Avtv. 4. (5) Az Európai Unió területén kívüli adatfeldolgozóval a megbízási szerződést az Európai Közösségek Bizottságának - az adatvédelmi biztos által a Magyar Közlönyben közzétett - Határozatában foglaltaknak megfelelő tartalommal kell elkészíteni.

A BIZOTTSÁG HATÁROZATA
(2001. december 27.)
a 95/46/EK irányelv alapján a személyes adatoknak harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről

[az értesítés a C(2001) 4540 számú dokumentummal történt]

(EGT vonatkozású szöveg)
(2002/16/EK)

Az Európai Közösségek Bizottsága,

tekintettel az Európai Közösséget létrehozó szerződésre,

tekintettel a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelvre, és különösen annak 26. cikke (4) bekezdésére,

mivel:

(1) A 95/46/EK irányelv értelmében a tagállamoknak biztosítani kell, hogy a személyes adatoknak egy harmadik országba történő továbbítására csak abban az esetben kerülhessen sor, ha az érintett harmadik állam gondoskodik a megfelelő szintű adatvédelemről, és ha az adatok továbbítása előtt a tagállamoknak az irányelv egyéb rendelkezéseivel összhangban álló jogszabályait tiszteletben tartják.

(2) A 95/46/EK irányelv 26. cikkének (2) bekezdése rendelkezik azonban arról, hogy a tagállamok bizonyos biztosítékok mellett engedélyezhetik a személyes adatoknak olyan harmadik országokba történő továbbítását vagy továbbításait, amelyek nem biztosítanak megfelelő szintű védelmet. Az ilyen biztosítékok különösen megfelelő szerződési feltételekből következhetnek.

(3) A 95/46/EK irányelv értelmében az adatvédelem szintjét az adattovábbítás vagy adattovábbítások valamennyi körülményének ismeretében kell értékelni. Az említett irányelv által létrehozott, a személyes adatok feldolgozása tekintetében az egyének védelmével foglalkozó munkacsoport útmutatót bocsátott ki az ilyen értékelések segítése céljából.

(4) Az általános szerződési feltételek csak az adatvédelemre vonatkoznak. Az adatexportőr, illetve adatimportőr kiegészítheti a szerződést egyéb, üzleti vonatkozású feltételekkel, amelyeket a szerződés szempontjából relevánsnak tartanak, amennyiben ezek nem ellentétesek az általános szerződési feltételekkel.

(5) Ez a határozat nem érinti azokat a nemzeti engedélyeket, amelyeket a 95/46/EK irányelv 26. cikke (2) bekezdését átültető nemzeti jogszabályokkal összhangban adhatnak ki a tagállamok. Ez a határozat csak arra terjed ki, hogy a tagállamok az e határozatban megállapított szerződési feltételek megfelelő biztosíték jellegét elismerjék; így tehát ez a határozat nem érinti az egyéb szerződési feltételeket.

(6) Ennek a határozatnak a hatálya annak a megállapítására korlátozódik, hogy a Közösségben letelepedett adatkezelő az e határozatban megállapított szerződési feltételeket használhatja, hogy a 95/46/EK irányelv 26. cikke (2) bekezdésének értelmében a személyes adatoknak egy harmadik országban letelepedett feldolgozó felé történő továbbítására vonatkozó, megfelelő garancia biztosítva legyen.

(7) Ennek a határozatnak végre kell hajtania a 95/46/EK határozat 17. cikkének (3) bekezdésében megállapított kötelezettséget, és nem érinti az említett rendelkezés értelmében létrejött szerződések vagy jogi aktusok tartalmát. Néhány általános szerződési feltételt azonban - különösen az adatexportőr kötelezettségeire vonatkozóan - bele kell foglalni azért, hogy pontosabbá váljanak azok a rendelkezések, amelyek az adatkezelő és a feldolgozó között létrejövő szerződésbe bekerülhetnek.

(8) A tagállamok felügyeleti hatóságai kulcsfontosságú szerepet játszanak ebben a szerződéses mechanizmusban, mivel ők biztosítják, hogy továbbításukat követően a személyes adatok megfelelő védelemben részesüljenek. Kivételes esetekben, amikor az adatexportőrök nem hajlandók vagy nem képesek megfelelő módon tájékoztatni az adatimportőröket - és fennáll a közvetlen veszélye annak, hogy az érintettek számára súlyos károk keletkeznek -, az általános szerződési feltételeknek lehetővé kell tenniük, hogy a felügyeleti hatóságok ellenőrizzék az adatimportőröket, és - adott esetben - rájuk nézve kötelező határozatokat hozzanak. A felügyeleti hatóságoknak rendelkezniük kell megfelelő hatáskörrel, hogy az általános szerződési feltételek alapján megtiltsanak vagy felfüggesszenek adattovábbítást vagy adattovábbításokat azokban a kivételes esetekben, amikor megállapítást nyer, hogy egy szerződés alapján teljesített adattovábbításnak vélhetően súlyosan hátrányos hatása lesz az érintettek számára megfelelő védelmet biztosító garanciákra és kötelezettségekre.

(9) A Bizottság a jövőben vizsgálhatja, hogy a nem megfelelő szintű adatvédelemmel rendelkező harmadik országokban letelepedett feldolgozónak továbbított személyes adatokra vonatkozó, az üzleti szervezetek vagy más érdekeltek által előterjesztett általános szerződési feltételek - a 95/46/EK irányelv 26. cikkének (2) bekezdésével összhangban - megfelelő biztosítékot nyújtanak-e.

(10) A személyes adatok közlése egy, a Közösségen kívül letelepedett adatfeldolgozóval nemzetközi adattovábbításnak minősül, amely a 95/46/EK irányelv IV. fejezete védelme alatt áll. Ennek következményeként ez a határozat nem vonatkozik a Közösségben letelepedett adatkezelők által a Közösségen kívül letelepedett adatkezelőknek továbbított adatokra, akik a 95/46/EK irányelv alapján a személyes adatoknak harmadik országok számára történő továbbítására vonatkozó általános szerződési feltételekről szóló, 2001. június 15-i 2001/497/EK bizottsági határozat hatálya alá esnek.

(11) Az általános szerződési feltételeknek rendelkezniük kell azokról a technikai és szervezési biztonsági intézkedésekről, amelyek - a védelmet igénylő adatok természetére és a feldolgozásban rejlő kockázatra való tekintettel - megfelelő szintű biztonságot nyújtanak, és amelyeket a nem megfelelő védelmet biztosító harmadik országban letelepedett feldolgozónak alkalmaznia kell. A feleknek a szerződésben rendelkezniük kell azokról a technikai és szervezési intézkedésekről, amelyek - az alkalmazandó adatvédelmi jogra, a technika mindenkori állására és a végrehajtás költségeire való tekintettel - szükségesek a személyes adatok véletlen vagy jogellenes megsemmisülése, véletlen elvesztése, megváltoztatása, jogosulatlan közlése vagy ahhoz való jogosulatlan hozzáférés, illetve az adatfeldolgozás egyéb jogellenes formái elleni védelméhez.

(12) A Közösségből kifelé történő adatáramlás megkönnyítése érdekében célszerű gondoskodni arról, hogy a Közösségben több adatkezelő számára adatfeldolgozást végző feldolgozók azonos technikai és szervezési biztonsági intézkedéseket alkalmazzanak, függetlenül attól, hogy melyik tagállam az adattovábbítás kezdeményezője, különösen azokban az esetekben, ahol az adatimportőr az adatexportőrnek a Közösség területén levő különböző intézményeitől kap adatokat további feldolgozásra; amely esetben annak a tagállamnak a jogát kell alkalmazni, ahol az intézmény található.

(13) Helyénvaló meghatározni azt a minimális információt, amelyet a feleknek az adattovábbításra vonatkozó szerződésben meg kell határozniuk. A tagállamok hatáskörében marad a felek által közlendő információk részletezése. A tapasztalatok ismeretében ennek a határozatnak az alkalmazását felül kell vizsgálni.

(14) Az adatimportőr csak az adatexportőr megbízásából, az általa adott utasításokkal és az általános szerződési feltételekben szereplő kötelezettségekkel összhangban dolgozhatja fel az átadott személyes adatokat. Az adatimportőr a személyes adatokat harmadik személyeknek csak bizonyos feltételek között adhatja át. Az adatexportőrnek az adatfeldolgozási szolgáltatás során utasítania kell az adatimportőrt, hogy az adatokat az utasításaival, az alkalmazandó adatvédelmi jogszabályokkal és az általános szerződési feltételekben megfogalmazott kötelezettségekkel összhangban dolgozza fel. A személyes adatoknak a Közösségen kívül letelepedett feldolgozók felé történő továbbítása nem befolyásolja azt a tényt, hogy az adatfeldolgozás minden esetben az alkalmazandó adatvédelmi jogszabályok hatálya alá esik.

(15) Az általános szerződési feltételeknek nem csak a szerződő szervezetek számára, de az érintett személyek számára is érvényesíthetőknek kell lenniük, különösen azokban az esetekben, amikor az érintetteknek a szerződésszegés kárt okoz.

(16) Az érintetteket fel kell jogosítani arra, hogy felléphessenek az adatexportőrrel szemben, aki a továbbított személyes adatok feldolgozásáért felelős, és - adott esetben - kártérítést kapjanak tőle. Az érintettet kivételes esetben fel kell jogosítani arra is, hogy felléphessen az adatimportőrrel szemben és - adott esetben - kártérítést kapjon tőle azokban az esetekben, amelyekben az adatimportőr a 3. általános szerződési feltétel második bekezdésében előírt bármely kötelezettségét megszegte, ha az adatexportőr vállalkozása ténylegesen eltűnt, jogilag megszűnt létezni vagy fizetésképtelenné vált.

(17) A kedvezményezett harmadik személyre vonatkozó klauzulával élni szándékozó érintett és az adatimportőr közötti, egyezséggel nem lezárt jogvita esetében az adatimportőrnek hozzá kell járulnia ahhoz, hogy az érintett a közvetítés, a választottbírósági vagy a peres eljárás közül választhasson. Az, hogy az érintettnek mennyiben lesz tényleges választási lehetősége, attól is függ, mennyire állnak rendelkezésre a közvetítés és a választottbíráskodás megbízható és elismert rendszerei. Amennyiben az adatexportőr letelepedési helye szerinti tagállam adatvédelmi felügyeleti hatósága közvetítő szolgáltatást is végez, ezt a választási lehetőséget is fel kell kínálni.

(18) A szerződésre az adatexportőr letelepedési helye szerinti tagállam joga az irányadó, lehetővé téve azt, hogy egy kedvezményezett harmadik személy a szerződés betartását érvényre juttassa. Az érintettek számára lehetővé kell tenni, hogy - amennyiben élni kívánnak vele és a nemzeti jog erre lehetőséget biztosít - egyesületek vagy egyéb szervek képviseljék érdekeiket.

(19) A 95/46/EK irányelv 29. cikke által létrehozott, a személyes adatok feldolgozása tekintetében az egyének védelmével foglalkozó munkacsoport véleményt nyilvánított az e határozathoz mellékelt általános szerződési feltételek alapján biztosított védelem szintjéről, amelyet ennek a határozatnak az előkészítése során figyelembe vettek.

(20) Az ebben a határozatban előírt intézkedések összhangban vannak a 95/46/EK irányelv 31. cikke alapján létrehozott bizottság véleményével,

elfogadta ezt a határozatot:

1. cikk

A mellékletben meghatározott általános szerződési feltételek a 95/46/EK irányelv 26. cikke (2) bekezdése értelmében megfelelő biztosítékokat nyújtanak a magánélet tiszteletben tartásához való jog, az egyének alapvető jogainak és szabadságainak védelme, valamint az ezekhez kapcsolódó jogok érvényesítése tekintetében.

2. cikk

Ez a határozat csak a mellékletben meghatározott, a személyes adatoknak az adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételek által nyújtott megfelelő védelemre vonatkozik. A határozat a személyes adatok tagállamokon belül végzett feldolgozására vonatkozó, a 95/46/EK irányelv végrehajtását szolgáló egyéb nemzeti rendelkezések alkalmazását nem érinti.

Ez a határozat a személyes adatok továbbításának azon eseteire vonatkozik, amikor a Közösségben letelepedett adatkezelők a személyes adatokat olyan, a Közösségen kívül letelepedett adatimportőröknek továbbítják, akik csak adatfeldolgozói feladatokat látnak el.

3. cikk

E határozat alkalmazásában:

a) a 95/46/EK irányelv meghatározásait kell alkalmazni;

b) az "különleges adatkategóriák" kifejezés az említett irányelvnek a 8. cikkében szereplő adatokat jelenti;

c) a "felügyeleti hatóság" kifejezés az említett irányelvnek 28. cikkében szereplő hatóságot jelenti;

d) az "adatexportőr" kifejezés arra az adatkezelőre vonatkozik, aki továbbítja a személyes adatokat;

e) az "adatimportőr" kifejezés egy harmadik országban letelepedett feldolgozót jelöl, aki vállalja, hogy az adatexportőr utasításaival és e határozat feltételeivel összhangban történt adattovábbítást követően átveszi az adatexportőrtől a személyes adatokat - annak nevében történő - adatfeldolgozás céljából, és aki nem tartozik egy harmadik ország megfelelő védelmet biztosító rendszerének hatálya alá;

f) a "alkalmazandó adatvédelmi jog" kifejezés a természetes személyek alapvető jogaik és szabadságaik, különösen - a személyes adatok feldolgozásával kapcsolatban - a magánélet tiszteletben tartásához való jogaik védelméről szóló, az adatexportőr letelepedési helye szerinti tagállamban tevékenykedő adatkezelőre vonatkozó jogszabályokat jelenti;

g) a "technikai és szervezési biztonsági intézkedések" kifejezés a személyes adatok véletlen vagy jogellenes megsemmisülése, véletlen elvesztése, megváltoztatása, az adatok jogosulatlan közlése vagy az azokhoz történő jogosulatlan hozzáférés elleni védelmet nyújtó intézkedéseket jelenti, különösen azokban az esetekben, ahol az adatfeldolgozásnak része az adatok hálózaton keresztül történő továbbítása, valamint az adatfeldolgozás valamennyi egyéb jogellenes formája ellen védelmet nyújtó intézkedéseket jelenti.

4. cikk

(1) A 95/46/EK irányelv II., III., V. és VI. fejezete alapján elfogadott nemzeti rendelkezéseknek való megfelelés céljából tett intézkedésekre vonatkozó hatásköröket nem érintve, a tagállamok illetékes hatóságai a magánszemélyek - személyes adatainak feldolgozására tekintettel történő - védelme érdekében élhetnek azzal a jogukkal, hogy megtiltsák vagy felfüggesszék a harmadik országokba történő adattovábbítást olyan esetekben, ha:

a) megállapítják, hogy az adatimportőrre irányadó jog olyan követelményeket támaszt vele szemben, hogy el kell térnie az alkalmazandó adatvédelmi jogtól, ami - a 95/46/EK irányelv 13. cikke rendelkezéseinek megfelelően - túlmegy a demokratikus társadalomban szükséges korlátozásokon; és amennyiben ezek a követelmények vélhetően jelentős hátrányos hatással lesznek az alkalmazandó adatvédelmi jog és az általános szerződési feltételek által nyújtott garanciákra; vagy

b) az illetékes hatóság megállapította, hogy az adatimportőr nem tartotta be a mellékletben szereplő szerződési feltételeket; vagy

c) nagy a valószínűsége annak, hogy a mellékletben szereplő általános szerződési feltételek nem teljesülnek vagy nem fognak teljesülni, és ilyen módon a további adattovábbítás azzal a közvetlen kockázattal járna, hogy az érintetteket súlyos kár éri.

(2) Az (1) bekezdésben említett tilalmat vagy felfüggesztést azonnal megszüntetik, amint a felfüggesztés vagy tilalom okai megszűnnek.

(3) A tagállamok késedelem nélkül tájékoztatják a Bizottságot az (1) és (2) bekezdés értelmében elfogadott intézkedésekről, amely továbbítja ezt az információt a többi tagállamnak.

5. cikk

A Bizottság a tagállamok e határozatról történő értesítésétől számított három évet követően a rendelkezésére álló információk alapján értékeli e határozatnak a végrehajtását. Megállapításairól a Bizottság jelentést terjeszt a 95/46/EK irányelv 31. cikke alapján létrehozott bizottság elé. A jelentésében a Bizottság ismerteti azokat a tényeket, amelyek befolyásolhatják annak értékelését, hogy a mellékletben található általános szerződési feltételek megfelelőek-e, továbbá minden olyan tényt, amely a határozat diszkriminatív végrehajtását bizonyítja.

6. cikk

Ezt a határozatot 2002. április 3-tól kell alkalmazni.

7. cikk

Ennek a határozatnak a tagállamok a címzettjei.

(Aláírások)

Melléklet

Általános szerződési feltételek (adatfeldolgozók)

A 95/46/EK irányelv 26. cikke (2) bekezdésének alkalmazásában a személyes adatoknak a nem megfelelő szintű adatvédelmet biztosító harmadik országok területén letelepedett adatfeldolgozók részére történő továbbítása céljából

Az adatexportőr szervezet neve: ...........................................................................................

címe: ............................................................................

tel.: .................................. fax: .................................. e-mail: ...........................................................

A szervezet azonosításához szükséges egyéb információ

.............................................................................................

(az adatexportőr)

valamint

Az adatimportőr szervezet neve: ............................................................................................

címe: ............................................................................................

.............................................................................................

tel.: .................................. fax: .................................. e-mail: ...........................................................

A szervezet azonosításához szükséges egyéb információ:

..............................................................................................

(az adatimportőr)

megállapodtak az alábbi szerződési feltételek (a továbbiakban: az ÁSZF) alkalmazásában annak érdekében, hogy a személyes adatoknak az I. mellékletben meghatározott átadójától az adatimportőr részére történő továbbítása során gondoskodjanak megfelelő biztosítékokról az egyének magánéletének tiszteletben tartásához való jogának, továbbá alapvető jogainak és szabadságainak védelme tekintetében.

1. Általános szerződési feltétel

Fogalommeghatározások

Az ÁSZF alkalmazásában:

a) a "személyes adatok", "különleges adatkatagóriák", "adatfeldolgozás", "adatkezelő", "feldolgozó", "érintett" és "felügyeleti hatóság" kifejezések jelentése megegyezik a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelvben (a továbbiakban: az irányelv) meghatározott jelentésekkel;

b) az "adatexportőr" kifejezés arra az adatkezelőre vonatkozik, aki továbbítja a személyes adatokat;

c) az "adatimportőr" kifejezés egy olyan feldolgozót jelöl, aki vállalja, hogy az adatexportőr utasításaival és ennek az ÁSZF-nek a feltételeivel összhangban történt adattovábbítást követően átveszi az adatexportőrtől a személyes adatokat - annak nevében történő - adatfeldolgozás céljából, és amely nem tartozik egy harmadik ország megfelelő védelmet biztosító rendszerének hatálya alá;

d) "alkalmazandó adatvédelmi jog" kifejezés a természetes személyek alapvető jogaik és szabadságaik, különösen - a személyes adatok feldolgozásával kapcsolatban - a magánélet tiszteletben tartásához való jogaik védelméről szóló, az adatexportőr letelepedési helye szerinti tagállamban tevékenykedő adatkezelőre vonatkozó jogszabályt jelenti;

e) a "technikai és szervezési biztonsági intézkedések" kifejezés a személyes adatok véletlen vagy jogellenes megsemmisülése, véletlen elvesztése, megváltoztatása, az adatok jogosulatlan közlése vagy az azokhoz történő jogosulatlan hozzáférés elleni védelmet nyújtó intézkedéseket jelenti, különösen azokban az esetekben, ahol az adatfeldolgozás része az adatok hálózaton keresztül történő továbbítása, valamint az adatfeldolgozás valamennyi egyéb jogellenes formája ellen védelmet nyújtó intézkedéseket jelenti.

2. Általános szerződési feltétel

Az adattovábbítás részletei

Az adattovábbítás részleteit, és különösen a személyes adatok különös kategóriáit adott esetben az 1. függelék tartalmazza, amely ennek az ÁSZF-nek szerves részét alkotja.

3. Általános szerződési feltétel

A kedvezményezett harmadik személyről szóló klauzula

Az érintett az adatexportőrrel szemben - kedvezményezett harmadik személyként - érvényesítheti ezt az általános szerződési feltételt, a 4. általános szerződés feltétel b)-h) pontját, az 5. általános szerződés feltétel a)-e) és g) pontját, a 6. általános szerződés feltétel (1) és (2) bekezdését, a 7. általános szerződés feltételt, a 8. általános szerződés feltétel (2) bekezdését, valamint a 9., 10. és 11. általános szerződés feltételt.

Az érintett a adatimportőrrel szemben érvényesítheti ezt az általános szerződési feltételt, az 5. általános szerződés feltétel a)-e) és g) pontját, a 6. általános szerződés feltétel (1) és (2) bekezdését, a 7. általános szerződés feltételt, a 8. általános szerződés feltétel (2) bekezdését, valamint a 9., 10. és 11. általános szerződés feltételt azokban az esetekben, amikor az adatexportőr vállalkozása ténylegesen vagy jogilag megszűnik létezni.

A felek nem emelnek kifogást az ellen, hogy egy érintett képviseletében egy egyesület vagy egyéb szerv járjon el, amennyiben az érintett ezzel élni kíván és a nemzeti jog erre lehetőséget biztosít.

4. Általános szerződés feltétel

Az adatexportőr kötelezettségei

Az adatexportőr kötelezi magát és garantálja, hogy

a) a személyes adatok feldolgozása, beleértve magát az adattovábbítást, megfelelt és továbbra is megfelel az alkalmazandó adatvédelmi jog vonatkozó hatályos rendelkezéseinek (és adott esetben az adatexportőr letelepedési helye szerinti tagállam hatóságait értesítették), valamint nem sérti az adott állam vonatkozó rendelkezéseit;

b) ellátta, és a személyes adatok feldolgozása során folyamatosan ellátja az adatimportőrt arra vonatkozó utasításokkal, hogy a továbbított személyes adatokat csak az adatexportőr megbízásából, és az alkalmazandó adatvédelmi joggal, továbbá ezekkel az általános szerződési feltételekkel összhangban lehet feldolgozni;

c) az adatimportőr elegendő garanciával szolgál az e szerződéshez csatolt 2. függelékében meghatározott technikai és szervezési biztonsági intézkedések érvényesítésére;

d) az alkalmazandó adatvédelmi jog követelményeinek értékelését követően a biztonsági intézkedések alkalmasak a személyes adatok véletlen vagy jogellenes megsemmisülése, illetve a véletlen elvesztés, megváltoztatás, adatok jogosulatlan közlése vagy az azokhoz történő jogosulatlan hozzáférés elleni védelemre, különösen azokban az esetekben, ahol az adatfeldolgozás része az adatok hálózaton történő továbbítása, valamint az adatfeldolgozás egyéb jogellenes formái elleni védelemre; továbbá azt, hogy ezek az intézkedések olyan szintű biztonságot nyújtanak, amely arányos a megvédendő adatok természetével és az adatfeldolgozás kockázataival, tekintettel a technika mindenkori állására és a végrehajtás költségeire;

e) gondoskodik a biztonsági intézkedések tiszteletben tartásáról;

f) amennyiben az adattovábbítás különleges adatkategóriákat érint, az érintettet az adattovábbítást megelőzően, vagy - a lehető legrövidebb időn belül - az adattovábbítást követően tájékoztatják arról, hogy az adatokat egy olyan harmadik országba továbbíthatják, amely nem biztosítja a megfelelő mértékű védelmet;

g) továbbítja az adatvédelmi felügyeleti hatóság felé az adatimportőrtől az 5. általános szerződési feltétel b) pontja értelmében átvett értesítést, amennyiben úgy dönt, hogy folytatja az adattovábbítást vagy megszünteti a felfüggesztést;

h) az érintettek kérésére rendelkezésükre bocsátja az e mellékletben meghatározott ÁSZF egy példányát, a 2. függelék kivételével, amely helyett a biztonsági intézkedések összefoglaló leírása szerepel.

5. Általános szerződési feltétel

Az adatimportőr kötelezettségei

Az adatimportőr kötelezi magát és garantálja, hogy

a) csak az adatexportőr megbízásából, annak utasítására és az általános szerződési feltételekkel összhangban dolgozza fel a személyes adatokat; amennyiben bármely oknál fogva nem képes megfelelni ezeknek a követelményeknek, haladéktalanul tájékoztatja erről az adatexportőrt, aki ez esetben jogosult felfüggeszteni az adattovábbítást és/vagy a szerződéstől elállni;

b) nincs tudomása arról, hogy a rá vonatkozó jogszabályok akadályoznák az adatexportőrtől kapott utasítások és a szerződésben vállalt kötelezettségek teljesítését; abban az esetben, ha a jogszabályok módosítása előreláthatóan jelentősen hátrányos hatással lenne az ÁSZF-ben rá vonatkozóan megállapított garanciákra és kötelezettségekre, mihelyt azonban tudomást szerez erről, azonnal értesíti a módosításról az adatexportőrt; ebben az esetben az adatexportőr jogosult felfüggeszteni az adattovábbítást és/vagy a szerződéstől elállni;

c) a továbbított személyes adatok feldolgozása előtt végrehajtotta a 2. függelékben meghatározott technikai és szervezési biztonsági intézkedéseket;

d) azonnal értesíti az adatexportőrt a következőkről:

(i) ellenkező értelmű tilalom - például egy bűncselekménynek a bűnüldözési szervek általi felderítése bizalmasságának érdekében fennálló büntetőjogi tilalom - hiányában a bűnüldözési szervek jogilag kötelező erejű felhívása a személyes adatok közlésére;

(ii) bármilyen véletlen vagy jogosulatlan hozzáférés; és

(iii) közvetlenül az érintettek részéről történő érdeklődés, anélkül hogy erre válaszolna, kivéve, ha erre felhatalmazást kapott;

e) azonnal és szakszerűen reagál az adatexportőrtől érkező, az adattovábbítás tárgyát képező személyes adatok feldolgozására vonatkozó valamennyi kérdésre és aláveti magát a felügyeleti hatóság adatfeldolgozásra vonatkozó utasításainak;

f) az adatexportőr kérésére rendelkezésre bocsátja az adatfeldolgozó berendezéseket az általános szerződési feltételek hatálya alá eső feldolgozói tevékenységek ellenőrzése céljából, amelyet az adatexportőr vagy a megfelelő szakképzettséggel rendelkező, az adatok bizalmas kezelésére kötelezett, az adatexportőr által - adott esetben a felügyeleti hatóság beleegyezésével - kiválasztott független szakértőkből álló testület végez;

g) az érintettek kérésére rendelkezésükre bocsátja az ebben a mellékletben meghatározott ÁSZF egy példányát, a 2. függelék kivételével, amely helyett a biztonsági intézkedések összefoglaló leírása szerepel abban az esetben, ha az érintett az adatexportőrtől ennek másolati példányát nem tudta beszerezni.

6. Általános szerződési feltétel

Felelősség

(1) A felek megállapodnak abban, hogy az az érintett, aki a 3. általános szerződési feltételben említett rendelkezések megsértésének következményeként kárt szenved, kártérítésre jogosult az adatexportőrtől.

(2) Amennyiben az érintett - az adatimportőr 3. általános szerződési feltételben meghatározott kötelezettségei valamelyikének megszegéséből eredően - nem tudja az (1) bekezdésben említett kártérítési igényt érvényesíteni az adatexportőrrel szemben azért, mert az adatexportőr ténylegesen eltűnt, jogilag megszűnt létezni vagy fizetésképtelenné vált, az adatimportőr beleegyezik, hogy az érintett kártérítési igényét vele szemben ugyanúgy érvényesíthesse, mintha ő lett volna az adatexportőr.

(3) A felek megállapodnak abban, hogy amennyiben az egyik fél felelősségét megállapítják az általános szerződési feltételek másik fél által történő megsértéséért, az utóbbi - felelősségének mértékében - megtéríti a másik fél felmerült költségeit, kárát, kiadásait és veszteségeit.

A kártalanítás előfeltétele, hogy

a) az adatexportőr haladéktalanul értesítse az adatimportőrt a jogvitáról; és

b) az adatimportőrnek lehetősége legyen együttműködni az adatexportőrrel a jogvitában a védekezés, illetve az egyezség során.

7. Általános szerződés feltétel

Közvetítés és joghatóság

(1) Az adatimportőr kötelezettséget vállal arra, hogy amennyiben az érintett érvényesíteni kívánja vele szemben a kedvezményezett harmadik személy jogait és/vagy az általános szerződési feltételek alapján követeli a károk megtérítését, az adatimportőr elfogadja az érintett következő döntéseit:

a) az érintett igénybe veszi egy független személy, vagy - adott esetben - a felügyeleti hatóság közvetítői közreműködését;

b) a jogvitával az adatexportőr letelepedési helye szerinti tagállam bíróságához fordul.

(2) Az adatimportőr elfogadja, hogy az érintett beleegyezésével egy adott jogvita rendezése egy választottbíróság elé utalható, amennyiben az adatimportőr egy olyan országban telepedett le, amely ratifikálta a választottbírósági ítéletek végrehajtásáról szóló New York-i egyezményt.

(3) A felek megállapodnak abban, hogy az érintett választása nem érinti az érintett arra vonatkozó anyagi vagy eljárási jogait, hogy a nemzeti vagy nemzetközi jog egyéb rendelkezéseivel összhangban éljen jogorvoslattal.

8. Általános szerződési feltétel

Együttműködés a felügyeleti hatóságokkal

(1) Az adatexportőr kötelezettséget vállal arra, hogy ennek a szerződésnek egy példányát letétbe helyezi a felügyeleti hatóságnál, amennyiben az utóbbi ezt kéri, vagy amennyiben az alkalmazandó adatvédelmi jog ezt előírja.

(2) A felek megállapodnak abban, hogy a felügyeleti hatóság jogosult az adatimportőr ellenőrzésére; az ellenőrzés hatálya és feltételei megegyeznek az alkalmazandó adatvédelmi jog értelmében az adatexportőrnél elvégzendő ellenőrzés hatályával és feltételeivel.

9. Általános szerződési feltétel

Irányadó jog

Az ÁSZF-re az adatexportőr letelepedési helye szerinti tagállam, nevezetesen ............................. joga az irányadó.

10. Általános szerződési feltétel

A szerződés módosítása

A felek kötelezettséget vállalnak arra, hogy nem változtatják vagy módosítják az ÁSZF szövegét.

11. Általános szerződési feltétel

A személyes adatok feldolgozásának megszüntetése után fennálló kötelezettség

(1) A felek megállapodnak abban, hogy - amennyiben az adatimportőrre vonatkozó jogszabályok a részére továbbított személyes adatok egy részének vagy egészének visszaszolgáltatását vagy megsemmisítését nem tiltják - az adatfeldolgozás megszüntetését követően az adatimportőr az adatexportőr döntése alapján visszaszolgáltatja a számára megküldött személyes adatokat és azok másolatait az adatexportőr részére, vagy megsemmisíti az összes személyes adatot, és ennek megtörténtét igazolja az adatexportőr felé. Ellenkező esetben az adatimportőr szavatolja, hogy biztosítja a továbbított személyes adatok bizalmasságát és a továbbított személyes adatokat a továbbiakban ténylegesen nem dolgozza fel.

(2) Az adatimportőr biztosítja, hogy az adatexportőr és/vagy a felügyeleti hatóság kérésére lehetővé teszi adatfeldolgozó berendezések rendelkezésre bocsátását az (1) bekezdésben említett intézkedések ellenőrzése céljából.

Az adatexportőr nevében:

Név (teljes): ............................................................................................

Beosztás: .......................................................................................

Cím: ........................................................................................

Egyéb információ annak érdekében, hogy a szerződés kötelező erejű legyen (amennyiben van ilyen): ............................................................................................

........................................................................................

...................................

aláírás

(a szervezet pecsétje)

Az adatimportőr nevében:

Név (teljes): .....................................................................................

Beosztás: ......................................................................................

Cím: .....................................................................................

Egyéb információ annak érdekében, hogy a szerződés kötelező erejű legyen (amennyiben van ilyen): ...........................................................................................

............................................................................................

..................................

aláírás

(a szervezet pecsétje)

1. függelék

Az általános szerződési feltételek

Ez a függelék az általános szerződési feltételek részét képezi, amelyet a feleknek ki kell tölteniük és alá kell írniuk

* A tagállamok nemzeti eljárásaikkal összhangban kiegészíthetik vagy részletezhetik az e függelékben feltüntetendő további szükséges információkat.