32002D0016[1]

A Bizottság határozata (2001. december 27.) a 95/46/EK irányelv alapján a személyes adatoknak harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről (az értesítés a C(2001) 4540. számú dokumentummal történt)EGT vonatkozású szöveg.

A Bizottság határozata

(2001. december 27.)

a 95/46/EK irányelv alapján a személyes adatoknak harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről

(az értesítés a C(2001) 4540. számú dokumentummal történt)

(EGT vonatkozású szöveg)

(2002/16/EK)

AZ EURÓPAI KÖZÖSSÉGEK BIZOTTSÁGA,

tekintettel az Európai Közösséget létrehozó szerződésre,

tekintettel a személyesadat-kezelés vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelvre [1] és különösen annak 26. cikke (4) bekezdésére,

mivel:

(1) A 95/46/EK irányelv értelmében a tagállamoknak biztosítani kell, hogy a személyes adatoknak egy harmadik országba történő továbbítására csak abban az esetben kerülhessen sor, ha az érintett harmadik állam gondoskodik a megfelelő szintű adatvédelemről, és ha az adatok továbbítása előtt a tagállamoknak az irányelv egyéb rendelkezéseivel összhangban álló jogszabályait tiszteletben tartják.

(2) A 95/46/EK irányelv 26. cikkének (2) bekezdése rendelkezik azonban arról, hogy a tagállamok bizonyos biztosítékok mellett engedélyezhetik a személyes adatoknak olyan harmadik országokba történő továbbítását vagy továbbításait, amelyek nem biztosítanak megfelelő szintű védelmet. Az ilyen biztosítékok különösen megfelelő szerződési feltételekből következhetnek.

A 95/46/EK irányelv értelmében az adatvédelem szintjét az adattovábbítás vagy adattovábbítások valamennyi körülményének ismeretében kell értékelni. Az említett irányelv [2] által létrehozott, a személyesadat-kezelés vonatkozásában az egyének védelmével foglalkozó munkacsoport útmutatót bocsátott ki az ilyen értékelések segítése céljából [3].

(4) Az általános szerződési feltételek csak az adatvédelemre vonatkoznak. Az adatátadó, illetve adatátvevő kiegészítheti a szerződést egyéb, üzleti vonatkozású feltételekkel, amelyeket a szerződés szempontjából relevánsnak tartanak, amennyiben ezek nem ellentétesek az általános szerződési feltételekkel.

(5) Ez a határozat nem érinti azokat a nemzeti engedélyeket, amelyeket a 95/46/EK irányelv 26. cikkének (2) bekezdését átültető nemzeti jogszabályokkal összhangban adhatnak ki a tagállamok. Ez a határozat csak arra terjed ki, hogy a tagállamok az e határozatban megállapított szerződési feltételek megfelelő biztosíték jellegét elismerjék; így tehát ez a határozat nem érinti az egyéb szerződési feltételeket.

(6) Ennek a határozatnak a hatálya annak a megállapítására korlátozódik, hogy a Közösségben letelepedett adatkezelő az e határozatban megállapított szerződési feltételeket használhatja, hogy a 95/46/EK irányelv 26. cikke (2) bekezdésének értelmében a személyes adatoknak egy harmadik országban letelepedett feldolgozó felé történő továbbítására vonatkozó, megfelelő garancia biztosítva legyen.

(7) Ennek a határozatnak végre kell hajtania a 95/46/EK határozat 17. cikkének (3) bekezdésében megállapított kötelezettséget, és nem érinti az említett rendelkezés értelmében létrejött szerződések vagy jogi aktusok tartalmát. Néhány általános szerződési feltételt azonban, különösen az adatátadó kötelezettségeire vonatkozóan, bele kell foglalni azért, hogy pontosabbá váljanak azok a rendelkezések, amelyek az adatkezelő és a feldolgozó között létrejövő szerződésbe bekerülhetnek.

(8) A tagállamok felügyeleti hatóságai kulcsfontosságú szerepet játszanak ebben a szerződéses mechanizmusban, mivel ők biztosítják, hogy továbbításukat követően a személyes adatok megfelelő védelemben részesüljenek. Kivételes esetekben, amikor az adatátadók nem hajlandók vagy nem képesek megfelelő módon tájékoztatni az adatátvevőket - és fennáll a közvetlen veszélye annak, hogy az érintettek számára súlyos károk keletkeznek -, az általános szerződési feltételeknek lehetővé kell tenniük, hogy a felügyeleti hatóságok ellenőrizzék az adatátvevőket, és - adott esetben - rájuk nézve kötelező határozatokat hozzanak. A felügyeleti hatóságoknak rendelkezniük kell megfelelő hatáskörrel, hogy az általános szerződési feltételek alapján megtiltsanak vagy felfüggesszenek adattovábbítást vagy adattovábbításokat azokban a kivételes esetekben, amikor megállapítást nyer, hogy egy szerződés alapján teljesített adattovábbításnak vélhetően súlyosan hátrányos hatása lesz az érintettek számára megfelelő védelmet biztosító garanciákra és kötelezettségekre.

(9) A Bizottság a jövőben vizsgálhatja, hogy a nem megfelelő szintű adatvédelemmel rendelkező harmadik országokban letelepedett feldolgozónak továbbított személyes adatokra vonatkozó, az üzleti szervezetek és más érdekeltek által előterjesztett általános szerződési feltételek - a 95/46/EK irányelv 26. cikkének (2) bekezdésével összhangban - megfelelő biztosítékot nyújtanak-e.

(10) A személyes adatok közlése egy, a Közösségen kívül letelepedett adatfeldolgozóval nemzetközi adattovábbításnak minősül, amely a 95/46/EK irányelv IV. fejezetének védelme alatt áll. Ennek következményeként ez a határozat nem vonatkozik a Közösségben letelepedett adatkezelők által a Közösségen kívül letelepedett adatkezelőknek továbbított adatokra, akik a 95/46/EK irányelv alapján a személyes adatoknak harmadik országok számára történő továbbítására vonatkozó általános szerződési feltételekről szóló, 2001. június 15-i 2001/497/EK bizottsági határozat [4] hatálya alá esnek.

(11) Az általános szerződési feltételeknek rendelkezniük kell azokról a technikai és szervezési biztonsági intézkedésekről, amelyek - a védelmet igénylő adatok természetére és a feldolgozásban rejlő kockázatra való tekintettel - megfelelő szintű biztonságot nyújtanak, és amelyeket a nem megfelelő védelmet biztosító harmadik országban letelepedett feldolgozónak alkalmaznia kell. A feleknek a szerződésben rendelkezniük kell azokról a technikai és szervezeti intézkedésekről, amelyek - az alkalmazandó adatvédelmi jogra, a technika mindenkori állására és a végrehajtás költségeire való tekintettel - szükségesek a személyes adatok véletlen vagy jogellenes megsemmisülése, véletlen elvesztése, megváltoztatása, jogosulatlan közlése vagy azokhoz való jogosulatlan hozzáférés, illetve az adatfeldolgozás egyéb jogellenes formái elleni védelemhez.

(12) A Közösségből kifelé történő adatáramlás megkönnyítése érdekében célszerű gondoskodni arról, hogy a Közösségben több adatkezelő számára adatfeldolgozást végző feldolgozók azonos technikai és szervezési biztonsági intézkedéseket alkalmazzanak, függetlenül attól, hogy melyik tagállam az adattovábbítás kezdeményezője, különösen azokban az esetekben, ahol az adatátvevő az adatátadónak a Közösség területén levő különböző intézményeitől kap adatokat további feldolgozásra, amely esetben annak a tagállamnak a jogát kell alkalmazni, ahol az intézmény található.

(13) Helyénvaló meghatározni azt a minimális információt, amelyet a feleknek az adattovábbításra vonatkozó szerződésben meg kell határozniuk. A tagállamok hatáskörében marad a felek által közlendő információk részletezése. A tapasztalatok ismeretében ennek a határozatnak az alkalmazását felül kell vizsgálni.

(14) Az adatátvevő csak az adatátadó megbízásából, az általa adott utasításokkal és az általános szerződési feltételekben szereplő kötelezettségekkel összhangban dolgozhatja fel az átadott személyes adatokat. Az adatátvevő a személyes adatokat harmadik személyeknek csak bizonyos feltételek között adhatja át. Az adatátadónak az adatfeldolgozási szolgáltatás során utasítania kell az adatátvevőt, hogy az adatokat az utasításaival, az alkalmazandó adatvédelmi jogszabályokkal és az általános szerződési feltételekben megfogalmazott kötelezettségekkel összhangban dolgozza fel. A személyes adatoknak a Közösségen kívül letelepedett feldolgozók felé történő továbbítása nem befolyásolja azt a tényt, hogy az adatfeldolgozás minden esetben az alkalmazandó adatvédelmi jogszabályok hatálya alá esik.

(15) Az általános szerződési feltételeknek nem csak a szerződő intézmények számára, de az érintett személyek számára is érvényesíthetőknek kell lenniük, különösen azokban az esetekben, amikor az érintetteknek a szerződésszegés kárt okoz.

(16) Az érintetteket fel kell jogosítani arra, hogy felléphessenek az adatátadóval szemben, aki a továbbított személyes adatok feldolgozásáért felelős, és - adott esetben - kártérítést kapjanak tőle. Az érintettet kivételes esetben fel kell jogosítani arra is, hogy felléphessen az adatátvevővel szemben és - adott esetben - kártérítést kapjon tőle azokban az esetekben, ha az adatátadó vállalkozása ténylegesen megszűnik, jogilag megszűnik létezni, vagy fizetésképtelenné válik az adatátvevőnek a 3. általános szerződési feltétel második bekezdésében előírt bármely kötelezettségének megszegése következtében.

(17) A kedvezményezett harmadik személyre vonatkozó klauzulával élni szándékozó érintett és az adatátvevő közötti, egyezséggel nem lezárt jogvita esetében az adatátadónak hozzá kell járulnia ahhoz, hogy az érintett a közvetítés, a választott bírósági vagy a peres eljárás közül választhasson. Az, hogy az érintettnek mennyiben lesz tényleges választási lehetősége, attól is függ, mennyire állnak rendelkezésre a közvetítés és a választott bíráskodás megbízható és elismert rendszerei. Amennyiben az adatátadó letelepedési helye szerinti tagállam adatvédelmi felügyelő hatósága közvetítő szolgáltatást is végez, ezt a választási lehetőséget is fel kell kínálni.

(18) A szerződésre az adatátadó letelepedési helye szerinti tagállam joga az irányadó, lehetővé téve azt, hogy egy kedvezményezett harmadik személy a szerződés betartását érvényre juttassa. Az érintettek számára lehetővé kell tenni, hogy - amennyiben élni kívánnak vele, és a nemzeti jog erre lehetőséget biztosít - egyesületek vagy egyéb szervek képviseljék érdekeiket.

(19) A 95/46/EK irányelv 29. cikke által létrehozott, a személyesadat-kezelés vonatkozásában az egyének védelmével foglalkozó munkacsoport véleményt nyilvánított az e határozathoz mellékelt általános szerződési feltételek alapján biztosított védelem szintjéről, amelyet ennek a határozatnak az előkészítése során figyelembe vettek [5].

(20) Az ebben a határozatban előírt intézkedések összhangban vannak a 95/46/EK irányelv 31. cikke alapján létrehozott bizottság véleményével,

ELFOGADTA EZT A HATÁROZATOT:

1. cikk

A mellékletben meghatározott általános szerződési feltételek megfelelő biztosítékokat kínálnak a magánélet tiszteletben tartásához való jog, az egyének alapvető jogainak és szabadságjogainak védelme tekintetében, valamint a 95/46/EK irányelv 26. cikke (2) bekezdése értelmében meghatározott, ezekhez kapcsolódó jogok érvényesítése tekintetében.

2. cikk

Ez a határozat csak a mellékletben meghatározott, a személyes adatoknak az adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételek által nyújtott megfelelő védelemre vonatkozik. A határozat a személyes adatok tagállamokon belül végzett feldolgozására vonatkozó, a 95/46/EK irányelv végrehajtását szolgáló egyéb nemzeti rendelkezések alkalmazását nem érinti.

Ez a határozat a személyes adatok továbbításának azon eseteire vonatkozik, amikor a Közösségben letelepedett adatkezelők a személyes adatokat olyan, a Közösségen kívül letelepedett adatátvevőknek továbbítják, akik csak adatfeldolgozói feladatokat látnak el.

3. cikk

E határozat alkalmazásában:

a) a 95/46/EK irányelv meghatározásait kell alkalmazni;

b) az "adatok különleges kategóriái" kifejezés az említett irányelvnek a 8. cikkében szereplő adatokat jelenti;

c) a "felügyelő hatóság" kifejezés az említett irányelv 28. cikkében szereplő hatóságot jelenti;

d) az "adatátadó" kifejezés arra az adatkezelőre vonatkozik, aki továbbítja a személyes adatokat;

e) az "adatátvevő" kifejezés egy harmadik országban letelepedett feldolgozót jelöl, aki vállalja, hogy az adatátadó utasításaival és e határozat feltételeivel összhangban történt adattovábbítást követően átveszi az adatátadótól a személyes adatokat - annak nevében történő - adatfeldolgozás céljából, és aki nem tartozik egy harmadik ország megfelelő védelmet biztosító rendszerének hatálya alá;

f) az "alkalmazandó adatvédelmi jog" kifejezés a természetes személyek alapvető jogainak és szabadságjogainak, különösen - a személyes adatok feldolgozásával kapcsolatban - a magánélet tiszteletben tartásához való jogainak védelméről szóló, az adatátadó letelepedési helye szerinti tagállamban tevékenykedő adatkezelőre vonatkozó jogszabályt jelenti;

g) a "technikai és szervezési biztonsági intézkedések" kifejezés a személyes adatok véletlen vagy jogellenes megsemmisülése, véletlen elvesztése, megváltoztatása, az adatok jogosulatlan közlése vagy az azokhoz történő jogosulatlan hozzáférés ellen védelmet nyújtó intézkedéseket jelenti, különösen azokban az esetekben, ahol az adatfeldolgozásnak része az adatok hálózaton keresztül történő továbbítása, valamint az adatfeldolgozás valamennyi egyéb jogellenes formája ellen védelmet nyújtó intézkedéseket jelenti.

4. cikk

(1) A 95/46/EK irányelv II., III., V. és VI. fejezete alapján elfogadott nemzeti rendelkezéseknek való megfelelés céljából tett intézkedésekre vonatkozó hatásköröket nem érintve, a tagállamok illetékes hatóságai a magánszemélyek - személyes adatainak feldolgozására tekintettel történő - védelme érdekében élhetnek azzal a jogukkal, hogy megtiltsák vagy felfüggesszék a harmadik országokba történő adattovábbítást olyan esetekben, ha:

a) megállapítják, hogy az adatátvevőre irányadó jog olyan követelményeket támaszt vele szemben, hogy el kell térnie az alkalmazandó adatvédelmi jogtól, ami - a 95/46/EK irányelv 13. cikke rendelkezéseinek megfelelően - túlmegy a demokratikus társadalomban szükséges korlátozásokon; és amennyiben ezek a követelmények vélhetően jelentős hátrányos hatással lesznek az alkalmazandó adatvédelmi jog és az általános szerződési feltételek által nyújtott garanciákra; vagy

b) az illetékes hatóság megállapította, hogy az adatátvevő nem tartotta be a mellékletben szereplő szerződési feltételeket; vagy

c) nagy a valószínűsége annak, hogy a mellékletben szereplő általános szerződési feltételek nem teljesülnek, vagy nem fognak teljesülni, és ilyen módon a további adattovábbítás jelentős kárt okozhat az érintettek számára.

(2) Az (1) bekezdésben említett tilalmat vagy felfüggesztést azonnal megszüntetik, amint a felfüggesztés vagy tilalom okai megszűnnek.

(3) A tagállamok késedelem nélkül tájékoztatják a Bizottságot az (1) és (2) bekezdés értelmében elfogadott intézkedésekről, amely továbbítja ezt az információt a többi tagállamnak.

5. cikk

A Bizottság a tagállamok e határozatról történő értesítésétől számított három évet követően a rendelkezésére álló információk alapján értékeli e határozatnak a végrehajtását. Megállapításairól a Bizottság jelentést terjeszt a 95/46/EK irányelv 31. cikke alapján létrehozott bizottság elé. A jelentésében a Bizottság ismerteti azokat a tényeket, amelyek befolyásolhatják a mellékletben található általános szerződési feltételeknek való megfelelés értékelését, továbbá minden olyan tényt, amely a határozat diszkriminatív végrehajtását bizonyítja.

6. cikk

Ezt a határozatot 2002. április 3-tól kell alkalmazni.

7. cikk

Ennek a határozatnak a tagállamok a címzettjei.

Kelt Brüsszelben, 2001. december 27-én.

a Bizottság részéről

Frederik Bolkestein

a Bizottság tagja

[1] HL L 281., 1995.11.23., 31. o.

[2] A munkacsoport internetcíme:

- http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm.

[3] WP 4 (5020/97): "Első iránymutatás a személyes adatoknak harmadik országokba történő továbbítása tekintetében - A megfelelőség értékelésének lehetséges útjai", a munkacsoport által 1997. június 26-án elfogadott vitaanyag.WP 7 (5057/97): "A gazdaság önszabályozásának megítélése: mikor járul hozzá jelentőségteljesen egy harmadik országban megvalósuló adatvédelem szintjéhez?", a munkacsoport által 1998. január 14-én elfogadott munkaanyag.WP 9 (5005/98): "Előzetes vélemények a szerződési feltételek használatáról a személyes adatoknak a harmadik országokba történő továbbítása vonatkozásában", a munkacsoport által 1998. április 22-én elfogadott munkaanyag.WP 12: Személyes adatok továbbítása harmadik országokba: az EU-adatvédelmi irányelv 25. és 26. cikkének alkalmazása, a munkacsoport által 1998. július 24-én elfogadott anyag, elérhető a következő weboldalon:

- "http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp12en.htm", gazdája az Európai Bizottság.

[4] HL L 181., 2001.7.4., 19. o.

[5] A munkacsoport 2001. szeptember 13-i 7/2001 számú véleménye (DG MARKT...), amely az Európai Bizottság "Europa" weboldalán érhető el.

--------------------------------------------------

MELLÉKLET

+++++ TIFF +++++

+++++ TIFF +++++

+++++ TIFF +++++

+++++ TIFF +++++

--------------------------------------------------

1. függelék

+++++ TIFF +++++

--------------------------------------------------

2. függelék

+++++ TIFF +++++

--------------------------------------------------