EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 02001D0497-20161217
Commission Decision of 15 June 2001 on standard contractual clauses for the transfer of personal data to third countries, under Directive 95/46/EC (notified under document number C(2001) 1539) (Text with EEA relevance) (2001/497/EC)
Consolidated text: Odločba Komisije z dne 15. junija 2001 o standardnih pogodbenih klavzulah za prenos osebnih podatkov v tretje države v skladu z Direktivo 95/46/ES (notificirana pod dokumentarno številko K(2001) 1539) (Besedilo velja za EGP) (2001/497/ES)
Odločba Komisije z dne 15. junija 2001 o standardnih pogodbenih klavzulah za prenos osebnih podatkov v tretje države v skladu z Direktivo 95/46/ES (notificirana pod dokumentarno številko K(2001) 1539) (Besedilo velja za EGP) (2001/497/ES)
No longer in force
- Date of document:
- 17/12/2016
- Date of effect:
- 17/12/2016
- Author:
- Not available
- Form:
- Konsolidirano besedilo
- Additional information:
- LASTMODIN 32016D2297
- Link
- Link
- Link
- Select all documents mentioning this document
- Consolidation: basic act:
- 32001D0497
02001D0497 — SL — 17.12.2016 — 002.001
To besedilo je zgolj informativne narave in nima pravnega učinka. Institucije Unije za njegovo vsebino ne prevzemajo nobene odgovornosti. Verodostojne različice zadevnih aktov, vključno z uvodnimi izjavami, so objavljene v Uradnem listu Evropske unije. Na voljo so na portalu EUR-Lex. Uradna besedila so neposredno dostopna prek povezav v tem dokumentu
|
ODLOČBA KOMISIJE z dne 15. junija 2001 o standardnih pogodbenih klavzulah za prenos osebnih podatkov v tretje države v skladu z Direktivo 95/46/ES (notificirana pod dokumentarno številko K(2001) 1539) (Besedilo velja za EGP) (UL L 181 4.7.2001, str. 19) |
spremenjena z:
|
|
|
Uradni list |
||
|
št. |
stran |
datum |
||
|
L 385 |
74 |
29.12.2004 |
||
|
IZVEDBENI SKLEP KOMISIJE (EU) 2016/2297 Besedilo velja za EGP z dne 16. decembra 2016 |
L 344 |
100 |
17.12.2016 |
|
ODLOČBA KOMISIJE
z dne 15. junija 2001
o standardnih pogodbenih klavzulah za prenos osebnih podatkov v tretje države v skladu z Direktivo 95/46/ES
(notificirana pod dokumentarno številko K(2001) 1539)
(Besedilo velja za EGP)
(2001/497/ES)
Člen 1
Standardne pogodbene klavzule iz Priloge veljajo za takšne, ki zagotavljajo primerne zaščitne ukrepe glede varstva zasebnosti ter temeljnih pravic in svoboščin posameznikov in glede uveljavljanja ustreznih pravic, kakor zahteva člen 26(2) Direktive 95/46/ES.
Upravljavci podatkov lahko izberejo katerega koli od sklopov I ali II v Prilogi. Vendar pa ne smejo niti spreminjati klavzul niti kombinirati posameznih klavzul ali sklopov.
Člen 2
Ta odločba zadeva le primernost varstva, ki ga zagotavljajo standardne pogodbene klavzule za prenos osebnih podatkov iz Priloge. Ne vpliva na uporabo drugih nacionalnih predpisov za izvajanje Direktive 95/46/ES, ki se nanašajo na obdelavo osebnih podatkov znotraj držav članic.
Ta odločba se ne uporablja za prenos osebnih podatkov s strani upravljavcev s sedežem v Skupnosti k prejemnikom s sedežem zunaj ozemlja Skupnosti, ki delujejo samo kot obdelovalci.
Člen 3
V tej odločbi:
(a) se uporabljajo opredelitve iz Direktive 95/46/ES;
(b) „posebne vrste podatkov“ pomenijo podatke iz člena 8 navedene direktive;
(c) „nadzorni organ“ pomeni organ iz člena 28 navedene direktive;
(d) „izvoznik podatkov“ pomeni upravljavca, ki prenaša osebne podatke;
(e) „uvoznik podatkov“ pomeni upravljavca, ki soglaša s prejemanjem osebnih podatkov za nadaljnjo obdelavo od izvoznika podatkov v skladu s klavzulami te odločbe.
Člen 4
Kadar pristojni organi v državah članicah izvajajo svoja pooblastila v skladu s členom 28(3) Direktive 95/46/ES, na podlagi česar pride do začasne ustavitve ali dokončne prepovedi prenosa podatkov v tretje države, da se zaščitijo posamezniki pri obdelavi njihovih osebnih podatkov, zadevna država članica nemudoma obvesti Komisijo, ta pa informacije posreduje drugim državam članicam.
Člen 5
►M1 Komisija oceni izvajanje te odločbe na podlagi razpoložljivih informacij tri leta po njeni notifikaciji in po notifikaciji katere koli njene spremembe državam članicam. ◄ Poročilo o svojih ugotovitvah predloži odboru, ustanovljenemu v skladu s členom 31 Direktive 95/46/ES. Poročilo vključuje kakršne koli dokaze, ki bi lahko vplivali na oceno v zvezi z ustreznostjo standardnih pogodbenih klavzul iz Priloge, in kakršne koli dokaze o diskriminatorni uporabi te odločbe.
Člen 6
Ta odločba se uporablja od 3. septembra 2001.
Člen 7
Ta odločba je naslovljena na države članice.
PRILOGA
SKLOP I
Dodatek 1
k standardnim pogodbenim klavzulam
Dodatek 2
k standardnim pogodbenim klavzulam
Obvezna načela varstva podatkov iz prvega odstavka klavzule 5(b)
Ta načela varstva podatkov je treba brati in razlagati glede na določbe (načela in ustrezne izjeme) Direktive 95/46/ES.
Veljajo ob upoštevanju obveznih zahtev nacionalne zakonodaje, veljavnih za uvoznika podatkov, ki ne presegajo tega, kar je potrebno v demokratični družbi na podlagi enega od interesov iz člena 13(1) Direktive 95/46/ES, to je, če predstavljajo ukrep, potreben za zaščito nacionalne varnosti, obrambe, javne varnosti, preprečevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj ali etičnih kršitev za zakonsko urejene poklice, pomembnega gospodarskega ali finančnega interesa države, varstva posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih.
1. Omejitev namenov: podatki se morajo obdelati, nato pa uporabiti ali posredovati naprej le v določene namene iz Dodatka 1 k klavzulam. Podatke je prepovedano hraniti dlje, kakor je potrebno za namene, zaradi katerih so preneseni.
2. Kakovost in sorazmernost podatkov: podatki morajo biti točni in, kjer je to potrebno, ažurirani. Podatki morajo biti primerni, ustrezni in ne pretirani glede na namene, zaradi katerih so preneseni in nadalje obdelani.
3. Preglednost: posameznikom, na katere se nanašajo osebni podatki, morajo biti zagotovljene informacije o namenih obdelave in identiteti upravljavca podatkov v tretji državi ter druge informacije, če je to potrebno za zagotovitev pravične obdelave, razen, če je takšne informacije že dal izvoznik podatkov.
4. Varnost in zaupnost: upravljavec podatkov mora izvajati tehnične in organizacijske varnostne ukrepe, primerne tveganjem, ki jih predstavlja obdelava, kakor je na primer nepooblaščen dostop. Nobena oseba, ki deluje pod vodstvom upravljavca podatkov, vključno z obdelovalcem, podatkov ne sme obdelovati, razen v skladu z navodili upravljavca.
5. Pravice dostopa do podatkov, popravljanja, izbrisa in blokiranja podatkov: kakor predvideva člen 12 Direktive 95/46/ES, mora imeti posameznik, na katerega se nanašajo osebni podatki, pravico do dostopa do vseh podatkov v obdelavi, ki se nanašajo nanj, in, kakor je primerno, pravico do popravljanja, izbrisa ali blokiranja podatkov, obdelava katerih ni v skladu z načeli iz tega dodatka, zlasti zato, ker so podatki nepopolni ali netočni. Posamezniku naj bo omogočeno tudi, da na nujni zakonski podlagi v zvezi z njegovim posebnim položajem ugovarja obdelavi podatkov, ki se nanašajo nanj.
6. Omejitve nadaljnjih prenosov: nadaljnji prenosi osebnih podatkov od uvoznika podatkov do drugega upravljavca s sedežem v tretji državi, ki ne zagotavlja primernega varstva ali ni zajeta v odločbi, ki jo je sprejela Komisija v skladu s členom 25(6) Direktive 95/46/ES (nadaljnji prenos), so možni le, če:
(a) posamezniki, na katere se nanašajo osebni podatki, v primeru posebnih vrst podatkov, dajo izrecno soglasje za nadaljnji prenos ali, v drugih primerih, imajo možnost ugovora.
Najmanjša količina informacij, ki se zagotovi posameznikom, na katere se nanašajo osebni podatki, mora v njim razumljivem jeziku vsebovati:
— namene nadaljnjega prenosa,
— identifikacijo izvoznika podatkov s sedežem v Skupnosti,
— kategorije nadaljnjih prejemnikov podatkov in namembne države ter
— pojasnilo, da lahko po nadaljnjem prenosu podatke obdela upravljavec s sedežem v državi, kjer ni zadostne ravni varstva zasebnosti posameznikov; ali
(b) izvoznik podatkov in uvoznik podatkov soglašata s tem, da se drug upravljavec zaveže tem klavzulam ter tako postane podpisnik klavzul in prevzame enake obveznosti kot uvoznik podatkov.
7. Posebne vrste podatkov: kjer se obdelujejo podatki, ki razkrivajo rasno ali etnično poreklo, politična mnenja, verska ali filozofska prepričanja ali pripadnost sindikatu ter podatke v zvezi z zdravstvenim ali spolnim življenjem, podatke v zvezi s prekrški, kazenskimi obsodbami ali varnostnimi ukrepi, je treba izvajati dodatne zaščitne ukrepe v smislu Direktive 95/46/ES, zlasti primerne varnostne ukrepe, kot je močno kodiranje za prenos ali beleženje dostopa do občutljivih podatkov.
8. Neposredno trženje: kjer so podatki obdelani za namene neposrednega trženja, naj obstajajo učinkoviti postopki, ki posamezniku, na katerega se nanašajo osebni podatki, dovoljujejo, da kadarkoli izbere možnost, da se njegovi podatki ne uporabljajo v takšne namene.
9. Avtomatizirane posamezne odločitve: posamezniki, na katere se nanašajo osebni podatki, so upravičeni do tega, da niso podvrženi odločitvi, temelječi zgolj na avtomatizirani obdelavi podatkov, razen če se izvajajo drugi ukrepi, ki ščitijo posameznikove zakonite interese, kakor predvideva člen 15(2) Direktive 95/46/ES. Kjer je namen prenosa sprejemanje avtomatizirane odločitve iz člena 15 Direktive 95/46/ES, ki ima pravne učinke za posameznika ali nanj v precejšnji meri vpliva ter temelji zgolj na avtomatizirani obdelavi podatkov za ocenitev nekaterih osebnih vidikov, ki se nanj nanašajo, kakor na primer njegovo delovno uspešnost, kreditno sposobnost, zanesljivost, vedenje, itd., naj ima posameznik pravico biti seznanjen z razlogi za te odločitve.
Dodatek 3
k standardnim pogodbenim klavzulam
Obvezna načela o varstvu podatkov iz drugega odstavka klavzule 5(b)
1. Omejitev namenov: podatki se morajo obdelati, nato pa uporabiti ali posredovati naprej le v določene namene iz Dodatka 1 k klavzulam. Podatke je prepovedano hraniti dlje, kot je to potrebno za namene, zaradi katerih so preneseni.
2. Pravica dostopa do podatkov, popravljanja, izbrisa in blokiranja podatkov: kakor predvideva člen 12 Direktive 95/46/ES, mora imeti posameznik, na katerega se nanašajo osebni podatki, pravico do dostopa do vseh podatkov v obdelavi, ki se nanj nanašajo, in, kakor je primerno, pravico do popravljanja, izbrisa ali blokiranja podatkov, obdelava katerih ni v skladu z načeli iz tega dodatka, zlasti zato, ker so podatki nepopolni ali netočni. Posamezniku naj bo omogočeno tudi, da na nujni zakonski podlagi v zvezi z njegovim posebnim položajem ugovarja obdelavi podatkov, ki se nanašajo nanj.
3. Omejitve nadaljnjih prenosov: nadaljnji prenosi osebnih podatkov od uvoznika podatkov do drugega upravljavca s sedežem v tretji državi, ki ne zagotavlja zadostnega varstva ali ni zajeta v odločbi, ki jih je sprejela Komisija v skladu s členom 25(6) Direktive 95/46/ES (nadaljnji prenos), so možni le, če:
(a) posamezniki, na katere se nanašajo osebni podatki, v primeru posebnih vrst podatkov, dajo svoje izrecno soglasje k nadaljnjemu prenosu ali imajo v drugih primerih možnost ugovora.
Najmanjša količina informacij, ki se zagotovi posameznikom, na katere se nanašajo osebni podatki, mora v njim razumljivem jeziku vsebovati:
— namene nadaljnjega prenosa,
— identifikacijo izvoznika podatkov s sedežem v Skupnosti,
— kategorije nadaljnjih prejemnikov podatkov in namembne države ter
— pojasnilo, da je možno, da po nadaljnjem prenosu podatke obdela upravljavec s sedežem v državi, kjer ni primerne ravni varstva zasebnosti posameznikov; ali
(b) izvoznik podatkov in uvoznik podatkov soglašata s tem, da se drug upravljavec zaveže tem klavzulam ter tako postane podpisnik klavzul in prevzame enake obveznosti kot uvoznik podatkov.
SKLOP II
Standardne pogodbene klavzule za prenos osebnih podatkov iz Skupnosti v tretje države (prenosi od upravljavca k upravljavcu)
Dogovor o prenosu podatkov
med
_ (ime)
_ (naslov in država sedeža)
v nadaljnjem besedilu „izvoznik podatkov“
in
_ (ime)
_ (naslov in država sedeža)
(v nadaljnjem besedilu „uvoznik podatkov“),
posamezno je vsaka stranka „pogodbenica“; skupaj „pogodbenici“.
Opredelitev pojmov
V teh klavzulah:
(a) imajo izrazi „osebni podatki“, „posebne vrste podatkov/občutljivi podatki“, „obdelovati/obdelava“, „pravljavec“, „obdelovalec“, „posameznik, na katerega se nanašajo osebni podatki“ in „nadzorni organ/organ“ enak pomen kot v Direktivi 95/46/ES z dne 24. oktobra 1995 (pri čemer pomeni „organ“ pristojni organ za varstvo podatkov na ozemlju, kjer je sedež izvoznika podatkov);
(b) „izvoznik podatkov“ pomeni upravljavca, ki prenese osebne podatke;
(c) „uvoznik podatkov“ pomeni upravljavca, ki soglaša s tem, da prejme od izvoznika podatkov osebne podatke za nadaljnjo obdelavo v skladu s pogoji teh klavzul, in ki ni podvržen sistemu tretje države za zagotovitev ustreznega varstva;
(d) „klavzule“ pomenijo pogodbene klavzule, ki so samostojen dokument in ne vsebujejo trgovinskih in poslovnih pogojev, določenih s strani pogodbenic v posebnih trgovinskih dogovorih.
Podrobnosti prenosa (kot tudi zajeti osebni podatki) so navedene v Prilogi B, ki je sestavni del klavzul.
I. Obveznosti izvoznika podatkov
Izvoznik podatkov jamči in se zavezuje, da:
(a) so bili osebni podatki zbrani, obdelani in preneseni v skladu z zakoni, ki veljajo za izvoznika podatkov;
(b) je sprejel vse primerne ukrepe, s katerimi je ugotovil, da je uvoznik podatkov zmožen izpolniti svoje pravne obveznosti iz teh klavzul;
(c) uvozniku podatkov zagotovi kopije ustreznih zakonov o varstvu podatkov ali kopije sklicev nanje (kadar so ti ustrezni in ne vključujejo pravnih nasvetov) v državi, v kateri ima izvoznik podatkov sedež, če je to potrebno;
(d) se odzove na poizvedbe posameznikov, na katere se nanašajo osebni podatki, in organa v zvezi z osebnimi podatki, ki jih obdela uvoznik podatkov, razen če pogodbenici soglašata, da to stori uvoznik podatkov, v tem primeru pa se izvoznik podatkov še vedno odzove v razumni meri in z dosegljivimi podatki, če se uvoznik podatkov noče ali ne more odzvati. Na poizvedbe se odzove v razumnem času;
(e) posameznikom, na katere se nanašajo osebni podatki in ki imajo po klavzuli III korist tretjega, na njihovo zahtevo da na voljo kopijo klavzul, razen če klavzule vsebujejo zaupne podatke; v tem primeru ima pravico, da jih odstrani. Če so bili podatki odstranjeni, mora izvoznik podatkov pisno obvestiti posameznike, na katere se nanašajo osebni podatki, o razlogu odstranitve in o njihovi pravici, da na odstranitev opozorijo. Vendar pa izvoznik podatkov spoštuje odločbo organa v zvezi z dostopom posameznikov, na katere se nanašajo osebni podatki, do celotnega besedila klavzul, dokler se posamezniki, na katere se nanašajo osebni podatki, strinjajo, da bodo spoštovali tajnost odstranjenih zaupnih podatkov. Izvoznik podatkov zagotovi tudi organu kopijo klavzul, če je to potrebno.
II. Obveznosti uvoznika podatkov
Uvoznik podatkov jamči in se zavezuje, da:
(a) bo poskrbel za ustrezne tehnične in organizacijske ukrepe in z njimi zaščitil osebne podatke pred naključnim ali nezakonitim uničenjem ali naključno izgubo, spreminjanjem, nepooblaščenim posredovanjem ali dostopom in zagotovil varnostno raven, ustrezno tveganju, ki ga predstavljata obdelava in narava podatkov, ki jih je treba zaščititi;
(b) bo poskrbel za postopke, ki spoštujejo in ohranjajo zaupnost osebnih podatkov, tako da bo vsaka tretja oseba, pooblaščena za dostop do osebnih podatkov, vključno z obdelovalci, spoštoval in ohranjal zaupnost in varnost osebnih podatkov. Vsaka oseba, ki je pod nadzorom uvoznika podatkov, vključno z obdelovalcem podatkov, mora obdelovati podatke samo v skladu z navodili uvoznika podatkov. Ta določba ne velja za osebe, ki jih zakon ali drugi predpisi pooblaščajo ali od njih zahtevajo, da imajo dostop do osebnih podatkov;
(c) nima nobenega razloga za domnevo, da v času sprejetja teh klavzul obstajajo kakršni koli lokalni zakoni s precejšnjimi škodljivimi posledicami za jamstva, določena s temi klavzulami, in obvesti izvoznika podatkov (ki prenese to obvestilo organu, če je to potrebno), če ugotovi, da takšni zakoni obstajajo;
(d) obdeluje osebne podatke v namene, opisane v Prilogi B, in ima pravno pooblastilo, da daje jamstva in izpolnjuje obveznosti, določene v teh klavzulah;
(e) izvozniku podatkov določi kontaktno točko znotraj organizacije, ki je pooblaščena, da odgovarja na poizvedbe v zvezi z obdelovanjem osebnih podatkov, in v dobri veri ter razumnem roku sodeluje z izvoznikom podatkov, s posameznikom, na katerega se nanašajo osebni podatki, in organom pri vseh takih poizvedbah. Če izvoznik podatkov preneha delovati ali če sta se tako zmenili pogodbenici, prevzame uvoznik podatkov odgovornost za ravnanje po določbah klavzule I(e);
(f) na njegovo zahtevo izvozniku podatkov priskrbi dokaze o zadostnih finančnih sredstvih za izpolnitev svojih obveznosti iz klavzule III (ki lahko vključujejo zavarovanje);
(g) na razumno zahtevo izvoznika podatkov predloži izvozniku podatkov (ali katerim koli neodvisnim ali nepristranskim inšpekcijskim uslužbencem ali revizorjem, ki jih izbere izvoznik podatkov, uvoznik podatkov pa temu izboru ne nasprotuje na podlagi utemeljenega razloga) v presojo, pregled in/ali certificiranje svojo opremo za obdelovanje podatkov, datoteke in dokumentacijo, potrebno za obdelavo, zaradi preverjanja skladnosti z jamstvi in obveznostmi v teh klavzulah, ob primernem predhodnem obvestilu in v času uradnih ur. Pri zahtevi se upoštevajo vse potrebne odobritve ali privoljenja regulativnega ali nadzornega organa države, v kateri ima uvoznik podatkov sedež, s tem da bo skušal uvoznik podatkov te odobritve ali privoljenja dobiti pravočasno;
(h) obdeluje osebne podatke po svoji izbiri v skladu:
(i) z zakoni o varstvu podatkov v državi, v kateri ima izvoznik podatkov sedež;
(ii) z ustreznimi določbami ( 1 ) katere koli odločbe Komisije iz člena 25(6) Direktive 95/46/ES, pri čemer uvoznik podatkov upošteva ustrezne določbe takega pooblastila ali odločbe in ima sam sedež v državi, na katero se tako pooblastilo ali taka odločba nanaša, vendar pa ni zajet v takem pooblastilu ali taki odločbi za namene prenosa(-ov) osebnih podatkov ( 2 ), ali
(iii) z načeli obdelave podatkov, določenimi v Prilogi A.
Uvoznik podatkov označi izbrano možnost: _
Začetnici uvoznika podatkov: _;
(i) ne razkriva ali prenaša osebnih podatkov upravljavcu podatkov, ki je tretja oseba in je zunaj Evropskega gospodarskega prostora (EGP), razen če o prenosu obvesti izvoznika podatkov in če
(i) obdeluje upravljavec podatkov, ki je tretja oseba, osebne podatke v skladu z odločbo Komisije, ki ugotavlja, da tretja država zagotavlja ustrezno zaščito; ali
(ii) postane upravljavec podatkov, ki je tretja oseba, podpisnik teh klavzul ali drugega dogovora o prenosu podatkov, odobrenega s strani pristojnega organa v Evropski uniji; ali
(iii) so posamezniki, na katere se nanašajo osebni podatki, dobili priložnost ugovora, potem ko so bili obveščeni o namenu prenosa, kategorijah prejemnikov in dejstvu, da lahko imajo države, v katere se izvažajo podatki, drugačne standarde varovanja podatkov; ali
(iv) dajo posamezniki, na katere se nanašajo osebni podatki, v zvezi z nadaljnjim prenosom občutljivih podatkov izrecno soglasje za nadaljnji prenos.
III. Odgovornost in pravice tretjih oseb
(a) Vsaka pogodbenica odgovarja drugi pogodbenici za škodo, ki jo povzroči s kakršno koli kršitvijo teh klavzul. Odgovornost med pogodbenicama je omejena na dejansko povzročeno škodo. Dodatne odškodnine (tj. odškodnine, s katerimi se pogodbenica kaznuje zaradi neprimernega ravnanja) so izrecno izvzete. Vsaka pogodbenica odgovarja drugi pogodbenici za škodo, ki jo povzroči s kakršno koli kršitvijo teh klavzul. To ne vpliva na odgovornost izvoznika podatkov po pravu o varstvu podatkov.
(b) Pogodbenici soglašata, da ima posameznik, na katerega se nanašajo osebni podatki, pravico, da kot tretja oseba uveljavi to klavzulo in klavzule I(b), I(d), I(e), II(a), II(c), II(d), II(e), II(h), II(i), III(a), V, VI(d) in VII zoper uvoznika podatkov ali izvoznika podatkov za njune kršitve obligacijskih razmerij v zvezi z osebnimi podatki in da v ta namen prizna pristojnost države, v kateri ima izvoznik podatkov sedež. Če obstajajo domneve o kršitvi s strani uvoznika podatkov, mora posameznik, na katerega se nanašajo osebni podatki, najprej zahtevati od izvoznika podatkov, naj primerno ukrepa in uveljavi svoje pravice nasproti uvozniku podatkov; če izvoznik podatkov ne ravna tako v razumnem roku (v normalnih okoliščinah je to en mesec), lahko posameznik, na katerega se nanašajo osebni podatki, uveljavlja svoje pravice neposredno nasproti uvozniku podatkov. Posameznik, na katerega se nanašajo osebni podatki, je upravičen do neposrednega ukrepanja zoper izvoznika podatkov, ki ni sprejel vseh primernih ukrepov, s katerimi bi ugotovil, ali je uvoznik podatkov zmožen izpolniti svoje pravne obveznosti iz teh klavzul (dokazno breme, da si je za to razumno prizadeval, nosi izvoznik podatkov).
IV. Zakonodaja, ki se uporablja za klavzule
Te klavzule ureja zakonodaja države, v kateri ima izvoznik podatkov sedež, z izjemo zakonov in predpisov, povezanih z obdelavo osebnih podatkov s strani uvoznika podatkov v klavzuli II(h), ki veljajo samo v primeru, da se uvoznik podatkov tako odloči v tej klavzuli.
V. Reševanje sporov s posamezniki, na katere se nanašajo osebni podatki, ali z organom
(a) Pogodbenici se pri sporu ali zahtevku, ki ga vloži posameznik, na katerega se nanašajo osebni podatki, ali organ, v zvezi z obdelavo osebnih podatkov, povezanih s katero koli pogodbenico ali z obema pogodbenicama, pogodbenici medsebojno obvestita o vsakem takem sporu ali zahtevku in sodelujeta zato, da ga poravnata po mirni poti in pravočasno.
(b) Pogodbenici soglašata, da se odzoveta na kateri koli splošno dosegljiv nezavezujoč postopek mediacije, sprožen s strani posameznika, na katerega se nanašajo osebni podatki, ali organa. Če pogodbenici sodelujeta v postopkih, se lahko odločita za sodelovanje na daljavo (po telefonu ali elektronski poti). Pogodbenici tudi soglašata, da bosta premislili o sodelovanju v kateri koli drugi arbitraži, mediaciji ali drugih postopkih za reševanje sporov, ki se uporabljajo za spore v zvezi z varstvom podatkov.
(c) Vsaka pogodbenica spoštuje odločbo pristojnega sodišča iz države, v kateri ima izvoznik podatkov sedež, ali organa; ta je dokončna in zoper njo se ni več mogoče pritožiti.
VI. Prenehanje
(a) Če uvoznik podatkov krši svoje obveznosti po teh klavzulah, lahko izvoznik podatkov začasno ustavi prenos osebnih podatkov k uvozniku podatkov, dokler se kršitev ne odpravi ali dokler pogodba ne preneha veljati.
(b) V primeru:
(i) začasne zaustavitve prenosa osebnih podatkov k uvozniku podatkov s strani izvoznika podatkov za več kot en mesec v skladu z odstavkom (a);
(ii) kršitve zakonskih ali uradnih obveznosti v državi uvoza s strani uvoznika podatkov zaradi upoštevanja teh klavzul;
(iii) resnega in vztrajnega kršenja jamstev ali obveznosti po teh klavzulah s strani uvoznika podatkov;
(iv) končne odločitve pristojnega sodišča v državi, v kateri ima izvoznik podatkov sedež, ali predpisov organa iz te države, zoper katero se ni mogoče več pritožiti, da je prišlo do kršitve klavzul s strani uvoznika podatkov ali izvoznika podatkov; ali
(v) se predloži peticija za uresničevanje ali prenehanje delovanja uvoznika podatkov, osebnega ali poslovnega, vendar se ta peticija ne zavrne v primernem roku za tako zavrnitev v okviru veljavnega zakona; se izda nalog za likvidacijo; je imenovan prejemnik katerih koli njegovih sredstev; se v primeru bankrota imenuje skrbnik, če je uvoznik podatkov posameznik; se začne s strani družbe predlagana sporazumna poravnava; ali se zgodi enako v kateri koli pristojnosti
potem ima izvoznik podatkov pravico, brez poseganja v katere koli druge pravice, ki jih lahko ima nasproti uvozniku podatkov, do odpovedi teh klavzul; v tem primeru se po potrebi obvesti organ. V primerih, zajetih v (i), (ii), ali (iv), je tudi uvoznik podatkov upravičen do odpovedi teh klavzul.
(c) Vsaka pogodbenica lahko odpove te klavzule, če (i) se izda kakršna koli ustrezna odločba Komisije v skladu s členom 25(6) Direktive 95/46/ES (ali kakšno nadomestno besedilo) v zvezi z državo (ali sektorjem le-te), v katero uvoznik podatkov prenaša podatke in jih obdeluje, ali (ii) se Direktiva 95/46/ES (ali kakšno nadomestno besedilo) začne neposredno uporabljati v taki državi.
(d) Pogodbenici soglašata, da ju prenehanje veljavnosti klavzul kadar koli in v kakršnih koli okoliščinah ter iz katerega koli vzroka (razen prenehanja v klavzuli VI(c)) ne odvezuje od obveznosti in/ali pogojev iz klavzul, ki zadevajo obdelavo prenesenih osebnih podatkov.
VII. Spreminjanje teh klavzul
Pogodbenice ne smejo spreminjati teh klavzul, razen v primeru posodobitve kakršnih koli informacij v Prilogi B, pri čemer obvestijo organ, če je to potrebno. To pogodbenicam ne preprečuje, da dodajo še kakšne trgovinske klavzule, če je to potrebno.
VIII. Opis prenosa
Podrobnosti o prenosu in o osebnih podatkih so navedeni v Prilogi B. Pogodbenici soglašata, da lahko Priloga B vsebuje poslovne informacije zaupne narave, ki se ne smejo razkriti tretjim osebam, razen če to zahteva zakon, pristojni nadzorni organ, agencija ali klavzula I(e). Pogodbenici lahko uporabljata dodatne priloge za zajemanje dodatnih prenosov, ki se po potrebi predložijo organu. Druga možnost je, da se Priloga B izpolni tako, da zajema večkratne prenose.
Datum: _
_
_
ZA UVOZNIKA PODATKOV
ZA IZVOZNIKA PODATKOV
…
…
…
…
…
PRILOGA A
NAČELA OBDELAVE PODATKOV
1. Omejitev namenov: Osebni podatki se lahko obdelujejo in posledično uporabljajo ali posredujejo naprej samo v namene, opisane v Prilogi B, ali če posameznik, na katerega se nanašajo osebni podatki, pozneje dovoli njihovo uporabo.
2. Kakovost in sorazmernost podatkov: Osebni podatki morajo biti točni in, kjer je to potrebno, ažurirani. Podatki morajo biti primerni, ustrezni in ne pretirani glede na namene, zaradi katerih so preneseni in nadalje obdelani.
3. Preglednost: Posamezniki, na katere se nanašajo osebni podatki, morajo razpolagati z informacijami, potrebnimi za pravično obdelavo (kot je informacija o namenih obdelave in o prenosu), razen če so tako informacijo že dobili od izvoznika podatkov.
4. Varnost in tajnost: Upravljavec podatkov mora pri obdelavi poskrbeti za tehnične in organizacijske varnostne ukrepe, ustrezne za varstvo osebnih podatkov pred naključnim ali nezakonitim uničenjem ali naključno izgubo, spreminjanjem, nepooblaščenim posredovanjem ali dostopom. Podatkov ne sme obdelovati nobena oseba, ki deluje pod vodstvom upravljavca podatkov, vključno z obdelovalcem, razen v skladu z navodili upravljavca.
5. Pravica do dostopa, rektifikacije, izbrisa in ugovora: Kot določa člen 12 Direktive 95/46/ES, morajo posamezniki, na katere se nanašajo osebni podatki, neposredno ali po tretji osebi, priskrbeti osebne informacije, ki jih ima o njih organizacija, razen pri zahtevah, ki so očitno neprimerne, temeljijo na nerazumnih rokih, številu, se ponavljajo, ali do katerih je dostop onemogočen po zakonodaji države izvoznika podatkov. Dostopa ni treba odobriti v primeru predhodne odobritve s strani organa, če obstaja možnost resnega škodovanja interesom uvoznika podatkov ali drugih organizacij, ki zadevajo uvoznika podatkov, in če take interese ne prekrijejo interesi človekovih pravic in temeljnih svoboščin posameznika, na katerega se nanašajo osebni podatki. Virov osebnih podatkov ni treba identificirati, kadar to po najboljših možnih prizadevanjih ni mogoče ali kadar bi bile kršene zakonite pravice drugih oseb. Posamezniki, na katere se nanašajo osebni podatki, morajo popraviti, spremeniti ali zbrisati svoje osebne informacije, če so netočne ali obdelane v nasprotju s temi načeli. Če obstajajo nujni razlogi za dvom v zakonitost odločitev, lahko organizacija zahteva nadaljnje obrazložitve, še preden pride do rektifikacije, spremembe ali izbrisa. Tretjih oseb, ki so jim bili razkriti podatki, ni treba uradno obvestiti o kakršni koli rektifikaciji, spremembi ali izbrisu, če predstavlja to izjemen napor. Posameznikom, na katere se nanašajo osebni podatki, naj bo omogočeno tudi, da na nujni zakonski podlagi v zvezi z njihovim posebnim položajem ugovarjajo obdelavi podatkov, ki se nanašajo nanje. Dokazno breme za vsako zavrnitev nosi uvoznik podatkov, posameznik, na katerega se nanašajo osebni podatki, pa lahko pred organom vedno spodbija to zavrnitev.
6. Občutljivi podatki: Uvoznik podatkov sprejme dodatne ukrepe (npr. tiste, povezane z varnostjo), ki so potrebni za varstvo takih občutljivih podatkov, v skladu z obveznostmi v klavzuli II.
7. Podatki, ki se uporabljajo v namen trženja: Kjer so podatki obdelani v namen neposrednega trženja, naj obstajajo učinkoviti postopki, ki posamezniku, na katerega se nanašajo osebni podatki, dovoljujejo, da kadar koli izbere možnost, da se njegovi podatki ne uporabljajo v takšne namene.
8. Avtomatizirane odločitve: V ta namen pomeni „avtomatizirana odločitev“ odločitev izvoznika podatkov ali uvoznika podatkov, ki ima pravne učinke za posameznika, na katerega se nanašajo osebni podatki, ali ki nanj v precejšnji meri vpliva, ter temelji zgolj na avtomatizirani obdelavi osebnih podatkov za ocenitev nekaterih osebnih vidikov, ki se nanj nanašajo, kot so na primer njegova delovna uspešnost, kreditna sposobnost, zanesljivost, njegovo vedenje idr. Uvoznik podatkov ne sprejema avtomatiziranih odločitev, povezanih s posameznikom, na katerega se nanašajo osebni podatki, razen ko:
(a)
(i) take odločitve sprejme uvoznik podatkov pri sklenitvi ali izvajanju pogodbe s posameznikom, na katerega se nanašajo osebni podatki; in
(ii) ima posameznik, na katerega se nanašajo osebni podatki, priložnost, da se posvetuje o ustrezni avtomatizirani odločitvi s predstavnikom pogodbenice, ki je sprejela tako odločitev, ali drugače poda izjavo tej pogodbenici;
ali
b) kjer zakonodaja, ki velja za izvoznika podatkov, to drugače določa.
PRILOGA B
OPIS PRENOSA
(Izpolnijo pogodbenice)
PONAZORITVENE TRGOVINSKE KLAVZULE (NEOBVEZNO)
Plačilo odškodnine med izvoznikom podatkov in uvoznikom podatkov:
„Pogodbenici si medsebojno povrneta odškodnino in prevzameta odgovornost za kakršne koli izdatke, plačila, odškodnino ali izgubo, ki jih povzroči ena pogodbenica drugi pogodbenici zaradi kršitve katere koli določbe teh klavzul. Plačilo odškodnine je odvisno od tega, da (a) pogodbenica(-e), ki se ji(m) povrne odškodnina („odškodovanka(-ke)“), pravočasno obvesti(-jo) drugo(-e) pogodbenico(-e) („odškodovalka(-ke)“) o zahtevku, (b) ima(-jo) odškodovalka(-ke) izključen nadzor nad obravnavo in poravnavo vsakega takega zahtevka in da (c) odškodovanka(-ke) zagotovi(-jo) odškodovalki(-kam) primerno sodelovanje pri obrambi takega zahtevka.“
Reševanje spora med izvoznikom podatkov in uvoznikom podatkov (seveda lahko pogodbenici uporabita kateri koli drug mehanizem drugačnega reševanja sporov ali klavzulo sodne pristojnosti):
„Če pride do spora med uvoznikom podatkov in izvoznikom podatkov v zvezi s kakršno koli domnevno kršitvijo katere koli določbe v teh klavzulah, ta spor dokončno reši eden ali več imenovanih arbitrov po arbitražnih pravilih Mednarodne trgovinske zbornice. Kraj arbitraže je [ ]. Število arbitrov je [ ].“
Razdelitev stroškov:
„Vsaka pogodbenica izpolni svoje obveznosti po teh klavzulah na svoje stroške.“
Posebna klavzula o prenehanju pogodbe:
„Uvoznik podatkov mora v primeru prenehanja veljavnosti teh klavzul takoj vrniti vse osebne podatke in vse kopije osebnih podatkov, za katere veljajo te klavzule, izvozniku podatkov ali, po izbiri izvoznika podatkov, uničiti vse kopije omenjenega in izvozniku podatkov potrditi, da je bilo to storjeno, razen če uvozniku podatkov njegova nacionalna zakonodaja ali lokalni zakonodajalec preprečuje, da uniči ali vrne vse ali del takih podatkov, pri čemer ostanejo podatki zaupni in se ne bodo aktivno obdelovali za noben namen. Uvoznik podatkov se strinja, če to zahteva izvoznik podatkov, da dovoli izvozniku podatkov ali inšpekcijskemu uslužbencu, ki ga izbere izvoznik podatkov, uvoznik podatkov pa temu utemeljeno ne nasprotuje, dostop do svojih prostorov, ob predhodnem obvestilu in v času uradnih ur preveriti, ali je bilo to storjeno.“
( 1 ) „Ustrezne določbe“ pomenijo določbe katerega koli pooblastila ali odločbe, razen določb o izvajanju katerega koli pooblastila ali odločbe (ki jih urejajo te klavzule).
( 2 ) Vendar pa ko je izbrana ta možnost, se morajo določbe točke 5 Priloge A v zvezi s pravicami do dostopa, rektifikacije, izbrisa in ugovora upoštevati in imajo prednost pred katero koli primerljivo določbo izbrane odločbe Komisije.
