EUR-Lex El acceso al Derecho de la Unión Europea
Este documento es un extracto de la web EUR-Lex
Documento 02001D0497-20161217
Commission Decision of 15 June 2001 on standard contractual clauses for the transfer of personal data to third countries, under Directive 95/46/EC (notified under document number C(2001) 1539) (Text with EEA relevance) (2001/497/EC)
Texto consolidado: Komission päätös , tehty 15 päivänä kesäkuuta 2001 , direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen kolmansiin maihin siirtoa varten (tiedoksiannettu numerolla K(2001) 1539) (ETA:n kannalta merkityksellinen teksti) (2001/497/EY)
Komission päätös , tehty 15 päivänä kesäkuuta 2001 , direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen kolmansiin maihin siirtoa varten (tiedoksiannettu numerolla K(2001) 1539) (ETA:n kannalta merkityksellinen teksti) (2001/497/EY)
Ya no está vigente
02001D0497 — FI — 17.12.2016 — 002.001
Tämä asiakirja on ainoastaan dokumentoinnin apuväline eikä sillä ole oikeudellista vaikutusta. Unionin toimielimet eivät vastaa sen sisällöstä. Säädösten todistusvoimaiset versiot on johdanto-osineen julkaistu Euroopan unionin virallisessa lehdessä ja ne ovat saatavana EUR-Lexissä. Näihin virallisiin teksteihin pääsee suoraan tästä asiakirjasta siihen upotettujen linkkien kautta.
|
KOMISSION PÄÄTÖS, tehty 15 päivänä kesäkuuta 2001, direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen kolmansiin maihin siirtoa varten (tiedoksiannettu numerolla K(2001) 1539) (ETA:n kannalta merkityksellinen teksti) (EUVL L 181 4.7.2001, s. 19) |
Muutettu:
|
|
|
Virallinen lehti |
||
|
N:o |
sivu |
päivämäärä |
||
|
KOMISSION PÄÄTÖS, 2004/915/EY tehty 27 päivänä joulukuuta 2004, |
L 385 |
74 |
29.12.2004 |
|
|
L 344 |
100 |
17.12.2016 |
||
KOMISSION PÄÄTÖS,
tehty 15 päivänä kesäkuuta 2001,
direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen kolmansiin maihin siirtoa varten
(tiedoksiannettu numerolla K(2001) 1539)
(ETA:n kannalta merkityksellinen teksti)
(2001/497/EY)
1 artikla
Liitteessä olevien mallisopimuslausekkeiden katsotaan antavan direktiivin 95/46/EY 26 artiklan 2 kohdassa edellytetyt riittävät takeet henkilöiden yksityisyyden suojasta ja perusoikeuksien ja -vapauksien suojasta sekä vastaavien oikeuksien soveltamisesta.
Rekisterinpitäjät voivat valita kumman tahansa liitteessä olevista lausekekokonaisuuksista I tai II. Ne eivät kuitenkaan voi muuttaa lausekkeita eivätkä yhdistää yksittäisiä lausekkeita tai lausekekokonaisuuksia.
2 artikla
Tämä päätös koskee ainoastaan mallisopimuslausekkeiden antaman suojan riittävyyttä henkilötietojen siirron osalta. Päätös ei vaikuta direktiivin 95/46/EY täytäntöön panemiseksi annettujen muiden henkilötietojen käsittelyä jäsenvaltioissa koskevien kansallisten säännösten soveltamiseen.
Tätä päätöstä ei sovelleta yhteisöön sijoittautuneen rekisterinpitäjän suorittamaan henkilötietojen siirtoon vastaanottajille, jotka ovat sijoittautuneet yhteisön alueen ulkopuolelle ja jotka toimivat ainoastaan henkilötietojen käsittelijöinä.
3 artikla
Tässä päätöksessä:
a) sovelletaan direktiivin 95/46/EY määritelmiä;
b) ’erityisillä tietoryhmillä’ tarkoitetaan direktiivin 95/46/EY 8 artiklassa tarkoitettua tietoa;
c) ’valvontaviranomaisella’ tarkoitetaan direktiivin 95/46/EY 28 artiklassa tarkoitettua viranomaista;
d) ’tietojen viejällä’ tarkoitetaan rekisterinpitäjää, joka siirtää henkilötietoja;
e) ’tietojen tuojalla’ tarkoitetaan rekisterinpitäjää, joka suostuu vastaanottamaan henkilötietoja tietojen viejältä käsitelläkseen niitä myöhemmin tämän päätöksen ehtojen mukaisesti.
4 artikla
Kun jäsenvaltioiden toimivaltaiset viranomaiset käyttävät direktiivin 95/46/EY 28 artiklan 3 kohdan mukaisia toimivaltuuksiaan ja tästä seuraa se, että tiedonsiirrot kolmansiin maihin keskeytetään väliaikaisesti tai kielletään kokonaan yksilöiden suojelemiseksi heidän henkilötietojensa käsittelyssä, asianomaisen jäsenvaltion on viipymättä ilmoitettava asiasta komissiolle, joka välittää tiedon edelleen muille jäsenvaltioille.
5 artikla
►M1 Komissio arvioi tämän päätöksen toimintaa käytettävissä olevien tietojen pohjalta kolmen vuoden kuluttua sen ja sitä koskevien muutosten tiedoksiantamisesta jäsenvaltioille. ◄ Komissio antaa direktiivin 95/46/EY 31 artiklalla perustetulle komitealle tiedoksi kaikki havainnot. Niihin kuuluu myös sellaiset todisteet, jotka voivat vaikuttaa mallisopimuslausekkeiden arviointiin, sekä todisteet tämän päätöksen mahdollisesti syrjivästä täytäntöönpanosta.
6 artikla
Tätä päätöstä sovelletaan 3 päivästä syyskuuta 2001 lähtien.
7 artikla
Tämä päätös on osoitettu kaikille jäsenvaltioille.
LIITE
KOKONAISUUS I
Lisäys 1
mallisopimuslausekkeisiin
Lisäys 2
mallisopimuslausekkeisiin
Pakolliset tietosuojaperiaatteet, joita tarkoitetaan lausekkeen 5 b ensimmäisessä kohdassa
Nämä tietosuojaperiaatteet olisi luettava ja tulkittava direktiivin 95/46/EY säännösten (periaatteiden ja asiaa koskevien poikkeusten) mukaisesti.
Niitä sovelletaan, jollei muuta johdu tietojen tuojaan sovellettavan kansallisen lainsäädännön pakollisista vaatimuksista, jotka eivät mene pidemmälle kuin on tarpeen demokraattisessa yhteiskunnassa jonkin direktiivin 95/46/EY 13 artiklan 1 kohdassa luetellun perusteen kannalta, toisin sanoen jos ne muodostavat tarpeellisen toimenpiteen suojaamaan valtion turvallisuutta, puolustusta, yleistä turvallisuutta, rikosten tai säännellyn ammattitoiminnan osalta, ammattietiikan rikkomusten torjuntaa, tutkintaa, selvittämistä ja syyteharkintaa, jäsenvaltiolle tärkeää taloudellista tai rahoituksellista etua, taikka rekisteröidyn suojelua tai muiden oikeuksia ja vapauksia.
1. Tarkoituksen rajoittaminen: Tietoja on käsiteltävä ja sen jälkeen käytettävä tai luovutettava edelleen ainoastaan lisäyksen 1 mukaisia erityistarkoituksia varten. Tietoja ei saa säilyttää kauemmin kuin on tarpeen siirron tarkoituksia varten.
2. Tiedon laatu ja suhteellisuus: Tietojen on oltava täsmällisiä ja ne on tarvittaessa saatettava ajan tasalle. Tietojen on oltava riittäviä ja asiaankuuluvia eikä niitä saa olla liikaa suhteessa siirron tai edelleen käsittelyn tarkoituksiin.
3. Avoimuus: Rekisteröidyille on ilmoitettava tietojen käsittelyn tarkoitukset ja kolmannen maan rekisterinpitäjän nimi sekä muita tietoja sikäli kuin ne ovat tarpeen käsittelyn oikeudenmukaisuuden varmistamiseksi, jollei tietojen viejä ole jo antanut näitä tietoja.
4. Turvallisuus ja salassapito: Rekisterinpitäjän on huolehdittava teknisistä ja organisatorisista turvatoimista, jotka vastaavat käsittelyyn liittyviä riskejä, kuten tietojen luvatonta käyttöä. Rekisterinpitäjän lukuun toimiva henkilö, mukaan lukien henkilötietojen käsittelijä, saa käsitellä tietoja ainoastaan rekisterinpitäjän määräyksestä.
5. Tiedonsaantioikeus, tietojen oikaiseminen, suojaaminen ja poistaminen: Direktiivin 95/46/EY 12 artiklan mukaisesti rekisteröidyllä on oltava oikeus saada kaikki itseään koskevat tiedot, joita käsitellään, ja tapauskohtaisesti oikeus saada sellaiset tiedot oikaistuksi, poistetuksi tai suojatuksi, joiden käsittely ei täytä tässä lisäyksessä asetettuja periaatteita erityisesti tietojen puutteellisuuden tai virheellisyyden vuoksi. Rekisteröidyllä olisi oltava myös mahdollisuus vastustaa itseään koskevien tietojen käsittelyä tilanteeseensa liittyvien huomattavan tärkeiden ja oikeutettujen perusteiden nojalla.
6. Rajoitukset edelleen siirroissa: Henkilötietojen edelleen siirrot voivat tapahtua ainoastaan tietojen tuojalta toiselle rekisterinpitäjälle, joka on sijoittautunut kolmanteen maahan, jossa riittävää suojaa ei taata tai jota ei koske direktiivin 95/46/EY 25 artiklan 6 kohdan mukaisesti tehty komission päätös (edelleen siirto), jos joko:
a) Rekisteröidyt ovat antaneet yksiselitteisen hyväksyntänsä edelleen siirrolle, jos kyseessä ovat erityiset tietoryhmät, tai muissa tapauksissa rekisteröidyille on annettu mahdollisuus kieltää tietojen edelleen siirto.
Rekisteröidyille annettaviin vähimmäistietoihin on sisällyttävä rekisteröityjen ymmärtämällä kielellä:
— edelleen siirron tarkoitukset,
— yhteisöön sijoittautuneen tietojen viejän tunnistetiedot,
— edelleen siirrettävien tietojen vastaanottajaryhmät ja määrämaat, sekä
— selvitys siitä, että edelleen siirron jälkeen tietoja voi käsitellä rekisterinpitäjä, joka on sijoittautunut maahan, jossa henkilöiden yksityisyyden suojan taso ei ole riittävä; tai
b) tietojen viejä ja tietojen tuoja hyväksyvät, että toinen rekisterinpitäjä liittyy lausekkeisiin ja että tästä näin ollen tulee näiden lausekkeiden osapuoli, joka sitoutuu noudattamaan samoja velvoitteita kuin tietojen tuoja.
7. Erityiset tietoryhmät: Kun käsitellään tietoja, jotka koskevat rotua tai etnistä alkuperää, poliittisia mielipiteitä, uskonnollista tai filosofista vakaumusta tai ammattiliittoon kuulumista, sekä terveyteen ja seksuaaliseen käyttäytymiseen liittyviä tietoja ja tietoja, jotka liittyvät rikkomuksiin, rikostuomioihin tai turvallisuustoimenpiteisiin, olisi toteutettava direktiivissä 95/46/EY tarkoitettuja lisäsuojatoimia ja erityisesti asianmukaisia turvatoimia, joita ovat muun muassa siirtojen selaaminen ja arkaluonteisten tietojen käytön kirjaaminen.
8. Suoramarkkinointi: Kun tietoja käsitellään suoramarkkinointia varten, käytettävissä on oltava tehokkaat menettelyt, joiden avulla rekisteröity voi milloin tahansa kieltää henkilötietojensa käytön sellaisiin tarkoituksiin.
9. Automatisoidut yksittäispäätökset: Rekisteröidyllä on oikeus olla joutumatta yksinomaan tietojen automatisoituun käsittelyyn perustuvan päätöksen kohteeksi, jollei yksilön oikeutetun edun suojaamiseksi toteuteta muita toimenpiteitä direktiivin 95/46/EY 15 artiklan 2 kohdan mukaisesti. Kun tietoja siirretään direktiivin 95/46/EY 15 artiklassa tarkoitetun automatisoidun yksittäispäätöksen tekemiseksi, josta aiheutuisi hänelle oikeudellisia vaikutuksia tai joka vaikuttaisi häneen merkittävällä tavalla ja joka olisi tehty ainoastaan automaattisen tietojenkäsittelyn perusteella ja joka olisi tarkoitettu hänen tiettyjen henkilökohtaisten ominaisuuksiensa, kuten muun muassa hänen ammatillisen suorituskykynsä, luottokelpoisuutensa, luotettavuutensa ja käyttäytymisensä arviointiin, yksilöllä on oltava oikeus tietää päätöksen perustelut.
Lisäys 3
mallisopimuslausekkeisiin
Pakolliset tietosuojaperiaatteet, joita tarkoitetaan lausekkeen 5 b toisessa kohdassa
1. Tarkoituksen rajoittaminen: Tietoja on käsiteltävä ja sen jälkeen käytettävä tai luovutettava edelleen ainoastaan lisäyksen 1 mukaisia erityistarkoituksia varten. Tietoja ei saa säilyttää kauemmin kuin on tarpeen siirron tarkoituksia varten.
2. Tiedonsaantioikeus, tietojen oikaiseminen, suojaaminen ja poistaminen: Direktiivin 95/46/EY 12 artiklan säännöksen mukaisesti rekisteröidyllä on oltava oikeus saada kaikki itseään koskevat tiedot, joita käsitellään, ja tapauskohtaisesti oikeus saada sellaiset tiedot oikaistuksi, poistetuksi tai suojatuksi, joiden käsittely ei täytä tässä lisäyksessä asetettuja periaatteita erityisesti tietojen puutteellisuuden tai virheellisyyden vuoksi. Rekisteröidyllä olisi oltava myös mahdollisuus vastustaa itseään koskevien tietojen käsittelyä tilanteeseensa liittyvien huomattavan tärkeiden ja oikeutettujen perusteiden nojalla.
3. Rajoitukset edelleen siirroissa: Henkilötietojen edelleen siirrot voivat tapahtua ainoastaan tietojen tuojalta toiselle rekisterinpitäjälle, joka on sijoittautunut kolmanteen maahan, jossa riittävää suojaa ei taata, jos joko:
a) Rekisteröidyt ovat antaneet yksiselitteisen hyväksyntänsä edelleen siirrolle, jos kyseessä ovat erityiset tietoryhmät, tai muissa tapauksissa rekisteröidyille on annettu mahdollisuus kieltää tietojen edelleen siirto.
Rekisteröidyille annettaviin vähimmäistietoihin on sisällyttävä rekisteröityjen ymmärtämällä kielellä:
— edelleen siirron tarkoitukset,
— yhteisöön sijoittautuneen tietojen viejän tunnistetiedot,
— edelleen siirrettävien tietojen vastaanottajaryhmät ja määrämaat, sekä
— selvitys siitä, että edelleen siirron jälkeen tietoja voi käsitellä rekisterinpitäjä, joka on sijoittautunut maahan, jossa henkilöiden yksityisyyden suojan taso ei ole riittävä, tai
b) tietojen viejä ja tietojen tuoja hyväksyvät, että toinen rekisterinpitäjä liittyy lausekkeisiin ja että tästä näin ollen tulee näiden lausekkeiden osapuoli, joka sitoutuu noudattamaan samoja velvoitteita kuin tietojen tuoja.
KOKONAISUUS II
Mallisopimuslausekkeet henkilötietojen siirtämiseksi yhteisöstä kolmansiin maihin (rekisterinpitäjien väliset siirrot)
Tiedonsiirtosopimus
seuraavien tahojen välillä:
_ (nimi)
_ (osoite ja sijoittautumismaa)
jäljempänä ’tietojen viejä’
ja
_ (nimi)
_ (osoite ja sijoittautumismaa)
jäljempänä ’tietojen tuoja’
kumpikin on ’sopimuspuoli’, yhdessä ’sopimuspuolet’
Määritelmät
Lausekkeissa tarkoitetaan:
a) ’henkilötiedoilla’, ’erityisillä tietoryhmillä / arkaluonteisilla tiedoilla’, ’käsittelyllä’, ’rekisterinpitäjällä’, ’käsittelijällä’, ’rekisteröidyllä’ ja ’valvontaviranomaisella’ samaa kuin 24 päivänä lokakuuta 1995 annetussa direktiivissä 95/46/EY (’viranomaisella’ tarkoitetaan toimivaltaista tietosuojaviranomaista alueella, johon tietojen viejä on sijoittautunut);
b) ’tietojen viejällä’ rekisterinpitäjää, joka siirtää henkilötietoja;
c) ’tietojen tuojalla’ rekisterinpitäjää, joka sopii henkilötietojen vastaanottamisesta tietojen viejältä edelleen käsittelyä varten näiden lausekkeiden ehtojen mukaisesti ja jota ei koske riittävän suojan takaava kolmannen maan järjestelmä;
d) ’lausekkeilla‘ näitä sopimuslausekkeita, jotka muodostavat itsenäisen asiakirjan, johon eivät sisälly sopimuspuolten erillisten kaupankäyntijärjestelyiden mukaisesti vahvistamat kaupalliset ehdot.
Tiedon siirtoja (sekä soveltamisalaan kuuluvia henkilötietoja) koskevat yksityiskohdat annetaan liitteessä B, joka on kiinteä osa lausekkeita.
I. Tietojen viejän velvollisuudet
Tietojen viejä hyväksyy ja takaa, että
a) henkilötiedot on kerätty, käsitelty ja siirretty tietojen viejään sovellettavan lainsäädännön mukaisesti;
b) se on pyrkinyt parhaansa mukaan varmistamaan, että tietojen tuoja pystyy täyttämään näiden lausekkeiden mukaiset oikeudelliset velvoitteensa;
c) se toimittaa pyydettäessä tietojen tuojalle kopiot asiaan liittyvistä tietojen viejän sijoittautumismaan tietosuojalaeista tai viitteet niihin (tarvittaessa; tämä ei koske oikeudellista neuvontaa);
d) se vastaa rekisteröidyn ja viranomaisen tiedusteluihin, jotka koskevat tietojen tuojan suorittamaa henkilötietojen käsittelyä, elleivät sopimuspuolet ole sopineet, että tietojen tuoja hoitaa vastaamisen, jolloin tietojen viejä edelleenkin vastaa siinä määrin kuin se on kohtuullisesti katsottuna mahdollista ja jos se saa tiedot käyttöönsä kohtuullisen helposti, jos tietojen tuoja on haluton tai ei pysty vastaamaan; vastaukset on annettava kohtuullisessa ajassa;
e) se toimittaa pyynnöstä kopion lausekkeista rekisteröidyille, jotka ovat edunsaajina olevia kolmansia osapuolia lausekkeen III mukaisesti, elleivät lausekkeet sisällä luottamuksellista tietoa, jolloin se voi poistaa tällaiset tiedot. Jos tietoja on poistettu, tietojen viejä ilmoittaa rekisteröidyille kirjallisesti poistamisen syistä ja rekisteröityjen oikeudesta saattaa poistaminen viranomaisen tietoon. Tietojen viejää sitoo kuitenkin viranomaisen päätös, joka koskee lausekkeiden täydellisen tekstin antamista rekisteröidyille, jos rekisteröidyt ovat luvanneet noudattaa poistetun luottamuksellisen tekstin luottamuksellisuutta. Tietojen viejän on toimitettava pyydettäessä kopio lausekkeista myös viranomaiselle.
II. Tietojen tuojan velvollisuudet
Tietojen tuoja hyväksyy ja takaa, että
a) se toteuttaa asianmukaisia teknisiä ja organisatorisia toimenpiteitä, joilla suojataan henkilötiedot tahattomalta tai luvattomalta tuhoamiselta, tahattomalta häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai tietoihin pääsyltä ja jotka tarjoavat asianmukaisen turvallisuustason suojattavien tietojen käsittelyn ja luonteen edustamaan riskiin nähden;
b) sillä on käytössään menettelyt, joilla varmistetaan, että kaikki kolmannet osapuolet, joille tietojen tuoja sallii pääsyn henkilötietoihin, käsittelijät mukaan luettuina, noudattavat ja pitävät yllä henkilötietojen luottamuksellisuutta ja suojaa. Kaikki tietojen tuojan lukuun toimivat henkilöt, myös tiedon käsittelijät, saavat käsitellä henkilötietoja vain tietojen tuojan luvalla. Tämä ei koske henkilöitä, joilla lain tai asetuksen perusteella on oikeus tai velvollisuus saada henkilötietoja;
c) sillä ei ole syytä olettaa, että näiden lausekkeiden tullessa voimaan voimassa olisi paikallisia lakeja, joilla olisi merkittävää haitallista vaikutusta lausekkeilla annettaviin takeisiin, ja se ilmoittaa tietojen viejälle (joka välittää tämän ilmoituksen viranomaiselle, jos sitä vaaditaan), jos se saa tietoa tällaisista laeista;
d) se käsittelee henkilötietoja liitteessä B esitettyjä tarkoituksia varten, ja sillä on sellainen oikeudellinen toimivalta, että se voi antaa takeet ja sitoumukset, jotka on esitetty näissä lausekkeissa;
e) se osoittaa tietojen viejälle organisaatiossaan yhteystahon, jolla on valtuudet vastata henkilötietojen käsittelyä koskeviin tiedusteluihin, ja se tekee vilpitöntä yhteistyötä tietojen viejän, rekisteröidyn ja viranomaisen kanssa vastatakseen tiedusteluihin kohtuullisessa ajassa. Jos tietojen viejän toiminta lakkautetaan tai jos sopimuspuolet ovat niin sopineet, tietojen tuoja vastaa lausekkeen I kohdan e määräysten noudattamisesta;
f) se toimittaa tietojen viejän pyynnöstä tälle todisteet riittävistä varoista, jotta se voi hoitaa lausekkeen III mukaiset velvoitteensa (joihin saattaa sisältyä vakuutusturva);
g) se antaa tietojen viejän perustellun pyynnön perusteella käsittelyyn vaadittavat tietojenkäsittelyjärjestelmät, tietueet ja asiakirjat tietojen viejän (tai sen valitsemien riippumattomien tai puolueettomien tarkastuselimien tai tarkastajien, joiden valintaa tietojen tuoja ei ole perustellusti vastustanut) tutkittaviksi, tarkastettaviksi ja/tai sertifioitaviksi, jotta varmistetaan lausekkeiden mukaisten takeiden ja sitoumusten noudattaminen; tarkastuksesta on ilmoitettava kohtuullisessa ajassa etukäteen ja se on tehtävä tavanomaisena työaikana. Pyyntö edellyttää tietojen tuojan sijoittautumismaan sääntely- tai valvontaviranomaiselta mahdollisesti tarvittavaa suostumusta tai hyväksyntää, jonka tietojen tuoja pyrkii saamaan mahdollisimman pikaisesti;
h) se käsittelee henkilötietoja valintansa mukaan
i) tietojen viejän sijoittautumismaan tietosuojalakien mukaisesti; tai
ii) direktiivin 95/46/EY 25 artiklan 6 kohdan nojalla tehdyn minkä tahansa komission päätöksen asiaa koskevien säännösten ( 1 ) mukaisesti, jolloin tietojen tuoja noudattaa tällaisen luvan tai päätöksen asiaa koskevia säännöksiä ja on sijoittautunut maahan, jossa tällaista lupaa tai päätöstä sovelletaan, mutta ei kuulu luvan tai päätöksen soveltamisalaan henkilötietojen siirtojen ( 2 ) osalta; tai
iii) liitteessä A esitettyjen tiedonkäsittelyperiaatteiden mukaisesti.
Tietojen tuojan valitsema vaihtoehto:_
Tietojen tuojan nimikirjaimet:_;
i) se ei luovuta tai siirrä henkilötietoja Euroopan talousalueen (ETA:n) ulkopuolella sijaitsevalle kolmantena osapuolena olevalle rekisterinpitäjälle ilmoittamatta siirrosta tietojen viejälle, ja
i) kolmantena osapuolena oleva rekisterinpitäjä käsittelee henkilötietoja komission sellaisen päätöksen mukaisesti, jossa kolmannen maan todetaan takaavan riittävä henkilötietojen suoja; tai
ii) kolmantena osapuolena oleva rekisterinpitäjä allekirjoittaa nämä lausekkeet tai jonkin muun tiedonsiirtosopimuksen, jonka toimivaltainen viranomainen hyväksyy EU:ssa; tai
iii) rekisteröidyillä on ollut mahdollisuus vastustaa tietojen käsittelyä, kun heille on ilmoitettu siirron tarkoituksista, vastaanottajien ryhmistä ja siitä, että maissa, joihin tietoja viedään, saattaa olla erilaiset tietosuojavaatimukset; tai
iv) arkaluontoisten tietojen edelleensiirtojen osalta rekisteröidyt ovat antaneet yksiselitteisen suostumuksen edelleensiirtoa varten.
III. Vastuu ja kolmannen osapuolen oikeudet
a) Kumpikin sopimuspuoli on vastuussa toiselle sopimuspuolelle vahingoista, jotka ovat aiheutuneet näiden lausekkeiden rikkomisesta. Sopimuspuolten välinen vastuu rajoittuu todellisuudessa kärsittyihin vahinkoihin. Rankaisevat vahingonkorvaukset (eli vahingonkorvaukset, joilla on tarkoitus rangaista sopimuspuolta sopimattomasta käytöksestä) on nimenomaisesti jätetty soveltamisalan ulkopuolelle. Kumpikin sopimuspuoli on vastuussa rekisteröidyille vahingoista, jotka ovat aiheutuneet siitä, että sopimuspuolet ovat rikkoneet näiden lausekkeiden mukaisia kolmannen osapuolen etua suojaavia oikeuksia. Tämä ei vaikuta tietojen viejän vastuuseen siihen sovellettavan tietosuojalain mukaisesti.
b) Sopimuspuolet sopivat, että rekisteröidyllä – kolmantena osapuolena olevana edunsaajana – on oikeus vaatia tietojen tuojaa tai tietojen viejää panemaan tämä lauseke ja lausekkeet I b, I d, I e, II a, II c, II d, II e, II h, II i, III a, V, VI d ja VII täytäntöön, jos ne ovat rikkoneet sopimusvelvoitteitaan rekisteröidyn henkilötietojen osalta, ja hyväksyvät tietojen viejän sijoittautumismaan tuomiovallan asiassa. Tapauksissa, joissa esitetään väitteitä tietojen tuojan sopimusrikkomuksesta, rekisteröidyn täytyy ensin pyytää tietojen viejää toteuttamaan asianmukaiset toimet, jotta tietojen tuoja panisi rekisteröidyn oikeudet täytäntöön; ellei tietojen viejä toteuta tällaisia toimia kohtuullisen ajan kuluessa (joka tavanomaisissa olosuhteissa olisi yksi kuukausi), rekisteröity voi vaatia oikeuksiensa täytäntöönpanoa suoraan tietojen tuojalta. Rekisteröidyllä on oikeus ryhtyä oikeustoimiin suoraan sellaista tietojen viejää vastaan, joka ei ole pyrkinyt parhaansa mukaan varmistamaan, että tietojen tuoja pystyy täyttämään lausekkeiden mukaiset oikeudelliset velvoitteensa (tietojen viejällä on todistustaakka osoittaa, että se on toiminut parhaan kykynsä mukaan).
IV. Lausekkeisiin sovellettava lainsäädäntö
Näihin lausekkeisiin sovelletaan sen maan lainsäädäntöä, johon tietojen viejä on sijoittautunut; poikkeuksena ovat lausekkeen II kohdan h mukaiset tietojen tuojan harjoittamaa tietojen käsittelyä koskevat lait ja asetukset, joita sovelletaan vain, jos tietojen tuoja on niin valinnut kyseisen lausekkeen mukaisesti.
V. Riitojen ratkaisu rekisteröityjen tai viranomaisen kanssa
a) Kun kyseessä on rekisteröidyn tai viranomaisen esiin ottama henkilötietojen käsittelyä koskeva riita-asia tai vaatimus, joka kohdistuu toiseen tai molempiin sopimuspuoliin, sopimuspuolet ilmoittavat toisilleen tällaisista riita-asioista tai vaatimuksista ja tekevät yhteistyötä, jotta niissä päästäisiin sovintoratkaisuun mahdollisimman pikaisesti.
b) Sopimuspuolet sopivat vastaavansa yleisesti käytössä olevaan ei-sitovaan välitysmenettelyyn, jonka rekisteröity tai viranomainen on käynnistänyt. Jos sopimuspuolet osallistuvat menettelyyn, ne voivat tehdä niin olematta paikan päällä (esimerkiksi puhelimitse tai muuta sähköistä välinettä käyttäen). Sopimuspuolet sopivat myös, että ne harkitsevat osallistumista muuhun sovittelu-, välitys- tai riitojenratkaisumenettelyyn, joka on tarkoitettu tietosuojariitoja varten.
c) Sopimuspuolet noudattavat tietojen viejän sijoittautumismaan toimivaltaisen tuomioistuimen tai viranomaisen päätöstä, joka on lopullinen ja josta ei voi valittaa.
VI. Sopimuksen päättyminen
a) Jos tietojen tuoja rikkoo näiden lausekkeiden mukaisia velvoitteitaan, tietojen viejä voi tilapäisesti keskeyttää henkilötietojen siirron tietojen tuojalle, kunnes rikkominen päättyy, tai sopimus päätetään.
b) Siinä tapauksessa, että
i) tietojen viejä on tilapäisesti keskeyttänyt henkilötietojen siirron tietojen tuojalle yli kuukaudeksi kohdan a mukaisesti,
ii) lausekkeiden noudattamisen vuoksi tietojen tuoja rikkoisi lainsäädäntöön tai sääntelyyn perustuvia velvoitteitaan tuontimaassa,
iii) tietojen tuoja rikkoo merkittävästi tai jatkuvasti näiden lausekkeiden mukaisesti antamiaan takeita tai sitoumuksia,
iv) tietojen viejän sijoittautumismaan toimivaltainen tuomioistuin tai viranomainen on tehnyt lopullisen päätöksen, josta ei voi valittaa ja jonka mukaan tietojen tuoja tai tietojen viejä on rikkonut lausekkeita, tai
v) tietojen tuojan – joko yksityishenkilönä tai yrityksenä – toiminnan lopettamiseksi tai selvitystilaan asettamiseksi on esitetty kanne, jota ei ole hylätty sovellettavassa lainsäädännössä hylkäämiselle asetetussa määräajassa; on tehty lopettamismääräys; sen varoja valvomaan on nimitetty väliaikainen pesänhoitaja; on nimitetty konkurssipesän hoitaja, jos tietojen tuoja on yksityishenkilö; on aloitettu vapaaehtoinen yritysjärjestely; tai jokin vastaava tapahtuma on käynnistetty jollakin lainkäyttöalueella,
tietojen viejällä on oikeus päättää näiden lausekkeiden voimassaolo, sanotun rajoittamatta muiden oikeuksien täytäntöönpanoa tietojen tuojaa vastaan, jolloin viranomaiselle ilmoitetaan tarvittaessa. Tapauksissa, joita koskevat edellä olevat kohdat i, ii tai iv, myös tietojen tuoja voi päättää lausekkeiden voimassaolon.
c) Sopimuspuolet voivat päättää lausekkeiden voimassaolon, jos i) direktiivin 95/46/EY 25 artiklan 6 kohdan (tai muun korvaavan tekstin) nojalla komissio tekee tietosuojan riittävää tasoa koskevan myönteisen päätöksen sen maan (tai siellä olevan toimialan) osalta, johon tiedot on siirretty ja jossa tietojen tuoja on ne käsitellyt tai ii) direktiivistä 95/46/EY (tai muusta korvaavasta tekstistä) tulee suoraan sovellettava kyseisessä maassa.
d) Sopimuspuolet sopivat, että näiden lausekkeiden voimassaolon päättäminen milloin tahansa, missä tahansa olosuhteissa ja mistä tahansa syystä (lukuun ottamatta lausekkeen VI kohdan c mukaista päättämistä) ei vapauta sopimuspuolia näiden lausekkeiden mukaisista velvoitteista ja/tai ehdoista siirrettyjen henkilötietojen käsittelyn osalta.
VII. Lausekkeiden muuttaminen
Sopimuspuolet eivät saa muuttaa näitä lausekkeita lukuun ottamatta liitteeseen B sisältyvien tietojen päivittämistä, missä tapauksessa niiden on ilmoitettava viranomaiselle tarvittaessa. Tämä ei estä sopimuspuolia lisäämästä uusia kaupallisia lausekkeita tarvittaessa.
VIII. Siirron kuvaus
Siirtoa ja henkilötietoja koskevat yksityiskohdat esitetään liitteessä B. Sopimuspuolet sopivat, että liitteeseen B voi sisältyä liiketoimintaan liittyvää luottamuksellista tietoa, jota ne eivät paljasta kolmansille osapuolille, paitsi jos sitä vaaditaan lainsäädännössä tai vastauksessa toimivaltaiselle sääntelyviranomaiselle tai valtion virastolle taikka lausekkeen I kohdan e mukaisesti. Sopimuspuolet voivat ottaa käyttöön lisäsiirtojen kattamiseksi lisäliitteitä, jotka on toimitettava viranomaiselle tarvittaessa. Vaihtoehtoisesti liite B voidaan laatia kattamaan useita siirtoja.
Päiväys: _
_
_
TIETOJEN TUOJAN PUOLESTA
TIETOJEN VIEJÄN PUOLESTA
…
…
…
…
…
…
LIITE A
TIETOJEN KÄSITTELYÄ KOSKEVAT PERIAATTEET
1. Tarkoituksen rajoittaminen – Henkilötietoja saa käsitellä ja sen jälkeen käyttää tai luovuttaa edelleen ainoastaan liitteessä B esitettyjä tarkoituksia varten tai jos rekisteröity on antanut siihen luvan.
2. Tiedon laatu ja suhteellisuus – Henkilötietojen on oltava täsmällisiä ja ne on tarvittaessa saatettava ajan tasalle. Henkilötietojen on oltava asianmukaisia ja olennaisia eikä niitä saa olla liikaa suhteessa siirron tai edelleen käsittelyn tarkoituksiin.
3. Avoimuus – Rekisteröidyille on annettava tarvittavat tiedot oikeudenmukaisen käsittelyn varmistamiseksi (kuten tiedot käsittelyn tarkoituksista ja siirrosta), ellei tietojen viejä ole jo antanut näitä tietoja.
4. Turvallisuus ja luottamuksellisuus – Rekisterinpitäjän on huolehdittava teknisistä ja organisatorisista toimenpiteistä, jotka ovat asianmukaisia käsittelystä aiheutuviin riskeihin nähden, kuten tietojen vahingossa tapahtuva tai laiton tuhoaminen, vahingossa tapahtuva häviäminen, muuttaminen, luvaton luovuttaminen tai antaminen. Rekisterinpitäjän lukuun toimiva henkilö, myös henkilötietojen käsittelijä, saa käsitellä tietoja ainoastaan rekisterinpitäjän luvalla.
5. Tietojen saantia, oikaisemista, poistamista ja käsittelyn vastustamista koskevat oikeudet – Direktiivin 95/46/EY 12 artiklan mukaisesti rekisteröidyille on – joko suoraan tai kolmannen osapuolen kautta – annettava heitä koskevat henkilötiedot, jotka organisaatiolla on hallussaan, lukuun ottamatta pyyntöjä, jotka ovat selvästi kohtuuttomia kohtuuttoman tiheytensä tai lukumääränsä taikka toistuvan tai järjestelmällisen luonteensa vuoksi tai jotka koskevat tietoja, joita ei tarvitse antaa tietojen viejän sijoittautumismaan lainsäädännön mukaisesti. Sillä edellytyksellä, että viranomainen on antanut etukäteen hyväksyntänsä, tietoja ei tarvitse myöskään antaa silloin, kun se todennäköisesti vahingoittaisi vakavasti tietojen tuojan tai muiden tietojen tuojan kanssa toimivien organisaatioiden etuja ja kun rekisteröidyn intressit ja perusoikeudet ja -vapaudet eivät syrjäytä näitä etuja. Henkilötietojen lähteitä ei tarvitse ilmoittaa, jos se ei ole mahdollista ilman kohtuutonta vaivaa tai jos muiden kuin kyseisen henkilön oikeuksia rikottaisiin. Rekisteröityjen on voitava saada heitä koskevat henkilötiedot oikaistuksi, muutetuksi tai poistetuksi, jos ne ovat epätarkkoja tai niitä on käsitelty näiden periaatteiden vastaisesti. Jos on perusteltuja syitä epäillä, että pyyntö ei ole oikeutettu, organisaatio voi pyytää lisäperusteita ennen oikaisun, muutoksen tai poiston tekemistä. Oikaisusta, muutoksesta tai poistosta ei tarvitse ilmoittaa kolmansille osapuolille, joille tiedot on luovutettu, jos siitä aiheutuu kohtuutonta vaivaa. Rekisteröidyn on lisäksi voitava vastustaa itseään koskevien tietojen käsittelyä tilanteeseensa liittyvien huomattavan tärkeiden ja perusteltujen syiden vuoksi. Kieltäytymisen osalta todistustaakka on tietojen tuojalla, ja rekisteröity voi aina tehdä valituksen kieltäytymisestä viranomaiselle.
6. Arkaluonteiset tiedot – Tietojen tuoja toteuttaa (esim. tietoturvaan liittyviä) lisätoimenpiteitä, jotka ovat tarpeen arkaluonteisten tietojen suojaamiseksi lausekkeen II mukaisten velvoitteiden nojalla.
7. Markkinointiin tarkoitetut tiedot – Kun tietoja käsitellään suoramarkkinointia varten, käytettävissä on oltava tehokkaat menettelyt, joiden avulla rekisteröity voi milloin tahansa kieltää henkilötietojensa käytön sellaisiin tarkoituksiin.
8. Automatisoidut päätökset – Näissä lausekkeissa ’automatisoidulla päätöksellä’ tarkoitetaan tietojen viejän tai tietojen tuojan päätöstä, josta aiheutuu rekisteröityä koskevia oikeudellisia vaikutuksia tai joka merkittävästi vaikuttaa rekisteröityyn ja joka perustuu yksinomaan henkilötietojen automatisoituun käsittelyyn, jolla on tarkoitus arvioida tiettyjä rekisteröityyn liittyviä henkilökohtaisia ominaisuuksia, esimerkiksi hänen työsuoritustaan, luottokelpoisuuttaan, luotettavuuttaan tai käytöstään. Tietojen tuoja ei saa tehdä mitään rekisteröityjä koskevia automatisoituja päätöksiä, paitsi jos
a)
i) tietojen tuoja tekee tällaisia päätöksiä tehdessään sopimuksen rekisteröidyn kanssa tai pannessaan sopimusta täytäntöön ja
ii) rekisteröidylle annetaan mahdollisuus keskustella kyseisen automatisoidun päätöksen tuloksista päätöksen tekevän osapuolen edustajan kanssa tai muutoin esittää kantansa kyseiselle osapuolelle;
tai
b) jos muutoin säädetään tietojen viejään sovellettavassa lainsäädännössä.
LIITE B
SIIRRON KUVAUS
(sopimuspuolet täyttävät)
KAUPALLISIA ESIMERKKILAUSEKKEITA (VAPAAEHTOINEN)
Korvausvelvollisuus tietojen viejän ja tietojen tuojan välillä:
”Sopimuspuolet korvaavat toisilleen ja ottavat vastatakseen toisilleen aiheuttamansa kustannukset, kulut, vahingot, menetykset tai tappiot, jotka johtuvat näiden lausekkeiden määräysten rikkomisesta. Tällainen korvaus edellyttää, että a) korvauksen saava sopimuspuoli (’saava sopimuspuoli’) ilmoittaa välittömästi muille sopimuspuolille (’maksavalle sopimuspuolelle’) korvausvaatimuksesta, b) maksava sopimuspuoli huolehtii yksin korvausvaatimukseen vastaamisesta ja sen sovittelusta ja c) saava sopimuspuoli tarjoaa kohtuullista yhteistyötä ja apua maksavalle sopimuspuolelle korvausvaatimukseen vastaamisessa.”
Riitojenratkaisu tietojen viejän ja tietojen tuojan välillä (sopimuspuolet voivat tietenkin korvata tämän millä tahansa muulla vaihtoehtoista riidanratkaisua koskevalla lausekkeella tai oikeuspaikkalausekkeella):
”Jos tietojen tuojan ja tietojen viejän välillä syntyy riita näiden lausekkeiden väitetystä rikkomisesta, riita ratkaistaan lopullisesti kansainvälisen kauppakamarin sovittelu- ja välimiesmenettelysääntöjen mukaisesti nimettyjen yhden tai useamman sovittelijan päätöksellä. Sovittelupaikka on [ ]. Sovittelijoiden lukumäärä on [ ].”
Kulujen jakaminen:
”Sopimuspuolet hoitavat lausekkeiden mukaiset velvoitteensa omalla kustannuksellaan.”
Lausekkeiden irtisanomista koskeva lisälauseke:
”Jos nämä lausekkeet irtisanotaan, tietojen tuojan on palautettava tietojen viejälle kaikki henkilötiedot ja kopiot henkilötiedoista, joihin näitä lausekkeita sovelletaan, tai tietojen viejän valinnan mukaan hävitettävä kaikki kopiot kyseisistä henkilötiedoista ja todistettava tietojen viejälle, että se on tehnyt niin, elleivät kansalliset lait tai paikallinen sääntely estä tietojen tuojaa hävittämästä tai palauttamasta tällaisia tietoja kokonaan tai osittain, missä tapauksessa tiedot pidetään luottamuksellisina eikä niitä käsitellä aktiivisesti mitään tarkoituksia varten. Tietojen tuoja suostuu siihen, että tietojen viejän pyynnöstä se sallii tietojen viejän tai tietojen viejän valitseman tarkastuselimen, jota tietojen tuojalla ei ole perusteltua syytä vastustaa, pääsyn tiloihinsa varmistamaan, että näin on tehty; tarkastuksesta on ilmoitettava kohtuullisessa ajassa etukäteen ja se on tehtävä tavanomaisena työaikana.”
( 1 ) ’Asiaa koskevilla säännöksillä’ tarkoitetaan kaikkien lupien tai päätösten muita kuin täytäntöönpanoa koskevia säännöksiä (joihin näitä lausekkeita sovelletaan).
( 2 ) Liitteessä A olevan 5 kohdan määräyksiä tietojen saantia, oikaisemista, poistamista ja käsittelyn vastustamista koskevasta oikeudesta on kuitenkin sovellettava, kun tämä vaihtoehto valitaan, ja ne ovat etusijalla minkä tahansa valitun komission päätöksen vastaaviin säännöksiin nähden.