Απόφαση της Επιτροπής

της 27ης Δεκεμβρίου 2001

σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες, βάσει της οδηγίας 95/46/ΕΚ

[κοινοποιηθείσα υπό τον αριθμό Ε(2001) 4540]

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

(2002/16/ΕΚ)

Η ΕΠΙΤΡΟΠΗ ΤΩΝ ΕΥΡΩΠΑΪΚΩΝ ΚΟΙΝΟΤΗΤΩΝ,

Έχοντας υπόψη:

τη συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας,

την οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών(1), και ιδίως το άρθρο 26 παράγραφος 4,

Εκτιμώντας τα ακόλουθα:

(1) Δυνάμει της οδηγίας 95/46/EΚ, τα κράτη μέλη πρέπει να προβλέπουν ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα επιτρέπεται μόνον εάν η εν λόγω τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας των δεδομένων και οι νόμοι των κρατών μελών που συνάδουν με τις λοιπές διατάξεις της εν λόγω οδηγίας έχουν τηρηθεί πριν από τη διαβίβαση.

(2) Ωστόσο, το άρθρο 26 παράγραφος 2 της οδηγίας 95/46/EΚ ορίζει ότι τα κράτη μέλη μπορούν να επιτρέπουν, τηρουμένων ορισμένων εγγυήσεων, μία ή πλείονες διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα η οποία δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας, εφόσον παρέχονται ορισμένες εγγυήσεις. Οι εν λόγω εγγυήσεις μπορούν ιδίως να απορρέουν από κατάλληλες συμβατικές ρήτρες.

(3) Σύμφωνα με την οδηγία 95/46/EΚ, το επίπεδο προστασίας των δεδομένων πρέπει να σταθμίζεται και να αξιολογείται λαμβανομένων υπόψη όλων των περιστάσεων που επηρεάζουν μια διαβίβαση ή κατηγορία διαβιβάσεων δεδομένων. Η ομάδα εργασίας για την προστασία των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, που συστάθηκε βάσει της εν λόγω οδηγίας(2), έχει εκδώσει κατευθυντήριες γραμμές προκειμένου να διευκολύνει την αξιολόγηση αυτή(3).

(4) Οι τυποποιημένες συμβατικές ρήτρες αφορούν μόνο την προστασία των δεδομένων. Ο εξαγωγέας των δεδομένων και ο εισαγωγέας των δεδομένων είναι ελεύθεροι να συμπεριλάβουν οποιεσδήποτε άλλες ρήτρες για επιχειρηματικά ζητήματα τις οποίες θεωρούν κατάλληλες για τη σύμβαση, εφόσον οι ρήτρες αυτές δεν αντιφάσκουν με τις τυποποιημένες συμβατικές ρήτρες.

(5) Η παρούσα απόφαση δεν θίγει τις εθνικές άδειες που δύνανται να χορηγούν τα κράτη μέλη σύμφωνα με εθνικές διατάξεις εφαρμογής του άρθρου 26 παράγραφος 2 της οδηγίας 95/46/EΚ. Η μόνη συνέπεια της παρούσας απόφασης είναι ότι απαιτεί από τα κράτη μέλη να μην αρνούνται να αναγνωρίζουν ότι οι τυποποιημένες συμβατικές ρήτρες που περιγράφονται σ' αυτήν παρέχουν επαρκείς εγγυήσεις και, επομένως, δεν έχει καμία συνέπεια σε τυχόν άλλες συμβατικές ρήτρες.

(6) Το πεδίο εφαρμογής της παρούσας απόφασης περιορίζεται στη διαπίστωση ότι οι ρήτρες του παραρτήματος μπορούν να χρησιμοποιηθούν από έναν υπεύθυνο επεξεργασίας που είναι εγκατεστημένος στην Κοινότητα προκειμένου να υπάρξουν επαρκείς εγγυήσεις, κατά την έννοια του άρθρου 26 παράγραφος 2 της οδηγίας 95/46/ΕΚ, για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντα επεξεργασία εγκατεστημένο σε τρίτη χώρα.

(7) Η παρούσα απόφαση υλοποιεί την υποχρέωση που προβλέπεται στο άρθρο 17 παράγραφος 3 της οδηγίας και δεν προδικάζει το περιεχόμενο μιας τέτοιας σύμβασης ή άλλης δικαιοπραξίας που έχει συνταχθεί βάσει αυτής της διατάξεως. Ωστόσο, ορισμένες από τις τυποποιημένες συμβατικές ρήτρες, ιδίως οι σχετικές με τις υποχρεώσεις του εξαγωγέα των δεδομένων, πρέπει να περιληφθούν προκειμένου να υπάρξει μεγαλύτερη σαφήνεια όσον αφορά τις διατάξεις οι οποίες μπορούν να περιέχονται σε σύμβαση μεταξύ ενός υπεύθυνου επεξεργασίας και ενός εκτελούντος επεξεργασία.

(8) Οι αρχές ελέγχου των κρατών μελών διαδραματίζουν καθοριστικό ρόλο στα πλαίσια αυτού του συμβατικού μηχανισμού μεριμνώντας ώστε τα δεδομένα προσωπικού χαρακτήρα να προστατεύονται επαρκώς μετά τη διαβίβαση. Στις εξαιρετικές περιπτώσεις που οι εξαγωγείς των δεδομένων αρνούνται ή δεν είναι σε θέση να καθοδηγήσουν δεόντως τον εισαγωγέα των δεδομένων, οι τυποποιημένες συμβατικές ρήτρες πρέπει να επιτρέπουν στις αρχές ελέγχου να ελέγχουν τους εισαγωγείς των δεδομένων και ενδεχομένως να λαμβάνουν αποφάσεις δεσμευτικές για τους εισαγωγείς των δεδομένων. Οι αρχές ελέγχου πρέπει να έχουν το δικαίωμα να απαγορεύουν ή να αναστέλλουν μια διαβίβαση ή μια κατηγορία διαβιβάσεων δεδομένων που βασίζεται στις τυποποιημένες συμβατικές ρήτρες στις εξαιρετικές περιπτώσεις στις οποίες αποδεικνύεται ότι μια διαβίβαση που πραγματοποιείται σε συμβατική βάση ενδέχεται να έχει σημαντικό αρνητικό αντίκτυπο στις εγγυήσεις και τις υποχρεώσεις που παρέχουν ικανοποιητική προστασία στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

(9) Η Επιτροπή δύναται επίσης να εξετάζει στο μέλλον αν και κατά πόσον τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες οι οποίες δεν παρέχουν ικανοποιητικό επίπεδο προστασίας των δεδομένων, ρήτρες που υποβάλλονται από επιχειρηματικές οργανώσεις ή άλλα ενδιαφερόμενα μέρη, παρέχουν επαρκείς εγγυήσεις, κατά την έννοια του άρθρου 26 παράγραφος 2 της οδηγίας 95/46/ΕΚ.

(10) Η κοινολόγηση δεδομένων προσωπικού χαρακτήρα σε εκτελούντα επεξεργασία εγκατεστημένο εκτός της Κοινότητας συνιστά διεθνή διαβίβαση η οποία προστατεύεται βάσει του κεφαλαίου IV της οδηγίας 95/46/ΕΚ. Κατά συνέπεια η παρούσα απόφαση δεν καλύπτει τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από υπεύθυνους επεξεργασίας εγκατεστημένους στην Κοινότητα προς υπεύθυνους επεξεργασίας εγκατεστημένους εκτός της Κοινότητας οι οποίοι εμπίπτουν στο πεδίο εφαρμογής της απόφασης 2001/497/ΕΚ της Επιτροπής, της 15ης Ιουνίου 2001, σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες δυνάμει του άρθρου 26 παράγραφος 4 της οδηγίας 95/46/ΕΚ(4).

(11) Οι τυποποιημένες συμβατικές ρήτρες πρέπει να προβλέπουν τα τεχνικά και οργανωτικά μέτρα ασφαλείας τα οποία πρέπει να εφαρμόζει ένας εκτελών επεξεργασία δεδομένων εγκατεστημένος σε τρίτη χώρα η οποία δεν παρέχει ικανοποιητική προστασία, ούτως ώστε να διασφαλίζεται το ενδεδειγμένο επίπεδο ασφάλειας έναντι των κινδύνων που συνεπάγεται η επεξεργασία και η φύση των προς προστασία δεδομένων. Τα συμβαλλόμενα μέρη πρέπει να προβλέπουν στη σύμβαση εκείνα τα τεχνικά και οργανωτικά μέτρα τα οποία, λαμβανομένου υπόψη του εφαρμοστέου δικαίου προστασίας των δεδομένων, του τεχνολογικού επιπέδου και του κόστους εφαρμογής τους, είναι απαραίτητα προκειμένου να προστατεύονται τα δεδομένα προσωπικού χαρακτήρα από την τυχαία ή παράνομη καταστροφή ή την τυχαία απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή πρόσβαση ή από οποιαδήποτε άλλη παράνομη μορφή επεξεργασίας.

(12) Για να διευκολυνθούν οι ροές δεδομένων από την Κοινότητα, είναι ευκταίο οι εκτελούντες επεξεργασία οι οποίοι παρέχουν υπηρεσίες επεξεργασίας δεδομένων σε διάφορους υπεύθυνους επεξεργασίας δεδομένων στην Κοινότητα να έχουν το δικαίωμα να λαμβάνουν τα ίδια τεχνικά και οργανωτικά μέτρα ασφαλείας ανεξαρτήτως του κράτους μέλους από το οποίο γίνεται η διαβίβαση των δεδομένων, ιδίως στις περιπτώσεις στις οποίες ο εισαγωγέας των δεδομένων λαμβάνει δεδομένα για περαιτέρω επεξεργασία από διάφορες εγκαταστάσεις του εξαγωγέα των δεδομένων στην Κοινότητα, οπότε πρέπει να εφαρμόζεται το δίκαιο του αναφερόμενου στις συμβατικές ρήτρες κράτους μέλους εγκατάστασης.

(13) Πρέπει να καθοριστούν τα ελάχιστα πληροφοριακά στοιχεία τα οποία οφείλουν να προσδιορίζουν τα συμβαλλόμενα μέρη στη σύμβαση που διέπει τη διαβίβαση. Τα κράτη μέλη πρέπει να διατηρούν το δικαίωμα να εξειδικεύουν τα πληροφοριακά στοιχεία τα οποία απαιτείται να παρέχουν τα συμβαλλόμενα μέρη. Η εφαρμογή της παρούσας απόφασης πρέπει να αναθεωρηθεί με βάση την πείρα που θα αποκτηθεί.

(14) Ο εισαγωγέας των δεδομένων πρέπει να επεξεργάζεται τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα μόνο για λογαριασμό του εξαγωγέα των δεδομένων και σύμφωνα με τις οδηγίες του και τις υποχρεώσεις που περιέχονται στις ρήτρες. Ειδικότερα, ο εισαγωγέας των δεδομένων δεν θα πρέπει να αποκαλύπτει τα δεδομένα προσωπικού χαρακτήρα σε τρίτους, παρά μόνο σύμφωνα με ορισμένους όρους. Ο εξαγωγέας των δεδομένων, καθ' όλη τη διάρκεια των υπηρεσιών επεξεργασίας των δεδομένων, θα πρέπει να υποδεικνύει στον εισαγωγέα των δεδομένων να επεξεργάζεται τα δεδομένα σύμφωνα με τις οδηγίες του, το εφαρμοστέο δίκαιο περί προστασίας των δεδομένων και τις υποχρεώσεις που περιέχονται στις ρήτρες. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους εκτός της Κοινότητας δεν επηρεάζει το γεγονός ότι οι δραστηριότητες επεξεργασίας πρέπει να διέπονται σε κάθε περίπτωση από το εφαρμοστέο δίκαιο περί προστασίας των δεδομένων.

(15) Τις τυποποιημένες συμβατικές ρήτρες πρέπει να μπορούν να επικαλούνται όχι μόνο οι φορείς που είναι συμβαλλόμενα μέρη, αλλά και τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, ιδίως όταν τα πρόσωπα αυτά υφίστανται ζημία συνεπεία παραβίασης της σύμβασης.

(16) Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να δικαιούται να εναγάγει και, ενδεχομένως, να λάβει αποζημίωση από τον εξαγωγέα των δεδομένων που είναι ο υπεύθυνος επεξεργασίας των διαβιβαζομένων δεδομένων προσωπικού χαρακτήρα. Κατ' εξαίρεση, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει επίσης να δικαιούται να εναγάγει και ενδεχομένως να λάβει αποζημίωση από τον εισαγωγέα των δεδομένων στις περιπτώσεις που ανακύπτουν από τη μη εκπλήρωση εκ μέρους του εισαγωγέα δεδομένων κάποιας από τις υποχρεώσεις που προβλέπονται από τη δεύτερη παράγραφο της ρήτρας 3, όταν ο εξαγωγέας των δεδομένων έπαυσε να υφίσταται πραγματικά ή νομικά ή κατέστη αφερέγγυος.

(17) Σε περίπτωση που μεταξύ του προσώπου στο οποίο αναφέρονται τα δεδομένα, που επικαλείται τη ρήτρα δικαιούχου τρίτου, και του εισαγωγέα των δεδομένων, ανακύπτει διαφορά που δεν επιλύεται με φιλικό διακανονισμό, ο εισαγωγέας των δεδομένων συμφωνεί να παράσχει στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα την επιλογή μεταξύ διαμεσολάβησης, διαιτησίας ή παραπομπής στα δικαστήρια. Ο βαθμός στον οποίο το πρόσωπο στο οποίο αναφέρονται τα δεδομένα θα έχει πραγματική επιλογή εξαρτάται από την ύπαρξη αξιόπιστων και αναγνωρισμένων συστημάτων διαμεσολάβησης και διαιτησίας. Η διαμεσολάβηση των αρχών ελέγχου προστασίας δεδομένων του κράτους μέλους στο οποίο είναι εγκατεστημένος ο εξαγωγέας των δεδομένων πρέπει να συγκαταλέγεται μεταξύ των εναλλακτικών επιλογών, όταν οι εν λόγω αρχές παρέχουν τέτοια υπηρεσία.

(18) Η σύμβαση πρέπει να διέπεται από το δίκαιο του κράτους μέλους στο οποίο είναι εγκατεστημένος ο εξαγωγέας των δεδομένων και το οποίο επιτρέπει σε δικαιούχο τρίτο να επικαλεσθεί τη σύμβαση. Τα πρόσωπα στα οποία αναφέρονται τα δεδομένα πρέπει να έχουν το δικαίωμα να εκπροσωπούνται από ένωση ή άλλους φορείς εάν το επιθυμούν και εφόσον αυτό επιτρέπεται από το εθνικό δίκαιο.

(19) Η ομάδα εργασίας για την προστασία των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, που συστάθηκε βάσει του άρθρου 29 της οδηγίας 95/46/EΚ, εξέδωσε γνωμοδότηση σχετικά με το επίπεδο προστασίας που παρέχουν οι τυποποιημένες συμβατικές ρήτρες που επισυνάπτονται στην παρούσα απόφαση, γνωμοδότηση η οποία ελήφθη υπόψη κατά την εκπόνιση της παρούσας απόφασης(5).

(20) Τα μέτρα που προβλέπονται στην παρούσα απόφαση είναι σύμφωνα με τη γνώμη της επιτροπής που συστάθηκε βάσει του άρθρου 31 της οδηγίας 95/46/EΚ,

ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:

Άρθρο 1

Οι τυποποιημένες συμβατικές ρήτρες που παρατίθενται στο παράρτημα της παρούσας απόφασης θεωρείται ότι παρέχουν επαρκείς εγγυήσεις για την προστασία της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών των ατόμων και για την άσκηση των σχετικών δικαιωμάτων, όπως επιβάλλει το άρθρο 26 παράγραφος 2 της οδηγίας 95/46/EΚ.

Άρθρο 2

Η παρούσα απόφαση αφορά μόνο το ικανοποιητικό επίπεδο της προστασίας που παρέχουν οι τυποποιημένες συμβατικές ρήτρες που παρατίθενται στο παράρτημα για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία δεδομένων. Δεν επηρεάζει την εφαρμογή άλλων εθνικών διατάξεων εφαρμογής της οδηγίας 95/46/ΕΚ που αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη.

Η παρούσα απόφαση εφαρμόζεται στη διαβίβαση δεδομένων προσωπικού χαρακτήρα από υπεύθυνους επεξεργασίας εγκατεστημένους στην Κοινότητα προς αποδέκτες εγκατεστημένους εκτός της Κοινότητας οι οποίοι ενεργούν αποκλειστικά ως εκτελούντες επεξεργασία.

Άρθρο 3

Για τους σκοπούς της παρούσας απόφασης:

α) εφαρμόζονται οι ορισμοί της οδηγίας 95/46/EΚ·

β) ως "ειδικές κατηγορίες δεδομένων" νοούνται τα δεδομένα που αναφέρονται στο άρθρο 8 της οδηγίας 95/46/EΚ·

γ) ως "αρχή ελέγχου" νοείται η αρχή που αναφέρεται στο άρθρο 28 της οδηγίας 95/46/EΚ·

δ) ως "εξαγωγέας των δεδομένων" νοείται ο υπεύθυνος επεξεργασίας ο οποίος διαβιβάζει τα δεδομένα προσωπικού χαρακτήρα·

ε) ως "εισαγωγέας των δεδομένων" νοείται ο εκτελών επεξεργασία που είναι εγκατεστημένος σε τρίτη χώρα και ο οποίος συμφωνεί να παραλάβει από τον εξαγωγέα των δεδομένων δεδομένα προσωπικού χαρακτήρα που προορίζονται, μετά τη διαβίβαση, για επεξεργασία για λογαριασμό του εξαγωγέα των δεδομένων, σύμφωνα με τις οδηγίες του και τους όρους της παρούσας απόφασης, και ο οποίος δεν υπόκειται σε σύστημα τρίτης χώρας που διασφαλίζει ικανοποιητική προστασία·

στ) ως "εφαρμοστέο δίκαιο περί προστασίας των δεδομένων" νοείται η νομοθεσία που προστατεύει τα θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων, και ιδίως το δικαίωμα προστασίας της ιδιωτικής τους ζωής από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, η οποία εφαρμόζεται στον υπεύθυνο επεξεργασίας δεδομένων στο κράτος μέλος στο οποίο είναι εγκατεστημένος ο εξαγωγέας των δεδομένων·

ζ) ως "τεχνικά και οργανωτικά μέτρα ασφαλείας" νοούνται τα μέτρα που αποσκοπούν στην προστασία των δεδομένων προσωπικού χαρακτήρα από την τυχαία ή παράνομη καταστροφή ή την τυχαία απώλεια, αλλοίωση, άνευ αδείας κοινοποίηση ή πρόσβαση, ιδίως όταν η επεξεργασία συνεπάγεται τη διαβίβαση δεδομένων μέσω δικτύου, καθώς και στην προστασία από κάθε άλλη παράνομη μορφή επεξεργασίας.

Άρθρο 4

1. Με την επιφύλαξη των εξουσιών τους να αναλαμβάνουν δράση προκειμένου να εξασφαλίζουν την τήρηση των εθνικών διατάξεων που εκδίδονται σύμφωνα με τα κεφάλαια II, III, V και VI της οδηγίας 95/46/ΕΚ, οι αρμόδιες αρχές των κρατών μελών δύνανται να ασκούν τις υφιστάμενες εξουσίες τους για να απαγορεύουν ή να αναστέλλουν τη ροή δεδομένων προς τρίτες χώρες προκειμένου να προστατεύουν τα φυσικά πρόσωπα από την επεξεργασία δεδομένων προσωπικού χαρακτήρα που τα αφορούν στις περιπτώσεις κατά τις οποίες:

α) είναι αποδεδειγμένο ότι η νομοθεσία στην οποία υπόκειται ο εισαγωγέας των δεδομένων του επιβάλλει υποχρεώσεις παρέκκλισης από το εφαρμοστέο δίκαιο προστασίας των δεδομένων οι οποίες υπερβαίνουν το αναγκαίο σε μια δημοκρατική κοινωνία μέτρο, όπως ορίζεται στο άρθρο 13 της οδηγίας 95/46/EΚ, υποχρεώσεις που ενδέχεται να έχουν σημαντικό αρνητικό αντίκτυπο στις εγγυήσεις που παρέχονται από το εφαρμοστέο δίκαιο προστασίας των δεδομένων και τις τυποποιημένες συμβατικές ρήτρες, ή

β) αρμόδια αρχή απέδειξε ότι ο εισαγωγέας των δεδομένων δεν τήρησε τις συμβατικές ρήτρες του παραρτήματος ή

γ) υπάρχει σοβαρή πιθανότητα ότι οι τυποποιημένες συμβατικές ρήτρες του παραρτήματος δεν τηρούνται ή δεν θα τηρηθούν και ότι η συνέχιση της διαβίβασης δημιουργεί άμεσο κίνδυνο πρόκλησης σοβαρής ζημίας στα πρόσωπα στα οποία αναφέρονται τα δεδομένα.

2. Η απαγόρευση ή η αναστολή, βάσει της παραγράφου 1, αίρονται αμέσως μόλις παύσουν να υφίστανται οι λόγοι της αναστολής ή της απαγόρευσης.

3. Τα κράτη μέλη, όταν λαμβάνουν μέτρα σύμφωνα με τις παραγράφους 1 και 2, ενημερώνουν, χωρίς καθυστέρηση, την Επιτροπή, η οποία διαβιβάζει την πληροφορία αυτή στα υπόλοιπα κράτη μέλη.

Άρθρο 5

Η Επιτροπή αξιολογεί την εφαρμογή της παρούσας απόφασης βάσει των διαθέσιμων πληροφοριών τρία έτη μετά την κοινοποίησή της στα κράτη μέλη. Υποβάλει έκθεση για τα σχετικά πορίσματά της στην επιτροπή που συστάθηκε βάσει του άρθρου 31 της οδηγίας 95/46/ΕΚ. Η έκθεση συμπεριλαμβάνει κάθε στοιχείο το οποίο μπορεί να επηρεάσει την εκτίμηση σχετικά με την επάρκεια των τυποποιημένων συμβατικών ρητρών του παραρτήματος, καθώς και κάθε στοιχείο περί του ότι η απόφαση εφαρμόζεται κατά τρόπο που επιφέρει διακρίσεις.

Άρθρο 6

Η παρούσα απόφαση εφαρμόζεται από τις 3 Απριλίου 2002.

Άρθρο 7

Η παρούσα απόφαση απευθύνεται στα κράτη μέλη.

Βρυξέλλες, 27 Δεκεμβρίου 2001.

Για την Επιτροπή

Frederik Bolkestein

Μέλος της Επιτροπής

(1) ΕΕ L 281 της 23.11.1995, σ. 31.

(2) Η διεύθυνση της ομάδας εργασίας στο Διαδίκτυο είναι η ακόλουθη:

http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm.

(3) WP 4 (5020/97): "Αρχικοί προσανατολισμοί για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες - Δυνατοί τρόποι εκτίμησης της επάρκειας της προστασίας", έγγραφο συζήτησης που εκδόθηκε από την ομάδα εργασίας στις 26 Ιουνίου 1997.

WP 7 (5057/97): "Έγγραφο εργασίας: Εκτίμηση της αποτελεσματικότητας των πράξεων αυτορρύθμισης του τομέα: πότε συμβάλλουν ουσιαστικά στο επίπεδο προστασίας δεδομένων μιας τρίτης χώρας;", εκδόθηκε από την ομάδα εργασίας στις 14 Ιανουαρίου 1998.

WP 9 (5005/98): "Έγγραφο εργασίας: Προκαταρκτικές απόψεις για τη χρήση συμβατικών διατάξεων κατά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες", εκδόθηκε από την ομάδα εργασίας στις 22 Aπριλίου 1998.

WP 12: "Διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες: εφαρμογή των άρθρων 25 και 26 της οδηγίας της ΕΕ για την προστασία των δεδομένων", εκδόθηκε από την ομάδα εργασίας στις 24 Ιουλίου 1998 και διατίθεται στον ιστοχώρο της Ευρωπαϊκής Επιτροπής:

http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp12en.htm.

(4) ΕΕ L 181 της 4.7.2001, σ. 19.

(5) Γνωμοδότηση αριθ. 7/2001, που εκδόθηκε από την ομάδα εργασίας στις 13 Σεπτεμβρίου 2001 (ΓΔ MARKT ...)· διατίθεται στον ιστοχώρο "Europa" της Ευρωπαϊκής Επιτροπής.

ΠΑΡΑΡΤΗΜΑ

>PIC FILE= "L_2002006EL.005702.TIF">

>PIC FILE= "L_2002006EL.005801.TIF">

>PIC FILE= "L_2002006EL.005901.TIF">

>PIC FILE= "L_2002006EL.006001.TIF">

Προσάρτημα 1

>PIC FILE= "L_2002006EL.006102.TIF">

Προσάρτημα 2

>PIC FILE= "L_2002006EL.006202.TIF">