Decyzja 2001/497/WE w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich, na mocy dyrektywy 95/46/WE

Dzienniki UE

Dz.U.UE.L.2001.181.19

Akt utracił moc
Wersja od: 17 grudnia 2016 r.

DECYZJA KOMISJI
z dnia 15 czerwca 2001 r.
w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich, na mocy dyrektywy 95/46/WE

(notyfikowana jako dokument nr C(2001) 1539)

(Tekst mający znaczenie dla EOG)

(2001/497/WE)

(Dz.U.UE L z dnia 4 lipca 2001 r.)

KOMISJA WSPÓLNOT EUROPEJSKICH,

uwzględniając Traktat ustanawiający Wspólnotę Europejską,

uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych 1 , w szczególności jej art. 26 ust. 4,

a także mając na uwadze, co następuje:

(1) Na mocy dyrektywy 95/46/WE, Państwa Członkowskie są zobowiązane zapewnić, że przekazywanie danych osobowych do państw trzecich może mieć miejsce tylko wtedy, gdy dane państwo trzecie zapewnia właściwy poziom ochrony danych i że prawa Państw Członkowskich, które są zgodne z innymi przepisami dyrektywy, są przestrzegane zanim nastąpi przekazanie danych.

(2) Jednakże art. 26 ust. 2 dyrektywy 95/46/WE zapewnia, że Państwa Członkowskie mogą zezwolić, na podstawie określonych warunków, na przekazanie lub przekazywanie danych osobowych do państw trzecich, które nie zapewniają właściwego poziomu ochrony. Takie warunki mogą w szczególności wynikać z odpowiednich klauzul umownych.

(3) Na mocy dyrektywy 95/46/WE poziom ochrony danych powinien być oceniany w świetle wszystkich okoliczności towarzyszących transferowi lub transferom danych. Grupa Robocza ds. ochrony osób fizycznych w związku z automatycznym przetwarzaniem danych osobowych powołana na mocy omawianej dyrektywy 2 , wydała wytyczne pomocne przy ocenie 3 .

(4) Artykuł 26 ust. 2 dyrektywy 95/46/WE, który przewiduje w stosunku do podmiotów zamierzających przekazywać dane do państw trzecich pewną elastyczność oraz art. 26 ust. 4, który stanowi o standardowych klauzulach umownych, są niezbędne dla zapewnienia koniecznego przepływu danych osobowych między Wspólnotą a państwami trzecimi, bez zbędnych obciążeń dla podmiotów gospodarczych. Powyższe artykuły są szczególnie ważne ze względu na fakt, że jest mało prawdopodobne, aby Komisja, w krótkim lub średnim okresie, przyjęła decyzję, co do zapewniania odpowiedniego poziomu ochrony zgodnie z art. 25 ust. 6, w odniesieniu do większej niż ograniczona liczba państw.

(5) Zgodnie z dyrektywą 95/46/WE, obok sposobów przewidzianych w art. 25 i art. 26 ust. 1 i 2, stosowanie standardowych klauzul umownych stanowi jeden z kilku możliwych sposobów legalnego przekazywania danych osobowych do państw trzecich. Uwzględnienie standardowych klauzul umownych w umowach, ułatwi różnym podmiotom przekazywanie danych osobowych do państw trzecich. Standardowe klauzule umowne odnoszą się jedynie do ochrony danych. Przekazujący i odbierający dane mogą włączyć do umowy wszelkie inne postanowienia dotyczące spraw związanych z ich działalnością, które uważają za stosowne, a które nie pozostają w sprzeczności ze standardowymi klauzulami umownymi, na przykład postanowienia o pomocy wzajemnej w przypadku sporów z osobą, której dane dotyczą lub sporów z organem nadzorczym.

(6) Niniejsza decyzja nie narusza kompetencji Państw Członkowskich do wydawania zezwoleń na podstawie przepisów prawa krajowego wykonujących art. 26 ust. 2 dyrektywy 95/46/WE. Okoliczności poszczególnych przypadków przekazywania danych mogą sprawiać, że nieodzowne będzie, aby administratorzy danych zapewnili stosowanie określonych środków bezpieczeństwa w rozumieniu art. 26 ust. 2. W każdym przypadku, niniejsza decyzja nakłada na Państwa Członkowskie jedynie wymóg, aby nie odmawiały one uznania za zapewniające odpowiedni poziom ochrony danych, zabezpieczeń ustanowionych w standardowych klauzulach umownych określonych w tej decyzji, a zatem, nie ma ona żadnego wpływu na inne przepisy umowne.

(7) Zakres niniejszej decyzji ogranicza się do postanowienia, że administratorzy z terytorium Wspólnoty mogą powoływać się na zastosowanie standardowych klauzul umownych z Załącznika, w celu wykazania, że wypełnili wymóg zapewnienia odpowiedniej ochrony danych w rozumieniu dyrektywy 95/46/WE art. 26 ust. 2. Przekazanie danych osobowych do państw trzecich to operacja przetwarzania danych na terytorium Państwa Członkowskiego, której legalność jest przedmiotem prawa krajowego. Władze Państw Członkowskich ds. ochrony danych osobowych, wykonując swoje obowiązki i uprawnienia zgodnie z art. 28 dyrektywy 95/46/WE, powinny zachować kompetencje w dziedzinie oceny czy przekazujący dane zastosował się do ustawodawstwa krajowego realizującego przepisy dyrektywy 95/46/WE, w szczególności, przepisów odnoszących się do obowiązków informacyjnych przewidzianych w dyrektywie.

(8) Niniejsza decyzja nie obejmuje przekazywania danych osobowych przez administratorów danych z terytorium Wspólnoty do administratorów danych spoza terytorium Wspólnoty i zajmujących się tylko przetwarzaniem danych. Tego rodzaju przekazanie danych nie wymaga takiego samego poziomu zabezpieczeń, ponieważ osoba, której powierzono przetwarzanie danych działa wyłącznie w imieniu administratora danych. Komisja zamierza objąć ten rodzaj przekazania danych inną decyzją w późniejszym terminie.

(9) Należy określić podstawowe informacje, które Strony są zobowiązane podać w umowie dotyczącej przekazywania danych. Państwa Członkowskie powinny zachować uprawnienia w zakresie określania szczegółowych informacji, które Strony są zobowiązane dostarczyć. Działanie niniejszej decyzji powinno być poddane ocenie w świetle doświadczeń z jej stosowania w praktyce.

(10) W przyszłości Komisja oceni czy standardowe klauzule umowne przedstawione przez organizacje przedsiębiorców lub inne zainteresowane Strony, zapewniają środki ochrony zgodne z dyrektywą 95/46/WE.

(11) Podczas gdy Strony umowy powinny mieć możliwość swobodnego ustalania zasad ochrony danych obowiązujących odbierających dane, pewne zasady ochrony danych, powinny być stosowane w każdym przypadku.

(12) Dane powinny być przetwarzane, a następnie wykorzystywane lub dalej przekazywane tylko w określonym celu i nie powinny być przechowywane dłużej niż to konieczne.

(13) Zgodnie z art. 12 dyrektywy 95/46/WE, osoba, której dane dotyczą, powinna posiadać prawo dostępu do wszystkich dotyczących jej danych oraz do sprostowania, usunięcia ze zbioru lub wstrzymania przetwarzania pewnych danych.

(14) Dalsze przekazywanie danych osobowych administratorom danych z państwa trzeciego, może być dozwolone tylko z zachowaniem określonych warunków, mających w szczególności na celu zapewnienie, aby osoba, której dane dotyczą, była poinformowana we właściwy sposób i miała możliwość sprzeciwu lub, w niektórych przypadkach, wycofania swojej zgody na przekazanie danych.

(15) Oprócz dokonywania oceny zgodności przekazywania danych do państw trzecich z ustawodawstwem krajowym, organy nadzorcze powinny, wykorzystując wpisane w umowie środki zapewnienia właściwego poziomu ochrony danych osobowych, odegrać kluczową rolę w zapewnieniu właściwego poziomu ochrony tych danych po ich przekazaniu. W szczególnych przypadkach, organy nadzorcze Państw Członkowskich powinny zachować, na podstawie standardowych klauzul umownych, uprawnienia do zakazania lub wstrzymania jednokrotnego lub wielokrotnego przekazywania danych, w szczególności w przypadku gdy stwierdzono, że przekazanie danych na podstawie umowy może w poważny sposób naruszyć gwarancje zapewniające właściwy poziom ochrony osobie, której te dane dotyczą.

(16) Standardowe klauzule umowne są przeznaczone do stosowania nie tylko przez organizacje, które są stronami umowy, ale także przez osoby, których dane dotyczą, w szczególności gdy te podmioty ponoszą straty będące skutkiem niedotrzymania umowy.

(17) Prawem właściwym dla umowy powinno być prawo Państwa Członkowskiego przekazującego dane, co umożliwi beneficjentowi umowy powołanie się na jej przepisy. Osoby, których dane dotyczą, powinny mieć prawo powoływania swoich przedstawicieli: stowarzyszeń lub innych organizacji, jeśli taka jest ich wola i zezwala na to prawo krajowe.

(18) Aby zmniejszyć praktyczne trudności, na jakie narażona jest osoba, której dane dotyczą, przy wykonywaniu uprawnień przyznanych jej w standardowych klauzulach umownych, przekazujący i odbierający dane powinni być solidarnie zobowiązani do wynagrodzenia szkody wynikającej z naruszenia postanowień umowy przewidujących świadczenie na rzecz osoby trzeciej.

(19) Osoba, której dane dotyczą jest uprawniona do pozywania i uzyskania odszkodowania od przekazującego dane, odbierającego dane lub obu, za szkodę wynikającą z działań niezgodnych ze zobowiązaniami zawartymi w standardowych klauzulach umownych. Obie Strony mogą zostać zwolnione z odpowiedzialności, jeśli udowodnią, że żadna z nich nie ponosi odpowiedzialności za wyrządzoną szkodę.

(20) Przepisy dotyczące odpowiedzialności solidarnej nie dotyczą przepisów, których nie ujęto w klauzuli beneficjenta - osoby trzeciej, i nie nakładają na jedną ze Stron obowiązku naprawienia szkody powstałej w wyniku nielegalnego przetwarzania danych przez drugą Stronę. Mimo, że postanowienie o wzajemnej odpowiedzialności odszkodowawczej Stron umowy nie jest nieodzowne dla zapewnienia odpowiedniego poziomu ochrony osobie, której dane dotyczą i dlatego nie musi być ono uwzględnione w umowie, stanowi ono część standardowych klauzul umownych ze względu na zachowanie klarowności, a także, aby uniknąć potrzeby indywidualnego negocjowania przez Strony postanowień umowy dotyczących wzajemnej odpowiedzialności odszkodowawczej.

(21) Jeśli spór między Stronami a osobą, której dane dotyczą, nie został rozwiązany polubownie oraz osoba, której dane dotyczą powołuje się na klauzulę beneficjenta, Strony umowy wyrażają zgodę, by osoba, której dane dotyczą mogła wybrać między mediacją, arbitrażem lub postępowaniem sądowym. Zakres, w jakim osoba, której dane dotyczą, będzie miała rzeczywistą możliwość wyboru, zależy od dostępności wiarygodnych i sprawdzonych systemów mediacji i arbitrażu. Mediacja za pośrednictwem organów nadzorczych danego Państwa Członkowskiego, powinna stanowić sposób rozwiązania sporu, jeśli organy te zapewniają możliwość skorzystania z takiej usługi.

(22) Grupa Robocza ds. ochrony osób fizycznych w związku z automatycznym przetwarzaniem danych osobowych powołana na mocy art. 29 dyrektywy 95/46/WE, wydała opinię o poziomie bezpieczeństwa zapewnianego przez standardowe klauzule umowne, załączone do niniejszej decyzji, którą wzięto pod uwagę w czasie przygotowywania niniejszej decyzji 4 .

(23) Środki przewidziane w niniejszej decyzji są zgodne z opinią Komitetu ustanowionego na mocy art. 31 dyrektywy 95/46/WE,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł  1 5

Standardowe klauzule umowne wymienione w załączniku uważa się za zapewniające adekwatne zabezpieczenie w odniesieniu do ochrony prywatności oraz podstawowych praw i swobód jednostek, oraz wykonywania praw pokrewnych zgodnie wymogami art. 26 ust. 2 dyrektywy 9/46/WE.

Administratorzy danych mogą wybrać pakiet I lub II z zamieszczonych w Załączniku. Nie mogą jednak zmieniać klauzul ani łączyć poszczególnych klauzul lub pakietów.

Artykuł  2

Niniejsza decyzja dotyczy jedynie adekwatności ochrony zapewnionej przez standardowe klauzule umowne wymienione w załączniku dotyczącym przekazywania danych osobowych. Nie ma ona wpływu na stosowanie innych przepisów prawa krajowego implementujących dyrektywę 95/46/WE, które wchodzą w zakres przetwarzania danych osobowych w Państwach Członkowskich.

Niniejsza decyzja nie ma zastosowania do przekazywania danych osobowych przez administratorów danych z terytorium Wspólnoty, do odbierających dane spoza terytorium Wspólnoty, którym powierzono jedynie przetwarzanie danych.

Artykuł  3

Do celów niniejszej decyzji:

a)
stosuje się definicje z dyrektywy 95/46/WE;
b)
"szczególne kategorie danych" oznaczają dane określone w art. 8 niniejszej dyrektywy;
c)
"organ nadzorczy" oznacza organ określony w art. 28 niniejszej dyrektywy;
d)
"przekazujący dane" oznacza administratora danych, który przekazuje dane osobowe;
e)
"odbierający dane" oznacza administratora danych, który wyraża zgodę na otrzymywanie od przekazującego danych osobowych w celu dalszego ich przetwarzania na zasadach ustalonych w niniejszej decyzji.
Artykuł  4 6

 

W przypadku gdy właściwe organy w państwach członkowskich wykonują swoje uprawnienia na podstawie art. 28 ust. 3 dyrektywy 95/46/WE, co prowadzi do zawieszenia lub ostatecznego zakazu przepływu danych do państw trzecich w celu ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych, dane państwo członkowskie bezzwłocznie informuje o tym Komisję, która przekazuje tę informację pozostałym państwom członkowskim.

Artykuł  5 7

Komisja oceni funkcjonowanie niniejszej decyzji na podstawie dostępnych informacji trzy lata po notyfikacji tej decyzji i wszelkich zmian Państwom Członkowskim. Komisja dostarczy protokół ustaleń komitetowi utworzonemu na podstawie art. 31 dyrektywy 95/46/WE. Dokument ten obejmie wszystkie dowody, które wpływają na ocenę, dotyczącą adekwatności standardowych klauzul umownych w Załączniku i wszystkie dowody, że omawiana decyzja jest stosowana w sposób dyskryminacyjny.

Artykuł  6

Niniejszą decyzję stosuje się od dnia 3 września 2001 r.

Artykuł  7

Niniejsza decyzja skierowana jest do Państw Członkowskich.

Sporządzono w Brukseli, dnia 15 czerwca 2001 r.

W imieniu Komisji

Frederik BOLKESTEIN

Członek Komisji

http://www.europa.eu.intlcomm/internal_market/en/medial/dataprot/wpdocs/index.htm.

WP 7 (5057/97) Dokument roboczy: "Ocena samoregulację branży: kiedy samoregulacja przyczynia się w rozsądny sposób do ochrony danych w państwie trzecim?", przyjęty przez grupę roboczą dnia 14 stycznia 1998 r.

WP 9 (3005/98) Dokument roboczy: "Wstępne oceny stosowania przepisów umownych w kontekście przekazywania danych osobowych do państw trzecich", przyjęty przez grupę roboczą dnia 22 kwietnia 1998 r.

WP 12: "Przekazywanie danych osobowych do państw trzecich: stosowanie art. 25 i 26 dyrektywy UE w sprawie ochrony danych", dokument przyjęty przez grupę roboczą dnia 24 lipca 1998 r., dostępny na stronie internetowej Komisji Europejskiej: "europa.eu.int/comm/internal_markt/en/media.dataprot/wpdocs/wp12/en".

ZAŁĄCZNIK  8

STANDARDOWE KLAUZULE UMOWNE

PAKIET I 

do celów art. 26 ust. 2 dyrektywy 95/46/WE o przekazywaniu danych osobowych do państw trzecich, które nie zapewniają adekwatnego poziomu bezpieczeństwa

Nazwa organizacji przekazującej dane: ...........

Adres: ...........

tel: ........... fax: ........... e-mail: ...........

Inne informacje niezbędne do identyfikacji organizacji: ...........

(dalej zwanej "przekazującym dane")

oraz

Nazwa organizacji odbierającej dane: ...........

Adres: ...........

tel: ........... fax: ........... e-mail: ...........

Inne informacje niezbędne do identyfikacji organizacji: ...........

(dalej zwanej "odbierającym dane")

PRZYJMUJĄ następujące klauzule umowne (dalej zwane "klauzulami") w celu zapewnienia odpowiednich środków ochrony prywatności oraz podstawowych praw i wolności jednostek w przypadku przekazania przez przekazującego odbierającemu, danych osobowych określonych w dodatku 1:

Klauzula 1

Definicje

Do celów klauzul:

a)
"dane osobowe", "szczególne kategorie danych", "przetwarzać/przetwarzanie", "administrator danych", "przetwarzający dane", "osoba, której dane dotyczą" oraz "organ nadzorczy" mają takie samo znaczenie jak w dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (dalej zwaną "dyrektywą");
b)
"przekazujący dane" oznacza administratora danych, który przesyła dane osobowe;
c)
"odbierający dane" oznacza administratora danych, który wyraża zgodę na odbiór danych osobowych od przekazującego, w celu ich dalszego przetwarzania na zasadach określonych w niniejszych klauzulach, a który nie podlega obowiązującemu w państwie trzecim systemowi zapewniającemu właściwy poziom ochrony danych.

Klauzula 2

Szczegóły przekazania danych

Szczegóły przekazania danych, w szczególności rodzaje danych osobowych oraz cel ich przekazywania są wyszczególnione w dodatku l, który stanowi integralną cześć klauzul.

Klauzula 3

Przepisy o świadczeniu na rzecz osoby trzeciej

Osoba, której dane dotyczą, może powoływać się na przepisy niniejszej klauzuli, klauzuli 4 lit. b)-d), klauzuli 5 lit. a)-c) i e), klauzuli 6 ust. l i 2, oraz klauzuli 7, klauzuli 9 i klauzuli 11 jako osoba na rzecz, której umowa została zawarta. Strony umowy nie będą sprzeciwiały się możliwości reprezentowania osób, których dane dotyczą przez stowarzyszenia lub inne organizacje, jeśli taka jest wola tych osób i pozwala na to prawo krajowe.

Klauzula 4

Obowiązki przekazującego dane

Przekazujący dane zgadza się na poniższe warunki ł zapewnia, co następuje:

(a)
że będzie przetwarzał dane osobowe przed i do chwili przekazania oraz będzie kontynuował ich przetwarzanie, zgodnie z właściwymi przepisami Państwa Członkowskiego przekazującego dane (w odpowiednich przypadkach powiadomi o tym właściwe władze) i nie naruszy właściwych przepisów obowiązujących w tym Państwie;
(b)
jeżeli przekazanie dotyczy szczególnych kategorii danych, osoba, której dane dotyczą została poinformowana lub będzie poinformowana przed przekazaniem danych, że jej dane mogą zostać przekazane do państwa trzeciego, w którym nie jest zapewniony właściwy poziom ochrony danych;
(c)
na życzenie osoby, której dane dotyczą udostępni jej kopię niniejszych klauzul; i
(d)
będzie odpowiadać wyczerpująco i w rozsądnym terminie na zapytania organu nadzorczego i osoby, której dane dotyczą odnośnie do przetwarzania przez odbierającego dane, będących przedmiotem przekazania danych osobowych.

Klauzula 5

Obowiązki odbierającego dane

Odbierający dane zgadza się na poniższe warunki i zapewnia:

(a)
że nie ma żadnego powodu aby sądzić, że ustawodawstwo, któremu podlega uniemożliwia mu wypełnianie zobowiązań wynikających z umowy, w przypadku zamiany tego ustawodawstwa, która mogłaby mieć znaczący negatywny skutek dla gwarancji określonych w niniejszych warunkach, powiadomi on o tej zmianie przekazującego dane oraz organ nadzorczy odpowiedni ze względu na siedzibę przekazującego dane; w tym wypadku przekazujący dane ma prawo wstrzymać przekazywanie danych lub rozwiązać umowę;
(b)
że będzie przetwarzał dane osobowe zgodnie z obowiązkowymi zasadami ochrony danych określonymi w dodatku 2, lub jeśli Strony wyraźnie uzgodniły, z zastrzeżeniem zgodności z obowiązkowymi zasadami ochrony danych określonymi w dodatku 3, że będzie przetwarzać dane zgodnie z:
właściwymi przepisami prawa krajowego stosowanymi do działalności administratora danych w kraju przekazującego dane (których tekst jest załączony do niniejszych klauzul), chroniącymi podstawowe prawa i wolności jednostek, w szczególności ich prawo do prywatności w związku z przetwarzaniem danych osobowych, lub
właściwymi przepisami każdej decyzji Komisji wydanej na podstawie art. 25 ust. 6 dyrektywy 95/46/WE stwierdzającej, że państwo trzecie zapewnia właściwy poziom ochrony jedynie w niektórych sektorach działalności, jeśli odbierający dane ma siedzibę w państwie trzecim, a przepisy te go nie obejmują, ale ich charakter stwarza możliwość zastosowania ich w sektorze objętym przekazaniem danych;
(c)
że będzie zajmował się niezwłocznie i z należytą uwagą wszystkimi zapytaniami przekazującego dane lub osoby, której dane dotyczą, odnośnie do przetwarzania przez niego danych będących przedmiotem przekazania oraz że będzie współpracował z właściwym organem nadzorczym w kwestii tych zapytań, jak również przestrzegał zaleceń udzielonych przez tę władzę w odniesieniu do przetwarzania przekazanych danych;
(d)
że na życzenie przekazującego dane udostępni mu swoje urządzenia do przetwarzania danych w celu kontroli, która może zostać przeprowadzona przez przekazującego dane lub organ nadzorczy, w którego skład wchodzą niezależni eksperci posiadający odpowiednie kwalifikacje zawodowe, wybrani przez przekazującego dane, lub jeśli istnieje taki obowiązek, w porozumieniu z organem nadzorczym;
(e)
że na życzenie osoby, której dane dotyczą, udostępni jej kopię niniejszych klauzul oraz wskaże urząd właściwy do składania zażaleń.

Klauzula 6

Odpowiedzialność

1.
Strony postanawiają, że osoba, której dane dotyczą, która poniosła szkodę w wyniku naruszenia przepisów określonych w klauzuli 3, jest uprawniona do żądania od Stron naprawienia wyrządzonej jej szkody. Strony postanawiają, iż mogą być zwolnione z odpowiedzialności jedynie wtedy, gdy udowodnią, iż żadna z nich nie jest odpowiedzialna za naruszenie powyższych przepisów.
2.
Przekazujący i odbierający dane postanawiają, że solidarnie odpowiadają za szkody wyrządzone osobie, której dane dotyczą, wynikające z każdego naruszenia określonego w ust. 1. W przypadku takiego naruszenia osoba, której dane dotyczą, może wnieść sprawę do sądu przeciwko przekazującemu dane, odbierającemu dane lub obu tym podmiotom.
3.
Strony postanawiają, że jeśli jedna ze Stron zostanie uznana za odpowiedzialną za naruszenie określone w ust. l dokonane przez drugą stronę, ta ostatnia, w zakresie w jakim jest odpowiedzialna zrekompensuje partnerowi wszystkie poniesione przez niego koszty, opłaty, wydatki lub straty. *

Klauzula 7

Mediacja i właściwość sądu

1.
Strony postanawiają, że w przypadku sporu nierozwiązanego polubownie, miedzy osobą której dane dotyczą, a jedną ze Stron, gdy osoba której dane dotyczą powołuje się na postanowienia klauzuli 3, pozostawiają osobie której dane dotyczą możliwość podjęcia decyzji co do:
(a)
rozwiązania sporu w drodze mediacji za pośrednictwem niezależnej osoby, lub w stosownych przypadkach, organu nadzorczego;
(b)
skierowania sporu do sądu w Państwie Członkowskim przekazującego dane.
2.
Strony postanawiają, że za porozumieniem osoby, której dane dotyczą i Strony, której spór dotyczy, spór może być skierowany do sądu polubownego, jeśli Strona ta ma siedzibę w państwie, które ratyfikowało Konwencję Nowojorską o uznawaniu i wykonywaniu zagranicznych orzeczeń arbitrażowych.
3.
Strony postanawiają, że ust. l i 2 nie narusza właściwych uprawnień o charakterze materialno-prawnym i procesowym, przysługujących osobie, której dane dotyczą, w celu ochrony jej praw zgodnie z przepisami prawa krajowego i międzynarodowego.

Klauzula 8

Współpraca z organami nadzorczymi

Strony postanawiają złożyć do depozytu kopię niniejszej umowy w organie nadzorczym, jeśli ten wystąpi z takim wnioskiem lub jeśli obowiązek taki wynika z prawa krajowego.

Klauzula 9

Wypowiedzenie

Strony postanawiają, że wypowiedzenie niniejszych klauzul w każdym czasie, z jakiejkolwiek przyczyny, i z powodu jakichkolwiek okoliczności, nie zwalnia z obowiązków i/lub warunków wynikających z klauzul w zakresie przetwarzania przekazanych danych.

Klauzula 10

Prawo właściwe

Prawem właściwym klauzul jest prawo Państwa Członkowskiego przekazującego dane, tj.: ...........

Klauzula 11

Zmiany umowy

Strony zobowiązują się nie dokonywać zmian w warunkach niniejszych klauzul.

W imieniu przekazującego dane:

Nazwisko (pełne imię i nazwisko): ...........

Stanowisko: ...........

Adres: ...........

Inne informacje konieczne dla wejścia w życie umowy (jeśli dotyczy): ...........

...........

(Podpis)

..................................................

Notka Redakcji Systemu Informacji Prawnej LEX

Grafiki zostały zamieszczone wyłącznie w Internecie. Obejrzenie grafik podczas pracy z programem Lex wymaga dostępu do Internetu.

..................................................

grafika

W imieniu odbierającego dane:

Nazwisko (pełne imię i nazwisko): ...........

Stanowisko: ...........

Adres: ...........

Inne informacje konieczne dla wejścia w życie umowy (jeśli dotyczy): ...........

...........

(Podpis)

grafika

DODATEK  1

 

do standardowych klauzul umownych

Niniejszy dodatek stanowi cześć klauzul i musi być wypełniony i podpisany przez Strony.

(W tym dodatku Państwa Członkowskie mogą uzupełnić lub wyszczególnić, zgodnie z ich procedurami krajowymi, wszelkie inne informacje, które powinny być zawarte w dodatku.)

Przekazujący dane

Przekazujący dane (proszę krótko opisać swoją działalność związaną z przekazywaniemdanych):

...........

...........

...........

Odbierający dane

Odbierający dane (proszę krótko opisać swoją działalność związaną zprzekazywaniem danych):

...........

...........

...........

Osoby, których dane dotyczą

Przekazywane dane osobowe dotyczą następujących kategorii osób (proszę wyszczególnić):

...........

...........

...........

Cele przekazania danych

Przekazanie danych jest niezbędne do następujących celów (proszę wyszczególnić):

...........

...........

...........

Kategorie danych

Przesyłane dane osobowe dotyczą następujących kategorii danych (proszę wyszczególnić):

...........

...........

...........

Dane sensytywne (jeśli dotyczy)

Przekazywane dane osobowe dotyczą następujących kategorii danych sensytywnych (proszę wymienić):

...........

...........

...........

Odbiorcy

Przekazywane dane osobowe mogą być ujawnione jedynie następującym odbiorcom i kategoriom odbiorców (proszę wyszczególnić):

...........

...........

...........

Ograniczenia w zakresie czasu przechowywania danych

Przekazywane dane osobowe mogą być przechowywane nie dłużej niż (proszę podać): ........... miesiące/lata)

Przekazujący dane Odbierający dane

Nazwisko: ........... Nazwisko: ...........

........... ...........

(Podpis osoby upoważnionej) (Podpis osoby upoważnionej)

DODATEK  2

 

do standardowych klauzul umownych

Obowiązkowe zasady ochrony danych określone w klauzuli 5 ust. 1 lit. b)

Niniejsze zasady ochrony danych powinny być interpretowane w świetle przepisów (zasady i właściwe wyjątki) dyrektywy 95/46/WE.

Stosuje się je z zastrzeżeniem wymogów ustanowionych przez bezwzględnie obowiązujące przepisy krajów, właściwe dla odbierającego dane, które nie wykraczają poza to, co jest konieczne w demokratycznym społeczeństwie w celu realizacji jednego z celów wymienionych w art. 13 ust. 1 dyrektywy 95/46/WE, to znaczy, jeśli stanowią one środki niezbędne w celu zabezpieczenia bezpieczeństwa narodowego, obronności kraju, bezpieczeństwa publicznego, prewencji, wykrywania i ścigania przestępstw kryminalnych lub naruszenia etyki zawodów regulowanych, ważnych gospodarczych lub finansowych interesów Państwa, ochrony osoby, której dane dotyczą lub praw i wolności innych osób.

1.
Ograniczenia w zakresie celu: dane muszą być przetwarzane, a następnie wykorzystywane lub przekazywane dalej jedynie dla szczególnych celów określonych w dodatku I do niniejszych klauzul. Dane nie mogą być przechowywane dłużej niż jest to niezbędne w celu, w jakim zostały przekazane.
2.
Jakość danych i zasada proporcjonalności: dane muszą być zgodne z prawdą i, w miarę potrzeb, aktualizowane. Dane muszą być odpowiednie i nie wykraczać poza to, co jest potrzebne dla realizacji celów, dla których zostały one przekazane i są dalej przetwarzane.
3.
Przejrzystość: osobie, której dane dotyczą powinny zostać przekazane informacje dotyczące celu przetwarzania oraz tożsamości administratora danych w państwie trzecim, a także inne informacje, o ile są one konieczne dla zapewnienia rzetelnego przetwarzania danych, jeśli nie zostały one wcześniej przekazane przez przekazującego dane.
4.
Środki bezpieczeństwa i poufność: administrator danych jest obowiązany przedsięwziąć techniczne i organizacyjne środki w celu zapewnienia poziomu bezpieczeństwa właściwego ze względu na zagrożenia powstające przy przetwarzaniu danych, jak na przykład bezprawny dostęp do danych. Żadnej osobie działającej z upoważnienia administratora danych, włączając w to osobę, której tylko powierzono przetwarzanie danych nie wolno przetwarzać danych w inny sposób, niż zgodny z instrukcjami administratora danych.
5.
Prawo do sprostowania, usuwania danych ze zbioru i wstrzymania przetwarzania danych: zgodnie z art. 12 dyrektywy 95/46/WE, osoba, której dane dotyczą powinna mieć zapewniony dostęp do wszystkich danych przetwarzanych i odnoszących się do niej i odpowiednio, prawo do sprostowania, usuwania danych ze zbioru lub wstrzymania przetwarzania danych, które są przetwarzane niezgodnie z zasadami wymienionymi w niniejszym Dodatku, w szczególności, gdy dane te są niekompletne lub nieścisłe. Z prawnie uzasadnionych przyczyn wynikających ze szczególnej sytuacji w jakiej znajduje się osoba, której dane dotyczą, powinna mieć ona również prawo do sprzeciwienia się przetwarzaniu jej danych.
6.
Ograniczenia w zakresie dalszego przekazywania danych: dalsze przekazanie danych osobowych przez odbierającego dane innemu administratorowi z państwa trzeciego niezapewniającego właściwej ochrony lub nie objętego decyzją przyjętą przez Komisję na podstawie art. 25 ust. 6 dyrektywy 95/46/WE (dalsze przekazanie) może mieć miejsce tylko wtedy, gdy:
a)
w przypadku szczególnych rodzajów danych, osoba, której dane dotyczą wyraziła swoją jednoznaczną zgodę na dokonanie dalszego przekazania lub, w innym przypadku, osoba, której dane dotyczą miała możliwość sprzeciwu.

Osoby, których dane dotyczą powinny otrzymać informacje na temat przekazania danych w języku zrozumiałym dla tych osób i zawierające, co najmniej dane na temat:

celów dalszego przekazania,
tożsamości przekazującego z terytorium Wspólnoty,
kategorii dalszych odbierających dane i kraje przeznaczenia, oraz
informację, że po dalszym przekazaniu dane mogą być przetwarzane przez administratora w kraju, w którym nie ma odpowiedniego poziomu ochrony prywatności osób fizycznych; lub gdy
b)
przekazujący i odbierający dane postanawiają zawrzeć umowę w sprawie klauzul z innym administratorem, który w ten sposób zostaje Stroną umowy i przyjmuje na siebie takie same zobowiązania jak odbierający dane.
7.
Szczególne rodzaje danych: w przypadku przetwarzania danych, które ujawniają pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, członkostwo w związku zawodowym, jak również dane dotyczące zdrowia i życia seksualnego oraz informacje na temat skazania za popełnienie przestępstw lub dane na temat środków bezpieczeństwa, należy stosować dodatkowe środki bezpieczeństwa w rozumieniu dyrektywy 95/46/WE, w szczególności takie jak szyfrowanie przekazu lub przechowywanie zapisu przypadków udostępnienia szczególnych rodzajów danych.
8.
Marketing bezpośredni: w przypadku gdy dane przetwarza się dla celów marketingu bezpośredniego, powinny istnieć skuteczne procedury zapewniające osobie, której te dane dotyczą możliwość zabronienia wykorzystywania danych do takich celów.
9.
Podejmowane w sposób automatyczny decyzje w sprawach indywidualnych: osoba, której dane dotyczą ma prawo uchylenia się od decyzji, powziętej jednie na podstawie automatycznego przetwarzania danych, o ile nie stosuje się innych środków w celu zabezpieczenia uzasadnionych interesów jednostek, jak jest to przewidziane w art. 15 ust. 2 dyrektywy 95/46/WE. W przypadku gdy przekazanie danych ma na celu podjęcie decyzji w sposób automatyczny, tak jak w przypadku określonym w art. 15 dyrektywy 95/46/WE, która to decyzja powoduje skutki prawne dotyczące jednostki lub w znaczącym stopniu kształtuje jej sytuację, a która opiera się jedynie na automatycznym przetwarzaniu danych w celu oceny niektórych cech osobistych, takich jak osiągnięcia w pracy, zdolność kredytowa, rzetelność, zachowanie itd., jednostka powinna mieć prawo zapoznania się z przesłankami podjęcia takiej decyzji.

DODATEK  3

 

do standardowych klauzul umownych

Obowiązkowe zasady ochrony danych określone w klauzuli 5 ust. 2 lit. b)
1.
Ograniczenia w zakresie celu: dane mogą być przetwarzane, a następnie wykorzystywane lub przekazywane dalej wyłącznie w szczególnych celach określonych w dodatku I do niniejszych klauzul. Danych tych nie można przechowywać dłużej, niż jest to niezbędne dla osiągnięcia celu, w którym zostały przekazane.
2.
Prawo sprostowania, usuwania danych ze zbioru i wstrzymania przetwarzania danych: zgodnie z art. 12 dyrektywy 95/46/WE, osoba, której dane dotyczą powinna mieć prawo dostępu do wszystkich odnoszących się do niej przetwarzanych danych, i odpowiednio, prawo do sprostowania, usuwania danych ze zbioru i wstrzymania przetwarzania danych, do których przetwarzania nie stosuje się zasad wymienionych w niniejszym dodatku, w szczególności, gdy dane te są niekompletne lub nieścisłe. Z prawnie uzasadnionych przyczyn wynikających ze szczególnej sytuacji, w jakiej znajduje się osoba, której dane dotyczą, powinna mieć również prawo do sprzeciwienia się przetwarzaniu jej danych.
3.
Ograniczenia w zakresie dalszego przekazania danych: dalsze przekazanie danych osobowych przez odbierającego dane do innego administratora danych z państwa trzeciego niezapewniającego właściwej ochrony lub nie objętego decyzją przyjętą przez Komisję na podstawie art. 25 ust. 6 dyrektywy 95/46/WE (dalsze przekazanie) może mieć miejsce tylko w przypadku gdy:
a)
w przypadku szczególnych rodzajów danych, osoba, której dane dotyczą wyraziła swoją jednoznaczną zgodę na dokonanie dalszego przekazania lub w innym przypadku, osoba, której dane dotyczą miała możliwość sprzeciwu.

Osoby, których dane dotyczą powinny otrzymać informacje na temat przekazania danych w języku zrozumiałym dla tych osób i zawierające, co najmniej dane na temat:

celów dalszego przekazania,
tożsamości przekazującego z terytorium Wspólnoty,
kategorii dalszych odbierających dane i kraje przeznaczenia, oraz
informację, że po dalszym przekazaniu, dane mogą być przetwarzane przez administratora w kraju, w którym nie ma odpowiedniego poziomu ochrony prywatności osób fizycznych; albo gdy
b)
przekazujący i odbierający dane postanawiają zawrzeć umowę w sprawie warunków z innym administratorem, który w ten sposób zostaje Stroną umowy i przyjmuje na siebie takie same zobowiązania jak odbierający dane.

PAKIET II 

Standardowe klauzule umowne w sprawie przekazywania danych osobowych ze Wspólnoty do państw trzecich (transfer między administratorami)

Umowa o przekazywaniu danych

pomiędzy

______________________________________________ (nazwa)

_____________________________________________________ (adres i kraj siedziby)

(zwanym dalej "przekazującym dane")

i

______________________________________________ (nazwa)

_____________________________________________________ (adres i kraj siedziby)

zwanym dalej "odbierającym dane",

Każdy z nich zwany "Stroną", a wspólnie "Stronami".

Definicje

Do celów klauzul:

a)
"dane osobowe", "szczególne kategorie danych/dane sensytywne", "przetwarzać/przetwarzanie", "administrator danych", "przetwarzający dane", "osoba, której dane dotyczą" oraz "organ nadzorczy" mają takie samo znaczenie jak w dyrektywie 95/46/WE z dnia 24 października 1995 r. (gdzie "organ nadzorczy" oznacza właściwy organ nadzoru ochrony danych na terytorium państwa, w którym siedzibę ma przekazujący dane);
b)
"przekazujący dane" oznacza administratora danych, który przesyła dane osobowe;
c)
"odbierający dane" oznacza administratora danych, który wyraża zgodę na odbiór danych osobowych od przekazującego w celu ich dalszego przetwarzania na zasadach określonych w niniejszych klauzulach, a który nie podlega obowiązującemu w państwie trzecim systemowi zapewniającemu właściwy poziom ochrony danych;
d)
"klauzule" oznaczają niniejsze klauzule umowne, będące samodzielnym dokumentem, który nie uwzględnia warunków handlowych ustalonych pomiędzy stronami osobną umową handlową.

Szczegóły przekazania danych (jak również rodzaje danych osobowych) są wyszczególnione w załączniku B, który stanowi integralną część klauzul.

I.
Obowiązki przekazującego dane

Przekazujący dane zgadza się na poniższe warunki i zapewnia, co następuje:

a)
że dane osobowe będzie zbierał, przetwarzał i przekazywał zgodnie z przepisami obowiązującego go prawa;
b)
że podjął zasadne kroki w celu ustalenia, że odbierający dane jest w stanie wywiązać się z obowiązków prawnych określonych w niniejszych klauzulach;
c)
na życzenie odbierającego dane udostępni mu kopie właściwych przepisów dotyczących ochrony danych państwa, w którym przekazujący dane ma siedzibę, tudzież poinformuje go, gdzie szukać informacji o takich przepisach (tam gdzie jest to zasadne i nie obejmuje porady prawnej);
d)
będzie odpowiadać wyczerpująco i w rozsądnym terminie na zapytania organu nadzorczego i osoby, której dane dotyczą odnośnie do przetwarzania przez odbierającego dane, o ile strony nie uzgodniły, że takich odpowiedzi będzie udzielać odbierający dane, w którym to przypadku przekazujący dane nadal będzie udzielać, w zasadnych przypadkach i zakresie, odpowiedzi na zapytania, jeśli odbierający dane nie może lub nie chce udzielić takiej odpowiedzi. Odpowiedzi będą udzielane w rozsądnym terminie;
e)
na życzenie osoby, której dane dotyczą, lub beneficjentów - strony trzeciej w rozumieniu klauzuli 3, udostępni im kopię niniejszych klauzul, o ile klauzule nie zawierają informacji poufnych, w którym to wypadku przekazujący dane może usunąć takie informacje przed udostępnieniem klauzul. W przypadku usunięcia informacji przekazujący dane poinformuje na piśmie osobę, której dane dotyczą, o przyczynie usunięcia tych informacji oraz o przysługującym jej prawie poinformowania o takim usunięciu organu nadzorczego. Jednakże przekazujący dane zastosuje się do decyzji organu nadzorczego w sprawie pełnego dostępu osób, których dane dotyczą, do klauzul, o ile osoby takie zobowiążą się do przestrzegania poufności usuniętych danych. Przekazujący dane na życzenie organu nadzorczego udostępni mu kopię niniejszych klauzul.
II.
Obowiązki odbierającego dane

Odbierający dane zgadza się na poniższe warunki i zapewnia:

a)
że zastosuje stosowne środki techniczne i organizacyjne, aby chronić dane osobowe przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą, zmianą oraz ujawnieniem lub udostępnieniem osobom nieupoważnionym, oraz że zapewni poziom bezpieczeństwa właściwy ze względu na zagrożenia powstające przy przetwarzaniu i związane z naturą danych;
b)
że zastosuje procedury zapewniające zachowanie bezpieczeństwa i poufności danych osobowych przez strony trzecie, także przetwarzających dane, które upoważnił do przetwarzania takich danych. Wszystkie osoby działające z upoważnienia odbierającego dane, w tym przetwarzający dane, zobowiązują się do przetwarzania danych osobowych tylko z polecenia odbierającego dane. To postanowienie nie dotyczy osób uprawnionych do dostępu do danych osobowych lub mających takie uprawnienia z tytułu prawa;
c)
że nie ma żadnego powodu, aby sądzić, że ustawodawstwo, któremu podlega, mogłoby mieć znaczący negatywny skutek dla gwarancji określonych w niniejszych warunkach, a w przypadku gdy taka sytuacja miałaby miejsce, powiadomi o tym przekazującego dane (który, jeśli jest to konieczne, przekaże tę informację organowi nadzorczemu);
d)
że będzie przetwarzać dane osobowe do celów opisanych w załączniku B oraz że podlega organowi nadzorczemu, który gwarantuje wypełnienie zobowiązań określonych w niniejszych klauzulach;
e)
że poinformuje przekazującego dane o osobie, która w jego organizacji zajmuje się zapytaniami dotyczącymi przetwarzania danych osobowych, i będzie współpracować w dobrej wierze z przekazującym dane, osobami, których dane dotyczą oraz organem nadzorczym i rozpatrywać takie zapytania w rozsądnym terminie. W przypadku rozwiązania organizacji przekazującego dane lub jeśli strony tak ustalą, odbierający dane przyjmie odpowiedzialność za zapewnienie zgodności z postanowieniami klauzuli I lit. e);
f)
że na życzenie przekazującego dane, przedstawi mu dowody posiadania środków finansowych wystarczających do wypełnienia swoich zobowiązań określonych w klauzuli III (łącznie z ubezpieczeniem);
g)
że na zasadne życzenie przekazującego dane umożliwi mu (tudzież innym niezależnym lub bezstronnym agentom kontrolującym albo rewidentom wskazanym przez przekazującego dane i niezakwestionowanym niezasadnie przez odbierającego dane) po uprzedzeniu w rozsądnym terminie i w godzinach pracy przegląd, kontrolę i/lub certyfikację posiadanych urządzeń do przetwarzania danych oraz akt i dokumentów związanych z przetwarzaniem danych w celu sprawdzenia zgodności z gwarancjami i zobowiązaniami określonymi w niniejszych klauzulach. Życzenie takie musi być poparte potwierdzeniem lub zgodą organu prawnego lub nadzorczego państwa odbierającego dane, który to uzyska takie potwierdzenie lub zgodę w rozsądnym terminie;
h)
że będzie przetwarzać dane osobowe w miarę swoich możliwości zgodnie z:
i)
przepisami dotyczącymi ochrony danych kraju przekazującego dane, lub
ii)
właściwymi przepisami 9  każdej decyzji Komisji wydanej na podstawie art. 25 ust. 6 dyrektywy 95/46/WE, jeśli odbierający dane spełnia właściwe postanowienia takiego upoważnienia lub decyzji i działa w kraju, gdzie przepisy te obowiązują, ale nie dotyczą go takie upoważnienia lub decyzje w zakresie przekazywania danych osobowych 10 , lub
iii)
zasadami przekazywania danych określonymi w załączniku A.

Odbierający dane wpisuje wybraną opcję: ___________________________

Podpis odbierającego dane: ______________________________________;

i)
że nie ujawni i nie przekaże danych osobowych administratorowi danych spoza Europejskiego Obszaru Ekonomicznego (EEA), chyba że poinformuje o tym fakcie przekazującego dane, i
i)
administrator danych z takiego kraju będzie przetwarzać dane osobowe zgodnie z decyzją Komisji stwierdzającą, że państwo trzecie zapewnia adekwatną ochronę, lub
ii)
administrator danych z państwa trzeciego podpisze niniejsze klauzule lub inną umowę o przekazaniu danych zatwierdzoną przez właściwy organ z terenu UE, lub
iii)
osoby, których dane dotyczą, po otrzymaniu informacji o celu takiego przekazania danych, kategorii odbiorców danych oraz fakcie, że w państwie, do którego przekazywane są dane, mogą obowiązywać inne normy ochrony danych, będą miały prawo sprzeciwu, lub
iv)
osoby, których dane dotyczą, wyraziły jednoznaczną zgodę na dalsze przekazanie danych sensytywnych.
III.
Odpowiedzialność i prawa strony trzeciej
a)
Strony będą wzajemnie odpowiedzialne wobec siebie za szkody powstałe w wyniku naruszenia przepisów określonych w niniejszych klauzulach. Odpowiedzialność wzajemna stron jest ograniczona do rzeczywistych szkód. W szczególności wyklucza to możliwość odszkodowania za straty moralne (tj. odszkodowania mającego na celu ukaranie strony za jej znieważające zachowanie). Każda ze stron będzie odpowiedzialna wobec osoby, której dane dotyczą, za szkody powstałe w wyniku naruszenia przez nią praw osób trzecich określonych w niniejszych klauzulach. Nie wyklucza to odpowiedzialności przekazującego dane wynikającej z obowiązujących go przepisów dotyczących ochrony danych.
b)
Strony postanawiają, że osoba, której dane dotyczą, jest uprawniona jako beneficjant - osoba trzecia do zastosowania wobec odbierającego lub przekazującego dane, w przypadku naruszenia przez nich zobowiązań umownych w zakresie dotyczącym danych osobowych tej osoby, postanowień niniejszej klauzuli oraz klauzuli I lit. b), I lit. d), I lit. e), II lit. a), II lit. c), II lit. d), II lit. e), II lit. h), II lit. i), III lit. a), V, VI lit. d) oraz VII. Do tych celów zastosowanie ma prawodawstwo kraju przekazującego dane. W sprawach obejmujących stwierdzenie naruszenia postanowień przez odbierającego dane osoba, której dane dotyczą, musi najpierw zwrócić się do przekazującego dane z prośbą o podjęcie przez niego stosownych kroków w celu egzekucji praw dotyczących działań, jakie może podjąć wobec odbierającego dane, a jeśli przekazujący dane nie podejmie takich kroków w rozsądnym terminie (w zwykłych okolicznościach jest to termin jednego miesiąca), wówczas osoba, której dane dotyczą, może dochodzić swoich praw bezpośrednio wobec odbierającego dane. Osoba, której dane dotyczą, ma prawo do bezpośredniego dochodzenia swoim praw wobec przekazującego dane, który nie spełnił obowiązku ustalenia, czy odbierający dane ma możliwość spełnienia zobowiązań prawnych określonych w niniejszych klauzulach (na przekazującym dane spoczywa obowiązek udowodnienia, że podjął w tym celu zasadne kroki).
IV.
Prawo właściwe dla niniejszych klauzul

Prawem właściwym dla niniejszych klauzul jest prawo kraju przekazującego dane, z wyjątkiem przepisów i praw związanych z przetwarzaniem danych osobowych przez odbierającego dane na mocy klauzuli II lit. h), które mają zastosowanie jedynie, jeśli tak postanowi odbierający dane.

V.
Rozstrzyganie sporów z osobami, których dane dotyczą, lub organem nadzorczym
a)
W przypadku sporów lub roszczeń związanych z przetwarzaniem danych między osobą, której dane dotyczą, lub organem nadzorczym a każdą ze stron lub oboma stronami strony powiadomią się wzajemnie o zaistnieniu takiego sporu lub roszczenia i będą współpracować na rzecz polubownego rozstrzygnięcia sporu w rozsądnym terminie.
b)
Strony postanawiają, że będą uczestniczyć w każdym publicznie dostępnym niewiążącym procesie mediacyjnym zainicjowanym przez osobę, której dane dotyczą, lub organ nadzorczy. Strony mogą zdecydować o zdalnym udziale w postępowaniach mediacyjnych (poprzez połączenie telefoniczne lub inną drogą przekazu elektronicznego). Strony postanawiają ponadto, że rozważą udział w innych postępowaniach rozstrzygających, arbitrażowych lub mediacyjnych mających na celu rozstrzygnięcie sporu związanego z ochroną danych.
c)
Każda ze stron poddaje się jurysdykcji sądu właściwego kraju przekazującego dane lub organu nadzorczego, a decyzję takiego sądu lub organu uznaje za ostateczną i niepodlegającą odwołaniu.
VI.
Wypowiedzenie
a)
W przypadku gdy odbierający dane narusza zobowiązania wynikające z niniejszych klauzul, przekazujący dane może czasowo, do chwili ustania takiego naruszenia lub rozwiązania umowy, wstrzymać przekazywanie danych odbierającemu.
b)
W przypadku gdy:
i)
przekazywanie danych osobowych odbierającemu dane zostało czasowo wstrzymane przez przekazującego dane na okres dłuższy niż jeden miesiąc na mocy ust. a),
ii)
wypełnianie zobowiązań określonych w niniejszych klauzulach przez odbierającego dane spowodowałoby naruszenie przez niego zobowiązań wynikających z przepisów prawnych lub uregulowań obowiązujących w kraju, do którego przekazywane są dane,
iii)
odbierający dane w poważnym stopniu lub uporczywie narusza którekolwiek gwarancje lub postanowienia określone w niniejszych klauzulach,
iv)
wydana zostanie ostateczna decyzja właściwego sądu państwa przekazującego dane lub przepisów organu nadzorczego, od której nie przysługuje odwołanie, o naruszeniu postanowień niniejszych klauzul przez przekazującego lub odbierającego dane, lub
v)
złożony zostanie wniosek o ustanowienie zarządu lub likwidację odbierającego dane, niezależnie od tego, czy jest on przedsiębiorstwem czy osobą indywidualną, który nie zostanie odrzucony w przewidzianym dla takich wniosków terminie, zostanie wystawiony nakaz likwidacji, na dowolnej części jego majątku zostanie ustanowiony syndyk, powołany zostanie syndyk masy upadłości - jeśli odbierający dane jest osobą fizyczną, zostanie wszczęte postępowanie prowadzące do zawarcia ugody lub zaistnieje podobne zdarzenie prawne,

wówczas przekazujący dane może, bez uszczerbku dla innych zobowiązań, jakie ma wobec odbierającego dane na mocy niniejszych klauzul, wypowiedzieć niniejsze klauzule, informując w takim przypadku organ nadzorczy. W przypadkach, o których mowa w i), ii) lub iv), także odbierający dane może wypowiedzieć niniejsze klauzule.

c)
Każda ze stron może wypowiedzieć niniejsze klauzule, jeśli i) w odniesieniu do państwa (lub jego sektora), do którego są przekazywane dane lub w którym dane są przetwarzane przez odbierającego, zostanie wydana decyzja Komisji o adekwatności przepisów na mocy art. 25 ust. 6) dyrektywy 95/46/WE (lub tekstu, który ją zastępuje) lub ii) w takim państwie będzie bezpośrednio stosowana dyrektywa 95/46/WE (lub tekst, który ją zastępuje).
d)
Strony postanawiają, że wypowiedzenie niniejszych klauzul w każdym czasie, z jakiejkolwiek przyczyny i z powodu jakichkolwiek okoliczności [z wyjątkiem wypowiedzenia na mocy klauzuli VI c)] nie zwalnia z wynikających z klauzul zobowiązań i/lub warunków dotyczących przetwarzania przekazanych danych.
VII.
Zmiany niniejszych klauzul

Strony nie mogą zmieniać niniejszych klauzul z wyjątkiem aktualizacji wszelkich informacji zawartych w załączniku B, w którym to wypadku, i jeśli jest to wymagane, poinformują o tym fakcie organ nadzorczy. Nie wyklucza to możliwości dodawania przez strony innych klauzul handlowych.

VIII.
Opis przekazywania danych

Szczegóły przekazywania danych osobowych są sprecyzowane w załączniku B. Strony postanawiają, że załącznik B może zawierać poufne informacje handlowe, których nie ujawnią stronom trzecim, chyba że będzie to wymagane przepisami prawa lub z nakazu właściwej agencji regulacyjnej lub rządowej, zgodnie z wymogiem klauzuli I lit. e). Strony mogą sporządzić dodatkowe załączniki dotyczące dodatkowych transferów danych, które, jeśli to konieczne, przedłożą organowi nadzorczemu. Alternatywnie załącznik B może obejmować wiele transferów danych.

Data: __________________________ ___________________________

_______________________________ ___________________________

ODBIERAJĄCY DANE PRZEKAZUJĄCY DANE

.......................... ......................

.......................... ......................

.......................... ......................

Załącznik  A

 

ZASADY PRZEKAZYWANIA DANYCH

1.
Ograniczenia celu: dane osobowe mogą być przetwarzane, a następnie wykorzystywane lub dalej przekazywane wyłącznie do celów opisanych w załączniku B lub po uzyskaniu zgody na takie dalsze przetwarzanie przez osobę, której dane dotyczą.
2.
Jakość danych i zasada proporcjonalności: dane muszą być zgodne z prawdą i, w miarę potrzeb, aktualizowane. Dane muszą być odpowiednie i nie wykraczać poza to, co jest potrzebne dla realizacji celów, dla których zostały one przekazane i są dalej przetwarzane.
3.
Przejrzystość: osobie, której dane dotyczą, powinny zostać przekazane informacje konieczne do zapewnienia rzetelnego przekazywania danych (takie jak dotyczące celu przetwarzania oraz przekazywania danych), o ile informacje te nie zostały wcześniej przekazane przez przekazującego dane.
4.
Środki bezpieczeństwa i poufność: administrator danych jest obowiązany przedsięwziąć techniczne i organizacyjne środki w celu zapewnienia poziomu bezpieczeństwa właściwego ze względu na zagrożenia powstające przy przetwarzaniu danych, jak na przykład przypadkowe lub bezprawne zniszczenie lub przypadkowa utrata, zmiana, bezprawne ujawnienie lub dostęp. Żadnej osobie działającej z upoważnienia administratora danych, włączając w to osobę, której powierzono przetwarzanie danych, nie wolno przetwarzać danych w inny sposób niż zgodny z instrukcjami administratora danych.
5.
Prawo do dostępu do danych, sprostowania, usuwania danych ze zbioru i wstrzymywania przetwarzania danych: zgodnie z art. 12 dyrektywy 95/46/WE osoba, której dane dotyczą, powinna mieć zapewniony dostęp, bezpośredni lub przez stronę trzecią, do wszystkich danych osobowych odnoszących się do niej, z wyjątkiem sytuacji, gdy osoba, której dane dotyczą, ostentacyjnie nadużywa tego prawa poprzez nieuzasadnione częste, powtarzające się lub systematyczne prośby o udostępnienie tych danych lub w przypadku, gdy przepisy prawa kraju przekazującego dane nie nakazują udostępnienia takich danych. Pod warunkiem uprzedniej zgody organu nadzorczego osoba, której dane dotyczą, może również nie uzyskać prawa dostępu do danych, jeśli udzielenie takiego dostępu poważnie naruszyłoby interesy odbierającego dane lub innych organizacji mających do czynienia z odbierającym dane, a spełnienie tego warunku nie naruszałoby podstawowych praw i wolności osoby, której dotyczą dane. Źródło danych osobowych nie musi być ujawniane, jeśli nie jest to możliwe mimo podjęcia zasadnych kroków lub gdy spowodowałoby to pogwałcenie praw innych osób. Osoba, której dane dotyczą, musi mieć prawo do sprostowania lub usuwania danych ze zbioru, jeśli są niedokładne lub są przetwarzane niezgodnie z zasadami wymienionymi w niniejszym Załączniku. Jeśli istnieją ważne podstawy, by wątpić w zasadność takiej prośby, przed przystąpieniem do sprostowania, poprawiania lub usuwania danych ze zbioru organizacja może zażądać wyjaśnień. Zawiadomienie stron trzecich, którym ujawniono zmienione, poprawione lub usunięte ze zbioru dane, nie jest konieczne, jeśli wymagałoby to niewspółmiernych wysiłków. Z prawnie uzasadnionych przyczyn wynikających ze szczególnej sytuacji, w jakiej znajduje się osoba, której dane dotyczą, powinna mieć ona również prawo do sprzeciwienia się przetwarzaniu jej danych. Obowiązek udowodnienia zasadności odmowy dostępu do danych spoczywa na odbierającym dane, a osoba, której dane dotyczą, ma zawsze prawo do odwołania się od tej odmowy do organu nadzorczego.
6.
Dane sensytywne: Odbierający dane musi podjąć takie dodatkowe środki (jak na przykład związane z ochroną danych), jakie są konieczne do zapewnienia ochrony danych sensytywnych zgodnie z jego obowiązkami wynikającymi z klauzuli II.
7.
Dane wykorzystywane do celów marketingu bezpośredniego: w przypadku gdy dane przetwarza się dla celów marketingu bezpośredniego, powinny istnieć skuteczne procedury zapewniające osobie, której te dane dotyczą, możliwość zabronienia w każdej chwili wykorzystywania danych do takich celów.
8.
Decyzje podejmowane w sposób automatyczny: do celów niniejszych klauzul określenie "decyzje podejmowane w sposób automatyczny" oznaczają decyzję przekazującego lub odbierającego dane, która powoduje skutki prawne dotyczące osoby, której dane dotyczą, lub mają znaczący wpływ na jej sytuację, a która opiera się jedynie na automatycznym przetwarzaniu danych w celu oceny niektórych cech osobistych, takich jak osiągnięcia w pracy, zdolność kredytowa, rzetelność, zachowanie itd. Odbierający dane nie może podejmować w sposób automatyczny żadnych decyzji dotyczących osoby, której dane dotyczą, z wyjątkiem sytuacji, gdy:

a) i) takie decyzje są podejmowane przez odbierającego dane w trakcie zawierania lub realizacji umowy z osobą, której dotyczą dane, lub

ii) osoba, której dane dotyczą, ma możliwość omówienia skutków decyzji podjętej w sposób automatyczny z przedstawicielem strony, która podejmuje taką decyzję lub w inny sposób przedstawienia swojego punktu widzenia tej stronie;

lub

b) taka decyzja jest wymagana prawem kraju przekazującego dane.

Załącznik  B

 

OPIS PRZEKAZYWANIA DANYCH

[wypełniają strony]

Osoby, których dane dotyczą

Przekazywane dane osobowe dotyczace następujących kategorii

osób:

..............................................................

..............................................................

..............................................................

..............................................................

Cel(-e) przekazania danych

Przekazanie danych jest niezbędne do następujących celów:

..............................................................

..............................................................

..............................................................

..............................................................

Kategorie danych

Przekazywane dane osobowe dotyczą następujących kategorii

danych:

..............................................................

..............................................................

..............................................................

..............................................................

Odbiorcy

Przekazywane dane osobowe mogą być ujawnione jedynie

następującym odbiorcom i kategoriom odbiorców:

..............................................................

..............................................................

..............................................................

Dane sensytywne (jeśli dotyczy)

Przekazywane dane osobowe dotyczą następujących kategorii

danych sensytywnych:

..............................................................

..............................................................

..............................................................

..............................................................

Informacje rejestracyjne przekazujacego dane w celu ochrony

danych (jeśli dotyczy)

..............................................................

..............................................................

Inne przydatne informacje (ograniczenia przechowywania danych

i inne stosowne informacje)

..............................................................

..............................................................

Organizacje/osoby kontaktowe odpowiadające na zapytania w

sprawie ochrony danych

Odbierający dane Przekazujący dane

....................... ..............................

....................... ..............................

....................... ..............................

PRZYKŁADOWE KLAUZULE HANDLOWE (DOBROWOLNE)

Odszkodowania wzajemne między przekazującym a odbierającym dane:

"Strony zobowiązują się do wzajemnego wynagrodzenia wszelkich kosztów, opłat, wydatków lub strat poniesionych przez jedną ze stron w wyniku naruszenia przez drugą stronę postanowień niniejszych klauzul. Odszkodowanie wzajemne na mocy niniejszej klauzuli uzależnione jest od spełnienia następujących warunków: a) strona (strony), która(-e) jest uprawniona (są uprawnione) do odszkodowania ['strona poszkodowana' ('strony poszkodowane')] niezwłocznie poinformuje o roszczeniu drugą stronę (strony) ['stronę odpowiedzialną' ('strony odpowiedzialne')], b) strona odpowiedzialna (strony odpowiedzialne) jest jedyną stroną uprawnioną do obrony i zaspokojenia takiego roszczenia oraz c) strona poszkodowana (strony poszkodowane) zapewni(-ą), w rozsądnym zakresie, współpracę i pomoc stronie odpowiedzialnej (stronom odpowiedzialnym) w zakresie zaspokojenia takiego roszczenia.".

Rozstrzyganie sporów pomiędzy przekazującym a odbierającym dane (strony mogą naturalnie zastosować dowolną inną metodę rozstrzygania sporu lub uzgodnić inną klauzulę jurysdykcyjną):

"W przypadku zaistnienia sporu dotyczącego rzekomego naruszenia któregokolwiek postanowienia niniejszych klauzul pomiędzy odbierającym a przekazującym dane spór taki zostanie ostatecznie rozstrzygnięty zgodnie z regulaminem arbitrażu Międzynarodowej Izby Handlowej przez jednego lub więcej arbitrów powołanych na mocy wspomnianych zasad. Miejscem postępowania arbitrażowego będzie [...]. Powołanych zostanie [...] arbitrów.".

Podział kosztów:

"Każda ze stron będzie realizować zobowiązania wynikające z niniejszych klauzul na własny koszt.".

Dodatkowa klauzula o wypowiedzeniu:

"W przypadku wypowiedzenia niniejszych klauzul odbierający dane musi niezwłocznie zwrócić przekazującemu dane wszystkie dane osobowe i wszystkie kopie danych objęte postanowieniami niniejszych klauzul lub, zgodnie z życzeniem przekazującego dane, zniszczyć wszystkie kopie powyższych i przedstawić przekazującemu dane dowód dokonania takiego zniszczenia, pod warunkiem że prawo krajowe lub lokalne odbierającego dane nie zabrania mu zniszczenia lub zwrotu całości lub części takich danych. W takim przypadku dane muszą być traktowane jak poufne i nie mogą być aktywnie przetwarzane do żadnych celów. Odbierający dane zgadza się, że na życzenie przekazującego dane umożliwi mu lub wskazanemu przez niego, a zatwierdzonemu przez odbierającego dane, kontrolerowi wstęp do swojej siedziby, po uprzednim powiadomieniu i w godzinach pracy, w celu sprawdzenia, czy zastosował się do postanowień powyższych klauzul.

1 Dz.U. L 281 z 23.11.1995, str. 31.
2 Adres internetowy Grupy Roboczej:
3 WP 4 (5020/97) "Wstępne wskazówki w sprawie przekazywania danych osobowych do państw trzecich - możliwości postępu w ocenie adekwatności" materiał do dyskusji przyjęty przez grupę roboczą dnia 26 czerwca 1997 r.
4 Opinia nr 1/2001 przyjęta przez grupę roboczą dnia 26 stycznia 2001 r. (DG MARKT 5102/00 WP 38), dostępna na stronie internetowej Komisji Europejskiej "Europa".
5 Art. 1 zmieniony przez art. 1 pkt 1 decyzji nr 2004/915/WE z dnia 27 grudnia 2004 r. (Dz.U.UE.L.04.385.74) zmieniającej nin. decyzję z dniem 1 kwietnia 2005 r.
6 Art. 4 zmieniony przez art. 1 decyzji nr (UE) 2016/2297 z dnia 16 grudnia 2016 r. (Dz.U.UE.L.2016.344.100) zmieniającej nin. decyzję z dniem notyfikacji.
7 Art. 5 zmieniony przez art. 1 pkt 3 decyzji nr 2004/915/WE z dnia 27 grudnia 2004 r. (Dz.U.UE.L.04.385.74) zmieniającej nin. decyzję z dniem 1 kwietnia 2005 r.
8 Załącznik zmieniony przez art. 1 pkt 4 decyzji nr 2004/915/WE z dnia 27 grudnia 2004 r. (Dz.U.UE.L.04.385.74) zmieniającej nin. decyzję z dniem 1 kwietnia 2005 r.
* Stosowanie ust. 3 jest fakultatywne.
9 Określenie "właściwe przepisy" oznacza przepisy każdych zezwoleń lub decyzji z wyjątkiem przepisów wykonawczych do tych zezwoleń lub decyzji (które są objęte niniejszymi klauzulami).
10 Jednakże postanowienia pkt. 5 załącznika A dotyczące prawa do dostępu, naprawy, usuwania danych oraz sprzeciwu muszą być stosowane, jeśli zostanie wybrana niniejsza opcja i mają pierwszeństwo przed innymi porównywalnymi postanowieniami decyzji Komisji.

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .