Komisijos sprendimas

2001 m. gruodžio 27 d.

dėl sutarčių standartinių sąlygų asmens duomenų perdavimui trečiosiose šalyse įsikūrusiems tvarkytojams pagal Direktyvos 95/46/EB nuostatas

(pranešta dokumentu Nr. C(2001) 4540)

(tekstas svarbus EEE)

(2002/16/EB)

EUROPOS BENDRIJŲ KOMISIJA,

atsižvelgdama į Europos bendrijos steigimo sutartį,

atsižvelgdama į 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvą 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo [1], ypač į jos 26 straipsnio 4 dalį,

kadangi:

(1) Pagal Direktyvos 95/46/EB reikalavimus valstybės narės turi užtikrinti, kad asmens duomenų perdavimas trečiajai šaliai galimas tik tuo atveju, jeigu ji užtikrina tinkamą duomenų apsaugos lygį ir jei prieš perduodant duomenis yra atsižvelgiama į valstybių narių įstatymus, atitinkančius kitas Direktyvos nuostatas.

(2) Tačiau Direktyvos 95/46/EB 26 straipsnio 2 dalis numato, kad valstybės narės, esant tam tikroms apsaugos priemonėms, gali leisti atlikti asmens duomenų perdavimą ar asmens duomenų perdavimų rinkinį trečiosioms šalims, neužtikrinančioms tinkamo apsaugos lygio. Tokių apsaugos priemonių funkciją gali atlikti atitinkamos sutarčių sąlygos.

Pagal Direktyvą 95/46/EB duomenų apsaugos lygis turi būti vertinamas atsižvelgiant į visas duomenų perdavimo operacijos arba perdavimo operacijų grupės aplinkybes. Pagal tos direktyvos reikalavimus įsteigta darbo grupė asmenų apsaugai tvarkant asmens duomenis [2] paskelbė rekomendacijas, padedančias atlikti vertinimą [3].

(4) Standartinės sutarčių sąlygos reglamentuoja tik duomenų apsaugą. Duomenų eksportuotojas ir jų importuotojas gali nevaržomai nustatyti bet kokias kitas verslo klausimus reglamentuojančias sąlygas, kurios, jų manymu, yra susijusios su sutartimi, jei tik jos neprieštarauja standartinėms sutarčių sąlygoms.

(5) Šis sprendimas neturi pažeisti nacionalinių leidimų, kuriuos valstybės narės gali išduoti pagal savo nacionalines nuostatas, įgyvendinančias Direktyvos 95/46/EB 26 straipsnio 2 dalį. Šis sprendimas įpareigoja valstybes nares neatsisakyti pripažinti, kad jame pateiktos sutarčių sąlygos užtikrina tinkamas apsaugos priemones ir todėl neturi jokio poveikio kitoms sutarčių sąlygoms.

(6) Šio sprendimo taikymo sritis apsiriboja nuostata, kad Bendrijoje įsikūręs duomenų valdytojas, naudodamasis sprendime nurodytomis sąlygomis, gali pateikti tinkamas apsaugos priemones, kad asmens duomenis būtų galima perduoti trečiojoje šalyje įsikūrusiam tvarkytojui, kaip numatyta Direktyvos 95/46/EB 26 straipsnio 2 dalyje.

(7) Sprendimas turėtų įgyvendinti Direktyvos 95/46/EB 17 straipsnio 3 dalyje numatytą įsipareigojimą ir nepažeidžia pagal tą nuostatą sudarytų sutarčių ir priimtų teisės aktų turinio. Tačiau į juos reikėtų įtraukti kai kurias standartinių sutarčių sąlygas, visų pirma — dėl duomenų eksportuotojo įsipareigojimų, kad būtų aiškiau suprantamos duomenų valdytojo ir duomenų tvarkytojo sutarties sąlygos.

(8) Įgyvendinant šį sutarčių mechanizmą, valstybių narių priežiūros institucijoms tenka svarbus vaidmuo — jos užtikrina, kad po perdavimo asmens duomenys būtų tinkamai saugomi. Ypatingais atvejais, kai duomenų eksportuotojai atsisako ar negali tinkamai instruktuoti duomenų importuotojo, ir todėl duomenų subjektams iškyla didelės žalos grėsmė, standartinės sutarčių sąlygos turėtų leisti priežiūros institucijoms atlikti duomenų importuotojų patikrinimus ir, tam tikrais atvejais, priimti duomenų importuotojus įpareigojančius sprendimus. Priežiūros institucijoms turėtų būti suteikta teisė standartinių sutarčių sąlygų pagrindu uždrausti ar sustabdyti duomenų perdavimą ar duomenų perdavimų rinkinį tais išimtiniais atvejais, kai nustatoma, jog pagal sutartį atliekamas duomenų perdavimas gali labai neigiamai paveikti garantijas ir įsipareigojimus suteikiančius tinkamą apsaugą duomenų subjektui.

(9) Vėliau Komisija gali svarstyti, ar verslo organizacijų arba kitų suinteresuotųjų šalių pateiktos standartinės sutarčių sąlygos dėl asmens duomenų perdavimo duomenų tvarkytojams, įsikūrusiems tinkamo duomenų apsaugos lygio neužtikrinančiose trečiosiose šalyse, suteikia tinkamas apsaugos priemones pagal Direktyvos 95/46/EB 26 straipsnio 2 dalį.

(10) Asmens duomenų atskleidimas už Bendrijos ribų įsikūrusiam duomenų tvarkytojui yra tarptautinis perdavimas, ginamas Direktyvos 95/46/EB IV skirsnio nuostatos. Dėl šios priežasties šis sprendimas nereglamentuoja Bendrijoje įsikūrusių duomenų valdytojų atliekamo asmens duomenų perdavimo už Bendrijos ribų įsikūrusiems duomenų valdytojams, kurie pagal Direktyvos 95/46/EB nuostatas [4] priklauso 2001 m. birželio 15 d. Komisijos sprendimo 2001/497/EB dėl standartinių sutarčių sąlygų asmens duomenų perdavimui trečiosiose šalyse įsikūrusiems duomenų tvarkytojams taikymo sričiai.

(11) Standartinės sutarčių sąlygos turėtų numatyti technines ir organizacines saugumo priemones, kurios užtikrintų tokį apsaugos lygį, kurį turi suteikti duomenų tvarkytojas, įsikūręs reikiamos apsaugos neužtikrinančioje trečiojoje šalyje, atsižvelgdamas į tvarkymo ir saugotinų duomenų pobūdžio riziką. Sudarydamos sutartį šalys turėtų priimti sąlygą dėl tų techninių ir organizacinių priemonių, būtinų siekiant apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo ar atsitiktinio praradimo, pakeitimo, nesankcionuoto atskleidimo ar pateikimo arba nuo kitų neteisėtų tvarkymo būdų, atsižvelgiant į taikomus duomenų apsaugos teisės aktus ir į tų priemonių modernumą bei įgyvendinimo išlaidas.

(12) Siekiant skatinti duomenų srautus iš Bendrijos, pageidautina, kad duomenų tvarkytojams, kurie teikia duomenų tvarkymo paslaugas keliems Bendrijoje veikiantiems duomenų valdytojams, būtų leidžiama imtis vienodų techninių ir organizacinių saugumo priemonių, nepriklausomai nuo to, iš kurios valstybės narės yra perduodami duomenys, ypač tada, kai duomenų importuotojas gauna duomenis tolesniam tvarkymui iš skirtingų Bendrijoje įsikūrusių duomenų eksportuotojo įstaigų. Tokiu atveju turėtų galioti valstybės narės, kurioje įstaiga yra įsikūrusi, įstatymai.

(13) Tikslinga nurodyti minimalią informaciją, kurią šalys turi pateikti perdavimo sutartyse. Valstybėms narėms derėtų palikti teisę konkrečiai nurodyti informaciją, kurią šalys turi numatyti sutartyse. Šio sprendimo veikimą derėtų peržiūrėti remiantis įgyta patirtimi.

(14) Duomenų importuotojas turi atlikti perduotų asmens duomenų tvarkymą tik duomenų eksportuotojo vardu ir laikydamasis jo pateiktų nurodymų bei sutarties sąlygose prisiimtų įsipareigojimų. Duomenų importuotojas ypač neturėtų atskleisti asmens duomenų trečiosioms šalims, nebent laikantis tam tikrų sąlygų. Per visą duomenų tvarkymo paslaugų teikimo laiką duomenų eksportuotojas turėtų duoti duomenų importuotojui nurodymus tvarkyti duomenis laikantis jo instrukcijų, taikytinų duomenų apsaugos įstatymų ir sąlygose numatytų įsipareigojimų. Asmens duomenų perdavimas už Bendrijos ribų įsikūrusiems duomenų tvarkytojams nepažeidžia nuostatos, kad visais atvejais duomenų tvarkymo veikla turi būti atliekama pagal taikytino duomenų apsaugos įstatymo reikalavimus.

(15) Standartines sutarčių sąlygas turėtų vykdyti ne tik sutarties šalimis esančios organizacijos, bet ir duomenų subjektai, ypač kai sutarties pažeidimas padaro žalą duomenų subjektams.

(16) Duomenų subjektui turėtų būti suteikta teisė pareikšti ieškinį duomenų eksportuotojui, kuris yra perduotų asmens duomenų valdytojas, ir, esant atitinkamoms aplinkybėms, gauti iš jo kompensaciją. Ypatingais atvejais, kurių gali pasitaikyti duomenų importuotojui pažeidus kurį nors iš 3 sąlygos 2 dalyje minėtų įsipareigojimų, kai duomenų eksportuotojas yra faktiškai dingęs, nutraukęs savo veiklą arba tapęs nemokus, duomenų subjektui taip pat turėtų būti suteikta teisė pareikšti ieškinį duomenų importuotojui ir gauti iš jo kompensaciją.

(17) Kilus duomenų subjekto, kuris remiasi trečiosios šalies kaip naudos gavėjo sąlyga, ir duomenų importuotojo ginčui, kurio nepavyksta išspręsti šalių susitarimu, duomenų importuotojas turėtų sutikti sudaryti galimybę duomenų subjektui pasirinkti ginčo sprendimo būdą, t. y. spręsti ginčą per tarpininkus, arbitražo teisme arba bylinėjantis. Duomenų subjekto veiksmingo pasirinkimo galimybė turėtų priklausyti nuo patikimų ir pripažintų tarpininkavimo ir arbitražo teismo sistemų. Vienu iš variantų galėtų būti valstybės narės, kurioje įsikūręs duomenų eksportuotojas, duomenų apsaugos priežiūros institucijų tarpininkavimas, jei jos teikia tokias paslaugas.

(18) Sutartį turėtų reglamentuoti valstybės narės, kurioje įsikūręs duomenų eksportuotojas, įstatymai, kurie turėtų suteikti galimybę trečiajai šaliai kaip naudos gavėjai užtikrinti sutarties vykdymą. Duomenų subjektams turėtų būti suteikta teisė, kad jiems galėtų atstovauti asociacijos ar kitos struktūros, jei duomenų subjektai to pageidauja ir jei tokio atstovavimo galimybę numato nacionaliniai įstatymai.

(19) Darbo grupė asmenų apsaugai tvarkant asmens duomenis, įsteigta pagal Direktyvos 95/46/EB 29 straipsnio nuostatas, pateikė nuomonę, į kurią buvo atsižvelgta rengiant šį sprendimą, dėl apsaugos lygio, kurį užtikrina šio sprendimo priede pateiktos standartinės sutarčių sąlygos [5].

(20) Šiame sprendime numatytos priemonės atitinka pagal Direktyvos 95/46/EB 31 straipsnio nuostatas įsteigto komiteto nuomonę,

PRIĖMĖ ŠĮ SPRENDIMĄ:

1 straipsnis

Priede pateiktos standartinės sutarčių sąlygos laikomos užtikrinančiomis tinkamas apsaugos priemones pagal Direktyvos 95/46/EB 26 straipsnio 2 dalies reikalavimus, ginant privatumo teisę ir pagrindines asmens teises ir laisves, susijusias su atitinkamų teisių įgyvendinimu.

2 straipsnis

Sprendime kalbama tik apie apsaugos, kurią užtikrina priede pateiktos standartinės sutarčių sąlygos dėl asmens duomenų perdavimo duomenų tvarkytojams, tinkamumą. Šis Sprendimas neliečia kitų nacionalinių nuostatų, įgyvendinančių Direktyvą 95/46/EB ir susijusių su valstybėse narėse atliekamu asmens duomenų tvarkymu, taikymo.

Sprendimas taikomas Bendrijoje įsikūrusiems duomenų valdytojams, perduodantiems asmens duomenis gavėjams, kurie yra įsikūrę už Bendrijos teritorijos ribų ir veikia vien tik kaip duomenų tvarkytojai.

3 straipsnis

Šiame sprendime:

a) vartojamos Direktyvoje 95/46/EB pateiktos sąvokos;

b) "ypatingų duomenų kategorijos" — tai tos Direktyvos 8 straipsnyje minimi duomenys;

c) "priežiūros institucija" — tai tos Direktyvos 28 straipsnyje minima institucija;

d) "duomenų eksportuotojas" — tai duomenų valdytojas, kuris perduoda asmens duomenis;

e) "duomenų importuotojas" — tai trečiojoje šalyje įsikūręs duomenų tvarkytojas, sutinkantis gauti iš duomenų eksportuotojo asmens duomenis, kuriuos, atlikus perdavimą, jis turi tvarkyti duomenų eksportuotojo vardu, laikydamasis jo duotų nurodymų ir šio sprendimo sąlygų, ir kuris nepriklauso trečiosios šalies tinkamos apsaugos užtikrinimo sistemai;

f) "taikytinas duomenų apsaugos įstatymas" — tai teisės aktas, ginantis pagrindines fizinių asmenų teises ir laisves, o ypač jų teisę į privatų gyvenimą, tvarkant asmens duomenis, ir kurio turi laikytis duomenų valdytojas toje valstybėje narėje, kurioje įsikūręs duomenų eksportuotojas;

g) "techninės ir organizacinės saugumo priemonės" — tai priemonės, kurių paskirtis yra saugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo arba nuo atsitiktinio praradimo, pakeitimo, nesankcionuoto atskleidimo ar pateikimo, ypač tais atvejais, kai tvarkymo proceso metu duomenys perduodami tinklu, taip pat nuo visų kitų neteisėtų tvarkymo formų.

4 straipsnis

1. Nepažeidžiant valstybių narių kompetentingų institucijų teisės imtis veiksmų, kad būtų užtikrintas nacionalinių nuostatų, priimtų įgyvendinant Direktyvos 95/46/EB II, III, V ir VI skyrių reikalavimus, vykdymas, jos gali pasinaudoti joms suteiktomis teisėmis uždrausti ar sustabdyti duomenų srautus į trečiąsias šalis, siekiant apsaugoti asmenis, kurių asmens duomenys yra tvarkomi. Šiomis teisėmis minėtosios institucijos gali pasinaudoti:

a) nustačius, jog įstatymas, kurio turi laikytis duomenų importuotojas, jam kelia reikalavimus, verčiančius nukrypti nuo taikomo duomenų apsaugos įstatymo, ir tie reikalavimai viršija Direktyvos 95/46/EB 13 straipsnyje nustatytus apribojimus būtinus demokratinėje visuomenėje, jei tie reikalavimai gali ypač neigiamai paveikti taikytiname duomenų apsaugos įstatyme ar standartinėse sutarčių sąlygose pateiktas garantijas; arba

b) jei kompetentinga institucija nustato, kad duomenų importuotojas nevykdo priede pateiktų sutarčių sąlygų; arba

c) jei yra reali tikimybė, kad priede pateiktos standartinės sutarčių sąlygos yra nevykdomos arba bus nevykdomos ir kad toliau perduodant duomenis duomenų subjektams iškils didelės žalos grėsmė.

2. Pagal 1 dalies sąlygas paskelbtas uždraudimas ar sustabdymas turi būti panaikintas, kai tik nebelieka sustabdymo ar uždraudimo priežasčių.

3. Valstybės narės, priėmusios priemones pagal 1 ir 2 dalies sąlygas, privalo neatidėliodamos apie jas pranešti Komisijai, o Komisija perduoda tą informaciją kitoms valstybėms narėms.

5 straipsnis

Praėjus trejiems metams nuo pranešimo apie šį sprendimą valstybėms narėms, Komisija, remdamasi turima informacija, atlieka šio sprendimo vykdymo įvertinimą. Ataskaitą apie išvadas ji pateikia pagal Direktyvos 95/46/EB 31 straipsnio reikalavimus įsteigtam Komitetui. Ataskaitoje pateikiami visi duomenys, kurie gali turėti įtakos atliekant priede pateiktų standartinių sutarčių sąlygų adekvatumo įvertinimą, taip pat visi duomenys apie diskriminacinį sprendimo taikymą.

6 straipsnis

Šis sprendimas įsigalioja 2002 m. balandžio 3 d.

7 straipsnis

Šis sprendimas skirtas valstybėms narėms.

Priimta Briuselyje, 2001 m. gruodžio 27 d.

Komisijos vardu

Frederik Bolkestein

Komisijos narys

[1] OL L 281, 1995 11 23, p. 31.

[2] Darbo grupės interneto svetainės adresas:

- http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm

[3] WP4 (5020/97): 1997 m. birželio 26 d. darbo grupės priimtas diskusijos dokumentas "Pirmasis supažindinimas su asmens duomenų perdavimų trečiosioms šalims tvarka — būdai, kuriuos galima naudoti tinkamumui vertinti".WP7 (5057/97): 1998 m. sausio 14 d. darbo grupės priimtas darbo dokumentas "Pramonės savireguliacijos vertinimas: kada ji turi reikšmingą indėlį, didinant trečiosios šalies duomenų apsaugos lygį".WP9 (5005/98): 1998 m. balandžio 22 d. darbo grupės priimtas darbo dokumentas "Preliminarus požiūris į naudojimąsi sutarčių sąlygomis asmens duomenų perdavimo trečiosioms šalims kontekste".WP12: Asmens duomenų perdavimai trečiosioms šalims: ES duomenų apsaugos direktyvos 25 ir 26 straipsnių taikymas; priėmė darbo grupė 1998 m. liepos 24 d., paskelbta Europos Komisijos interneto svetainėje

- http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp12en.htm.

[4] OL L 181, 2001 7 4, p. 19.

[5] 2001 m. rugsėjo 13 d. darbo grupės priimta nuomonė Nr. 7/2001 (DG MARKT.…), paskelbta Europos Komisijos interneto svetainėje "Europa".

--------------------------------------------------

PRIEDAS

+++++ TIFF +++++

+++++ TIFF +++++

+++++ TIFF +++++

+++++ TIFF +++++

--------------------------------------------------

1 priedas

+++++ TIFF +++++

--------------------------------------------------

2 priedas

+++++ TIFF +++++

--------------------------------------------------