KOMISJA WSPÓLNOT EUROPEJSKICH,

uwzględniając Traktat ustanawiający Wspólnotę Europejską,

uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (¹), w szczególności jej art. 26 ust. 4,

a także mając na uwadze, co następuje:

1) Na mocy dyrektywy 95/46/WE Państwa Członkowskie są zobowiązane zapewnić, że przekazywanie danych osobowych do państw trzecich może mieć miejsce tylko wtedy, gdy dane państwo trzecie zapewnia właściwy poziom ochrony danych i że prawa Państw Członkowskich, które są zgodne z innymi przepisami dyrektywy, są przestrzegane zanim nastąpi przekazanie danych.

2) Jednakże, art. 26 ust. 2 dyrektywy 95/46/WE zapewnia, że Państwa Członkowskie mogą zezwolić, na podstawie określonych warunków, na przekazanie lub przekazywanie danych osobowych do państw trzecich, które nie zapewniają właściwego poziomu ochrony. Takie warunki mogą w szczególności wynikać z odpowiednich klauzul umownych.

3) Na mocy dyrektywy 95/46/WE poziom ochrony danych powinien być oceniany w świetle wszystkich okoliczności towarzyszących transferowi lub transferom danych. Grupa robocza ds. ochrony osób fizycznych w związku z automatycznym przetwarzaniem danych osobowych powołana na mocy omawianej dyrektywy (²) wydała wytyczne pomocne przy ocenie (³).

4) Standardowe klauzule umowne odnoszą się tylko do ochrony danych. Przekazujący i odbierający dane mogą swobodnie dołączać inne klauzule na temat prowadzonych interesów, które uważają za właściwe dla umowy, o ile nie są one sprzeczne ze standardowymi klauzulami umownymi.

5) Niniejsza decyzja nie skutkuje na upoważnienia krajowe, których Państwa Członkowskie mogą udzielać zgodnie z przepisami prawa krajowego przyjętymi w celu implementacji art. 26 ust. 2 dyrektywy 95/46/WE. Decyzja wymaga jedynie od Państw Członkowskich, aby nie odmawiały uznania odpowiednich klauzul ochronnych ustalonych w klauzulach umownych i dlatego decyzja nie skutkuje na inne klauzule umowne.

6) Zakres niniejszej decyzji ogranicza się do postanowienia, że klauzule, które ustanawia mogą być zastosowane przez administratora danych powołanego na obszarze Wspólnoty w celu powołania się na adekwatne klauzule ochronne w rozumieniu art. 26 ust. 2 dyrektywy 95/46/WE dotyczącej przekazania danych osobowych przetwarzającym dane mającym siedzibę w państwie trzecim.

7) Niniejsza decyzja wprowadza obowiązek określony w art. 17 ust. 3 dyrektywy 95/46/WE, bez wpływu na treść umów lub aktów prawnych ustanowionych na mocy tego przepisu. Jednakże, niektóre standardowe klauzule umowne, w szczególności dotyczące obowiązków przekazującego dane, powinny zostać włączone w celu zwiększenia jasności w odniesieniu do postanowień, które mogą być zawarte w umowie między administratorem danych a przetwarzającym dane.

8) Organy nadzorcze Państw Członkowskich odgrywają kluczową rolę w tym mechanizmie umownym zapewniając, że dane osobowe po przekazaniu są właściwie chronione. W wyjątkowych przypadkach, gdy przekazujący dane odmawiają lub nie są w stanie poinstruować właściwie odbierających dane, co wiąże się z ryzykiem poważnej szkody dla osoby, której dane dotyczą, standardowe klauzule umowne umożliwiają organom nadzorczym kontrolę odbierających dane i, gdzie stosowne, podjęcie decyzji wiążących dla odbierających dane. Organy nadzorcze mają prawo zabronić lub zawiesić transferu lub transferów danych wykonywanych na podstawie standardowych klauzul umownych w tych wyjątkowych przypadkach, gdy zostało ustalone, że przekazanie na podstawie umownej może mieć poważne negatywne skutki na gwarancje i obowiązki zapewniające odpowiednią ochronę osób, których dane dotyczą.

9) Komisja może również ocenić w przyszłości, czy standardowe klauzule umowne dotyczące przekazania danych osobowych do przetwarzających dane mających siedzibę w państwach trzecich, które nie zapewniają właściwego poziomu ochrony danych, dostarczonych przez organizacje biznesowe lub inne zainteresowane strony, przewidują właściwe zabezpieczenia zgodnie z art. 26 ust. 2 dyrektywy 95/46/WE.

10) Ujawnienie danych osobowych przetwarzającemu dane mającemu siedzibę poza obszarem Wspólnoty jest międzynarodowym transferem danych osobowych chronionym na mocy rozdziału IV dyrektywy 95/46/WE. W efekcie, decyzja nie obejmuje przekazywania danych osobowych przez administratorów danych z terytorium Wspólnoty do administratorów danych spoza terytorium Wspólnoty, którzy są objęci zakresem decyzji Komisji 2001/497/WE z dnia 15 czerwca 2001 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich, na mocy dyrektywy 95/46/WE (⁴).

11) Standardowe klauzule umowne powinny zapewniać techniczne i organizacyjne środki bezpieczeństwa zapewniające poziom ochrony adekwatny do ryzyka jakie niesie przetwarzanie i charakter danych podlegających ochronie, które musi zastosować przetwarzający dane mający siedzibę w państwie trzecim nie zapewniający odpowiedniej ochrony. Strony umieszczają w umowie postanowienia dotyczące technicznych i organizacyjnych środków bezpieczeństwa które, uwzględniając właściwe prawo o ochronie danych, sposób i koszt ich zastosowania, są niezbędne w celu ochrony danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, przypadkową stratą, zmianą, ujawnieniem lub dostępem bez upoważnienia oraz inną sprzeczną z prawem formą przetwarzania.

12) W celu ułatwienia przepływu danych z obszaru Wspólnoty, jest pożądane, by przetwarzający dane świadczący usługi przetwarzania danych wielu administratorów danych we Wspólnocie, mogli stosować te same techniczne i organizacyjne środki bezpieczeństwa bez względu na Państwo Członkowskie, z którego pochodzi transfer danych, w szczególności w tych przypadkach, gdy odbierający dane otrzymuje je dla dalszego przetwarzania przekazujących dane, mających różne siedziby we Wspólnocie.

13) Należy ustanowić minimum informacyjne, które strony muszą wyszczególnić w umowie dotyczącej przekazania. Państwa Członkowskie utrzymują prawo do szczegółowego określenia tych informacji, które strony są zobowiązane zapewnić. Funkcjonowanie omawianej decyzji jest oceniane w świetle doświadczeń.

14) Odbierający dane przetwarza przekazane dane osobowe tylko w imieniu przekazujących dane i zgodnie z jego instrukcjami i obowiązkami zawartymi w klauzulach. W szczególności odbierającemu dane nie wolno ujawniać danych osobowych osobie trzeciej, o ile nie jest to zgodne z określonymi warunkami. Przekazujący dane poucza odbierającego dane w czasie trwania usług związanych przetwarzaniem danych, aby przetwarzać dane zgodnie z jego instrukcjami, mającym zastosowanie prawem o ochronie danych i obowiązkami zawartymi w klauzulach. Przekazanie danych osobowych przetwarzającym dane mającym siedzibę poza obszarem Wspólnoty nie narusza faktu, że działalnością związaną z przetwarzaniem w każdym przypadku rządzi właściwe prawo o ochronie danych.

15) Standardowe klauzule umowne są przeznaczone do stosowania nie tylko przez organizacje, które są stronami umowy, ale także przez osoby, których dane dotyczą, w szczególności gdy te podmioty ponoszą straty będące skutkiem niedotrzymania umowy.

16) Osoba, której dotyczą dane ma prawo podejmować działania i, gdzie właściwe, otrzymywać odszkodowanie od przekazującego dane, który jest administratorem danych przekazanych danych osobowych. Wyjątkowo, osoba, której dane dotyczą ma prawo podejmować działania i, gdzie właściwe, otrzymywać zadośćuczynienie od odbierającego dane, w tych przypadkach wynikających z niedotrzymania przez niego któregoś z obowiązków wymienionych w ust. 2 klauzuli 3, gdy przekazujący dane przestał istnieć faktycznie lub formalnie lub stał się niewypłacalny.

17) Jeśli spór między osobą, której dotyczą dane i która powołuje się na klauzulę beneficjenta - osoby trzeciej oraz odbierającym dane, ten ostatni wyraża zgodę, by osoba, której dane dotyczą mogła wybrać między mediacją, arbitrażem lub postępowaniem sądowym. Zakres, w jakim osoba, której dotyczą dane, będzie miała rzeczywistą możliwość wyboru, zależy od dostępności wiarygodnych i sprawdzonych systemów mediacji i arbitrażu. Mediacja za pośrednictwem organów nadzorczych ochronę danych Państwa Członkowskiego, w którym działa przekazujący dane, powinna stanowić sposób rozwiązania sporu, jeśli organy te zapewniają możliwość skorzystania z takiej usługi.

18) Umową rządzi prawo Państwa Członkowskiego, w którym działa przekazujący dane umożliwiając uprawnionej osobie trzeciej egzekwowanie wykonania umowy. Osoby, których dotyczą dane mają prawo do reprezentacji przez stowarzyszenia lub inne organy, jeśli mają takie życzenie i jest to przewidziane w prawie krajowym.

19) Grupa Robocza ds. ochrony osób fizycznych w związku z automatycznym przetwarzaniem danych osobowych powołana na mocy art. 29 dyrektywy 95/46/WE wydała opinię o poziomie bezpieczeństwa zapewnianego przez standardowe klauzule umowne załączone do niniejszej decyzji, które zostały wzięto pod uwagę w czasie przygotowywania niniejszej decyzji (⁵).

20) Środki przewidziane w niniejszej decyzji są zgodne z opinią Komitetu ustanowionego na podstawie art. 31 dyrektywy 95/46/WE,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł 1

Standardowe klauzule umowne wymienione w Załączniku uważa się za zapewniające adekwatne zabezpieczenia w odniesieniu do ochrony prywatności i swobód oraz podstawowych praw jednostek i odnośnie wykonywania praw pokrewnych, jak tego wymaga art. 26 ust. 2 dyrektywy 95/46/WE.

Artykuł 2

Niniejsza decyzja dotyczy jedynie adekwatności ochrony zapewnionej przez standardowe klauzule umowne wymienione w Załączniku dotyczącym przekazywania danych osobowych. Nie ma ona wpływu na stosowanie innych przepisów prawa krajowego implementujących dyrektywę 95/46/WE, które wchodzą w zakres przetwarzania danych osobowych w Państwach Członkowskich.

Niniejsza decyzja nie ma zastosowania do przekazywania danych osobowych przez administratorów danych z terytorium Wspólnoty, do odbierających dane spoza terytorium Wspólnoty, którym powierzono jedynie przetwarzanie danych.

Artykuł 3

Do celów niniejszej decyzji:

a) stosuje się definicje z dyrektywy 95/46/WE;

b) „szczególne kategorie danych” oznaczają dane wymienione w art. 8 tej dyrektywy;

c) „organ nadzorczy” oznacza organ określony w art. 28 niniejszej dyrektywy;

d) „przekazujący dane” oznacza administratora danych, który przekazuje dane osobowe;

e) „odbierający dane” oznacza administratora danych mającego siedzibę w państwie trzecim, który wyraża zgodę na otrzymywanie od przekazującego danych osobowych w celu dalszego ich przetwarzania po przekazaniu w imieniu przekazującego, zgodnie z instrukcjami tego ostatniego i na zasadach ustalonych w niniejszej decyzji i który nie podlega systemowi zapewnienia odpowiedniej ochrony państwa trzeciego;

f) „właściwe prawo o ochronie danych” oznacza ustawodawstwo chroniące podstawowe prawa i wolności osób fizycznych i, w szczególności, ich prawo do prywatności w odniesieniu do przetwarzania danych osobowych, właściwe dla administratora danych w Państwie Członkowskim, w którym ma siedzibę przekazujący dane;

g) „techniczne i organizacyjne środki ochrony” oznacza takie środki, które zmierzają do ochrony danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, przypadkową stratą, zmianą, ujawnieniem lub dostępem bez upoważnienia, w szczególności gdy przetwarzanie obejmuje przekazywanie danych za pomocą sieci informatycznych oraz przed inną sprzeczną z prawem formą przetwarzania.

Artykuł 4

1. Bez uszczerbku dla swoich kompetencji do podejmowania działań w celu zapewnienia zgodności z przepisami prawa krajowego przyjętego na mocy rozdziałów II, III, V i VI dyrektywy 95/46/WE, właściwe władze Państw Członkowskich mogą zastosować przysługujące im obecnie uprawnienia do zakazania lub wstrzymania przekazywania danych do państw trzecich w celu ochrony jednostek w zakresie przetwarzania ich danych osobowych, w przypadku, gdy:

a) wykazano, że prawo któremu podlega odbierający dane nakłada na niego obowiązki w zakresie odstępowania od stosowania zasad ochrony danych, które wykraczają poza ograniczenia konieczne w demokratycznym społeczeństwie w rozumieniu w art. 13 dyrektywy 95/46/WE, w przypadku gdy wypełnianie tych obowiązków może doprowadzić do poważnego naruszenia gwarancji ustanowionych przez właściwe prawo o ochronie danych i standardowe klauzule umowne, lub

b) właściwy organ ustalił, że odbierający dane naruszył klauzule umowne określone w Załączniku, lub

c) istnieje duże prawdopodobieństwo, że standardowe klauzule umowne z Załącznika nie są lub nie będą przestrzegane, a kontynuowanie przekazywania danych może stworzyć realne zagrożenie wyrządzenia poważnych szkód osobom, których dane dotyczą.

2. Zakaz lub zawieszenie na mocy ust. 1 znosi się po ustaniu powodów wprowadzenia zawieszenia lub zakazu.

3. Gdy Państwa Członkowskie podejmą środki na mocy ust. 1 i 2, powiadomiają o tym niezwłocznie Komisję, która przesyła informacje na ten temat pozostałym Państwom Członkowskim.

Artykuł 5

Komisja oceni funkcjonowanie niniejszej decyzji na podstawie dostępnych informacji trzy lata po notyfikacji Państwom Członkowskim. Komisja dostarczy sprawozdanie ustaleń komitetowi utworzonemu na podstawie art. 31 dyrektywy 95/46/WE. Sprawozdanie to obejmie wszystkie elementy, które mogą mieć wpływ na ocenę adekwatności standardowych klauzul umownych w Załączniku i wszystkie elementy wskazujące na to, że omawiana decyzja jest stosowana w sposób dyskryminacyjny.

Artykuł 6

Niniejszą decyzję stosuje się od dnia 3 kwietnia 2002 r.

Artykuł 7

Niniejsza decyzja skierowana jest do Państw Członkowskich.

Sporządzono w Brukseli, dnia 27 grudnia 2001 r.

ZAŁĄCZNIK

Standardowe klauzule umowne (dla przetwarzających dane)

Do celów art. 26 ust. 2 dyrektywy 95/46/WE dotyczącej przekazywania danych osobowych przetwarzającym dane do państw trzecich, które nie zapewniają adekwatnego poziomu bezpieczeństwa

Klauzula 1

Definicje

Do celów klauzul:

a) „dane osobowe”, „szczególne kategorie danych”, „przetwarzać / przetwarzanie”, „administrator danych”, „przetwarzający dane”, „osoba, której dane dotyczą” i „organ nadzorczy” mają takie samo znaczenie jak w dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w związku z automatycznym przetwarzaniem danych osobowych oraz swobody przepływu tych danych ( dalej zwaną „dyrektywą”)(⁶);

b) „przekazujący dane” oznacza instytucję administratora danych, który przekazuje dane osobowe;

c) odbierający dane” oznacza przetwarzającego dane mającego siedzibę w państwie trzecim, który wyraża zgodę na otrzymywanie od przekazującego danych osobowych, przeznaczonych do przetwarzania po przekazaniu w imieniu przekazującego, zgodnie z instrukcjami tego ostatniego i warunkami tej decyzji i który nie podlega systemowi zapewnienia odpowiedniej ochrony państwa trzeciego;

d) „właściwe prawo o ochronie danych” oznacza ustawodawstwo chroniące podstawowe prawa i swobody osób fizycznych i, w szczególności, ich prawo do prywatności w odniesieniu do przetwarzania danych osobowych, właściwe dla administratora danych w Państwie Członkowskim, w którym działa przekazujący dane;

e) „techniczne i organizacyjne środki ochrony” oznacza takie środki, które zmierzają do ochrony danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, przypadkową stratą, zmianą, ujawnieniem lub dostępem bez upoważnienia, w szczególności gdy przetwarzanie obejmuje przekazywanie danych za pomocą sieci informatycznych oraz przed inną sprzeczną z prawem formą przetwarzania.

Klauzula 2

Szczegóły transferu

Szczegóły transferu, w szczególności szczególne kategorie danych osobowych, jeśli mają zastosowanie, są wymienione w załączniku 1, który tworzy integralną część klauzuli.

Klauzula 3

Klauzula na rzecz osoby trzeciej

Osoba, której dane dotyczą, może powoływać się przeciwko przekazującemu na przepisy niniejszej klauzuli, klauzuli 4 lit. b)-h), klauzuli 5 lit. a)-e) i g), klauzuli 6 pkt. 1-2, klauzuli 7, klauzuli 8 pkt. 2 oraz klauzul 9, 10 i 11, jako uprawniona osoba trzecia.

Osoba, której dane dotyczą, może powoływać się przeciwko odbierającemu dane na przepisy niniejszej klauzuli, klauzuli 5 lit. a)-e) i g), klauzuli 6 pkt. 1-2, klauzuli 7, klauzuli 8 pkt. 2 oraz klauzul 9, 10 i 11 w przypadku gdy przekazujący przestał istnieć faktycznie lub formalnie.

Strony nie sprzeciwiają się reprezentowaniu osoby, której dotyczą dane przez stowarzyszanie lub inny organ, o ile osoba ta wyraża takie życzenie i dopuszczone jest to przez prawo krajowe.

Klauzula 4

Obowiązki przekazującego dane

Przekazujący dane zgadza się na poniższe warunki i zapewnia, co następuje:

a) że będzie przetwarzał, łącznie z samym przekazaniem, dane osobowe, oraz będzie kontynuował ich przetwarzanie zgodnie z odnośnymi przepisami właściwego prawa o ochronie danych (w odpowiednich przypadkach powiadomi o tym właściwe władze Państwa Członkowskiego, w którym przekazujący dane ma siedzibę) i nie naruszy właściwych przepisów obowiązujących w tym Państwie;

b) że poinstruował i w trakcie wykonywania usług przetwarzania danych osobowych będzie instruował odbierającego dane o przetwarzaniu przekazanych danych tylko w imieniu przekazującego dane i zgodnie z właściwym prawem o ochronie danych oraz z tymi klauzulami;

c) że odbierający dane zapewni wystarczające gwarancje odnośnie technicznych i organizacyjnych środków ochrony wymienionych w załączniku 2 do umowy;

d) że po ustaleniu warunków właściwego prawa o ochronie danych, środki ochrony są adekwatne do ochrony danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, przypadkową stratą, zmianą, ujawnieniem lub dostępem bez upoważnienia, w szczególności gdy przetwarzanie obejmuje przekazywanie danych za pomocą sieci informatycznych oraz przed inną sprzeczną z prawem formą przetwarzania, i że te środki zapewniają poziom ochrony adekwatny do ryzyka jakie niesie przetwarzanie i charakter danych podlegających ochronie uwzględniając sposób i koszt ich zastosowania;

e) że zapewni zgodność ze środkami ochrony;

f) jeżeli przekazanie dotyczy szczególnych kategorii danych, osoba, której dane dotyczą została poinformowana lub będzie poinformowana przed przekazaniem danych, lub możliwie jak najszybciej po przekazaniu, że jej dane mogą zostać przekazane do państwa trzeciego, w którym nie jest zapewniony właściwy poziom ochrony danych;

g) że wyraża zgodę na przesyłanie powiadomienia otrzymanego od odbierającego dane na podstawie klauzuli 5 lit. b) do organu nadzorującego ochronę danych, jeżeli zdecyduje się na kontynuowanie transferu lub zniesienie jego zawieszenia;

h) na życzenie osoby, której dane dotyczą udostępni jej kopię klauzul wymienionych w niniejszym Załączniku, z wyjątkiem załącznika 2, który zastępuje się ogólnym opisem środków ochrony.

Klauzula 5

Obowiązki odbierającego dane ⁽⁷⁾

Odbierający dane zgadza się na poniższe warunki i zapewnia:

a) że będzie przetwarzał dane osobowe tylko w imieniu przekazującego dane i zgodnie z jego instrukcjami oraz klauzulami; jeśli nie może zapewnić takiej zgodności, niezależnie od przyczyn, zgadza się poinformować niezwłocznie przekazującego dane o tym fakcie, w takim przypadku przekazujący jest upoważniony do zawieszenia przekazywania danych i / lub wypowiedzenia umowy;

b) że nie ma żadnego powodu aby sądzić, że ustawodawstwo, któremu podlega uniemożliwia mu wypełnianie zobowiązań wynikających z umowy, w przypadku zmiany tego ustawodawstwa, która mogłaby mieć znaczący negatywny skutek dla gwarancji określonych w niniejszych warunkach, powiadomi on o tej zmianie przekazującego dane oraz organ nadzorczy odpowiedni dla przekazującego dane; w tym wypadku przekazujący dane ma prawo wstrzymać przekazywanie danych lub rozwiązać umowę;

c) że zastosował techniczne i organizacyjne środki ochrony wymienione w załączniku 2 przed przetwarzaniem przekazanych danych osobowych;

d) że niezwłocznie powiadomi przekazującego dane o:

i) wszystkich prawnie wiążących żądaniach ujawnienia danych osobowych organom ścigania o ile przepisy nie stanowią inaczej, jak na przykład w sytuacji zakazu na mocy kodeksu karnego dla celów zachowania tajemnicy śledztwa;

ii) każdym przypadkowym lub nieuprawnionym dostępie; i

iii) każdym żądaniu bezpośrednio od osób, których dotyczą dane bez odpowiedzi na nie, o ile nie był on inaczej uprawniony,

e) że będzie zajmował się niezwłocznie i z należytą uwagą wszystkimi zapytaniami przekazującego dane odnośnie do przetwarzania przez niego danych będących przedmiotem przekazania i będzie się stosować do wskazówek organu nadzorczego w odniesieniu do przetwarzania przekazanych danych;

f) że na życzenie przekazującego dane udostępni mu swoje urządzenia do przetwarzania danych w celu kontroli działalności przetwarzania objętej klauzulami, która będzieprzeprowadzona przez przekazującego dane lub organ nadzorczy, w którego skład wchodzą niezależni eksperci posiadający odpowiednie kwalifikacje zawodowe związani obowiązkiem zachowania tajemnicy, wybrani przez przekazującego dane, lub jeśli istnieje taki obowiązek, w porozumieniu z organem nadzorczym;

g) że na życzenie osoby, której dane dotyczą, udostępni jej kopię klauzul wymienionych w niniejszym Załączniku, z wyjątkiem załącznika 2, który zastępuje się ogólnym opisem środków ochrony, gdy wyżej wymieniony podmiot nie może otrzymać egzemplarza od przekazującego dane.

Klauzula 6

Odpowiedzialność

1. Strony postanawiają, że osoba, której dane dotyczą, która poniosła szkodę na skutek naruszenia przepisów określonych w klauzuli 3 jest uprawniona do żądania od przekazującego dane naprawienia wyrządzonej jej szkody.

2. Jeżeli osoba, której dotyczą dane nie jest w stanie podjąć działania określonego w ust. 1 wynikającego z naruszenia przez odbierającego dane któregoś z obowiązków wymienionych w klauzuli 3 wobec przekazującego dane, ponieważ ten ostatni przestał istnieć faktycznie lub formalnie lub stał się niewypłacalny, odbierający dane wyraża zgodę, aby osoba, której dotyczą dane mogła wystąpić z roszczeniem wobec odbierającego dane tak jakby był przekazującym dane.

3. Strony postanawiają, że jeśli jedna ze Stron zostanie uznana za odpowiedzialną za naruszenie klauzul dokonane przez drugą stronę, ta ostatnia, w zakresie swojej odpowiedzialności, zrekompensuje partnerowi wszystkie poniesione przez niego koszty, opłaty, wydatki lub straty.

Rekompensata następuje pod warunkiem, że:

a) przekazujący dane niezwłocznie powiadomi odbierającego dane o roszczeniu; i

b) odbierający dane ma możliwość współpracy z przekazującym dane przy obronie i zaspokojeniu roszczenia(⁸).

Klauzula 7

Mediacja i właściwość sądu

1. Odbierający dane przyjmuje, że jeżeli osoba, której dotyczą dane przywoła wobec niego prawa beneficjenta - osoby trzeciej i / lub wnosi roszczenie o odszkodowanie za szkodę na mocy klauzul, odbierający dane zaakceptuje decyzję wyżej wymienionego podmiotu:

a) skierowania sporu do mediacji, przez niezależną osobę lub, jeśli ma to zastosowanie, przez organ nadzorczy;

b) skierowania sporu do sądów w Państwie Członkowskim, w którym przekazujący dane ma siedzibę.

2. Odbierający dane wyraża zgodę, by w drodze umowy z osobą, której dane dotyczą, rozstrzygnięcie sporu mogło być skierowane do sądu polubownego, jeśli odbierający dane ma siedzibę w państwie, które ratyfikowało Konwencję Nowojorską o uznawaniu i wykonywaniu zagranicznych orzeczeń arbitrażowych.

3. Strony postanawiają, że wybór dokonany przez osobę, której dane dotyczą, nie naruszy przysługujących jej właściwych uprawnień o charakterze materialno-prawnym i procesowym, w celu ochrony jej praw zgodnie z przepisami prawa krajowego i międzynarodowego.

Klauzula 8

Współpraca z organami nadzorczymi

1. Przekazujący dane wyraża zgodę na zdeponowanie kopii niniejszej umowy w organie nadzorczym, jeśli ten wystąpi z takim wnioskiem lub obowiązek taki wynika z właściwego prawa o ochronie danych.

2. Strony postanawiają, że organ nadzorczy ma prawo przeprowadzić kontrolę odbierającego dane, która ma taki sam zakres i podlega takim samym warunkom jak dla przekazującego dane na mocy właściwego prawa o ochronie danych.

Klauzula 9

Prawo właściwe

Prawem właściwym klauzul jest prawo Państwa Członkowskiego przekazującego dane, tj:........................................................................................................

Klauzula 10

Zmiana umowy

Strony zobowiązują się nie dokonywać zmian w warunkach niniejszych klauzul.

Klauzula 11

Obowiązki po zakończeniu usług przetwarzania danych

1. Strony postanawiają, że w sytuacji wypowiedzenia postanowień o usługach przetwarzania danych, odbierający dane zwraca, zgodnie z wyborem przekazującego dane, wszystkie przekazane dane osobowe oraz ich kopie przekazującemu dane lub je niszczy i zaświadcza przekazującemu dane, że to nastąpiło, o ile przepisy obowiązujące wobec odbierającego dane nie zabraniają mu zwrotu całości lub części przekazanych danych osobowych. W takim przypadku odbierający dane daje gwarancję poufności przekazanych danych osobowych i gwarancje tego że nie będzie więcej czynnie ich przetwarzał.

2. Odbierający dane gwarantuje, że na żądanie przekazującego dane i / lub organu nadzorczego, przedstawi swoje narzędzia przetwarzania danych w celu kontroli środków określonych w ust. 1.

W imieniu przekazującego dane:

Nazwisko (pełne imię i nazwisko): ...............................

Stanowisko: .................................

Adres: ...................................

Inne informacje konieczne dla wejścia w życie umowy (jeśli dotyczy):....

Podpis..............

(Pieczęć

W imieniu odbierającego dane:

Nazwisko (pełne imię i nazwisko): ...............................

Stanowisko: .................................

Adres: ...................................

Inne informacje konieczne dla wejścia w życie umowy (jeśli dotyczy):....

Podpis..............

(Pieczęć)

Dodatek 1

do standardowych klauzul umownych

Niniejszy dodatek stanowi część klauzul i musi być wypełniony i podpisany przez Strony.

* Państwa Członkowskie mogą uzupełnić lub wyszczególnić, zgodnie z ich procedurami krajowymi, wszelkie inne informacje, które powinny być zawarte w dodatku)

Przekazujący dane

Przekazujący dane (proszę krótko opisać swoją działalność odnośnie do przekazania danych):

Odbierający dane

Odbierający dane (proszę krótko opisać swoją działalność odnośnie do przekazania danych):

Osoby, których dane dotyczą

Przekazywane dane osobowe dotyczą następujących kategorii osób, których dotyczą dane (proszę wyszczególnić):

Kategorie danych

Przekazywane dane osobowe dotyczą następujących kategorii danych (proszę wyszczególnić):

Dane sensytywne (jeśli dotyczy)

Przekazywane dane osobowe dotyczą następujących kategorii danych sensytywnych (proszę wymienić):

Czynności przetwarzania

Przekazywane dane osobowe są przedmiotem następujących czynności przetwarzania (proszę wymienić):

PRZEKAZUJĄCY DANE ODBIERAJĄCY DANE

Podpis osoby upoważnionej

....................

Dodatek 2

do standardowych klauzul umownych

Niniejszy dodatek stanowi część klauzul i musi być wypełniony i podpisany przez Strony

Określenie technicznych lub organizacyjnych środków ochrony stosowanych przez odbierającego dane zgodnie z klauzulami 4 lit. d) i 5 lit. c) (lub dołączonego dokumentu / przepisu):