7.6.2021   

BG

Официален вестник на Европейския съюз

L 199/31


РЕШЕНИЕ ЗА ИЗПЪЛНЕНИЕ (ЕС) 2021/914 НА КОМИСИЯТА

от 4 юни 2021 година

относно стандартни договорни клаузи за предаването на лични данни на трети държави съгласно Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета

(текст от значение за ЕИП)

ЕВРОПЕЙСКАТА КОМИСИЯ,

като взе предвид Договора за функционирането на Европейския съюз,

като взе предвид Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (1), и по-специално член 28, параграф 7 и член 46, параграф 2, буква в) от него,

като има предвид, че:

(1)

Технологичното развитие улеснява трансграничните потоци от данни, необходими за разширяване на международното сътрудничество и международната търговия. Същевременно е необходимо да се гарантира, че нивото на защита на физическите лица, гарантирано от Регламент (ЕС) 2016/679, не е застрашено, когато личните данни се предават на трети държави, включително в случаи на последващо предаване (2). Разпоредбите относно предаването на данни в глава V от Регламент (ЕС) 2016/679 имат за цел да гарантират непрекъснатостта на тази висока степен на защита, когато личните данни се предават на трета държава (3).

(2)

Съгласно член 46, параграф 1 от Регламент (ЕС) 2016/679 при липса на решение на Комисията относно адекватното ниво на защита съгласно член 45, параграф 3, администраторът или обработващият лични данни може да предава лични данни на трета държава само ако е предвидил подходящи гаранции и при условие че са налице приложими права на субектите на данни и ефективни правни средства за защита. Такива гаранции могат да бъдат предвидени чрез стандартни клаузи за защита на данните, приети от Комисията съгласно член 46, параграф 2, буква в).

(3)

Ролята на стандартните договорни клаузи е ограничена до осигуряването на подходящи гаранции за защита на данните при международни предавания на данни. Следователно администраторът или обработващият лични данни, който предава личните данни на трета държава („износителят на данни“), и администраторът или обработващият лични данни, който получава личните данни („вносителят на данни“), могат да включат тези стандартни договорни клаузи в по-широк договор и да добавят други клаузи или допълнителни гаранции, при условие че те не противоречат, пряко или непряко, на стандартните договорни клаузи или не засягат основни права или свободи на субектите на данни. Администраторите и обработващите лични данни се насърчават да предоставят допълнителни гаранции чрез договорни ангажименти, които допълват стандартните договорни клаузи (4). Използването на стандартните договорни клаузи не засяга договорните задължения на износителя и/или вносителя на данни да гарантират спазването на приложимите привилегии и имунитети.

(4)

Освен че използва стандартни договорни клаузи, за да осигури подходящи гаранции при предавания на данни съгласно член 46, параграф 1 от Регламент (ЕС) 2016/679, износителят на данни трябва да изпълнява общите си отговорности като администратор или обработващ лични данни съгласно Регламент (ЕС) 2016/679. Тези отговорности включват задължение за администратора да предоставя на субектите на данни информация относно факта, че възнамерява да предаде личните им данни на трета държава съгласно член 13, параграф 1, буква е) и член 14, параграф 1, буква е) от Регламент (ЕС) 2016/679. В случай на предавания съгласно член 46 от Регламент (ЕС) 2016/679, такава информация трябва да включва позоваване на подходящите гаранции и начините за получаване на копие от тях или на информация къде са налични.

(5)

Решения 2001/497/ЕО (5) и 2010/87/ЕС (6) на Комисията съдържат стандартни договорни клаузи за улесняване на предаването на лични данни от администратор на лични данни, установен в Съюза, на администратор или обработващ лични данни, установен в трета държава, която не предлага адекватно ниво на защита. Тези решения се основават на Директива 95/46/ЕО на Европейския парламент и на Съвета (7).

(6)

Съгласно член 46, параграф 5 от Регламент (ЕС) 2016/679 Решение 2001/497/ЕО и Решение 2010/87/ЕС остават в сила, докато не бъдат изменени, заменени или отменени, ако е необходимо, с решение на Комисията, прието съгласно член 46, параграф 2 от този регламент. Стандартните договорни клаузи в решенията се нуждаят от актуализиране с оглед на новите изисквания в Регламент (ЕС) 2016/679. Освен това от приемането на решенията насам цифровата икономика претърпя значителни промени и се характеризира с широко разпространено използване на нови и по-сложни операции по обработване, които често включват множество вносители и износители на данни, дълги и сложни вериги на обработване и непрекъснато развиващи се стопански взаимоотношения. Това изисква модернизиране на стандартните договорни клаузи, за да отразяват по-добре тези реалности, като обхванат допълнителни ситуации на обработване и предаване, и за да се даде възможност за по-гъвкав подход, например по отношение на броя на страните, които могат да се присъединят към договора.

(7)

Администраторът или обработващият лични данни може да използва стандартните договорни клаузи, заложени в приложението към настоящото решение, за да осигури подходящи гаранции по смисъла на член 46, параграф 1 от Регламент (ЕС) 2016/679 за предаването на лични данни на обработващ лични данни или администратор, установен в трета държава, без да се засяга тълкуването на понятието за международно предаване в Регламент (ЕС) 2016/679. Стандартните договорни клаузи могат да се използват за такива предавания само доколкото обработването от вносителя не попада в обхвата на Регламент (ЕС) 2016/679. Това включва и предаването на лични данни от администратор или обработващ лични данни, който не е установен в Съюза, доколкото обработването попада в обхвата на Регламент (ЕС) 2016/679 (съгласно член 3, параграф 2 от него), тъй като то е свързано с предлагането на стоки или услуги на субекти на данни в Съюза или с наблюдението на тяхното поведение, доколкото то се проявява в рамките на Съюза.

(8)

Като се има предвид общото съгласуване между Регламент (ЕС) 2016/679 и Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета (8), следва да бъде възможно стандартните договорни клаузи да се използват и в контекста на договор, както е посочено в член 29, параграф 4 от Регламент (ЕС) 2018/1725, за предаването на лични данни на обработващ лични данни подизпълнител в трета държава от обработващ лични данни, който не е институция или орган на Съюза, но попада в обхвата на Регламент (ЕС) 2016/679, и който обработва лични данни от името на институция или орган на Съюза в съответствие с член 29 от Регламент (ЕС) 2018/1725. Ако в договора са отразени същите задължения за защита на данните, предвидени в договора или друг правен акт между администратора и обработващия лични данни съгласно член 29, параграф 3 от Регламент (ЕС) 2018/1725, по-специално като се предоставят достатъчно гаранции за технически и организационни мерки, за да се гарантира, че обработването отговаря на изискванията на този регламент, това ще осигури спазването на член 29, параграф 4 от Регламент (ЕС) 2018/1725. По-специално това ще важи за случаите, в които администраторът и обработващият лични данни използват стандартните договорни клаузи в Решение за изпълнение на Комисията относно стандартни договорни клаузи между администратори и обработващи лични данни съгласно член 28, параграф 7 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета и член 29, параграф 7 от Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета (9).

(9)

Когато обработването включва предавания на данни от администратори, попадащи в обхвата на Регламент (ЕС) 2016/679, на обработващи лични данни извън неговия териториален обхват или от обработващи лични данни, попадащи в обхвата на Регламент (ЕС) 2016/679, на обработващи лични данни подизпълнители извън неговия териториален обхват, стандартните договорни клаузи, заложени в приложението към настоящото решение, също следва да позволяват изпълнението на изискванията по член 28, параграфи 3 и 4 от Регламент (ЕС) 2016/679.

(10)

В стандартните договорни клаузи, заложени в приложението към настоящото решение, са съчетани общи клаузи и модулен подход, за да бъдат обхванати различните сценарии на предаване и да бъде отчетена сложността на съвременните вериги на обработване. В допълнение към общите клаузи администраторите и обработващите лични данни следва да изберат модула, приложим в техния случай, така че задълженията им по стандартните договорни клаузи да бъдат съобразени с ролята и отговорностите им във връзка с въпросното обработване на данни. Следва да е възможно повече от две страни да се присъединят към стандартните договорни клаузи. Освен това следва да се допусне допълнителни администратори и обработващи лични данни да се присъединяват към стандартните договорни клаузи като износители или вносители на данни през целия срок на договора, по който са страна.

(11)

За да се осигурят подходящи гаранции, стандартните договорни клаузи следва да гарантират, че на личните данни, предавани на това основание, се осигурява ниво на защита, което по същество е равностойно на гарантираното в Съюза (10). За да се гарантира прозрачност на обработването, на субектите на данни следва да се предостави копие от стандартните договорни клаузи и те следва да бъдат информирани по-специално за категориите обработвани лични данни, правото да получат копие от стандартните договорни клаузи и всяко последващо предаване. Последващите предавания от вносителя на данни на трета страна в друга трета държава следва да бъдат допустими само ако третата страна се присъедини към стандартните договорни клаузи, ако непрекъснатостта на защитата е гарантирана по друг начин или в специфични ситуации, например въз основа на изричното информирано съгласие на субекта на данни.

(12)

С някои изключения, по-специално по отношение на някои задължения, които се отнасят изключително до отношенията между износителя на данни и вносителя на данни, субектите на данни следва да могат да се позовават и при необходимост да налагат спазването на стандартните договорни клаузи като трети страни бенефициери. Поради това, въпреки че страните следва да могат да изберат правото на една от държавите членки като приложимо към стандартните договорни клаузи, в това право трябва да бъдат предвидени права за трети страни бенефициери. С цел да се улесни индивидуалната правна защита, в стандартните договорни клаузи от вносителя на данни следва да се изисква да информира субектите на данни за координатите за връзка с точка за контакт и своевременно да разглежда всички жалби или искания. В случай на спор между вносителя на данни и субект на данни, който се позовава на правата си като трета страна бенефициер, субектът на данни следва да може да подаде жалба до компетентния надзорен орган или да отнесе спора до компетентните съдилища в ЕС.

(13)

За да се гарантира ефективно прилагане, вносителят на данни следва да бъде длъжен да приеме юрисдикцията на такъв орган и съдилищата и да се ангажира да спазва всяко задължително решение съгласно приложимото право на държавата членка. По-специално вносителят на данни следва да приеме да отговаря на запитвания, да бъде подлаган на одити и да спазва мерките, приети от надзорния орган, включително коригиращите и компенсаторните мерки. Освен това вносителят на данни следва да разполага с варианта да предлага на субектите на данни възможността да търсят правна защита пред независим орган за разрешаване на спорове без разходи за тях. В съответствие с член 80, параграф 1 от Регламент (ЕС) 2016/679 субектите на данни следва да могат да бъдат представлявани от сдружения или други структури при спорове срещу вносителя на данни, ако желаят това.

(14)

В стандартните договорни клаузи следва да бъдат предвидени правила за отговорността между страните и по отношение на субектите на данни и правила за обезщетяването между страните. Когато субектът на данни понесе имуществени или неимуществени вреди в резултат на нарушение на правата на третата страна бенефициер съгласно стандартните договорни клаузи, той следва да има право на обезщетение. Това не следва да засяга отговорността съгласно Регламент (ЕС) 2016/679.

(15)

В случай на предаване на данни на вносител на данни, действащ като обработващ лични данни или обработващ лични данни подизпълнител, следва да се прилагат специфични изисквания в съответствие с член 28, параграф 3 от Регламент (ЕС) 2016/679. В стандартните договорни клаузи следва от вносителя на данни да се изисква да предоставя цялата информация, необходима за доказване на спазването на задълженията, посочени в клаузите, и да позволява и допринася за извършването от износителя на данни на одити на дейностите му по обработване. По отношение на включването на обработващ лични данни подизпълнител от страна на вносителя на данни, в съответствие с член 28, параграфи 2 и 4 от Регламент (ЕС) 2016/679 в стандартните договорни клаузи следва по-специално да се предвиди процедура за общо или специфично разрешение от страна на износителя на данни и изискването за писмен договор с обработващия лични данни подизпълнител, осигуряващ същото ниво на защита, както съгласно тези клаузи.

(16)

Целесъобразно е в стандартните договорни клаузи да се предвидят различни гаранции за специфичната ситуация на предаване на лични данни от обработващ лични данни в Съюза на неговия администратор в трета държава, които да отразяват ограничените самостоятелни задължения на обработващите лични данни съгласно Регламент (ЕС) 2016/679. По-специално в стандартните договорни клаузи от обработващия лични данни следва да се изисква да информира администратора, ако не е в състояние да изпълни неговите указания, включително ако тези указания нарушават правото на Съюза в областта на защитата на данните, и от администратора да се изисква да се въздържа от всякакви действия, които биха попречили на обработващия лични данни да изпълни задълженията си по Регламент (ЕС) 2016/679. В тях следва също да се изисква от страните да си помагат взаимно, за да отговарят на запитвания и искания от субекти на данни съгласно местното право, приложимо по отношение на вносителя на данни, или съгласно Регламент (ЕС) 2016/679 по отношение на обработването на данни в Съюза. Следва да се прилагат допълнителни изисквания, имащи за цел справяне с последиците от законодателството на трета държава на получаване върху спазването на клаузите от администратора, и по-специално как да се третират правнообвързващи искания от публични органи в третата държава за разкриване на предадените лични данни, когато обработващият лични данни от Съюза съчетава личните данни, получени от администратора в третата държава, с лични данни, които обработващият лични данни е събрал в Съюза. Обратно, такива изисквания не са оправдани, когато възлагането на подизпълнители включва само обработване и обратно предаване на лични данни, които са били получени от администратора и във всички случаи са били и ще останат под юрисдикцията на въпросната трета държава.

(17)

Страните следва да могат да докажат, че спазват задълженията си по стандартните договорни клаузи. По-специално от вносителя на данни следва да се изисква да съхранява подходяща документация за дейностите по обработване, за които отговаря, и своевременно да уведомява износителя на данни, ако не е в състояние да спазва клаузите, независимо от причината. На свой ред износителят на данни следва да спре предаването и в особено сериозни случаи да има право да прекрати договора, доколкото той се отнася до обработването на лични данни съгласно стандартни договорни клаузи, когато вносителят на данни е допуснал нарушение на клаузите или не е в състояние да ги спазва. Следва да се прилагат специални правила, когато местното законодателство засяга спазването на клаузите. Личните данни, които са били предадени преди прекратяването на договора, и всички техни копия, по избор на износителя на данни следва да се бъдат върнати на износителя на данни или да бъдат изцяло унищожени.

(18)

В стандартните договорни клаузи следва да се предвидят специфични гаранции, по-специално с оглед на съдебната практика на Съда на Европейския съюз (11), за справяне с последиците от законодателството на трета държава на получаване върху спазването на клаузите от вносителя на данни, и по-специално как да се третират правнообвързващи искания от публични органи в тази държава за разкриване на предадените лични данни.

(19)

Предаването и обработването на лични данни съгласно стандартни договорни клаузи не следва да се извършва, ако законите и практиките в третата държава на получаване възпрепятстват вносителя на данни да спазва клаузите. В този контекст законите и практиките, които зачитат същността на основните права и свободи и са пропорционални, и не надхвърлят необходимото в едно демократично общество за защита на някоя от целите, изброени в член 23, параграф 1 от Регламент (ЕС) 2016/679, не следва да се смятат за такива в противоречие със стандартните договорни клаузи. Страните следва да гарантират, че към момента на договаряне на стандартните договорни клаузи нямат основание да смятат, че законите и практиките, приложими по отношение на вносителя на данни, не са в съответствие с тези изисквания.

(20)

Страните следва да вземат предвид по-специално специфичните обстоятелства на предаването (като например съдържанието и срока на договора, естеството на предаваните данни, вида на получателя, целта на обработването), законите и практиките на третата държава на получаване, които са от значение с оглед на обстоятелствата на предаването, и всички гаранции, въведени в допълнение към гаранциите съгласно стандартните договорни клаузи (включително съответните договорни, технически и организационни мерки, приложими за предаването на лични данни и тяхното обработване в държавата на получаване). По отношение на въздействието на такива закони и практики върху спазването на стандартните договорни клаузи различни елементи могат да се разглеждат като част от цялостната оценка, включително надеждна информация за прилагането на правото на практика (като например съдебната практика и докладите от независими надзорни органи), съществуването или липсата на искания в същия сектор и, при строги условия, документирания практически опит на износителя на данни и/или вносителя на данни.

(21)

Вносителят на данни следва да уведоми износителя на данни, ако след като е приел стандартните договорни клаузи, има основания да смята, че не е в състояние да спазва стандартните договорни клаузи. Ако износителят на данни получи такова уведомление или по друг начин разбере, че вносителят на данни повече не е в състояние да спазва стандартните договорни клаузи, той следва да определи подходящи мерки за справяне със ситуацията, ако е необходимо в консултации с компетентния надзорен орган. Такива мерки могат да включват допълнителни мерки, приети от износителя на данни и/или вносителя на данни, като например технически или организационни мерки за осигуряване на сигурност и поверителност. От износителя на данни следва да се изисква да спре предаването, ако смята, че не могат да бъдат осигурени подходящи гаранции, или ако компетентният надзорен орган даде указания за това.

(22)

Когато е възможно, вносителят на данни следва да уведоми износителя на данни и субекта на данни, ако получи от публичен (включително съдебен) орган правнообвързващо искане съгласно правото на държавата на получаване за разкриване на лични данни, предадени съгласно стандартните договорни клаузи. По същия начин той следва да ги уведоми, ако узнае за какъвто и да е пряк достъп на публични органи до такива лични данни в съответствие с правото на третата държава на получаване. Ако въпреки максимално положените усилия вносителят на данни не е в състояние да уведоми износителя на данни и/или субекта на данни за конкретни искания за разкриване, той следва да предостави на износителя на данни възможно най-пълна съответна информация относно исканията. Освен това вносителят на данни следва периодично да предоставя на износителя на данни обобщена информация. От вносителя на данни следва също да се изисква да документира всяко получено искане за разкриване на информация и предоставения отговор и при поискване да предоставя тази информация на износителя на данни или на компетентния надзорен орган, или и на двамата. Ако, след като провери законосъобразността на такова искане съгласно законодателството на държавата на получаване, вносителят на данни стигне до заключението, че има разумни основания да се смята, че искането е незаконосъобразно съгласно законодателството на третата държава на получаване, той следва да го оспори, включително, когато е целесъобразно, като изчерпи наличните възможности за обжалване. Във всички случаи, ако вносителят на данни повече не е в състояние да спазва стандартните договорни клаузи, той следва да информира съответно износителя на данни, включително когато това е следствие от искане за разкриване.

(23)

Тъй като нуждите на заинтересованите страни, технологиите и операциите по обработване могат да се променят, Комисията следва да оцени действието на стандартните договорни клаузи в светлината на натрупания опит като част от периодичната оценка на Регламент (ЕС) 2016/679, предвидена в член 97 от този регламент.

(24)

Решение 2001/497/ЕО и Решение 2010/87/ЕС следва да бъдат отменени три месеца след влизането в сила на настоящото решение. През този период, за целите на член 46, параграф 1 от Регламент (ЕС) 2016/679, износителите на данни и вносителите на данни следва да продължат да могат да използват стандартните договорни клаузи, заложени в решения 2001/497/ЕО и 2010/87/ЕС. През допълнителен период от 15 месеца, за целите на член 46, параграф 1 от Регламент (ЕС) 2016/679, износителите на данни и вносителите на данни следва да могат да продължат да използват стандартните договорни клаузи, заложени в решения 2001/497/ЕО и 2010/87/ЕС, за изпълнението на договори, сключени между тях преди датата на отмяна на тези решения, при условие че операциите по обработване, които са предмет на договора, остават непроменени и че използването на клаузите гарантира, че предаването на лични данни се извършва при наличието на подходящи гаранции по смисъла на член 46, параграф 1 от Регламент (ЕС) 2016/679. В случай на съответни промени в договора от износителя на данни следва да се изисква да използва ново основание за предаванията на данни съгласно договора, по-специално като замени съществуващите стандартни договорни клаузи със стандартните договорни клаузи, заложени в приложението към настоящото решение. Същото следва да се прилага и за всяко възлагане на обработващ лични данни (или обработващ лични данни подизпълнител) на операции по обработване, обхванати от договора.

(25)

В съответствие с член 42, параграфи 1 и 2 от Регламент (ЕС) 2018/1725 бяха проведени консултации с Европейския надзорен орган по защита на данните и Европейския комитет по защита на данните. На 14 януари 2021 г. (12) те представиха съвместно становище, което беше взето предвид при изготвянето на настоящото решение.

(26)

Мерките, предвидени в настоящото решение, са в съответствие със становището на комитета, създаден съгласно член 93 от Регламент (ЕС) 2016/679,

ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:

Член 1

1.   Смята се, че стандартните договорни клаузи, заложени в приложението, осигуряват подходящи гаранции по смисъла на член 46, параграф 1 и член 46, параграф 2, буква в) от Регламент (ЕС) 2016/679 за предаването от администратор или обработващ лични данни, спрямо чието обработване се прилага този регламент (износител на данни), на администратор или обработващ лични данни (или обработващ лични данни подизпълнител), спрямо чието обработване не се прилага този регламент (вносител на данни).

2.   В стандартните договорни клаузи също така се определят правата и задълженията на администраторите и обработващите лични данни по отношение на въпросите, посочени в член 28, параграфи 3 и 4 от Регламент (ЕС) 2016/679, що се отнася до предаването на лични данни от администратор на лични данни на обработващ лични данни или от обработващ лични данни на обработващ лични данни подизпълнител.

Член 2

Когато компетентните органи на държава членка упражняват корективни правомощия съгласно член 58 от Регламент (ЕС) 2016/679 в отговор на това, че спрямо вносителя на данни с прилагат или ще се прилагат закони или практики в трета държава на получаване, които го възпрепятстват да спазва стандартните договорни клаузи, заложени в приложението, водещи до спиране или забрана на предаванията на данни на трети държави, съответната държава членка незабавно информира Комисията, която препраща информацията на другите държави членки.

Член 3

Комисията оценява практическото прилагане на стандартните договорни клаузи, заложени в приложението, въз основа на цялата налична информация като част от периодичната оценка, изисквана съгласно член 97 от Регламент (ЕС) 2016/679.

Член 4

1.   Настоящото решение влиза в сила на двадесетия ден след деня на публикуването му в Официален вестник на Европейския съюз.

2.   Решение 2001/497/ЕО се отменя, считано от 27 септември 2021 г.

3.   Решение 2010/87/ЕС се отменя, считано от 27 септември 2021 г.

4.   Смята се, че договорите, сключени преди 27 септември 2021 г. въз основа на Решение 2001/497/ЕО или Решение 2010/87/ЕС, осигуряват подходящи гаранции по смисъла на член 46, параграф 1 от Регламент (ЕС) 2016/679 до 27 декември 2022 г., при условие че операциите по обработване, които са предмет на договора, остават непроменени и че използването на тези клаузи гарантира, че предаването на лични данни се извършва при наличието на подходящи гаранции.

Съставено в Брюксел на 4 юни 2021 година.

За Комисията

Председател

Ursula VON DER LEYEN


(1)   ОВ L 119, 4.5.2016 г., стр. 1.

(2)  Член 44 от Регламент (ЕС) 2016/679.

(3)  Вж. също решение на Съда от 16 юли 2020 г., Data Protection Commissioner/Facebook Ireland Ltd и Maximillian Schrems („Schrems II“), C-311/18, ECLI:EU:C:2020:559, т. 93.

(4)  Съображение 109 от Регламент (ЕС) 2016/679.

(5)  Решение 2001/497/ЕО на Комисията от 15 юни 2001 г. относно общите договорни клаузи за трансфера на лични данни към трети страни съгласно Директива 95/46/ЕО (ОВ L 181, 4.7.2001 г., стр. 19).

(6)  Решение 2010/87/ЕС на Комисията от 5 февруари 2010 г. относно стандартните договорни клаузи при предаването на лични данни към лицата, които ги обработват, установени в трети страни, съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета (ОВ L 39, 12.2.2010 г., стр. 5).

(7)  Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 23.11.1995 г., стр. 31).

(8)  Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО (ОВ L 295, 21.11.2018 г., стр. 39), вж. съображение 5.

(9)  C(2021) 3701.

(10)  Решение по дело Schrems II, т. 96 и 103. Вж. също Регламент (ЕС) 2016/679, съображения 108 и 114.

(11)  Решение по дело Schrems II.

(12)  Съвместно становище 2/2021 на ЕКЗД и ЕНОЗД във връзка с Решението за изпълнение на Европейската комисия относно общите договорни клаузи за трансфера на лични данни към трети държави по въпросите, посочени в член 46, параграф 2, буква в) от Регламент (ЕС) 2016/679.


ПРИЛОЖЕНИЕ

СТАНДАРТНИ ДОГОВОРНИ КЛАУЗИ

РАЗДЕЛ I

Клауза 1

Цел и обхват

а)

Целта на настоящите стандартни договорни клаузи е да се осигури съответствие с изискванията на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (Общ регламент относно защитата на данните) (1) по отношение на предаването на лични данни на трета държава.

б)

Страните:

i)

физическото(ите) или юридическото(ите) лице(а), публичният(ите) орган(и), агенцията(ите) или друга(и) структура(и) (наричан(и) по-нататък „структура(и)“), която(които) предава(т) личните данни, както е изброено (са изброени) в приложение I.A. (всяка от тях наричана по-нататък „износител на данни“), и

ii)

структурата(ите) в трета държава, която(които) получава(т) личните данни от износителя на данни, пряко или непряко чрез друга структура, която е страна по настоящите клаузи, както е изброена (са изброени) в приложение I.A. (всяка от тях наричана по-нататък „вносител на данни“),

се споразумяха за следните стандартни договорни клаузи (наричани по-нататък „клаузите“).

в)

Настоящите клаузи се прилагат по отношение на предаването на лични данни, посочено в приложение I.Б.

г)

Допълнението към настоящите клаузи, което съдържа посочените тук приложения, е неразделна част от клаузите.

Клауза 2

Действие и неизменност на клаузите

а)

С настоящите клаузи се определят подходящите гаранции, включително приложимите права на субектите на данни и ефективните правни средства за защита съгласно член 46, параграф 1 и член 46, параграф 2, буква в) от Регламент (ЕС) 2016/679, а по отношение на предаването на данни от администратори на обработващи лични данни и/или от обработващи лични данни на обработващи лични данни — стандартните договорни клаузи съгласно член 28, параграф 7 от Регламент (ЕС) 2016/679, при условие че те не са променени, освен с цел да се избере подходящият(ите) модул(и) или да се добави или актуализира информация в допълнението. Това не пречи на страните да включат стандартните договорни клаузи, определени в настоящите клаузи, в по-широк договор и/или да добавят други клаузи или допълнителни гаранции, при условие че те не противоречат, пряко или непряко, на настоящите клаузи или не засягат основни права или свободи на субектите на данни.

б)

Настоящите клаузи не засягат задълженията на износителя на данни по силата на Регламент (ЕС) 2016/679.

Клауза 3

Трети страни бенефициери

а)

Субектите на данни, в качеството си на трети страни бенефициери, могат да се позовават на настоящите клаузи и да искат прилагането им спрямо износителя на данни и/или спрямо вносителя на данни, със следните изключения:

i)

клауза 1, клауза 2, клауза 3, клауза 6, клауза 7;

ii)

клауза 8 — модул 1: клауза 8.5, буква д) и клауза 8.9, буква б); модул 2: клауза 8.1, буква б), клауза 8.9, букви а), в), г) и д); модул 3: клауза 8.1, букви а), в) и г) и клауза 8.9, букви а), в), г), д), е) и ж); модул 4: клауза 8.1, буква б) и клауза 8.3, буква б);

iii)

клауза 9 — модул 2: клауза 9, букви а), в), г) и д); модул 3: клауза 9, букви а), в), г) и д);

iv)

клауза 12 — модул 1: клауза 12, букви а) и г); модули 2 и 3: клауза 12, букви а), г) и е);

v)

клауза 13;

vi)

клауза 15.1, букви в), г) и д);

vii)

клауза 16, буква д)

viii)

клауза 18 — модули 1, 2 и 3: клауза 18, букви а) и б); модул 4: клауза 18

б)

Буква а) не засяга правата на субектите на данни съгласно Регламент (ЕС) 2016/679.

Клауза 4

Тълкуване

а)

Когато в настоящите клаузи се използват термини, определени в Регламент (ЕС) 2016/679, тези термини имат същото значение като в този регламент.

б)

Настоящите клаузи се четат и тълкуват в светлината на разпоредбите на Регламент (ЕС) 2016/679.

в)

Настоящите клаузи не трябва да се тълкуват по начин, който противоречи на правата и задълженията, предвидени в Регламент (ЕС) 2016/679.

Клауза 5

Йерархия

В случай на противоречие между настоящите клаузи и разпоредбите на свързаните с тях споразумения между страните, съществуващи към момента на договаряне на настоящите клаузи или сключени след това, предимство имат настоящите клаузи.

Клауза 6

Описание на предаването(ията)

Подробностите за предаването(ията), и по-специално категориите лични данни, които се предават, и целта(ите), за които се предават данните, са посочени в приложение I.Б.

Клауза 7 — незадължителна

Клауза за присъединяване

а)

Структура, която не е страна по настоящите клаузи, може със съгласието на страните да се присъедини към настоящите клаузи по всяко време или като износител на данни, или като вносител на данни, като попълни допълнението и подпише приложение I.А.

б)

След като попълни допълнението и подпише приложение I.А, присъединяващата се структура става страна по настоящите клаузи и има правата и задълженията на износител на данни или на вносител на данни в съответствие с посоченото в приложение I.А.

в)

Настоящите клаузи не пораждат права или задължения за присъединяващата се структура за периода преди тя да стане страна.

РАЗДЕЛ II — ЗАДЪЛЖЕНИЯ НА СТРАНИТЕ

Клауза 8

Гаранции за защита на личните данни

Износителят на данни гарантира, че е положил разумни усилия, за да се увери, че вносителят на данни е в състояние да изпълни задълженията си по настоящите клаузи чрез прилагането на подходящи технически и организационни мерки.

МОДУЛ 1: предаване на данни от администратор на администратор

8.1.   Ограничение в рамките на целта

Вносителят на данни обработва личните данни само за конкретната(ите) цел(и), за която (които) са предадени, както е посочено в приложение I.Б. Той може да обработва личните данни за друга цел единствено когато:

i)

е получил предварителното съгласие на субекта на данни;

ii)

това е необходимо с цел установяване, упражняване или защита на правни претенции в контекста на конкретно административно, регулаторно или съдебно производство; или

iii)

това е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данни или на друго физическо лице.

8.2.   Прозрачност

а)

За да могат субектите на данни ефективно да упражняват правата си съгласно клауза 10, вносителят на данни ги уведомява пряко или чрез износителя на данни:

i)

за своята самоличност и координатите си за връзка;

ii)

за категориите обработвани лични данни;

iii)

за правото да получи копие от настоящите клаузи;

iv)

когато възнамерява да предаде личните данни последващо на трета(и) страна(и) — за получателя или за категориите получатели (според случая с оглед предоставяне на смислена информация), за целта на това последващо предаване и за основанието за него съгласно клауза 8.7.

б)

Буква а) не се прилага, когато субектът на данни вече разполага с информацията, включително когато такава информация е вече предоставена от износителя на данни, или когато предоставянето на информацията се окаже невъзможно или изисква несъразмерно големи усилия от страна на вносителя на данни. В последния случай вносителят на данни, доколкото е възможно, предоставя публичен достъп до информацията.

в)

При поискване страните предоставят безплатно на субекта на данни копие от настоящите клаузи, включително от допълнението, попълнено от тях. До степента, необходима за защита на търговски тайни или друга поверителна информация, включително лични данни, страните могат да редактират част от текста на допълнението, преди да споделят негово копие, но трябва да предоставят съдържателно резюме, ако в противен случай субектът на данни не би могъл да разбере съдържанието му или да упражни правата си. При поискване страните предоставят на субекта на данни причините за редактирането, доколкото това е възможно, без да разкриват редактираната информация.

г)

Букви а)—в) не засягат задълженията на износителя на данни по членове 13 и 14 от Регламент (ЕС) 2016/679.

8.3.   Точност и свеждане на данните до минимум

а)

Всяка от страните гарантира, че личните данни са точни и при необходимост, че са поддържани в актуален вид. Вносителят на данни предприема всички разумни мерки, за да гарантира своевременното изтриване или коригиране на неточни лични данни, като се има(т) предвид целта(ите), за която (които) се обработват.

б)

Ако една от страните узнае, че личните данни, които е предала или получила, са неточни или са остарели, тя уведомява другата страна без ненужно забавяне.

в)

Вносителят на данни гарантира, че личните данни са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват.

8.4.   Ограничение на съхранението

Вносителят на данни съхранява личните данни за период, не по-дълъг от необходимото за целта(ите), за която (които) те се обработват. Той въвежда подходящи технически или организационни мерки, за да гарантира спазването на това задължение, включително изтриване или анонимизация (2) на данните и на всички резервни копия в края на периода на съхранение.

8.5.   Сигурност на обработването

а)

Вносителят на данни, а по време на предаването също и износителят на данни, прилагат подходящи технически и организационни мерки, за да осигурят сигурността на личните данни, включително защита срещу нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп (наричано по-нататък „нарушение на сигурността на личните данни“). При оценката на подходящото ниво на сигурност те вземат предвид достиженията на техническия прогрес, разходите за прилагане, естеството, обхвата, контекста и целта(ите) на обработването, както и свързаните с обработването рискове за субекта на данни. По-специално страните обмислят възможността за използване на криптиране или псевдонимизация, включително по време на предаването, когато целта на обработването може да бъде постигната по такъв начин.

б)

Страните са се споразумели за техническите и организационните мерки, посочени в приложение II. Вносителят на данни извършва редовни проверки, за да гарантира, че тези мерки продължават да осигуряват подходящо ниво на сигурност.

в)

Вносителят на данни гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или по закон са длъжни да спазват поверителност.

г)

В случай на нарушение на сигурността на личните данни във връзка с лични данни, обработвани от вносителя на данни съгласно настоящите клаузи, той предприема подходящи мерки за справяне с нарушението на сигурността на личните данни, включително мерки за намаляване на евентуалните неблагоприятни последици.

д)

В случай на нарушение на сигурността на личните данни, което може да породи риск за правата и свободите на физическите лица, вносителят на данни без ненужно забавяне уведомява както износителя на данни, така и компетентния надзорен орган съгласно клауза 13. Уведомлението съдържа i) описание на естеството на нарушението (включително, ако е възможно, категориите и приблизителния брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни), ii) евентуалните последици от нарушението, iii) предприетите или предложените мерки за справяне с нарушението, и iv) координатите на лице за контакт, от което може да бъде получена повече информация. Доколкото за вносителя на данни не е възможно да подаде цялата информация едновременно, той може да я подаде поетапно без по-нататъшно ненужно забавяне.

е)

В случай на нарушение на сигурността на личните данни, което може да породи висок риск за правата и свободите на физическите лица, вносителят също така без ненужно забавяне съобщава на засегнатите субекти на данни за нарушението на сигурността на личните данни и неговото естество, ако е необходимо в сътрудничество с износителя на данни, както и информацията, посочена в буква д), подточки ii)—iv), освен ако вносителят на данни е въвел мерки за значително намаляване на риска за правата или свободите на физическите лица или ако уведомяването би довело до непропорционални усилия. В последния случай вносителят на данни вместо това прави публично съобщение или предприема друга подобна мярка, за да уведоми обществеността за нарушението на сигурността на личните данни.

ж)

Вносителят на данни документира всички съответни факти, свързани с нарушението на сигурността на личните данни, включително последиците от него и предприетите действия за справяне с него, и поддържа регистър на нарушенията.

8.6.   Чувствителни данни

Когато предаването е свързано с лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, генетични данни или биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице, или данни, свързани с присъди или нарушения (наричани по-нататък „чувствителни данни“), вносителят на данни прилага специфични ограничения и/или допълнителни гаранции, приспособени към специфичното естество на данните и свързаните рискове. Това може да включва ограничаване на персонала, на който е разрешен достъп до личните данни, допълнителни мерки за сигурност (като псевдонимизация) и/или допълнителни ограничения по отношение на по-нататъшното разкриване.

8.7.   Последващи предавания

Вносителят на данни не разкрива личните данни пред трета страна, която се намира извън Европейския съюз (3) (в същата държава като вносителя на данни или в друга трета държава, наричано по-нататък „последващо предаване“), освен ако третата страна не е обвързана или не приеме да бъде обвързана от настоящите клаузи по съответния модул. В противен случай последващо предаване от вносителя на данни може да бъде извършено единствено ако:

i)

е към държава, по отношение на която е прието решение на Комисията относно адекватното ниво на защита съгласно член 45 от Регламент (ЕС) 2016/679, в което е включено последващо предаване;

ii)

третата страна осигури по друг начин подходящи гаранции съгласно член 46 или член 47 от Регламент (ЕС) 2016/679 по отношение на въпросното обработване;

iii)

третата страна сключи с вносителя на данни инструмент със задължителен характер, осигуряващ същото ниво на защита на данните, както съгласно настоящите клаузи, и вносителят на данни предостави копие от тези гаранции на износителя на данни;

iv)

това е необходимо с цел установяване, упражняване или защита на правни претенции в контекста на конкретно административно, регулаторно или съдебно производство;

v)

това е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данни или на друго физическо лице; или

vi)

когато не се прилага никое друго условие, вносителят на данни е получил изричното съгласие на субекта на данни за последващо предаване в конкретна ситуация, след като го е уведомил за целта(ите), за самоличността на получателя и за възможните рискове за него от такова предаване поради липсата на подходящи гаранции за защита на данните. В този случай вносителят на данни уведомява износителя на данни и по негово искане му предава копие от информацията, предоставена на субекта на данни.

Всяко последващо предаване трябва да се извършва, при условие че вносителят на данни спазва всички други гаранции съгласно настоящите клаузи, по-специално ограничението в рамките на целта.

8.8.   Обработване под ръководството на вносителя на данни

Вносителят на данни гарантира, че всяко лице, действащо под негово ръководство, включително обработващ лични данни, обработва данните само по негово указание.

8.9.   Документиране и съответствие

а)

Всяка страна трябва да може да докаже, че спазва задълженията си по настоящите клаузи. По-специално вносителят на данни съхранява подходяща документация за дейностите по обработване, извършени под негова отговорност.

б)

Вносителят на данни е длъжен при поискване да предоставя такава документация на компетентния надзорен орган.

МОДУЛ 2: предаване на данни от администратор на обработващ лични данни

8.1.   Указания

а)

Вносителят на данни обработва личните данни само по документирано нареждане на износителя на данни. Износителят на данни може да дава такива указания през целия срок на договора.

б)

Вносителят на данни незабавно уведомява износителя на данни, ако не е в състояние да изпълни тези указания.

8.2.   Ограничение в рамките на целта

Вносителят на данни обработва личните данни само за конкретната(ите) цел(и), за която (които) са предадени, както е посочено в приложение I.Б, освен когато износителят на данни е дал допълнителни указания.

8.3.   Прозрачност

При поискване износителят на данни предоставя безплатно на субекта на данни копие от настоящите клаузи, включително от допълнението, попълнено от страните. До степента, необходима за защита на търговски тайни или друга поверителна информация, включително мерките, описани в приложение II, и на личните данни, износителят на данни може да редактира част от текста на допълнението към настоящите клаузи, преди да сподели негово копие, но трябва да предостави съдържателно резюме, ако в противен случай субектът на данни не би могъл да разбере съдържанието му или да упражни правата си. При поискване страните предоставят на субекта на данни причините за редактирането, доколкото това е възможно, без да разкриват редактираната информация. Тази клауза не засяга задълженията на износителя на данни по членове 13 и 14 от Регламент (ЕС) 2016/679.

8.4.   Точност

Ако вносителят на данни узнае, че личните данни, които е получил, са неточни или са остарели, той уведомява износителя на данни без ненужно забавяне. В този случай вносителят на данни си сътрудничи с износителя на данни за изтриване или коригиране на данните.

8.5.   Срок на обработването и изтриване или връщане на данните

Обработване от вносителя на данни се извършва единствено в срока, посочен в приложение I.Б. При прекратяване на предоставянето на услугите по обработване вносителят на данни, по избор на износителя на данни, заличава всички лични данни, обработвани от името на износителя на данни, и удостоверява пред износителя на данни, че е направил това, или му връща всички лични данни, обработвани от негово име, и заличава съществуващите копия. Докато данните не бъдат заличени или върнати, вносителят на данни продължава да осигурява спазването на настоящите клаузи. Когато съществува местно законодателство, приложимо по отношение на вносителя на данни, с което се забранява връщането или заличаването на личните данни, вносителят на данни гарантира, че ще продължи да осигурява спазването на настоящите клаузи и ще обработва данните само до степента и за периода, изисквани от това местно законодателство. Това не засяга клауза 14, по-специално изискването по клауза 14, буква д) вносителят на данни да уведомява износителя на данни по време на срока на договора, ако има основания да смята, че е длъжен, или ако стане длъжен да спазва закони или практики, които не са в съответствие с изискванията по клауза 14, буква а).

8.6.   Сигурност на обработването

а)

Вносителят на данни, а по време на предаването също и износителят на данни, прилагат подходящи технически и организационни мерки за осигуряване на сигурността на данните, включително защита срещу нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване на данните или достъп до тях (наричано по-нататък „нарушение на сигурността на личните данни“). При оценката на подходящото ниво на сигурност страните вземат предвид достиженията на техническия прогрес, разходите за прилагане, естеството, обхвата, контекста и целта(ите) на обработването, както и свързаните с обработването рискове за субектите на данни. По-специално страните обмислят възможността за използване на криптиране или псевдонимизация, включително по време на предаването, когато целта на обработването може да бъде постигната по такъв начин. В случай на псевдонимизация допълнителната информация за свързване на личните данни с конкретен субект на данни остава, когато е възможно, под изключителния контрол на износителя на данни. Във връзка с изпълнението на това задължение по настоящия параграф вносителят на данни прилага най-малко техническите и организационните мерки, посочени в приложение II. Вносителят на данни извършва редовни проверки, за да гарантира, че тези мерки продължават да осигуряват подходящо ниво на сигурност.

б)

Вносителят на данни предоставя на членовете на своя персонал достъп до личните данни само до степента, която е строго необходима за изпълнението, управлението и наблюдението на договора. Той гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са длъжни по закон да спазват поверителност.

в)

В случай на нарушение на сигурността на личните данни във връзка с лични данни, обработвани от вносителя на данни съгласно настоящите клаузи, той предприема подходящи мерки за справяне с нарушението, включително мерки за намаляване на неблагоприятните последици. След като узнае за нарушението вносителят на данни също така уведомява износителя на данни без ненужно забавяне. Уведомлението съдържа координатите на лице за контакт, от което може да бъде получена повече информация, описание на естеството на нарушението (включително, ако е възможно, категориите и приблизителния брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни), евентуалните последици от нарушението и предприетите или предложените мерки за справяне с нарушението, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици. Когато и доколкото не е възможно цялата информация да се подаде едновременно, първоначалното уведомление съдържа информацията, която е налична към момента, а допълнителната информация се предоставя впоследствие, когато стане налична, без ненужно забавяне.

г)

Вносителят на данни си сътрудничи с износителя на данни и го подпомага, за да му даде възможност да изпълни задълженията си по Регламент (ЕС) 2016/679, по-специално да уведоми компетентния надзорен орган и засегнатите субекти на данни, като се вземе предвид естеството на обработването и информацията, с която разполага вносителят на данни.

8.7.   Чувствителни данни

Когато предаването е свързано с лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, генетични данни или биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице, или данни, свързани с присъди и нарушения (наричани по-нататък „чувствителни данни“), вносителят на данни прилага специфичните ограничения и/или допълнителни гаранции, посочени в приложение I.Б.

8.8.   Последващи предавания

Вносителят на данни разкрива личните данни пред трета страна само по документирано нареждане на износителя на данни. Освен това данните може да бъдат разкривани пред трета страна, която се намира извън Европейския съюз (4) (в същата държава като вносителя на данни или в друга трета държава, наричано по-нататък „последващо предаване“), освен ако третата страна не е обвързана или не приеме да бъде обвързана от настоящите клаузи по съответния модул, или ако:

i)

последващото предаване е към държава, по отношение на която е прието решение на Комисията относно адекватното ниво на защита съгласно член 45 от Регламент (ЕС) 2016/679, в което е включено последващо предаване;

ii)

третата страна осигури по друг начин подходящи гаранции съгласно член 46 или член 47 от Регламент (ЕС) 2016/679 по отношение на въпросното обработване;

iii)

последващото предаване е необходимо с цел установяване, упражняване или защита на правни претенции в контекста на конкретно административно, регулаторно или съдебно производство; или

iv)

последващо предаване е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данни или на друго физическо лице.

Всяко последващо предаване трябва да се извършва, при условие че вносителят на данни спазва всички други гаранции съгласно настоящите клаузи, по-специално ограничението в рамките на целта.

8.9.   Документиране и съответствие

а)

Вносителят на данни обработва своевременно и по подходящия начин всички запитвания от страна на износителя на данни, свързани с обработването съгласно настоящите клаузи.

б)

Страните трябва да могат да докажат, че спазват задълженията си по настоящите клаузи. По-специално вносителят на данни съхранява подходяща документация за дейностите по обработване, извършвани от името на износителя на данни.

в)

Вносителят на данни предоставя на износителя на данни цялата информация, необходима за доказване на спазването на задълженията, посочени в настоящите клаузи, и по искане на износителя на данни позволява и допринася за извършването на одити на обхванатите от настоящите клаузи дейности по обработване на разумни интервали или ако има основание да се смята, че е налице неспазване. Когато взема решение за извършване на проверка или одит, износителят на данни може да вземе предвид съответните сертификати, притежавани от вносителя на данни.

г)

Износителят на данни може да избере да извърши одита сам или да упълномощи независим одитор. Одитите могат да включват проверки в помещенията или физическите съоръжения на вносителя на данни и, когато е целесъобразно, се извършват с разумно предизвестие.

д)

При поискване страните предоставят информацията, посочена в букви б) и в), включително резултатите от одити, на компетентния надзорен орган.

МОДУЛ 3: предаване на данни от обработващ лични данни на обработващ лични данни

8.1.   Указания

а)

Износителят на данни е уведомил вносителя на данни, че действа като лице, обработващо данните, съгласно указанията на своя(ите) администратор(и) на данни, като предоставя тези указания на вносителя на данни преди обработването.

б)

Вносителят на данни обработва личните данни само по документирано нареждане на администратора на данни, съобщено от износителя на данни на вносителя на данни, и по всяко допълнително документирано нареждане на износителя на данни. Такова допълнително нареждане не трябва да противоречи на нареждането на администратора на данни. Администраторът или износителят на данни може да дава допълнителни документирани нареждания относно обработването на данните през целия срок на договора.

в)

Вносителят на данни незабавно уведомява износителя на данни, ако не е в състояние да изпълни тези указания. Когато вносителят на данни не е в състояние да изпълни указанията на администратора на данни, износителят на данни незабавно уведомява администратора.

г)

Износителят на данни гарантира, че е наложил на вносителя на данни същите задължения за защита на данните, както задълженията, предвидени в договора или друг правен акт съгласно правото на Съюза или на държава членка между администратора и износителя на данни (5).

8.2.   Ограничение в рамките на целта

Вносителят на данни обработва личните данни само за конкретната(ите) цел(и), за която (които) са предадени, както е посочено в приложение I.Б, освен когато ги обработва по допълнително нареждане на администратора на лични данни, съобщено на вносителя на данни от износителя на данни, или по допълнително нареждане на износителя на данни.

8.3.   Прозрачност

При поискване износителят на данни предоставя безплатно на субекта на данни копие от настоящите клаузи, включително от допълнението, попълнено от страните. До степента, необходима за защита на търговски тайни или друга поверителна информация, включително лични данни, износителят на данни може да редактира част от текста на допълнението, преди да сподели негово копие, но трябва да предостави съдържателно резюме, ако в противен случай субектът на данни не би могъл да разбере съдържанието му или да упражни правата си. При поискване страните предоставят на субекта на данни причините за редактирането, доколкото това е възможно, без да разкриват редактираната информация.

8.4.   Точност

Ако вносителят на данни узнае, че личните данни, които е получил, са неточни или са остарели, той уведомява износителя на данни без ненужно забавяне. В този случай вносителят на данни си сътрудничи с износителя на данни за коригиране или изтриване на данните.

8.5.   Срок на обработването и изтриване или връщане на данните

Обработване от вносителя на данни се извършва единствено в срока, посочен в приложение I.Б. При прекратяване на предоставянето на услугите по обработване вносителят на данни, по избор на износителя на данни, заличава всички лични данни, обработвани от името на администратора на данни, и удостоверява пред износителя на данни, че е направил това, или му връща всички лични данни, обработвани от негово име, и заличава съществуващите копия. Докато данните не бъдат заличени или върнати, вносителят на данни продължава да осигурява спазването на настоящите клаузи. Когато съществува местно законодателство, приложимо по отношение на вносителя на данни, с което се забранява връщането или заличаването на личните данни, вносителят на данни гарантира, че ще продължи да осигурява спазването на настоящите клаузи и ще обработва данните само до степента и за периода, изисквани от това местно законодателство. Това не засяга клауза 14, по-специално изискването по клауза 14, буква д) вносителят на данни да уведомява износителя на данни по време на срока на договора, ако има основания да смята, че е длъжен, или ако стане длъжен да спазва закони или практики, които не са в съответствие с изискванията по клауза 14, буква а).

8.6.   Сигурност на обработването

а)

Вносителят на данни, а по време на предаването също и износителят на данни, прилагат подходящи технически и организационни мерки за осигуряване на сигурността на данните, включително защита срещу нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване на данните или достъп до тях (наричано по-нататък „нарушение на сигурността на личните данни“). При оценката на подходящото ниво на сигурност те вземат предвид достиженията на техническия прогрес, разходите за прилагане, естеството, обхвата, контекста и целта(ите) на обработването, както и свързаните с обработването рискове за субекта на данни. По-специално страните обмислят възможността за използване на криптиране или псевдонимизация, включително по време на предаването, когато целта на обработването може да бъде постигната по такъв начин. В случай на псевдонимизация допълнителната информация за свързване на личните данни с конкретен субект на данни остава, когато е възможно, под изключителния контрол на износителя на данни или на администратора на лични данни. Във връзка с изпълнението на това задължение по настоящия параграф вносителят на данни прилага най-малко техническите и организационните мерки, посочени в приложение II. Вносителят на данни извършва редовни проверки, за да гарантира, че тези мерки продължават да осигуряват подходящо ниво на сигурност.

б)

Вносителят на данни предоставя на членовете на своя персонал достъп до данните само до степента, която е строго необходима за изпълнението, управлението и наблюдението на договора. Той гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са длъжни по закон да спазват поверителност.

в)

В случай на нарушение на сигурността на личните данни във връзка с лични данни, обработвани от вносителя на данни съгласно настоящите клаузи, той предприема подходящи мерки за справяне с нарушението, включително мерки за намаляване на неблагоприятните последици. След като узнае за нарушението вносителят на данни също така уведомява без ненужно забавяне износителя на данни и когато това е уместно и осъществимо — администратора на данни. Уведомлението съдържа координатите на лице за контакт, от което може да бъде получена повече информация, описание на естеството на нарушението (включително, ако е възможно, категориите и приблизителния брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни), евентуалните последици от нарушението на сигурността на данните и предприетите или предложените мерки за справяне с нарушението, включително мерки за намаляване на евентуалните неблагоприятни последици. Когато и доколкото не е възможно цялата информация да се подаде едновременно, първоначалното уведомление съдържа информацията, която е налична към момента, а допълнителната информация се предоставя впоследствие, когато стане налична, без ненужно забавяне.

г)

Вносителят на данни си сътрудничи с износителя на данни и го подпомага, за да му даде възможност да изпълни задълженията си по Регламент (ЕС) 2016/679, по-специално да уведоми своя администратор на лични данни, така че той да може на свой ред да уведоми компетентния надзорен орган и засегнатите субекти на данни, като се вземе предвид естеството на обработването и информацията, с която разполага вносителят на данни.

8.7.   Чувствителни данни

Когато предаването е свързано с лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, генетични данни или биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице, или данни, свързани с присъди и нарушения (наричани по-нататък „чувствителни данни“), вносителят на данни прилага специфичните ограничения и/или допълнителни гаранции, посочени в приложение I.Б.

8.8.   Последващи предавания

Вносителят на данни разкрива личните данни пред трета страна само по документирано нареждане на администратора, съобщено от износителя на данни на вносителя на данни. Освен това данните може да бъдат разкривани пред трета страна, която се намира извън Европейския съюз (6) (в същата държава като вносителя на данни или в друга трета държава, наричано по-нататък „последващо предаване“), освен ако третата страна не е обвързана или не приеме да бъде обвързана от настоящите клаузи по съответния модул, или ако:

i)

последващото предаване е към държава, по отношение на която е прието решение на Комисията относно адекватното ниво на защита съгласно член 45 от Регламент (ЕС) 2016/679, в което е включено последващо предаване;

ii)

третата страна осигури по друг начин подходящи гаранции съгласно член 46 или член 47 от Регламент (ЕС) 2016/679;

iii)

последващото предаване е необходимо с цел установяване, упражняване или защита на правни претенции в контекста на конкретно административно, регулаторно или съдебно производство; или

iv)

последващо предаване е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данни или на друго физическо лице.

Всяко последващо предаване трябва да се извършва, при условие че вносителят на данни спазва всички други гаранции съгласно настоящите клаузи, по-специално ограничението в рамките на целта.

8.9.   Документиране и съответствие

а)

Вносителят на данни обработва своевременно и по подходящия начин всички запитвания от страна на износителя на данни или на администратора, свързани с обработването съгласно настоящите клаузи.

б)

Страните трябва да могат да докажат, че спазват задълженията си по настоящите клаузи. По-специално вносителят на данни съхранява подходяща документация за дейностите по обработване, извършвани от името на администратора на лични данни.

в)

Вносителят на данни предоставя на износителя на данни цялата информация, необходима за доказване на спазването на задълженията, посочени в настоящите клаузи, като износителят на данни предоставя тази информация на администратора.

г)

Вносителят на данни позволява и допринася за извършването от износителя на данни на одити на обхванатите от настоящите клаузи дейности по обработване на разумни интервали или ако има основание да се смята, че е налице неспазване. Същото се прилага, когато износителят на данни изисква одит по указания на администратора. Когато взема решение за извършване на одит, износителят на данни може да вземе предвид съответните сертификати, притежавани от вносителя на данни.

д)

Когато одитът се извършва по указания на администратора, износителят на данни предоставя резултатите на администратора.

е)

Износителят на данни може да избере да извърши одита сам или да упълномощи независим одитор. Одитите могат да включват проверки в помещенията или физическите съоръжения на вносителя на данни и, когато е целесъобразно, се извършват с разумно предизвестие.

ж)

При поискване страните предоставят информацията, посочена в букви б) и в), включително резултатите от одити, на компетентния надзорен орган.

МОДУЛ 4: предаване на данни от обработващ лични данни на администратор

8.1.   Указания

а)

Износителят на данни обработва личните данни само по документирано нареждане на вносителя на данни, който действа като негов администратор.

б)

Износителят на данни незабавно уведомява вносителя на данни, ако не е в състояние да изпълни тези указания, ако указанията нарушават Регламент (ЕС) 2016/679 или на друго право за защита на личните данни на Съюза или на държава членка.

в)

Вносителят на данни се въздържа от всякакви действия, които биха попречили на износителя на данни да изпълни задълженията си по Регламент (ЕС) 2016/679, включително в контекста на обработването по договор за подизпълнение или по отношение на сътрудничеството с компетентните надзорни органи.

г)

При прекратяване на предоставянето на услугите по обработване износителят на данни, по избор на вносителя на данни, заличава всички лични данни, обработвани от името на вносителя на данни, и удостоверява пред вносителя на данни, че е направил това, или му връща всички лични данни, обработвани от негово име, и заличава съществуващите копия.

8.2.   Сигурност на обработването

а)

Страните прилагат подходящи технически и организационни мерки, за да осигурят сигурността на данните, включително по време на предаване, и защитата им срещу нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп (наричани по-нататък „нарушение на сигурността на личните данни“). При оценката на подходящото ниво на сигурност те вземат предвид достиженията на техническия прогрес, разходите за прилагане, естеството на личните данни (7), естеството, обхвата, контекста и целта(ите) на обработването, както и свързаните с обработването рискове за субекта на данни, и по-специално обмислят възможността за използване на криптиране или псевдонимизация, включително по време на предаване, когато целта на обработването може да бъде постигната по такъв начин.

б)

Износителят на данни помага на вносителя на данни при осигуряване на подходяща сигурност на данните в съответствие с буква а). В случай на нарушение на сигурността на личните данни във връзка с лични данни, обработвани от износителя на данни съгласно настоящите клаузи, след като узнае за нарушението той уведомява вносителя на данни без ненужно забавяне и помага на вносителя на данни да се справи с нарушението.

в)

Износителят на данни гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са длъжни по закон да спазват поверителност.

8.3.   Документиране и съответствие

а)

Страните трябва да могат да докажат, че спазват задълженията си по настоящите клаузи.

б)

Износителят на данни предоставя на вносителя на данни цялата информация, необходима за доказване на спазването на задълженията по настоящите клаузи, и позволява и допринася за извършването на одити.

Клауза 9

Използване на обработващи лични данни подизпълнители

МОДУЛ 2: предаване на данни от администратор на обработващ лични данни

а)

ВАРИАНТ 1: СПЕЦИФИЧНО ПРЕДВАРИТЕЛНО РАЗРЕШЕНИЕ Вносителят на данни няма да предава за подизпълнение на обработващ лични данни дейностите си по обработване, извършвани от името на износителя на данни съгласно настоящите клаузи, без специфичното предварително писмено разрешение на износителя на данни. Вносителят на данни подава искането за специфично разрешение най-малко [посочете период от време], преди да включи обработващия лични данни подизпълнител, заедно с информацията, необходима, за да може износителят на данни да вземе решение във връзка разрешението. Списъкът на обработващите лични данни подизпълнители, по отношение на които износителят на данни вече е дал разрешение, може да се намери в приложение III. Страните редовно актуализират приложение III.

ВАРИАНТ 2: ОБЩО ПИСМЕНО РАЗРЕШЕНИЕ Вносителят на данни има общото разрешение на износителя на данни да включва обработващ(и) лични данни подизпълнител(и) от съгласуван списък. Вносителят на данни изрично уведомява писмено износителя на данни за всички планирани промени в този списък чрез добавяне или замяна на обработващи лични данни подизпълнители най-малко [посочете период от време] предварително, като по този начин дава на износителя на данни достатъчно време, за да може да възрази срещу такива промени, преди включването на обработващия(ите) лични данни подизпълнител(и). Вносителят на данни предоставя на износителя на данни необходимата информация, за да може износителят на данни да упражни правото си на възражение.

б)

Когато вносителят на данни включва обработващ лични данни подизпълнител, който да извършва специфични дейности по обработване (от името на износителя на данни), той прави това чрез писмен договор, с който се налагат по същество същите задължения за защита на данните, както задълженията, предвидени в настоящите клаузи по отношение на вносителя на данни, включително по отношение на правата на трети страни бенефициери във връзка със субектите на данни (8). Страните се споразумяват, че като спазва настоящата клауза, вносителят на данни изпълнява задълженията си по клауза 8.8. Вносителят на данни осигурява спазването от обработващия лични данни подизпълнител на задълженията на вносителя на данни съгласно настоящите клаузи.

в)

Вносителят на данни предоставя на износителя на данни по негово искане копие от това споразумение с обработващия лични данни подизпълнител и всички негови последващи изменения. До степента, необходима за защита на търговски тайни или друга поверителна информация, включително лични данни, вносителят на данни може да редактира текста на споразумението, преди да сподели негово копие.

г)

Вносителят на данни носи пълната отговорност пред износителя на данни за изпълнението на задълженията на обработващия лични данни подизпълнител по неговия договор с вносителя на данни. Вносителят на данни уведомява износителя на данни за всяко неизпълнение от страна на обработващия лични данни подизпълнител на задълженията му по този договор.

д)

Вносителят на данни договаря с обработващия лични данни подизпълнител клауза за трети страни бенефициери, по силата на която, в случай че вносителят на данни е изчезнал фактически или е престанал да съществува юридически, или е изпаднал в несъстоятелност, износителят на данни има право да прекрати договора с обработващия лични данни подизпълнител и да му даде указания да изтрие или върне личните данни.

МОДУЛ 3: предаване на данни от обработващ лични данни на обработващ лични данни

а)

ВАРИАНТ 1: СПЕЦИФИЧНО ПРЕДВАРИТЕЛНО РАЗРЕШЕНИЕ Вносителят на данни няма да предава за подизпълнение на обработващ лични данни дейностите си по обработване, извършвани от името на износителя на данни съгласно настоящите клаузи, без специфичното предварително писмено разрешение на администратора на лични данни. Вносителят на данни подава искането за специфично разрешение най-малко [посочете период от време], преди да включи обработващия лични данни подизпълнител, заедно с информацията, необходима, за да може администраторът на лични данни да вземе решение във връзка разрешението. Той уведомява износителя на данни за такова включване. Списъкът на обработващите лични данни подизпълнители, по отношение на които администраторът на лични данни вече е дал разрешение, може да се намери в приложение III. Страните редовно актуализират приложение III.

ВАРИАНТ 2: ОБЩО ПИСМЕНО РАЗРЕШЕНИЕ Вносителят на данни има общото разрешение на администратора на лични данни да включва обработващ(и) лични данни подизпълнител(и) от съгласуван списък. Вносителят на данни изрично уведомява писмено администратора на лични данни за всички планирани промени в този списък чрез добавяне или замяна на обработващи лични данни подизпълнители най-малко [посочете период от време] предварително, като по този начин дава на администратора на лични данни достатъчно време, за да може да възрази срещу такива промени преди включването на обработващия(ите) лични данни подизпълнител(и). Вносителят на данни предоставя на администратора на лични данни необходимата информация, за да може администраторът на лични данни да упражни правото си на възражение. Вносителят на данни уведомява износителя на данни за включването на обработващия(ите) лични данни подизпълнител(и).

б)

Когато вносителят на данни включва обработващ лични данни подизпълнител, който да извършва специфични дейности по обработване (от името на администратора на лични данни), той прави това чрез писмен договор, с който се налагат по същество същите задължения за защита на данните, както задълженията, предвидени в настоящите клаузи по отношение на вносителя на данни, включително по отношение на правата на трети страни бенефициери във връзка със субектите на данни (9). Страните се споразумяват, че като спазва настоящата клауза, вносителят на данни изпълнява задълженията си по клауза 8.8. Вносителят на данни осигурява спазването от обработващия лични данни подизпълнител на задълженията на вносителя на данни съгласно настоящите клаузи.

в)

Вносителят на данни предоставя по искане на износителя на данни или на администратора на лични данни копие от това споразумение с обработващия лични данни подизпълнител и всички негови последващи изменения. До степента, необходима за защита на търговски тайни или друга поверителна информация, включително лични данни, вносителят на данни може да редактира текста на споразумението, преди да сподели негово копие.

г)

Вносителят на данни носи пълната отговорност пред износителя на данни за изпълнението на задълженията на обработващия лични данни подизпълнител по неговия договор с вносителя на данни. Вносителят на данни уведомява износителя на данни за всяко неизпълнение от страна на обработващия лични данни подизпълнител на задълженията му по този договор.

д)

Вносителят на данни договаря с обработващия лични данни подизпълнител клауза за трети страни бенефициери, по силата на която, в случай че вносителят на данни е изчезнал фактически или е престанал да съществува юридически, или е изпаднал в несъстоятелност, износителят на данни има право да прекрати договора с обработващия лични данни подизпълнител и да му даде указания да изтрие или върне личните данни.

Клауза 10

Права на субектите на данни

МОДУЛ 1: предаване на данни от администратор на администратор

а)

Вносителят на данни, когато е уместно със съдействието на износителя на данни, обработва всички запитвания и искания, които получава от субекта на данни във връзка с обработването на личните му данни и упражняването на правата му по настоящите клаузи, без ненужно забавяне и най-късно в срок от един месец от получаването на запитването или искането (10). Вносителят на данни предприема подходящи мерки за улесняване на подобни запитвания, на искания и на упражняването на правата на субекта на данни. Всяка информация, предоставена на субекта на данни, трябва да бъде в разбираема и лесно достъпна форма, като се използва ясен и прост език.

б)

По-специално по искане на субекта на данни вносителят на данни безплатно:

i)

предоставя на субекта на данни потвърждение дали се обработват лични данни, свързани с него, и ако това е така, предоставя копие от свързаните с него данни, както и информацията, съдържаща се в приложение I; ако личните данни вече са били или ще бъдат предадени последващо, предоставя информация за получателите или категориите получатели (според случая с оглед предоставяне на смислена информация), на които личните данни вече са били или ще бъдат предадени последващо, за целта на такова последващо предаване и за основанието за него съгласно клауза 8.7; и предоставя информация за правото му да подаде жалба до надзорен орган в съответствие с клауза 12, буква в), подточка i);

ii)

коригира неточни или непълни данни, свързани със субекта на данни;

iii)

изтрива личните данни, свързани със субекта на данни, ако тези данни се обработват или са били обработвани в нарушение на някоя от настоящите клаузи, гарантираща правата на трети страни бенефициери, или ако субектът на данни оттегли съгласието, на което се основава обработването.

в)

Когато вносителят на данни обработва личните данни за целите на директния маркетинг, той прекратява обработването за такива цели, ако субектът на данни възрази срещу него.

г)

Вносителят на данни не взема решение, основаващо се единствено на автоматизирано обработване на предадените лични данни (наричано по-нататък „автоматизирано решение“), което би имало правни последици за физическото лице или по подобен начин сериозно би го засегнало, освен с изричното съгласие на субекта на данни или ако законодателството на държавата на получаване позволява това, при условие че в това законодателство са предвидени подходящи мерки за гарантиране на правата и законните интереси на субекта на данни. В този случай при необходимост вносителят на данни в сътрудничество с износителя на данни:

i)

уведомява субекта на данни за предвижданото автоматизирано решение, за предвидените последствия и за използваната логика; както и

ii)

прилага подходящи гаранции, като най-малко осигурява на субекта на данни възможност да оспори решението, да изрази гледната си точка и да бъде извършен преглед от човек.

д)

Когато исканията на субект на данни са прекомерни, по-специално поради своята повторяемост, вносителят на данни може или да наложи разумна такса, основана на административните разходи за обработване на искането, или да откаже да предприеме действия по искането.

е)

Вносителят на данни може да откаже да изпълни искането на субект на данни, ако такъв отказ е допустим съгласно законодателството на държавата на получаване и представлява необходима и пропорционална мярка в едно демократично общество за гарантиране на целите по член 23, параграф 1 от Регламент (ЕС) 2016/679.

ж)

Ако вносителят на данни възнамерява да откаже да изпълни искането на субект на данни, той уведомява субекта на данни за причините за отказа и за възможността да подаде жалба до компетентния надзорен орган и/или да поиска съдебна защита.

МОДУЛ 2: предаване на данни от администратор на обработващ лични данни

а)

Вносителят на данни своевременно уведомява износителя на данни за всяко искане, което е получил от субект на данни. Той не отговаря сам на това искане, освен ако не бъде оправомощен от износителя на данни.

б)

Вносителят на данни помага на износителя на данни да изпълни задълженията си да отговаря на исканията на субектите на данни за упражняване на техните права съгласно Регламент (ЕС) 2016/679. Във връзка с това страните определят в приложение II подходящите технически и организационни мерки, като вземат предвид естеството на обработването, посредством което се предоставя помощта, както и обхвата и степента на необходимата помощ.

в)

Когато изпълнява задълженията си по букви а) и б), вносителят на данни спазва указанията на износителя на данни.

МОДУЛ 3: предаване на данни от обработващ лични данни на обработващ лични данни

а)

Вносителят на данни своевременно уведомява износителя на данни и когато е целесъобразно — администратора, за всяко искане, което е получил от субект на данни, без да отговаря на това искане, освен ако не е оправомощен от администратора.

б)

Вносителят на данни помага на администратора на лични данни, когато е необходимо в сътрудничество с износителя на данни, да изпълни задълженията си да отговаря на исканията на субектите на данни за упражняване на техните права съгласно Регламент (ЕС) 2016/679 или Регламент (ЕС) 2018/1725, според случая. Във връзка с това страните определят в приложение II подходящите технически и организационни мерки, като вземат предвид естеството на обработването, посредством което се предоставя помощта, както и обхвата и степента на необходимата помощ.

в)

Когато изпълнява задълженията си по букви а) и б), вносителят на данни спазва указанията на администратора на лични данни, както са му съобщени от износителя на данни.

МОДУЛ 4: предаване на данни от обработващ лични данни на администратор

Страните си помагат взаимно, за да отговарят на запитвания и искания, отправени от субекти на данни съгласно местното право, приложимо по отношение на вносителя на данни, или съгласно Регламент (ЕС) 2016/679 по отношение на обработването на данни в ЕС от износителя на данни.

Клауза 11

Правни средства за защита

а)

Вносителят на данни уведомява субектите на данни по прозрачен начин и в леснодостъпен формат, чрез индивидуално известие или на своя уебсайт, за точката за контакт, упълномощена да обработва жалби. Той своевременно обработва всички жалби, които получава от субекти на данни.

[ВАРИАНТ: Вносителят на данни приема, че субектите на данни могат също да подават жалби до независим орган за разрешаване на спорове (11) без разходи за субекта на данни. Той уведомява субектите на данни по начина, посочен в буква а), за този механизъм за защита, както и че те не са длъжни да го използват или да следват определена последователност при търсене на защита.]

МОДУЛ 1: предаване на данни от администратор на администратор

МОДУЛ 2: предаване на данни от администратор на обработващ лични данни

МОДУЛ 3: предаване на данни от обработващ лични данни на обработващ лични данни

б)

В случай на спор между субекта на данни и една от страните по отношение на спазването на настоящите клаузи тази страна полага максимални усилия за своевременно уреждане на спора по взаимно съгласие. Страните се уведомяват взаимно за такива спорове и когато е уместно, си сътрудничат при разрешаването им.

в)

Когато субектът на данни се позовава на право на трета страна бенефициер съгласно клауза 3, вносителят на данни приема решението на субекта на данни да:

i)

подаде жалба до надзорния орган в държавата членка на обичайното си местопребиваване или място на работа или до компетентния надзорен орган по клауза 13;

ii)

отнесе спора до компетентния съд по смисъла на клауза 18.

г)

Страните приемат, че субектът на данни може да бъде представляван от структура, организация или сдружение с нестопанска цел при условията, посочени в член 80, параграф 1 от Регламент (ЕС) 2016/679.

д)

Вносителят на данни се съобразява с решение, което е обвързващо съгласно приложимото право на ЕС или на държава членка.

е)

Вносителят на данни приема, че направеният от субекта на данни избор няма да накърни неговите материални и процесуални права да търси средства за защита в съответствие с приложимото законодателство.

Клауза 12

Отговорност

МОДУЛ 1: предаване на данни от администратор на администратор

МОДУЛ 4: предаване на данни от обработващ лични данни на администратор

а)

Всяка страна носи отговорност пред другата(ите) страна(и) за всякакви вреди, причинени на другата(ите) страна(и) в резултат на нарушаване на настоящите клаузи.

б)

Всяка страна носи отговорност пред субекта на данни и субектът на данни има право да получи обезщетение за всякакви имуществени или неимуществени вреди, които страната му нанесе, нарушавайки правата на третата страна бенефициер съгласно настоящите клаузи. Това не засяга отговорността на износителя на данни съгласно Регламент (ЕС) 2016/679.

в)

Когато повече от една страна носи отговорност за вреди, причинени на субекта на данни в резултат на нарушение на настоящите клаузи, всички отговорни страни носят солидарна отговорност и субектът на данни има право да заведе дело в съда срещу която и да е от тези страни.

г)

Страните се споразумяват, че ако една от страните бъде подведена под отговорност съгласно буква в), тя ще има право да поиска обратно от другата(ите) страна(и) тази част от обезщетението, която съответства на отговорността на последната(ите) за вредите.

д)

Вносителят на данни не може да се позовава на поведението на обработващ лични данни или на обработващ лични данни подизпълнител, за да избегне собствената си отговорност.

МОДУЛ 2: предаване на данни от администратор на обработващ лични данни

МОДУЛ 3: предаване на данни от обработващ лични данни на обработващ лични данни

а)

Всяка страна носи отговорност пред другата(ите) страна(и) за всякакви вреди, причинени на другата(ите) страна(и) в резултат на нарушаване на настоящите клаузи.

б)

Вносителят на данни носи отговорност пред субекта на данни и субектът на данни има право да получи обезщетение за всякакви имуществени или неимуществени вреди, които вносителят на данни или неговият обработващ лични данни подизпълнител му нанесе, нарушавайки правата на третата страна бенефициер съгласно настоящите клаузи.

в)

Независимо от буква б), износителят на данни носи отговорност пред субекта на данни и субектът на данни има право да получи обезщетение за всякакви имуществени или неимуществени вреди, които износителят на данни или вносителят на данни (или неговият обработващ лични данни подизпълнител) му нанесе, нарушавайки правата на третата страна бенефициер съгласно настоящите клаузи. Това не засяга отговорността на износителя на данни и когато износителят на данни е обработващ лични данни, който действа от името на администратор на лични данни — отговорността на администратора на лични данни съгласно Регламент (ЕС) 2016/679 или Регламент (ЕС) 2018/1725, според случая.

г)

Страните се споразумяват, че ако износителят на данни бъде подведен под отговорност съгласно буква в) за вреди, причинени от вносителя на данни (или от неговия обработващ лични данни подизпълнител), първият ще има право да поиска обратно от вносителя на данни тази част от обезщетението, която съответства на отговорността на последния за вредите.

д)

Когато повече от една страна носи отговорност за вреди, причинени на субекта на данни в резултат на нарушение на настоящите клаузи, всички отговорни страни носят солидарна отговорност и субектът на данни има право да заведе дело в съда срещу която и да е от тези страни.

е)

Страните се споразумяват, че ако една от страните бъде подведена под отговорност съгласно буква д), тя ще има право да поиска обратно от другата(ите) страна(и) тази част от обезщетението, която съответства на отговорността на последната(ите) за вредите.

ж)

Вносителят на данни не може да се позовава на поведението на обработващ лични данни подизпълнител, за да избегне собствената си отговорност.

Клауза 13

Надзор

МОДУЛ 1: предаване на данни от администратор на администратор

МОДУЛ 2: предаване на данни от администратор на обработващ лични данни

МОДУЛ 3: предаване на данни от обработващ лични данни на обработващ лични данни

а)

[Когато износителят на данни е установен в държава — членка на ЕС:] Надзорният орган, който отговаря за осигуряване на спазването на Регламент (ЕС) 2016/679 от износителя на данни по отношение на предаването на данни, както е посочен в приложение I.В, действа като компетентен надзорен орган.

[Когато износителят на данни не е установен в държава — членка на ЕС, но попада в териториалния обхват на прилагане на Регламент (ЕС) 2016/679 съгласно член 3, параграф 2 от него и е назначил представител в съответствие с член 27, параграф 1 от Регламент (ЕС) 2016/679:] Надзорният орган на държавата членка, в която е установен представителят по смисъла на член 27, параграф 1 от Регламент (ЕС) 2016/679, както е посочен в приложение I.В, действа като компетентен надзорен орган.

[Когато износителят на данни не е установен в държава — членка на ЕС, но попада в териториалния обхват на прилагане на Регламент (ЕС) 2016/679 съгласно член 3, параграф 2 от него, без обаче да е длъжен да назначи представител в съответствие с член 27, параграф 2 от Регламент (ЕС) 2016/679:] Надзорният орган на една от държавите членки, в които се намират субектите на данни, чиито лични данни се предават съгласно настоящите клаузи във връзка с предлагането на стоки или услуги за тях или чието поведение се наблюдава, както е посочено в приложение I.В, действа като компетентен надзорен орган.

б)

Вносителят на данни се съгласява да приеме юрисдикцията и да си сътрудничи с компетентния надзорен орган във всички производства, които имат за цел да осигурят спазването на настоящите клаузи. По-специално вносителят на данни приема да отговаря на запитвания, да бъде подлаган на одити и да спазва мерките, приети от надзорния орган, включително коригиращите и компенсаторните мерки. Той предоставя на надзорния орган писмено потвърждение, че са предприети необходимите действия.

РАЗДЕЛ III — МЕСТНО ЗАКОНОДАТЕЛСТВО И ЗАДЪЛЖЕНИЯ В СЛУЧАЙ НА ДОСТЪП НА ПУБЛИЧНИ ОРГАНИ

Клауза 14

Местно законодателство и практики, засягащи спазването на клаузите

МОДУЛ 1: предаване на данни от администратор на администратор

МОДУЛ 2: предаване на данни от администратор на обработващ лични данни

МОДУЛ 3: предаване на данни от обработващ лични данни на обработващ лични данни

МОДУЛ 4: Предаване на данни от обработващ лични данни на администратор (когато обработващият лични данни от ЕС съчетава личните данни, получени от администратора от трета държава, с лични данни, които обработващият лични данни е събрал в ЕС)

а)

Страните гарантират, че нямат основание да смятат, че законите и практиките в третата държава на получаване, приложими по отношение на обработването на лични данни от вносителя на данни, включително всички изисквания за разкриване на лични данни или всички мерки, разрешаващи достъп от страна на публични органи, не позволяват на вносителя на данни да изпълнява задълженията си по настоящите клаузи. Това се основава на разбирането, че законите и практиките, които зачитат същността на основните права и свободи и са пропорционални, и не надхвърлят необходимото в едно демократично общество за защита на някоя от целите, изброени в член 23, параграф 1 от Регламент (ЕС) 2016/679, не са в противоречие с настоящите клаузи.

б)

Страните декларират, че при предоставянето на гаранцията по буква а) те са взели надлежно предвид по-специално следните елементи:

i)

специфичните обстоятелства във връзка с предаването, включително дължината на веригата на обработване, броя на участниците и използваните канали за предаване; предназначени последващи предавания; вида на получателя; целта на обработването; категориите и формата на предаваните лични данни; икономическия сектор, в който става предаването; мястото, на което се съхраняват предадените данни;

ii)

законите и практиките на третата държава на получаване — включително тези, които изискват разкриване на данни пред публични органи или разрешаване на такива органи да имат достъп — които са от значение в светлината на специфичните обстоятелства на предаването, и приложимите ограничения и гаранции (12);

iii)

всички съответни договорни, технически или организационни гаранции, въведени в допълнение към гаранциите съгласно настоящите клаузи, включително мерки, прилагани по време на предаването и за обработването на личните данни в държавата на получаване.

в)

Вносителят на данни гарантира, че при извършването на оценката съгласно буква б) е положил максимални усилия да предостави на износителя на данни необходимата информация, и приема да продължи да си сътрудничи с износителя на данни за осигуряване на спазването на настоящите клаузи.

г)

Страните се споразумяват да документират оценката съгласно буква б) и при поискване да я предоставят на компетентния надзорен орган.

д)

Вносителят на данни се съгласява да уведоми износителя на данни своевременно, ако, след като е приел настоящите клаузи и по време на срока на договора, има основания да смята, че е длъжен, или ако стане длъжен да спазва закони или практики, които не са в съответствие с изискванията по буква а), включително след промяна на законите на третата държава или на мярка (като например искане за разкриване), сочеща за прилагане на тези закони на практика, което не е в съответствие с изискванията по буква а). [За модул 3: Износителят на данни изпраща уведомлението на администратора на лични данни.]

е)

След уведомление съгласно буква д) или ако износителят на данни по друг начин има основания да смята, че вносителят на данни вече не може да изпълнява задълженията си по настоящите клаузи, износителят на данни своевременно определя подходящи мерки (напр. технически или организационни мерки за осигуряване на сигурност и поверителност), които да бъдат предприети от износителя на данни и/или от вносителя на данни за справяне със ситуацията [за модул 3:, ако е целесъобразно в консултации с администратора на лични данни]. Износителят на данни спира предаването на данни, ако прецени, че не могат да бъдат осигурени подходящи гаранции за такова предаване, или ако е получил указания от [за модул 3: администратора на лични данни или от] компетентния надзорен орган. В този случай износителят на данни има право да прекрати договора, доколкото той се отнася до обработването на лични данни съгласно настоящите клаузи. Ако договорът е сключен между повече от две страни, износителят на данни може да упражни това право на прекратяване само по отношение на съответната страна, освен ако страните не са се договорили за друго. Когато договорът бъде прекратен съгласно настоящата клауза, се прилагат букви г) и д) от клауза 16.

Клауза 15

Задължения на вносителя на данни в случай на достъп от страна на публични органи

МОДУЛ 1: предаване на данни от администратор на администратор

МОДУЛ 2: предаване на данни от администратор на обработващ лични данни

МОДУЛ 3: предаване на данни от обработващ лични данни на обработващ лични данни

МОДУЛ 4: Предаване на данни от обработващ лични данни на администратор (когато обработващият лични данни от ЕС съчетава личните данни, получени от администратора от трета държава, с лични данни, които обработващият лични данни е събрал в ЕС)

15.1.   Уведомяване

а)

Вносителят на данни се съгласява да уведоми износителя на данни, и когато е възможно — субекта на данни, своевременно (ако е необходимо с помощта на износителя на данни), ако:

i)

получи от публичен орган, включително съдебни органи, правнообвързващо искане съгласно законите на държавата на получаване за разкриване на лични данни, предадени съгласно настоящите клаузи; такова уведомяване включва информация за исканите лични данни, отправилия искането орган, правното основание за искането и предоставения отговор; или

ii)

узнае за какъвто и да е пряк достъп на публични органи до лични данни, предадени съгласно настоящите клаузи, в съответствие със законите на държавата на получаване; такова уведомление включва цялата информация, с която разполага вносителят.

[За модул 3: Износителят на данни изпраща уведомлението на администратора на лични данни.]

б)

Ако съгласно законодателството на държавата на получаване на вносителя на данни е забранено да уведомява износителя на данни и/или субекта на данни, вносителят на данни се съгласява да положи максимални усилия да получи освобождаване от забраната с цел да съобщи колкото е възможно повече информация във възможно най-кратък срок. Вносителят на данни приема да документира своите усилия, за да може да ги докаже при поискване от износителя на данни.

в)

Когато е допустимо съгласно законодателството на държавата на получаване, вносителят на данни приема да предоставя на износителя на данни периодично по време на срока на договора възможно най-много релевантна информация относно получените искания (по-специално броя на исканията, вида на исканите данни, отправилия(ите) искането орган(и), дали исканията са били оспорени и резултатите от такива оспорвания и т.н.). [За модул 3: Износителят на данни препраща информацията на администратора.]

г)

Вносителят на данни приема да съхранява информацията по букви а)—в) за срока на договора и при поискване да я предоставя на компетентния надзорен орган.

д)

Букви а)—в) не засягат задължението на вносителя на данни съгласно клауза 14, буква д) и клауза 16 своевременно да уведомява износителя на данни, когато не е в състояние да изпълни настоящите клаузи.

15.2.   Контрол за законосъобразност и свеждане на данните до минимум

а)

Вносителят на данни приема да провери законосъобразността на искането за разкриване, по-специално дали то продължава да е в правомощията, предоставени на отправилия го публичен орган, както и да оспори искането, ако след внимателна преценка стигне до заключението, че има разумни основания да се смята, че искането е незаконосъобразно съгласно законодателството на държавата на получаване, приложимите задължения съгласно международното право и принципите на международната вежливост. Вносителят на данни следва при същите условия да търси възможности за обжалване. Когато оспорва искане, вносителят на данни подава молба за временни мерки с цел да се спре действието на искането, докато компетентният съдебен орган не вземе решение по същество. Той не разкрива исканите лични данни, докато това не бъде изискано съгласно приложимите процесуални правила. Тези изисквания не засягат задълженията на вносителя на данни по клауза 14, буква д).

б)

Вносителят на данни приема да документира своята правна оценка и всяко оспорване на искането за разкриване, и доколкото това е допустимо съгласно законодателството на държавата на получаване, да предостави документацията на износителя на данни. При поискване той също така предоставя документацията на компетентния надзорен орган. [За модул 3: Износителят на данни предоставя оценката на администратора на лични данни.]

в)

Вносителят на данни приема да предостави минимално допустимото количество информация, когато отговаря на искане за разкриване, въз основа на разумно тълкуване на искането.

РАЗДЕЛ IV — ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

Клауза 16

Неспазване на клаузите и прекратяване

а)

Вносителят на данни своевременно уведомява износителя на данни, ако не е в състояние да спазва настоящите клаузи, независимо от причината.

б)

В случай че вносителят на данни е допуснал нарушение на настоящите клаузи или не е в състояние да ги спазва, износителят на данни спира предаването на лични данни към вносителя на данни, докато отново не бъде осигурено спазване или договорът не бъде прекратен. Настоящият текст не засяга разпоредбите на клауза 14, буква е).

в)

Износителят на данни има право да прекрати договора, доколкото той се отнася до обработването на лични данни съгласно настоящите клаузи, когато:

i)

износителят на данни е спрял предаването на лични данни на вносителя на данни съгласно буква б) и спазването на настоящите клаузи не е възстановено в разумен срок, и във всеки случай в срок от един месец от спирането;

ii)

вносителят на данни съществено или системно нарушава настоящите клаузи; или

iii)

вносителят на данни не се съобрази със задължително решение на компетентен съд или надзорен орган по отношение на задълженията си по настоящите клаузи.

В тези случаи той уведомява компетентния надзорен орган [за модул 3: и администратора] за такова неспазване. Когато договорът е сключен между повече от две страни, износителят на данни може да упражни това право на прекратяване само по отношение на съответната страна, освен ако страните не са се договорили за друго.

г)

[За модули 1, 2 и 3: Личните данни, които са били предадени преди прекратяването на договора съгласно буква в), по избор на износителя на данни незабавно се връщат на износителя на данни или се заличават изцяло. Същото се отнася за всички копия от данните.] [За модул 4: Личните данни, събрани от износителя на данни в ЕС, които са били предадени преди прекратяването на договора съгласно буква в), включително всички техни копия, незабавно се заличават изцяло.] Вносителят на данни удостоверява пред износителя на данни заличаването на данните. Докато данните не бъдат заличени или върнати, вносителят на данни продължава да осигурява спазването на настоящите клаузи. Когато съществува местно законодателство, приложимо по отношение на вносителя на данни, с което се забранява връщането или заличаването на предадените личните данни, вносителят на данни гарантира, че ще продължи да осигурява спазването на настоящите клаузи и ще обработва данните само до степента и за периода, изисквани от това местно законодателство.

д)

Всяка от страните може да оттегли своето съгласие да бъде обвързана от настоящите клаузи, когато i) Европейската комисия приеме решение съгласно член 45, параграф 3 от Регламент (ЕС) 2016/679, обхващащо предаването на лични данни, по отношение на които се прилагат настоящите клаузи; или ii) Регламент (ЕС) 2016/679 стане част от правната уредба на държавата, в която се предават личните данни. Това не засяга други задължения, приложими по отношение на въпросното обработване съгласно Регламент (ЕС) 2016/679.

Клауза 17

Приложимо право

МОДУЛ 1: предаване на данни от администратор на администратор

МОДУЛ 2: предаване на данни от администратор на обработващ лични данни

МОДУЛ 3: предаване на данни от обработващ лични данни на обработващ лични данни

[ВАРИАНТ 1: Настоящите клаузи се уреждат от правото на една от държавите — членки на ЕС, при условие че правата на трети страни бенефициери са допустими съгласно това право. Страните се споразумяват това да бъде правото на _______ (посочете държава членка).]

[ВАРИАНТ 2 (за модули 2 и 3): Настоящите клаузи се уреждат от правото на държавата — членка на ЕС, в която е установен износителят на данни. Когато правата на трети страни бенефициери не са допустими съгласно това право, клаузите се уреждат от правото на друга държава — членка на ЕС, съгласно което правата на трети страни бенефициери са допустими. Страните се споразумяват това да бъде правото на _______ (посочете държава членка).]

МОДУЛ 4: предаване на данни от обработващ лични данни на администратор

Настоящите клаузи се уреждат от правото на държава, съгласно което правата на трети страни бенефициери са допустими. Страните се споразумяват това да бъде правото на _______ (посочете държава).

Клауза 18

Избор на съд и юрисдикция

МОДУЛ 1: предаване на данни от администратор на администратор

МОДУЛ 2: предаване на данни от администратор на обработващ лични данни

МОДУЛ 3: предаване на данни от обработващ лични данни на обработващ лични данни

а)

Всички спорове, произтичащи от настоящите клаузи, се разрешават от съдилищата на държава — членка на ЕС.

б)

Страните се споразумяват това да бъдат съдилищата на _____ (посочете държава членка).]

в)

Субект на данни може да започне съдебно производство срещу износителя на данни и/или вносителя на данни и пред съдилищата на държавата членка на обичайното си местопребиваване.

г)

Страните се споразумяват да приемат юрисдикцията на такива съдилища.

МОДУЛ 4: предаване на данни от обработващ лични данни на администратор

 

Всички спорове, произтичащи от настоящите клаузи, се разрешават от съдилищата на _____ (посочете държава)


(1)  Когато износителят на данни е обработващ лични данни, към когото се прилага Регламент (ЕС) 2016/679 и който действа от името на институция или орган на Съюза като администратор, използването на настоящите клаузи при включването на друг обработващ лични данни (обработване по договор за подизпълнение), към когото не се прилага Регламент (ЕС) 2016/679, също така гарантира спазването на член 29, параграф 4 от Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО (ОВ L 295, 21.11.2018 г., стр. 39), доколкото настоящите клаузи и задълженията за защита на данните, залегнали в договора или друг правен акт между администратора и обработващия лични данни по силата на член 29, параграф 3 от Регламент (ЕС) 2018/1725, са съгласувани. Това ще важи по-специално за случаите, в които администраторът и обработващият лични данни използват стандартните договорни клаузи, включени в Решение 2021/915.

(2)  За това е необходимо данните да бъдат анонимизирани по такъв начин, че физическото лице да не може да бъде идентифицирано от никого, в съответствие със съображение 26 от Регламент (ЕС) 2016/679, и този процес да е необратим.

(3)  В Споразумението за Европейското икономическо пространство (Споразумение за ЕИП) се предвижда разширяването на вътрешния пазар на Европейския съюз, за да включи трите държави от ЕИП — Исландия, Лихтенщайн и Норвегия. Законодателството за защита на данните на Съюза, включително Регламент (ЕС) 2016/679, попада в обхвата на Споразумението за ЕИП и е включено в приложение XI към него. Следователно всяко разкриване от вносителя на данни пред трета страна, която се намира в ЕИП, не се смята за последващо предаване за целите на настоящите клаузи.

(4)  В Споразумението за Европейското икономическо пространство (Споразумение за ЕИП) се предвижда разширяването на вътрешния пазар на Европейския съюз, за да включи трите държави от ЕИП — Исландия, Лихтенщайн и Норвегия. Законодателството за защита на данните на Съюза, включително Регламент (ЕС) 2016/679, попада в обхвата на Споразумението за ЕИП и е включено в приложение XI към него. Следователно всяко разкриване от вносителя на данни пред трета страна, която се намира в ЕИП, не се смята за последващо предаване за целите на настоящите клаузи.

(5)  Вж. член 28, параграф 4 от Регламент (ЕС) 2016/679 и, когато администраторът на данни е институция или орган на ЕС — член 29, параграф 4 от Регламент (ЕС) 2018/1725.

(6)  В Споразумението за Европейското икономическо пространство (Споразумение за ЕИП) се предвижда разширяването на вътрешния пазар на Европейския съюз, за да включи трите държави от ЕИП — Исландия, Лихтенщайн и Норвегия. Законодателството за защита на данните на Съюза, включително Регламент (ЕС) 2016/679, попада в обхвата на Споразумението за ЕИП и е включено в приложение XI към него. Следователно всяко разкриване от вносителя на данни пред трета страна, която се намира в ЕИП, не се смята за последващо предаване за целите на настоящите клаузи.

(7)  Това включва въпроса дали предаването и по-нататъшното обработване включват лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице, или данни, свързани с присъди и нарушения.

(8)  Това изискване може да бъде изпълнено, като обработващият лични данни подизпълнител се присъедини към настоящите клаузи по съответния модул в съответствие с клауза 7.

(9)  Това изискване може да бъде изпълнено, като обработващият лични данни подизпълнител се присъедини към настоящите клаузи по съответния модул в съответствие с клауза 7.

(10)  Този период може да бъде удължен с най-много още два месеца, ако това е необходимо, като се вземат предвид сложността и броят на исканията. Вносителят на данни уведомява надлежно и своевременно субекта на данни за всяко такова удължаване.

(11)  Вносителят на данни може да предложи независимо разрешаване на спорове чрез арбитражен съд единствено ако е установен в държава, която е ратифицирала Конвенцията за признаване и изпълнение на чуждестранни арбитражни решения, подписана в Ню Йорк.

(12)  По отношение на въздействието на такива закони и практики върху спазването на настоящите клаузи различни елементи могат да се разглеждат като част от цялостната оценка. Такива елементи могат да включват подходящ и документиран практически опит от предишни случаи на искания за разкриване, отправени от публични органи, или липса на такива искания, обхващащ достатъчно представителен период от време. Това се отнася по-специално до вътрешни регистри или друга документация, изготвяна текущо в съответствие с изисквания за комплексна проверка и заверена на ниво висше ръководство, при условие че тази информация може законно да се споделя с трети страни. Когато на този практически опит се разчита, за да се стигне до заключението, че вносителят на данни няма да бъде възпрепятстван да спазва настоящите клаузи, е необходимо той да бъде подкрепен от други имащи отношение обективни елементи и страните трябва да преценят внимателно дали тези елементи, взети заедно, имат достатъчна тежест по отношение на своята надеждност и представителност, за да подкрепят това заключение. По-специално страните трябва да вземат предвид дали техният практически опит се потвърждава и не противоречи на публично достъпна или достъпна по друг начин надеждна информация за съществуването или липсата на искания в същия сектор и/или за прилагането на закона на практика, като например съдебна практика и доклади от независими надзорни органи.


ДОПЪЛНЕНИЕ

ОБЯСНИТЕЛНА БЕЛЕЖКА:

Трябва да е възможно да се разграничи ясно информацията, приложима за всяко предаване или категория предавания, и във връзка с това да се определи(ят) съответната(ите) роля(и) на страните като износител(и) на данни и/или вносител(и) на данни. За тази цел не е непременно необходимо да се попълват и подписват отделни допълнения за всяко предаване/категория предавания и/или договорни отношения, когато тази прозрачност може да бъде постигната чрез едно допълнение. Когато обаче това е необходимо, за да се осигури достатъчна яснота, следва да се използват отделни допълнения.


ПРИЛОЖЕНИЕ I

А.   СПИСЪК НА СТРАНИТЕ

МОДУЛ 1: предаване на данни от администратор на администратор

МОДУЛ 2: предаване на данни от администратор на обработващ лични данни

МОДУЛ 3: предаване на данни от обработващ лични данни на обработващ лични данни

МОДУЛ 4: предаване на данни от обработващ лични данни на администратор

Износител(и) на данни: [Самоличност и координати за връзка на износителя(ите) на данни и когато е приложимо — на неговото(ите) длъжностно(и) лице(а) по защита на данните и/или на неговия(ите) представител(и) в Европейския съюз]

1.

Име/наименование: …

Адрес: …

Име, длъжност и координати за връзка с лицето за контакт: …

Дейности, свързани с предадените съгласно настоящите клаузи данни: …

Подпис и дата: …

Роля (администратор/обработващ данните) …

2.

Вносител(и) на данни: [Самоличност и координати за връзка на вносителя(ите) на данни, включително на всяко лице за контакт, което отговаря за защитата на личните данни]

1.

Име/наименование: …

Адрес: …

Име, длъжност и координати за връзка с лицето за контакт: …

Дейности, свързани с предадените съгласно настоящите клаузи данни: …

Подпис и дата: …

Роля (администратор/обработващ данните) …

2.

Б.   ОПИСАНИЕ НА ПРЕДАВАНЕТО

МОДУЛ 1: предаване на данни от администратор на администратор

МОДУЛ 2: предаване на данни от администратор на обработващ лични данни

МОДУЛ 3: предаване на данни от обработващ лични данни на обработващ лични данни

МОДУЛ 4: предаване на данни от обработващ лични данни на администратор

Категории субекти на данни, чиито лични данни се предават

Категории предавани лични данни

Предадени чувствителни данни (ако е приложимо) и приложени ограничения или гаранции, които отчитат изцяло естеството на данните и свързаните с тях рискове, като например строго ограничение в рамките на целта, ограничаване на достъпа (включително достъп само за служители, преминали специализирано обучение), поддържане на регистър на достъпа до данните, ограничения по отношение на последващо предаване или допълнителни мерки за сигурност.

Честотата на предаване (напр. дали данните се предават еднократно или текущо).

Естество на обработването

Цел(и) на предаването и на по-нататъшното обработване на данните

Срок, за който ще се съхраняват личните данни, а ако това е невъзможно — критериите, използвани за определяне на този срок

За прехвърляния към обработващи лични данни (или обработващи лични данни подизпълнители) посочете също така предмета, естеството и продължителността на обработването

В.   КОМПЕТЕНТЕН НАДЗОРЕН ОРГАН

МОДУЛ 1: предаване на данни от администратор на администратор

МОДУЛ 2: предаване на данни от администратор на обработващ лични данни

МОДУЛ 3: предаване на данни от обработващ лични данни на обработващ лични данни

Посочете компетентния(ите) надзорен(и) орган(и) в съответствие с клауза 13


ПРИЛОЖЕНИЕ II

ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ, ВКЛЮЧИТЕЛНО ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ ЗА ОСИГУРЯВАНЕ НА СИГУРНОСТТА НА ДАННИТЕ

МОДУЛ 1: предаване на данни от администратор на администратор

МОДУЛ 2: предаване на данни от администратор на обработващ лични данни

МОДУЛ 3: предаване на данни от обработващ лични данни на обработващ лични данни

ОБЯСНИТЕЛНА БЕЛЕЖКА:

Техническите и организационните мерки трябва да бъдат описани конкретно, а не общо. Вижте също общия коментар на първата страница на допълнението, по-специално относно необходимостта да се посочи ясно кои мерки се прилагат за всяко предаване/набор от предавания.

Описание на техническите и организационните мерки, приложени от вносителя(ите) на данни (включително всички съответни сертификати) с цел да се осигури подходящо ниво на сигурност, като се вземат предвид естеството, обхватът, контекстът и целта на обработването и рисковете за правата и свободите на физическите лица.

[Примери за възможни мерки:

Мерки за псевдонимизация и криптиране на личните данни

Мерки за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване

Мерки за осигуряване на способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент

Процеси на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването

Мерки за идентифициране и даване на разрешение на потребители

Мерки за защита на данните по време на предаване

Мерки за защита на данните по време на съхранение

Мерки за осигуряване на физическа сигурност на местата, където се обработват лични данни

Мерки за осигуряване на регистриране на събития

Мерки за осигуряване на конфигурация на системата, включително конфигурация по подразбиране

Мерки за управление на вътрешните информационни технологии и на сигурността на информационните технологии

Мерки за сертифициране/осигуряване на процеси и продукти

Мерки за осигуряване на свеждането на данните до минимум

Мерки за осигуряване на качеството на данните

Мерки за осигуряване на ограничено съхраняване на данни

Мерки за осигуряване на отчетност

Мерки за позволяване на преносимост на данните и осигуряване на изтриването им]

По отношение на предавания към обработващи лични данни (или обработващи лични данни подизпълнители), опишете също конкретните технически и организационни мерки, които обработващият лични данни (или обработващият лични данни подизпълнител) трябва да предприеме, за да може да предоставя помощ на администратора на лични данни и, за предаванията от обработващ лични данни на обработващ лични данни подизпълнител — на износителя на данни


ПРИЛОЖЕНИЕ III

СПИСЪК НА ОБРАБОТВАЩИТЕ ЛИЧНИ ДАННИ ПОДИЗПЪЛНИТЕЛИ

МОДУЛ 2: предаване на данни от администратор на обработващ лични данни

МОДУЛ 3: предаване на данни от обработващ лични данни на обработващ лични данни

ОБЯСНИТЕЛНА БЕЛЕЖКА:

Настоящото приложение трябва да се попълни за модули 2 и 3 в случай на специфично разрешение за използване на обработващи лични данни подизпълнители (клауза 9, буква а), вариант 1).

Администраторът на лични данни е разрешил използването на следните обработващи лични данни подизпълнители:

1.

Име/наименование: …

Адрес: …

Име, длъжност и координати за връзка с лицето за контакт: …

Описание на обработването (включително ясно разграничение на отговорностите в случай, че е разрешено използването на няколко обработващи лични данни подизпълнители): …

2.