Предаване на лични данни на държави извън ЕС: стандартни договорни клаузи

РЕЗЮМЕ НА:

Решение 2010/87/ЕС относно стандартните договорни клаузи при предаването на лични данни към лицата, които ги обработват, установени в трети страни, съгласно Директива 95/46/ЕО

КАКВА Е ЦЕЛТА НА РЕШЕНИЕТО?

В него се определят стандартни договорни клаузи, които могат да бъдат използвани от администраторите на лични данни* (износители) в EС, които предават лични данни* на лица, които обработват лични данни* (вносители), установени извън ЕС или ЕИП, с цел предоставяне на подходящи предпазни мерки за защита на данните, като по този начин се спазват изискванията на законодателството на ЕС в областта на защитата на данните (общия регламент относно защитата на данните — Регламент (ЕС) 2016/679 — вж. резюме).

ОСНОВНИ АСПЕКТИ

Стандартните договорни клаузи са определени в приложението към решението, както следва. Стандартните договорни клаузи се отнасят само до защитата на данните и могат да бъдат включени от страните в по-широк договор или да бъдат допълнени с други клаузи или допълнителни предпазни мерки, при условие че те не противоречат пряко или косвено на стандартните договорни клаузи, приети с настоящото решение.

Клауза 1: Определения

Определени са дефиниции на основни понятия, използвани в стандартните договорни клаузи.

Клауза 2: Предаване на данни

Страните следва да посочат в приложение към договорните клаузи подробна информация за прехвърлянията, включително съответните дейности на вносителите и износителите на данни, категориите предавани лични данни и операциите по обработване, на които личните данни ще бъдат обект след предаване.

Клауза 3: Клауза в полза на трето лице

Клаузата позволява на субектите на данни да наложат няколко от клаузите срещу износителя на данни, вносителя на данни или подизпълнителя, който обработва лични данни като трета страна бенефициер. Освен това в нея се предвижда, че страните не възразяват срещу това субектът на данни да бъде представляван от сдружение или друг орган, ако това е разрешено от националното законодателство.

Клауза 4: Задължения на износителя на данни

В тази клауза се определят договорните задължения за износителя на данни, който трябва да се съгласи и да гарантира, че:

обработва лични данни само в съответствие със законодателството в областта на защитата на данните;
инструктира вносителя на данни да обработва данните само от името на износителя на данни и в съответствие с клаузите и законодателството в областта на защитата на данните;
предоставя (и се съобразява) с достатъчни гаранции по отношение на техническите и организационни мерки за сигурност за защита на личните данни срещу случайно или незаконно унищожаване, загуба, изменение, неразрешено разкриване или достъп, по-специално когато обработката е в мрежа;
информира субекта на данни, ако специални категории данни могат да бъдат предадени на държава извън ЕС с неподходяща защита на данните;
препраща уведомлението, което е получил от вносителя на данни за невъзможността на последния да се съобрази с клаузите, до компетентния надзорен орган, ако реши да продължи предаването;
предоставя на субектите на данни, при поискване, на копие от клаузите, с обобщено описание на мерките за сигурност;
в случай на възлагане на обработването на подизпълнител, той трябва да осигури поне същото ниво на защита на личните данни като вносителя на данни.

Клауза 5: Задължения на вносителя на данни

В тази клауза се определят договорните задължения за вносителя на данни, който трябва да се съгласи и да гарантира, че:

обработва личните данни само от името на износителя на данни и в съответствие с инструкциите и клаузите;
няма причина да смята, че приложимото за него законодателство му пречи да изпълнява инструкциите, получени от износителя на данни, и задълженията си по договора;
уведомява незабавно за всяка промяна в това законодателство, която може да окаже съществено неблагоприятно въздействие върху гаранциите и задълженията, предвидени в клаузите, като в този случай износителят на данни има право да спре предаването на данни и/или да прекрати договора;
прилага определени технически и организационни мерки за сигурност преди обработката на предадените лични данни;
уведомява незабавно износителя на данни за искания за разкриване на лични данни от правоприлагащ орган, всеки случаен или неразрешен достъп, както и за всяко искане, получено директно от субектите на данни, без да отговаря на искането, освен ако не е разрешено друго;
се справят незабавно с всички запитвания от износителя на данни и спазва насоките на надзорния орган;
по искане на износителя на данни предоставя своите устройства за обработка на данни за одит на дейностите по обработка, обхванати от клаузите;
предоставя на субектите на данни, при поискване, на копие от клаузите, с обобщено описание на мерките за сигурност;
наема подизпълнител за обработката на данни само с предварително писмено съгласие на износителя на данни.

Клауза 6: Отговорност

В клаузите се изисква страните да се споразумеят, че всеки субект на данни, който е претърпял вреди в резултат на нарушение на задълженията, има право да получи обезщетение от износителя на данни за претърпените вреди.

Клауза 7: Медиация и съд

Вносителят на данни трябва да се съгласи, че ако субектът на данни се позове спрямо него на права като трето лице бенефициер и/или търси обезщетение за вреди, той ще приеме решението на субекта на данни да отнесе спора до независима медиация или до съдилищата в държавата от ЕС, в която е установен износителят на данни (с право да търси средства за защита съгласно други национални или международни закони).

Клауза 8: Сътрудничество с надзорните органи

Тази клауза урежда сътрудничеството с компетентния надзорен орган, като се предвижда, че:

надзорният орган има право да извърши одит на износителя на данни, както и на всеки подизпълнител, който обработва данни;
вносителят на данни се съгласява да информира износителя на данни за всяко законодателство, което предотвратява одит от страна на вносителя на данни. В такъв случай износителят на данни има право да спре предаването на данни или да прекрати договора.

Клауза 9: Приложимо право

Клаузите следва да се уреждат от националното право на държавата от ЕС, в която е установен износителят на данни.

Клауза 10: Изменение на договора

Страните не трябва да изменят, модифицират или да противоречат на клаузите.

Клауза 11: Предаване за подизпълнение

Разпоредбите, свързани с предаването за подизпълнение, следва да се уреждат от правото на държавата от ЕС, в която е установен износителят на данни.

Клауза 12: Задължение след приключване на услугите по обработване на лични данни

С тази клауза се уреждат задълженията на страните след прекратяване на обработката на данни. По-специално, страните следва да се споразумеят, че при приключване на услугите за обработка на данни вносителят на данни и подизпълнителят, който обработва лични данни, трябва да върнат (или да унищожат при поискване) всички предадени лични данни, освен ако това не е предотвратено от законодателството.

ОТКОГА СЕ ПРИЛАГА РЕШЕНИЕТО?

Прилага се от 15 май 2010 г.

ОБЩА ИНФОРМАЦИЯ

Забележка: настоящото решение беше предмет на преюдициално запитване, което доведе до решение на Съда на ЕС (Дело C-311/18) от 16 юли 2020 г., в което Съдът потвърди валидността на решението.
Освен това Европейската комисия също така издаде два комплекта стандартни договорни клаузи за предаване на данни от администратори на данни в ЕС към администратори на данни, установени извън ЕС или ЕИП.
Вж. също:
- Защита на данните (Европейска комисия).

ОСНОВНИ ПОНЯТИЯ

Администратор на лични данни: физическо или юридическо лице, публичен орган, агенция или друг орган, който определя целите и средствата на обработване на личните данни.

Лични данни: всяка информация, свързана с физическо лице (субект на данни), което може да бъде идентифицирано, пряко или непряко, по име, идентификационен номер, данни за местоположение, онлайн идентификатор или специфични признаци, отнасящи се до неговата физическа, психологическа, генетична, умствена, икономическа, културна или социална самоличност.

Лице, което обработва лични данни: физическо или юридическо лице, публичен орган, агенция или друг орган, който обработва лични данни от името на администратора.

ОСНОВЕН ДОКУМЕНТ

Решение 2010/87/ЕС на Комисията от 5 февруари 2010 година относно стандартните договорни клаузи при предаването на лични данни към лицата, които ги обработват, установени в трети страни, съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета (OВ L 39, 12.2.2010 г., стр. 5—18)

Последващите изменения на Решение 2010/87/ЕС са инкорпорирани в първоначалния текст. Тази консолидирана версия е само за документална справка.

СВЪРЗАНИ ДОКУМЕНТИ

Регламент (EС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 4.5.2016 г., стр. 1—88)

Вж. консолидираната версия.

Решение 2004/915/ЕО на Комисията от 27 декември 2004 година за изменение на Решение 2001/497/ЕО за въвеждане на алтернативен комплект общи договорни клаузи за прехвърляне на лични данни в трети страни (OВ L 385, 29.12.2004 г., стр. 74—84)

Решение 2001/497/ЕО на Комисията от 15 юни 2001 година относно общите договорни клаузи за трансфера на лични данни към трети страни съгласно Директива 95/46/ЕО (OВ L 181, 4.7.2001 г., стр. 19—31)

Вж. консолидираната версия.

Директива 95/46/EО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 23.11.1995 г., стр. 31—50)

Вж. консолидираната версия.

последно актуализация 07.10.2020