32001D0497[1]
A Bizottság határozata (2001. június 15.) a 95/46/EK irányelv alapján a személyes adatok harmadik országokba irányuló továbbítására vonatkozó általános szerződési feltételekről (az értesítés a C(2001) 1539. számú dokumentummal történt)
A BIZOTTSÁG HATÁROZATA
(2001. június 15.)
a 95/46/EK irányelv alapján a személyes adatok harmadik országokba irányuló továbbítására vonatkozó általános szerződési feltételekről
(az értesítés a C(2001) 1539. számú dokumentummal történt)
(EGT vonatkozású szöveg)
(2001/497/EK)
1. cikk
A mellékletben szereplő általános szerződési feltételek megfelelő biztosítékot nyújtónak minősülnek tekintettel az egyének magánélethez való jogának, alapvető jogainak és szabadságjogainak védelmére, valamint a 9/46/EK irányelv 26. cikkének (2) bekezdése által előírt megfelelő jogok gyakorlására.
Az adatkezelők választhatnak a mellékletben szereplő I. és II. csomag között. A feltételeket azonban nem változtathatják meg, illetve nem vonhatnak össze egyes feltételeket, vagy a csomagokat.
2. cikk
Ez a határozat kizárólag a személyes adatok továbbítására vonatkozó, a mellékletben szereplő általános szerződési feltételek által biztosított védelem megfelelő voltára vonatkozik. A határozat nem érinti a 95/46/EK irányelv végrehajtására kiadott és a tagállamokon belül a személyes adatok feldolgozására vonatkozó egyéb nemzeti rendelkezések alkalmazását.
Ez a határozat nem alkalmazható a személyes adatok továbbításának azon eseteire, amelyet a Közösség területén letelepedett adatkezelők végeznek a Közösség területén kívül letelepedett olyan címzettek számára, akik kizárólag adatfeldolgozóként működnek.
3. cikk
E határozat alkalmazásában:
a) a 95/46/EK irányelv meghatározásait kell alkalmazni;
b) "különleges adatkategóriák" a fenti irányelv 8. cikkében említett adatok;
c) "felügyeleti hatóság" a fenti irányelv 28. cikkében említett hatóság;
d) "adatok átadója" a személyes adatokat továbbító adatkezelő;
e) "adatok átvevője" az az adatkezelő, aki e határozat rendelkezéseinek megfelelően az adatok átadójától a személyes adatokat további feldolgozásra átveszi.
4. cikk
Ha a tagállamok hatáskörrel rendelkező hatóságai oly módon gyakorolják a 95/46/EK irányelv 28. cikkének (3) bekezdése alapján őket megillető jogköreiket, hogy ez - az egyéneknek a személyes adataik kezelése tekintetében történő védelme érdekében - harmadik országokba irányuló adatáramlás felfüggesztéséhez vagy végleges tilalmához vezet, az érintett tagállam haladéktalanul tájékoztatja erről a Bizottságot, amely továbbítja ezt a tájékoztatást a többi tagállamnak.
5. cikk
A Bizottság a tagállamoknak megküldött értesítést követő három év elteltével a rendelkezésre álló információ alapján értékeli e határozat érvényesülését, valamint az azt érintő módosításról szóló értesítést. Végkövetkeztetéseiről jelentést készít a 95/46/EK irányelv 31. cikke alapján létrehozott bizottságnak. A jelentésnek tartalmaznia kell a mellékletben szereplő általános szerződési feltételek megfelelő voltának értékelését adott esetben befolyásoló bizonyítékokat, valamint a határozat diszkriminatív alkalmazására vonatkozó esetleges bizonyítékokat.
6. cikk
E határozat rendelkezéseit 2001. szeptember 3-tól kell alkalmazni.
7. cikk
Ennek a határozatnak a tagállamok a címzettjei.
MELLÉKLET
I CSOMAG
1. függelék
az általános szerződési feltételekhez
2. függelék
az általános szerződési feltételekhez
Az 5.b) pont első bekezdésében említett kötelező adatvédelmi alapelvek
Ezeket az adatvédelmi alapelveket a 95/46/EK irányelv rendelkezéseivel (alapelveivel és a vonatkozó kivételekkel) összhangban kell olvasni és értelmezni.
Az alapelveket az adatátvevőre vonatkozó nemzeti jogszabályok olyan kötelező előírásaira figyelemmel kell alkalmazni, amelyek nem lépnek túl a 95/46/EK irányelv 13. cikkének (1) bekezdésében felsorolt valamely érdek alapján a demokratikus társadalomban szükséges rendelkezéseken, azaz a nemzetbiztonságot, a védelmet, a közbiztonságot, a bűncselekmények vagy a külön jogszabályban szabályozott foglalkozások szakmai etikai szabályai megsértésének megelőzését, kivizsgálását, felderítését és eljárás alá vonását, az állam fontos gazdasági vagy pénzügyi érdekét, az érintett védelmét, vagy mások jogait és szabadságjogait biztosító elengedhetetlen intézkedésnek minősülnek.
1. Célhoz kötöttség: adatot feldolgozni, ezt követően felhasználni vagy nyilvánosságra hozni csak a feltételek 1. függelékében szereplő meghatározott célokra lehet. Az adatok csak a továbbítás céljához szükséges ideig tárolhatók.
2. Adatminőség és arányosság: az adatoknak pontosnak és, adott esetben, naprakésznek kell lenniük. Az adatoknak megfelelőnek, a tárgyhoz tartozónak, és a továbbítás illetőleg további adatfeldolgozás céljához viszonyítva arányosnak kell lenniük.
3. Átláthatóság: az érintetteket tájékoztatni kell az adatfeldolgozás céljáról, a harmadik országbeli adatkezelő személyéről, valamint - amennyiben az a tisztességes eljárás biztosításához szükséges - az egyéb információkról, kivéve ha ezeket az információkat az adatátadó már rendelkezésre bocsátotta.
4. Adatbiztonság és titoktartás: az adatkezelőnek meg kell tennie az adatfeldolgozással járó kockázatok - mint például a jogosulatlan hozzáférés - miatt szükséges műszaki és szervezeti biztonsági intézkedéseket. Az adatkezelő megbízásából eljáró személy, ideértve az adatfeldolgozót is, az adatfeldolgozást kizárólag az adatkezelő utasításai szerint végezheti.
5. Hozzáféréshez, kiigazításhoz, törléshez és zároláshoz való jog: a 95/46/EK irányelv 12. cikkének megfelelően az érintettnek biztosítani kell a rá vonatkozó, feldolgozás alatt álló adatokhoz hozzáférés, valamint adott esetben, az olyan adatok kiigazításához, törléséhez és zárolásához való jogot, amelyek feldolgozása nem felel meg az e függelékben szereplő alapelveknek, különösen azért, mert az adatok hiányosak vagy pontatlanok. Az érintett - egyéni helyzetével kapcsolatos lényeges jogos érdekből - tiltakozhat a rá vonatkozó adatok feldolgozása ellen.
6. További adattovábbításokra vonatkozó korlátozások: az adatátvevőtől a megfelelő védelmet nem biztosító vagy a 95/46/EK irányelv 25. cikkének (6) bekezdése szerint a Bizottság által hozott határozat hatálya alá nem tartozó harmadik országban letelepedett adatkezelő felé történő további személyesadat-továbbításra (további adattovábbítás) kizárólag akkor kerülhet sor, ha:
a) különleges adatkategóriák esetében az érintettek egyértelmű hozzájárulásukat adták a további adattovábbításhoz, vagy egyéb esetekben, lehetőségük volt tiltakozni.
Az érintettek részére az általuk ismert nyelven nyújtott tájékoztatásnak legalább a következő információkat kell tartalmaznia:
- a további adattovábbítás célja,
- a Közösségben letelepedett adatátadó személye,
- az adatok további címzettjeinek csoportjai és a célországok, valamint
- az arra vonatkozó magyarázat, hogy a további adattovábbítást követően az adatok olyan országban letelepedett adatkezelő feldolgozásába kerülhetnek, ahol az egyének magántitokhoz való jogának védelme nem megfelelő szintű; vagy
b) az adatátadó és az adatátvevő megállapodnak abban, hogy valamely másik adatkezelő feltételeihez csatlakoznak, amely által az említett adatkezelő a feltételek tekintetében félnek minősül, és az adatátvevővel azonos kötelezettséget vállal.
7. Különleges adatkategóriák: a 95/46/EK irányelv értelmében további garanciákra - különösen olyan megfelelő biztonsági intézkedésekre, mint az adatátvitel szigorú kódolása vagy a szenzitív adatokba való betekintésről vezetett nyilvántartás - van szükség, ha a feldolgozás alatt álló adatok faji vagy etnikai származásra, politikai nézetekre, vallási vagy filozófiai meggyőződésre vagy szakszervezeti tagságra utalnak, illetve az egészségi állapotra, a szexuális életre, továbbá bűncselekményekre, büntetett előéletre vagy biztonsági intézkedésekre vonatkoznak.
8. Direkt marketing: amennyiben az adatokat direkt marketing céljából dolgozzák fel, hatékony eljárásokat kell biztosítani arra, hogy az érintett bármikor "kivonhassa magát" adatainak ilyen célú tárolása alól.
9. Automatizált egyedi döntések: az érintetteknek joguk van arra, hogy kivonják magukat az olyan döntések hatálya alól, amelyek kizárólag automatizált adatfeldolgozáson alapulnak, kivéve ha a 95/46/EK irányelv 15. cikkének (2) bekezdésének megfelelően egyéb intézkedésekkel biztosítják az egyén jogos érdekeinek védelmét. Amennyiben az adattovábbítás célja a 95/46/EK irányelv 15. cikkében említett olyan automatikus döntéshozatal, amely az egyénre nézve joghatással jár, vagy őt jelentős mértékben érinti, és amely kizárólag egyes rá vonatkozó, személyes tulajdonságok - mint munkahelyi teljesítmény, hitelesség, megbízhatóság, magatartás stb. - értékelésére szolgáló automatizált adatfeldolgozáson alapul, akkor az egyénnek joga van megismernie e döntés indokolását.
3. függelék
az általános szerződési feltételekhez
Az 5. b) pont második bekezdésében említett kötelező adatvédelmi alapelvek
1. Célhoz kötöttség: adatot feldolgozni, ezt követően felhasználni vagy nyilvánosságra hozni csak a feltételek 1. függelékében szereplő meghatározott célokra lehet. Az adatok csak a továbbítás céljához szükséges ideig tárolhatók.
2. Hozzáféréshez, kiigazításhoz, törléshez és zároláshoz való jog: a 95/46/EK irányelv 12. cikkének megfelelően az érintettnek biztosítani kell a rá vonatkozó, feldolgozás alatt álló adatokhoz való hozzáférés, valamint adott esetben, az olyan adatok kiigazításához, törléséhez és zárolásához való jogot, amelyek feldolgozása nem felel meg az e függelékben szereplő alapelveknek, különösen azért, mert az adatok hiányosak vagy pontatlanok. Az érintett - egyéni helyzetével kapcsolatos lényeges jogos érdekből - tiltakozhat a rá vonatkozó adatok feldolgozása ellen.
3. További adattovábbításokra vonatkozó korlátozások: az adatátvevőtől a megfelelő védelmet nem biztosító vagy a 95/46/EK irányelv 25. cikkének (6) bekezdése szerint a Bizottság által hozott határozat hatálya alá nem tartozó harmadik országban letelepedett adatkezelő felé történő további személyesadat-továbbításra (további adattovábbítás) kizárólag akkor kerülhet sor, ha:
a) különleges adatkategóriák esetében az érintettek egyértelmű hozzájárulásukat adták a további adattovábbításhoz, vagy egyéb esetekben, lehetőségük volt tiltakozni.
Az érintettek részére az általuk ismert nyelven nyújtott tájékoztatásnak legalább a következő információkat kell tartalmaznia:
- a további adattovábbítás célja,
- a Közösségben letelepedett adatátadó személye,
- az adatok további címzettjeinek csoportjai és a célországok, valamint
- az arra vonatkozó magyarázat, hogy a további adattovábbítást követően az adatok olyan országban letelepedett adatkezelő feldolgozásába kerülhetnek, ahol az egyének magántitokhoz való jogának védelme nem megfelelő szintű; vagy
b) az adatátadó és az adatátvevő megállapodnak abban, hogy valamely másik adatkezelő feltételeihez csatlakoznak, amely által az említett adatkezelő a feltételek tekintetében félnek minősül, és az adatátvevővel azonos kötelezettséget vállal.
II. CSOMAG
általános szerződési feltételek személyes adatoknak harmadik országokba irányuló továbbadására (átadások kezelőtől kezelőnek)
Adatátadási megállapodás
Egyfelől
_ (név)
_ (cím és székhely szerinti ország)
a továbbiakban "adatátadó"
és
_ (név)
_ (cím és székhely szerinti ország)
a továbbiakban "adatátvevő"
egyenként a "szerződő fél", együttesen "a szerződő felek"
Fogalommeghatározások
A feltételek alkalmazásában:
a) "személyes adatok", "különleges adatkategóriák"/"érzékeny információk", "folyamat/feldolgozás", "kezelő", "feldolgozó", "érintett" és "felügyeleti hatóság/hatóság" ugyanazzal a jelentéssel bír, mint az 1995. október 24-i 95/46/EK irányelvben (ahol "a hatóság" az illetékes adatvédelmi hatóságot jelenti azon a területen, ahol az adatátvevő be van jegyezve);
b) "az adatátadó" a személyes adatokat továbbító adatkezelőt jelenti;
c) "az adatátvevő" azt az adatkezelőt jelenti, aki beleegyezik abba, hogy az adatátadótól személyes adatokat vegyen át további feldolgozásra ezeknek a feltételeknek az alapján, és akire nem vonatkozik egy harmadik ország megfelelő védelmet biztosító rendszere;
d) "feltételek" jelentik ezeket a szerződési feltételeket, amelyek önálló dokumentumot képeznek, amely nem tartalmazza a felek által megállapított, külön üzleti megállapodásban szereplő üzleti kondíciókat.
Az átadás részleteit (valamint a vonatkozó személyes adatokat) a B melléklet konkretizálja, amely ezeknek a feltételeknek szerves részét képezi.
I. Az adatátadó kötelezettségei
Az adatátadó garantálja és vállalja, hogy
a) A személyes adatok összegyűjtése, feldolgozása és átadása az adatátadóra vonatkozó jogszabályoknak megfelelően történt.
b) Megtette az indokolt erőfeszítéseket annak megállapítására, hogy az adatátvevő képes-e az ezen feltételek szerinti jogi kötelezettségeinek a teljesítésére.
c) Átadja az adatátvevőnek, kérésre, a vonatkozó adatvédelmi jogszabályok másolatait vagy az azokra való utalásokat (amikor arra szükség van, jogi tanácsadás nélkül) annak az országnak a tekintetében, amelyben az adatátadó székhelye van.
d) Válaszol az érintettek és a hatóság megkereséseire a személyes adatoknak az adatátvevő által történő feldolgozását illetően, kivéve, ha a felek úgy állapodtak meg, hogy az adatátvevő válaszol ezekre, amely esetben az adatátadó is válaszolni fog, az indokoltan megvalósítható mértékben és azokon az információkon belül, amelyek indokoltan a rendelkezésére állnak, ha az adatátvevő nem akar, vagy nem tud választ adni. A válaszokat indokolt időn belül meg kell adni.
e) Rendelkezésre bocsát, kérés alapján, egy másolatot a feltételekből azoknak az érintetteknek, akik harmadik félként kedvezményezettek, a III. feltétel szerint, kivéve, ha a feltételek bizalmas információkat tartalmaznak, amely esetben az ilyen információkat eltávolíthatja. Amikor az információt eltávolítják, az adatátadónak írásban tájékoztatnia kell az érintetteket az eltávolítás okáról és arról a jogukról, hogy az eltávolításra felhívják a hatóság figyelmét. Mindazonáltal, az adatátadóra nézve kötelező a hatóság határozata a feltételek teljes szövegének hozzáférhetőségéről az érintettek számára, mindaddig, amíg az érintettek beleegyeztek abba, hogy az eltávolított bizalmas információ bizalmasságát megőrzik. Az adatátadónak a feltételek egy példányát biztosítania kell a hatóság számára is, ahol ez követelmény.
II. Az adatátvevő kötelezettségei
Az adatátvevő garantálja és vállalja, hogy:
a) Megvalósítja a megfelelő műszaki és szervezeti intézkedéseket a személyes adatok véletlen vagy jogtalan tönkretételével vagy véletlen elvesztésével, módosításával, jogosulatlan közzétételével vagy hozzáférésével szemben, amelyeknek megfelelő szintű biztonságot kell jelenteniük a megvédendő adatok feldolgozása által képviselt kockázat és az adatok jellege szerint.
b) Kialakítja azokat az eljárásokat, amelyek szerint az a harmadik fél, aki a személyes adatokhoz hozzáfér, a feldolgozókat is beleértve, tiszteletben fogja tartani és be fogja tartani a személyes adatok bizalmasságát és biztonságát. Bármely személy, aki az adatátvevő felügyelete alatt cselekszik, beleértve a feldolgozót, köteles a személyes adatokat csak az adatátvevőtől kapott utasításoknak megfelelően feldolgozni. Ez a rendelkezés nem vonatkozik azokra a személyekre, akiket törvény vagy jogszabály hatalmaz fel a személyes adatokhoz való hozzáférésre.
c) Nincs oka azt hinni ezeknek a feltételeknek az elfogadásakor, hogy vannak olyan helyi jogszabályok, amelyek lényeges ellentétes hatást gyakorolnának az ezekben a feltételekben előírt garanciákhoz képest, és az adatátadót tájékoztatni fogja, ha ilyen jogszabályok a tudomására jutnak (az pedig továbbítja ezt az értesítést a hatóságnak, ha ez szükséges).
d) A személyes adatokat a B mellékletben leírt célokra dolgozza fel, és rendelkezik azzal a jogi hatáskörrel, hogy megadja azokat a garanciákat és teljesítse a vállalásokat, amelyek ezekben a feltételekben szerepelnek.
e) Az adatátadó számára megad egy kapcsolattartót a szervezetén belül, aki fel van hatalmazva arra, hogy válaszoljon a személyes adatok feldolgozásával kapcsolatos megkeresésekre, aki jóhiszeműen együttműködik az adatátadóval, az érintettel és a hatósággal, minden ilyen megkereséssel kapcsolatban, ésszerű határidőn belül. Az adatátadó jogi megszűnése esetében, vagy ha a felek így egyeznek meg, az adatátvevő felel az I. feltétel e) pontja rendelkezéseinek teljesítéséért.
f) Az adatátadó kérésére átadja az adatátadó számára a bizonyítékot arra vonatkozóan, hogy elegendő pénzügyi forrással rendelkezik a III. feltétel szerinti kötelezettségeinek teljesítéséhez (ami magában foglalhatja a biztosítási kötelezettséget is).
g) Az adatátadó indokolt kérése esetén a feldolgozáshoz szükséges adatfeldolgozó létesítményeit, adatfájljait és dokumentációját átvizsgálásra, ellenőrzésre és/vagy tanúsításra az átadó (vagy az átadó által kiválasztott, az adatátvevő által indokoltan nem kifogásolható bármely független vagy pártatlan vizsgálati megbízott vagy bevizsgáló) rendelkezésére bocsátja, az ezekben a feltételekben szereplő garanciák és vállalások megfelelősége ellenőrzése céljára, ésszerű előzetes értesítéssel és a szokásos üzleti nyitvatartási időben. A kérelemre érvényes az, hogy valamilyen beleegyezés vagy jóváhagyás szükséges lehet hozzá az adatátvevő országában a szabályozó vagy felügyelő hatóság részéről, amely beleegyezést vagy jóváhagyást az adatátvevő megkísérel a kellő időben megszerezni.
h) A személyes adatokat saját választása szerint a következők szerint dolgozza fel:
i) annak az országnak a törvényei szerint, ahol az adatátadó székhelye van; vagy
ii) a 95/46/EK irányelv 25. cikkének (6) bekezdése alapján létrejött bizottsági rendelet vonatkozó rendelkezései ( 1 ) szerint, amikor az adatátvevő betartja az ilyen felhatalmazás vagy határozat vonatkozó rendelkezéseit, és olyan országban van a székhelye, amelyben egy ilyen felhatalmazás vagy határozat érvényes, de nem vonatkozik rá ilyen felhatalmazás vagy határozat a személyes adatok átadásának céljaira ( 2 ); vagy
iii) Az A mellékletben ismertetett adatfeldolgozási elvek szerint.
Az adatátvevőnek meg kell jelölnie, hogy melyik opciót választja:_
Az adatátvevő kézjegye: _ ;
i) Nem ismertet meg vagy ad át személyes adatot egy harmadik félként szereplő, az Európai Gazdasági Térségen (EGT) kívüli adatkezelőnek, kivéve, ha az átadásról értesíti az adatátadót, valamint
i) a harmadik fél adatkezelő a személyes adatokat egy olyan bizottsági határozat alapján dolgozza fel, amely szerint a harmadik ország kellő védelmet biztosít, vagy
ii) a harmadik félként szereplő adatkezelő aláírója ezeknek a feltételeknek vagy más, adatátadással kapcsolatos megállapodásnak, amelyet az EU illetékes hatósága jóváhagyott, vagy
iii) Az érintettek lehetőséget kaptak arra, hogy ellenvetést tegyenek, miután tájékoztatták őket az átadás céljairól, a címzettek kategóriáiról és arról a tényről, hogy azok az országok, amelyekbe az adatokat továbbítják esetleg eltérő adatvédelmi szabványokkal rendelkeznek, vagy
iv) az érzékeny információk odairányuló átadásainak tekintetében az érintettek egyértelmű beleegyezésüket adták az odairányuló átadáshoz.
III. Felelősségviselés és harmadik felek jogai
a) Mindegyik fél felel a másik féllel szemben azokért a károkért, amelyeket ezeknek a feltételeknek a megsértésével okoz. A felek közötti felelősségviselés a ténylegesen elszenvedett kárra korlátozódik. A büntető jellegű károk (azaz olyan károk, amelyek az egyik felet tűrhetetlen viselkedése miatti büntetést szolgálják) kifejezetten kizárásra kerülnek. Mindegyik fél felel az érintettekkel szemben azokért a károkért, amelyeket egy harmadik személy ezen feltételek szerinti jogainak megsértésével okoz. Ez nem érinti az adatátadó felelősségét adatvédelmi törvénye szerint.
b) A felek megállapodnak abban, hogy az érintettnek jogában áll harmadik személy kedvezményezettként ezt a feltételt és a I. feltétel b) pontját, I. feltétel d) pontját, I. felvétel e) pontját, II. feltétel a) pontját, II. feltétel c) pontját, II. feltétel d) pontját, II. feltétel e) pontját, II. feltétel h) pontját, II. feltétel i) pontját, III. feltétel a) pontját, V. feltételt, VI. feltétel d) pontját, és VII. feltételt érvényesíteni az adatátvevővel vagy az adatátadóval szemben, ha azok a maguk részéről szerződéses kötelezettségeiket megsértik személyes adataival kapcsolatban, és elfogadja erre a célra az adatátadó székhelye szerinti ország jogrendjét. Azokban az esetekben, amikor felmerül az adatátvevő állítólagos szerződésszegése, az érintettnek először az adatátadót kell kérnie, hogy tegye meg a szükséges lépéseket jogainak érvényesítésére az adatátvevővel szemben; ha az adatátadó ilyen lépéseket nem tesz ésszerű időn belül (ami normális esetben egy hónap), az érintett közvetlenül érvényesítheti jogait az adatátvevővel szemben. Az érintettnek jogában áll közvetlenül eljárni az adatátadónál, ha az nem tette meg az indokolt erőfeszítéseket annak megállapítására, hogy az adatátvevő képes-e megfelelni az ezen feltételek szerinti jogi kötelezettségeinek (az adatátadót terheli az indokolt erőfeszítések megtétele).
IV. A feltételekre alkalmazandó jog
Ezekre a feltételekre annak az országnak a jogszabályai vonatkoznak, amelyben az adatátadó székhelye van, kivéve azokat a törvényeket és rendeleteket, amelyek a személyes adatoknak az adatátvevő által történő feldolgozására a II. feltétel h) pontja szerint vonatkoznak, amelyek csak akkor alkalmazandók, ha az adatátvevő annál a feltételnél ezt választotta.
V. Viták rendezése az érintettekkel vagy a hatósággal
a) Abban az esetben, ha a személyes adatok feldolgozásával kapcsolatban vita, illetve az érintett vagy a hatóság részéről igény merül fel a felek egyikével, vagy mindkettőjükkel szemben, a felek tájékoztatják egymást az ilyen vitákról vagy igényekről, és együttműködnek annak érdekében, hogy azokat barátságos módon és időben rendezzék.
b) A felek megállapodnak abban, hogy elfogadják az érintett vagy a hatóság által kezdeményezett általánosan elfogadott, nem kötelező érvényű közvetítés eljárást. Ha az eljárásban részt vesznek, a felek dönthetnek úgy, hogy ezt a távolból teszik (például telefonon vagy más elektronikus eszköz révén). A felek megállapodnak arról is, hogy megfontolnak minden más, olyan választottbírósági, közvetítői vagy más vitarendezési eljárást, amelyet az adatvédelmi viták rendezésére alakítottak ki.
c) Mindegyik fél számára kötelező az adatátadó székhelye szerinti ország illetékes bíróságának vagy hatóságának határozata, amely végleges és amely ellen további fellebbezésnek nincs helye.
VI. Megszüntetés
a) Abban az esetben, ha az adatátvevő megsérti az ezen feltételek szerinti kötelezettségeit, akkor az adatátadó ideiglenesen felfüggesztheti a személyes adatok védelmének továbbítását az adatátvevő felé, mindaddig, amíg a sérelem meg nem szűnik vagy a szerződés megszüntetésre nem kerül.
b) Abban az esetben, ha:
i. a személyes adatoknak az adatátvevőhöz való továbbadása ideiglenesen felfüggesztésre került az adatátadó részéről, egy hónapnál hosszabb időszakra az a) bekezdés alapján;
ii. az, ha az adatátvevő betartaná ezeket a feltételeket, jogi vagy szabályozási kötelezettségeinek megszegését eredményezné az átvevő országban;
iii. az adatátvevő jelentős mértékben vagy tartósan megszegi azokat a garanciákat vagy vállalásokat, amelyeket ezeknek a feltételeknek az alapján adott;
iv. az adatátadó székhelye szerinti ország illetékes bíróságának vagy a hatóságnak a végleges, nem megfellebbezhető határozata kimondja, hogy az adatátvevő vagy az adatátadó ezeket a feltételeket megsértette; vagy
v. kérelmet nyújtottak be az adatátvevő felszámolására vagy végelszámolására, akár személyes, akár üzleti minőségben, amely kérelmet nem utasítottak el az ilyen elutasítás számára az alkalmazandó törvény szerint nyitva álló időszakon belül; a végelszámolást elrendelték; felszámolót neveztek ki eszközeinek bármely részére; csődgondnokot neveztek ki, ha az adatátvevő magánszemély; hitelezői megállapodást kezdeményezett; vagy egy bármely jogrendben ezzel egyenértékű esemény történt
akkor az adatátadó, minden más, az adatátvevővel kapcsolatos jogának sérelme nélkül, jogosult ezeknek a feltételeknek a megszüntetésére, amely esetben a hatóságot tájékoztatni kell, ha van ilyen követelmény. A fenti i., ii. vagy iv. esetekben az adatátvevő is megszüntetheti ezeket a feltételeket.
c) Bármelyik fél megszüntetheti ezeket a feltételeket, ha i. a 95/46/EK irányelv 25. cikkének (6) bekezdése (vagy annak helyébe lépő szöveg) alapján a Bizottság határozata kimondja, hogy az az ország (vagy annak az az ágazata), ahová az adatokat továbbítják és azokat az adatátvevő feldolgozza, a követelményeknek megfelel, vagy ii. a 95/46/EK irányelv (vagy az annak helyébe lépő bármely szöveg) közvetlenül alkalmazandóvá válik az adott országban.
d) A felek megállapodnak abban, hogy ezeknek a feltételeknek a megszüntetése, bármikor, bármilyen körülmények között és bármely okból történik is (kivéve a VI. feltétel c) pontja szerinti megszüntetést), nem mentesíti őket azok alól a kötelezettségek és/vagy kondíciók alól, amelyek a feltételekben szerepelnek, az átadott személyes adatok feldolgozását illetően.
VII. A feltételek megváltoztatása
A felek nem módosíthatják ezeket a feltételeket, kivéve, ha valamely információt frissítenek a B mellékletben, amely esetben tájékoztatják a hatóságot, ha van ilyen követelmény. Ez nem akadályozza meg, hogy a felek kiegészítő üzleti feltételeket adjanak hozzá, amennnyiben az szükséges.
VIII. Az adatátadás leírása
A személyes adatok átadásának részleteit a B melléklet konkretizálja. A felek megállapodnak abban, hogy a B melléklet tartalmazhat bizonyos bizalmas üzleti információkat, amelyet nem közölnek harmadik felekkel, kivéve, ha azt a törvény megköveteli, vagy ha illetékes szabályozási vagy kormányzati szervnek válaszolnak, vagy ha azt az I. feltétel e) pontja megköveteli. A felek további mellékleteket készíthetnek a további átadásokra vonatkozóan, amelyeket a hatóságnak be kell nyújtani, ha van ilyen követelmény. A B melléklet elkészíthető oly módon is, hogy több átadásra vonatkozzon.
Kelt: _
_
_
AZ "ADATÁTVEVŐ" RÉSZÉRŐL
AZ "ADATÁTADÓ" RÉSZÉRŐL
...
...
...
...
...
...
A. MELLÉKLET
ADATFELDOLGOZÁSI ELVEK
1. A cél korlátozása: a személyes adatokat feldolgozni és később felhasználni vagy továbbadni csak a B mellékletben leírt, vagy az érintett által a későbbiekben engedélyezett célokra lehet.
2. Az adatok minősége és arányossága: a személyes adatoknak pontosaknak kell lenniük, és szükség esetén naprakésszé kell azokat tenni. A személyes adatoknak megfelelőeknek, relevánsaknak és nem túlzottaknak kell lenniük azoknak a céloknak a szempontjából, amelyekre azokat átadták, vagy tovább feldolgozták.
3. Átláthatóság: Az érintetteknek meg kell adni azokat a szükséges tájékoztatást, amely biztosítja a tisztességes feldolgozást (mint például tájékoztatás a feldolgozás céljairól és az átadásról), kivéve, ha az ilyen tájékoztatást az adatátadó már megadta.
4. Biztonság és titoktartás: Az adatkezelőnek meg kell valósítania azokat a technikai és szervezeti biztonsági intézkedéseket, amelyek a kockázatoknak megfelelnek, mint például a véletlen vagy jogtalan tönkretétellel vagy véletlen elvesztéssel, módosítással, jogtalan közzététellel vagy hozzáféréssel kapcsolatosak a feldolgozás során. Bármely személy, aki az adatkezelő felügyelete alatt cselekszik, beleértve a feldolgozót, köteles a személyes adatokat csak az adatkezelőtől kapott utasításoknak megfelelően feldolgozni.
5. Hozzáférési jogok, pontosítás, törlés és kifogás: Ahogyan azt a 95/46/EK irányelv 12. cikke előírja, az érintetteknek - akár közvetlenül, akár egy harmadik félen keresztül - meg kell adni azokat a róluk szóló személyes információkat, amelyekkel a szervezet rendelkezik, kivéve azokat a kérelmeket, amelyek nyilvánvalóan rosszindulatúak az indokolatlan indőintervallumok, vagy számuk, illetve ismétlődő vagy rendszeres jellegük miatt, vagy amelyek esetében az adatátadó országának joga szerint a hozzáférést nem kell megadni. Feltéve, hogy a hatóság nem adott előző jóváhagyást, a hozzáférést akkor sem kell megadni, ha az valószínűleg súlyos kárt okozna az adatátvevő vagy más, az adatátvevővel kapcsolatban álló szervezet érdekeinek, és ezek az érdekek nem előzik meg az érintett alapvető jogaiból és szabadságjogaiból következő érdekeket. A személyes adatok forrásait nem kell beazonosítani akkor, amikor az ésszerű erőfeszítésekkel ez nem lehetséges, vagy amikor az adott egyéntől különböző személyek jogai sérülnének. Az érintetteknek képeseknek kell lenniük arra, hogy a róluk szóló információt helyesbíttessék, módosíttassák vagy töröltessék, ha az pontatlan, vagy feldolgozása ezektől az elvektől eltérően történt. Ha vannak kényszerítő okok a kérelem jogosságában való kételkedésre, a szervezet kérhet további igazolásokat, mielőtt a helyesbítéshez, módosításhoz vagy törléshez hozzálát. A helyesbítésről, módosításról vagy törlésről harmadik személyeknek értesítést nem kell küldeni, ha ez aránytalan erőfeszítést igényelne. Az érintetteknek képesnek kell lenniük arra is, hogy a rájuk vonatkozó személyes adatok feldolgozását ellenezzék, ha vannak kényszerítő okok az adott helyzettel kapcsolatban. A bizonyítás terhét az esetleges visszautasítás esetén az adatátvevő viseli, és az érintett mindig fellebbezhet a visszautasítással szemben a hatóságnál.
6. Érzékeny információ: Az adatátvevőnek kell megtenni a kiegészítő intézkedéseket (pl. a biztonsággal kapcsolatban), ahogyan azokra szükség van az ilyen érzékeny információ megvédésére, a II. feltétel szerinti kötelezettségeivel összhangban.
7. A marketing célra használt adatok: Amikor az adatok feldolgozása közvetlen marketing céljára történik, hatékony eljárásoknak kell lenniük arra, hogy az érintett bármikor "kimaradhasson" adatainak ilyen célokra történő felhasználásából.
8. Automatizált döntések: Ennek a dokumentumnak a céljaira az "automatizált döntés" az adatátadó vagy az adatátvevő által hozott olyan döntést jelenti, amely jogi hatásokat eredményez az érintettel szemben, vagy jelentős hatást gyakorolt az érintettre, és amely egyedül a személyes adatok automatizált feldolgozásán alapul, éspedig olyan adatokén, amelyek a rá vonatkozó egyes szempontok értékelését szolgálják, mint például a munkában nyújtott teljesítménye, hitelképessége, megbízhatósága, viselkedése, stb. Az adatátvevő nem hozhat semmilyen automatizált döntést az érintettekről, kivéve, amikor:
a)
i) az ilyen döntéseket az adatátvevő akkor hozza, amikor az érintettel szerződést köt vagy azt teljesíti, és
ii) az érintettnek lehetősége van a vonatkozó automatizált döntés eredményeinek megvitatására az ilyen döntést hozó fél képviselőjével, vagy más módon fejtheti ki a véleményét.
vagy
b) Amikor az adatátadó joga másként rendelkezik.
B. MELLÉKLET
AZ ADATÁTADÁS LEÍRÁSA
A feleknek kell kitölteniük
ILLUSZTRÁCIÓS JELLEGŰ ÜZLETI FELTÉTELEK (VÁLASZTHATÓ)
Az adatátadó és az adatátvevő közötti kártalanítási ügyek
"A felek kártalanítják és kármentesítik egymást minden olyan költséggel, megterheléssel, kárral, ráfordítással vagy veszteséggel szemben, amelyet egymásnak okoztak az ezen feltételek bármelyikének megszegésének eredményeként. Az ilyen kártalanítás feltétele, hogy a) kártalanítandó fél (felek) (a "kártalanított fél/felek") haladéktalanul értesítsék a másik felet (feleket) ("a kártalanító fél/felek") az igényről, b) a kártalanító fél/felek egyedüli illetékességgel bírjanak az ilyen igény megvédésében és rendezésében, és c) a kártalanított fél/felek ésszerűen együttműködjenek és segítséget nyújtsanak a kártalanító félnek/feleknek az ilyen igény védelmében."
Viták rendezése az adatátadó és az adatátvevő között (a felek természtesen bármely más alternatív vitarendezési vagy igazságszolgáltatási feltételt behelyettesíthetnek):
"Az adatátvevő és az adatátadó közötti, bármiféle, ezeknek a feltételeknek az állítólagos megszegésével kapcsolatos vita esetén, az ilyen vitát végső soron a Nemzetközi Kereskedelmi Kamara választottbírósági szabályai, vagy a hivatkozott szabályokkal összhangban kinevezett egy vagy több választottbíró révén kell rendezni. A választottbíráskodás helye [ ]. A választottbírák száma [ ]."
Költségek megosztása:
"Mindegyik félnek az ezekben a feltételekben foglalt kötelezettségeit saját költségére kell teljesítenie."
Rendkívüli megszüntetési záradék:
"Ezeknek a feltételeknek a megszűnése esetén az adatátvevőnek vissza kell adni minden személyes adatot és a személyes adatok minden másolatát, amelyekre ezek a feltételek vonatkoznak az adatátadónak azonnal, vagy az adatátadó választása szerint, megsemmisíti azok minden példányát, és igazolja az adatátadó számára, hogy ezt megtette, kivéve, ha az adatátvevő számára nemzeti joga vagy helyi szabályozója megtiltja, hogy az ilyen adatok megsemmisítse vagy visszaadja, amely esetben az adatokat bizalmasan kell kezelni és semmilyen célra nem szabad aktívan felhasználni. Az adatátvevő beleegyezik, hogy ha azt az adatátadó kéri, megengedi az adatátadónak vagy az adatátadó által kiválasztott és az adatátvevő által indokoltan nem kifogásolt vizsgálati megbízottnak, hogy létesítményét felkeresse, annak ellenőrzésére, hogy ez megtörtént, ésszerű előzetes értesítés mellett és az üzleti nyitvatartás idejében."
( 1 ) "Vonatkozó rendelkezések" jelenti bármely engedély vagy határozat rendelkezéseit, kivéve az engedély vagy határozat érvényesítésére vonatkozó rendelkezéseket (amelyekre a jelen feltételek vonatkoznak).
( 2 ) Az A. melléklet 5. pontjának a hozzáférési, helyesbítési, törlési és ellenvetési jogokkal kapcsolatos rendelkezései azonban alkalmazandók, amikor ezt az opciót választották, és megelőzik a kiválasztott bizottsági határozat valamennyi ezekkel kapcsolatos rendelkezését.
Lábjegyzetek:
[1] A dokumentum eredetije megtekinthető CELEX: 32001D0497 - https://eur-lex.europa.eu/legal-content/HU/ALL/?uri=CELEX:32001D0497&locale=hu Utolsó elérhető, magyar nyelvű konszolidált változat CELEX: 02001D0497-20161217 - https://eur-lex.europa.eu/legal-content/HU/ALL/?uri=CELEX:02001D0497-20161217&locale=hu