13/ 47

BG

Официален вестник на Европейския съюз

72


32004D0915


L 385/74

ОФИЦИАЛЕН ВЕСТНИК НА ЕВРОПЕЙСКИЯ СЪЮЗ


РЕШЕНИЕ НА КОМИСИЯТА

от 27 декември 2004 година

за изменение на Решение 2001/497/ЕО за въвеждане на алтернативен комплект общи договорни клаузи за прехвърляне на лични данни в трети страни

(нотифицирано под номер С(2004) 5271)

(текст от значение за ЕИП)

(2004/915/ЕО)

КОМИСИЯТА НА ЕВРОПЕЙСКИТЕ ОБЩНОСТИ,

като взе предвид Договора за създаване на Европейската общност,

като взе предвид Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. относно защитата на физическите лица при обработването на лични данни и за свободното движение на тези данни (1), и по-специално член 26, параграф 4 от нея,

като има предвид, че:

(1)

С цел улесняване на потоците данни от Общността е желателно лицата, отговарящи за обработката на данните, да могат да извършват прехвърлянето на данни глобално и с прилагане на единен комплект правила за защита на данните. В отсъствието на глобални норми за защита на данните, общите договорни клаузи осигуряват важен инструмент, позволяващ прехвърлянето на лични данни от всички държави-членки при спазване на общ за всички комплект правила. Във връзка с това в Решение 2001/497/ЕО на Комисията от 15 юни 2001 г. относно общите договорни клаузи за трансфера на лични данни към трети страни съгласно Директива 95/46/ЕО (2) се посочва модел на комплект общи договорни клаузи, който осигурява адекватни предпазни мерки за прехвърлянето на данни на трети страни.

(2)

От приемането на посоченото решение е придобит значителен опит. Освен това, с оглед при използването на различни механизми да се осигури ниво на защита на данните, еквивалентно на това, което се осигурява от комплекта общи договорни клаузи, предвидени в Решение 2001/497/ЕО, една група от стопански сдружения (3) представи комплект алтернативни общи договорни клаузи.

(3)

Тъй като използването на общите договорни клаузи за прехвърляне на данни в международен мащаб е доброволно, като общите договорни клаузи са само една от няколкото възможности съгласно Директива 95/46/ЕО за законно прехвърляне на лични данни в трета страна, износителите на данни на територията на Общността и вносителите на данни в трети страни би следвало да разполагат със свободата да избират друг комплект от общи договорни клаузи или друга правна основа за прехвърляне на данни. Тъй като всеки комплект като цяло оформя модел, на износителите на данни не бива да се позволява да променят тези комплекти, нито изцяло, нито частично да ги смесват по какъвто и да било начин.

(4)

Общите договорни клаузи, представени от стопанските сдружения, имат за цел увеличаване на използването на договорни клаузи сред операторите с помощта на някои механизми, като например по-гъвкави изисквания по отношение на ревизиите и по-подробни правила относно правото на достъп.

(5)

Освен това, като алтернатива на системата на солидарна отговорност, предвидена в Решение 2001/497/ЕО, в сега предложения комплект се съдържа режим на отговорност, основан на задълженията за добросъвестно изпълнение на поставените задачи в случаите, в които износителят на данните и вносителят на данните биха били задължени по отношение на субектите на данните за съответно нарушение на своите договорни задължения; освен това износителят на данните отговаря, ако не положи разумни усилия да определи дали вносителят на данните е в състояние да спази своите правни задължения съгласно клаузите (culpa in eligendo), като в този случай субектът на данните може да заведе съдебно дело срещу износителя на данните. Прилагането на клауза I, буква б) от новия комплект общи договорни клаузи е от особено значение в това отношение и в частност във връзка с възможността износителят на данните да провежда ревизии в помещенията на вносителите на данните или да изисква доказателства за достатъчно финансови ресурси, които да покриват изпълнението на неговите отговорности.

(6)

Що се отнася до упражняването от субектите на данните на правата им на бенефициери, се предвижда по-голяма ангажираност на износителя на данните при решаването на жалби от страна на субектите на данните, при което износителят на данните е задължен да влезе в контакт с вносителя на данните и при необходимост да търси принудително изпълнение на договора в рамките на обичайния едномесечен период. В случай че износителят на данните откаже да търси принудително изпълнение на договора, като същевременно нарушението на вносителя на данните все още продължава, субектът на данните може в такъв случай да търси принудително изпълнение на клаузите спрямо вносителя на данните и евентуално да предяви иск срещу него в съда на някоя от държавите-членки. Това приемане на юрисдикция и съгласието за спазване на решение на компетентен съд или орган по защита на данните не накърнява никои процесуални права на вносителите на данните, установени в трети страни, като например правото на обжалване.

(7)

При това обаче, с цел предотвратяване на злоупотребите с тази допълнителна гъвкавост, е целесъобразно да се обезпечи органите за защита на данните да могат по-лесно да забраняват или да отменят прехвърляния на данни, като при това се основават на новия комплект общи договорни клаузи в онези случаи, в които износителят на данните откаже да предприеме целесъобразните стъпки с цел прилагане на договорните задължения срещу вносителя на данните или в случай че последният откаже да сътрудничи доброволно на компетентните надзорни органи за защита на данните.

(8)

Използването на общите договорни клаузи ще се осъществява, без да се засяга прилагането на националните разпоредби, приети в съответствие с Директива 95/46/ЕО или с Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 г. относно обработката на лични данни и защитата на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронните комуникации) (4) и по-специално що се отнася до изпращането на търговски съобщения за целите на директния маркетинг.

(9)

На тази основа предпазните мерки, съдържащи се в представените общи договорни клаузи, могат да се считат за адекватни по смисъла на член 26, параграф 2 от Директива 95/46/ЕО.

(10)

Работната група за защита на физическите лица по отношение на обработката на лични данни, създадена в съответствие с член 29 от Директива 95/46/ЕО, представи своето становище (5) относно нивото на защита, предвидено съгласно представяните общи договорни клаузи, което също бе взето предвид.

(11)

С цел оценка на функционирането на измененията на Решение 2001/497/ЕО, е целесъобразно Комисията да им даде оценка три години след тяхното нотифициране до държавите-членки.

(12)

Решение 2001/497/ЕО следва да бъде съответно изменено.

(13)

Мерките, предвидени в настоящото решение, са в съответствие със становището на комитета, създаден съгласно член 31 от Директива 95/46/ЕО,

ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:

Член 1

Решение 2001/497/ЕО се изменя, както следва:

1.

В член 1 се добавя следният параграф:

„Контролиращите данните органи, , могат да избират между комплект I или комплект II от приложението. При това обаче те не могат да изменят клаузите, нито да комбинират отделни клаузи от различните комплекти или самите комплекти.“

2.

В член 4 параграфи 2 и 3 се заменят със следния текст:

„2.   За целите на параграф 1 контролиращият орган, предприема целесъобразни предпазни мерки на базата на общите договорни клаузи, съдържащи се в комплект II от приложението, компетентните власти по защита на данните имат правото да упражняват своите правомощия и да забраняват или спират потоци данни във всеки от следните случаи:

а)

отказ на вносителя на данните да оказва доброволно сътрудничество на органите за защита на данните или да спазва своите ясни задължения съгласно договора;

б)

отказ на износителя на данни да предприеме целесъобразни стъпки по търсене на принудително изпълнение на договора срещу вносителя на данни в рамките на обичайния едномесечен период след уведомлението, изпратено на износителя на данни от компетентния орган за защита на данните.

За целите на първа алинея недобросъвестен отказ или отказ за търсене на принудително изпълнение на договор от страна на вносителя на данни не включва случаите, в които сътрудничеството или принудителното изпълнение на договора би влязло в конфликт с императивните изисквания на националното законодателство, приложими по отношение на вносителя на данни, които не надхвърлят необходимото в демократичното общество на базата на един от интересите, изброени в член 13, параграф 1 от Директива 95/46/ЕО и по-специално санкциите, предвидени в международните и/или националните инструменти, изискванията по отношение на декларирането на данъци или изискванията за докладване на случаи на пране на пари.

За целите на първа алинея, буква а) сътрудничеството, в частност, може да включва предаването от страна на вносителя на данни на техническите средства за обработка с цел извършване на ревизия или задължението да спазва съветите на надзорния орган за защита на данните на територията на Общността.

3.   Забраната или прекратяването съгласно параграфи 1 и 2 се отменя, веднага щом причините за забраната или прекратяването престанат да съществуват.

4.   Когато държавите-членки приемат мерки в съответствие с параграфи 1, 2 и 3, те незабавно информират Комисията, която изпраща информацията до останалите държави-членки.“.

3.

В член 5 първото изречение се замества със следния текст:

„Комисията дава оценка на функционирането на настоящото решение въз основа на наличната информация три години след неговото нотифициране и нотифицирането на всички негови изменения до държавите-членки.“.

4.

Приложението се изменя, както следва:

1.

След заглавието се добавя терминът „КОМПЛЕКТ I“.

2.

Добавя се текстът, посочен в приложението към настоящото решение.

Член 2

Настоящото решение се прилага от 1 април 2005 г.

Член 3

Адресати на настоящото решение са държавите-членки.

Съставено в Брюксел на 27 декември 2004 година.

За Комисията

Charlie McCREEVY

Член на Комисията


(1)  ОВ L 281, 23.11.1995 г., стр. 31. Директива, изменена с Регламент (ЕО) № 1883/2003 (ОВ L 284, 31.10.2003 г., стр. 1).

(2)  ОВ L 181, 4.7.2001 г., стр. 19.

(3)  Международна търговска камара (ICC), Съвет на японските предприятия в Европа (JBCE), Европейска асоциация за информационни и комуникационни технологии (ЕICTA), Комитет за ЕС на Американската търговска камара в Белгия (Аmcham), Конфедерация на британската индустрия (CBI), Международна кръгла маса по въпросите на комуникациите (ICRT) и Федерация на европейските асоциации за директен маркетинг (FEDMA).

(4)  ОВ L 201, 31.7.2002 г., стр. 37.

(5)  Становище № 8/2003, достъпно на адрес: http://europa.eu.int/comm/privacy.


ПРИЛОЖЕНИЕ

КОМПЛЕКТ II

Общи договорни клаузи за прехвърляне на лични данни от Общността в трети страни (прехвърляния между лицата, отговарящи за обработката на данни)

Споразумение за прехвърляне на данни

между

… (имена)

… (адрес и странана установяване)

(наричан по-долу „износител на данни“)

и

… (имена)

… (адрес и страна, където е адресът на установяване)

(наричан по-долу „вносител на данни“)

всяко от горните поотделно е „страна“, а заедно са „страните“.

Определения

За целите на клаузите:

а)

„лични данни“, „специални категории данни/чувствителни данни“, „обработване/обработка“, „контролиращ орган“, „обработващ орган“, „субект на данните“ и „надзорен орган/орган“ имат същото значение, каквото имат и в Директива 95/46/ЕО от 24 октомври 1995 г. (при което под „орган“ се разбира компетентният орган за защита на данните, на чиято територия е установен износителя на данни);

б)

„износител на данни“ е лицето, отговарящо за обработката на данните, което прехвърля личните данни;

в)

„вносител на данни“ е лицето, отговарящо за обработката на данните, което дава съгласието си да получава лични данни от износителя на данни за по-нататъшна обработка в съответствие с условията на тези клаузи и което не е субект на система на трета страна за осигуряване на съответната защита;

г)

„клаузи“ означава онези договорни клаузи, които представляват отделен документ, който не включва търговски условия, учредени от страните в съответствие с отделни търговски споразумения.

Подробностите по прехвърлянето (наред с прехвърляните лични данни) са конкретизирани в приложение Б, което представлява неразделна част от клаузите.

I.   Задължения на износителя на данни

Износителят на данни гарантира и се задължава да извърши следното:

а)

Събиране, обработка и прехвърляне на личните данни в съответствие със законите, приложими по отношение на износителя на данни.

б)

Прилагане на разумни усилия за определяне дали вносителят на данни е в състояние да изпълни своите правни задължения съгласно настоящите клаузи.

в)

При поискване от страна на вносителя на данни — предоставяне на копия от съответните закони за защита на данните или позовавания на такива закони (когато е целесъобразно и не включва юридическа консултация) на страната, в която е разположено управлението на износителя на данни.

г)

Отговор на запитвания от страна на субектите на данните и на органа относно обработката на личните данни от страна на вносителя на данни, освен ако страните са се договорили, че отговорът на такива запитвания ще се получава от вносителя на данни, в който случай износителят на данни отново е длъжен да даде отговор в разумната възможна степен и с помощта на информацията, с която разполага в разумни предели, ако вносителят на данни не желае или не е в състояние да даде отговор. Отговорите се дават в рамките на разумен срок от време.

д)

При поискване – предоставяне на копие на клаузите на субектите на данните, които са бенефициери трети страни съгласно клауза III, освен ако в клаузите се съдържа конфиденциална информация, в който случай износителят може да отстрани такава информация. В случаите, в които информацията е отстранена, износителят на данни информира писмено субектите на данните относно причината за отстраняването и тяхното право да привлекат вниманието на органа към такова отстраняване. Все пак износителят на данни се подчинява на решението на органа относно достъпа до пълния текст на клаузите от страна на субектите на данните, доколкото субектите на данните са дали своето съгласие да спазват поверителността на отстранената конфиденциална информация. Износителят на данни, освен това, при поискване представя на органа копие от клаузите.

II.   Задължения на вносителя на данни

Вносителят на данни гарантира и се задължава да извърши следното:

а)

Прилагане на подходящи технически и организационни мерки за защита на личните данни срещу случайно или незаконно разрушаване или случайна загуба, промяна, неразрешено разкриване или достъп, които мерки са с доказано равнище на сигурност, съответстващо на риска, произтичащ от обработката и от характера на данните, подлежащи на защита.

б)

Прилагане на процедури, в резултат от които всяка трета страна, която той упълномощи по отношение на достъпа до личните данни, в това число и лицата, осъществяващи обработката на личните данни, се задължава да спазва и поддържа поверителността на личните данни. Всяко лице, действащо по нареждане на вносителя на данни, в това число и лицата, осъществяващи обработката на личните данни, се задължава да обработва личните данни само по нареждане, получено от вносителя на данните. Тази разпоредба не се прилага по отношение на лицата, които са упълномощени или задължени чрез законова или подзаконова разпоредба да имат достъп до личните данни.

в)

По времето на валидност на настоящите клаузи няма причини да счита, че съществуват някакви местни закони, които биха имали значителен обратен ефект върху гаранциите, предвидени съгласно настоящите клаузи, и ако узнае за всякакви такива закони, се задължава да информира износителя на данни (който при необходимост ще предаде на органа това уведомление).

г)

Обработва личните данни за целите, описани в приложение Б, и има юридическите правомощия да даде гаранции и да изпълни задълженията си, произтичащи по силата на настоящите клаузи;

д)

Посочва на износителя на данни контактна точка в рамките на своята организация, упълномощена да дава отговори на запитвания, свързани с обработката на данните, и сътрудничи добросъвестно с износителя на данни, субекта на данните и органа във връзка с всякакви такива запитвания в рамките на разумен срок от време. В случай на юридическо закриване на износителя на данни или в случай че страните са се договорили за това, вносителят на данни поема отговорността за спазване на разпоредбите на клауза I, буква д).

е)

При поискване на износителя на данни – предоставя на износителя на данни доказателства за наличие на финансови ресурси, достатъчни, за да покрие своите задължения съгласно клауза III (където може да бъде включена и компенсация по застраховка).

ж)

След обосновано искане от страна на износителя на данни – предоставя своите технически средства за обработка на данни, файловете си с данни и документацията си, необходими за обработка за преглеждане, ревизия и/или сертифициране от страна на износителя на данни (или независими или неутрални инспектори или одитори, подбрани от износителя на данни, срещу които вносителят на данни няма сериозни възражения), които да потвърдят спазването на гаранциите и задълженията, произтичащи съгласно настоящите клаузи, с изпращане на предизвестие и в рамките на редовното работно време. Искането подлежи на необходимото съгласие или одобрение от страна на регулаторния или надзорния орган от страната, на чиято територия е разположено управлението на вносителя на данни, което съгласие или одобрение вносителят на данни ще се опита да получи навреме.

з)

Обработване на личните данни по собствен избор, в съответствие със:

i)

законите за защита на данните в страната, на чиято територия е разположено управлението на износителя на данни, или

ii)

релевантните разпоредби (1) от всяко решение на Комисията съгласно член 25, параграф 6 от Директива 95/46/ЕО, доколкото вносителят на данни изпълнява съответните разпоредби на такова разрешение или решение и адресът на управлението му е разположен на територията на страна, към която се отнася такова разрешение или решение, но не е обхваната от такова разрешение или решение що се отнася до целите на прехвърлянето/ията на лични данни (2), или

iii)

принципите за обработка на данни, формулирани в приложение А.

Вносителят на данни посочва кой вариант избира: …

Инициали на вносителя на данни: …

и)

Не разкрива, нито прехвърля личните данни на лице, отговарящо за обработката на данни, което е трета страна и управлението му е разположено извън Европейското икономическо пространство (ЕИП), освен ако не уведоми износителя на данни, и

i)

лицето, отговарящо за обработката на данни, което е трета страна, обработва личните данни в съответствие с решението на Комисията при положение че констатира, че дадена трета страна обезпечава достатъчна защита, или

ii)

лицето, отговарящо за обработката на данни, което е трета страна, стане страна, подписала настоящите клаузи или друго споразумение за прехвърляне на данни, одобрено от компетентен орган в ЕС, или

iii)

субектите на данните са получили възможност да отправят възражение, след като са били информирани относно целите на прехвърлянето, категориите получатели и факта, че страните, в които се изнасят данните, е възможно да поддържат различни норми за защита на личните данни, или

iv)

с оглед по-нататъшните прехвърляния на чувствителни данни, субектите на данните са дали своето недвусмислено съгласие за по-нататъшно прехвърляне.

III.   Отговорност и права на трети страни

а)

Всяка страна отговаря за щети, причинени на останалите страни, възникнали заради нейно нарушение на настоящите клаузи. Взаимната отговорност между страните се ограничава до действително претърпени щети. Наказателните компенсации (т.е. компенсациите, чиято цел е наказание на страна за нейно виновно поведение) се изключват изрично. Всяка от страните отговаря пред субектите на данните за щети, които причини с нарушаване на правата на трета страна съгласно настоящите клаузи. Това не засяга отговорността на износителя на данни, която той носи съгласно закона за защита на данните.

б)

Страните са съгласни, че даден субект на данните, като трета страна, която е бенефициер, има правото да задейства настоящата клауза, както и клауза I, букви б), г) и д), клауза II, букви а), в), г), д), з) и и), клауза III, буква а), клауза V, клауза VI, буква г) и клауза VII срещу вносителя на данни или износителя на данни за съответно нарушение на техните договорни задължения по отношение на неговите лични данни и с тази цел да приеме юрисдикцията на страната, в която е разположено управлението на износителя на данни. В случаите, в които са налице обвинения за нарушение, извършено от вносителя на данни, субектът на данните първо е длъжен да изиска от износителя на данни същият да предприеме съответните действия и да упражни своите права срещу износителя на данни; в случай че износителят на данни не предприеме такива действия в рамките на разумен срок от време (който при нормални обстоятелства е един месец), субектът на данните може да упражни своите права срещу износителя на данни пряко. Субектът на данните има право да процедира директно срещу износителя на данни, който не е положил разумни усилия за определяне, че вносителят на данни е в състояние да изпълни своите законни задължения, произтичащи от настоящите клаузи (износителят на данни поема тежестта да докаже, че е положил разумни усилия).

IV.   Право, приложимо по отношение на клаузите

Настоящите клаузи се регулират от правото на страната, в която е разположено управлението на износителя на данни, с изключение на законовите и подзаконовите актове, свързани с обработката на личните данни от вносителя на данни съгласно клауза II, буква з), които се прилагат само в случай че съгласно посочената клауза такъв избор направи вносителят на данни.

V.   Разрешаване на спорове със субектите на данни или с органа

а)

В случай на възникване на спор или на жалба, внесена от субекта на данните или от органа, и отнасяща се до обработката на лични данни, срещу едната страна или двете страни, страните взаимно се информират относно всякакви такива спорове или жалби и си сътрудничат с оглед навременното уреждане на същите в дух на разбирателство.

б)

Страните са съгласни да реагират на всяка общовалидна незадължителна процедура по посредничество, започната от субекта на данните или от органа. Ако те вземат участие в процедурата, страните могат да предпочетат да участват в процедурата дистанционно (например, по телефона или с помощта на други електронни средства). Освен това страните се споразумяват да считат участието във всякакъв друг арбитраж, посредничество или друг вид процедури за разрешаване на спорове, разработени за целите на споровете по защита на данните.

в)

Всяка от страните се подчинява на решението, взето от компетентен съд в страната, на чиято територия е разположено управлението на износителя на данни или на органа, което решение е окончателно и не подлежи на обжалване.

VI.   Прекратяване

а)

В случай че вносителят на данни е допуснал нарушение на своите задължения, произтичащи от настоящите клаузи, износителят на данни може временно да отмени прехвърлянето на лични данни към вносителя на данни, докато нарушението бъде коригирано или договорът бъде прекратен.

б)

В случай че:

i)

прехвърлянето на лични данни към вносителя на данни е временно отменено от износителя на данни за повече от един месец съгласно буква а);

ii)

спазването на настоящите клаузи от страна на вносителя на данни би го поставило в положение на нарушение на законовите или подзаконовите задължения в страната на вноса;

iii)

вносителят на данни се намира в положение на значително или продължително нарушение на някакви гаранции или задължения, поети от него съгласно настоящите клаузи;

iv)

съгласно окончателно решение, което не подлежи на обжалване, взето от компетентен съд на страната, на чиято територия е разположено управлението на износителя на данни или на органа, е постановено, че е допуснато нарушение на клаузите от страна или на вносителя на данни, или на износителя на данни; или

v)

е представена молба за прилагане на административни мерки или ликвидация на вносителя на данни било в лично качество, или в служебно качество, която молба не е отхвърлена в течение на приложимия срок за такова отхвърляне съгласно приложимия закон; съставена е заповед за ликвидация; определен е разпоредител за някаква част от неговите активи; определен е попечител в случай на банкрут, ако вносителят на данни е физическо лице; започната е доброволна процедура за разпореждане с активите от страна на вносителя на данни; или възникне някакво равносилно събитие под някаква юрисдикция,

тогава износителят на данни, без да се засягат другите права, които той би могъл да има срещу вносителя на данни, има правото да прекрати прилагането на тези клаузи, в който случай бива информиран органът. В случаите, посочени в i), ii) или iv) по-горе, вносителят на данни също може да прекрати прилагането на настоящите клаузи.

в)

Всяка от страните може да прекрати прилагането на настоящите клаузи, в случай че: i) е прието положително решение на Комисията относно съответствието на нивото съгласно член 25, параграф 6 от Директива 95/46/ЕО (или всеки заместващ текст) по отношение на дадена страна (или отрасъл на такава страна), в която вносителят на данни предава личните данни и в която тези данни се обработват; или ii) Директива 95/46/ЕО (или всеки заместващ текст) стане пряко приложима в тази страна.

г)

Страните се споразумяват, че прекратяването на настоящите клаузи по всяко време, във всякакви обстоятелства и по каквато и да било причина (с изключение на прекратяване съгласно клауза VI, буква в) не ги освобождава от задълженията и/или условията съгласно клаузите, отнасящи се до обработката на прехвърлените лични данни.

VII.   Изменение на настоящите клаузи

Страните не могат да изменят настоящите клаузи, освен за актуализиране на информацията, съдържаща се в приложение Б. В този случай те информират органа, когато това се изисква от тях. Това не пречи на страните да добавят допълнителни търговски клаузи, при възникване на такава необходимост.

VIII.   Описание на прехвърлянето

Подробностите по прехвърлянето и по личните данни са конкретизирани в приложение Б. Страните се споразумяват, че приложение Б може да съдържа конфиденциална търговска информация, която те не разкриват пред трети страни, освен ако такова разкриване се изисква от закона или е по искане на компетентна регулаторна или правителствена агенция, или се изисква съгласно клауза I, буква д). Страните могат да изпълняват допълнителните приложения с оглед включване на допълнителни прехвърляния, които се предават на органа при поискване. Като алтернатива може да се направи проектоприложение Б, в което да се включат повече от едно прехвърляния.

Дата: …

 

ЗА ВНОСИТЕЛЯ НА ДАННИ

ЗА ИЗНОСИТЕЛЯ НА ДАННИ

ПРИЛОЖЕНИЕ А

ПРИНЦИПИ ЗА ОБРАБОТКА НА ДАННИТЕ

1.

Ограничения на целите: Личните данни могат да се обработват и впоследствие да се използват или да се предават по-нататък само за целите, описани в приложение Б, или впоследствие да се разрешат от субекта на данните.

2.

Качество и пропорционалност на данните: Личните данни следва задължително да бъдат точни и там, където е необходимо, да се актуализират. Личните данни следва задължително да бъдат адекватни, да съответстват на действителността и да не са в повече по отношение на целите, за които се прехвърлят и преминават по-нататъшна обработка.

3.

Прозрачност: На субектите на данните следва задължително да се обезпечава информацията, необходима за осигуряване на съвестна обработка (например, информация относно целите на обработката и прехвърлянето), освен ако такава информация е вече подадена от износителя на данни.

4.

Сигурност и поверителност: Лицето, отговарящо за обработката на данните, е задължено да вземе технически и организационни предпазни мерки, които да съответстват на рисковете, например, риска от случайно или незаконно разрушаване или случайна загуба, подмяна, неразрешено разкриване или достъп, които са възможни по време на обработката. Всяко лице, действащо под ръководството на лицето, отговарящо за обработката на данните, включително лицето, осъществяващо обработката на данните, няма право да обработва данните, освен след нареждане от страна на лицето, отговарящо за обработката на данните.

5.

Права на достъп, корекция, заличаване и възражения: Съгласно посоченото в член 12 от Директива 95/46/ЕО субектите на данните са длъжни, било пряко, било с посредничеството на трета страна, да разполагат с персоналната засягаща ги информация, която дадена организация съхранява, с изключение на искания, които по отношение на своята честота или брой, или повторяемост, или системност представляват явна злоупотреба, или за които не бива да се предоставя достъп съгласно закона на страната, на чиято територия е разположено управлението на износителя на данни. При условие че органът е дал своето предварително съгласие, не се предоставя достъп, когато предоставянето на такъв достъп би довело до вероятност от сериозно засягане на интересите на вносителя на данни или други организации, работещи с вносителя на данни, като такива интереси не се отменят от интереси, свързани с фундаменталните права и свободи на субекта на данните. Източниците на личните данни не е необходимо да се разкриват, когато такова разкриване не е възможно да се постигне с разумни усилия или в случаите, в които правата на лицата, различни от личните права, биха били нарушени. Субектите на данните трябва да имат възможността персоналната информация за тях да се коригира, поправи или заличи в случаите, в които тази персонална информация е неточна или е обработена в противоречие с тези принципи. Ако са налице неопровержими основания за съмнения в законността на искането, организацията може да поиска по-нататъшни аргументи, преди да пристъпи към поправка, корекция или заличаване. Не е необходимо да се изпраща уведомление за всяка поправка, корекция или заличаване до трети страни, на които данните са били разкрити, в случай че такова известие би изисквало непропорционално големи усилия. Даден субект на данните също така трябва да има възможност да възразява срещу обработката на личните данни, свързани с него, ако са налице неопровержими законни основания, свързани с неговата конкретна ситуация. Тежестта на доказателството при всеки отказ се поема от вносителя на данни, като при това субектът на данните може винаги да оспори даден отказ пред органа.

6.

Чувствителни данни: Вносителят на данните предприема такива допълнителни мерки (например, свързани със сигурността), каквито са необходими с оглед защитата на такива чувствителни данни в съответствие с неговите задължения съгласно клауза II.

7.

Данни, използвани за целите на маркетинга: В случаите, в които данните се обработват за целите на директния маркетинг, е необходимо да са налице ефективни процедури, позволяващи на субекта на данните да може по всяко време да „изтегли данните си“ от използване за такива цели.

8.

Автоматизирани решения: За целите на настоящия документ под „автоматизирано решение“ се разбира решение, взето от износителя на данни или вносителя на данни, от което произтичат правни последици, засягащи даден субект на данни, или засягащи в значителна степен даден субект на данни, и което решение се основава единствено на автоматизираната обработка на лични данни, с която се цели оценка на определени лични аспекти, свързани със същия, например, неговата работоспособност, репутация, надеждност, поведение и т.н. Вносителят на данни не взима никакви автоматизирани решения, свързани със субектите на данните, освен в следните случаи:

а)

i)

когато такива решения се взимат от вносителя на данни в началото на изпълнение или по време на изпълнението на договор със субекта на данните,

ii)

когато на субекта на данните е дадена възможност за обсъждане та резултатите от съответното автоматизирано решение с представител на страните, взимащи такова решение,

или

б)

когато правото на страната на износителя на данни предвижда друго.

ПРИЛОЖЕНИЕ Б

ОПИСАНИЕ НА ПРЕХВЪРЛЯНЕТО

(попълва се от страните)

Субекти на данните

Прехвърляните данни засягат следните категории субекти на данните:

Цели на прехвърлянето/ията

Прехвърлянето се прави със следните цели:

Категории данни

Прехвърляните лични данни засягат следните категории данни:

Получатели

Прехвърляните лични данни могат да бъдат разкрити само пред следните получатели или категории получатели

Чувствителни данни (ако е уместно)

Прехвърляните лични данни засягат следните категории чувствителни данни:

Информация за регистрацията на износителя на данни с оглед защитата на данните (когато е приложимо)

Допълнителна полезна информация (ограничения по отношение на съхранението на данните и друга информация)

Контактни точки за въпроси, свързани със защитата на данните

Вносител на данни

Износител на данни

ИЛЮСТРАТИВНИ ТЪРГОВСКИ КЛАУЗИ (ПО ИЗБОР)

Компенсации на щетите между износителя на данни и вносителя на данни

„Страните взаимно си компенсират и взаимно се обезщетяват за всякакви разходи, такси, щети, разноски или загуби, които си причиняват взаимно в резултат от нарушение на някоя от разпоредбите на настоящите клаузи. Обезщетенията съгласно настоящия документ се осъществяват само в случай, че: а) страна/и, която/които следва да бъде/бъдат обезщетена/и („обезщетената/ите страна/и“) незабавно уведоми/ят другата/ите страна/и („обезщетяващата/ите страна/и“) относно претенцията, б) обезщетяващата/ите страна/и има/т изключителен контрол върху защитата и уреждането на всякаква такава претенция, и в) обезщетената/ите страна/и оказва/т разумно сътрудничество и помощ на обезщетяващата/ите страна/и при защитата на такава претенция.“.

Разрешаване на спорове между износителя на данни и вносителя на данни (разбира се, страните могат вместо това да използват която и да било друга допълнителна клауза за разрешаване на спора или съдебното производство):

„В случай на спор между износителя на данни и вносителя на данни, свързан с всякакво нарушение на която и да е разпоредба от настоящите клаузи, такъв спор се урежда окончателно съгласно правилата за арбитраж на Международната търговска камара от един или повече арбитри, посочени в съответствие с гореспоменатите правила. Мястото на арбитража е (…). Броят арбитри се определя на (…).“

Разпределение на разходите

„Всяка страна изпълнява своите задължения съгласно настоящите клаузи за своя собствена сметка“.

Допълнителна клауза относно прекратяването

„В случай на прекратяване на настоящите клаузи вносителят на данни е длъжен незабавно да върне всички лични данни и всички копия на лични данни, обхванати от настоящите клаузи, на износителя на данни или по избор на износителя на данни може да унищожи всички копия на същите и да удостовери пред износителя на данни, че е извършил такова действие, освен ако на вносителя на данни не е забранено от национална законова разпоредба или от местни подзаконови разпоредби да унищожи или да върне всичките или част от такива данни, като в този случай по отношение на данните ще се поддържа режим на поверителност и те няма да се обработват активно за каквито и да било цели. Вносителят на данни е съгласен, че ако износителят на данни поиска, той ще предостави на износителя на данни или на инспектора, посочен от износителя на данни, срещу когото вносителят на данни няма обективни възражения, достъп до своите производствени помещения – с цел износителят на данни да се увери, че унищожаването е било извършено, като за тази цел своевременно изпрати съответното известие и такава проверка се извърши през работно време.“.


(1)  „Съответните разпоредби“ означава разпоредбите от разрешение или решение, с изключение на разпоредбите, свързани с въвеждане в сила на разрешение или решение (което се ръководи от настоящите клаузи).

(2)  Въпреки това, когато се избере тази възможност, се прилагат разпоредбите на приложение А.5 относно правата на достъп, корекцията, заличаването и възраженията, като въпросните разпоредби имат предимство пред сравнимите разпоредби от избраното решение на Комисията.