvo suteikusi išankstinį sutikimą, taip pat nebūtina suteikti prieigos, jei tikėtina, kad tai stipriai pažeistų duomenų importuotojo ar kitų organizacijų, susijusių su duomenų importuotoju, interesus ir šie interesai nėra viršesni už pagrindines duomenų subjekto teises ir laisves. Asmens duomenų šaltinių nurodyti nebūtina, jei tai nėra įmanoma dedant visas reikalingas pastangas arba, jei asmenų teisės, išskyrus pavienius asmenis, būtų pažeistos. Duomenų subjektams privalo būti suteikta galimybė pataisyti, pakeisti ar ištrinti su jais susijusią informaciją, jei ji yra netiksli ar tvarkyta pagal šiuos principus. Jei yra pagrįstų priežasčių abejoti užklausimo teisėtumu, prieš pataisydama, pakeisdama ar ištrindama informaciją organizacija gali reikalauti pasiteisinimo. Trečiosioms šalims, kurioms duomenys buvo atskleisti, kad duomenys buvo ištaisyti, pakeisti ar ištrinti, pranešti nebūtina, jei tai padaryti būtų pernelyg sunku. Duomenų subjektai turi teisę prieštarauti su jais susijusių asmens duomenų tvarkymui, jei yra rimtų teisėtų priežasčių, susijusių su jų konkrečia padėtimi. Įrodinėjimo pareiga priklauso duomenų importuotojui, o duomenų subjektas dėl atsisakymo visada gali kreiptis į instituciją.
6. Ypatingi asmens duomenys – duomenų importuotojas imasi tokių papildomų priemonių (pvz., susijusių su apsauga), kurios yra būtinos ypatingiems asmens duomenims apsaugoti pagal jo įsipareigojimus, nurodytus II punkte.
7. Duomenys, naudojami tiesioginės rinkodaros tikslais – jei duomenys tvarkomi tiesioginės rinkodaros tikslais, turi būti nustatytos veiksmingos procedūros, suteikiančios galimybę duomenų subjektui bet kuriuo metu paprieštarauti, kad jo duomenys būtų naudojami tokiais tikslais.
8. Automatiniai sprendimai – šiuose punktuose „automatinis sprendimas“ – duomenų eksportuotojo ar duomenų importuotojo sprendimas, kuris turi teisinių pasekmių, susijusių su duomenų subjektu, arba turi svarbaus poveikio duomenų subjektui ir kuris yra paremtas tik automatiniu asmens duomenų tvarkymu, skirtu įvertinti atitinkamus su asmeniu susijusius aspektus tokius kaip darbingumas, kreditingumas, patikimumas, elgesys ir kt. Duomenų importuotojas nedaro jokių automatinių sprendimų, susijusių su duomenų subjektu, išskyrus atvejus kai:
i) duomenų importuotojas tokius sprendimus atlieka sudaręs arba vykdydamas sutartį su duomenų subjektu ir
ii) duomenų subjektui suteikiama galimybė su bet kurios šalies, padariusios tokį sprendimą, atstovu aptarti atitinkamų automatinių sprendimų rezultatus arba nusiųsti savo atstovą pas tą Šalį.
arba
b) jei duomenų eksportuotojo šalies įstatymuose nurodyta kitaip.
B PRIEDAS
PERDAVIMO APIBRĖŽIMAS
(Pildo Šalys)
AIŠKINAMIEJI KOMERCINIAI PUNKTAI (PASIRINKTINAI)
Žalos atlyginimas duomenų eksportuotojui ir duomenų importuotojui:
„Šalys atlygina viena kitai padarytą žalą ir saugo viena kitą nuo sąnaudų, mokesčių, išlaidų ar nuostolių, kuriuos jos padaro viena kitai pažeidusios šiuos punktus. Žalos atlyginimas priklauso nuo a) Šalies (-ių), kuriai turi būti atlyginta žala (toliau – Šalis (-ys), kurioms atlyginta žala) nedelsiamo pranešimo kitai (-oms) Šaliai (-ims) (toliau – Šalis (-ys), atlyginančios žalą) apie reikalavimą atlyginti žalą, b) žalą atlyginančios Šalies (-ių) išskirtinių teisių kontroliuoti tokių reikalavimų apsaugą ir patenkinimą ir c) Šalies (-ių), kuriai turi būti atlyginta žala, bendradarbiavimo ir pagalbos Šaliai (-ims), atlyginančioms žalą, siekiant apsaugoti tokį reikalavimą.“
Duomenų eksportuotojo ir duomenų importuotojo ginčų sprendimas (Šalys gali nuspręsti pakeisti šį punktą alternatyviu ginčų sprendimo ar jurisdikcijos punktu):
„Jei tarp duomenų importuotojo ir duomenų eksportuotojo kyla ginčas dėl tariamo bet kurios šių punktų nuostatos pažeidimo, tokį ginčą vadovaudamiesi Tarptautinių prekybos rūmų Arbitražo taisyklėmis sprendžia vienas ar daugiau arbitrų, paskirtų pagal tas pačias taisykles. Arbitražo vieta yra [ ]. Arbitrų skaičius yra [ ].“
Sąnaudų paskirstymas:
„Kiekviena šalis už savo įsipareigojimų vykdymą pagal šiuos punktus moka pati.“
Papildoma nutraukimo sąlyga:
„Jei nutraukiamas šių punktų galiojimas, duomenų importuotojas privalo duomenų eksportuotojui grąžinti visus pagal šiuos punktus gautus asmens duomenis ir visas jų kopijas arba, duomenų eksportuotojui nusprendus, sunaikinti visas jų kopijas ir sunaikinimą patvirtinti duomenų eksportuotojui, jei tik duomenų importuotojui sunaikinti visų arba dalies tokių duomenų nedraudžia nacionaliniai įstatymai arba vietinės taisyklės, kitu atveju duomenys bus laikomi konfidencialiais ir nebus tvarkomi jokiais tikslais. Duomenų importuotojas sutinka, kad duomenų eksportuotojui pareikalavus, prieš tai per pagrįstą laikotarpį įspėjus ir įprastinių darbo valandų metu jis leis duomenų eksportuotojui arba jo pasirinktam inspektoriui, kurio kandidatūrai pagrįstai neprieštaravo duomenų importuotojas, atvykti į jo įmonę patikrinti, ar tai buvo atlikta.“
( 1 ) OL L 281, 1995 11 23, p. 31.
( 2 ) Darbo grupės internetinis adresas:
http://www.europa.eu.intlcomm/internal_market/en/medial/dataprot/wpdocs/index.htm.
( 3 ) 4 DG (5020/97) „Svarbiausi asmens duomenų perdavimo trečiosioms šalims principai — darbinis dokumentas, kuriuo nustatomi būdai, kaip pasiekti pažangos, vertinant reikiamą apsaugos lygį“. Darbo grupė šį aptarimui skirtą dokumentą priėmė 1997 m. birželio 26 d.
7 DG (5057/97) „Pramonės savireguliacijos vertinimas: kada jos indėlis į duomenų apsaugą trečiojoje šalyje yra reikšmingas?“, darbinis dokumentas, darbo grupės priimtas 1998 m. sausio 14 d.
9 DG (3005/98) „Preliminarūs požiūriai į sutartinių nuostatų, skirtų asmens duomenų perdavimui trečiosioms šalims, naudojimą“, darbinis dokumentas, darbo grupės priimtas 1998 m. balandžio 22 d.
12 DG: „Asmens duomenų perdavimas trečiosioms šalims, taikant ES direktyvos dėl duomenų apsaugos 25 ir 26 straipsnius“, darbinis dokumentas, darbo grupės priimtas 1998 m. liepos 24 d. Jį galite rasti Europos Komisijos darbinių dokumentų tinklapyje europa.eu.int/comm/internal_markt/en/media.dataprot/wpdocs/wp12/en.
( 4 ) 2001 m. sausio 26 d. darbo grupės nuomonė Nr. 1/2001 (DG MARKT 5102/00 WP 38), kurią galima rasti Europos Komisijos tinklapyje „Europa“.
( 5 ) „Atitinkamos nuostatos“ – bet kurio įgaliojimo ar sprendimo nuostatos, išskyrus įgaliojimo ar sprendimo vykdymo nuostatas (kurios reglamentuojamos šiuose punktuose).
( 6 ) Tačiau kai pasirenkama ši galimybė privalo būti taikomos A.5 priedo su prieigos, ištaisymo, ištrynimo ir prieštaravimo teisėmis susijusios nuostatos, kurios turi viršenybę visų panašių pasirinkto Komisijos sprendimo nuostatų atžvilgiu.