KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (¹ ), w szczególności jej art. 26 ust. 4,

po zasięgnięciu opinii Europejskiego Inspektora Ochrony Danych,

a także mając na uwadze, co następuje:

(1) Na mocy dyrektywy 95/46/WE państwa członkowskie są zobowiązane przewidzieć, aby przekazywanie danych osobowych do państw trzecich mogło mieć miejsce tylko, jeżeli dane państwo trzecie zapewnia odpowiedni poziom ochrony danych i jeżeli przepisy prawa państw członkowskich, które są zgodne z innymi przepisami dyrektywy, są przestrzegane zanim nastąpi przekazanie danych.

(2) Artykuł 26 ust. 2 dyrektywy 95/46/WE przewiduje jednak, że państwa członkowskie mogą zezwolić, pod warunkiem przyjęcia określonych gwarancji, na przeprowadzenie operacji przekazania lub zbioru operacji przekazania danych osobowych do państw trzecich, które nie zapewniają właściwego poziomu ochrony. Takie gwarancje mogą w szczególności wynikać z odpowiednich klauzul umownych.

(3) Na mocy dyrektywy 95/46/WE poziom ochrony danych należy oceniać w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zbioru takich operacji. Grupa Robocza ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych powołana na mocy tej dyrektywy wydała wytyczne, mające pomóc w przeprowadzania oceny.

(4) Standardowe klauzule umowne powinny odnosić się tylko do ochrony danych. Podmiot przekazujący i odbierający dane mają więc swobodę włączania innych klauzul dotyczących spraw związanych z ich działalnością gospodarczą, które uważają za właściwe w odniesieniu do danej umowy, o ile nie są one sprzeczne ze standardowymi klauzulami umownymi.

(5) Niniejsza decyzja powinna pozostawać bez uszczerbku dla zezwoleń krajowych, których państwa członkowskie mogą udzielać zgodnie z przepisami prawa krajowego wdrażającymi art. 26 ust. 2 dyrektywy 95/46/WE. Niniejsza decyzja powinna nakładać na państwa członkowskie jedynie wymóg, aby nie odmawiały uznania określonych w niej standardowych klauzul umownych za klauzule zapewniające odpowiednie gwarancje, i nie powinna mieć zatem żadnego skutku w odniesieniu do innych klauzul umownych.

(6) Decyzja Komisji 2002/16/WE z dnia 27 grudnia 2001 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w państwach trzecich na mocy dyrektywy 95/46/WE (² ) została przyjęta w celu ułatwienia przekazywania danych osobowych przez administratora danych prowadzącego działalność gospodarczą w Unii Europejskiej do podmiotu przetwarzającego dane prowadzącego działalność gospodarczą w państwie trzecim, które nie zapewnia odpowiedniego poziomu ochrony.

(7) Od czasu przyjęcia decyzji 2002/16/WE zdobyto duże doświadczenie. Ponadto sprawozdanie z wdrażania decyzji w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich (³ ) wskazywało na wzrost zainteresowania promowaniem stosowania standardowych klauzul umownych w przypadku międzynarodowego przekazywania danych osobowych do państw trzecich, które nie zapewniają właściwego poziomu ochrony. Dodatkowo zainteresowane strony przedstawiły propozycje aktualizacji klauzul umownych określonych w decyzji 2002/16/WE celem uwzględnienia szybko zwiększającego się zakresu działań związanych z przetwarzaniem danych na świecie oraz podjęcia kilku kwestii, które nie zostały objęte wspomnianą decyzją (⁴ ).

(8) Zakres niniejszej decyzji powinien być ograniczony do ustanowienia zasady, że klauzule określone w niniejszej decyzji wykonawczej mogą być stosowane przez administratora danych prowadzącego działalność gospodarczą w Unii Europejskiej w celu powołania się na odpowiednie środki zabezpieczające w rozumieniu art. 26 ust. 2 dyrektywy 95/46/WE w związku z przekazywaniem danych osobowych podmiotom przetwarzającym dane mającym siedzibę w państwie trzecim.

(9) Niniejsza decyzja nie powinna mieć zastosowania do przekazywania danych osobowych przez administratorów danych prowadzących działalność gospodarczą w Unii Europejskiej administratorom prowadzącym działalność gospodarczą poza obszarem Unii Europejskiej, które wchodzi w zakres stosowania decyzji Komisji 2001/497/WE z dnia 15 czerwca 2001 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich, na mocy dyrektywy 95/46/WE (⁵ ).

(10) Niniejsza decyzja powinna stanowić wykonanie obowiązku określonego w art. 17 ust. 3 dyrektywy 95/46/WE bez uszczerbku dla treści umów lub aktów prawnych ustanowionych na mocy tego przepisu. Niektóre standardowe klauzule umowne, w szczególności dotyczące obowiązków podmiotu przekazującego dane, powinny jednak zostać włączone w celu zwiększenia jasności w odniesieniu do postanowień, które mogą być zawarte w umowie między administratorem danych a podmiotem przetwarzającym dane.

(11) Organy nadzorcze państw członkowskich odgrywają kluczową rolę w tym mechanizmie umownym, zapewniając odpowiednią ochronę danych osobowych po przekazaniu. W wyjątkowych przypadkach, jeżeli podmioty przekazujące dane odmawiają poinstruowania podmiotów odbierających dane lub nie są w stanie tego zrobić we właściwy sposób, co wiąże się z bezpośrednim ryzykiem poważnej szkody dla osób, których dane dotyczą, standardowe klauzule umowne powinny umożliwiać organom nadzorczym kontrolę podmiotów odbierających dane i podwykonawców przetwarzania danych oraz, w stosownych przypadkach, podjęcie decyzji wiążących dla podmiotów odbierających dane i podwykonawców przetwarzania danych. Organy nadzorcze powinny być uprawnione do zakazania lub zawieszenia operacji przekazania danych lub zbioru takich operacji wykonywanych na podstawie standardowych klauzul umownych w tych wyjątkowych przypadkach, w których ustalono, że przekazanie na podstawie umowy może mieć istotne negatywne skutki w odniesieniu do gwarancji i obowiązków zapewniających odpowiednią ochronę osób, których dane dotyczą.

(12) Standardowe klauzule umowne powinny przewidywać techniczne i organizacyjne środki bezpieczeństwa, które powinien stosować podmiot przetwarzający dane mający siedzibę w państwie trzecim, które nie zapewnia odpowiedniej ochrony, tak aby zapewnić poziom ochrony odpowiedni do ryzyka, jakie stanowi przetwarzanie i charakter danych podlegających ochronie. Strony powinny zawrzeć w umowie postanowienia dotyczące technicznych i organizacyjnych środków bezpieczeństwa, które, uwzględniając właściwe prawo o ochrony danych, stan wiedzy w tej dziedzinie i koszty ich wdrożenia, są niezbędne w celu ochrony danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą, zmianą, nieupoważnionym ujawnieniem lub dostępem oraz innymi niezgodnymi z prawem formami przetwarzania.

(13) W celu ułatwienia przepływu danych z Unii Europejskiej pożądane jest, by podmioty przetwarzające dane, świadczące usługi przetwarzania danych na rzecz wielu administratorów danych w Unii Europejskiej, mogły stosować te same techniczne i organizacyjne środki bezpieczeństwa bez względu na państwo członkowskie, z którego dane są przekazywane, w szczególności w przypadkach, w których podmiot odbierający dane otrzymuje je do dalszego przetwarzania z różnych miejsc prowadzenia działalności gospodarczej w Unii Europejskiej przez podmioty przekazujące dane; w takich przypadkach powinno mieć zastosowanie prawo wyznaczonego państwa członkowskiego będącego miejscem prowadzenia działalności gospodarczej.

(14) Należy określić minimalny zakres informacji, które strony powinny podać w umowie dotyczącej przekazywania. Państwa członkowskie powinny zachować prawo do szczegółowego określenia informacji, których udzielenia wymaga się od stron umowy. Funkcjonowanie niniejszej decyzji powinno podlegać przeglądowi w świetle zdobywanego doświadczenia.

(15) Podmiot odbierający dane powinien przetwarzać przekazane dane osobowe tylko w imieniu podmiotu przekazującego dane oraz zgodnie z jego instrukcjami i obowiązkami zawartymi w klauzulach. Podmiot odbierający dane nie powinien w szczególności ujawniać danych osobowych osobie trzeciej bez uprzedniej pisemnej zgody podmiotu przekazującego dane. Podmiot przekazujący dane powinien nakazać podmiotowi odbierającemu dane, aby w całym okresie świadczenia usług przetwarzania danych dane były przetwarzane zgodnie z jego instrukcjami, właściwym prawem o ochronie danych i obowiązkami zawartymi w klauzulach.

(16) Sprawozdanie z wdrażania decyzji w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich zawierało zalecenie dotyczące sporządzania odpowiednich standardowych klauzul umownych dotyczących dalszego przekazywania danych przez podmioty przetwarzające dane prowadzące działalność gospodarczą w państwie trzecim innym podmiotom przetwarzającym dane (podwykonawstwo przetwarzania) w celu uwzględnienia tendencji i praktyk gospodarczych w ramach postępującej globalizacji przetwarzania danych.

(17) Niniejsza decyzja powinna zawierać szczegółowe standardowe klauzule umowne dotyczące podzlecania przez podmiot przetwarzający dane prowadzący działalność gospodarczą w państwie trzecim (podmiot odbierający dane) usług przetwarzania danych innym podmiotom przetwarzającym dane (podwykonawcom przetwarzania) prowadzącym działalność gospodarczą w państwach trzecich. Ponadto w niniejszej decyzji należy określić warunki dotyczące podwykonawstwa przetwarzania, jakie muszą zostać spełnione do zapewnienia ciągłej ochrony przekazywanych danych osobowych niezależnie od dalszego przekazywania danych podwykonawcy przetwarzania.

(18) Ponadto podwykonawstwo przetwarzania danych powinno polegać tylko na czynnościach uzgodnionych w umowie zawartej między podmiotem przekazującym a odbierającym dane, zawierającej standardowe klauzule umowne określone w niniejszej decyzji, oraz nie powinno odnosić się do innych operacji lub celów przetwarzania danych, zgodnie z zasadą ograniczenia celu określoną dyrektywą 95/46/WE. Co więcej, jeżeli podwykonawca przetwarzania nie zdoła wypełnić swoich obowiązków zawartych w takiej umowie, podmiot odbierający dane powinien ponosić odpowiedzialność wobec podmiotu przekazującego dane. Przekazanie danych osobowych podmiotom przetwarzającym dane prowadzącym działalność gospodarczą poza Unią Europejską nie powinno mieć wpływu na fakt, że działania związane z przetwarzaniem powinny podlegać właściwemu prawu o ochronie danych.

(19) Egzekwowanie standardowych klauzul umownych powinno być możliwe nie tylko przez organizacje, które są stronami umowy, ale także przez osoby, których dane dotyczą, w szczególności jeżeli osoby te ponoszą szkodę w wyniku naruszenia umowy.

(20) Osoba, której dotyczą dane, powinna mieć prawo do kierowania roszczeń wobec podmiotu przekazującego dane, który jest administratorem przekazanych danych osobowych, i w razie potrzeby uzyskania od niego odszkodowania. W wyjątkowych przypadkach osoba, której dane dotyczą, powinna mieć również prawo do kierowania roszczeń wobec podmiotu odbierającego dane i w razie potrzeby uzyskania od niego odszkodowania w takich przypadkach, wynikających z naruszenia przez niego lub przez podwykonawcę wykonującego przetwarzanie na jego zlecenie któregokolwiek z obowiązków wymienionych w klauzuli 3 pkt 2, w których podmiot przekazujący dane przestał istnieć faktycznie lub formalnie albo stał się niewypłacalny. W wyjątkowych przypadkach osoba, której dane dotyczą, powinna mieć także prawo do kierowania roszczeń wobec podwykonawcy przetwarzania i w razie potrzeby uzyskania od niego odszkodowania, jeżeli zarówno podmiot przekazujący, jak i odbierający dane przestały istnieć faktycznie lub formalnie albo stali się niewypłacalni. Taka odpowiedzialność podwykonawcy przetwarzania wobec osoby trzeciej powinna być ograniczona do jego własnych czynności przetwarzania danych zgodnie z klauzulami umownymi.

(21) Jeżeli spór między osobą, której dotyczą dane i która powołuje się na klauzulę na rzecz osoby trzeciej, oraz podmiotem odbierającym dane nie znajduje polubownego rozwiązania, ten ostatni powinien zapewnić osobie, której dane dotyczą, możliwość wyboru między mediacją a postępowaniem sądowym. Zakres, w jakim osoba, której dotyczą dane, będzie miała rzeczywistą możliwość wyboru, będzie zależał od dostępności wiarygodnych i uznanych systemów mediacji. Mediacja za pośrednictwem organów nadzorczych ochrony danych państwa członkowskiego, w którym podmiot przekazujący dane prowadzi działalność gospodarczą, powinna stanowić możliwy sposób rozwiązania sporu, jeśli organy te zapewniają możliwość skorzystania z takiej usługi.

(22) Umowa powinna podlegać prawu państwa członkowskiego, w którym podmiot przekazujący dane prowadzi działalność gospodarczą, umożliwiając osobie trzeciej, na rzecz której zawarto umowę, jej egzekwowanie. Osoby, których dotyczą dane, powinny mieć prawo do reprezentacji przez stowarzyszenia lub inne organy, jeżeli sobie tego życzą i jeżeli dopuszcza to prawo krajowe. Temu samemu prawu powinny również podlegać postanowienia dotyczące ochrony danych jakiejkolwiek umowy z podwykonawcą przetwarzania dotyczącej działalności związanej z podwykonawstwem przetwarzania danych osobowych przekazywanych podmiotowi odbierającemu dane przez podmiot przekazujący dane na podstawie klauzul umownych.

(23) Niniejsza decyzja ma zastosowanie wyłącznie do sytuacji, w której podmiot przetwarzający dane prowadzący działalność gospodarczą w państwie trzecim podzleca wykonanie czynności przetwarzania danych podwykonawcy przetwarzania danych prowadzącemu działalność w państwie trzecim, a zatem nie powinna ona mieć zastosowania do sytuacji, w której podmiot przetwarzający dane prowadzący działalność gospodarczą w Unii Europejskiej i przetwarzający dane osobowe w imieniu administratora prowadzącego działalność gospodarczą w Unii Europejskiej podzleca wykonanie czynności przetwarzania danych podwykonawcy przetwarzania prowadzącemu działalność gospodarczą w państwie trzecim. W takich sytuacjach państwa członkowskie mają swobodę co do tego, czy uwzględnić fakt, że zasady i gwarancje standardowych klauzul umownych określonych w niniejszej decyzji zostały zastosowane do zlecenia podwykonawcy przetwarzania danych prowadzącemu działalność gospodarczą w państwie trzecim z zamiarem zapewnienia odpowiedniej ochrony praw osób, których dane dotyczą, a których dane osobowe są przekazywane dla celów czynności podwykonawstwa przetwarzania danych.

(24) Grupa Robocza ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, powołana na mocy art. 29 dyrektywy 95/46/WE, wydała opinię o poziomie ochrony zapewnionym przez standardowe klauzule umowne, załączone do niniejszej decyzji, którą uwzględniono przy sporządzaniu niniejszej decyzji.

(25) Należy uchylić decyzję 2002/16/WE.

(26) Środki przewidziane w niniejszej decyzji są zgodne z opinią Komitetu ustanowionego na mocy art. 31 dyrektywy 95/46/WE,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł 1

Standardowe klauzule umowne określone w załączniku uważa się za zapewniające odpowiednie gwarancje ochrony prywatności oraz podstawowych praw i wolności osób fizycznych oraz wykonywania odpowiednich praw zgodnie wymogami art. 26 ust. 2 dyrektywy 95/46/WE.

Artykuł 2

Niniejsza decyzja dotyczy jedynie odpowiedniego poziomu ochrony zapewnionej przez standardowe klauzule umowne określone w załączniku dotyczące przekazywania danych osobowych. Nie ma ona wpływu na stosowanie innych przepisów prawa krajowego wdrażających dyrektywę 95/46/WE, które dotyczą przetwarzania danych osobowych w państwach członkowskich.

Niniejsza decyzja ma zastosowanie do przekazywania danych osobowych przez administratorów danych prowadzących działalność gospodarczą w Unii Europejskiej do podmiotów odbierających dane prowadzących działalność gospodarczą poza Unią Europejską, którzy działają jedynie jako przetwarzający dane.

Artykuł 3

Do celów niniejszej decyzji stosuje się poniższe definicje:

a) „szczególne kategorie danych” oznaczają dane, o których mowa w art. 8 dyrektywy 95/46/WE;

b) „organ nadzorczy” oznacza organ, o którym mowa w art. 28 dyrektywy 95/46/WE;

c) „podmiot przekazujący dane” oznacza administratora danych, który przekazuje dane osobowe;

d) „podmiot odbierający dane” oznacza administratora danych prowadzącego działalność gospodarczą w państwie trzecim, który wyraża zgodę na otrzymywanie od podmiotu przekazującego danych osobowych w celu ich przetwarzania w imieniu podmiotu przekazującego po przekazaniu zgodnie z instrukcjami tego ostatniego i warunkami określonymi w niniejszej decyzji i który nie podlega systemowi państwa trzeciego zapewniającemu odpowiednią ochronę w rozumieniu art. 25 ust. 1 dyrektywy 95/46/WE;

e) „podwykonawca przetwarzania” oznacza jakikolwiek podmiot działający na zlecenie podmiotu odbierającego dane lub innego podwykonawcy przetwarzania realizującego zlecenie podmiotu odbierającego dane, który wyraża zgodę na otrzymywanie, od podmiotu odbierającego dane lub innego podwykonawcy przetwarzania realizującego zlecenie podmiotu odbierającego, danych osobowych przeznaczonych wyłącznie do ich przetworzenia w imieniu podmiotu przekazującego po przekazaniu zgodnie z instrukcjami tego ostatniego, standardowymi klauzulami umownymi ustalonymi w załączniku i warunkami sporządzonej na piśmie umowy o podwykonawstwo;

f) „właściwe prawo o ochronie danych” oznacza prawodawstwo chroniące podstawowe prawa i wolności osób fizycznych, a w szczególności ich prawo do prywatności w odniesieniu do przetwarzania danych osobowych, właściwe dla administratora danych w państwie członkowskim, w którym podmiot przekazujący dane prowadzi działalność gospodarczą;

g) „techniczne i organizacyjne środki bezpieczeństwa” oznaczają takie środki, których celem jest ochrona danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą, zmianą, nieupoważnionym ujawnieniem lub dostępem, w szczególności jeżeli przetwarzanie obejmuje przekazywanie danych za pomocą sieci oraz przed innymi niezgodnymi z prawem formami przetwarzania.

Artykuł 4

[1] W przypadku gdy właściwe organy w państwach członkowskich wykonują swoje uprawnienia na podstawie art. 28 ust. 3 dyrektywy 95/46/WE, co prowadzi do zawieszenia lub ostatecznego zakazu przepływu danych do państw trzecich w celu ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych, dane państwo członkowskie bezzwłocznie informuje o tym Komisję, która przekazuje tę informację pozostałym państwom członkowskim.

Artykuł 5

Komisja ocenia funkcjonowanie niniejszej decyzji na podstawie dostępnych informacji trzy lata po jej przyjęciu. Komisja przedstawia sprawozdanie z ustaleń Komitetowi ustanowionemu na mocy art. 31 dyrektywy 95/46/WE. Sprawozdanie to obejmuje wszelkie dowody, które mogą mieć wpływ na ocenę odpowiedniego charakteru standardowych klauzul umownych zawartych w załączniku i wszelkie dowody wskazujące na dyskryminacyjny sposób stosowania niniejszej decyzji.

Artykuł 6

Niniejszą decyzję stosuje się od dnia 15 maja 2010 r.

Artykuł 7

1. Decyzja 2002/16/WE traci moc z dniem 15 maja 2010 r.

2. Umowa zawarta między podmiotem przekazującym a odbierającym dane na mocy decyzji 2002/16/WE przed dniem 15 maja 2010 r. pozostaje w mocy i obowiązuje dopóty, dopóki czynności przekazywania i przetwarzania danych, które są przedmiotem umowy, pozostają niezmienione, a dane osobowe objęte niniejszą decyzją są nadal przekazywane między stronami. Jeżeli umawiające się strony zdecydują o dokonaniu zmian w tym zakresie lub podzleceniu wykonania czynności przetwarzania danych, które są przedmiotem umowy, wymaga się zawarcia nowej umowy zgodnej ze standardowymi klauzulami umownymi określonymi w załączniku.

Artykuł 8

Niniejsza decyzja jest skierowana do państw członkowskich.

Sporządzono w Brukseli dnia 5 lutego 2010 r.