7.6.2021   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

L 199/31


ΕΚΤΕΛΕΣΤΙΚΗ ΑΠΟΦΑΣΗ (ΕΕ) 2021/914 ΤΗΣ ΕΠΙΤΡΟΠΗΣ

της 4ης Ιουνίου 2021

σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες σύμφωνα με τον κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,

Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,

Έχοντας υπόψη τον κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (1), και ιδίως το άρθρο 28 παράγραφος 7 και το άρθρο 46 παράγραφος 2 στοιχείο γ),

Εκτιμώντας τα ακόλουθα:

(1)

Οι τεχνολογικές εξελίξεις διευκολύνουν τη διασυνοριακή κυκλοφορία δεδομένων που είναι απαραίτητη για την επέκταση της διεθνούς συνεργασίας και του διεθνούς εμπορίου. Παράλληλα, είναι αναγκαίο να διασφαλιστεί ότι δεν υπονομεύεται το επίπεδο προστασίας των φυσικών προσώπων που εγγυάται ο κανονισμός (ΕΕ) 2016/679 όταν δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε τρίτες χώρες, συμπεριλαμβανομένων των περιπτώσεων περαιτέρω διαβιβάσεων. (2) Οι διατάξεις σχετικά με τις διαβιβάσεις δεδομένων στο κεφάλαιο V του κανονισμού (ΕΕ) 2016/679 αποσκοπούν στη διασφάλιση της συνέχισης αυτού του υψηλού επιπέδου προστασίας όταν τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε τρίτη χώρα. (3)

(2)

Σύμφωνα με το άρθρο 46 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679, ελλείψει απόφασης επάρκειας από την Επιτροπή δυνάμει του άρθρου 45 παράγραφος 3, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα μόνο εάν έχει παράσχει κατάλληλες εγγυήσεις και υπό την προϋπόθεση ότι υφίστανται εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων. Οι εγγυήσεις αυτές μπορούν να προβλέπονται από τυποποιημένες ρήτρες προστασίας δεδομένων που εκδίδονται από την Επιτροπή σύμφωνα με το άρθρο 46 παράγραφος 2 στοιχείο γ).

(3)

Ο ρόλος των τυποποιημένων συμβατικών ρητρών περιορίζεται στη διασφάλιση κατάλληλων εγγυήσεων προστασίας των δεδομένων όσον αφορά τις διεθνείς διαβιβάσεις δεδομένων. Ως εκ τούτου, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία που διαβιβάζει τα δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα (στο εξής: εξαγωγέας των δεδομένων) και ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία που λαμβάνει τα δεδομένα προσωπικού χαρακτήρα (στο εξής: εισαγωγέας των δεδομένων) είναι ελεύθεροι να ενσωματώνουν τις εν λόγω τυποποιημένες συμβατικές ρήτρες σε ευρύτερη σύμβαση και να προσθέτουν άλλες ρήτρες ή πρόσθετες εγγυήσεις εφόσον αυτές δεν αντιφάσκουν, άμεσα ή έμμεσα, προς τις τυποποιημένες συμβατικές ρήτρες ούτε θίγουν τα θεμελιώδη δικαιώματα ή τις ελευθερίες των υποκειμένων των δεδομένων. Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία ενθαρρύνονται να παράσχουν πρόσθετες εγγυήσεις μέσω συμβατικών δεσμεύσεων που δρουν συμπληρωματικά ως προς τις τυποποιημένες συμβατικές ρήτρες (4). Η χρήση των τυποποιημένων συμβατικών ρητρών δεν θίγει οποιαδήποτε άλλη συμβατική υποχρέωση του εξαγωγέα των δεδομένων και/ή του εισαγωγέα των δεδομένων σε σχέση με τη διασφάλιση της τήρησης των εφαρμοστέων προνομίων και ασυλιών.

(4)

Ο εξαγωγέας των δεδομένων, πέραν της χρήσης τυποποιημένων συμβατικών ρητρών για την παροχή κατάλληλων εγγυήσεων για διαβιβάσεις σύμφωνα με το άρθρο 46 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679, πρέπει να εκπληρώνει τις γενικές του αρμοδιότητες ως υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία δυνάμει του κανονισμού (ΕΕ) 2016/679. Οι αρμοδιότητες αυτές περιλαμβάνουν την υποχρέωση του υπευθύνου επεξεργασίας να παρέχει στα υποκείμενα των δεδομένων πληροφορίες σχετικά με το γεγονός ότι προτίθεται να διαβιβάσει τα δεδομένα προσωπικού χαρακτήρα των εν λόγω υποκειμένων σε τρίτη χώρα σύμφωνα με το άρθρο 13 παράγραφος 1 στοιχείο στ) και το άρθρο 14 παράγραφος 1 στοιχείο στ) του κανονισμού (ΕΕ) 2016/679. Στην περίπτωση των διαβιβάσεων σύμφωνα με το άρθρο 46 του κανονισμού (ΕΕ) 2016/679, στις εν λόγω πληροφορίες πρέπει να περιλαμβάνεται αναφορά στις κατάλληλες εγγυήσεις, καθώς και στα μέσα για να αποκτηθεί αντίγραφό τους ή πληροφορίες σχετικά με το πού διατέθηκαν.

(5)

Οι αποφάσεις 2001/497/ΕΚ (5) και 2010/87/ΕΕ (6) της Επιτροπής περιλαμβάνουν τυποποιημένες συμβατικές ρήτρες για τη διευκόλυνση των διαβιβάσεων δεδομένων προσωπικού χαρακτήρα από υπεύθυνο επεξεργασίας δεδομένων εγκατεστημένο στην Ένωση σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία εγκατεστημένο σε τρίτη χώρα η οποία δεν παρέχει επαρκές επίπεδο προστασίας. Οι εν λόγω αποφάσεις βασίστηκαν στην οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (7).

(6)

Σύμφωνα με το άρθρο 46 παράγραφος 5 του κανονισμού (ΕΕ) 2016/679, η απόφαση 2001/497/ΕΚ και η απόφαση 2010/87/ΕΕ παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν, εάν απαιτείται, με απόφαση της Επιτροπής που εκδίδεται σύμφωνα με το άρθρο 46 παράγραφος 2 του εν λόγω κανονισμού. Οι τυποποιημένες συμβατικές ρήτρες στις αποφάσεις έχρηζαν επικαιροποίησης με βάση τις νέες απαιτήσεις στον κανονισμό (ΕΕ) 2016/679. Επιπλέον, μετά την έκδοση των αποφάσεων, έχουν σημειωθεί σημαντικές εξελίξεις στην ψηφιακή οικονομία, με την ευρεία χρήση νέων και πιο πολύπλοκων πράξεων επεξεργασίας, στις οποίες συχνά συμμετέχουν πολλοί εισαγωγείς και εξαγωγείς των δεδομένων, και περιλαμβάνονται εκτεταμένες και πολύπλοκες αλυσίδες επεξεργασίας, καθώς και εξελισσόμενες επιχειρηματικές σχέσεις. Αυτό απαιτεί τον εκσυγχρονισμό των τυποποιημένων συμβατικών ρητρών ώστε να αντικατοπτρίζεται καλύτερα η πραγματικότητα αυτή, με την κάλυψη επιπλέον καταστάσεων επεξεργασίας και διαβίβασης και τη δυνατότητα για πιο ευέλικτη προσέγγιση, για παράδειγμα, όσον αφορά τον αριθμό των συμβαλλόμενων μερών που μπορούν να συμμετέχουν στη σύμβαση.

(7)

Ο υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία μπορεί να χρησιμοποιεί τις τυποποιημένες συμβατικές ρήτρες που περιλαμβάνονται στο παράρτημα της παρούσας απόφασης προκειμένου να παρέχονται κατάλληλες εγγυήσεις κατά την έννοια του άρθρου 46 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679 για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντα την επεξεργασία ή υπεύθυνο επεξεργασίας εγκατεστημένο σε τρίτη χώρα, με την επιφύλαξη της ερμηνείας της έννοιας της διεθνούς διαβίβασης στον κανονισμό (ΕΕ) 2016/679. Οι τυποποιημένες συμβατικές ρήτρες μπορούν να χρησιμοποιούνται για την εν λόγω διαβίβαση μόνο στον βαθμό που η επεξεργασία από τον εισαγωγέα δεν εμπίπτει στο πεδίο εφαρμογής του κανονισμού (ΕΕ) 2016/679. Αυτό περιλαμβάνει επίσης τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση, στον βαθμό που η επεξεργασία υπόκειται στον κανονισμό (ΕΕ) 2016/679 (σύμφωνα με το άρθρο 3 παράγραφος 2 του εν λόγω κανονισμού), διότι αφορά την προσφορά αγαθών ή υπηρεσιών σε υποκείμενα των δεδομένων στην Ένωση ή την παρακολούθηση της συμπεριφοράς τους, στον βαθμό που η συμπεριφορά αυτή λαμβάνει χώρα εντός της Ένωσης.

(8)

Δεδομένης της γενικής ευθυγράμμισης των κανονισμών (ΕΕ) 2016/679 και (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (8), θα πρέπει να είναι δυνατή η χρήση των τυποποιημένων συμβατικών ρητρών και στο πλαίσιο σύμβασης, όπως προβλέπεται στο άρθρο 29 παράγραφος 4 του κανονισμού (ΕΕ) 2018/1725 για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε υπεργολάβο επεξεργασίας σε τρίτη χώρα από εκτελούντα την επεξεργασία που δεν είναι όργανο ή οργανισμός της Ένωσης, αλλά υπόκειται στον κανονισμό (ΕΕ) 2016/679 και επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό οργάνου ή οργανισμού της Ένωσης σύμφωνα με το άρθρο 29 του κανονισμού (ΕΕ) 2018/1725. Υπό την προϋπόθεση ότι η σύμβαση αντικατοπτρίζει τις ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων με εκείνες που προβλέπονται στη σύμβαση ή σε άλλη νομική πράξη μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία σύμφωνα με το άρθρο 29 παράγραφος 3 του κανονισμού (ΕΕ) 2018/1725, ιδίως με την παροχή επαρκών εγγυήσεων για τεχνικά και οργανωτικά μέτρα ώστε να διασφαλίζεται ότι η επεξεργασία πληροί τις απαιτήσεις του εν λόγω κανονισμού, με τον τρόπο αυτόν θα διασφαλιστεί η συμμόρφωση με το άρθρο 29 παράγραφος 4 του κανονισμού (ΕΕ) 2018/1725. Ειδικότερα, αυτό συμβαίνει όταν ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία χρησιμοποιούν τις τυποποιημένες συμβατικές ρήτρες της εκτελεστικής απόφασης της Επιτροπής σχετικά με τις τυποποιημένες συμβατικές ρήτρες μεταξύ υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία δυνάμει του άρθρου 28 παράγραφος 7 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου και του άρθρου 29 παράγραφος 7 του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (9).

(9)

Όταν η επεξεργασία περιλαμβάνει διαβιβάσεις δεδομένων από υπευθύνους επεξεργασίας που υπόκεινται στον κανονισμό (ΕΕ) 2016/679 σε εκτελούντες την επεξεργασία εκτός του εδαφικού πεδίου εφαρμογής του ή από εκτελούντες την επεξεργασία που υπόκεινται στον κανονισμό (ΕΕ) 2016/679 σε υπεργολάβους επεξεργασίας εκτός του εδαφικού πεδίου εφαρμογής του, οι τυποποιημένες συμβατικές ρήτρες που περιλαμβάνονται στο παράρτημα της παρούσας απόφασης θα πρέπει επίσης να επιτρέπουν την εκπλήρωση των απαιτήσεων του άρθρου 28 παράγραφοι 3 και 4 του κανονισμού (ΕΕ) 2016/679.

(10)

Οι τυποποιημένες συμβατικές ρήτρες που περιλαμβάνονται στο παράρτημα της παρούσας απόφασης συνδυάζουν γενικές ρήτρες με μια προσέγγιση βάσει ενοτήτων, ώστε να λαμβάνονται υπόψη διάφορα σενάρια διαβίβασης καθώς και η πολυπλοκότητα των σύγχρονων αλυσίδων επεξεργασίας. Εκτός από τις γενικές ρήτρες, οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία θα πρέπει να επιλέγουν την ενότητα που αφορά την περίπτωσή τους ώστε να προσαρμόζουν τις υποχρεώσεις τους στο πλαίσιο των τυποποιημένων συμβατικών ρητρών στον ρόλο και τις αντίστοιχες αρμοδιότητές τους σε σχέση με την εκάστοτε επεξεργασία δεδομένων. Θα πρέπει να είναι δυνατή η προσχώρηση περισσοτέρων των δύο συμβαλλόμενων μερών στις τυποποιημένες συμβατικές ρήτρες. Επιπλέον, θα πρέπει να μπορούν πρόσθετοι υπεύθυνοι επεξεργασίας και εκτελούντες την επεξεργασία να προσχωρούν στις τυποποιημένες συμβατικές ρήτρες ως εξαγωγείς ή εισαγωγείς των δεδομένων καθ’ όλη τη διάρκεια ισχύος της σύμβασης της οποίας αποτελούν μέρος οι εν λόγω ρήτρες.

(11)

Για να παρέχονται κατάλληλες εγγυήσεις, οι τυποποιημένες συμβατικές ρήτρες θα πρέπει να διασφαλίζουν για τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα επίπεδο προστασίας ουσιαστικά ισοδύναμο με αυτό που διασφαλίζεται εντός της Ένωσης (10). Για να διασφαλίζεται η διαφάνεια της επεξεργασίας, τα υποκείμενα των δεδομένων θα πρέπει να λαμβάνουν αντίγραφο των τυποποιημένων συμβατικών ρητρών και να ενημερώνονται, ειδικότερα, για τις κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, το δικαίωμα λήψης αντιγράφου των τυποποιημένων συμβατικών ρητρών και κάθε περαιτέρω διαβίβαση. Θα πρέπει να επιτρέπονται οι περαιτέρω διαβιβάσεις από τον εισαγωγέα των δεδομένων σε τρίτον σε άλλη τρίτη χώρα μόνον αν ο εν λόγω τρίτος προσχωρήσει στις τυποποιημένες συμβατικές ρήτρες, σε περίπτωση που η συνέχεια της προστασίας διασφαλίζεται με άλλον τρόπο ή σε συγκεκριμένες περιπτώσεις, όπως με βάση τη ρητή και εν πλήρη επιγνώσει συγκατάθεση του υποκειμένου των δεδομένων.

(12)

Με κάποιες εξαιρέσεις, ιδίως όσον αφορά ορισμένες υποχρεώσεις που αφορούν αποκλειστικά τη σχέση μεταξύ του εξαγωγέα των δεδομένων και του εισαγωγέα των δεδομένων, τα υποκείμενα των δεδομένων θα πρέπει να μπορούν να επικαλούνται και, όπου απαιτείται, να επιβάλλουν τις τυποποιημένες συμβατικές ρήτρες ως δικαιούχοι τρίτοι. Ως εκ τούτου, ενώ τα συμβαλλόμενα μέρη θα πρέπει να έχουν τη δυνατότητα να επιλέγουν το δίκαιο ενός από τα κράτη μέλη ως το δίκαιο που θα διέπει τις τυποποιημένες συμβατικές ρήτρες, το δίκαιο αυτό πρέπει να επιτρέπει δικαιώματα δικαιούχων τρίτων. Προκειμένου να διευκολύνεται η ατομική έννομη προστασία, οι τυποποιημένες συμβατικές ρήτρες θα πρέπει να απαιτούν από τον εισαγωγέα των δεδομένων να ενημερώνει τα υποκείμενα των δεδομένων σχετικά με το σημείο επικοινωνίας και να εξετάζει αμέσως τυχόν καταγγελίες ή αιτήματα. Σε περίπτωση διαφοράς μεταξύ του εισαγωγέα των δεδομένων και υποκειμένου των δεδομένων το οποίο επικαλείται τα δικαιώματά του ως δικαιούχου τρίτου, το υποκείμενο των δεδομένων θα πρέπει να μπορεί να υποβάλει καταγγελία στην αρμόδια εποπτική αρχή ή να παραπέμψει τη διαφορά στα αρμόδια δικαστήρια στην ΕΕ.

(13)

Για να διασφαλίζεται αποτελεσματική επιβολή, θα πρέπει να απαιτείται από τον εισαγωγέα των δεδομένων να αποδέχεται την αρμοδιότητα της εν λόγω αρχής και των εν λόγω δικαστηρίων και να δεσμεύεται να συμμορφώνεται με οποιαδήποτε δεσμευτική απόφαση βάσει του εφαρμοστέου δικαίου του κράτους μέλους. Ειδικότερα, ο εισαγωγέας των δεδομένων θα πρέπει να συμφωνήσει να απαντά σε αιτήματα πληροφοριών, να υποβάλλεται σε ελέγχους και να συμμορφώνεται με τα μέτρα που θεσπίζει η εποπτική αρχή, συμπεριλαμβανομένων διορθωτικών και αντισταθμιστικών μέτρων. Επιπλέον, ο εισαγωγέας των δεδομένων θα πρέπει να έχει τη δυνατότητα να παρέχει στα υποκείμενα των δεδομένων την ευκαιρία να προσφεύγουν δωρεάν σε ανεξάρτητο φορέα επίλυσης διαφορών. Σύμφωνα με το άρθρο 80 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679, τα υποκείμενα των δεδομένων θα πρέπει να μπορούν να εκπροσωπούνται από ενώσεις ή άλλους φορείς όσον αφορά διαφορές κατά του εισαγωγέα των δεδομένων, εφόσον το επιθυμούν.

(14)

Οι τυποποιημένες συμβατικές ρήτρες θα πρέπει να προβλέπουν κανόνες για την ευθύνη μεταξύ των συμβαλλόμενων μερών και σε σχέση με τα υποκείμενα των δεδομένων, και κανόνες για την αποζημίωση μεταξύ των συμβαλλόμενων μερών. Όταν το υποκείμενο των δεδομένων έχει υποστεί υλική ή μη υλική ζημία ως αποτέλεσμα οποιασδήποτε προσβολής δικαιωμάτων του δικαιούχου τρίτου στο πλαίσιο των τυποποιημένων συμβατικών ρητρών, θα πρέπει να δικαιούται αποζημίωση. Το γεγονός αυτό δεν θα πρέπει να θίγει τυχόν ευθύνη στο πλαίσιο του κανονισμού (ΕΕ) 2016/679.

(15)

Σε περίπτωση διαβίβασης σε εισαγωγέα των δεδομένων που ενεργεί ως εκτελών την επεξεργασία ή υπεργολάβος επεξεργασίας, θα πρέπει να ισχύουν ειδικές απαιτήσεις σύμφωνα με το άρθρο 28 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679. Οι τυποποιημένες συμβατικές ρήτρες θα πρέπει να απαιτούν από τον εισαγωγέα των δεδομένων να καθιστά διαθέσιμη κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που ορίζονται στις ρήτρες και να επιτρέπει και να διευκολύνει τους ελέγχους των οικείων δραστηριοτήτων επεξεργασίας που διενεργεί ο εξαγωγέας των δεδομένων. Όσον αφορά την πρόσληψη υπεργολάβου επεξεργασίας από τον εισαγωγέα των δεδομένων, σύμφωνα με το άρθρο 28 παράγραφοι 2 και 4 του κανονισμού (ΕΕ) 2016/679, οι τυποποιημένες συμβατικές ρήτρες θα πρέπει ειδικότερα να καθορίζουν τη διαδικασία για τη χορήγηση γενικής ή ειδικής άδειας από τον εξαγωγέα των δεδομένων, καθώς και την απαίτηση γραπτής σύμβασης με τον υπεργολάβο επεξεργασίας η οποία να διασφαλίζει το ίδιο επίπεδο προστασίας με εκείνο που προβλέπεται στις ρήτρες.

(16)

Είναι σκόπιμο να προβλέπονται διαφορετικές εγγυήσεις στις τυποποιημένες συμβατικές ρήτρες οι οποίες να καλύπτουν την ειδική περίπτωση της διαβίβασης δεδομένων προσωπικού χαρακτήρα από εκτελούντα την επεξεργασία στην Ένωση προς τον υπεύθυνο επεξεργασίας σε τρίτη χώρα και να αντικατοπτρίζουν τις περιορισμένες αυτοτελείς υποχρεώσεις των εκτελούντων την επεξεργασία δυνάμει του κανονισμού (ΕΕ) 2016/679. Ειδικότερα, οι τυποποιημένες συμβατικές ρήτρες θα πρέπει να απαιτούν από τον εκτελούντα την επεξεργασία να ενημερώνει τον υπεύθυνο επεξεργασίας αν δεν είναι σε θέση να εκτελέσει εντολές του υπευθύνου επεξεργασίας, μεταξύ άλλων αν οι εν λόγω εντολές παραβίαζαν το δίκαιο της Ένωσης για την προστασία των δεδομένων, και να απαιτούν από τον υπεύθυνο επεξεργασίας να απέχει από κάθε ενέργεια που θα εμπόδιζε τον εκτελούντα την επεξεργασία να εκπληρώσει τις υποχρεώσεις του δυνάμει του κανονισμού (ΕΕ) 2016/679. Θα πρέπει επίσης να απαιτούν από τα συμβαλλόμενα μέρη να παρέχουν αμοιβαία συνδρομή ώστε να απαντούν σε αιτήματα πληροφοριών και άλλα αιτήματα που υποβάλλουν τα υποκείμενα των δεδομένων σύμφωνα με το τοπικό δίκαιο στο οποίο υπόκειται ο εισαγωγέας των δεδομένων ή, για την επεξεργασία δεδομένων στην Ένωση, δυνάμει του κανονισμού (ΕΕ) 2016/679. Θα πρέπει να εφαρμόζονται πρόσθετες απαιτήσεις για την αντιμετώπιση τυχόν αποτελεσμάτων του δικαίου της τρίτης χώρας προορισμού στη συμμόρφωση του υπευθύνου επεξεργασίας προς τις ρήτρες, και ιδίως τον τρόπο χειρισμού δεσμευτικών αιτημάτων από δημόσιες αρχές της τρίτης χώρας για κοινολόγηση των διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα, όταν ο εκτελών την επεξεργασία στην Ένωση συνδυάζει τα δεδομένα προσωπικού χαρακτήρα που λαμβάνει από τον υπεύθυνο επεξεργασίας στην τρίτη χώρα με δεδομένα προσωπικού χαρακτήρα που συλλέγονται από τον εκτελούντα την επεξεργασία στην Ένωση. Αντιθέτως, τέτοιες απαιτήσεις δεν δικαιολογούνται όταν η εξωτερική ανάθεση συνεπάγεται απλώς την επεξεργασία και την επιστροφή δεδομένων προσωπικού χαρακτήρα που ελήφθησαν από τον υπεύθυνο επεξεργασίας και, σε κάθε περίπτωση, υπάγονταν και θα εξακολουθήσουν να υπάγονται στη δικαιοδοσία της εκάστοτε τρίτης χώρας.

(17)

Τα συμβαλλόμενα μέρη θα πρέπει να είναι σε θέση να αποδεικνύουν τη συμμόρφωσή τους με τις τυποποιημένες συμβατικές ρήτρες. Ειδικότερα, ο εισαγωγέας των δεδομένων θα πρέπει να υποχρεούται να τηρεί κατάλληλη τεκμηρίωση για τις δραστηριότητες επεξεργασίας για τις οποίες είναι υπεύθυνος και να ενημερώνει αμέσως τον εξαγωγέα των δεδομένων σε περίπτωση που αδυνατεί να συμμορφωθεί με τις ρήτρες, για οποιονδήποτε λόγο. Με τη σειρά του, ο εξαγωγέας των δεδομένων θα πρέπει να αναστέλλει τη διαβίβαση και, σε ιδιαίτερα σοβαρές περιπτώσεις, να έχει δικαίωμα καταγγελίας της σύμβασης, στον βαθμό που αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα βάσει τυποποιημένων συμβατικών ρητρών, όταν ο εισαγωγέας των δεδομένων παραβαίνει ή αδυνατεί να συμμορφωθεί με τις ρήτρες. Θα πρέπει να εφαρμόζονται ειδικοί κανόνες όταν η τοπική νομοθεσία επηρεάζει τη συμμόρφωση με τις ρήτρες. Τα δεδομένα προσωπικού χαρακτήρα που έχουν διαβιβαστεί πριν από την καταγγελία της σύμβασης και τυχόν αντίγραφά τους θα πρέπει, κατ’ επιλογή του εξαγωγέα των δεδομένων, να επιστρέφονται στον εξαγωγέα των δεδομένων ή να καταστρέφονται στο σύνολό τους.

(18)

Στις τυποποιημένες συμβατικές ρήτρες θα πρέπει να προβλέπονται ειδικές εγγυήσεις, λαμβανομένης ειδικότερα υπόψη της νομολογίας του Δικαστηρίου (11), για την αντιμετώπιση των αποτελεσμάτων του δικαίου της τρίτης χώρας προορισμού στη συμμόρφωση του εισαγωγέα των δεδομένων προς τις ρήτρες και, πιο συγκεκριμένα, τον τρόπο χειρισμού των δεσμευτικών αιτημάτων των δημόσιων αρχών της εν λόγω χώρας για την κοινολόγηση των διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα.

(19)

Η διαβίβαση και επεξεργασία δεδομένων προσωπικού χαρακτήρα βάσει τυποποιημένων συμβατικών ρητρών δεν θα πρέπει να πραγματοποιούνται αν η νομοθεσία και οι πρακτικές της τρίτης χώρας προορισμού εμποδίζουν τον εισαγωγέα των δεδομένων να συμμορφώνεται προς τις ρήτρες. Στο πλαίσιο αυτό, η νομοθεσία και οι πρακτικές που σέβονται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών και δεν υπερβαίνουν ό,τι είναι αναγκαίο και αναλογικό σε μια δημοκρατική κοινωνία για τη διασφάλιση ενός από τους στόχους που απαριθμούνται στο άρθρο 23 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679 δεν θα πρέπει να θεωρούνται ότι αντίκεινται προς τις τυποποιημένες συμβατικές ρήτρες. Τα συμβαλλόμενα μέρη θα πρέπει να εγγυώνται ότι, κατά τη στιγμή της συμφωνίας σχετικά με τις τυποποιημένες συμβατικές ρήτρες, δεν έχουν λόγο να πιστεύουν ότι η νομοθεσία και οι πρακτικές που εφαρμόζονται για τον εισαγωγέα των δεδομένων δεν συνάδουν με τις εν λόγω απαιτήσεις.

(20)

Τα συμβαλλόμενα μέρη θα πρέπει ειδικότερα να λαμβάνουν υπόψη τις ειδικές περιστάσεις της διαβίβασης (όπως το περιεχόμενο και τη διάρκεια της σύμβασης, τη φύση των διαβιβαζόμενων δεδομένων, το είδος του αποδέκτη, τον σκοπό της επεξεργασίας), τη νομοθεσία και τις πρακτικές της τρίτης χώρας προορισμού που είναι σχετικές δεδομένων των περιστάσεων της διαβίβασης, και τυχόν εγγυήσεις που έχουν θεσπιστεί για τη συμπλήρωση των εγγυήσεων αυτών βάσει των τυποποιημένων συμβατικών ρητρών (συμπεριλαμβανομένων των σχετικών συμβατικών, τεχνικών και οργανωτικών μέτρων που εφαρμόζονται στη διαβίβαση και στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα στη χώρα προορισμού). Όσον αφορά τον αντίκτυπο της εν λόγω νομοθεσίας και πρακτικών στη συμμόρφωση με τις τυποποιημένες συμβατικές ρήτρες, διάφορα στοιχεία μπορούν να ληφθούν υπόψη στο πλαίσιο μιας συνολικής αξιολόγησης, συμπεριλαμβανομένων αξιόπιστων πληροφοριών σχετικά με την εφαρμογή της νομοθεσίας στην πράξη (όπως νομολογία και εκθέσεις ανεξάρτητων εποπτικών φορέων), της ύπαρξης ή της απουσίας αιτημάτων εντός του ίδιου τομέα και, υπό αυστηρές προϋποθέσεις, της τεκμηριωμένης πρακτικής πείρας του εξαγωγέα και/ή του εισαγωγέα των δεδομένων.

(21)

Ο εισαγωγέας των δεδομένων θα πρέπει να ενημερώνει τον εξαγωγέα των δεδομένων σε περίπτωση που, αφού έχει συμφωνήσει με τις τυποποιημένες συμβατικές ρήτρες, έχει λόγους να πιστεύει ότι δεν είναι σε θέση να συμμορφωθεί με τις τυποποιημένες συμβατικές ρήτρες. Αν ο εξαγωγέας των δεδομένων λάβει τέτοια γνωστοποίηση ή αντιληφθεί με άλλον τρόπο ότι ο εισαγωγέας των δεδομένων δεν είναι πλέον σε θέση να συμμορφωθεί με τις τυποποιημένες συμβατικές ρήτρες, θα πρέπει να προσδιορίσει κατάλληλα μέτρα για την αντιμετώπιση της κατάστασης, εφόσον κριθεί αναγκαίο, σε διαβούλευση με την αρμόδια εποπτική αρχή. Στα μέτρα αυτά είναι δυνατόν να περιλαμβάνονται συμπληρωματικά μέτρα που θεσπίζονται από τον εξαγωγέα και/ή τον εισαγωγέα των δεδομένων, όπως τεχνικά ή οργανωτικά μέτρα για τη διασφάλιση της ασφάλειας και της εμπιστευτικότητας. Ο εξαγωγέας των δεδομένων θα πρέπει να υποχρεούται να αναστέλλει τη διαβίβαση αν θεωρεί ότι δεν είναι δυνατόν να διασφαλιστούν κατάλληλες εγγυήσεις ή αν λάβει σχετική εντολή από την αρμόδια εποπτική αρχή.

(22)

Εφόσον είναι δυνατόν, ο εισαγωγέας των δεδομένων θα πρέπει να ενημερώνει τον εξαγωγέα δεδομένων και το υποκείμενο των δεδομένων αν λάβει νομικά δεσμευτικό αίτημα από δημόσια αρχή (συμπεριλαμβανομένης της δικαστικής αρχής) δυνάμει του δικαίου της χώρας προορισμού σχετικά με κοινολόγηση δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται βάσει των τυποποιημένων συμβατικών ρητρών. Ομοίως, θα πρέπει να τους ενημερώνει αν περιέλθει σε γνώση του οποιαδήποτε άμεση πρόσβαση από δημόσιες αρχές στα σχετικά δεδομένα προσωπικού χαρακτήρα σύμφωνα με το δίκαιο της τρίτης χώρας προορισμού. Αν, παρά κάθε δυνατή προσπάθειά του, ο εισαγωγέας των δεδομένων δεν είναι σε θέση να ειδοποιήσει τον εξαγωγέα των δεδομένων και/ή το υποκείμενο των δεδομένων σχετικά με συγκεκριμένα αιτήματα κοινολόγησης, θα πρέπει να παρέχει στον εξαγωγέα των δεδομένων όσο το δυνατόν περισσότερες σχετικές πληροφορίες όσον αφορά τα αιτήματα. Επιπλέον, ο εισαγωγέας των δεδομένων θα πρέπει να παρέχει στον εξαγωγέα των δεδομένων συγκεντρωτικές πληροφορίες σε τακτά χρονικά διαστήματα. Ο εισαγωγέας των δεδομένων θα πρέπει επίσης να υποχρεούται να τεκμηριώνει κάθε αίτημα κοινολόγησης που λαμβάνει, καθώς και την απάντηση που δίδεται και να θέτει τις εν λόγω πληροφορίες στη διάθεση του εξαγωγέα των δεδομένων ή της αρμόδιας εποπτικής αρχής, ή και των δύο, κατόπιν αιτήματος. Αν, κατόπιν ελέγχου της νομιμότητας του εν λόγω αιτήματος σύμφωνα με τη νομοθεσία της χώρας προορισμού, ο εισαγωγέας των δεδομένων καταλήξει στο συμπέρασμα ότι υπάρχουν βάσιμοι λόγοι να θεωρηθεί ότι το αίτημα είναι παράνομο βάσει της νομοθεσίας της τρίτης χώρας προορισμού, θα πρέπει να το αμφισβητήσει, μεταξύ άλλων, κατά περίπτωση, με την εξάντληση των διαθέσιμων δυνατοτήτων προσφυγής. Σε κάθε περίπτωση, αν ο εισαγωγέας των δεδομένων δεν είναι πλέον σε θέση να συμμορφωθεί με τις τυποποιημένες συμβατικές ρήτρες, θα πρέπει να ενημερώνει σχετικά τον εξαγωγέα των δεδομένων, ακόμη και όταν η μη συμμόρφωση αποτελεί συνέπεια του αιτήματος κοινολόγησης.

(23)

Δεδομένου ότι οι ανάγκες των ενδιαφερόμενων μερών, η τεχνολογία και οι πράξεις επεξεργασίας ενδέχεται να αλλάξουν, η Επιτροπή θα πρέπει να αξιολογεί την εφαρμογή των τυποποιημένων συμβατικών ρητρών υπό το πρίσμα της αποκτηθείσας πείρας, στο πλαίσιο της περιοδικής αξιολόγησης του κανονισμού (ΕΕ) 2016/679 που προβλέπεται στο άρθρο 97 του εν λόγω κανονισμού.

(24)

Η απόφαση 2001/497/ΕΚ και η απόφαση 2010/87/ΕΕ θα πρέπει να καταργηθούν τρεις μήνες από την έναρξη ισχύος της παρούσας απόφασης. Κατά τη διάρκεια της εν λόγω περιόδου, οι εξαγωγείς και οι εισαγωγείς των δεδομένων θα πρέπει, για τους σκοπούς του άρθρου 46 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679, να μπορούν να συνεχίσουν να χρησιμοποιούν τις τυποποιημένες συμβατικές ρήτρες που ορίζονται στις αποφάσεις 2001/497/ΕΚ και 2010/87/ΕΕ. Για πρόσθετη περίοδο 15 μηνών, οι εξαγωγείς και οι εισαγωγείς των δεδομένων θα πρέπει, για τους σκοπούς του άρθρου 46 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679, να είναι σε θέση να συνεχίσουν να επικαλούνται τις τυποποιημένες συμβατικές ρήτρες που ορίζονται στις αποφάσεις 2001/497/ΕΚ και 2010/87/ΕΕ για την εκτέλεση συμβάσεων που έχουν συναφθεί πριν από την ημερομηνία κατάργησης των εν λόγω αποφάσεων, υπό την προϋπόθεση ότι οι πράξεις επεξεργασίας που αποτελούν αντικείμενο σύμβασης παραμένουν αμετάβλητες και ότι η επίκληση των ρητρών διασφαλίζει ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα υπόκειται σε κατάλληλες εγγυήσεις κατά την έννοια του άρθρου 46 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679. Σε περίπτωση σχετικών αλλαγών στη σύμβαση, θα πρέπει να απαιτείται από τον εξαγωγέα των δεδομένων να επικαλείται νέο λόγο για διαβιβάσεις δεδομένων στο πλαίσιο της σύμβασης, ιδίως μέσω της αντικατάστασης της υφιστάμενης τυποποιημένης συμβατικής ρήτρας με τις τυποποιημένες συμβατικές ρήτρες που περιλαμβάνονται στο παράρτημα της παρούσας απόφασης. Το ίδιο θα πρέπει να ισχύει για οποιαδήποτε υπεργολαβική ανάθεση σε εκτελούντα την επεξεργασία (υπεργολάβο επεξεργασίας) πράξεων επεξεργασίας που καλύπτονται από τη σύμβαση.

(25)

Διενεργήθηκε διαβούλευση με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων σύμφωνα με το άρθρο 42 παράγραφοι 1 και 2 του κανονισμού (ΕΕ) 2018/1725, οι οποίοι εξέδωσαν κοινή γνωμοδότηση στις 14 Ιανουαρίου 2021 (12), η οποία λήφθηκε υπόψη κατά την εκπόνηση της παρούσας απόφασης.

(26)

Τα μέτρα που προβλέπονται στην παρούσα απόφαση είναι σύμφωνα με τη γνώμη της επιτροπής που έχει συσταθεί βάσει του άρθρου 93 του κανονισμού (ΕΕ) 2016/679,

ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:

Άρθρο 1

1.   Οι τυποποιημένες συμβατικές ρήτρες που περιλαμβάνονται στο παράρτημα θεωρείται ότι παρέχουν κατάλληλες εγγυήσεις κατά την έννοια του άρθρου 46 παράγραφος 1 και παράγραφος 2 στοιχείο γ) του κανονισμού (ΕΕ) 2016/679 για τη διαβίβαση, από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία, δεδομένων προσωπικού χαρακτήρα —που υποβάλλονται σε επεξεργασία σύμφωνα με τις διατάξεις του εν λόγω κανονισμού (εξαγωγέας των δεδομένων) προς υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία (υπεργολάβο επεξεργασίας) ο οποίος εκτελεί επεξεργασία που δεν υπόκειται στις διατάξεις του εν λόγω κανονισμού (εισαγωγέας των δεδομένων).

2.   Οι τυποποιημένες συμβατικές ρήτρες καθορίζουν επίσης τα δικαιώματα και τις υποχρεώσεις των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία σε σχέση με τα ζητήματα που προβλέπονται στο άρθρο 28 παράγραφοι 3 και 4 του κανονισμού (ΕΕ) 2016/679 όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από υπεύθυνο επεξεργασίας σε εκτελούντα την επεξεργασία ή από εκτελούντα την επεξεργασία σε υπεργολάβο επεξεργασίας.

Άρθρο 2

Όταν οι αρμόδιες αρχές των κρατών μελών ασκούν διορθωτικές εξουσίες σύμφωνα με το άρθρο 58 του κανονισμού (ΕΕ) 2016/679 αποκρινόμενες στην περίπτωση που ο εισαγωγέας των δεδομένων υπόκειται ή θα καταστεί υποκείμενος σε νομοθεσία ή πρακτικές στην τρίτη χώρα προορισμού που τον εμποδίζουν να συμμορφωθεί με τις τυποποιημένες συμβατικές ρήτρες του παραρτήματος, με αποτέλεσμα την αναστολή ή την απαγόρευση των διαβιβάσεων δεδομένων σε τρίτες χώρες, το οικείο κράτος μέλος ενημερώνει χωρίς καθυστέρηση την Επιτροπή, η οποία διαβιβάζει τις πληροφορίες στα άλλα κράτη μέλη.

Άρθρο 3

Η Επιτροπή αξιολογεί την πρακτική εφαρμογή των τυποποιημένων συμβατικών ρητρών που ορίζονται στο παράρτημα με βάση όλες τις διαθέσιμες πληροφορίες στο πλαίσιο της περιοδικής αξιολόγησης που απαιτείται βάσει του άρθρου 97 του κανονισμού (ΕΕ) 2016/679.

Άρθρο 4

1.   Η παρούσα απόφαση αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

2.   Η απόφαση 2001/497/ΕΚ καταργείται από τις 27 Σεπτεμβρίου 2021.

3.   Η απόφαση 2010/87/ΕΕ καταργείται από τις 27 Σεπτεμβρίου 2021.

4.   Οι συμβάσεις που συνάπτονται πριν από τις 27 Σεπτεμβρίου 2021 με βάση την απόφαση 2001/497/ΕΚ ή την απόφαση 2010/87/ΕΕ θεωρείται ότι παρέχουν κατάλληλες εγγυήσεις κατά την έννοια του άρθρου 46 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679 έως τις 27 Δεκεμβρίου 2022, υπό την προϋπόθεση ότι οι πράξεις επεξεργασίας που αποτελούν αντικείμενο της σύμβασης παραμένουν αμετάβλητες και ότι η επίκληση των ρητρών αυτών διασφαλίζει ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα υπόκειται σε κατάλληλες εγγυήσεις.

Βρυξέλλες, 4 Ιουνίου 2021.

Για την Επιτροπή

Η Πρόεδρος

Ursula VON DER LEYEN


(1)   ΕΕ L 119 της 4.5.2016, σ. 1.

(2)  Άρθρο 44 του κανονισμού (ΕΕ) 2016/679.

(3)  Βλέπε επίσης την απόφαση του Δικαστηρίου, της 16ης Ιουλίου 2020, στην υπόθεση C-311/18, Data Protection Commissioner κατά Facebook Ireland Ltd και Maximillian Schrems (στο εξής: Schrems II), ECLI:EU:C:2020:559, σκέψη 93.

(4)  Αιτιολογική σκέψη 109 του κανονισμού (ΕΕ) 2016/679.

(5)  Απόφαση 2001/497/ΕΚ της Επιτροπής, της 15ης Ιουνίου 2001, σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες δυνάμει του άρθρου 26 παράγραφος 4 της οδηγίας 95/46/ΕΚ (ΕΕ L 181 της 4.7.2001, σ. 19).

(6)  Απόφαση 2010/87/ΕΕ της Επιτροπής, της 5ης Φεβρουαρίου 2010, σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (ΕΕ L 39 της 12.2.2010, σ. 5).

(7)  Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 281 της 23.11.1995, σ. 31).

(8)  Κανονισμός (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (ΕΕ L 295 της 21.11.2018, σ. 39)· βλέπε αιτιολογική σκέψη 5.

(9)  C(2021) 3701.

(10)   Schrems II, σκέψεις 96 και 103. Βλέπε επίσης κανονισμό (ΕΕ) 2016/679, αιτιολογικές σκέψεις 108 και 114.

(11)   Schrems II.

(12)  EDPB EDPS Joint Opinion 2/2021 on the European Commission’s Implementing Decision on standard contractual clauses for the transfer of personal data to third countries for the matters referred to in Article 46(2)(c) of Regulation (EU) 2016/679 [Κοινή γνωμοδότηση ΕΣΠΔ–ΕΕΠΔ 2/2021 σχετικά με την εκτελεστική απόφαση της Ευρωπαϊκής Επιτροπής για τις τυποποιημένες συμβατικές ρήτρες όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες για τα θέματα που προβλέπονται στο άρθρο 46 παράγραφος 2 στοιχείο γ) του κανονισμού (ΕΕ) 2016/679].


ΠΑΡΑΡΤΗΜΑ

ΤΥΠΟΠΟΙΗΜΕΝΕΣ ΣΥΜΒΑΤΙΚΕΣ ΡΗΤΡΕΣ

ΤΜΗΜΑ I

Ρήτρα 1

Σκοπός και πεδίο εφαρμογής

α)

Οι παρούσες τυποποιημένες συμβατικές ρήτρες έχουν ως σκοπό να διασφαλίζουν τη συμμόρφωση με τις απαιτήσεις του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (1) όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα.

β)

Τα συμβαλλόμενα μέρη:

i)

το/τα φυσικό/-ά ή νομικό/-ά πρόσωπο/-α, δημόσια/-ες αρχή/-ές, υπηρεσία/-ες ή άλλος/-οι φορέας/-είς (στο εξής: οντότητα/-ες) που διαβιβάζει/-ουν τα δεδομένα προσωπικού χαρακτήρα, όπως απαριθμούνται στο παράρτημα I.A (στο εξής: εξαγωγέας των δεδομένων), και

ii)

η οντότητα ή οι οντότητες σε τρίτη χώρα που λαμβάνουν τα δεδομένα προσωπικού χαρακτήρα από τον εξαγωγέα των δεδομένων, άμεσα ή έμμεσα, μέσω άλλης οντότητας που είναι επίσης συμβαλλόμενο μέρος στις παρούσες ρήτρες, όπως απαριθμούνται στο παράρτημα I.A (στο εξής έκαστη εξ αυτών: εισαγωγέας των δεδομένων)

συμφώνησαν σχετικά με τις παρούσες τυποποιημένες συμβατικές ρήτρες (στο εξής: ρήτρες).

γ)

Οι παρούσες ρήτρες εφαρμόζονται σε σχέση με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα, όπως καθορίζεται στο παράρτημα I.B.

δ)

Το προσάρτημα των παρουσών ρητρών που περιέχει τα παραρτήματα που αναφέρονται σε αυτό αποτελεί αναπόσπαστο τμήμα των εν λόγω ρητρών.

Ρήτρα 2

Αποτέλεσμα και αμετάβλητος χαρακτήρας των ρητρών

α)

Οι παρούσες ρήτρες καθορίζουν τις κατάλληλες εγγυήσεις, συμπεριλαμβανομένων των εκτελεστών δικαιωμάτων των υποκειμένων των δεδομένων και των αποτελεσματικών ένδικων μέσων, σύμφωνα με το άρθρο 46 παράγραφος 1 και το άρθρο 46 παράγραφος 2 στοιχείο γ) του κανονισμού (ΕΕ) 2016/679 και, όσον αφορά τις διαβιβάσεις δεδομένων από υπευθύνους επεξεργασίας σε εκτελούντες την επεξεργασία και/ή από εκτελούντες την επεξεργασία σε εκτελούντες την επεξεργασία, τις τυποποιημένες συμβατικές ρήτρες σύμφωνα με το άρθρο 28 παράγραφος 7 του κανονισμού (ΕΕ) 2016/679, υπό την προϋπόθεση ότι δεν τροποποιούνται, εκτός από την επιλογή της/των κατάλληλης/-ων ενότητας/-ήτων ή την προσθήκη ή επικαιροποίηση πληροφοριών στο προσάρτημα. Αυτό δεν εμποδίζει τα συμβαλλόμενα μέρη από το να ενσωματώνουν τις τυποποιημένες συμβατικές ρήτρες που ορίζονται στις παρούσες ρήτρες σε ευρύτερη σύμβαση και/ή να προσθέτουν άλλες ρήτρες ή πρόσθετες εγγυήσεις, υπό την προϋπόθεση ότι αυτές δεν αντιφάσκουν, άμεσα ή έμμεσα, προς τις παρούσες ρήτρες ούτε θίγουν τα θεμελιώδη δικαιώματα ή τις ελευθερίες των υποκειμένων των δεδομένων.

β)

Οι παρούσες ρήτρες δεν θίγουν τις υποχρεώσεις στις οποίες υπόκειται ο εξαγωγέας των δεδομένων δυνάμει του κανονισμού (ΕΕ) 2016/679.

Ρήτρα 3

Δικαιούχοι τρίτοι

α)

Τα υποκείμενα των δεδομένων μπορούν να επικαλούνται και να επιβάλλουν τις παρούσες ρήτρες, ως δικαιούχοι τρίτοι, έναντι του εξαγωγέα των δεδομένων και/ή του εισαγωγέα των δεδομένων, με τις ακόλουθες εξαιρέσεις:

i)

ρήτρα 1, ρήτρα 2, ρήτρα 3, ρήτρα 6, ρήτρα 7·

ii)

ρήτρα 8 – πρώτη ενότητα: ρήτρα 8.5 παράγραφος ε) και ρήτρα 8.9 παράγραφος β)· δεύτερη ενότητα: ρήτρα 8.1 παράγραφος β), ρήτρα 8.9 παράγραφοι α), γ), δ) και ε)· τρίτη ενότητα: ρήτρα 8.1 παράγραφοι α), γ) και δ) και ρήτρα 8.9 παράγραφοι α), γ), δ), ε), στ) και ζ)· τέταρτη ενότητα: ρήτρα 8.1 παράγραφος β) και ρήτρα 8.3 παράγραφος β)·

iii)

ρήτρα 9 – δεύτερη ενότητα: ρήτρα 9 παράγραφοι α), γ), δ) και ε)· τρίτη ενότητα: ρήτρα 9 παράγραφοι α), γ), δ) και ε)·

iv)

ρήτρα 12 – πρώτη ενότητα: ρήτρα 12 παράγραφοι α) και δ)· δεύτερη και τρίτη ενότητα: ρήτρα 12 παράγραφοι α), δ) και στ)·

v)

ρήτρα 13·

vi)

ρήτρα 15.1 παράγραφοι γ), δ) και ε)·

vii)

ρήτρα 16 παράγραφος ε)·

viii)

ρήτρα 18 – πρώτη, δεύτερη και τρίτη ενότητα: ρήτρα 18 παράγραφοι α) και β)· τέταρτη ενότητα: ρήτρα 18.

β)

Η παράγραφος α) δεν θίγει τα δικαιώματα των υποκειμένων των δεδομένων δυνάμει του κανονισμού (ΕΕ) 2016/679.

Ρήτρα 4

Ερμηνεία

α)

Όταν στις παρούσες ρήτρες χρησιμοποιούνται όροι που ορίζονται στον κανονισμό (ΕΕ) 2016/679, οι εν λόγω όροι έχουν την ίδια έννοια με εκείνη του εν λόγω κανονισμού.

β)

Η ανάγνωση και ερμηνεία των παρουσών ρητρών πραγματοποιούνται με βάση τις διατάξεις του κανονισμού (ΕΕ) 2016/679.

γ)

Οι παρούσες ρήτρες δεν ερμηνεύονται κατά τρόπο που έρχεται σε σύγκρουση με τα δικαιώματα και τις υποχρεώσεις που προβλέπονται στον κανονισμό (ΕΕ) 2016/679.

Ρήτρα 5

Ιεραρχία

Σε περίπτωση αντίφασης μεταξύ των παρουσών ρητρών και των διατάξεων συναφών συμφωνιών μεταξύ των συμβαλλόμενων μερών που ισχύουν κατά τον χρόνο που συμφωνούνται ή αρχίζουν να ισχύουν οι παρούσες ρήτρες, υπερισχύουν οι παρούσες ρήτρες.

Ρήτρα 6

Περιγραφή της/των διαβίβασης/-άσεων

Οι λεπτομέρειες της/των διαβίβασης/-άσεων, και ιδίως οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται και οι σκοποί για τους οποίους διαβιβάζονται, προσδιορίζονται στο παράρτημα I.Β.

Ρήτρα 7 – Προαιρετική

Ρήτρα σύνδεσης

α)

Οντότητα που δεν είναι συμβαλλόμενο μέρος των παρουσών ρητρών μπορεί, κατόπιν συμφωνίας των συμβαλλόμενων μερών, να προσχωρήσει στις παρούσες ρήτρες ανά πάσα στιγμή, είτε ως εξαγωγέας των δεδομένων είτε ως εισαγωγέας των δεδομένων, συμπληρώνοντας το προσάρτημα και υπογράφοντας το παράρτημα I.Α.

β)

Μετά τη συμπλήρωση του προσαρτήματος και την υπογραφή του παραρτήματος I.Α, η προσχωρούσα οντότητα λογίζεται ως συμβαλλόμενο μέρος των παρουσών ρητρών και έχει τα δικαιώματα και τις υποχρεώσεις εξαγωγέα των δεδομένων ή εισαγωγέα των δεδομένων, σύμφωνα με τον ορισμό τους στο παράρτημα I.Α.

γ)

Η προσχωρούσα οντότητα δεν έχει δικαιώματα και υποχρεώσεις που απορρέουν από τις παρούσες ρήτρες όσον αφορά την περίοδο πριν καταστεί συμβαλλόμενο μέρος.

ΤΜΗΜΑ II — ΥΠΟΧΡΕΩΣΕΙΣ ΤΩΝ ΣΥΜΒΑΛΛΟΜΕΝΩΝ ΜΕΡΩΝ

Ρήτρα 8

Εγγυήσεις για την προστασία δεδομένων

Ο εξαγωγέας των δεδομένων εγγυάται ότι έχει καταβάλει εύλογες προσπάθειες ώστε να διαπιστώσει ότι ο εισαγωγέας των δεδομένων είναι σε θέση, μέσω της εφαρμογής των κατάλληλων τεχνικών και οργανωτικών μέτρων, να εκπληρώσει τις υποχρεώσεις του βάσει των παρουσών ρητρών.

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

8.1.   Περιορισμός του σκοπού

Ο εισαγωγέας των δεδομένων επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο για τον/τους συγκεκριμένο/-ους σκοπό/-ούς της διαβίβασης, όπως ορίζεται στο παράρτημα I.Β. Μπορεί να επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα για άλλον σκοπό μόνον:

i)

όταν έχει λάβει την προηγούμενη συναίνεση του υποκειμένου των δεδομένων·

ii)

όταν είναι αναγκαίο για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων στο πλαίσιο ειδικών διοικητικών, κανονιστικών ή δικαστικών διαδικασιών· ή

iii)

όταν είναι αναγκαίο για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου.

8.2.   Διαφάνεια

α)

Για να μπορούν τα υποκείμενα των δεδομένων να ασκούν αποτελεσματικά τα δικαιώματά τους σύμφωνα με τη ρήτρα 10, ο εισαγωγέας των δεδομένων τα ενημερώνει, είτε απευθείας είτε μέσω του εξαγωγέα των δεδομένων σχετικά με τα εξής:

i)

τα στοιχεία ταυτότητας και τα στοιχεία επικοινωνίας του εισαγωγέα των δεδομένων·

ii)

τις κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία·

iii)

το δικαίωμα λήψης αντιγράφου των παρουσών ρητρών·

iv)

όταν προτίθεται να διαβιβάσει περαιτέρω τα δεδομένα προσωπικού χαρακτήρα του αποδέκτη ή κατηγοριών αποδεκτών (κατά περίπτωση με σκοπό την παροχή πληροφοριών) σε τρίτον/-ους, τον σκοπό της εν λόγω περαιτέρω διαβίβασης και τον λόγο αυτής, σύμφωνα με τη ρήτρα 8.7.

β)

Η παράγραφος α) δεν εφαρμόζεται όταν το υποκείμενο των δεδομένων έχει ήδη τις πληροφορίες, συμπεριλαμβανομένης της περίπτωσης που οι πληροφορίες αυτές έχουν ήδη παρασχεθεί από τον εξαγωγέα των δεδομένων, ή όταν η παροχή των πληροφοριών αποδεικνύεται αδύνατη ή συνεπάγεται δυσανάλογη προσπάθεια για τον εισαγωγέα των δεδομένων. Στην τελευταία περίπτωση, ο εισαγωγέας των δεδομένων καθιστά, στο μέτρο του δυνατού, τις πληροφορίες διαθέσιμες στο κοινό.

γ)

Κατόπιν αιτήματος, τα συμβαλλόμενα μέρη θέτουν δωρεάν στη διάθεση του υποκειμένου των δεδομένων αντίγραφο των παρουσών ρητρών, συμπεριλαμβανομένου του προσαρτήματος, όπως έχει συμπληρωθεί από τα συμβαλλόμενα μέρη. Στον βαθμό που είναι αναγκαίο για την προστασία επαγγελματικών απορρήτων ή άλλων εμπιστευτικών πληροφοριών, συμπεριλαμβανομένων των δεδομένων προσωπικού χαρακτήρα, τα συμβαλλόμενα μέρη μπορούν να απαλείψουν μέρος του κειμένου του προσαρτήματος πριν από την κοινοποίηση αντιγράφου, αλλά πρέπει να παρέχουν κατατοπιστική περίληψη, εφόσον σε αντίθετη περίπτωση το υποκείμενο των δεδομένων δεν θα ήταν σε θέση να κατανοήσει το περιεχόμενό του ή να ασκήσει τα δικαιώματά του. Κατόπιν αιτήματος, τα συμβαλλόμενα μέρη παρέχουν στο υποκείμενο των δεδομένων τους λόγους της απαλοιφής, στο μέτρο του δυνατού, χωρίς να αποκαλύπτουν τις απαλειφθείσες πληροφορίες.

δ)

Οι παράγραφοι α) έως γ) εφαρμόζονται με την επιφύλαξη των υποχρεώσεων του εξαγωγέα των δεδομένων δυνάμει των άρθρων 13 και 14 του κανονισμού (ΕΕ) 2016/679.

8.3.   Ακρίβεια και ελαχιστοποίηση των δεδομένων

α)

Κάθε συμβαλλόμενο μέρος διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα είναι ακριβή και, εφόσον απαιτείται, επικαιροποιούνται. Ο εισαγωγέας των δεδομένων λαμβάνει κάθε εύλογο μέτρο για να διασφαλίσει ότι τα δεδομένα προσωπικού χαρακτήρα που είναι ανακριβή, σε σχέση με τον/τους σκοπό/-ούς της επεξεργασίας, διαγράφονται ή διορθώνονται χωρίς καθυστέρηση.

β)

Αν ένα από τα συμβαλλόμενα μέρη διαπιστώσει ότι τα δεδομένα προσωπικού χαρακτήρα που έχει διαβιβάσει ή λάβει είναι ανακριβή ή έχουν καταστεί παρωχημένα, ενημερώνει το έτερο συμβαλλόμενο μέρος χωρίς αδικαιολόγητη καθυστέρηση.

γ)

Ο εισαγωγέας των δεδομένων διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα είναι επαρκή, συναφή και περιορίζονται σε ό,τι είναι αναγκαίο σε σχέση με τον/τους σκοπό/-ούς της επεξεργασίας.

8.4.   Περιορισμός της περιόδου αποθήκευσης

Ο εισαγωγέας των δεδομένων διατηρεί τα δεδομένα προσωπικού χαρακτήρα μόνο για το διάστημα που είναι αναγκαίο για τον/τους σκοπό/-ούς για τον/τους οποίο/-ους υποβάλλονται σε επεξεργασία. Εφαρμόζει κατάλληλα τεχνικά ή οργανωτικά μέτρα για τη διασφάλιση της συμμόρφωσης με την υποχρέωση αυτή, συμπεριλαμβανομένης της διαγραφής ή της ανωνυμοποίησης (2) των δεδομένων και όλων των εφεδρικών αντιγράφων στο τέλος της περιόδου διατήρησης.

8.5.   Ασφάλεια επεξεργασίας

α)

Ο εισαγωγέας των δεδομένων και, κατά τη διάρκεια της διαβίβασης, ομοίως ο εξαγωγέας των δεδομένων εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της ασφάλειας των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένης της προστασίας από παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση (στο εξής: παραβίαση δεδομένων προσωπικού χαρακτήρα). Κατά την αξιολόγηση του κατάλληλου επιπέδου ασφάλειας, λαμβάνουν δεόντως υπόψη τις τελευταίες εξελίξεις, το κόστος της εφαρμογής, τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τον/τους σκοπό/-ούς της επεξεργασίας, καθώς και τους κινδύνους που προκύπτουν από την επεξεργασία για τα υποκείμενα των δεδομένων. Τα συμβαλλόμενα μέρη εξετάζουν ειδικότερα το ενδεχόμενο χρησιμοποίησης κρυπτογράφησης ή ψευδωνυμοποίησης, μεταξύ άλλων κατά τη διάρκεια της διαβίβασης, όταν με αυτόν τον τρόπο μπορεί να επιτευχθεί ο σκοπός της επεξεργασίας.

β)

Τα συμβαλλόμενα μέρη συμφώνησαν σχετικά με τα τεχνικά και οργανωτικά μέτρα που καθορίζονται στο παράρτημα II. Ο εισαγωγέας των δεδομένων διενεργεί τακτικούς ελέγχους για να διασφαλίζει ότι τα μέτρα αυτά εξακολουθούν να παρέχουν κατάλληλο επίπεδο ασφάλειας.

γ)

Ο εισαγωγέας των δεδομένων διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας.

δ)

Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα όσον αφορά δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία από τον εισαγωγέα των δεδομένων βάσει των παρουσών ρητρών, ο εισαγωγέας των δεδομένων λαμβάνει κατάλληλα μέτρα για την αντιμετώπιση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων μέτρων για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.

ε)

Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα που ενδέχεται να θέσει σε κίνδυνο τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, ο εισαγωγέας των δεδομένων ενημερώνει χωρίς αδικαιολόγητη καθυστέρηση τόσο τον εξαγωγέα των δεδομένων όσο και την αρμόδια εποπτική αρχή σύμφωνα με τη ρήτρα 13. Η εν λόγω γνωστοποίηση περιλαμβάνει i) περιγραφή της φύσης της παραβίασης (συμπεριλαμβανομένων, όπου είναι δυνατόν, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων και των επηρεαζόμενων αρχείων δεδομένων προσωπικού χαρακτήρα), ii) τις ενδεχόμενες συνέπειές της, iii) τα ληφθέντα ή τα προτεινόμενα προς λήψη μέτρα για την αντιμετώπιση της παραβίασης και iv) τα στοιχεία ενός σημείου επικοινωνίας από το οποίο μπορούν να ληφθούν περισσότερες πληροφορίες. Στον βαθμό που ο εισαγωγέας των δεδομένων δεν είναι σε θέση να παράσχει όλες τις πληροφορίες ταυτόχρονα, μπορεί να το πράξει σταδιακά χωρίς αδικαιολόγητη περαιτέρω καθυστέρηση.

στ)

Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα που ενδέχεται να συνεπάγεται υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο εισαγωγέας των δεδομένων γνωστοποιεί επίσης αμελλητί στα επηρεαζόμενα υποκείμενα των δεδομένων την παραβίαση των δεδομένων προσωπικού χαρακτήρα και τη φύση της, αν απαιτείται σε συνεργασία με τον εξαγωγέα των δεδομένων, μαζί με τις πληροφορίες που αναφέρονται στην παράγραφο ε) σημεία ii) έως iv), εκτός αν ο εισαγωγέας των δεδομένων έχει εφαρμόσει μέτρα για τη σημαντική μείωση του κινδύνου για τα δικαιώματα ή τις ελευθερίες των φυσικών προσώπων, ή η γνωστοποίηση προϋποθέτει δυσανάλογες προσπάθειες. Στην τελευταία περίπτωση, ο εισαγωγέας των δεδομένων εκδίδει αντί της γνωστοποίησης δημόσια ανακοίνωση ή λαμβάνει παρόμοιο μέτρο για την ενημέρωση του κοινού σχετικά με την παραβίαση δεδομένων προσωπικού χαρακτήρα.

ζ)

Ο εισαγωγέας των δεδομένων τεκμηριώνει όλα τα σχετικά πραγματικά περιστατικά που αφορούν την παραβίαση δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων των συνεπειών της και τυχόν ληφθέντων διορθωτικών μέτρων, και τηρεί σχετικό αρχείο.

8.6.   Ευαίσθητα δεδομένα

Όταν η διαβίβαση αφορά δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και γενετικά δεδομένα ή βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένα που αφορούν την υγεία ή δεδομένα που αφορούν τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό φυσικού προσώπου, ή δεδομένα που αφορούν ποινικές καταδίκες ή αδικήματα (στο εξής: ευαίσθητα δεδομένα), ο εισαγωγέας των δεδομένων εφαρμόζει ειδικούς περιορισμούς και/ή πρόσθετες εγγυήσεις που έχουν προσαρμοστεί στην ιδιαίτερη φύση των δεδομένων και των σχετικών κινδύνων. Αυτό μπορεί να περιλαμβάνει τον περιορισμό της πρόσβασης του προσωπικού που επιτρέπεται να έχει πρόσβαση στα δεδομένα προσωπικού χαρακτήρα, πρόσθετα μέτρα ασφάλειας (όπως η ψευδωνυμοποίηση) και/ή πρόσθετους περιορισμούς όσον αφορά την περαιτέρω κοινολόγηση.

8.7.   Περαιτέρω διαβιβάσεις

Ο εισαγωγέας των δεδομένων δεν κοινολογεί τα δεδομένα προσωπικού χαρακτήρα σε τρίτον εγκατεστημένο εκτός της Ευρωπαϊκής Ένωσης (3) (στην ίδια χώρα με τον εισαγωγέα των δεδομένων ή σε άλλη τρίτη χώρα, στο εξής: περαιτέρω διαβίβαση), εκτός αν ο τρίτος δεσμεύεται ή συμφωνεί να δεσμεύεται από τις παρούσες ρήτρες, υπό την αντίστοιχη ενότητα. Διαφορετικά, ο εισαγωγέας των δεδομένων μπορεί να πραγματοποιεί περαιτέρω διαβίβαση μόνο αν:

i)

η περαιτέρω διαβίβαση γίνεται προς χώρα που επωφελείται από απόφαση επάρκειας σύμφωνα με το άρθρο 45 του κανονισμού (ΕΕ) 2016/679 η οποία καλύπτει την περαιτέρω διαβίβαση·

ii)

ο τρίτος εξασφαλίζει με άλλον τρόπο τις κατάλληλες εγγυήσεις σύμφωνα με το άρθρο 46 ή 47 του κανονισμού (ΕΕ) 2016/679 όσον αφορά την εν λόγω επεξεργασία·

iii)

ο τρίτος συνάπτει δεσμευτική πράξη με τον εισαγωγέα των δεδομένων η οποία διασφαλίζει το ίδιο επίπεδο προστασίας των δεδομένων με εκείνο που προβλέπεται στις παρούσες ρήτρες, και ο εισαγωγέας των δεδομένων παρέχει αντίγραφο των εν λόγω εγγυήσεων στον εξαγωγέα των δεδομένων·

iv)

είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων στο πλαίσιο ειδικών διοικητικών, κανονιστικών ή δικαστικών διαδικασιών·

v)

είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου. ή

vi)

εφόσον δεν συντρέχει καμία από τις λοιπές περιπτώσεις, ο εισαγωγέας των δεδομένων έχει λάβει τη ρητή συγκατάθεση του υποκειμένου των δεδομένων για περαιτέρω διαβίβαση σε ειδική κατάσταση, αφού έχει ενημερώσει το εν λόγω υποκείμενο για τον σκοπό ή τους σκοπούς της, την ταυτότητα του αποδέκτη και τους πιθανούς κινδύνους της εν λόγω διαβίβασης για το υποκείμενο των δεδομένων λόγω έλλειψης κατάλληλων εγγυήσεων προστασίας των δεδομένων. Στην περίπτωση αυτή, ο εισαγωγέας των δεδομένων ενημερώνει τον εξαγωγέα των δεδομένων και, κατόπιν αιτήματος του εξαγωγέα των δεδομένων, του διαβιβάζει αντίγραφο των πληροφοριών που παρέχονται στο υποκείμενο των δεδομένων.

Κάθε περαιτέρω διαβίβαση προϋποθέτει ότι ο εισαγωγέας των δεδομένων τηρεί όλες τις άλλες εγγυήσεις που προβλέπονται στις παρούσες ρήτρες, και ιδίως τον περιορισμό του σκοπού.

8.8.   Επεξεργασία υπό την εποπτεία του εισαγωγέα των δεδομένων

Ο εισαγωγέας των δεδομένων διασφαλίζει ότι κάθε πρόσωπο που ενεργεί υπό την εποπτεία του, συμπεριλαμβανομένου του εκτελούντος την επεξεργασία, επεξεργάζεται τα δεδομένα μόνον κατ’ εντολή του εισαγωγέα των δεδομένων.

8.9.   Τεκμηρίωση και συμμόρφωση

α)

Κάθε συμβαλλόμενο μέρος είναι σε θέση να αποδεικνύει τη συμμόρφωση με τις υποχρεώσεις του στο πλαίσιο των παρουσών ρητρών. Ειδικότερα, ο εισαγωγέας των δεδομένων τηρεί κατάλληλη τεκμηρίωση των δραστηριοτήτων επεξεργασίας που διεξάγονται υπό την ευθύνη του.

β)

Ο εισαγωγέας των δεδομένων θέτει την εν λόγω τεκμηρίωση στη διάθεση της αρμόδιας εποπτικής αρχής κατόπιν αιτήματος.

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

8.1.   Εντολές

α)

Ο εισαγωγέας των δεδομένων επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του εξαγωγέα των δεδομένων. Ο εξαγωγέας των δεδομένων μπορεί να παρέχει τις σχετικές εντολές καθ’ όλη τη διάρκεια ισχύος της σύμβασης.

β)

Ο εισαγωγέας των δεδομένων ενημερώνει αμέσως τον εξαγωγέα των δεδομένων σε περίπτωση που δεν είναι σε θέση να εκτελέσει τις εν λόγω εντολές.

8.2.   Περιορισμός του σκοπού

Ο εισαγωγέας των δεδομένων επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο για τον συγκεκριμένο σκοπό ή σκοπούς της διαβίβασης, όπως ορίζεται στο παράρτημα I.Β, εκτός αν λάβει περαιτέρω εντολές από τον εξαγωγέα των δεδομένων.

8.3.   Διαφάνεια

Κατόπιν αιτήματος, ο εξαγωγέας των δεδομένων θέτει δωρεάν στη διάθεση του υποκειμένου των δεδομένων αντίγραφο των παρουσών ρητρών, συμπεριλαμβανομένου του προσαρτήματος, όπως έχει συμπληρωθεί από τα συμβαλλόμενα μέρη. Στον βαθμό που είναι αναγκαίο για την προστασία επαγγελματικών απορρήτων ή άλλων εμπιστευτικών πληροφοριών, συμπεριλαμβανομένων των μέτρων που περιγράφονται στο παράρτημα II και των δεδομένων προσωπικού χαρακτήρα, ο εξαγωγέας των δεδομένων μπορεί να απαλείψει μέρος του κειμένου του προσαρτήματος των παρουσών ρητρών πριν από την κοινοποίηση αντιγράφου, αλλά πρέπει να παρέχει κατατοπιστική περίληψη, εφόσον σε αντίθετη περίπτωση το υποκείμενο των δεδομένων δεν θα ήταν σε θέση να κατανοήσει το περιεχόμενό του ή να ασκήσει τα δικαιώματά του. Κατόπιν αιτήματος, τα συμβαλλόμενα μέρη παρέχουν στο υποκείμενο των δεδομένων τους λόγους της απαλοιφής, στο μέτρο του δυνατού, χωρίς να αποκαλύπτουν τις απαλειφθείσες πληροφορίες. Η ρήτρα αυτή ισχύει με την επιφύλαξη των υποχρεώσεων του εξαγωγέα των δεδομένων δυνάμει των άρθρων 13 και 14 του κανονισμού (ΕΕ) 2016/679.

8.4.   Ακρίβεια

Αν ο εισαγωγέας των δεδομένων διαπιστώσει ότι τα δεδομένα προσωπικού χαρακτήρα που έχει λάβει είναι ανακριβή ή έχουν καταστεί παρωχημένα, ενημερώνει τον εξαγωγέα των δεδομένων χωρίς αδικαιολόγητη καθυστέρηση. Στην περίπτωση αυτή, ο εισαγωγέας των δεδομένων συνεργάζεται με τον εξαγωγέα των δεδομένων για τη διαγραφή ή τη διόρθωση των δεδομένων.

8.5.   Διάρκεια της επεξεργασίας και διαγραφή ή επιστροφή των δεδομένων

Η επεξεργασία από τον εισαγωγέα των δεδομένων πραγματοποιείται μόνο για το χρονικό διάστημα που καθορίζεται στο παράρτημα I.Β. Μετά το πέρας της παροχής υπηρεσιών επεξεργασίας, ο εισαγωγέας των δεδομένων, κατ’ επιλογή του εξαγωγέα των δεδομένων, διαγράφει όλα τα δεδομένα προσωπικού χαρακτήρα που έχουν υποβληθεί σε επεξεργασία για λογαριασμό του εξαγωγέα των δεδομένων και πιστοποιεί στον εξαγωγέα των δεδομένων ότι το έπραξε, ή επιστρέφει στον εξαγωγέα των δεδομένων όλα τα δεδομένα προσωπικού χαρακτήρα που υποβλήθηκαν σε επεξεργασία για λογαριασμό του και διαγράφει τα υφιστάμενα αντίγραφα. Έως ότου τα δεδομένα διαγραφούν ή επιστραφούν, ο εισαγωγέας των δεδομένων εξακολουθεί να διασφαλίζει τη συμμόρφωση με τις παρούσες ρήτρες. Σε περίπτωση τοπικού δικαίου στο οποίο υπόκειται ο εισαγωγέας των δεδομένων και το οποίο απαγορεύει την επιστροφή ή τη διαγραφή των δεδομένων προσωπικού χαρακτήρα, ο εισαγωγέας των δεδομένων εγγυάται ότι θα συνεχίσει να διασφαλίζει τη συμμόρφωση με τις παρούσες ρήτρες και θα επεξεργάζεται τα δεδομένα μόνο στον βαθμό και για όσο διάστημα απαιτείται από το εν λόγω τοπικό δίκαιο. Αυτό ισχύει με την επιφύλαξη της ρήτρας 14, ειδικότερα της απαίτησης για τον εισαγωγέα των δεδομένων βάσει της ρήτρας 14 παράγραφος ε) να ενημερώνει τον εξαγωγέα δεδομένων καθ’ όλη τη διάρκεια ισχύος της σύμβασης αν έχει λόγους να πιστεύει ότι υπόκειται ή έχει καταστεί υποκείμενος σε νομοθεσία ή πρακτικές που δεν συνάδουν με τις απαιτήσεις της ρήτρας 14 παράγραφος α).

8.6.   Ασφάλεια επεξεργασίας

α)

Ο εισαγωγέας των δεδομένων και, κατά τη διάρκεια της διαβίβασης, ομοίως ο εξαγωγέας των δεδομένων εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της ασφάλειας των δεδομένων, συμπεριλαμβανομένης της προστασίας από παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση των λόγω δεδομένων (στο εξής: παραβίαση δεδομένων προσωπικού χαρακτήρα). Κατά την αξιολόγηση του κατάλληλου επιπέδου ασφάλειας, τα συμβαλλόμενα μέρη λαμβάνουν δεόντως υπόψη τις τελευταίες εξελίξεις, το κόστος της εφαρμογής, τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τον/τους σκοπό/-ούς της επεξεργασίας, καθώς και τους κινδύνους που προκύπτουν από την επεξεργασία για τα υποκείμενα των δεδομένων. Τα συμβαλλόμενα μέρη εξετάζουν ειδικότερα το ενδεχόμενο χρησιμοποίησης κρυπτογράφησης ή ψευδωνυμοποίησης, μεταξύ άλλων κατά τη διάρκεια της διαβίβασης, όταν με αυτόν τον τρόπο μπορεί να επιτευχθεί ο σκοπός της επεξεργασίας. Σε περίπτωση ψευδωνυμοποίησης, οι συμπληρωματικές πληροφορίες για την απόδοση των δεδομένων προσωπικού χαρακτήρα σε συγκεκριμένο υποκείμενο δεδομένων παραμένουν, στο μέτρο του δυνατού, υπό τον αποκλειστικό έλεγχο του εξαγωγέα των δεδομένων. Ο εισαγωγέας των δεδομένων, στο πλαίσιο της συμμόρφωσης του με τις υποχρεώσεις του δυνάμει της παρούσας παραγράφου, εφαρμόζει τουλάχιστον τα τεχνικά και οργανωτικά μέτρα που καθορίζονται στο παράρτημα II. Ο εισαγωγέας των δεδομένων διενεργεί τακτικούς ελέγχους για να διασφαλίσει ότι τα μέτρα αυτά εξακολουθούν να παρέχουν κατάλληλο επίπεδο ασφάλειας.

β)

Ο εισαγωγέας των δεδομένων παρέχει στα μέλη του προσωπικού του πρόσβαση στα δεδομένα προσωπικού χαρακτήρα μόνο στο μέτρο που είναι απολύτως αναγκαίο για την εκτέλεση, τη διαχείριση και την παρακολούθηση της σύμβασης. Διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας.

γ)

Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα όσον αφορά δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία από τον εισαγωγέα των δεδομένων βάσει των παρουσών ρητρών, ο εισαγωγέας των δεδομένων λαμβάνει κατάλληλα μέτρα για την αντιμετώπιση της παραβίασης δεδομένων, συμπεριλαμβανομένων μέτρων για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της. Μόλις λάβει γνώση της παραβίασης, ο εισαγωγέας των δεδομένων ενημερώνει επίσης τον εξαγωγέα των δεδομένων χωρίς αδικαιολόγητη καθυστέρηση. Η εν λόγω γνωστοποίηση περιλαμβάνει τα στοιχεία του σημείου επικοινωνίας από το οποίο μπορούν να αντληθούν περισσότερες πληροφορίες, την περιγραφή της φύσης της παραβίασης (συμπεριλαμβανομένων, όπου είναι δυνατόν, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων και των επηρεαζόμενων αρχείων δεδομένων προσωπικού χαρακτήρα), τις ενδεχόμενες συνέπειές της και τα ληφθέντα ή τα προτεινόμενα προς λήψη για την αντιμετώπιση της παραβίασης, συμπεριλαμβανομένων, κατά περίπτωση, μέτρων για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της. Όταν και στον βαθμό που δεν είναι δυνατόν να παρασχεθούν όλες οι πληροφορίες ταυτόχρονα, στην αρχική γνωστοποίηση περιλαμβάνονται οι πληροφορίες που είναι διαθέσιμες τη δεδομένη στιγμή, ενώ επιπλέον πληροφορίες παρέχονται σε μεταγενέστερο χρόνο και χωρίς αδικαιολόγητη καθυστέρηση μόλις καταστούν διαθέσιμες.

δ)

Ο εισαγωγέας των δεδομένων συνεργάζεται με τον εξαγωγέα των δεδομένων και τον επικουρεί ώστε να είναι σε θέση να εκπληρώνει τις υποχρεώσεις του στο πλαίσιο του κανονισμού (ΕΕ) 2016/679, ειδικότερα να ενημερώνει την αρμόδια εποπτική αρχή και τα επηρεαζόμενα υποκείμενα των δεδομένων, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που έχει στη διάθεσή του ο εισαγωγέας των δεδομένων.

8.7.   Ευαίσθητα δεδομένα

Όταν η διαβίβαση αφορά δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και γενετικά δεδομένα ή βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση φυσικού προσώπου, δεδομένα που αφορούν την υγεία ή δεδομένα που αφορούν τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό φυσικού προσώπου, ή δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα (στο εξής: ευαίσθητα δεδομένα), ο εισαγωγέας των δεδομένων εφαρμόζει τους ειδικούς περιορισμούς και/ή τις πρόσθετες εγγυήσεις που περιγράφονται στο παράρτημα I.Β.

8.8.   Περαιτέρω διαβιβάσεις

Ο εισαγωγέας των δεδομένων κοινολογεί τα δεδομένα προσωπικού χαρακτήρα σε τρίτον μόνο βάσει καταγεγραμμένων εντολών του εξαγωγέα των δεδομένων. Επιπλέον, τα δεδομένα μπορούν να κοινολογηθούν σε τρίτον εγκατεστημένο εκτός της Ευρωπαϊκής Ένωσης (4) (στην ίδια χώρα με τον εισαγωγέα των δεδομένων ή σε άλλη τρίτη χώρα, στο εξής: περαιτέρω διαβίβαση), μόνον αν ο τρίτος δεσμεύεται ή συμφωνεί να δεσμεύεται από τις παρούσες ρήτρες, υπό την αντίστοιχη ενότητα, ή αν:

i)

η περαιτέρω διαβίβαση γίνεται προς χώρα που επωφελείται από απόφαση επάρκειας σύμφωνα με το άρθρο 45 του κανονισμού (ΕΕ) 2016/679 η οποία καλύπτει την περαιτέρω διαβίβαση·

ii)

ο τρίτος εξασφαλίζει με άλλον τρόπο τις κατάλληλες εγγυήσεις σύμφωνα με το άρθρο 46 ή 47 του κανονισμού (ΕΕ) 2016/679 όσον αφορά την εν λόγω επεξεργασία·

iii)

η περαιτέρω διαβίβαση είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων στο πλαίσιο ειδικών διοικητικών, κανονιστικών ή δικαστικών διαδικασιών· ή

iv)

η περαιτέρω διαβίβαση είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου.

Κάθε περαιτέρω διαβίβαση προϋποθέτει ότι ο εισαγωγέας των δεδομένων τηρεί όλες τις άλλες εγγυήσεις που προβλέπονται στις παρούσες ρήτρες, και ιδίως τον περιορισμό του σκοπού.

8.9.   Τεκμηρίωση και συμμόρφωση

α)

Ο εισαγωγέας των δεδομένων ανταποκρίνεται άμεσα και με επάρκεια στα αιτήματα πληροφοριών του εξαγωγέα των δεδομένων που σχετίζονται με την επεξεργασία σύμφωνα με τις παρούσες ρήτρες.

β)

Τα συμβαλλόμενα μέρη είναι σε θέση να αποδεικνύουν τη συμμόρφωσή τους με τις παρούσες ρήτρες. Ειδικότερα, ο εισαγωγέας των δεδομένων τηρεί κατάλληλη τεκμηρίωση σχετικά με τις δραστηριότητες επεξεργασίας που διεξάγονται για λογαριασμό του εξαγωγέα των δεδομένων.

γ)

Ο εισαγωγέας των δεδομένων θέτει στη διάθεση του εξαγωγέα των δεδομένων κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που καθορίζονται στις παρούσες ρήτρες και, κατόπιν αιτήματος του εξαγωγέα των δεδομένων, επιτρέπει και διευκολύνει τη διενέργεια ελέγχων των δραστηριοτήτων επεξεργασίας που καλύπτονται από τις παρούσες ρήτρες, σε εύλογα τακτά χρονικά διαστήματα ή αν υπάρχουν ενδείξεις μη συμμόρφωσης. Όταν αποφασίζει για επανεξέταση ή έλεγχο, ο εξαγωγέας των δεδομένων μπορεί να λαμβάνει υπόψη σχετικές πιστοποιήσεις του εισαγωγέα των δεδομένων.

δ)

Ο εξαγωγέας των δεδομένων μπορεί να επιλέξει να διενεργήσει τον έλεγχο ο ίδιος ή να τον αναθέσει σε ανεξάρτητο ελεγκτή. Οι έλεγχοι μπορούν να περιλαμβάνουν επιθεωρήσεις στους χώρους ή τις φυσικές εγκαταστάσεις του εισαγωγέα των δεδομένων και, όπου κρίνεται απαραίτητο, να διενεργούνται έπειτα από εύλογη προθεσμία προειδοποίησης.

ε)

Τα συμβαλλόμενα μέρη θέτουν τις πληροφορίες που αναφέρονται στις παραγράφους β) και γ), περιλαμβανομένων των αποτελεσμάτων τυχόν ελέγχων, στη διάθεση της αρμόδιας εποπτικής αρχής κατόπιν αιτήματος.

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

8.1.   Εντολές

α)

Ο εξαγωγέας των δεδομένων έχει ενημερώσει τον εισαγωγέα των δεδομένων ότι ενεργεί ως εκτελών την επεξεργασία κατόπιν εντολών του/των υπευθύνου/-ων επεξεργασίας, τις οποίες ο εξαγωγέας των δεδομένων θέτει στη διάθεση του εισαγωγέα των δεδομένων πριν από την επεξεργασία.

β)

Ο εισαγωγέας των δεδομένων επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας, όπως έχουν κοινοποιηθεί στον εισαγωγέα των δεδομένων από τον εξαγωγέα των δεδομένων και βάσει τυχόν συμπληρωματικών καταγεγραμμένων εντολών του εξαγωγέα των δεδομένων. Οι εν λόγω συμπληρωματικές εντολές δεν έρχονται σε σύγκρουση με τις εντολές του υπευθύνου επεξεργασίας. Ο υπεύθυνος επεξεργασίας ή ο εξαγωγέας των δεδομένων μπορεί να δώσει περαιτέρω καταγεγραμμένες εντολές σχετικά με την επεξεργασία των δεδομένων καθ’ όλη τη διάρκεια ισχύος της σύμβασης.

γ)

Ο εισαγωγέας των δεδομένων ενημερώνει αμέσως τον εξαγωγέα των δεδομένων σε περίπτωση που δεν είναι σε θέση να εκτελέσει τις εν λόγω εντολές. Όταν ο εισαγωγέας των δεδομένων δεν είναι σε θέση να τηρήσει τις εντολές του υπευθύνου επεξεργασίας, ο εξαγωγέας των δεδομένων ενημερώνει αμέσως σχετικά τον υπεύθυνο επεξεργασίας.

δ)

Ο εξαγωγέας των δεδομένων εγγυάται ότι έχει επιβάλει στον εισαγωγέα των δεδομένων τις ίδιες υποχρεώσεις προστασίας δεδομένων με εκείνες που ορίζονται στη σύμβαση ή σε άλλη νομική πράξη βάσει του δικαίου της Ένωσης ή κράτους μέλους μεταξύ του υπευθύνου επεξεργασίας και του εξαγωγέα των δεδομένων (5).

8.2.   Περιορισμός του σκοπού

Ο εισαγωγέας των δεδομένων επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο για τον συγκεκριμένο σκοπό ή σκοπούς της διαβίβασης, όπως ορίζεται στο παράρτημα I.Β, εκτός αν λάβει περαιτέρω εντολές από τον υπεύθυνο επεξεργασίας, όπως κοινοποιήθηκαν στον εισαγωγέα των δεδομένων από τον εξαγωγέα των δεδομένων, ή από τον εξαγωγέα των δεδομένων.

8.3.   Διαφάνεια

Κατόπιν αιτήματος, ο εξαγωγέας των δεδομένων θέτει δωρεάν στη διάθεση του υποκειμένου των δεδομένων αντίγραφο των παρουσών ρητρών, συμπεριλαμβανομένου του προσαρτήματος, όπως έχει συμπληρωθεί από τα συμβαλλόμενα μέρη. Στον βαθμό που είναι αναγκαίο για την προστασία επαγγελματικών απορρήτων ή άλλων εμπιστευτικών πληροφοριών, συμπεριλαμβανομένων των δεδομένων προσωπικού χαρακτήρα, ο εξαγωγέας των δεδομένων μπορεί να απαλείψει μέρος του κειμένου του προσαρτήματος πριν από την κοινοποίηση αντιγράφου, αλλά πρέπει να παρέχει κατατοπιστική περίληψη, εφόσον σε αντίθετη περίπτωση το υποκείμενο των δεδομένων δεν θα ήταν σε θέση να κατανοήσει το περιεχόμενό του ή να ασκήσει τα δικαιώματά του. Κατόπιν αιτήματος, τα συμβαλλόμενα μέρη παρέχουν στο υποκείμενο των δεδομένων τους λόγους της απαλοιφής, στο μέτρο του δυνατού, χωρίς να αποκαλύπτουν τις απαλειφθείσες πληροφορίες.

8.4.   Ακρίβεια

Αν ο εισαγωγέας των δεδομένων διαπιστώσει ότι τα δεδομένα προσωπικού χαρακτήρα που έχει λάβει είναι ανακριβή ή έχουν καταστεί παρωχημένα, ενημερώνει τον εξαγωγέα των δεδομένων χωρίς αδικαιολόγητη καθυστέρηση. Στην περίπτωση αυτή, ο εισαγωγέας των δεδομένων συνεργάζεται με τον εξαγωγέα των δεδομένων για τη διόρθωση ή τη διαγραφή των δεδομένων.

8.5.   Διάρκεια της επεξεργασίας και διαγραφή ή επιστροφή των δεδομένων

Η επεξεργασία από τον εισαγωγέα των δεδομένων πραγματοποιείται μόνο για το χρονικό διάστημα που καθορίζεται στο παράρτημα I.Β. Μετά τη λήξη της παροχής των υπηρεσιών επεξεργασίας, ο εισαγωγέας των δεδομένων, κατ’ επιλογή του εξαγωγέα των δεδομένων, διαγράφει όλα τα δεδομένα προσωπικού χαρακτήρα που έχουν υποβληθεί σε επεξεργασία για λογαριασμό του υπευθύνου επεξεργασίας δεδομένων και πιστοποιεί στον εξαγωγέα των δεδομένων ότι το έπραξε, ή επιστρέφει στον εξαγωγέα των δεδομένων όλα τα δεδομένα προσωπικού χαρακτήρα που υποβλήθηκαν σε επεξεργασία για λογαριασμό του και διαγράφει τα υφιστάμενα αντίγραφα. Έως ότου τα δεδομένα διαγραφούν ή επιστραφούν, ο εισαγωγέας των δεδομένων εξακολουθεί να διασφαλίζει τη συμμόρφωση με τις παρούσες ρήτρες. Σε περίπτωση τοπικού δικαίου στο οποίο υπόκειται ο εισαγωγέας των δεδομένων και το οποίο απαγορεύει την επιστροφή ή τη διαγραφή των δεδομένων προσωπικού χαρακτήρα, ο εισαγωγέας των δεδομένων εγγυάται ότι θα συνεχίσει να διασφαλίζει τη συμμόρφωση με τις παρούσες ρήτρες και θα επεξεργάζεται τα δεδομένα μόνο στον βαθμό και για όσο διάστημα απαιτείται από το εν λόγω τοπικό δίκαιο. Αυτό ισχύει με την επιφύλαξη της ρήτρας 14, ειδικότερα της απαίτησης για τον εισαγωγέα των δεδομένων βάσει της ρήτρας 14 παράγραφος ε) να ενημερώνει τον εξαγωγέα δεδομένων καθ’ όλη τη διάρκεια ισχύος της σύμβασης αν έχει λόγους να πιστεύει ότι υπόκειται ή έχει καταστεί υποκείμενος σε νομοθεσία ή πρακτικές που δεν συνάδουν με τις απαιτήσεις της ρήτρας 14 παράγραφος α).

8.6.   Ασφάλεια επεξεργασίας

α)

Ο εισαγωγέας των δεδομένων και, κατά τη διάρκεια της διαβίβασης, ομοίως ο εξαγωγέας των δεδομένων εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της ασφάλειας των δεδομένων, συμπεριλαμβανομένης της προστασίας από παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση των λόγω δεδομένων (στο εξής: παραβίαση δεδομένων προσωπικού χαρακτήρα). Κατά την αξιολόγηση του κατάλληλου επιπέδου ασφάλειας, λαμβάνουν δεόντως υπόψη τις τελευταίες εξελίξεις, το κόστος της εφαρμογής, τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τον/τους σκοπό/-ούς της επεξεργασίας, καθώς και τους κινδύνους που προκύπτουν από την επεξεργασία για τα υποκείμενα των δεδομένων. Τα συμβαλλόμενα μέρη εξετάζουν ειδικότερα το ενδεχόμενο χρησιμοποίησης κρυπτογράφησης ή ψευδωνυμοποίησης, μεταξύ άλλων κατά τη διάρκεια της διαβίβασης, όταν με αυτόν τον τρόπο μπορεί να επιτευχθεί ο σκοπός της επεξεργασίας. Σε περίπτωση ψευδωνυμοποίησης, οι πρόσθετες πληροφορίες για την απόδοση των δεδομένων προσωπικού χαρακτήρα σε συγκεκριμένο υποκείμενο δεδομένων παραμένουν, στο μέτρο του δυνατού, υπό τον αποκλειστικό έλεγχο του εξαγωγέα των δεδομένων ή του υπευθύνου επεξεργασίας. Ο εισαγωγέας των δεδομένων, στο πλαίσιο της συμμόρφωσης του με τις υποχρεώσεις του δυνάμει της παρούσας παραγράφου, εφαρμόζει τουλάχιστον τα τεχνικά και οργανωτικά μέτρα που καθορίζονται στο παράρτημα II. Ο εισαγωγέας των δεδομένων διενεργεί τακτικούς ελέγχους για να διασφαλίσει ότι τα μέτρα αυτά εξακολουθούν να παρέχουν κατάλληλο επίπεδο ασφάλειας.

β)

Ο εισαγωγέας των δεδομένων παρέχει στα μέλη του προσωπικού του πρόσβαση στα δεδομένα μόνο στο μέτρο που είναι απολύτως αναγκαίο για την εκτέλεση, τη διαχείριση και την παρακολούθηση της σύμβασης. Διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας.

γ)

Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα όσον αφορά δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία από τον εισαγωγέα των δεδομένων βάσει των παρουσών ρητρών, ο εισαγωγέας των δεδομένων λαμβάνει κατάλληλα μέτρα για την αντιμετώπιση της παραβίασης δεδομένων, συμπεριλαμβανομένων μέτρων για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της. Ο εισαγωγέας των δεδομένων ενημερώνει επίσης, χωρίς αδικαιολόγητη καθυστέρηση, τον εξαγωγέα των δεδομένων και, κατά περίπτωση και εφόσον είναι εφικτό, τον υπεύθυνο επεξεργασίας αφού λάβει γνώση της παραβίασης. Η εν λόγω γνωστοποίηση περιλαμβάνει τα στοιχεία του σημείου επικοινωνίας από το οποίο μπορούν να αντληθούν περισσότερες πληροφορίες, την περιγραφή της φύσης της παραβίασης (συμπεριλαμβανομένων, όπου είναι δυνατόν, των κατηγοριών και του κατά προσέγγιση αριθμού υποκειμένων των δεδομένων, και των σχετικών αρχείων δεδομένων προσωπικού χαρακτήρα), τις πιθανές συνέπειές της και τα μέτρα που ελήφθησαν ή προτείνονται για την αντιμετώπιση της παραβίασης των δεδομένων, συμπεριλαμβανομένων των μέτρων για τον μετριασμό των πιθανών δυσμενών συνεπειών της. Όταν και στον βαθμό που δεν είναι δυνατόν να παρασχεθούν όλες οι πληροφορίες ταυτόχρονα, στην αρχική γνωστοποίηση περιλαμβάνονται οι πληροφορίες που είναι διαθέσιμες τη δεδομένη στιγμή, ενώ επιπλέον πληροφορίες παρέχονται σε μεταγενέστερο χρόνο και χωρίς αδικαιολόγητη καθυστέρηση μόλις καταστούν διαθέσιμες.

δ)

Ο εισαγωγέας των δεδομένων συνεργάζεται με τον εξαγωγέα των δεδομένων και τον επικουρεί ώστε να είναι σε θέση να εκπληρώνει τις υποχρεώσεις του στο πλαίσιο του κανονισμού (ΕΕ) 2016/679, ειδικότερα να ενημερώνει τον υπεύθυνο επεξεργασίας ώστε αυτός με τη σειρά του να μπορεί να ειδοποιεί την αρμόδια εποπτική αρχή και τα επηρεαζόμενα υποκείμενα των δεδομένων, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που έχει στη διάθεσή του ο εισαγωγέας των δεδομένων.

8.7.   Ευαίσθητα δεδομένα

Όταν η διαβίβαση αφορά δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και γενετικά δεδομένα ή βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση φυσικού προσώπου, δεδομένα που αφορούν την υγεία ή δεδομένα που αφορούν τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό φυσικού προσώπου, ή δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα (στο εξής: ευαίσθητα δεδομένα), ο εισαγωγέας των δεδομένων εφαρμόζει τους ειδικούς περιορισμούς και/ή τις πρόσθετες εγγυήσεις που ορίζονται στο παράρτημα I.Β.

8.8.   Περαιτέρω διαβιβάσεις

Ο εισαγωγέας των δεδομένων κοινολογεί τα δεδομένα προσωπικού χαρακτήρα σε τρίτον μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας, όπως κοινοποιούνται στον εισαγωγέα των δεδομένων από τον εξαγωγέα των δεδομένων. Επιπλέον, τα δεδομένα μπορούν να κοινολογηθούν σε τρίτον εγκατεστημένο εκτός της Ευρωπαϊκής Ένωσης (6) (στην ίδια χώρα με τον εισαγωγέα των δεδομένων ή σε άλλη τρίτη χώρα, στο εξής: περαιτέρω διαβίβαση), μόνον αν ο τρίτος δεσμεύεται ή συμφωνεί να δεσμεύεται από τις παρούσες ρήτρες, υπό την αντίστοιχη ενότητα, ή αν:

i)

η περαιτέρω διαβίβαση γίνεται προς χώρα που επωφελείται από απόφαση επάρκειας σύμφωνα με το άρθρο 45 του κανονισμού (ΕΕ) 2016/679 η οποία καλύπτει την περαιτέρω διαβίβαση·

ii)

ο τρίτος εξασφαλίζει με άλλον τρόπο τις κατάλληλες εγγυήσεις σύμφωνα με το άρθρο 46 ή 47 του κανονισμού (ΕΕ) 2016/679·

iii)

η περαιτέρω διαβίβαση είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων στο πλαίσιο ειδικών διοικητικών, κανονιστικών ή δικαστικών διαδικασιών· ή

iv)

η περαιτέρω διαβίβαση είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου.

Κάθε περαιτέρω διαβίβαση προϋποθέτει ότι ο εισαγωγέας των δεδομένων τηρεί όλες τις άλλες εγγυήσεις που προβλέπονται στις παρούσες ρήτρες, και ιδίως τον περιορισμό του σκοπού.

8.9.   Τεκμηρίωση και συμμόρφωση

α)

Ο εισαγωγέας των δεδομένων ανταποκρίνεται άμεσα και με επάρκεια στα αιτήματα πληροφοριών του εξαγωγέα των δεδομένων ή του υπευθύνου επεξεργασίας που σχετίζονται με την επεξεργασία σύμφωνα με τις παρούσες ρήτρες.

β)

Τα συμβαλλόμενα μέρη είναι σε θέση να αποδεικνύουν τη συμμόρφωσή τους με τις παρούσες ρήτρες. Ειδικότερα, ο εισαγωγέας των δεδομένων τηρεί κατάλληλη τεκμηρίωση των δραστηριοτήτων επεξεργασίας που διεξάγονται για λογαριασμό του υπευθύνου επεξεργασίας.

γ)

Ο εισαγωγέας των δεδομένων θέτει στη διάθεση του εξαγωγέα των δεδομένων κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που ορίζονται στις παρούσες ρήτρες και ο εξαγωγέας των δεδομένων τη διαβιβάζει στον υπεύθυνο επεξεργασίας.

δ)

Ο εισαγωγέας των δεδομένων επιτρέπει και διευκολύνει ελέγχους των δραστηριοτήτων επεξεργασίας που καλύπτονται από τις παρούσες ρήτρες, οι οποίοι διενεργούνται από τον εξαγωγέα των δεδομένων, σε εύλογα τακτά χρονικά διαστήματα ή αν υπάρχουν ενδείξεις μη συμμόρφωσης. Το ίδιο ισχύει όταν ο εξαγωγέας των δεδομένων ζητεί έλεγχο κατ’ εντολή του υπευθύνου επεξεργασίας. Όταν αποφασίζει για έλεγχο, ο εξαγωγέας των δεδομένων μπορεί να λαμβάνει υπόψη σχετικές πιστοποιήσεις του εισαγωγέα των δεδομένων.

ε)

Όταν ο έλεγχος διενεργείται κατ’ εντολή του υπευθύνου επεξεργασίας, ο εξαγωγέας των δεδομένων θέτει τα αποτελέσματα στη διάθεση του υπευθύνου επεξεργασίας.

στ)

Ο εξαγωγέας των δεδομένων μπορεί να επιλέξει να διενεργήσει τον έλεγχο ο ίδιος ή να τον αναθέσει σε ανεξάρτητο ελεγκτή. Οι έλεγχοι μπορούν να περιλαμβάνουν επιθεωρήσεις στους χώρους ή τις φυσικές εγκαταστάσεις του εισαγωγέα των δεδομένων και, όπου κρίνεται απαραίτητο, να διενεργούνται έπειτα από εύλογη προθεσμία προειδοποίησης.

ζ)

Τα συμβαλλόμενα μέρη θέτουν τις πληροφορίες που αναφέρονται στις παραγράφους β) και γ), περιλαμβανομένων των αποτελεσμάτων τυχόν ελέγχων, στη διάθεση της αρμόδιας εποπτικής αρχής κατόπιν αιτήματος.

ΤΕΤΑΡΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς υπεύθυνο επεξεργασίας.

8.1.   Εντολές

α)

Ο εξαγωγέας των δεδομένων επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του εισαγωγέα των δεδομένων που ενεργεί ως υπεύθυνος επεξεργασίας.

β)

Ο εξαγωγέας των δεδομένων ενημερώνει αμέσως τον εισαγωγέα των δεδομένων σε περίπτωση που δεν είναι σε θέση να εκτελέσει τις εν λόγω εντολές, μεταξύ άλλων αν οι εντολές αυτές παραβιάζουν τον κανονισμό (ΕΕ) 2016/679 ή άλλη νομοθεσία της Ένωσης ή κράτους μέλους σχετικά με την προστασία των δεδομένων.

γ)

Ο εισαγωγέας των δεδομένων απέχει από κάθε ενέργεια που θα εμπόδιζε τον εξαγωγέα των δεδομένων να εκπληρώσει τις υποχρεώσεις του βάσει του κανονισμού (ΕΕ) 2016/679, μεταξύ άλλων στο πλαίσιο υπεργολαβίας επεξεργασίας ή όσον αφορά τη συνεργασία με τις αρμόδιες εποπτικές αρχές.

δ)

Μετά το πέρας της παροχής των υπηρεσιών επεξεργασίας, ο εξαγωγέας των δεδομένων, κατ’ επιλογή του εισαγωγέα των δεδομένων, διαγράφει όλα τα δεδομένα προσωπικού χαρακτήρα που έχουν υποβληθεί σε επεξεργασία για λογαριασμό του εισαγωγέα των δεδομένων και πιστοποιεί στον εισαγωγέα των δεδομένων ότι το έπραξε, ή επιστρέφει στον εισαγωγέα των δεδομένων όλα τα δεδομένα προσωπικού χαρακτήρα που υποβλήθηκαν σε επεξεργασία για λογαριασμό του και διαγράφει τα υφιστάμενα αντίγραφα.

8.2.   Ασφάλεια επεξεργασίας

α)

Τα συμβαλλόμενα μέρη εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της ασφάλειας των δεδομένων, μεταξύ άλλων κατά τη διάρκεια της διαβίβασης, και της προστασίας από παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση (στο εξής: παραβίαση δεδομένων προσωπικού χαρακτήρα). Κατά την αξιολόγηση του κατάλληλου επιπέδου ασφάλειας, τα συμβαλλόμενα μέρη λαμβάνουν δεόντως υπόψη τις τελευταίες εξελίξεις, το κόστος της εφαρμογής, τη φύση των δεδομένων προσωπικού χαρακτήρα (7), τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τον/τους σκοπό/-ούς της επεξεργασίας, καθώς και τους κινδύνους που προκύπτουν από την επεξεργασία για τα υποκείμενα των δεδομένων, και εξετάζουν ειδικότερα το ενδεχόμενο χρησιμοποίησης κρυπτογράφησης ή ψευδωνυμοποίησης, μεταξύ άλλων κατά τη διάρκεια της διαβίβασης, όταν με αυτόν τον τρόπο μπορεί να επιτευχθεί ο σκοπός της επεξεργασίας.

β)

Ο εξαγωγέας των δεδομένων συνδράμει τον εισαγωγέα των δεδομένων ώστε να εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων σύμφωνα με την παράγραφο α). Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα όσον αφορά τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία από τον εξαγωγέα των δεδομένων σύμφωνα με τις παρούσες ρήτρες, ο εξαγωγέας των δεδομένων ενημερώνει τον εισαγωγέα των δεδομένων αμελλητί, μόλις αντιληφθεί την παραβίαση και τον συνδράμει στην αντιμετώπιση της παραβίασης αυτής.

γ)

Ο εξαγωγέας των δεδομένων διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας.

8.3.   Τεκμηρίωση και συμμόρφωση

α)

Τα συμβαλλόμενα μέρη είναι σε θέση να αποδεικνύουν τη συμμόρφωσή τους με τις παρούσες ρήτρες.

β)

Ο εξαγωγέας των δεδομένων θέτει στη διάθεση του εισαγωγέα των δεδομένων κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις του στο πλαίσιο των παρουσών ρητρών και επιτρέπει και διευκολύνει τη διενέργεια ελέγχων.

Ρήτρα 9

Χρήση υπεργολάβων επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

α)

ΕΠΙΛΟΓΗ 1: ΠΡΟΗΓΟΥΜΕΝΗ ΕΙΔΙΚΗ ΑΔΕΙΑ Ο εισαγωγέας των δεδομένων δεν εκχωρεί σε υπεργολάβο επεξεργασίας καμία από τις δραστηριότητες επεξεργασίας που εκτελεί για λογαριασμό του εξαγωγέα των δεδομένων σύμφωνα με τις παρούσες ρήτρες χωρίς προηγούμενη ειδική γραπτή άδεια του εξαγωγέα των δεδομένων. Ο εισαγωγέας των δεδομένων υποβάλλει το αίτημα για ειδική άδεια τουλάχιστον [Να συμπληρωθεί το χρονικό διάστημα] πριν από την πρόσληψη του υπεργολάβου επεξεργασίας, μαζί με τις πληροφορίες που είναι αναγκαίες ώστε να μπορεί ο εξαγωγέας των δεδομένων να αποφασίσει για τη χορήγηση της άδειας. Στο παράρτημα III περιλαμβάνεται κατάλογος των υπεργολάβων επεξεργασίας που έχουν ήδη λάβει άδεια από τον εξαγωγέα των δεδομένων. Τα συμβαλλόμενα μέρη επικαιροποιούν το παράρτημα III.

β)

ΕΠΙΛΟΓΗ 2: ΓΕΝΙΚΗ ΓΡΑΠΤΗ ΑΔΕΙΑ Ο εισαγωγέας των δεδομένων έχει τη γενική άδεια του εξαγωγέα των δεδομένων για την πρόσληψη υπεργολάβου/-ων επεξεργασίας από κατάλογο που έχει συμφωνηθεί. Ο εισαγωγέας των δεδομένων παρέχει ειδική γραπτή ενημέρωση στον εξαγωγέα των δεδομένων για τυχόν σκοπούμενες αλλαγές σε αυτόν τον κατάλογο οι οποίες αφορούν την προσθήκη ή την αντικατάσταση υπεργολάβων επεξεργασίας τουλάχιστον [Να συμπληρωθεί το χρονικό διάστημα] νωρίτερα, παρέχοντας στον εξαγωγέα των δεδομένων επαρκή χρόνο ώστε να μπορεί να αντιταχθεί στις εν λόγω αλλαγές πριν από την πρόσληψη του/των υπεργολάβου/-ων επεξεργασίας. Ο εισαγωγέας των δεδομένων παρέχει στον εξαγωγέα των δεδομένων τις πληροφορίες που είναι αναγκαίες ώστε ο εξαγωγέας των δεδομένων να είναι σε θέση να ασκήσει το δικαίωμα εναντίωσης.

γ)

Όταν ο εισαγωγέας των δεδομένων προσλαμβάνει υπεργολάβο επεξεργασίας για την εκτέλεση συγκεκριμένων δραστηριοτήτων επεξεργασίας (για λογαριασμό του εξαγωγέα των δεδομένων), το πράττει μέσω γραπτής σύμβασης η οποία προβλέπει, επί της ουσίας, τις ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων με εκείνες που δεσμεύουν τον εισαγωγέα των δεδομένων βάσει των παρουσών ρητρών, μεταξύ άλλων όσον αφορά τα δικαιώματα δικαιούχων τρίτων, για τα υποκείμενα των δεδομένων (8). Τα συμβαλλόμενα μέρη συμφωνούν ότι, με τη συμμόρφωση προς την παρούσα ρήτρα, ο εισαγωγέας των δεδομένων εκπληρώνει τις υποχρεώσεις του βάσει της ρήτρας 8.8. Ο εισαγωγέας των δεδομένων διασφαλίζει ότι ο υπεργολάβος επεξεργασίας συμμορφώνεται με τις υποχρεώσεις στις οποίες υπόκειται ο εισαγωγέας των δεδομένων σύμφωνα με τις παρούσες ρήτρες.

δ)

Ο εισαγωγέας των δεδομένων παρέχει στον εξαγωγέα των δεδομένων, κατόπιν αιτήματος του τελευταίου, αντίγραφο της συμφωνίας με τον υπεργολάβο επεξεργασίας και οποιεσδήποτε μεταγενέστερες τροποποιήσεις. Στον βαθμό που είναι αναγκαίο για την προστασία επαγγελματικών απορρήτων ή άλλων εμπιστευτικών πληροφοριών, περιλαμβανομένων δεδομένων προσωπικού χαρακτήρα, ο εισαγωγέας των δεδομένων μπορεί να απαλείψει κείμενο της συμφωνίας πριν από την κοινοποίηση του αντιγράφου.

ε)

Ο εισαγωγέας των δεδομένων διατηρεί την πλήρη ευθύνη έναντι του εξαγωγέα των δεδομένων όσον αφορά την εκπλήρωση των υποχρεώσεων του υπεργολάβου επεξεργασίας στο πλαίσιο της σύμβασής του με τον εισαγωγέα των δεδομένων. Ο εισαγωγέας των δεδομένων γνωστοποιεί στον εξαγωγέα των δεδομένων τυχόν μη εκπλήρωση των υποχρεώσεων του υπεργολάβου επεξεργασίας στο πλαίσιο της εν λόγω σύμβασης.

στ)

Ο εισαγωγέας των δεδομένων συμφωνεί με τον υπεργολάβο επεξεργασίας όσον αφορά τη ρήτρα δικαιούχου τρίτου, βάσει της οποίας —σε περίπτωση που ο εισαγωγέας των δεδομένων έπαυσε να υφίσταται από πραγματική ή νομική άποψη ή κατέστη αφερέγγυος— ο εξαγωγέας των δεδομένων έχει το δικαίωμα να καταγγείλει τη σύμβαση με τον υπεργολάβο επεξεργασίας και να του δώσει εντολή να διαγράψει ή να επιστρέψει τα δεδομένα προσωπικού χαρακτήρα.

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

α)

ΕΠΙΛΟΓΗ 1: ΠΡΟΗΓΟΥΜΕΝΗ ΕΙΔΙΚΗ ΑΔΕΙΑ Ο εισαγωγέας των δεδομένων δεν εκχωρεί σε υπεργολάβο επεξεργασίας καμία από τις δραστηριότητες επεξεργασίας που εκτελεί για λογαριασμό του εξαγωγέα των δεδομένων σύμφωνα με τις παρούσες ρήτρες χωρίς προηγούμενη ειδική γραπτή άδεια από τον υπεύθυνο επεξεργασίας. Ο εισαγωγέας των δεδομένων υποβάλλει το αίτημα για ειδική άδεια τουλάχιστον [Να συμπληρωθεί το χρονικό διάστημα] πριν από την πρόσληψη του υπεργολάβου επεξεργασίας, μαζί με τις πληροφορίες που είναι αναγκαίες ώστε να μπορεί ο υπεύθυνος επεξεργασίας να αποφασίσει για τη χορήγηση της άδειας. Ενημερώνει τον εξαγωγέα των δεδομένων για την εν λόγω πρόσληψη. Στο παράρτημα III περιλαμβάνεται κατάλογος των υπεργολάβων επεξεργασίας που έχουν ήδη λάβει άδεια από τον υπεύθυνο επεξεργασίας. Τα συμβαλλόμενα μέρη επικαιροποιούν το παράρτημα III.

ΕΠΙΛΟΓΗ 2: ΓΕΝΙΚΗ ΓΡΑΠΤΗ ΑΔΕΙΑ Ο εισαγωγέας των δεδομένων έχει τη γενική άδεια του υπευθύνου επεξεργασίας για την πρόσληψη υπεργολάβου/-ων επεξεργασίας από κατάλογο που έχει συμφωνηθεί. Ο εισαγωγέας των δεδομένων παρέχει ειδική γραπτή ενημέρωση στον υπεύθυνο επεξεργασίας για τυχόν σκοπούμενες αλλαγές σε αυτόν τον κατάλογο οι οποίες αφορούν την προσθήκη ή την αντικατάσταση υπεργολάβων επεξεργασίας τουλάχιστον [Να συμπληρωθεί το χρονικό διάστημα] νωρίτερα, παρέχοντας στον υπεύθυνο επεξεργασίας επαρκή χρόνο ώστε να μπορεί να αντιταχθεί στις εν λόγω αλλαγές πριν από την πρόσληψη του/των υπεργολάβου/-ων επεξεργασίας. Ο εισαγωγέας των δεδομένων παρέχει στον υπεύθυνο επεξεργασίας τις πληροφορίες που είναι αναγκαίες ώστε ο υπεύθυνος επεξεργασίας να είναι σε θέση να ασκήσει το δικαίωμα εναντίωσης. Ο εισαγωγέας των δεδομένων ενημερώνει τον εξαγωγέα των δεδομένων για την πρόσληψη του/των υπεργολάβου/-ων επεξεργασίας.

β)

Όταν ο εισαγωγέας των δεδομένων προσλαμβάνει υπεργολάβο επεξεργασίας για την εκτέλεση συγκεκριμένων δραστηριοτήτων επεξεργασίας (για λογαριασμό του υπευθύνου επεξεργασίας), το πράττει μέσω γραπτής σύμβασης η οποία προβλέπει, επί της ουσίας, τις ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων με εκείνες που δεσμεύουν τον εισαγωγέα των δεδομένων βάσει των παρουσών ρητρών, μεταξύ άλλων όσον αφορά τα δικαιώματα δικαιούχων τρίτων για τα υποκείμενα των δεδομένων (9). Τα συμβαλλόμενα μέρη συμφωνούν ότι, με τη συμμόρφωση προς την παρούσα ρήτρα, ο εισαγωγέας των δεδομένων εκπληρώνει τις υποχρεώσεις του βάσει της ρήτρας 8.8. Ο εισαγωγέας των δεδομένων διασφαλίζει ότι ο υπεργολάβος επεξεργασίας συμμορφώνεται με τις υποχρεώσεις στις οποίες υπόκειται ο εισαγωγέας των δεδομένων σύμφωνα με τις παρούσες ρήτρες.

γ)

Ο εισαγωγέας τω ν δεδομένων παρέχει, κατόπιν αιτήματος του εξαγωγέα των δεδομένων ή του υπευθύνου επεξεργασίας, αντίγραφο της συμφωνίας με τον υπεργολάβο επεξεργασίας και οποιεσδήποτε μεταγενέστερες τροποποιήσεις. Στον βαθμό που είναι αναγκαίο για την προστασία επαγγελματικών απορρήτων ή άλλων εμπιστευτικών πληροφοριών, περιλαμβανομένων δεδομένων προσωπικού χαρακτήρα, ο εισαγωγέας των δεδομένων μπορεί να απαλείψει κείμενο της συμφωνίας πριν από την κοινοποίηση του αντιγράφου.

δ)

Ο εισαγωγέας των δεδομένων διατηρεί την πλήρη ευθύνη έναντι του εξαγωγέα των δεδομένων όσον αφορά την εκπλήρωση των υποχρεώσεων του υπεργολάβου επεξεργασίας στο πλαίσιο της σύμβασής του με τον εισαγωγέα των δεδομένων. Ο εισαγωγέας των δεδομένων γνωστοποιεί στον εξαγωγέα των δεδομένων τυχόν μη εκπλήρωση των υποχρεώσεων του υπεργολάβου επεξεργασίας στο πλαίσιο της εν λόγω σύμβασης.

ε)

Ο εισαγωγέας των δεδομένων συμφωνεί με τον υπεργολάβο επεξεργασίας όσον αφορά τη ρήτρα δικαιούχου τρίτου, βάσει της οποίας —σε περίπτωση που ο εισαγωγέας των δεδομένων έπαυσε να υφίσταται από πραγματική ή νομική άποψη ή κατέστη αφερέγγυος— ο εξαγωγέας των δεδομένων έχει το δικαίωμα να καταγγείλει τη σύμβαση με τον υπεργολάβο επεξεργασίας και να του δώσει εντολή να διαγράψει ή να επιστρέψει τα δεδομένα προσωπικού χαρακτήρα.

Ρήτρα 10

Δικαιώματα των υποκειμένων των δεδομένων

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

α)

Ο εισαγωγέας των δεδομένων, κατά περίπτωση με τη συνδρομή του εξαγωγέα των δεδομένων, ανταποκρίνεται χωρίς αδικαιολόγητη καθυστέρηση σε κάθε αίτημα πληροφοριών και άλλο αίτημα που λαμβάνει από το υποκείμενο των δεδομένων σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν και την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων βάσει των παρουσών ρητρών και το αργότερο εντός ενός μήνα από την παραλαβή του αιτήματος πληροφοριών ή άλλου αιτήματος. (10) Ο εισαγωγέας των δεδομένων λαμβάνει τα κατάλληλα μέτρα για να διευκολύνει τα εν λόγω αιτήματα πληροφοριών και άλλα αιτήματα, καθώς και την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων. Κάθε πληροφορία που παρέχεται στο υποκείμενο των δεδομένων πρέπει να είναι κατανοητή και εύκολα προσβάσιμη, με τη χρήση σαφούς και απλής διατύπωσης.

β)

Συγκεκριμένα, κατόπιν αιτήματος του υποκειμένου των δεδομένων, ο εισαγωγέας των δεδομένων παρέχει ατελώς:

i)

επιβεβαίωση στο υποκείμενο των δεδομένων ως προς το εάν τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εφόσον συντρέχει τέτοια περίπτωση, αντίγραφο των δεδομένων που το αφορούν και τις πληροφορίες του παραρτήματος I· εάν τα δεδομένα προσωπικού χαρακτήρα έχουν διαβιβασθεί ή πρόκειται να διαβιβαστούν περαιτέρω, πληροφορίες σχετικά με τους αποδέκτες ή τις κατηγορίες αποδεκτών (κατά περίπτωση, με σκοπό την παροχή χρήσιμων πληροφοριών) στους οποίους διαβιβάστηκαν ή πρόκειται να διαβιβαστούν περαιτέρω τα δεδομένα προσωπικού χαρακτήρα, τον σκοπό αυτών των περαιτέρω διαβιβάσεων και την αιτιολόγησή τους σύμφωνα με τη ρήτρα 8.7· και πληροφορίες σχετικά με το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή σύμφωνα με τη ρήτρα 12 παράγραφος γ) στοιχείο i)·

ii)

διορθώνει ανακριβή ή ελλιπή δεδομένα που αφορούν το υποκείμενο των δεδομένων·

iii)

διαγράφει δεδομένα προσωπικού χαρακτήρα που αφορούν το υποκείμενο των δεδομένων, αν τα εν λόγω δεδομένα υποβάλλονται ή έχουν υποβληθεί σε επεξεργασία κατά παράβαση οποιασδήποτε από τις παρούσες ρήτρες, διασφαλίζοντας τα δικαιώματα δικαιούχων τρίτων, ή αν το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία.

γ)

Όταν ο εισαγωγέας των δεδομένων επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα για σκοπούς απευθείας εμπορικής προώθησης, παύει την επεξεργασία για τους σκοπούς αυτούς, αν το υποκείμενο των δεδομένων αντιταχθεί σε αυτήν την επεξεργασία.

δ)

Ο εισαγωγέας των δεδομένων δεν λαμβάνει απόφαση που να βασίζεται αποκλειστικά στην αυτοματοποιημένη επεξεργασία των διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα (στο εξής: αυτοματοποιημένη λήψη αποφάσεων), η οποία θα παρήγε έννομα αποτελέσματα όσον αφορά το υποκείμενο των δεδομένων ή θα το επηρέαζε σημαντικά με παρόμοιο τρόπο, εκτός αν έχει δοθεί ρητή συγκατάθεση από το υποκείμενο των δεδομένων ή αν κάτι τέτοιο επιτρέπεται από τη νομοθεσία της χώρας προορισμού, υπό την προϋπόθεση ότι η εν λόγω νομοθεσία προβλέπει τα κατάλληλα μέτρα για τη διαφύλαξη των δικαιωμάτων και έννομων συμφερόντων του υποκειμένου των δεδομένων. Στην περίπτωση αυτή, ο εισαγωγέας των δεδομένων, εφόσον απαιτείται σε συνεργασία με τον εξαγωγέα των δεδομένων:

i)

ενημερώνει το υποκείμενο των δεδομένων σχετικά με την προβλεπόμενη αυτοματοποιημένη λήψη αποφάσεων, τις προβλεπόμενες συνέπειες και τη λογική που ακολουθείται· και

ii)

εφαρμόζει κατάλληλες εγγυήσεις, τουλάχιστον παρέχοντας στο υποκείμενο των δεδομένων τη δυνατότητα να αμφισβητήσει τη λήψη αποφάσεων, να εκφράσει την άποψή του και να εξασφαλίσει επανεξέταση από άνθρωπο.

ε)

Όταν τα αιτήματα των υποκειμένων των δεδομένων είναι υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο εισαγωγέας των δεδομένων μπορεί είτε να επιβάλει ένα εύλογο τέλος λαμβάνοντας υπόψη τα διοικητικά έξοδα για την ικανοποίηση του αιτήματος ή να αρνηθεί να δώσει συνέχεια στο αίτημα.

στ)

Ο εισαγωγέας των δεδομένων μπορεί να απορρίψει αίτημα του υποκειμένου των δεδομένων αν η απόρριψη αυτή επιτρέπεται βάσει της νομοθεσίας της χώρας προορισμού και είναι αναγκαία και αναλογική σε μια δημοκρατική κοινωνία για τη διασφάλιση ενός από τους σκοπούς που απαριθμούνται στο άρθρο 23 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679.

ζ)

Αν ο εισαγωγέας των δεδομένων προτίθεται να απορρίψει αίτημα του υποκειμένου των δεδομένων, ενημερώνει το υποκείμενο των δεδομένων για τους λόγους της απόρριψης και για τη δυνατότητα υποβολής καταγγελίας στην αρμόδια εποπτική αρχή και/ή τη δυνατότητα προσφυγής στη δικαιοσύνη.

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

α)

Ο εισαγωγέας των δεδομένων ενημερώνει αμέσως τον εξαγωγέα των δεδομένων σχετικά με οποιοδήποτε αίτημα που έλαβε από το υποκείμενο των δεδομένων. Δεν απαντά ο ίδιος στο αίτημα αυτό, εκτός αν έχει λάβει σχετική εξουσιοδότηση από τον εξαγωγέα των δεδομένων.

β)

Ο εισαγωγέας των δεδομένων επικουρεί τον εξαγωγέα των δεδομένων στην εκπλήρωση της υποχρέωσής του να απαντά στα αιτήματα των υποκειμένων των δεδομένων που αφορούν την άσκηση των δικαιωμάτων τους βάσει του κανονισμού (ΕΕ) 2016/679. Στο πλαίσιο αυτό, τα συμβαλλόμενα μέρη καθορίζουν στο παράρτημα II τα κατάλληλα τεχνικά και οργανωτικά μέτρα —λαμβανομένης υπόψη της φύσης της επεξεργασίας— με τα οποία παρέχεται η συνδρομή, καθώς και το πεδίο εφαρμογής και την έκταση της απαιτούμενης συνδρομής.

γ)

Κατά την εκπλήρωση των υποχρεώσεών του σύμφωνα με τις παραγράφους α) και β), ο εισαγωγέας των δεδομένων συμμορφώνεται με τις εντολές του εξαγωγέα των δεδομένων.

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

α)

Ο εισαγωγέας των δεδομένων ενημερώνει αμέσως τον εξαγωγέα των δεδομένων και, κατά περίπτωση, τον υπεύθυνο επεξεργασίας για κάθε αίτημα που έλαβε από υποκείμενο των δεδομένων, χωρίς να απαντά στο αίτημα αυτό, εκτός αν έχει λάβει σχετική άδεια από τον υπεύθυνο επεξεργασίας.

β)

Ο εισαγωγέας των δεδομένων επικουρεί, κατά περίπτωση, σε συνεργασία με τον εξαγωγέα των δεδομένων, τον υπεύθυνο επεξεργασίας για την εκπλήρωση των υποχρεώσεών του να απαντά στα αιτήματα των υποκειμένων των δεδομένων για την άσκηση των δικαιωμάτων τους δυνάμει του κανονισμού (ΕΕ) 2016/679 ή του κανονισμού (ΕΕ) 2018/1725, κατά περίπτωση. Στο πλαίσιο αυτό, τα συμβαλλόμενα μέρη καθορίζουν στο παράρτημα II τα κατάλληλα τεχνικά και οργανωτικά μέτρα —λαμβανομένης υπόψη της φύσης της επεξεργασίας— με τα οποία παρέχεται η συνδρομή, καθώς και το πεδίο εφαρμογής και την έκταση της απαιτούμενης συνδρομής.

γ)

Κατά την εκπλήρωση των υποχρεώσεών του σύμφωνα με τις παραγράφους α) και β), ο εισαγωγέας των δεδομένων συμμορφώνεται με τις εντολές του υπευθύνου επεξεργασίας, όπως τις κοινοποίησε ο εξαγωγέας των δεδομένων.

ΤΕΤΑΡΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς υπεύθυνο επεξεργασίας.

Τα συμβαλλόμενα μέρη παρέχουν αμοιβαία συνδρομή ώστε να απαντούν σε αιτήματα πληροφοριών και άλλα αιτήματα που υποβάλλουν τα υποκείμενα των δεδομένων σύμφωνα με το τοπικό δίκαιο στο οποίο υπόκειται ο εισαγωγέας των δεδομένων ή, για την επεξεργασία δεδομένων από τον εξαγωγέα των δεδομένων στην Ένωση, βάσει του κανονισμού (ΕΕ) 2016/679.

Ρήτρα 11

Μέσα προσφυγής

α)

Ο εισαγωγέας των δεδομένων ενημερώνει τα υποκείμενα των δεδομένων σε διαφανή και εύκολα προσβάσιμη μορφή, μέσω ατομικής ειδοποίησης ή μέσω του ιστοτόπου του, σχετικά με σημείο επικοινωνίας εξουσιοδοτημένο να χειρίζεται καταγγελίες. Εξετάζει αμέσως τυχόν καταγγελίες που λαμβάνει από υποκείμενο των δεδομένων.

[ΕΠΙΛΟΓΗ: Ο εισαγωγέας των δεδομένων συμφωνεί ότι τα υποκείμενα των δεδομένων μπορούν επίσης να υποβάλλουν καταγγελία σε ανεξάρτητο φορέα επίλυσης διαφορών (11) χωρίς κόστος για το υποκείμενο των δεδομένων. Ενημερώνει τα υποκείμενα των δεδομένων, με τον τρόπο που ορίζεται στην παράγραφο α), σχετικά με τον εν λόγω μηχανισμό προσφυγής και ότι δεν υποχρεούνται να κάνουν χρήση του ούτε να ακολουθήσουν μια συγκεκριμένη ακολουθία κατά την άσκηση προσφυγής.]

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

α)

Σε περίπτωση διαφοράς μεταξύ του υποκειμένου των δεδομένων και ενός εκ των συμβαλλόμενων μερών όσον αφορά τη συμμόρφωση με τις παρούσες ρήτρες, το εν λόγω συμβαλλόμενο μέρος καταβάλλει κάθε δυνατή προσπάθεια για την έγκαιρη φιλική επίλυση του ζητήματος. Τα συμβαλλόμενα μέρη ενημερώνουν το ένα το άλλο σχετικά με τις εν λόγω διαφορές και, κατά περίπτωση, συνεργάζονται για την επίλυσή τους.

β)

Όταν το υποκείμενο των δεδομένων επικαλείται δικαίωμα δικαιούχου τρίτου σύμφωνα με τη ρήτρα 3, ο εισαγωγέας των δεδομένων αποδέχεται την απόφαση του υποκειμένου των δεδομένων:

i)

να υποβάλει καταγγελία στην εποπτική αρχή του κράτους μέλους της συνήθους διαμονής ή του τόπου εργασίας του υποκειμένου των δεδομένων ή στην αρμόδια εποπτική αρχή σύμφωνα με τη ρήτρα 13·

ii)

να παραπέμψει τη διαφορά στα αρμόδια δικαστήρια κατά την έννοια της ρήτρας 18.

γ)

Τα συμβαλλόμενα μέρη δέχονται ότι το υποκείμενο των δεδομένων μπορεί να εκπροσωπείται από μη κερδοσκοπικό φορέα, οργανισμό ή ένωση υπό τους όρους που καθορίζονται στο άρθρο 80 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679.

δ)

Ο εισαγωγέας των δεδομένων συμμορφώνεται με δεσμευτική απόφαση βάσει του εφαρμοστέου δικαίου της ΕΕ ή κράτους μέλους.

ε)

Ο εισαγωγέας των δεδομένων συμφωνεί ότι η επιλογή του υποκειμένου των δεδομένων δεν θίγει τα ουσιαστικού ή δικονομικού δικαίου δικαιώματά του να αναζητήσει έννομη προστασία σύμφωνα με το εφαρμοστέο δίκαιο.

Ρήτρα 12

Ευθύνη

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΤΕΤΑΡΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς υπεύθυνο επεξεργασίας.

α)

Κάθε συμβαλλόμενο μέρος ευθύνεται έναντι του/των άλλου/-ων συμβαλλόμενου/-ων μέρους/-ών για κάθε ζημία που του/τους προκαλεί λόγω οποιασδήποτε παράβασης των παρουσών ρητρών.

β)

Κάθε συμβαλλόμενο μέρος ευθύνεται έναντι του υποκειμένου των δεδομένων και το υποκείμενο των δεδομένων δικαιούται να λάβει αποζημίωση για κάθε υλική ή μη υλική ζημία που το συμβαλλόμενο μέρος προκαλεί στο υποκείμενο των δεδομένων προσβάλλοντας τα δικαιώματα δικαιούχου τρίτου δυνάμει των παρουσών ρητρών. Αυτό ισχύει με την επιφύλαξη της ευθύνης του εξαγωγέα των δεδομένων δυνάμει του κανονισμού (ΕΕ) 2016/679.

γ)

Σε περίπτωση που περισσότερα του ενός συμβαλλόμενα μέρη ευθύνονται για οποιαδήποτε ζημία προκληθεί στο υποκείμενο των δεδομένων ως αποτέλεσμα παράβασης των παρουσών ρητρών, όλα τα υπεύθυνα συμβαλλόμενα μέρη ευθύνονται αλληλεγγύως και εις ολόκληρον, και το υποκείμενο των δεδομένων δικαιούται να προσφύγει ενώπιον δικαστηρίου κατά οποιουδήποτε από τα εν λόγω συμβαλλόμενα μέρη.

δ)

Τα συμβαλλόμενα μέρη συμφωνούν ότι αν ένα συμβαλλόμενο μέρος θεωρηθεί υπεύθυνο δυνάμει της παραγράφου γ), δικαιούται να ζητήσει από το/τα άλλο/-α συμβαλλόμενο/-α μέρος/-η την ανάκτηση μέρους της αποζημίωσης που αντιστοιχεί στην ευθύνη του/τους λόγω της ζημίας.

ε)

Ο εισαγωγέας των δεδομένων δεν μπορεί να επικαλεστεί τη συμπεριφορά εκτελούντος την επεξεργασία ή υπεργολάβου επεξεργασίας για να απαλλαγεί από την ευθύνη του.

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

α)

Κάθε συμβαλλόμενο μέρος ευθύνεται έναντι του/των άλλου/-ων συμβαλλόμενου/-ων μέρους/-ών για κάθε ζημία που του/τους προκαλεί λόγω οποιασδήποτε παράβασης των παρουσών ρητρών.

β)

O εισαγωγέας των δεδομένων ευθύνεται έναντι του υποκειμένου των δεδομένων και το υποκείμενο των δεδομένων δικαιούται να λάβει αποζημίωση για κάθε υλική ή μη υλική ζημία που ο εισαγωγέας των δεδομένων ή υπεργολάβος επεξεργασίας προκαλεί στο υποκείμενο των δεδομένων προσβάλλοντας τα δικαιώματα δικαιούχου τρίτου δυνάμει των παρουσών ρητρών.

γ)

Κατά παρέκκλιση από την παράγραφο β), ο εξαγωγέας των δεδομένων ευθύνεται έναντι του υποκειμένου των δεδομένων και το υποκείμενο των δεδομένων δικαιούται να λάβει αποζημίωση για κάθε υλική ή μη υλική ζημία που ο εξαγωγέας των δεδομένων ή ο εισαγωγέας των δεδομένων (ή ο υπεργολάβος επεξεργασίας) προκαλεί στο υποκείμενο των δεδομένων προσβάλλοντας τα δικαιώματα δικαιούχου τρίτου δυνάμει των παρουσών ρητρών. Αυτό ισχύει με την επιφύλαξη της ευθύνης του εξαγωγέα των δεδομένων και, όταν ο εξαγωγέας των δεδομένων είναι ο εκτελών την επεξεργασία που ενεργεί για λογαριασμό υπευθύνου επεξεργασίας, της ευθύνης του υπευθύνου επεξεργασίας δυνάμει του κανονισμού (ΕΕ) 2016/679 ή του κανονισμού (ΕΕ) 2018/1725, κατά περίπτωση.

δ)

Τα συμβαλλόμενα μέρη συμφωνούν ότι αν ο εξαγωγέας των δεδομένων θεωρηθεί υπεύθυνος βάσει της παραγράφου γ) για ζημίες που προκλήθηκαν από τον εισαγωγέα των δεδομένων (ή τον υπεργολάβο επεξεργασίας), δικαιούται να ζητήσει από τον εισαγωγέα των δεδομένων την ανάκτηση μέρους της αποζημίωσης που αντιστοιχεί στην ευθύνη του εισαγωγέα των δεδομένων λόγω της ζημίας.

ε)

Σε περίπτωση που περισσότερα του ενός συμβαλλόμενα μέρη ευθύνονται για οποιαδήποτε ζημία προκληθεί στο υποκείμενο των δεδομένων ως αποτέλεσμα παράβασης των παρουσών ρητρών, όλα τα υπεύθυνα συμβαλλόμενα μέρη ευθύνονται αλληλεγγύως και εις ολόκληρον, και το υποκείμενο των δεδομένων δικαιούται να προσφύγει ενώπιον δικαστηρίου κατά οποιουδήποτε από τα εν λόγω συμβαλλόμενα μέρη.

στ)

Τα συμβαλλόμενα μέρη συμφωνούν ότι αν ένα συμβαλλόμενο μέρος θεωρηθεί υπεύθυνο δυνάμει της παραγράφου ε), δικαιούται να ζητήσει από το/τα άλλο/-α συμβαλλόμενο/-α μέρος/μέρη την ανάκτηση μέρους της αποζημίωσης που αντιστοιχεί στην ευθύνη του/τους λόγω της ζημίας.

ζ)

Ο εισαγωγέας των δεδομένων δεν μπορεί να επικαλείται τη συμπεριφορά υπεργολάβου επεξεργασίας για να απαλλαγεί από την ευθύνη του.

Ρήτρα 13

Εποπτεία

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

α)

[Όταν ο εξαγωγέας των δεδομένων είναι εγκατεστημένος σε κράτος μέλος της ΕΕ:] Η εποπτική αρχή η οποία είναι υπεύθυνη να διασφαλίζει τη συμμόρφωση του εξαγωγέα των δεδομένων με τον κανονισμό (ΕΕ) 2016/679 όσον αφορά τη διαβίβαση δεδομένων, όπως αναφέρεται στο παράρτημα I.Γ, ενεργεί ως αρμόδια εποπτική αρχή.

[Όταν ο εξαγωγέας των δεδομένων δεν είναι εγκατεστημένος σε κράτος μέλος της ΕΕ αλλά υπάγεται στο εδαφικό πεδίο εφαρμογής του κανονισμού (ΕΕ) 2016/679 σύμφωνα με το άρθρο 3 παράγραφος 2 του εν λόγω κανονισμού και έχει ορίσει εκπρόσωπο δυνάμει του άρθρου 27 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679:] Η εποπτική αρχή του κράτους μέλους όπου είναι εγκατεστημένος ο εκπρόσωπος κατά την έννοια του άρθρου 27 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679, όπως αναφέρεται στο παράρτημα I.Γ, ενεργεί ως αρμόδια εποπτική αρχή.

[Όταν ο εξαγωγέας των δεδομένων δεν είναι εγκατεστημένος σε κράτος μέλος της ΕΕ αλλά υπάγεται στο εδαφικό πεδίο εφαρμογής του κανονισμού (ΕΕ) 2016/679 σύμφωνα με το άρθρο 3 παράγραφος 2 του εν λόγω κανονισμού χωρίς, ωστόσο, να χρειάζεται να ορίσει εκπρόσωπο δυνάμει του άρθρου 27 παράγραφος 2 του κανονισμού (ΕΕ) 2016/679:] Η εποπτική αρχή ενός από τα κράτη μέλη όπου είναι εγκατεστημένα τα υποκείμενα των δεδομένων των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται δυνάμει των παρουσών ρητρών σε σχέση με προσφορά αγαθών και υπηρεσιών σε αυτά ή των οποίων η συμπεριφορά παρακολουθείται, όπως αναφέρεται στο παράρτημα I.Γ., ενεργεί ως αρμόδια εποπτική αρχή.

β)

Ο εισαγωγέας των δεδομένων συμφωνεί να αποδέχεται την αρμοδιότητα της αρμόδιας εποπτικής αρχής και να συνεργάζεται μαζί της σε όλες τις διαδικασίες που αποσκοπούν στη διασφάλιση της συμμόρφωσης με τις παρούσες ρήτρες. Ειδικότερα, ο εισαγωγέας των δεδομένων συμφωνεί να απαντά σε αιτήματα πληροφοριών, να υποβάλλεται σε ελέγχους και να συμμορφώνεται με τα μέτρα που θεσπίζει η εποπτική αρχή, συμπεριλαμβανομένων διορθωτικών και αντισταθμιστικών μέτρων. Παρέχει στην εποπτική αρχή γραπτή επιβεβαίωση ότι έχουν ληφθεί τα αναγκαία μέτρα.

ΤΜΗΜΑ III — ΤΟΠΙΚΗ ΝΟΜΟΘΕΣΙΑ ΚΑΙ ΥΠΟΧΡΕΩΣΕΙΣ ΣΕ ΠΕΡΙΠΤΩΣΗ ΠΡΟΣΒΑΣΗΣ ΑΠΟ ΤΙΣ ΔΗΜΟΣΙΕΣ ΑΡΧΕΣ

Ρήτρα 14

Τοπική νομοθεσία και πρακτικές που επηρεάζουν τη συμμόρφωση με τις ρήτρες

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

ΤΕΤΑΡΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς υπεύθυνο επεξεργασίας (όπου ο εκτελών την επεξεργασία στην ΕΕ συνδυάζει τα δεδομένα προσωπικού χαρακτήρα που λαμβάνει από υπεύθυνο επεξεργασίας τρίτης χώρας με δεδομένα προσωπικού χαρακτήρα που συλλέγονται από τον εκτελούντα την επεξεργασία στην ΕΕ)

α)

Τα συμβαλλόμενα μέρη εγγυώνται ότι δεν έχουν λόγο να πιστεύουν ότι η νομοθεσία και οι πρακτικές της τρίτης χώρας προορισμού που εφαρμόζονται στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα από τον εισαγωγέα των δεδομένων, συμπεριλαμβανομένων τυχόν απαιτήσεων κοινολόγησης δεδομένων προσωπικού χαρακτήρα ή μέτρων που επιτρέπουν την πρόσβαση από δημόσιες αρχές, εμποδίζουν τον εισαγωγέα των δεδομένων να εκπληρώσει τις υποχρεώσεις του βάσει των παρουσών ρητρών. Αυτό βασίζεται στο σκεπτικό ότι η νομοθεσία και οι πρακτικές που σέβονται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών και δεν υπερβαίνουν όσα είναι αναγκαία και αναλογικά σε μια δημοκρατική κοινωνία για τη διασφάλιση ενός από τους σκοπούς που απαριθμούνται στο άρθρο 23 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679 δεν έρχονται σε αντίθεση με τις παρούσες ρήτρες.

β)

Τα συμβαλλόμενα μέρη δηλώνουν ότι κατά την παροχή της εγγύησης που αναφέρεται στην παράγραφο α), έλαβαν δεόντως υπόψη ιδίως τα ακόλουθα στοιχεία:

i)

τις ειδικές περιστάσεις της διαβίβασης, συμπεριλαμβανομένου του μήκους της αλυσίδας επεξεργασίας, του αριθμού των εμπλεκόμενων παραγόντων και των διαύλων διαβίβασης που χρησιμοποιήθηκαν· τις σκοπούμενες περαιτέρω διαβιβάσεις· τον τύπο του αποδέκτη· τον σκοπό της επεξεργασίας· τις κατηγορίες και τον μορφότυπο των διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα· τον οικονομικό τομέα στον οποίο πραγματοποιείται η διαβίβαση· τη θέση αποθήκευσης των διαβιβαζόμενων δεδομένων·

ii)

τη νομοθεσία και τις πρακτικές της τρίτης χώρας προορισμού —συμπεριλαμβανομένων εκείνων που απαιτούν την κοινολόγηση δεδομένων σε δημόσιες αρχές ή επιτρέπουν την πρόσβαση των εν λόγω αρχών— που είναι σχετικές δεδομένων των ειδικών περιστάσεων της διαβίβασης, και τους ισχύοντες περιορισμούς και εγγυήσεις· (12)

iii)

τυχόν σχετικές συμβατικές, τεχνικές ή οργανωτικές εγγυήσεις που έχουν θεσπιστεί συμπληρωματικά προς τις εγγυήσεις δυνάμει των παρουσών ρητρών, συμπεριλαμβανομένων των μέτρων που εφαρμόζονται κατά τη διαβίβαση, και για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα στη χώρα προορισμού.

γ)

Ο εισαγωγέας των δεδομένων εγγυάται ότι, κατά τη διενέργεια της αξιολόγησης βάσει της παραγράφου β), κατέβαλε κάθε δυνατή προσπάθεια για να παράσχει στον εξαγωγέα των δεδομένων τις σχετικές πληροφορίες και συμφωνεί ότι θα συνεχίσει να συνεργάζεται με τον εξαγωγέα των δεδομένων για τη διασφάλιση της συμμόρφωσης με τις παρούσες ρήτρες.

δ)

Τα συμβαλλόμενα μέρη συμφωνούν να τεκμηριώνουν την αξιολόγηση βάσει της παραγράφου β) και να τη θέτουν στη διάθεση της αρμόδιας εποπτικής αρχής κατόπιν αιτήματος.

ε)

Ο εισαγωγέας των δεδομένων συμφωνεί να ενημερώνει αμέσως τον εξαγωγέα των δεδομένων σε περίπτωση που, αφού συμφωνήσει με τις παρούσες ρήτρες και για τη διάρκεια ισχύος της σύμβασης, έχει λόγους να πιστεύει ότι υπόκειται ή έχει καταστεί υποκείμενος σε νομοθεσία ή πρακτικές που δεν συνάδουν με τις απαιτήσεις της παραγράφου α), μεταξύ άλλων κατόπιν αλλαγής της νομοθεσίας στην τρίτη χώρα, ή σε μέτρο (όπως αίτημα κοινολόγησης) που υποδεικνύει εφαρμογή της εν λόγω νομοθεσίας στην πράξη η οποία δεν συνάδει με τις απαιτήσεις της παραγράφου α). [Για την τρίτη ενότητα: Ο εξαγωγέας των δεδομένων διαβιβάζει τη γνωστοποίηση στον υπεύθυνο επεξεργασίας.]

στ)

Μετά τη γνωστοποίηση σύμφωνα με την παράγραφο ε) ή αν ο εξαγωγέας των δεδομένων έχει άλλως λόγους να πιστεύει ότι ο εισαγωγέας των δεδομένων δεν μπορεί πλέον να εκπληρώσει τις υποχρεώσεις του στο πλαίσιο των παρουσών ρητρών, ο εξαγωγέας των δεδομένων προσδιορίζει αμέσως τα κατάλληλα μέτρα (π.χ. τεχνικά ή οργανωτικά μέτρα για τη διασφάλιση της ασφάλειας και της εμπιστευτικότητας) που πρέπει να ληφθούν από τον εξαγωγέα και/ή τον εισαγωγέα των δεδομένων για την αντιμετώπιση της κατάστασης [για την τρίτη ενότητα: κατά περίπτωση, σε διαβούλευση με τον υπεύθυνο επεξεργασίας]. Ο εξαγωγέας των δεδομένων αναστέλλει τη διαβίβαση δεδομένων, αν κρίνει ότι δεν μπορούν να διασφαλιστούν οι κατάλληλες εγγυήσεις για τη διαβίβαση αυτή ή αν λάβει σχετική εντολή από [για την τρίτη ενότητα: τον υπεύθυνο επεξεργασίας ή] την αρμόδια εποπτική αρχή. Στην περίπτωση αυτή, ο εξαγωγέας των δεδομένων δικαιούται να καταγγείλει τη σύμβαση, στον βαθμό που αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα βάσει των παρουσών ρητρών. Εάν η σύμβαση αφορά περισσότερα από δύο συμβαλλόμενα μέρη, ο εξαγωγέας των δεδομένων μπορεί να ασκήσει το εν λόγω δικαίωμα καταγγελίας μόνο σε σχέση με το οικείο συμβαλλόμενο μέρος, εκτός αν τα συμβαλλόμενα μέρη έχουν συμφωνήσει διαφορετικά. Σε περίπτωση καταγγελίας της σύμβασης δυνάμει της παρούσας ρήτρας, εφαρμόζεται η ρήτρα 16 παράγραφοι δ) και ε).

Ρήτρα 15

Υποχρεώσεις του εισαγωγέα των δεδομένων σε περίπτωση πρόσβασης από δημόσιες αρχές

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

ΤΕΤΑΡΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς υπεύθυνο επεξεργασίας (όπου ο εκτελών την επεξεργασία στην ΕΕ συνδυάζει τα δεδομένα προσωπικού χαρακτήρα που λαμβάνει από υπεύθυνο επεξεργασίας τρίτης χώρας με δεδομένα προσωπικού χαρακτήρα που συλλέγονται από τον εκτελούντα την επεξεργασία στην ΕΕ)

15.1.   Γνωστοποίηση

α)

Ο εισαγωγέας των δεδομένων συμφωνεί να ενημερώνει αμέσως τον εξαγωγέα των δεδομένων και, αν είναι δυνατόν, το υποκείμενο των δεδομένων (αν είναι αναγκαίο με τη συνδρομή του εξαγωγέα των δεδομένων) σε περίπτωση που:

i)

λάβει νομικά δεσμευτικό αίτημα δημόσιας αρχής, συμπεριλαμβανομένων των δικαστικών αρχών, σύμφωνα με τη νομοθεσία της χώρας προορισμού για την κοινολόγηση δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται σύμφωνα με τις παρούσες ρήτρες· η εν λόγω γνωστοποίηση περιλαμβάνει πληροφορίες σχετικά με τα ζητούμενα δεδομένα προσωπικού χαρακτήρα, την αιτούσα αρχή, τη νομική βάση του αιτήματος και την παρασχεθείσα απάντηση· ή

ii)

λάβει γνώση τυχόν άμεσης πρόσβασης των δημόσιων αρχών σε δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται δυνάμει των παρουσών ρητρών σύμφωνα με τη νομοθεσία της χώρας προορισμού· η γνωστοποίηση αυτή περιλαμβάνει όλες τις πληροφορίες που έχει στη διάθεσή του ο εισαγωγέας.

[Για την τρίτη ενότητα: Ο εξαγωγέας των δεδομένων διαβιβάζει τη γνωστοποίηση στον υπεύθυνο επεξεργασίας.]

β)

Αν απαγορεύεται στον εισαγωγέα των δεδομένων να ενημερώσει τον εξαγωγέα των δεδομένων και/ή το υποκείμενο των δεδομένων σύμφωνα με τη νομοθεσία της χώρας προορισμού, ο εισαγωγέας των δεδομένων συμφωνεί να καταβάλει κάθε δυνατή προσπάθεια για να επιτύχει την άρση της απαγόρευσης, με σκοπό την κοινοποίηση όσο το δυνατόν περισσότερων πληροφοριών και το συντομότερο δυνατόν. Ο εισαγωγέας των δεδομένων συμφωνεί να τεκμηριώνει τις προσπάθειές του ώστε να είναι σε θέση να τις αποδείξει κατόπιν αιτήματος του εξαγωγέα των δεδομένων.

γ)

Όταν επιτρέπεται από τη νομοθεσία της χώρας προορισμού, ο εισαγωγέας των δεδομένων συμφωνεί να παρέχει στον εξαγωγέα των δεδομένων, σε τακτά χρονικά διαστήματα κατά τη διάρκεια ισχύος της σύμβασης, όσο το δυνατόν περισσότερες σχετικές πληροφορίες σχετικά με τα παραληφθέντα αιτήματα (ειδικότερα, τον αριθμό των αιτημάτων, το είδος των ζητούμενων δεδομένων, την αιτούσα αρχή ή αρχές, το αν τα αιτήματα έχουν αμφισβητηθεί και την έκβαση των εν λόγω αμφισβητήσεων κ.λπ.). [Για την τρίτη ενότητα: Ο εξαγωγέας των δεδομένων διαβιβάζει τις πληροφορίες στον υπεύθυνο επεξεργασίας.]

δ)

Ο εισαγωγέας των δεδομένων συμφωνεί να διατηρεί τις πληροφορίες σύμφωνα με τις παραγράφους α) έως γ) κατά τη διάρκεια ισχύος της σύμβασης και να τις θέτει στη διάθεση της αρμόδιας εποπτικής αρχής κατόπιν αιτήματος.

ε)

Οι παράγραφοι α) έως γ) δεν θίγουν την υποχρέωση του εισαγωγέα των δεδομένων σύμφωνα με τη ρήτρα 14 παράγραφος ε) και τη ρήτρα 16 να ενημερώνει αμέσως τον εξαγωγέα των δεδομένων σε περίπτωση που δεν είναι σε θέση να συμμορφωθεί με τις εν λόγω ρήτρες.

15.2.   Έλεγχος της νομιμότητας και ελαχιστοποίηση των δεδομένων

α)

Ο εισαγωγέας των δεδομένων συμφωνεί να ελέγχει τη νομιμότητα του αιτήματος κοινολόγησης, ειδικότερα το αν παραμένει εντός των ορίων των εξουσιών της αιτούσας δημόσιας αρχή, και να αμφισβητεί το αίτημα, αν, μετά από προσεκτική αξιολόγηση, καταλήξει στο συμπέρασμα ότι υπάρχουν βάσιμοι λόγοι να θεωρηθεί ότι το αίτημα είναι παράνομο βάσει της νομοθεσίας της χώρας προορισμού, των εφαρμοστέων υποχρεώσεων βάσει του διεθνούς δικαίου και των αρχών της διεθνούς αβροφροσύνης. Ο εισαγωγέας των δεδομένων, υπό τους ίδιους όρους, αξιοποιεί τις δυνατότητες προσφυγής. Κατά την αμφισβήτηση αιτήματος, ο εισαγωγέας των δεδομένων ζητεί τη λήψη προσωρινών μέτρων με σκοπό την αναστολή των αποτελεσμάτων του αιτήματος έως ότου η αρμόδια δικαστική αρχή αποφανθεί επί της ουσίας του αιτήματος. Δεν γνωστοποιεί τα ζητούμενα δεδομένα προσωπικού χαρακτήρα έως ότου αυτό απαιτηθεί σύμφωνα με τους εφαρμοστέους διαδικαστικούς κανόνες. Οι απαιτήσεις αυτές ισχύουν με την επιφύλαξη των υποχρεώσεων του εισαγωγέα των δεδομένων δυνάμει της ρήτρας 14 παράγραφος ε).

β)

Ο εισαγωγέας των δεδομένων συμφωνεί να τεκμηριώνει τη νομική του αξιολόγηση και κάθε αμφισβήτηση αιτήματος κοινολόγησης και, στον βαθμό που επιτρέπεται από τη νομοθεσία της χώρας προορισμού, να καθιστά την εν λόγω τεκμηρίωση διαθέσιμη στον εξαγωγέα των δεδομένων. Ο εισαγωγέας των δεδομένων θέτει την εν λόγω τεκμηρίωση και στη διάθεση της αρμόδιας εποπτικής αρχής κατόπιν αιτήματος. [Για την τρίτη ενότητα: Ο εξαγωγέας των δεδομένων θέτει την αξιολόγηση στη διάθεση του υπευθύνου επεξεργασίας.]

γ)

Ο εισαγωγέας των δεδομένων συμφωνεί να παρέχει τις ελάχιστες επιτρεπόμενες πληροφορίες όταν απαντά σε αίτημα κοινολόγησης, βάσει εύλογης ερμηνείας του αιτήματος.

ΤΜΗΜΑ IV - ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Ρήτρα 16

Μη συμμόρφωση με τις ρήτρες και καταγγελία

α)

Ο εισαγωγέας των δεδομένων ενημερώνει αμέσως τον εξαγωγέα των δεδομένων σε περίπτωση μη συμμόρφωσής του με τις παρούσες ρήτρες, για οποιονδήποτε λόγο.

β)

Αν ο εισαγωγέας των δεδομένων παραβεί τις παρούσες ρήτρες ή δεν είναι σε θέση να συμμορφωθεί με τις παρούσες ρήτρες, ο εξαγωγέας των δεδομένων αναστέλλει τη διαβίβαση δεδομένων προσωπικού χαρακτήρα στον εισαγωγέα των δεδομένων έως ότου διασφαλιστεί ξανά η συμμόρφωση ή καταγγελθεί η σύμβαση. Αυτό ισχύει με την επιφύλαξη της ρήτρας 14 παράγραφος στ).

γ)

Ο εξαγωγέας των δεδομένων δικαιούται να καταγγείλει τη σύμβαση στον βαθμό που αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα σύμφωνα με τις παρούσες ρήτρες, όταν:

i)

ο εξαγωγέας των δεδομένων έχει αναστείλει τη διαβίβαση των δεδομένων προσωπικού χαρακτήρα στον εισαγωγέα των δεδομένων σύμφωνα με την παράγραφο β) και η συμμόρφωση με τις παρούσες ρήτρες δεν αποκαταστάθηκε εντός εύλογου χρονικού διαστήματος και, σε κάθε περίπτωση, εντός ενός μήνα από την ημερομηνία της αναστολής·

ii)

ο εισαγωγέας των δεδομένων διαπράττει σοβαρή ή διαρκή παράβαση των παρουσών ρητρών· ή

iii)

ο εισαγωγέας των δεδομένων δεν συμμορφώνεται με δεσμευτική απόφαση αρμόδιου δικαστηρίου ή εποπτικής αρχής όσον αφορά τις υποχρεώσεις του βάσει των παρουσών ρητρών.

Σε αυτές τις περιπτώσεις, ενημερώνει την αρμόδια εποπτική αρχή [για την τρίτη ενότητα: και τον υπεύθυνο επεξεργασίας] σχετικά με την εν λόγω μη συμμόρφωση. Σε περίπτωση που η σύμβαση αφορά περισσότερα από δύο συμβαλλόμενα μέρη, ο εξαγωγέας των δεδομένων μπορεί να ασκήσει το εν λόγω δικαίωμα καταγγελίας μόνο σε σχέση με το οικείο συμβαλλόμενο μέρος, εκτός αν τα συμβαλλόμενα μέρη έχουν συμφωνήσει διαφορετικά.

δ)

[Για την πρώτη, δεύτερη και τρίτη ενότητα: τα δεδομένα προσωπικού χαρακτήρα που είχαν διαβιβαστεί πριν από την καταγγελία της σύμβασης δυνάμει της παραγράφου γ) επιστρέφονται αμέσως, κατ’ επιλογή του εξαγωγέα των δεδομένων, στον εξαγωγέα των δεδομένων ή διαγράφονται στο σύνολό τους. Το ίδιο ισχύει για τυχόν αντίγραφα των δεδομένων.] [Για την τέταρτη ενότητα: τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται από τον εξαγωγέα των δεδομένων στην ΕΕ και έχουν ήδη διαβιβαστεί πριν από την καταγγελία της σύμβασης δυνάμει της παραγράφου γ) διαγράφονται αμέσως στο σύνολό τους, συμπεριλαμβανομένων τυχόν αντιγράφων αυτών.] Ο εισαγωγέας των δεδομένων πιστοποιεί τη διαγραφή των δεδομένων στον εξαγωγέα των δεδομένων. Έως ότου τα δεδομένα διαγραφούν ή επιστραφούν, ο εισαγωγέας των δεδομένων εξακολουθεί να διασφαλίζει τη συμμόρφωση με τις παρούσες ρήτρες. Σε περίπτωση τοπικού δικαίου στο οποίο υπόκειται ο εισαγωγέας των δεδομένων και το οποίο απαγορεύει την επιστροφή ή τη διαγραφή των διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα, ο εισαγωγέας των δεδομένων εγγυάται ότι θα συνεχίσει να διασφαλίζει τη συμμόρφωση με τις παρούσες ρήτρες και θα επεξεργάζεται τα δεδομένα μόνο στον βαθμό και για όσο διάστημα απαιτείται από το εν λόγω τοπικό δίκαιο.

ε)

Κάθε συμβαλλόμενο μέρος μπορεί να ανακαλέσει τη συμφωνία του να δεσμεύεται από τις παρούσες ρήτρες, όταν i) η Ευρωπαϊκή Επιτροπή εκδίδει απόφαση σύμφωνα με το άρθρο 45 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679 που καλύπτει τη διαβίβαση δεδομένων προσωπικού χαρακτήρα στην οποία εφαρμόζονται οι παρούσες ρήτρες· ή ii) ο κανονισμός (ΕΕ) 2016/679 καθίσταται μέρος του νομικού πλαισίου της χώρας στην οποία διαβιβάζονται τα δεδομένα προσωπικού χαρακτήρα. Αυτό ισχύει με την επιφύλαξη άλλων υποχρεώσεων που εφαρμόζονται στην εκάστοτε επεξεργασία δυνάμει του κανονισμού (ΕΕ) 2016/679.

Ρήτρα 17

Εφαρμοστέο δίκαιο

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

[ΕΠΙΛΟΓΗ 1: Οι παρούσες ρήτρες διέπονται από το δίκαιο ενός από τα κράτη μέλη της ΕΕ, υπό την προϋπόθεση ότι το δίκαιο αυτό προβλέπει δικαιώματα δικαιούχων τρίτων. Τα συμβαλλόμενα μέρη συμφωνούν ότι αυτό θα είναι το δίκαιο τ _______ (να προσδιοριστεί το κράτος μέλος).]

[ΕΠΙΛΟΓΗ 2 (για τη δεύτερη και τρίτη ενότητα): Οι παρούσες ρήτρες διέπονται από το δίκαιο του κράτους μέλους της ΕΕ στο οποίο είναι εγκατεστημένος ο εξαγωγέας των δεδομένων. Όταν το δίκαιο αυτό δεν επιτρέπει δικαιώματα δικαιούχων τρίτων, οι παρούσες ρήτρες διέπονται από το δίκαιο άλλου κράτους μέλους της ΕΕ που επιτρέπει δικαιώματα δικαιούχων τρίτων. Τα συμβαλλόμενα μέρη συμφωνούν ότι αυτό θα είναι το δίκαιο της/του/των _______ (να προσδιοριστεί το κράτος μέλος).]

ΤΕΤΑΡΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς υπεύθυνο επεξεργασίας.

Οι παρούσες ρήτρες διέπονται από το δίκαιο χώρας που επιτρέπει τα δικαιώματα δικαιούχων τρίτων. Τα συμβαλλόμενα μέρη συμφωνούν ότι αυτό θα είναι το δίκαιο της/του/των _______ (να προσδιοριστεί η χώρα).

Ρήτρα 18

Επιλογή δικαστηρίου και δικαιοδοσίας

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

α)

Κάθε διαφορά που προκύπτει από τις παρούσες ρήτρες επιλύεται από τα δικαστήρια κράτους μέλους της ΕΕ.

β)

Τα συμβαλλόμενα μέρη συμφωνούν ότι αυτά θα είναι τα δικαστήρια τ _____ (να προσδιοριστεί το κράτος μέλος).

γ)

Το υποκείμενο των δεδομένων μπορεί να κινήσει επίσης νομικές διαδικασίες κατά του εξαγωγέα και/ή του εισαγωγέα των δεδομένων ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο το υποκείμενο των δεδομένων έχει τη συνήθη διαμονή του.

δ)

Τα συμβαλλόμενα μέρη συμφωνούν να αποδέχονται την αρμοδιότητα των δικαστηρίων αυτών.

ΤΕΤΑΡΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς υπεύθυνο επεξεργασίας.

 

Κάθε διαφορά που προκύπτει από τις παρούσες ρήτρες επιλύεται από τα δικαστήρια τ _____ (να προσδιοριστεί η χώρα).


(1)  Όταν ο εξαγωγέας των δεδομένων είναι εκτελών την επεξεργασία ο οποίος υπόκειται στον κανονισμό (ΕΕ) 2016/679 και ενεργεί για λογαριασμό οργάνου ή οργανισμού της Ένωσης ως υπευθύνου επεξεργασίας, η επίκληση των εν λόγω ρητρών κατά την πρόσληψη άλλου εκτελούντος την επεξεργασία (υπεργολαβία επεξεργασίας) που δεν υπόκειται στον κανονισμό (ΕΕ) 2016/679 διασφαλίζει επίσης τη συμμόρφωση με το άρθρο 29 παράγραφος 4 του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (ΕΕ L 295 της 21.11.2018, σ. 39), στον βαθμό που οι εν λόγω ρήτρες ευθυγραμμίζονται με τις υποχρεώσεις όσον αφορά την προστασία των δεδομένων που προβλέπονται στη σύμβαση ή σε άλλη νομική πράξη μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία σύμφωνα με το άρθρο 29 παράγραφος 3 του κανονισμού (ΕΕ) 2018/1725. Αυτό θα ισχύει ιδιαίτερα στην περίπτωση κατά την οποία ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία βασίζονται στις τυποποιημένες συμβατικές ρήτρες που περιλαμβάνονται στην απόφαση 2021/915.

(2)  Η διαδικασία αυτή απαιτεί να καθίστανται τα δεδομένα ανώνυμα κατά τρόπο ώστε να μην είναι πλέον δυνατή η εξακρίβωση της ταυτότητας του φυσικού προσώπου από κανέναν, σύμφωνα με την αιτιολογική σκέψη 26 του κανονισμού (ΕΕ) 2016/679, και είναι μη αναστρέψιμη.

(3)  Η Συμφωνία για τον Ευρωπαϊκό Οικονομικό Χώρο (συμφωνία ΕΟΧ) προβλέπει την επέκταση της εσωτερικής αγοράς της Ευρωπαϊκής Ένωσης στα τρία κράτη του ΕΟΧ, την Ισλανδία, το Λιχτενστάιν και τη Νορβηγία. Η νομοθεσία της Ένωσης για την προστασία των δεδομένων, συμπεριλαμβανομένου του κανονισμού (ΕΕ) 2016/679, καλύπτεται από τη συμφωνία ΕΟΧ και έχει ενσωματωθεί στο παράρτημα XI αυτής. Ως εκ τούτου, οποιαδήποτε κοινολόγηση από τον εισαγωγέα των δεδομένων σε τρίτον εγκατεστημένο στον ΕΟΧ δεν θεωρείται περαιτέρω διαβίβαση για τους σκοπούς των παρουσών ρητρών.

(4)  Η Συμφωνία για τον Ευρωπαϊκό Οικονομικό Χώρο (συμφωνία ΕΟΧ) προβλέπει την επέκταση της εσωτερικής αγοράς της Ευρωπαϊκής Ένωσης στα τρία κράτη του ΕΟΧ, την Ισλανδία, το Λιχτενστάιν και τη Νορβηγία. Η νομοθεσία της Ένωσης για την προστασία των δεδομένων, συμπεριλαμβανομένου του κανονισμού (ΕΕ) 2016/679, καλύπτεται από τη συμφωνία ΕΟΧ και έχει ενσωματωθεί στο παράρτημα XI αυτής. Ως εκ τούτου, οποιαδήποτε κοινολόγηση από τον εισαγωγέα των δεδομένων σε τρίτον εγκατεστημένο στον ΕΟΧ δεν θεωρείται περαιτέρω διαβίβαση για τους σκοπούς των παρουσών ρητρών.

(5)  Βλέπε άρθρο 28 παράγραφος 4 του κανονισμού (ΕΕ) 2016/679 και, όταν ο υπεύθυνος επεξεργασίας είναι θεσμικό όργανο ή οργανισμός της ΕΕ, άρθρο 29 παράγραφος 4 του κανονισμού (ΕΕ) 2018/1725.

(6)  Η Συμφωνία για τον Ευρωπαϊκό Οικονομικό Χώρο (συμφωνία ΕΟΧ) προβλέπει την επέκταση της εσωτερικής αγοράς της Ευρωπαϊκής Ένωσης στα τρία κράτη του ΕΟΧ, την Ισλανδία, το Λιχτενστάιν και τη Νορβηγία. Η νομοθεσία της Ένωσης για την προστασία των δεδομένων, συμπεριλαμβανομένου του κανονισμού (ΕΕ) 2016/679, καλύπτεται από τη συμφωνία ΕΟΧ και έχει ενσωματωθεί στο παράρτημα XI αυτής. Ως εκ τούτου, οποιαδήποτε κοινολόγηση από τον εισαγωγέα των δεδομένων σε τρίτον εγκατεστημένο στον ΕΟΧ δεν θεωρείται περαιτέρω διαβίβαση για τους σκοπούς των παρουσών ρητρών.

(7)  Περιλαμβάνεται το αν η διαβίβαση και η περαιτέρω επεξεργασία αφορούν δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και γενετικά δεδομένα ή βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση φυσικού προσώπου, δεδομένα που αφορούν την υγεία ή δεδομένα που αφορούν τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό φυσικού προσώπου, ή δεδομένα που αφορούν ποινικές καταδίκες ή αδικήματα.

(8)  Η εν λόγω απαίτηση είναι δυνατό να πληρούται με την προσχώρηση του υπεργολάβου επεξεργασίας στις παρούσες ρήτρες υπό την αντίστοιχη ενότητα, σύμφωνα με τη ρήτρα 7.

(9)  Η εν λόγω απαίτηση είναι δυνατό να πληρούται με την προσχώρηση του υπεργολάβου επεξεργασίας στις παρούσες ρήτρες υπό την αντίστοιχη ενότητα, σύμφωνα με τη ρήτρα 7.

(10)  Η εν λόγω προθεσμία μπορεί να παραταθεί το πολύ κατά δύο ακόμη μήνες, στον βαθμό που είναι αναγκαίο, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων. Ο εισαγωγέας των δεδομένων ενημερώνει δεόντως και αμέσως το υποκείμενο των δεδομένων για κάθε τέτοια παράταση.

(11)  Ο εισαγωγέας των δεδομένων μπορεί να προσφέρει ανεξάρτητη επίλυση διαφορών μέσω οργάνου διαιτησίας μόνον αν είναι εγκατεστημένος σε χώρα που έχει κυρώσει τη σύμβαση της Νέας Υόρκης για την εκτέλεση των διαιτητικών αποφάσεων.

(12)  Όσον αφορά τον αντίκτυπο της εν λόγω νομοθεσίας και πρακτικών στη συμμόρφωση με τις παρούσες ρήτρες, μπορούν να εξεταστούν διάφορα στοιχεία στο πλαίσιο μιας συνολικής αξιολόγησης. Στα στοιχεία αυτά μπορεί να περιλαμβάνεται σχετική και τεκμηριωμένη πρακτική πείρα από προηγούμενες περιπτώσεις αιτημάτων κοινολόγησης από δημόσιες αρχές ή η απουσία τέτοιων αιτημάτων, η οποία να καλύπτει επαρκώς αντιπροσωπευτικό χρονικό πλαίσιο. Πρόκειται κυρίως για εσωτερικά αρχεία ή άλλα έγγραφα, τα οποία καταρτίζονται σε συνεχή βάση σύμφωνα με τη δέουσα επιμέλεια και πιστοποιούνται σε ανώτερη βαθμίδα διοίκησης, υπό την προϋπόθεση ότι οι πληροφορίες αυτές μπορούν να κοινοποιούνται νομίμως σε τρίτους. Η εν λόγω πρακτική πείρα, όταν γίνεται επίκλησή της ώστε να συναχθεί το συμπέρασμα ότι δεν θα εμποδιστεί η συμμόρφωση του εισαγωγέα των δεδομένων προς τις παρούσες ρήτρες, πρέπει να υποστηρίζεται από άλλα σχετικά, αντικειμενικά στοιχεία, και εναπόκειται στα συμβαλλόμενα μέρη να εξετάζουν προσεκτικά το αν τα στοιχεία αυτά από κοινού έχουν επαρκή βαρύτητα, ως προς την αξιοπιστία και την αντιπροσωπευτικότητά τους, ώστε να υποστηρίξουν αυτό το συμπέρασμα. Ειδικότερα, τα συμβαλλόμενα μέρη πρέπει να λαμβάνουν υπόψη το αν η πρακτική πείρα τους επιβεβαιώνεται και δεν αντικρούεται από δημοσίως διαθέσιμες ή με άλλον τρόπο προσβάσιμες, αξιόπιστες πληροφορίες σχετικά με την ύπαρξη ή την απουσία αιτημάτων στον ίδιο τομέα και/ή την εφαρμογή της νομοθεσίας στην πράξη, όπως η νομολογία και οι εκθέσεις ανεξάρτητων εποπτικών φορέων.


ΠΡΟΣΑΡΤΗΜΑ

ΕΠΕΞΗΓΗΜΑΤΙΚΟ ΣΗΜΕΙΩΜΑ:

Πρέπει να είναι δυνατόν να γίνεται σαφής διάκριση των πληροφοριών που ισχύουν για κάθε διαβίβαση ή κατηγορία διαβιβάσεων και, στο πλαίσιο αυτό, να καθορίζεται ο/οι αντίστοιχος/-οι ρόλος/-οι των συμβαλλόμενων μερών ως εξαγωγέων και/ή εισαγωγέων των δεδομένων. Προς τούτο δεν απαιτείται απαραιτήτως η συμπλήρωση και η υπογραφή χωριστών προσαρτημάτων για κάθε διαβίβαση/κατηγορία διαβιβάσεων και/ή συμβατική σχέση, όταν η διαφάνεια αυτή μπορεί να επιτευχθεί μέσω ενός προσαρτήματος. Ωστόσο, όταν είναι αναγκαίο για να διασφαλίζεται επαρκής σαφήνεια, θα πρέπει να χρησιμοποιούνται χωριστά προσαρτήματα.


ΠΑΡΑΡΤΗΜΑ I

Α.   ΚΑΤΑΛΟΓΟΣ ΤΩΝ ΣΥΜΒΑΛΛΟΜΕΝΩΝ ΜΕΡΩΝ

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

ΤΕΤΑΡΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς υπεύθυνο επεξεργασίας.

Εξαγωγέας/-είς των δεδομένων: [Ταυτότητα και στοιχεία επικοινωνίας του/των εξαγωγέα/-ων των δεδομένων και, κατά περίπτωση, του υπευθύνου προστασίας δεδομένων και/ή του εκπροσώπου του εξαγωγέα των δεδομένων στην Ευρωπαϊκή Ένωση]

1.

Ονοματεπώνυμο: …

Διεύθυνση: …

Ονοματεπώνυμο, θέση και στοιχεία επικοινωνίας του υπευθύνου επικοινωνίας: …

Δραστηριότητες σχετικές με τα δεδομένα που διαβιβάζονται βάσει των παρουσών ρητρών: …

Υπογραφή και ημερομηνία: …

Ρόλος (υπεύθυνος επεξεργασίας/εκτελών την επεξεργασία): …

2.

Εισαγωγέας/-είς των δεδομένων: [Ταυτότητα και στοιχεία επικοινωνίας του/των εισαγωγέα/-ων των δεδομένων, συμπεριλαμβανομένου κάθε υπευθύνου επικοινωνίας που είναι αρμόδιος για την προστασία των δεδομένων]

1.

Ονοματεπώνυμο: …

Διεύθυνση: …

Ονοματεπώνυμο, θέση και στοιχεία επικοινωνίας του υπευθύνου επικοινωνίας: …

Δραστηριότητες σχετικές με τα δεδομένα που διαβιβάζονται βάσει των παρουσών ρητρών: …

Υπογραφή και ημερομηνία: …

Ρόλος (υπεύθυνος επεξεργασίας/εκτελών την επεξεργασία): …

2.

Β.   ΠΕΡΙΓΡΑΦΗ ΔΙΑΒΙΒΑΣΗΣ

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

ΤΕΤΑΡΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς υπεύθυνο επεξεργασίας.

Κατηγορίες υποκειμένων των δεδομένων των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται

Κατηγορίες διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα

Διαβιβαζόμενα ευαίσθητα δεδομένα (κατά περίπτωση) και εφαρμοζόμενοι περιορισμοί ή εγγυήσεις που λαμβάνουν πλήρως υπόψη τη φύση των δεδομένων και τους σχετικούς κινδύνους, όπως για παράδειγμα αυστηρός περιορισμός του σκοπού, περιορισμοί πρόσβασης (συμπεριλαμβανομένης της πρόσβασης μόνο από προσωπικό που έχει λάβει εξειδικευμένη κατάρτιση), τήρηση αρχείου πρόσβασης στα δεδομένα, περιορισμοί στις περαιτέρω διαβιβάσεις ή πρόσθετα μέτρα ασφάλειας.

Συχνότητα της διαβίβασης (π.χ. εάν τα δεδομένα διαβιβάζονται εφάπαξ ή σε συνεχή βάση).

Φύση της επεξεργασίας

Σκοπός/-οί της διαβίβασης και της περαιτέρω επεξεργασίας των δεδομένων

Το χρονικό διάστημα διατήρησης των δεδομένων προσωπικού χαρακτήρα ή, αν αυτό είναι αδύνατον, τα κριτήρια που χρησιμοποιούνται για τον καθορισμό του εν λόγω χρονικού διαστήματος

Για διαβιβάσεις σε εκτελούντες την επεξεργασία (υπεργολάβους επεξεργασίας), να διευκρινιστεί επίσης το αντικείμενο, η φύση και η διάρκεια της επεξεργασίας

Γ.   ΑΡΜΟΔΙΑ ΕΠΟΠΤΙΚΗ ΑΡΧΗ

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

Να προσδιοριστεί/-ούν η/οι αρμόδια/-ες εποπτική/-ές αρχή/-ές σύμφωνα με τη ρήτρα 13


ΠΑΡΑΡΤΗΜΑ II

ΤΕΧΝΙΚΑ ΚΑΙ ΟΡΓΑΝΩΤΙΚΑ ΜΕΤΡΑ, ΣΥΜΠΕΡΙΛΑΜΒΑΝΟΜΕΝΩΝ ΤΩΝ ΤΕΧΝΙΚΩΝ ΚΑΙ ΟΡΓΑΝΩΤΙΚΩΝ ΜΕΤΡΩΝ ΓΙΑ ΤΗ ΔΙΑΣΦΑΛΙΣΗ ΤΗΣ ΑΣΦΑΛΕΙΑΣ ΤΩΝ ΔΕΔΟΜΕΝΩΝ

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

ΕΠΕΞΗΓΗΜΑΤΙΚΟ ΣΗΜΕΙΩΜΑ:

Τα τεχνικά και οργανωτικά μέτρα πρέπει να περιγράφονται με συγκεκριμένους (και όχι με γενικούς) όρους. Βλέπε επίσης τη γενική παρατήρηση στην πρώτη σελίδα του προσαρτήματος, ιδίως όσον αφορά την ανάγκη να αναφέρονται σαφώς τα μέτρα που εφαρμόζονται σε κάθε διαβίβαση/δέσμη διαβιβάσεων.

Περιγραφή των τεχνικών και οργανωτικών μέτρων που εφαρμόζονται από τον/τους εισαγωγέα/-είς των δεδομένων (συμπεριλαμβανομένων τυχόν σχετικών πιστοποιήσεων) για την εξασφάλιση κατάλληλου επιπέδου ασφάλειας, λαμβανομένων υπόψη της φύσης, του πεδίου εφαρμογής, του πλαισίου και του σκοπού της επεξεργασίας, και των κινδύνων για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

[Παραδείγματα πιθανών μέτρων:

Μέτρα ψευδωνυμοποίησης και κρυπτογράφησης δεδομένων προσωπικού χαρακτήρα.

Μέτρα για τη διασφάλιση της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση.

Μέτρα για τη διασφάλιση της δυνατότητας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος.

Διαδικασία για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας.

Μέτρα για την ταυτοποίηση και αδειοδότηση χρηστών.

Μέτρα για την προστασία των δεδομένων κατά τη διαβίβαση.

Μέτρα για την προστασία των δεδομένων κατά την αποθήκευση.

Μέτρα για τη διασφάλιση της φυσικής ασφάλειας των εγκαταστάσεων όπου πραγματοποιείται επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Μέτρα για τη διασφάλιση της καταγραφής περιστατικών ασφάλειας.

Μέτρα για τη διασφάλιση της διαμόρφωσης συστήματος, περιλαμβανομένης της προεπιλεγμένης διαμόρφωσης.

Μέτρα για τις εσωτερικές ΤΠ και τη διακυβέρνηση και διαχείριση της ασφάλειας ΤΠ.

Μέτρα για την πιστοποίηση/διασφάλιση διαδικασιών και προϊόντων.

Μέτρα για τη διασφάλιση της ελαχιστοποίησης των δεδομένων.

Μέτρα για τη διασφάλιση της ποιότητας των δεδομένων.

Μέτρα για τη διασφάλιση της περιορισμένης διατήρησης των δεδομένων.

Μέτρα για τη διασφάλιση της λογοδοσίας.

Μέτρα που επιτρέπουν τη φορητότητα των δεδομένων και διασφαλίζουν τη διαγραφή τους.

Για διαβιβάσεις σε εκτελούντες την επεξεργασία (υπεργολάβους επεξεργασίας), να περιγραφούν επίσης τα συγκεκριμένα τεχνικά και οργανωτικά μέτρα που πρόκειται να ληφθούν από τον εκτελούντα την επεξεργασία (υπεργολάβο επεξεργασίας) ώστε να είναι σε θέση να παρέχει συνδρομή στον υπεύθυνο επεξεργασίας και, για διαβιβάσεις από εκτελούντα την επεξεργασία σε υπεργολάβο επεξεργασίας, στον εξαγωγέα των δεδομένων.


ΠΑΡΑΡΤΗΜΑ III

ΚΑΤΑΛΟΓΟΣ ΥΠΕΡΓΟΛΑΒΩΝ ΕΠΕΞΕΡΓΑΣΙΑΣ

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

ΕΠΕΞΗΓΗΜΑΤΙΚΟ ΣΗΜΕΙΩΜΑ:

Το παρόν παράρτημα πρέπει να συμπληρωθεί για τη δεύτερη και τρίτη ενότητα, σε περίπτωση ειδικής άδειας για χρήση υπεργολάβων επεξεργασίας (ρήτρα 9 στοιχείο α) επιλογή 1).

Ο υπεύθυνος επεξεργασίας έχει δώσει άδεια για τη χρήση των παρακάτω υπεργολάβων επεξεργασίας:

1.

Ονοματεπώνυμο: …

Διεύθυνση: …

Ονοματεπώνυμο, θέση και στοιχεία επικοινωνίας του υπευθύνου επικοινωνίας: …

Περιγραφή της επεξεργασίας (περιλαμβανομένης σαφούς οριοθέτησης των αρμοδιοτήτων σε περίπτωση που έχει δοθεί άδεια σε περισσότερους από έναν υπεργολάβους επεξεργασίας): …

2.