Международная организация
Решение от 15 июня 2001 года № 2001/497/ЕС

О стандартных договорных условиях относительно передачи персональных данных третьим странам согласно Директиве 95/46/ЕС (С (2001) 1539) [рус., англ]

Принято
Комиссией Европейских сообществ
15 июня 2001 года
    1539)
    (действие Решения распространяется
    на Европейское экономическое пространство)
    --------------------------------
    <*> Перевод Кудиновой О.П.
    <**> Commission Decision of 15 June 2001 on standard contractual clauses for the transfer of personal data to third countries, under Directive 95/46/EC (2001/497/EC). Опубликовано в Официальном журнале (далее - ОЖ) N L 181, 04.07.2001, стр. 19.
    <***> ОЖ N L 385, 29.12.2004, стр. 74.
    Комиссия Европейских сообществ,
    руководствуясь Договором об учреждении Европейского сообщества,
    руководствуясь Директивой 95/46/ЕС Европейского парламента и Совета ЕС от 24 октября 1995 г. о защите физических лиц в отношении обработки персональных данных и свободного обращения таких данных <*>, и, в частности, статьей 26 (4),
    --------------------------------
    <*> ОЖ N L 281, 23.11.1995, стр. 31.
    поскольку:
    1) В соответствии с Директивой 95/46/ЕС государства-члены ЕС должны предусматривать возможность передачи персональных данных третьей стране только в случае, если рассматриваемая третья страна обеспечивает должный уровень защиты данных и если до передачи соблюдено законодательство государств-членов ЕС, соответствующее требованиям других положений Директивы.
    2) Тем не менее, статья 26 (2) Директивы 95/46/ЕС предусматривает при соблюдении определенных гарантий возможность для государств-членов ЕС разрешать передачи или серии передач персональных данных третьим странам, не обеспечивающим должного уровня защиты. Такие гарантии могут, в частности, вытекать из соответствующих договорных условий.
    3) В соответствии с Директивой 95/46/ЕС уровень защиты данных следует оценивать в свете всех обстоятельств, связанных с операцией или серией операций по передаче данных. Рабочая группа по защите частных лиц в связи с обработкой персональных данных, созданная на основании указанной Директивы <*>, издала руководящие принципы в помощь осуществления оценки <**>.
    --------------------------------
    <*> Интернет-адрес Рабочей группы: http://www.europa.eu.intlcomm/internal_market/en/medial/dataprot/wpdocs/index.htm.
    <**> WP 4 (5020/97) "Рабочий документ, содержащий первые ориентиры относительно передачи персональных данных третьим странам - возможные пути продвижения в оценке соответствия", документ для обсуждения, принятый Рабочей группой 26 июня 1997 г.
    WP 7 (5057/97) "Оценка саморегулирования отрасли: в каких случаях оно вносит значимый вклад в уровень защиты данных в третьей стране?", рабочий документ: принят Рабочей группой 14 января 1998 г.
    WP 9 (3005/98) "Предварительные мнения относительно использования договорных положений в контексте передачи персональных данных третьим странам", рабочий документ: принят Рабочей группой 22 апреля 1998 г.
    WP 12: "Передачи персональных данных третьим странам: применение статей 25 и 26 Директивы ЕС о защите данных", рабочий документ, принятый Рабочей группой 24 июля 1998 г., доступный в Интернет-хранилище документов "europa.eu.int/comm/internal_markt/en/media.dataprot/wpdocs/wp12/en", владельцем которого является Европейская комиссия.
    4) Статья 26 (2) Директивы 95/46/ЕС, предусматривающая гибкие возможности для организации, желающей передать данные третьим странам, и статья 26 (4), предусматривающая стандартные договорные условия, представляют особую важность для поддержания необходимого потока персональных данных между Сообществом и третьими странами без излишнего обременения субъектов экономической деятельности. Эти статьи особенно важны ввиду малой вероятности принятия Европейской комиссией результатов о соответствии согласно статье 25 (6) в отношении большего количества стран, чем это предусмотрено, в короткие или даже средние сроки.
    5) Стандартные договорные условия являются лишь одними из нескольких возможностей, предусмотренных Директивой 95/46/ЕС, а также статьями 25 и 26 (1) и (2), для законной передачи персональных данных третьим странам. Организациям будет проще передавать персональные данные третьим странам путем включения в договор стандартных условий. Стандартные договорные условия имеют отношение только к защите данных. Экспортер и импортер данных вправе включить любые другие условия по вопросам, связанным с деятельностью, например, условия о взаимной помощи в случаях споров с субъектом данных или контролирующим органом, которые они считают имеющими прямое отношение к договору, если они не противоречат стандартным договорным условиям.
    6) Данное Решение не должно наносить ущерб национальным разрешениям, которые могут быть предоставлены государствами-членами ЕС в соответствии с национальными положениями по имплементации статьи 26 (2) Директивы 95/46/ЕС. Обстоятельства определенных передач могут потребовать от контроллеров данных предоставления различных гарантий в значении статьи 26 (2). В любом случае данное Решение имеет своим результатом только требование к государствам-членам ЕС не отказываться признавать описанные в нем договорные условия в качестве обеспечения надлежащих гарантий, и, следовательно, не оказывает никакого влияния на другие договорные условия.
    7) Сфера действия данного Решения ограничивается установлением положения о том, что условия, содержащиеся в Приложении, могут быть использованы контроллером, учрежденным в Сообществе для представления достаточных гарантий в значении статьи 26 (2) Директивы 95/46/ЕС. Передача персональных данных третьим странам является операцией по обработке данных в государстве-члене ЕС, законность которой определяется в соответствии с национальным законодательством. Надзорные органы государств-членов ЕС по защите данных при осуществлении своих функций и полномочий, предусмотренных статьей 28 Директивы 95/46/ЕС, должны оставаться компетентными в оценке выполнения экспортером данных требования национального законодательства об имплементации положений Директивы 95/46/ЕС и, в частности, любых специальных правил в отношении обязанности о предоставлении информации согласно данной Директиве.
    8) Данное Решение не распространяется на передачу персональных данных контроллерами, учрежденными в Сообществе, получателям, учрежденным за пределами территории Сообщества, которые действуют только в качестве обработчиков данных. Эти передачи не требуют таких же гарантий потому, что обработчик данных действует исключительно от имени контроллера. Европейская комиссия намерена рассмотреть этот тип передачи в последующем решении.
    9) Целесообразно устанавливать минимальную информацию, которую стороны должны указывать в договоре, выдаваемом при передаче. Государства-члены ЕС должны сохранять право конкретизировать информацию, которую обязаны предоставлять стороны. Исполнение данного Решения должно быть пересмотрено в свете накопленного опыта.
    10) Европейская комиссия также рассмотрит в будущем вопрос о том, предлагаются ли надлежащие гарантии, предусмотренные Директивой 95/46/ЕС, в стандартных договорных условиях, представленных коммерческими организациями или другими заинтересованными сторонами.
    11) Наряду с тем, что стороны свободны в возможности договариваться об основных правилах защиты данных, которые должны соблюдаться импортером данным, существуют определенные принципы защиты данных, которые должны применяться в любой ситуации.
    12) Данные должны быть обработаны и в последующем использованы или доведены до сведения кого-либо только для определенных целей и не должны храниться дольше, чем это необходимо.
    13) В соответствии со статьей 12 Директивы 95/46/ЕС субъект данных должен иметь право доступа ко всем касающимся его данным и при необходимости право исправления, удаления или блокирования определенных данных.
    14) Дальнейшая передача персональных данных другому контроллеру, учрежденному в третьей стране, должна быть разрешена только при соблюдении определенных условий, в частности, обеспечения гарантий предоставления субъектам данных надлежащей информации и возможности возражать или отказывать в своем согласии в определенных случаях.
    15) В дополнение к оценке соответствия национальному законодательству передач данных третьим странам надзорные органы должны играть ключевую роль в данном договорном механизме для гарантии надлежащей защиты персональных данных после передачи. При определенных обстоятельствах надзорные органы государств-членов ЕС должны сохранять за собой право запрещать или приостанавливать передачу данных или серию передач, основанных на стандартных договорных условиях, в тех исключительных случаях, когда установлено, что передача на договорной основе, вероятно, окажет существенное негативное влияние на гарантии, обеспечивающие надлежащую защиту субъекта данных.
    16) Стандартные договорные условия обязательны для исполнения не только организациями, являющимися сторонами договора, но также и субъектами данных, в частности, в случаях, когда субъекты данных несут ущерб вследствие нарушения договора.
    17) Законодательством, регулирующим договор, должно являться законодательство государства-члена ЕС, в котором учрежден экспортер данных, позволяющий третьей стороне, являющейся выгодоприобретателем, исполнить договор. Субъектам данных должно быть позволено быть представленными ассоциациями или другими органами, если они этого желают и если это разрешено национальным законодательством.
    18) Для уменьшения практических затруднений, с которыми могли бы столкнуться субъекты данных при попытках осуществления своих прав, предусмотренных стандартными договорными условиями, экспортер и импортер данных должны нести солидарную ответственность за ущерб, причиненный в результате любого нарушения тех положений, которые подпадают под действие оговорки в пользу третьей стороны, являющейся выгодоприобретателем.
    19) Субъект данных вправе принять меры и получить компенсацию от экспортера или импортера данных либо от их обоих за любой ущерб, вытекающий из какого-либо действия, не совместимого с обязательствами, содержащимися в стандартных договорных условиях. Обе стороны могут быть освобождены от ответственности, если докажут, что ни одна из них не должна была нести ответственность.
    20) Солидарная ответственность не распространяется на положения, не охваченные оговоркой в пользу третьей стороны, являющейся выгодоприобретателем, и не вынуждает одну из сторон платить за ущерб, причиненный в результате незаконной обработки, произведенной другой стороной. Хотя взаимное возмещение убытков сторонами не является обязательным требованием должного уровня защиты для субъектов данных и поэтому может быть удалено, оно входит в стандартные договорные условия в целях ясности и во избежание необходимости для сторон оговаривать условия взаимного возмещения убытков в индивидуальном порядке.
    21) В случае возникновения спора между сторонами и субъектом данных, не решаемого мирным путем, и применения субъектом данных оговорки в пользу третьей стороны, являющейся выгодоприобретателем, стороны договариваются предоставить субъекту данных выбор между посредничеством, арбитражем или судебным разбирательством. Степень эффективности выбора субъекта данных будет зависеть от наличия заслуживающих доверия и общепризнанных систем посредничества и арбитража. Посредничество надзорных органов государства-члена ЕС должно быть вариантом в случаях предоставления ими такой услуги.
    22) Рабочая группа по защите частных лиц в связи с обработкой персональных данных, созданная в соответствии со статьей 29 Директивы 95/46/ЕС, вынесла заключение об уровне защиты, предусмотренном в стандартных договорных условиях, прилагаемых к настоящему Решению, которое было принято во внимание при подготовке данного Решения <*>.
    --------------------------------
    <*> Заключение 1/2001, принятое Рабочей группой 26 января 2001 г. (DG MARKT 5102/00 WP 38), имеющееся в доступе на сайте "Европа", владельцем которого является Европейская комиссия.
    23) Меры, предусмотренные в данном Решении, соответствуют заключению Комитета, учрежденного согласно статье 31 Директивы 95/46/ЕС,
    приняла настоящее Решение:
    Стандартные договорные условия, изложенные в Приложении, считаются предлагающими достаточные гарантии в отношении защиты неприкосновенности частной жизни и основных прав и свобод физических лиц и в отношении осуществления соответствующих прав согласно требованиям, предусмотренным в статье 26 (2) Директивы 9/46/ЕС.
    Контроллеры данных могут выбрать любой из комплектов документов под номерами I или II, содержащихся в Приложении. Вместе с тем они не могут изменять условия или комбинировать отдельные условия или комплекты.
    Данное Решение касается только соответствия защиты, предоставляемой стандартными договорными условиями для передачи персональных данных, изложенными в Приложении. Это не влияет на применение других национальных положений по имплементации Директивы 95/46/ЕС, которые относятся к обработке персональных данных в государствах-членах ЕС.
    Данное Решение не должно применяться в отношении передачи персональных данных контроллерами, учрежденными в Сообществе, получателям, учрежденным за пределами Сообщества, которые действуют только в качестве обработчиков данных.
    Для целей настоящего Решения:
    a) подлежат применению определения, изложенные в Директиве 95/46/ЕС;
    b) "специальные категории данных" - это данные, указанные в статье 8 данной Директивы;
    c) "надзорный орган" - это орган, указанный в статье 28 данной Директивы;
    d) "экспортер данных" - это контроллер, который передает персональные данные;
    e) "импортер данных" - это контроллер, который согласен получать от экспортера данных персональные данные для дальнейшей обработки в соответствии с положениями настоящего Решения.
    1.Без ущерба для своих полномочий принимать меры для обеспечения соответствия национальным положениям, принятым на основании глав II, III, V и VI Директивы 95/46/ЕС, компетентные органы государств-членов ЕС могут осуществлять свои существующие полномочия для запрета или приостановки потока данных в третьи страны с тем, чтобы защитить физических лиц в связи с обработкой их персональных данных в случаях, если:
    a) установлено, что законодательство, которому подчиняется импортер данных, налагает на него требования отступить от соответствующих правил по защите данных, выходящих за рамки ограничений, необходимых в демократическом обществе, предусмотренных в статье 13 Директивы 95/46/ЕС, если эти требования могут оказать существенное неблагоприятное воздействие на гарантии, предоставляемые стандартными договорными условиями, или
    b) компетентный орган установил, что импортеры данных не исполняют договорные условия, или
    c) существует значительная вероятность того, что стандартные договорные условия, содержащиеся в Приложении, не соблюдаются или не будут соблюдены и продолжение передачи создаст непосредственную угрозу причинения серьезного вреда субъектам данных.
    2.Для целей параграфа 1, если контроллер данных приводит достаточные гарантии на основе стандартных договорных условий, содержащихся в комплекте II Приложения, компетентные органы по защите данных вправе осуществлять свои существующие полномочия для запрета или приостановки потока данных в любом из следующих случаев:
    a) отказа импортера данных от добросовестного сотрудничества с органами власти по защите данных либо от выполнения своих четко определенных обязательств по договору;
    b) отказа экспортера данных от принятия соответствующих мер для обеспечения соблюдения договора в отношении импортера данных в пределах обычного месячного срока после уведомления компетентным органом по защите данных экспортера данных.
    Для целей первого подпараграфа отказ по недобросовестности или отказ от обеспечения соблюдения договора по отношению к импортеру данных не должны включать случаи, при которых сотрудничество или исполнение будут противоречить обязательным требованиям национального законодательства, применяемого к импортеру данных, которые не выходят за рамки необходимого в демократическом обществе, на основе одного из интересов, перечисленных в статье 13 (1) Директивы 95/46/ЕС, в частности, санкциям, изложенным в международных и/или национальных актах, требованиям о налоговой отчетности или требованиям отчетности о противодействии легализации денег, полученных преступным путем.
    Для целей пункта "a" первого подпараграфа сотрудничество может включать, в частности, предоставление импортером данных оборудования для обработки данных для аудита или обязательство следовать рекомендации надзорного органа по защите данных в рамках Сообщества.
    3.Запрет или приостановление в соответствии с параграфами 1 и 2 должны быть сняты немедленно в случае прекращения существования причин для запрета или приостановления.
    4.При принятии государствами-членами ЕС мер в соответствии с параграфами 1, 2 и 3, они должны незамедлительно сообщить об этом Европейской комиссии, которая направит информацию другим государствам-членам ЕС.
    Европейская комиссия должна оценить действие настоящего Решения на основе имеющейся информации через три года после его нотификации и уведомления государств-членов ЕС о любых изменениях к нему. По окончании оценки она должна представить отчет в Комитет, учрежденный на основании статьи 31 Директивы 95/46/ЕС. Она должна включить любые доказательства, которые могут повлиять на оценку соответствия стандартных договорных условий в Приложении, и любое доказательство, подтверждающее, что настоящее Решение применяется дискриминационным образом.
    Настоящее Решение подлежит применению с 3 сентября 2001 г.
    Настоящее Решение адресовано государствам-членам ЕС.