7.6.2021 |
HR |
Službeni list Europske unije |
L 199/31 |
PROVEDBENA ODLUKA KOMISIJE (EU) 2021/914
оd 4. lipnja 2021.
o standardnim ugovornim klauzulama za prijenos osobnih podataka u treće zemlje u skladu s Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća
(Tekst značajan za EGP)
EUROPSKA KOMISIJA,
uzimajući u obzir Ugovor o funkcioniranju Europske unije,
uzimajući u obzir Uredbu (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (1), a posebno njezin članak 28. stavak 7. i članak 46. stavak 2. točku (c),
budući da:
(1) |
Tehnološki razvoj olakšava prekogranični protok podataka potreban za širenje međunarodne suradnje i međunarodne trgovine. Potrebno je osigurati da se ne ugrozi razina zaštite pojedinaca zajamčena Uredbom (EU) 2016/679 kad se osobni podaci prenose u treće zemlje, među ostalim u slučajevima daljnjeg prijenosa (2). Odredbama o prijenosu podataka iz poglavlja V. Uredbe (EU) 2016/679 nastoji se osigurati kontinuitet te visoke razine zaštite kad se osobni podaci prenose u treću zemlju (3). |
(2) |
U skladu s člankom 46. stavkom 1. Uredbe (EU) 2016/679, ako Komisija nije donijela odluku o primjerenosti u skladu s člankom 45. stavkom 3., voditelj obrade ili izvršitelj obrade trećoj zemlji ili međunarodnoj organizaciji osobne podatke može prenijeti samo ako je predvidio odgovarajuće zaštitne mjere i pod uvjetom da su ispitanicima na raspolaganju provediva prava i učinkoviti pravni lijekovi. Takve zaštitne mjere mogu se predvidjeti standardnim klauzulama o zaštiti podataka koje donosi Komisija u skladu s člankom 46. stavkom 2. točkom (c). |
(3) |
Uloga standardnih ugovornih klauzula ograničena je na osiguravanje odgovarajućih mjera za zaštitu podataka pri međunarodnim prijenosima podataka. Stoga voditelj obrade ili izvršitelj obrade koji prenosi osobne podatke u treću zemlju („izvoznik podataka”) i voditelj obrade ili izvršitelj obrade koji prima osobne podatke („uvoznik podataka”) mogu uključiti te standardne ugovorne klauzule u širi ugovor i dodati druge klauzule ili dodatne zaštitne mjere pod uvjetom da one izravno ili neizravno ne proturječe standardnim ugovornim klauzulama niti ne dovode u pitanje temeljna prava ili slobode ispitanika. Voditelje obrade i izvršitelje obrade potiče se da osiguraju dodatne zaštitne mjere ugovornim obvezama koje dopunjuju standardne ugovorne klauzule (4). Upotrebom standardnih ugovornih klauzula ne dovode se u pitanje ugovorne obveze izvoznika i/ili uvoznika podataka da osiguraju poštovanje primjenjivih povlastica i imuniteta. |
(4) |
Osim što upotrebljava standardne ugovorne klauzule kako bi osigurao odgovarajuće zaštitne mjere za prijenose u skladu s člankom 46. stavkom 1. Uredbe (EU) 2016/679, izvoznik podataka mora ispuniti svoje opće odgovornosti kao voditelj obrade ili izvršitelj obrade u skladu s Uredbom (EU) 2016/679. Te odgovornosti uključuju obvezu voditelja obrade da obavijesti ispitanike o činjenici da namjerava prenijeti njihove osobne podatke u treću zemlju u skladu s člankom 13. stavkom 1. točkom (f) i člankom 14. stavkom 1. točkom (f) Uredbe (EU) 2016/679. U slučaju prijenosa na temelju članka 46. Uredbe (EU) 2016/679 te informacije moraju uključivati upućivanje na odgovarajuće zaštitne mjere i načine pribavljanja njihove kopije ili informacija o mjestu na kojem su stavljeni na raspolaganje. |
(5) |
Odluke Komisije 2001/497/EZ (5) i 2010/87/EU (6) sadržavaju standardne ugovorne klauzule za olakšavanje prijenosa osobnih podataka od voditelja obrade podataka s poslovnim nastanom u Uniji do voditelja obrade ili izvršitelja obrade s poslovnim nastanom u trećoj zemlji koja ne pruža odgovarajuću razinu zaštite. Te su odluke donesene na temelju Direktive 95/46/EZ Europskog parlamenta i Vijeća (7). |
(6) |
U skladu s člankom 46. stavkom 5. Uredbe (EU) 2016/679 Odluka 2001/497/EZ i Odluka 2010/87/EU ostaju na snazi dok se prema potrebi ne izmijene, zamijene ili stave izvan snage odlukom Komisije donesenom u skladu s člankom 46. stavkom 2. te uredbe. Standardne ugovorne klauzule u odlukama bilo je potrebno ažurirati s obzirom na nove zahtjeve iz Uredbe (EU) 2016/679. Nadalje, od donošenja tih odluka došlo je do važnih promjena u digitalnom gospodarstvu pa se sve više primjenjuju novi i složeniji postupci obrade, koji često uključuju više uvoznika i izvoznika podataka, duge i složene lance obrade te razvoj poslovnih odnosa. Stoga je potrebno modernizirati standardne ugovorne klauzule kako bi se te okolnosti bolje uzele u obzir obuhvaćanjem dodatnih situacija obrade i prijenosa te kako bi se omogućio fleksibilniji pristup, primjerice u pogledu broja stranaka koje mogu pristupiti ugovoru. |
(7) |
Voditelj obrade ili izvršitelj obrade može primijeniti standardne ugovorne klauzule utvrđene u Prilogu ovoj Odluci kako bi se osigurale odgovarajuće zaštitne mjere u smislu članka 46. stavka 1. Uredbe (EU) 2016/679 za prijenos osobnih podataka izvršitelju obrade ili voditelju obrade s poslovnim nastanom u trećoj zemlji, ne dovodeći u pitanje tumačenje pojma međunarodnog prijenosa iz Uredbe (EU) 2016/679. Standardne ugovorne klauzule mogu se primjenjivati za takve prijenose samo ako obrada koju uvoznik obavlja nije obuhvaćena područjem primjene Uredbe (EU) 2016/679. To se odnosi i na prijenos osobnih podataka koji obavlja voditelj obrade ili izvršitelj obrade bez poslovnog nastana u Uniji ako se na obradu primjenjuje Uredba (EU) 2016/679 (u skladu s njezinim člankom 3. stavkom 2.) jer se odnosi na nuđenje robe ili usluga ispitanicima u Uniji ili praćenje njihova ponašanja dok se ono odvija unutar Unije. |
(8) |
S obzirom na opću usklađenost Uredbe (EU) 2016/679 i Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća (8) standardne ugovorne klauzule trebale bi se moći primjenjivati i u kontekstu ugovora, kako je navedeno u članku 29. stavku 4. Uredbe (EU) 2018/1725, kad izvršitelj obrade koji nije institucija ili tijelo Unije, ali se na njega primjenjuje Uredba (EU) 2016/679, i koji obrađuje osobne podatke u ime institucije ili tijela Unije u skladu s člankom 29. Uredbe (EU) 2018/1725, prenosi osobne podatke podizvršitelju obrade u trećoj zemlji. Ako taj ugovor sadržava iste obveze zaštite podataka koje su utvrđene u ugovoru ili drugom pravnom aktu između voditelja obrade i izvršitelja obrade u skladu s člankom 29. stavkom 3. Uredbe (EU) 2018/1725, a posebno ako su u njemu predviđena dostatna jamstva za tehničke i organizacijske mjere kako bi se osiguralo da obrada ispunjava zahtjeve te uredbe, time će se osigurati usklađenost s člankom 29. stavkom 4. Uredbe (EU) 2018/1725. To će posebno biti slučaj kad voditelj obrade i izvršitelj obrade upotrebljavaju standardne ugovorne klauzule iz Provedbene odluke Komisije o standardnim ugovornim klauzulama između voditelja obrade i izvršitelja obrade u skladu s člankom 28. stavkom 7. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća i člankom 29. stavkom 7. Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća (9). |
(9) |
Ako obrada uključuje prijenose podataka od voditelja obrade na koje se primjenjuje Uredba (EU) 2016/679 do izvršitelja obrade izvan njezina teritorijalnog područja primjene ili od izvršitelja obrade na koje se primjenjuje Uredba (EU) 2016/679 do podizvršitelja obrade izvan njezina teritorijalnog područja primjene, standardnim ugovornim klauzulama utvrđenima u Prilogu ovoj Odluci trebalo bi se isto tako omogućiti ispunjavanje zahtjeva iz članka 28. stavaka3. i 4. Uredbe (EU) 2016/679. |
(10) |
Standardne ugovorne klauzule utvrđene u Prilogu ovoj Odluci povezuju opće klauzule s modularnim pristupom kako bi se uzeli u obzir različiti scenariji prijenosa i složenost suvremenih lanaca obrade. Osim općih klauzula, voditelji obrade i izvršitelji obrade trebali bi odabrati modul primjenjiv na svoju situaciju kako bi obveze iz standardnih ugovornih klauzula prilagodili svojoj ulozi i odgovornostima u odnosu na predmetnu obradu podataka. Trebalo bi omogućiti da se više od dvije stranke pridržava standardnih ugovornih klauzula. Nadalje, trebalo bi dopustiti dodatnim voditeljima obrade i izvršiteljima obrade da pristupe standardnim ugovornim klauzulama kao izvoznici ili uvoznici podataka tijekom cijelog životnog vijeka ugovora koji ih sadržava. |
(11) |
Kako bi se osigurale odgovarajuće zaštitne mjere, standardnim ugovornim klauzulama trebalo bi zajamčiti da osobni podaci koji se na toj osnovi prenose imaju razinu zaštite koja je u osnovi ekvivalentna onoj zajamčenoj u okviru Unije (10). Kako bi se osigurala transparentnost obrade, ispitanicima bi trebalo dostaviti kopiju standardnih ugovornih klauzula te bi ih posebno trebalo obavijestiti o kategorijama osobnih podataka koji se obrađuju, pravu na dobivanje kopije standardnih ugovornih klauzula i svakom daljnjem prijenosu. Daljnji prijenosi od uvoznika podataka do treće strane u nekoj drugoj trećoj zemlji trebali bi biti dopušteni samo ako ta treća strana pristupi standardnim ugovornim klauzulama, ako je kontinuitet zaštite osiguran na drugi način ili u posebnim situacijama, primjerice na temelju izričite informirane privole ispitanika. |
(12) |
Uz neke iznimke, posebno kad je riječ o određenim obvezama koje se odnose isključivo na odnos između izvoznika podataka i uvoznika podataka, ispitanici bi se trebali moći pozvati na standardne ugovorne klauzule i prema potrebi ih provoditi kao treće strane. Stoga, iako bi strankama trebalo dopustiti da odaberu pravo jedne od država članica kojim se uređuju standardne ugovorne klauzule, tim pravom moraju biti omogućena prava u korist treće strane. Kako bi se olakšala pojedinačna pravna zaštita, standardnim ugovornim klauzulama trebalo bi od uvoznika podataka zahtijevati da obavijesti ispitanike o kontaktnoj točki i da brzo odgovori na sve pritužbe ili zahtjeve. U slučaju spora između uvoznika podataka i ispitanika koji se poziva na svoja prava kao treća strana ispitanik bi trebao moći podnijeti pritužbu nadležnom nadzornom tijelu ili uputiti spor nadležnim sudovima u EU-u. |
(13) |
Kako bi se osiguralo djelotvorno izvršenje, od uvoznika podataka trebalo bi zahtijevati da prihvati nadležnost tog tijela i sudova te da se obveže da će poštovati sve obvezujuće odluke u skladu s primjenjivim pravom države članice. Uvoznik podataka trebao bi pristati na odgovaranje na upite, podvrgavanje revizijama i postupanje u skladu s mjerama koje je donijelo nadzorno tijelo, uključujući korektivne i kompenzacijske mjere. Osim toga, uvoznik podataka trebao bi moći ispitanicima omogućiti da besplatno zatraže pravnu zaštitu pred neovisnim tijelom za rješavanje sporova. U skladu s člankom 80. stavkom 1. Uredbe (EU) 2016/679 ispitanicima bi trebalo omogućiti da ih u sporovima protiv uvoznika podataka zastupaju udruženja ili druga tijela ako to žele. |
(14) |
Standardnim ugovornim klauzulama trebalo bi predvidjeti pravila o odgovornosti među strankama i u odnosu na ispitanike te pravila o naknadi štete među strankama. Ako ispitanik pretrpi materijalnu ili nematerijalnu štetu kao posljedicu povrede prava u korist treće strane u okviru standardnih ugovornih klauzula, trebao bi imati pravo na naknadu. Time se ne bi trebala dovoditi u pitanje bilo koja odgovornost u skladu s Uredbom (EU) 2016/679. |
(15) |
U slučaju prijenosa uvozniku podataka koji djeluje kao izvršitelj obrade ili podizvršitelj obrade trebali bi se primjenjivati posebni zahtjevi u skladu s člankom 28. stavkom 3. Uredbe (EU) 2016/679. Standardnim ugovornim klauzulama trebalo bi se od uvoznika podataka zahtijevati da stavi na raspolaganje sve informacije potrebne za dokazivanje usklađenosti s obvezama utvrđenima u klauzulama i da izvozniku podataka omogući provedbu revizija svojih aktivnosti obrade te da pridonosi tim revizijama. U slučaju da uvoznik podataka angažira bilo kojeg podizvršitelja obrade, u skladu s člankom 28. stavcima 2. i 4. Uredbe (EU) 2016/679, standardnim ugovornim klauzulama trebalo bi posebice utvrditi postupak za opće ili posebno odobrenje izvoznika podataka i zahtjev u pogledu pisanog ugovora s podizvršiteljem obrade kojim se osigurava jednaka razina zaštite kao u okviru tih klauzula. |
(16) |
Primjereno je u standardnim ugovornim klauzulama predvidjeti različite zaštitne mjere koje obuhvaćaju posebnu situaciju u kojoj izvršitelj obrade u Uniji prenosi osobne podatke svojem voditelju obrade u trećoj zemlji i odražavaju ograničene samostalne obveze izvršitelja obrade u skladu s Uredbom (EU) 2016/679. Standardnim ugovornim klauzulama trebalo bi od izvršitelja obrade zahtijevati da obavijesti voditelja obrade ako ne može slijediti njegove upute, među ostalim ako bi se njima kršilo zakonodavstvo Unije o zaštiti podataka, a od voditelja obrade zahtijevati da se suzdrži od svih radnji kojima bi se izvršitelja obrade spriječilo u ispunjavanju njegovih obveza u skladu s Uredbom (EU) 2016/679. Klauzulama bi se od stranaka trebalo zahtijevati i da jedna drugoj pomažu u odgovaranju na upite i zahtjeve ispitanika u skladu s lokalnim pravom koje se primjenjuje na uvoznika podataka ili, za obradu podataka u Uniji, u skladu s Uredbom (EU) 2016/679. Ako izvršitelj obrade iz Unije kombinira osobne podatke primljene od voditelja obrade u trećoj zemlji s osobnim podacima koje je prikupio izvršitelj obrade u Uniji, trebali bi se primjenjivati dodatni zahtjevi za uzimanje u obzir učinaka zakonâ treće zemlje odredišta na usklađenost voditelja obrade s klauzulama, a posebno za postupanje s obvezujućim zahtjevima tijela javne vlasti u trećoj zemlji za otkrivanje prenesenih osobnih podataka. S druge strane, takvi zahtjevi nisu opravdani ako eksternalizacija uključuje samo obradu i vraćanje osobnih podataka primljenih od voditelja obrade i za koje će u svakom slučaju biti nadležna predmetna treća zemlja. |
(17) |
Stranke bi trebale moći dokazati usklađenost sa standardnim ugovornim klauzulama. Od uvoznika podataka posebno bi se trebalo zahtijevati da vodi odgovarajuću dokumentaciju o aktivnostima obrade za koje je odgovoran te da odmah obavijesti izvoznika podataka ako zbog bilo kojeg razloga ne može poštovati klauzule. S druge strane, izvoznik podataka trebao bi obustaviti prijenos i imati pravo u posebno ozbiljnim slučajevima raskinuti ugovor kad je riječ o obradi osobnih podataka na temelju standardnih ugovornih klauzula ako uvoznik podataka krši te klauzule ili ih ne može poštovati. Trebala bi se primjenjivati posebna pravila ako lokalni propisi utječu na usklađenost s klauzulama. Osobne podatke koji su preneseni prije raskida ugovora i sve njihove kopije trebalo bi, ovisno o odluci izvoznika podataka, vratiti izvozniku podataka ili u cijelosti uništiti. |
(18) |
Standardnim ugovornim klauzulama trebalo bi predvidjeti posebne zaštitne mjere, osobito s obzirom na sudsku praksu Suda (11), za uzimanje u obzir svih učinaka zakonâ treće zemlje odredišta na usklađenost uvoznika podataka s klauzulama, a posebno za postupanje s obvezujućim zahtjevima tijela javne vlasti u toj zemlji za otkrivanje prenesenih osobnih podataka. |
(19) |
Prijenos i obrada osobnih podataka na temelju standardnih ugovornih klauzula ne bi se trebali provoditi ako zakoni i prakse treće zemlje odredišta sprečavaju uvoznika podataka da poštuje klauzule. U tom kontekstu ne bi trebalo smatrati da su propisi i prakse kojima se poštuje bit temeljnih prava i sloboda i koji ne prelaze ono što je nužno i razmjerno u demokratskom društvu za zaštitu jednog od ciljeva navedenih u članku 23. stavku 1. Uredbe (EU) 2016/679 u suprotnosti sa standardnim ugovornim klauzulama. Stranke bi trebale jamčiti da u trenutku pristanka na standardne ugovorne klauzule nemaju razloga vjerovati da zakoni i prakse koji se primjenjuju na uvoznika podataka nisu u skladu s navedenim zahtjevima. |
(20) |
Stranke bi posebno trebale uzeti u obzir posebne okolnosti prijenosa (kao što su sadržaj i trajanje ugovora, priroda podataka koje treba prenijeti, vrsta primatelja i svrha obrade), relevantne propise i prakse treće zemlje odredišta s obzirom na okolnosti prijenosa i sve zaštitne mjere uvedene kako bi se dopunile mjere u okviru standardnih ugovornih klauzula (uključujući relevantne ugovorne, tehničke i organizacijske mjere koje se odnose na prijenos i obradu osobnih podataka u zemlji odredišta). Kad je riječ o učinku takvih propisa i praksi na usklađenost sa standardnim ugovornim klauzulama, u okviru ukupne procjene mogu se razmatrati različiti elementi, uključujući pouzdane informacije o primjeni zakona u praksi (kao što su sudska praksa i izvješća neovisnih nadzornih tijela), postojanje ili nepostojanje zahtjeva u istom sektoru i, pod strogim uvjetima, zabilježeno praktično iskustvo izvoznika podataka i/ili uvoznika podataka. |
(21) |
Uvoznik podataka trebao bi obavijestiti izvoznika podataka ako, nakon što je pristao na standardne ugovorne klauzule, ima razloga vjerovati da ih ne može poštovati. Ako izvoznik podataka primi takvu obavijest ili na neki drugi način sazna da uvoznik podataka više ne može poštovati standardne ugovorne klauzule, trebao bi utvrditi odgovarajuće mjere za rješavanje tog problema te se, ako je to potrebno, o tome savjetovati s nadležnim nadzornim tijelom. Takve mjere mogu uključivati dopunske mjere koje je donio izvoznik podataka i/ili uvoznik podataka, kao što su tehničke ili organizacijske mjere za osiguravanje sigurnosti i povjerljivosti. Od izvoznika podataka trebalo bi zahtijevati da obustavi prijenos ako smatra da nije moguće osigurati odgovarajuće zaštitne mjere ili ako to zatraži nadležno nadzorno tijelo. |
(22) |
Ako je to moguće, uvoznik podataka trebao bi obavijestiti izvoznika podataka i ispitanika ako od javnog tijela (uključujući pravosudna tijela) u skladu s pravom zemlje odredišta primi pravno obvezujući zahtjev za otkrivanje osobnih podataka prenesenih u skladu sa standardnim ugovornim klauzulama. Isto tako, trebao bi ih obavijestiti ako sazna za izravan pristup tijela javne vlasti takvim osobnim podacima u skladu s pravom treće zemlje odredišta. Ako uvoznik podataka unatoč trudu ne može obavijestiti izvoznika podataka i/ili ispitanika o posebnim zahtjevima za otkrivanje podataka, trebao bi izvozniku podataka dostaviti što više relevantnih informacija o tim zahtjevima. Osim toga, uvoznik podataka trebao bi izvozniku podataka redovito dostavljati agregirane informacije. Od uvoznika podataka trebalo bi zahtijevati i da dokumentira svaki primljeni zahtjev za otkrivanje podataka i dostavljeni odgovor i da te informacije na zahtjev stavi na raspolaganje izvozniku podataka ili nadležnom nadzornom tijelu ili oboma. Ako nakon preispitivanja zakonitosti takvog zahtjeva u skladu sa zakonima zemlje odredišta uvoznik podataka zaključi da postoje opravdani razlozi na temelju kojih se može smatrati da je zahtjev nezakonit prema zakonima treće zemlje odredišta, trebao bi ga osporiti, prema potrebi i iskorištavanjem svih dostupnih mogućnosti žalbe. U svakom slučaju, ako uvoznik podataka više ne može poštovati standardne ugovorne klauzule, trebao bi o tome obavijestiti izvoznika podataka, među ostalim u slučajevima kad je to posljedica zahtjeva za otkrivanje podataka. |
(23) |
Budući da se potrebe dionika, tehnologije i postupci obrade mogu promijeniti, Komisija bi u okviru periodične ocjene Uredbe (EU) 2016/679 iz članka 97. te uredbe trebala ocijeniti funkcioniranje standardnih ugovornih klauzula s obzirom na iskustvo. |
(24) |
Odluku 2001/497/EZ i Odluku 2010/87/EU trebalo bi staviti izvan snage tri mjeseca nakon stupanja na snagu ove Odluke. U tom razdoblju izvoznici podataka i uvoznici podataka trebali bi za potrebe članka 46. stavka 1. Uredbe (EU) 2016/679 i dalje moći primjenjivati standardne ugovorne klauzule utvrđene u odlukama 2001/497/EZ i 2010/87/EU. U dodatnom razdoblju od 15 mjeseci izvoznici podataka i uvoznici podataka trebali bi se za potrebe članka 46. stavka 1. Uredbe (EU) 2016/679 i dalje moći oslanjati na standardne ugovorne klauzule utvrđene u odlukama 2001/497/EZ i 2010/87/EU za izvršenje ugovora koje su sklopili prije datuma stavljanja izvan snage tih odluka, pod uvjetom da postupci obrade koji su predmet ugovora ostanu nepromijenjeni i da se oslanjanjem na te klauzule osigurava primjena odgovarajućih zaštitnih mjera u smislu članka 46. stavka 1. Uredbe (EU) 2016/679 na prijenos osobnih podataka. U slučaju relevantnih izmjena ugovora od izvoznika podataka trebalo bi zahtijevati da počne primjenjivati novu osnovu za prijenos podataka na temelju ugovora, prije svega tako što će postojeće standardne ugovorne klauzule zamijeniti standardnim ugovornim klauzulama navedenima u Prilogu ovoj Odluci. Isto bi se trebalo primjenjivati na podugovaranje postupaka obrade u okviru ugovora s (pod)izvršiteljem obrade. |
(25) |
Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka i Europskim odborom za zaštitu podataka u skladu s člankom 42. stavcima 1. i 2. Uredbe (EU) 2018/1725 te su oni 14. siječnja 2021. dali zajedničko mišljenje (12), koje je uzeto u obzir u pripremi ove Odluke. |
(26) |
Mjere predviđene u ovoj Odluci u skladu su s mišljenjem Odbora osnovanog na temelju članka 93. Uredbe (EU) 2016/679, |
DONIJELA JE OVU ODLUKU:
Članak 1.
1. Smatra se da se standardnim ugovornim klauzulama iz Priloga osiguravaju odgovarajuće zaštitne mjere u smislu članka 46. stavka 1. i stavka 2. točke (c) Uredbe (EU) 2016/679 za prijenos osobnih podataka od voditelja obrade ili izvršitelja obrade na koje se primjenjuje ta uredba (izvoznik podataka) do voditelja obrade ili (pod)izvršitelja obrade na čiju se obradu podataka ne primjenjuje ta uredba (uvoznik podataka).
2. Standardnim ugovornim klauzulama utvrđuju se i prava i obveze voditelja obrade i izvršitelja obrade u odnosu na pitanja iz članka 28. stavaka 3. i 4. Uredbe (EU) 2016/679 kad je riječ o prijenosu osobnih podataka od voditelja obrade do izvršitelja obrade ili od izvršitelja obrade do podizvršitelja obrade.
Članak 2.
Kad nadležna tijela država članica izvršavaju korektivne ovlasti u skladu s člankom 58. Uredbe (EU) 2016/679 jer se na uvoznika podataka primjenjuju ili počinju primjenjivati zakoni ili prakse u trećoj zemlji odredišta koji ga sprečavaju u poštovanju standardnih ugovornih klauzula iz Priloga, što dovodi do obustave ili zabrane prijenosa podataka u treće zemlje, predmetna država članica bez odgode obavješćuje Komisiju, koja te informacije prosljeđuje drugim državama članicama.
Članak 3.
Komisija ocjenjuje praktičnu primjenu standardnih ugovornih klauzula iz Priloga na temelju svih dostupnih informacija u okviru periodične ocjene koja se zahtijeva člankom 97. Uredbe (EU) 2016/679.
Članak 4.
1. Ova Odluka stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.
2. Odluka 2001/497/EZ stavlja se izvan snage s učinkom od 27. rujna 2021.
3. Odluka 2010/87/EU stavlja se izvan snage s učinkom od 27. rujna 2021.
4. Smatra se da ugovori sklopljeni prije 27. rujna 2021. na temelju Odluke 2001/497/EZ ili Odluke 2010/87/EU osiguravaju odgovarajuće zaštitne mjere u smislu članka 46. stavka 1. Uredbe (EU) 2016/679 do 27. prosinca 2022. pod uvjetom da postupci obrade koji su predmet ugovora ostanu nepromijenjeni i da se oslanjanjem na te klauzule osigurava da se na prijenos osobnih podataka primjenjuju odgovarajuće zaštitne mjere.
Sastavljeno u Bruxellesu 4. lipnja 2021.
Za Komisiju
Predsjednica
Ursula VON DER LEYEN
(1) SL L 119, 4.5.2016., str. 1.
(2) Članak 44. Uredbe (EU) 2016/679.
(3) Vidjeti i presudu Suda od 16. srpnja 2020. u predmetu C-311/18, Data Protection Commissioner protiv Facebook Ireland Ltd i Maximilliana Schremsa („Schrems II”), ECLI:EU:C:2020:559, točku 93.
(4) Uvodna izjava 109. Uredbe (EU) 2016/679.
(5) Odluka Komisije 2001/497/EZ od 15. lipnja 2001. o standardnim ugovornim klauzulama za prijenos osobnih podataka u treće zemlje, u skladu s Direktivom 95/46/EZ (SL L 181, 4.7.2001., str. 19.).
(6) Odluka Komisije 2010/87/EU od 5. veljače 2010. o standardnim ugovornim klauzulama za prijenos osobnih podataka obrađivačima u trećim zemljama u skladu s Direktivom 95/46/EZ Europskog parlamenta i Vijeća (SL L 39, 12.2.2010., str. 5.).
(7) Direktiva 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (SL L 281, 23.11.1995., str. 31.).
(8) Uredba (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (SL L 295, 21.11.2018., str. 39.); vidjeti uvodnu izjavu 5.
(9) C(2021) 3701.
(10) Schrems II, točke 96. i 103. Vidjeti i Uredbu (EU) 2016/679, uvodne izjave 108. i 114.
(11) Schrems II.
(12) Zajedničko mišljenje Europskog odbora za zaštitu podataka i Europskog nadzornika za zaštitu podataka 2/2021 o Provedbenoj odluci Europske komisije o standardnim ugovornim klauzulama za prijenos osobnih podataka u treće zemlje u pogledu pitanja iz članka 46. stavka 2. točke (c) Uredbe (EU) 2016/679.
PRILOG
STANDARDNE UGOVORNE KLAUZULE
ODJELJAK I.
Klauzula 1.
Svrha i područje primjene
(a) |
Svrha je ovih standardnih ugovornih klauzula osigurati usklađenost sa zahtjevima Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (Opća uredba o zaštiti podataka) (1) pri prijenosu osobnih podataka u treću zemlju. |
(b) |
Stranke:
suglasne su s ovim standardnim ugovornim klauzulama (dalje u tekstu „klauzule”). |
(c) |
Ove se klauzule primjenjuju na prijenos osobnih podataka kako je navedeno u Prilogu I.B. |
(d) |
Dodatak ovim klauzulama koji sadržava priloge na koje se u njima upućuje sastavni je dio ovih klauzula. |
Klauzula 2.
Učinak i nepromjenjivost klauzula
(a) |
Ovim se klauzulama utvrđuju odgovarajuće zaštitne mjere, uključujući provediva prava ispitanika i učinkovite pravne lijekove, u skladu s člankom 46. stavkom 1. i člankom 46. stavkom 2. točkom (c) Uredbe (EU) 2016/679 te, kad je riječ o prijenosima podataka od voditelja obrade do izvršitelja obrade i/ili od izvršitelja obrade do izvršitelja obrade, standardne ugovorne klauzule u skladu s člankom 28. stavkom 7. Uredbe (EU) 2016/679, pod uvjetom da nisu izmijenjene, osim u svrhu odabira odgovarajućih modula ili dodavanja odnosno ažuriranja informacija u Dodatku. To ne sprečava stranke da standardne ugovorne klauzule utvrđene u ovim klauzulama uključe u širi ugovor i/ili da dodaju druge klauzule ili dodatne zaštitne mjere pod uvjetom da one izravno ili neizravno ne proturječe ovim klauzulama niti ne dovode u pitanje temeljna prava ili slobode ispitanika. |
(b) |
Ove klauzule ne dovode u pitanje obveze izvoznika podataka na temelju Uredbe (EU) 2016/679. |
Klauzula 3.
Korisnici koji su treće strane
(a) |
Ispitanici se mogu pozvati na ove klauzule i provoditi ih kao treće strane protiv izvoznika podataka i/ili uvoznika podataka, uz sljedeće iznimke:
|
(b) |
Točkom (a) ne dovode se u pitanje prava ispitanika na temelju Uredbe (EU) 2016/679. |
Klauzula 4.
Tumačenje
(a) |
Ako se u ovim klauzulama upotrebljavaju pojmovi definirani u Uredbi (EU) 2016/679, ti pojmovi imaju isto značenje kao u toj uredbi. |
(b) |
Ove se klauzule čitaju i tumače u skladu s odredbama Uredbe (EU) 2016/679. |
(c) |
Ove se klauzule ne tumače na način koji je u suprotnosti s pravima i obvezama predviđenima Uredbom (EU) 2016/679. |
Klauzula 5.
Hijerarhija
U slučaju da su ove klauzule u suprotnosti s odredbama povezanih sporazuma među strankama koji postoje u trenutku dogovaranja ovih klauzula ili su sklopljeni nakon toga, prednost imaju ove klauzule.
Klauzula 6.
Opis prijenosa
Pojedinosti prijenosa, a posebno kategorije osobnih podataka koji se prenose i svrhe prijenosa, navedene su u Prilogu I.B.
Klauzula 7. – neobvezna
Klauzula o pristupanju
(a) |
Subjekt koji nije stranka ovih klauzula može uz suglasnost stranaka pristupiti ovim klauzulama u bilo kojem trenutku kao izvoznik podataka ili uvoznik podataka popunjavanjem Dodatka i potpisivanjem Priloga I.A. |
(b) |
Nakon što popuni Dodatak i potpiše Prilog I.A., subjekt koji pristupa postaje stranka ovih klauzula te ima prava i obveze izvoznika podataka ili uvoznika podataka u skladu sa svojom oznakom iz Priloga I.A. |
(c) |
Subjekt koji pristupa nema prava ni obveze koji proizlaze iz ovih klauzula za razdoblje prije nego što je postao stranka. |
ODJELJAK II. – OBVEZE STRANAKA
Klauzula 8.
Mjere za zaštitu podataka
Izvoznik podataka jamči da je poduzeo sve razumne mjere kako bi utvrdio sposobnost uvoznika podataka da provedbom odgovarajućih tehničkih i organizacijskih mjera ispuni svoje obveze iz ovih klauzula.
MODUL 1.: Prijenos od voditelja obrade do voditelja obrade
8.1. Ograničenje svrhe
Uvoznik podataka obrađuje osobne podatke samo u posebne svrhe prijenosa kako je utvrđeno u Prilogu I.B. Može obrađivati osobne podatke u druge svrhe isključivo:
i. |
ako je dobio prethodnu privolu ispitanika; |
ii. |
ako je to potrebno za postavljanje, ostvarivanje ili obranu pravnih zahtjeva u kontekstu posebnih upravnih, regulatornih ili sudskih postupaka; ili |
iii. |
ako je to potrebno za zaštitu životno važnih interesa ispitanika ili druge fizičke osobe. |
8.2. Transparentnost
(a) |
Kako bi se ispitanicima omogućilo da učinkovito ostvare svoja prava u skladu s klauzulom 10., uvoznik podataka obavješćuje ih, izravno ili preko izvoznika podataka:
|
(b) |
Točka (a) ne primjenjuje se ako ispitanik već raspolaže informacijama, među ostalim ako je izvoznik podataka već pružio takve informacije, ili ako pružanje tih informacija nije moguće ili bi zahtijevalo nerazmjeran napor od uvoznika podataka. U potonjem slučaju uvoznik podataka u mjeri u kojoj je to moguće stavlja te informacije na raspolaganje javnosti. |
(c) |
Stranke će ispitaniku na zahtjev besplatno staviti na raspolaganje kopiju ovih klauzula, uključujući Dodatak kako su ga popunile. Ako je to potrebno za zaštitu poslovnih tajni ili drugih povjerljivih informacija, uključujući osobne podatke, stranke mogu ispustiti dio teksta Dodatka prije dijeljenja kopije, ali moraju dostaviti smislen sažetak ako ispitanik inače ne bi mogao razumjeti njegov sadržaj ili ostvariti svoja prava. Stranke ispitaniku na zahtjev priopćuju razloge za ispuštanje, u mjeri u kojoj je to moguće bez otkrivanja ispuštenih informacija. |
(d) |
Točke od (a) do (c) ne dovode u pitanje obveze izvoznika podataka u skladu s člancima 13. i 14. Uredbe (EU) 2016/679. |
8.3. Točnost i smanjenje količine podataka
(a) |
Svaka stranka osigurava da su osobni podaci točni i prema potrebi ažurirani. Uvoznik podataka poduzima sve razumne mjere kako bi osigurao da se osobni podaci koji nisu točni s obzirom na svrhe obrade bez odgode izbrišu ili isprave. |
(b) |
Ako jedna od stranaka utvrdi da su osobni podaci koje je prenijela ili primila netočni ili zastarjeli, o tome bez nepotrebne odgode obavješćuje drugu stranku. |
(c) |
Uvoznik podataka osigurava da su osobni podaci primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe obrade. |
8.4. Ograničenje pohrane
Uvoznik podataka ne čuva osobne podatke dulje nego što je potrebno za svrhe u koje se obrađuju. Uvodi odgovarajuće tehničke ili organizacijske mjere kako bi se osiguralo poštovanje te obveze, uključujući brisanje ili anonimizaciju (2) podataka i svih sigurnosnih kopija na kraju razdoblja zadržavanja.
8.5. Sigurnost obrade
(a) |
Uvoznik podataka, a pri prijenosu i izvoznik podataka, provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao sigurnost osobnih podataka, uključujući zaštitu od povrede sigurnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa (dalje u tekstu „povreda osobnih podataka”). Pri procjeni odgovarajuće razine sigurnosti uzima u obzir najnovija dostignuća, troškove provedbe, prirodu, opseg, kontekst i svrhe obrade te rizike za ispitanika povezane s obradom. Stranke posebno razmatraju primjenu enkripcije ili pseudonimizacije, među ostalim pri prijenosu, ako se svrha obrade može ispuniti na taj način. |
(b) |
Stranke su postigle dogovor o tehničkim i organizacijskim mjerama navedenima u Prilogu II. Uvoznik podataka izvršava redovite provjere kako bi osigurao da te mjere i dalje pružaju odgovarajuću razinu sigurnosti. |
(c) |
Uvoznik podataka osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti. |
(d) |
U slučaju povrede osobnih podataka koje uvoznik podataka obrađuje u skladu s ovim klauzulama, uvoznik podataka poduzima odgovarajuće mjere za uklanjanje povrede osobnih podataka, uključujući mjere za ublažavanje mogućih štetnih posljedica. |
(e) |
U slučaju povrede osobnih podataka koja će vjerojatno prouzročiti rizik za prava i slobode fizičkih osoba uvoznik podataka bez nepotrebne odgode obavješćuje izvoznika podataka i nadležno nadzorno tijelo u skladu s klauzulom 13. Takva obavijest sadržava i. opis prirode povrede (uključujući, ako je moguće, kategorije i približan broj predmetnih ispitanika i evidencija osobnih podataka); ii. vjerojatne posljedice; iii. mjere koje su poduzete ili predložene za uklanjanje povrede; i iv. podatke o kontaktnoj točki od koje se može dobiti još informacija. Ako uvoznik podataka ne može istodobno pružiti sve informacije, može ih postupno pružati bez nepotrebne daljnje odgode. |
(f) |
U slučaju povrede osobnih podataka koja će vjerojatno prouzročiti znatan rizik za prava i slobode fizičkih osoba uvoznik podataka bez nepotrebne odgode obavješćuje i predmetne ispitanike o povredi osobnih podataka i njezinoj prirodi, prema potrebi u suradnji s izvoznikom podataka, te o informacijama iz točke (e), podtočaka od ii. do iv., osim ako je uvoznik podataka proveo mjere za znatno smanjenje rizika za prava ili slobode fizičkih osoba ili ako bi za obavješćivanje bio potreban nerazmjeran napor. U potonjem slučaju uvoznik podataka umjesto toga izdaje priopćenje ili poduzima sličnu mjeru kako bi obavijestio javnost o povredi osobnih podataka. |
(g) |
Uvoznik podataka dokumentira sve relevantne činjenice povezane s povredom osobnih podataka, uključujući njezine učinke i sve poduzete korektivne mjere, te vodi evidenciju o tome. |
8.6. Osjetljivi podaci
Ako prijenos uključuje osobne podatke koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu, genetske podatke ili biometrijske podatke u svrhu jedinstvene identifikacije pojedinca, podatke koji se odnose na zdravlje, spolni život ili spolnu orijentaciju osobe ili podatke koji se odnose na osuđujuće presude ili kaznena djela (dalje u tekstu „osjetljivi podaci”), uvoznik podataka primjenjuje posebna ograničenja i/ili dodatne zaštitne mjere prilagođene posebnoj prirodi podataka i povezanim rizicima. To može uključivati ograničavanje osoblja kojem je dopušten pristup osobnim podacima, dodatne sigurnosne mjere (kao što je pseudonimizacija) i/ili dodatna ograničenja u pogledu daljnjeg otkrivanja.
8.7. Daljnji prijenosi
Uvoznik podataka ne otkriva osobne podatke trećoj strani koja se nalazi izvan Europske unije (3) (u istoj zemlji kao uvoznik podataka ili u drugoj trećoj zemlji, dalje u tekstu „daljnji prijenos”) osim ako je treća strana obvezana ovim klauzulama ili pristane biti obvezana njima u skladu s odgovarajućim modulom. U protivnom uvoznik podataka može obavljati daljnji prijenos isključivo:
i. |
ako je riječ o prijenosu u zemlju na koju se primjenjuje odluka o primjerenosti u skladu s člankom 45. Uredbe (EU) 2016/679 kojom je obuhvaćen daljnji prijenos; |
ii. |
ako treća strana na drugi način osigurava odgovarajuće zaštitne mjere u skladu s člancima 46. ili 47. Uredbe (EU) 2016/679 u pogledu predmetne obrade; |
iii. |
ako treća strana sklopi obvezujući instrument s uvoznikom podataka kojim se osigurava jednaka razina zaštite podataka kao i ovim klauzulama, a uvoznik podataka dostavi kopiju tih zaštitnih mjera izvozniku podataka; |
iv. |
ako je to potrebno za postavljanje, ostvarivanje ili obranu pravnih zahtjeva u kontekstu posebnih upravnih, regulatornih ili sudskih postupaka; |
v. |
ako je to potrebno za zaštitu životno važnih interesa ispitanika ili druge fizičke osobe; ili |
vi. |
u slučaju se de ne primjenjuje ni jedan od ostalih uvjeta, ako je uvoznik podataka dobio izričitu privolu ispitanika za daljnji prijenos u određenoj situaciji nakon što ga je obavijestio o svrhama prijenosa, identitetu primatelja i mogućim rizicima takvog prijenosa za ispitanika zbog nedostatka odgovarajućih mjera za zaštitu podataka. U tom slučaju uvoznik podataka obavješćuje izvoznika podataka i na njegov zahtjev šalje mu kopiju informacija dostavljenih ispitaniku. |
Daljnji prijenos može se izvršiti pod uvjetom da uvoznik podataka poštuje sve druge zaštitne mjere iz ovih klauzula, a posebno ograničenje svrhe.
8.8. Obrada pod vodstvom uvoznika podataka
Uvoznik podataka osigurava da bilo koja osoba koja djeluje pod njegovim vodstvom, uključujući voditelje obrade, obrađuje podatke isključivo ako on to zatraži.
8.9. Dokumentacija i usklađenost
(a) |
Svaka stranka mora moći dokazati da ispunjava svoje obveze iz ovih klauzula. Uvoznik podataka vodi odgovarajuću dokumentaciju o aktivnostima obrade za koje je odgovoran. |
(b) |
Uvoznik podataka na zahtjev stavlja tu dokumentaciju na raspolaganje nadležnom nadzornom tijelu. |
MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade
8.1. Upute
(a) |
Uvoznik podataka obrađuje osobne podatke samo prema zabilježenim uputama izvoznika podataka. Izvoznik podataka može dati takve upute za cijelo vrijeme trajanja ugovora. |
(b) |
Uvoznik podataka odmah obavješćuje izvoznika podataka ako ne može slijediti te upute. |
8.2. Ograničenje svrhe
Uvoznik podataka obrađuje osobne podatke samo u posebne svrhe prijenosa kako je utvrđeno u Prilogu I.B., osim ako izvoznik podataka izda nove upute.
8.3. Transparentnost
Izvoznik podataka ispitaniku će na zahtjev besplatno staviti na raspolaganje kopiju ovih klauzula, uključujući Dodatak kako su ga popunile stranke. Ako je to potrebno za zaštitu poslovnih tajni ili drugih povjerljivih informacija, uključujući mjere opisane u Prilogu II. i osobne podatke, izvoznik podataka može ispustiti dio teksta Dodatka ovim klauzulama prije dijeljenja kopije, ali mora dostaviti smislen sažetak ako ispitanik inače ne bi mogao razumjeti njegov sadržaj ili ostvariti svoja prava. Stranke ispitaniku na zahtjev priopćuju razloge za ispuštanje, u mjeri u kojoj je to moguće bez otkrivanja ispuštenih informacija. Ovom se klauzulom ne dovode u pitanje obveze izvoznika podataka u skladu s člancima 13. i 14. Uredbe (EU) 2016/679.
8.4. Točnost
Ako uvoznik podataka utvrdi da su osobni podaci koje je primio netočni ili zastarjeli, o tome bez nepotrebne odgode obavješćuje izvoznika podataka. U tom slučaju uvoznik podataka surađuje s izvoznikom podataka kako bi se podaci izbrisali ili ispravili.
8.5. Trajanje obrade i brisanje ili vraćanje podataka
Uvoznik podataka obrađuje podatke samo u trajanju navedenom u Prilogu I.B. Nakon završetka pružanja usluga obrade uvoznik podataka ovisno o odluci izvoznika podataka briše sve osobne podatke obrađene u ime izvoznika podataka i potvrđuje izvozniku podataka da je to učinio ili mu vraća sve osobne podatke koji su obrađeni u njegovo ime i briše postojeće kopije. Dok se podaci ne izbrišu ili ne vrate, uvoznik podataka nastavlja osiguravati usklađenost s ovim klauzulama. Kad se na uvoznika podataka primjenjuju lokalni propisi kojima se zabranjuje vraćanje ili brisanje osobnih podataka, uvoznik podataka jamči da će nastaviti osiguravati usklađenost s ovim klauzulama i da će obrađivati podatke samo u mjeri i trajanju koji su u skladu s tim lokalnim zakonodavstvom. Time se ne dovodi u pitanje klauzula 14., osobito zahtjev da uvoznik podataka u skladu s klauzulom 14. točkom (e) za trajanja ugovora obavijesti izvoznika podataka ako ima razloga vjerovati da se na njega primjenjuju ili su se počeli primjenjivati zakoni ili prakse koji nisu u skladu sa zahtjevima iz klauzule 14. točke (a).
8.6. Sigurnost obrade
(a) |
Uvoznik podataka, a pri prijenosu i izvoznik podataka, provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao sigurnost podataka, uključujući zaštitu od povrede sigurnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene i neovlaštenog otkrivanja tih podataka ili pristupa njima (dalje u tekstu „povreda osobnih podataka”). Pri procjeni odgovarajuće razine sigurnosti stranke uzimaju u obzir najnovija dostignuća, troškove provedbe, prirodu, opseg, kontekst i svrhe obrade te rizike za ispitanike povezane s obradom. Stranke posebno razmatraju primjenu enkripcije ili pseudonimizacije, među ostalim pri prijenosu, ako se svrha obrade može ispuniti na taj način. U slučaju pseudonimizacije dodatne informacije za pripisivanje osobnih podataka određenom ispitaniku ostaju pod isključivom kontrolom izvoznika podataka kad god je to moguće. Pri ispunjavanju obveza iz ovog stavka uvoznik podataka provodi barem tehničke i organizacijske mjere navedene u Prilogu II. Uvoznik podataka izvršava redovite provjere kako bi osigurao da te mjere i dalje pružaju odgovarajuću razinu sigurnosti. |
(b) |
Uvoznik podataka članovima svojeg osoblja odobrava pristup osobnim podacima samo u mjeri nužnoj za provedbu i praćenje ugovora te upravljanje njime. Osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti. |
(c) |
U slučaju povrede osobnih podataka koje uvoznik podataka obrađuje u skladu s ovim klauzulama, uvoznik podataka poduzima odgovarajuće mjere za uklanjanje povrede, uključujući mjere za ublažavanje njezinih štetnih posljedica. Uvoznik podataka bez nepotrebne odgode obavješćuje i izvoznika podataka o povredi nakon što sazna za nju. Takva obavijest sadržava pojedinosti o kontaktnoj točki od koje se može dobiti još informacija, opis prirode povrede (uključujući, ako je moguće, kategorije i približan broj predmetnih ispitanika i evidencija osobnih podataka), vjerojatne posljedice i poduzete ili predložene mjere za uklanjanje povrede, uključujući, prema potrebi, mjere za ublažavanje njezinih mogućih štetnih posljedica. Ako i u onoj mjeri u kojoj nije moguće istodobno pružiti sve informacije, prvotna obavijest sadržava informacije koje su dostupne u tom trenutku, a daljnje informacije pružaju se naknadno bez nepotrebne odgode čim postanu dostupne. |
(d) |
Uvoznik podataka surađuje s izvoznikom podataka i pomaže mu u ispunjavanju njegovih obveza na temelju Uredbe (EU) 2016/679, a posebno obveze da obavijesti nadležno nadzorno tijelo i pogođene ispitanike, vodeći računa o prirodi obrade i informacijama koje su dostupne uvozniku podataka. |
8.7. Osjetljivi podaci
Ako prijenos uključuje osobne podatke koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu, genetske podatke ili biometrijske podatke u svrhu jedinstvene identifikacije pojedinca, podatke koji se odnose na zdravlje, spolni život ili spolnu orijentaciju osobe ili podatke koji se odnose na osuđujuće presude i kaznena djela (dalje u tekstu „osjetljivi podaci”), uvoznik podataka primjenjuje posebna ograničenja i/ili dodatne zaštitne mjere navedene u Prilogu I.B.
8.8. Daljnji prijenosi
Uvoznik podataka otkriva osobne podatke trećoj strani isključivo prema zabilježenim uputama izvoznika podataka. Osim toga, podaci se smiju otkriti trećoj strani koja se nalazi izvan Europske unije (4) (u istoj zemlji kao uvoznik podataka ili u drugoj trećoj zemlji, dalje u tekstu „daljnji prijenos”) samo ako je treća strana obvezana ovim klauzulama ili pristane biti obvezana njima u skladu s odgovarajućim modulom, ili:
i. |
ako je riječ o daljnjem prijenosu u zemlju na koju se primjenjuje odluka o primjerenosti u skladu s člankom 45. Uredbe (EU) 2016/679 kojom je obuhvaćen daljnji prijenos; |
ii. |
ako treća strana na drugi način osigurava odgovarajuće zaštitne mjere u skladu s člancima 46. ili 47. Uredbe (EU) 2016/679 u pogledu predmetne obrade; |
iii. |
ako je daljnji prijenos potreban za postavljanje, ostvarivanje ili obranu pravnih zahtjeva u kontekstu posebnih upravnih, regulatornih ili sudskih postupaka; ili |
iv. |
ako je daljnji prijenos potreban za zaštitu životno važnih interesa ispitanika ili druge fizičke osobe. |
Daljnji prijenos može se izvršiti pod uvjetom da uvoznik podataka poštuje sve druge zaštitne mjere iz ovih klauzula, a posebno ograničenje svrhe.
8.9. Dokumentacija i usklađenost
(a) |
Uvoznik podataka odmah i na odgovarajući način odgovara na upite izvoznika podataka koji se odnose na obradu u skladu s ovim klauzulama. |
(b) |
Stranke moraju moći dokazati usklađenost s ovim klauzulama. Uvoznik podataka vodi odgovarajuću dokumentaciju o aktivnostima obrade provedenima u ime izvoznika podataka. |
(c) |
Uvoznik podataka izvozniku podataka stavlja na raspolaganje sve informacije potrebne za dokazivanje usklađenosti s obvezama utvrđenima u ovim klauzulama te na zahtjev izvoznika podataka omogućuje provedbu revizija aktivnosti obrade obuhvaćenih ovim klauzulama i pridonosi im u razumnim vremenskim razmacima ili ako postoje naznake neusklađenosti. Pri odlučivanju o preispitivanju ili reviziji izvoznik podataka može uzeti u obzir relevantne certifikate uvoznika podataka. |
(d) |
Izvoznik podataka može sam provesti reviziju ili za to ovlastiti neovisnog revizora. Revizije mogu uključivati inspekcije u prostorima ili fizičkim objektima uvoznika podataka te se, kad je to primjereno, provode uz prethodnu obavijest. |
(e) |
Stranke nadležnom nadzornom tijelu na zahtjev stavljaju na raspolaganje informacije iz točki (b) i (c), uključujući rezultate svih revizija. |
MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade
8.1. Upute
(a) |
Izvoznik podataka obavijestio je uvoznika podataka da djeluje kao izvršitelj obrade prema uputama svojih voditelja obrade, koje izvoznik podataka prije obrade stavlja na raspolaganje uvozniku podataka. |
(b) |
Uvoznik podataka obrađuje osobne podatke isključivo prema zabilježenim uputama voditelja obrade, koje mu dostavlja izvoznik podataka, i prema svim dodatnim zabilježenim uputama izvoznika podataka. Takve dodatne upute ne smiju biti u suprotnosti s uputama voditelja obrade. Voditelj obrade ili izvoznik podataka može dati daljnje zabilježene upute za obradu podataka za trajanja ugovora. |
(c) |
Uvoznik podataka odmah obavješćuje izvoznika podataka ako ne može slijediti te upute. Ako uvoznik podataka ne može slijediti upute voditelja obrade, izvoznik podataka odmah obavješćuje voditelja obrade. |
(d) |
Izvoznik podataka jamči da je uvozniku podataka nametnuo iste obveze zaštite podataka kao one koje su utvrđene ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice između voditelja obrade i izvoznika podataka (5). |
8.2. Ograničenje svrhe
Uvoznik podataka obrađuje osobne podatke samo u posebne svrhe prijenosa kako je utvrđeno u Prilogu I.B., osim ako uvoznik podataka dobije nove upute od voditelja obrade preko izvoznika podataka ili od samog izvoznika podataka.
8.3. Transparentnost
Izvoznik podataka ispitaniku će na zahtjev besplatno staviti na raspolaganje kopiju ovih klauzula, uključujući Dodatak kako su ga popunile stranke. Ako je to potrebno za zaštitu poslovnih tajni ili drugih povjerljivih informacija, uključujući osobne podatke, izvoznik podataka može ispustiti dio teksta Dodatka prije dijeljenja kopije, ali mora dostaviti smislen sažetak ako ispitanik inače ne bi mogao razumjeti njegov sadržaj ili ostvariti svoja prava. Stranke ispitaniku na zahtjev priopćuju razloge za ispuštanje, u mjeri u kojoj je to moguće bez otkrivanja ispuštenih informacija.
8.4. Točnost
Ako uvoznik podataka utvrdi da su osobni podaci koje je primio netočni ili zastarjeli, o tome bez nepotrebne odgode obavješćuje izvoznika podataka. U tom slučaju uvoznik podataka surađuje s izvoznikom podataka kako bi se podaci ispravili ili izbrisali.
8.5. Trajanje obrade i brisanje ili vraćanje podataka
Uvoznik podataka obrađuje podatke samo u trajanju navedenom u Prilogu I.B. Nakon završetka pružanja usluga obrade uvoznik podataka ovisno o odluci izvoznika podataka briše sve osobne podatke obrađene u ime voditelja obrade i potvrđuje izvozniku podataka da je to učinio ili mu vraća sve osobne podatke koji su obrađeni u njegovo ime i briše postojeće kopije. Dok se podaci ne izbrišu ili ne vrate, uvoznik podataka nastavlja osiguravati usklađenost s ovim klauzulama. Kad se na uvoznika podataka primjenjuju lokalni propisi kojima se zabranjuje vraćanje ili brisanje osobnih podataka, uvoznik podataka jamči da će nastaviti osiguravati usklađenost s ovim klauzulama i da će obrađivati podatke samo u mjeri i trajanju koji su u skladu s tim lokalnim zakonodavstvom. Time se ne dovodi u pitanje klauzula 14., osobito zahtjev da uvoznik podataka u skladu s klauzulom 14. točkom (e) za trajanja ugovora obavijesti izvoznika podataka ako ima razloga vjerovati da se na njega primjenjuju ili su se počeli primjenjivati zakoni ili prakse koji nisu u skladu sa zahtjevima iz klauzule 14. točke (a).
8.6. Sigurnost obrade
(a) |
Uvoznik podataka, a pri prijenosu i izvoznik podataka, provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao sigurnost podataka, uključujući zaštitu od povrede sigurnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene i neovlaštenog otkrivanja tih podataka ili pristupa njima (dalje u tekstu „povreda osobnih podataka”). Pri procjeni odgovarajuće razine sigurnosti uzima u obzir najnovija dostignuća, troškove provedbe, prirodu, opseg, kontekst i svrhe obrade te rizike za ispitanika povezane s obradom. Stranke posebno razmatraju primjenu enkripcije ili pseudonimizacije, među ostalim pri prijenosu, ako se svrha obrade može ispuniti na taj način. U slučaju pseudonimizacije dodatne informacije za pripisivanje osobnih podataka određenom ispitaniku ostaju pod isključivom kontrolom izvoznika podataka ili voditelja obrade kad god je to moguće. Pri ispunjavanju obveza iz ovog stavka uvoznik podataka provodi barem tehničke i organizacijske mjere navedene u Prilogu II. Uvoznik podataka izvršava redovite provjere kako bi osigurao da te mjere i dalje pružaju odgovarajuću razinu sigurnosti. |
(b) |
Uvoznik podataka članovima svojeg osoblja odobrava pristup podacima samo u mjeri nužnoj za provedbu i praćenje ugovora te upravljanje njime. Osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti. |
(c) |
U slučaju povrede osobnih podataka koje uvoznik podataka obrađuje u skladu s ovim klauzulama, uvoznik podataka poduzima odgovarajuće mjere za uklanjanje povrede, uključujući mjere za ublažavanje njezinih štetnih posljedica. Uvoznik podataka bez nepotrebne odgode obavješćuje i izvoznika podataka i, ako je to primjereno i izvedivo, voditelja obrade o povredi nakon što sazna za nju. Takva obavijest sadržava pojedinosti o kontaktnoj točki od koje se može dobiti još informacija, opis prirode povrede (uključujući, ako je moguće, kategorije i približan broj predmetnih ispitanika i evidencija osobnih podataka), vjerojatne posljedice i poduzete ili predložene mjere za uklanjanje povrede osobnih podataka, uključujući mjere za ublažavanje njezinih mogućih štetnih posljedica. Ako i u onoj mjeri u kojoj nije moguće istodobno pružiti sve informacije, prvotna obavijest sadržava informacije koje su dostupne u tom trenutku, a daljnje informacije pružaju se naknadno bez nepotrebne odgode čim postanu dostupne. |
(d) |
Uvoznik podataka surađuje s izvoznikom podataka i pomaže mu u ispunjavanju njegovih obveza na temelju Uredbe (EU) 2016/679, a posebno obveze da obavijesti svojeg voditelja obrade kako bi on mogao obavijestiti nadležno nadzorno tijelo i pogođene ispitanike, vodeći računa o prirodi obrade i informacijama koje su dostupne uvozniku podataka. |
8.7. Osjetljivi podaci
Ako prijenos uključuje osobne podatke koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu, genetske podatke ili biometrijske podatke u svrhu jedinstvene identifikacije pojedinca, podatke koji se odnose na zdravlje, spolni život ili spolnu orijentaciju osobe ili podatke koji se odnose na osuđujuće presude i kaznena djela (dalje u tekstu „osjetljivi podaci”), uvoznik podataka primjenjuje posebna ograničenja i/ili dodatne zaštitne mjere navedene u Prilogu I.B.
8.8. Daljnji prijenosi
Uvoznik podataka otkriva osobne podatke trećoj strani isključivo prema zabilježenim uputama voditelja obrade koje mu dostavlja izvoznik podataka. Osim toga, podaci se smiju otkriti trećoj strani koja se nalazi izvan Europske unije (6) (u istoj zemlji kao uvoznik podataka ili u drugoj trećoj zemlji, dalje u tekstu „daljnji prijenos”) samo ako je treća strana obvezana ovim klauzulama ili pristane biti obvezana njima u skladu s odgovarajućim modulom, ili:
i. |
ako je riječ o daljnjem prijenosu u zemlju na koju se primjenjuje odluka o primjerenosti u skladu s člankom 45. Uredbe (EU) 2016/679 kojom je obuhvaćen daljnji prijenos; |
ii. |
ako treća strana na drugi način osigurava odgovarajuće zaštitne mjere u skladu s člancima 46. ili 47. Uredbe (EU) 2016/679; |
iii. |
ako je daljnji prijenos potreban za postavljanje, ostvarivanje ili obranu pravnih zahtjeva u kontekstu posebnih upravnih, regulatornih ili sudskih postupaka; ili |
iv. |
ako je daljnji prijenos potreban za zaštitu životno važnih interesa ispitanika ili druge fizičke osobe. |
Daljnji prijenos može se izvršiti pod uvjetom da uvoznik podataka poštuje sve druge zaštitne mjere iz ovih klauzula, a posebno ograničenje svrhe.
8.9. Dokumentacija i usklađenost
(a) |
Uvoznik podataka odmah i na odgovarajući način odgovara na upite izvoznika podataka ili voditelja obrade koji se odnose na obradu u skladu s ovim klauzulama. |
(b) |
Stranke moraju moći dokazati usklađenost s ovim klauzulama. Uvoznik podataka vodi odgovarajuću dokumentaciju o aktivnostima obrade provedenima u ime voditelja obrade. |
(c) |
Uvoznik podataka stavlja na raspolaganje sve informacije potrebne za dokazivanje usklađenosti s obvezama utvrđenima u ovim klauzulama izvozniku podataka, koji ih dostavlja voditelju obrade. |
(d) |
Uvoznik podataka omogućuje izvozniku podataka provedbu revizija aktivnosti obrade koje su obuhvaćene ovim klauzulama i pridonosi im u razumnim vremenskim razmacima ili ako postoje naznake neusklađenosti. Isto vrijedi i u slučaju da izvoznik podataka zatraži reviziju na temelju uputa voditelja obrade. Pri odlučivanju o reviziji izvoznik podataka može uzeti u obzir relevantne certifikate uvoznika podataka. |
(e) |
Ako se revizija provodi prema uputama voditelja obrade, izvoznik podataka stavlja rezultate na raspolaganje voditelju obrade. |
(f) |
Izvoznik podataka može sam provesti reviziju ili za to ovlastiti neovisnog revizora. Revizije mogu uključivati inspekcije u prostorima ili fizičkim objektima uvoznika podataka te se, kad je to primjereno, provode uz prethodnu obavijest. |
(g) |
Stranke nadležnom nadzornom tijelu na zahtjev stavljaju na raspolaganje informacije iz točki (b) i (c), uključujući rezultate svih revizija. |
MODUL 4.: Prijenos od izvršitelja obrade do voditelja obrade
8.1. Upute
(a) |
Izvoznik podataka obrađuje osobne podatke samo prema zabilježenim uputama uvoznika podataka koji djeluje kao njegov voditelj obrade. |
(b) |
Izvoznik podataka odmah obavješćuje uvoznika podataka ako ne može slijediti te upute, među ostalim ako se takvim uputama krši Uredba (EU) 2016/679 ili drugo zakonodavstvo Unije ili države članice o zaštiti podataka. |
(c) |
Uvoznik podataka suzdržava se od svih radnji kojima bi se izvršitelja obrade spriječilo u ispunjavanju njegovih obveza u skladu s Uredbom (EU) 2016/679, među ostalim u kontekstu podobrade ili u pogledu suradnje s nadležnim nadzornim tijelima. |
(d) |
Nakon završetka pružanja usluga obrade izvoznik podataka ovisno o odluci uvoznika podataka briše sve osobne podatke obrađene u ime uvoznika podataka i potvrđuje uvozniku podataka da je to učinio ili mu vraća sve osobne podatke koji su obrađeni u njegovo ime i briše postojeće kopije. |
8.2. Sigurnost obrade
(a) |
Stranke provode odgovarajuće tehničke i organizacijske mjere kako bi osigurale sigurnost podataka, među ostalim pri prijenosu, i zaštitu od povrede sigurnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa (dalje u tekstu „povreda osobnih podataka”). Pri procjeni odgovarajuće razine sigurnosti uzimaju u obzir najnovija dostignuća, troškove provedbe, prirodu osobnih podataka (7), prirodu, opseg, kontekst i svrhe obrade te rizike za ispitanike povezane s obradom, a posebno razmatraju primjenu enkripcije ili pseudonimizacije, među ostalim pri prijenosu, ako se svrha obrade može ispuniti na taj način. |
(b) |
Izvoznik podataka pomaže uvozniku podataka osigurati odgovarajuću sigurnost podataka u skladu s točkom (a). U slučaju povrede osobnih podataka koje izvoznik podataka obrađuje u skladu s ovim klauzulama, izvoznik podataka bez nepotrebne odgode obavješćuje uvoznika podataka o povredi nakon što sazna za nju i pomaže mu u uklanjanju povrede. |
(c) |
Izvoznik podataka osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti. |
8.3. Dokumentacija i usklađenost
(a) |
Stranke moraju moći dokazati usklađenost s ovim klauzulama. |
(b) |
Izvoznik podataka uvozniku podataka stavlja na raspolaganje sve informacije potrebne za dokazivanje usklađenosti s obvezama utvrđenima u ovim klauzulama te omogućuje provedbu revizija i pridonosi im. |
Klauzula 9.
Angažiranje podizvršitelja obrade
MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade
(a) |
MOGUĆNOST 1.: POSEBNO PRETHODNO ODOBRENJE Uvoznik podataka ne smije povjeriti nijednu od svojih aktivnosti obrade koje obavlja u ime izvoznika podataka u skladu s ovim klauzulama podizvršitelju obrade bez prethodnog posebnog pisanog odobrenja izvoznika podataka. Uvoznik podataka podnosi zahtjev za posebno odobrenje najmanje [navesti razdoblje] prije angažiranja podizvršitelja obrade zajedno s informacijama potrebnima da bi izvoznik podataka mogao donijeti odluku o odobrenju. Popis podizvršitelja obrade koje je izvoznik podataka već odobrio nalazi se u Prilogu III. Stranke redovito ažuriraju Prilog III. MOGUĆNOST 2.: OPĆE PISANO ODOBRENJE Uvoznik podataka ima opće odobrenje izvoznika podataka za angažiranje podizvršitelja obrade s dogovorenog popisa. Uvoznik podataka pisanim putem izričito obavješćuje izvoznika podataka o svim planiranim izmjenama tog popisa dodavanjem ili zamjenom podizvršitelja obrade najmanje [navesti razdoblje] unaprijed kako bi izvozniku podataka omogućio dovoljno vremena da uloži prigovor na takve izmjene prije angažiranja podizvršitelja obrade. Uvoznik podataka izvozniku podataka dostavlja informacije potrebne da bi izvoznik podataka mogao ostvariti svoje pravo na prigovor. |
(b) |
Ako uvoznik podataka angažira podizvršitelja obrade za obavljanje određenih aktivnosti obrade (u ime izvoznika podataka), to čini pisanim ugovorom u kojem su predviđene sadržajno iste obveze zaštite podataka kao one koje obvezuju uvoznika podataka u skladu s ovim klauzulama, među ostalim u smislu prava u korist treće strane za ispitanike. (8) Stranke dogovaraju da uvoznik podataka postupanjem u skladu s ovom klauzulom ispunjava svoje obveze u skladu s klauzulom 8.8. Uvoznik podataka osigurava da podizvršitelj obrade poštuje obveze koje se primjenjuju na uvoznika podataka u skladu s ovim klauzulama. |
(c) |
Uvoznik podataka na zahtjev izvoznika podataka dostavlja kopiju takvog ugovora s podizvršiteljem obrade i sve naknadne izmjene izvozniku podataka. Ako je to potrebno za zaštitu poslovnih tajni ili drugih povjerljivih informacija, uključujući osobne podatke, uvoznik podataka može ispustiti tekst sporazuma prije dijeljenja kopije. |
(d) |
Uvoznik podataka ostaje u potpunosti odgovoran izvozniku podataka za izvršavanje obveza podizvršitelja obrade na temelju njegova ugovora s uvoznikom podataka. Uvoznik podataka obavješćuje izvoznika podataka o svakom neispunjavanju obveza podizvršitelja obrade iz tog ugovora. |
(e) |
Uvoznik podataka dogovara klauzulu u korist treće strane s podizvršiteljem obrade u skladu s kojom, u slučaju da je uvoznik podataka prestao postojati ili prestao postojati pred zakonom ili postao nesolventan, izvoznik podataka ima pravo raskinuti ugovor s podizvršiteljem obrade i zatražiti od podizvršitelja obrade da izbriše ili vrati osobne podatke. |
MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade
(a) |
MOGUĆNOST 1.: POSEBNO PRETHODNO ODOBRENJE Uvoznik podataka ne smije povjeriti nijednu od svojih aktivnosti obrade koje obavlja u ime izvoznika podataka u skladu s ovim klauzulama podizvršitelju obrade bez prethodnog posebnog pisanog odobrenja voditelja obrade. Uvoznik podataka podnosi zahtjev za posebno odobrenje najmanje [navesti razdoblje] prije angažiranja podizvršitelja obrade zajedno s informacijama potrebnima da bi voditelj obrade mogao donijeti odluku o odobrenju. O takvom angažiranju obavješćuje izvoznika podataka. Popis podizvršitelja obrade koje je voditelj obrade već odobrio nalazi se u Prilogu III. Stranke redovito ažuriraju Prilog III. MOGUĆNOST 2.: OPĆE PISANO ODOBRENJE Uvoznik podataka ima opće odobrenje voditelja obrade za angažiranje podizvršitelja obrade s dogovorenog popisa. Uvoznik podataka pisanim putem izričito obavješćuje voditelja obrade o svim planiranim izmjenama tog popisa dodavanjem ili zamjenom podizvršitelja obrade najmanje [navesti razdoblje] unaprijed kako bi voditelju obrade omogućio dovoljno vremena da uloži prigovor na takve izmjene prije angažiranja podizvršitelja obrade. Uvoznik podataka voditelju obrade dostavlja informacije potrebne da bi voditelj obrade mogao ostvariti svoje pravo na prigovor. Uvoznik podataka obavješćuje izvoznika podataka o angažiranju podizvršitelja obrade. |
(b) |
Ako uvoznik podataka angažira podizvršitelja obrade za obavljanje određenih aktivnosti obrade (u ime voditelja obrade), to čini pisanim ugovorom u kojem su predviđene sadržajno iste obveze zaštite podataka kao one koje obvezuju uvoznika podataka u skladu s ovim klauzulama, među ostalim u smislu prava u korist treće strane za ispitanike. (9) Stranke dogovaraju da uvoznik podataka postupanjem u skladu s ovom klauzulom ispunjava svoje obveze u skladu s klauzulom 8.8. Uvoznik podataka osigurava da podizvršitelj obrade poštuje obveze koje se primjenjuju na uvoznika podataka u skladu s ovim klauzulama. |
(c) |
Uvoznik podataka na zahtjev izvoznika podataka ili voditelja obrade dostavlja kopiju takvog ugovora s podizvršiteljem obrade i sve naknadne izmjene. Ako je to potrebno za zaštitu poslovnih tajni ili drugih povjerljivih informacija, uključujući osobne podatke, uvoznik podataka može ispustiti tekst sporazuma prije dijeljenja kopije. |
(d) |
Uvoznik podataka ostaje u potpunosti odgovoran izvozniku podataka za izvršavanje obveza podizvršitelja obrade na temelju njegova ugovora s uvoznikom podataka. Uvoznik podataka obavješćuje izvoznika podataka o svakom neispunjavanju obveza podizvršitelja obrade iz tog ugovora. |
(e) |
Uvoznik podataka dogovara klauzulu u korist treće strane s podizvršiteljem obrade u skladu s kojom, u slučaju da je uvoznik podataka prestao postojati ili prestao postojati pred zakonom ili postao nesolventan, izvoznik podataka ima pravo raskinuti ugovor s podizvršiteljem obrade i zatražiti od podizvršitelja obrade da izbriše ili vrati osobne podatke. |
Klauzula 10.
Prava ispitanika
MODUL 1.: Prijenos od voditelja obrade do voditelja obrade
(a) |
Uvoznik podataka, prema potrebi uz pomoć izvoznika podataka, odgovara na sve upite i zahtjeve koje primi od ispitanika u vezi s obradom njegovih osobnih podataka i ostvarivanjem njegovih prava u skladu s ovim klauzulama bez nepotrebne odgode i najkasnije u roku od mjesec dana od primitka upita ili zahtjeva. (10) Uvoznik podataka poduzima odgovarajuće mjere kako bi olakšao takve upite, zahtjeve i ostvarivanje prava ispitanika. Sve informacije koje se pružaju ispitaniku moraju biti u razumljivom i lako dostupnom obliku uz uporabu jasnog i jednostavnog jezika. |
(b) |
Uvoznik podataka na zahtjev ispitanika besplatno:
|
(c) |
Uvoznik podataka prestaje obrađivati osobne podatke za potrebe izravnog marketinga ako se ispitanik protivi takvoj obradi. |
(d) |
Uvoznik podataka ne donosi odluke koje se temelje isključivo na automatiziranoj obradi prenesenih osobnih podataka (dalje u tekstu „automatizirana odluka”) koje bi proizvele pravne učinke za ispitanika ili na sličan način znatno utjecale na njega, osim uz izričitu privolu ispitanika ili ako je za to ovlašten u skladu s propisima zemlje odredišta, pod uvjetom da su tim propisima predviđene prikladne mjere zaštite ispitanikovih prava i legitimnih interesa. U tom slučaju uvoznik podataka, prema potrebi u suradnji s izvoznikom podataka:
|
(e) |
Ako su zahtjevi ispitanika pretjerani, osobito zbog učestalog ponavljanja, uvoznik podataka može naplatiti razumnu naknadu na temelju administrativnih troškova ispunjavanja zahtjeva ili odbiti postupiti po zahtjevu. |
(f) |
Uvoznik podataka može odbiti zahtjev ispitanika ako je takvo odbijanje dopušteno u skladu sa zakonima zemlje odredišta te ako je nužno i razmjerno u demokratskom društvu radi zaštite jednog od ciljeva navedenih u članku 23. stavku 1. Uredbe (EU) 2016/679. |
(g) |
Ako uvoznik podataka namjerava odbiti zahtjev ispitanika, obavješćuje ispitanika o razlozima odbijanja i mogućnosti podnošenja pritužbe nadležnom nadzornom tijelu i/ili traženja sudske zaštite. |
MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade
(a) |
Uvoznik podataka odmah obavješćuje izvoznika podataka o svakom zahtjevu koji je primio od ispitanika. On sam ne odgovara na taj zahtjev osim ako ga je za to ovlastio izvoznik podataka. |
(b) |
Uvoznik podataka pomaže izvozniku podataka u ispunjavanju njegove obveze da odgovori na zahtjeve ispitanika za ostvarivanje njihovih prava na temelju Uredbe (EU) 2016/679. U tom pogledu stranke u Prilogu II., vodeći računa o prirodi obrade, utvrđuju odgovarajuće tehničke i organizacijske mjere za pružanje pomoći te opseg i razmjere potrebne pomoći. |
(c) |
Pri ispunjavanju svojih obveza iz točki (a) i (b) uvoznik podataka postupa u skladu s uputama izvoznika podataka. |
MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade
(a) |
Uvoznik podataka odmah obavješćuje izvoznika podataka i, ako je to potrebno, voditelja obrade o svakom zahtjevu koji je primio od ispitanika bez odgovaranja na taj zahtjev osim ako ga je za to ovlastio voditelj obrade. |
(b) |
Uvoznik podataka pomaže voditelju obrade, prema potrebi u suradnji s izvoznikom podataka, u ispunjavanju njegove obveze da odgovori na zahtjeve ispitanika za ostvarivanje njihovih prava na temelju Uredbe (EU) 2016/679 ili Uredbe (EU) 2018/1725, ovisno o tome koja je uredba primjenjiva. U tom pogledu stranke u Prilogu II., vodeći računa o prirodi obrade, utvrđuju odgovarajuće tehničke i organizacijske mjere za pružanje pomoći te opseg i razmjere potrebne pomoći. |
(c) |
Pri ispunjavanju svojih obveza iz točki (a) i (b) uvoznik podataka postupa u skladu s uputama voditelja obrade koje mu dostavlja izvoznik podataka. |
MODUL 4.: Prijenos od izvršitelja obrade do voditelja obrade
Stranke jedna drugoj pomažu u odgovaranju na upite i zahtjeve ispitanika u skladu s lokalnim pravom koje se primjenjuje na uvoznika podataka ili, za obradu podataka koju provodi izvoznik podataka u EU-u, u skladu s Uredbom (EU) 2016/679.
Klauzula 11.
Pravna zaštita
(a) |
Uvoznik podataka obavješćuje ispitanike o kontaktnoj točki ovlaštenoj za rješavanje pritužbi pojedinačnim obavijestima ili na svojim internetskim stranicama u transparentnom i lako dostupnom obliku. Odmah odgovara na sve pritužbe koje primi od ispitanika. [MOGUĆNOST: Uvoznik podataka suglasan je i s tim da ispitanici mogu besplatno podnijeti pritužbu neovisnom tijelu za rješavanje sporova (11). Obavješćuje ispitanike, na način utvrđen u točki (a), o tom mehanizmu pravne zaštite i o tome da ga nisu dužni iskoristiti ili pratiti određeni redoslijed pri traženju pravne zaštite.] |
MODUL 1.: Prijenos od voditelja obrade do voditelja obrade
MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade
MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade
(b) |
U slučaju spora između ispitanika i jedne od stranaka u vezi s poštovanjem ovih klauzula ta stranka nastoji sporazumno i pravodobno riješiti taj problem. Stranke se redovito međusobno obavješćuju o takvim sporovima i prema potrebi surađuju u njihovu rješavanju. |
(c) |
Ako se ispitanik pozove na pravo u korist treće strane u skladu s klauzulom 3., uvoznik podataka prihvaća odluku ispitanika:
|
(d) |
Stranke prihvaćaju da ispitanika može zastupati neprofitno tijelo, organizacija ili udruženje pod uvjetima utvrđenima u članku 80. stavku 1. Uredbe (EU) 2016/679. |
(e) |
Uvoznik podataka dužan je poštovati odluku koja je obvezujuća u skladu s primjenjivim pravom EU-a ili države članice. |
(f) |
Uvoznik podataka suglasan je s tim da izbor ispitanika neće dovesti u pitanje njegova materijalna i postupovna prava na traženje pravnih lijekova u skladu s primjenjivim zakonima. |
Klauzula 12.
Odgovornost
MODUL 1.: Prijenos od voditelja obrade do voditelja obrade
MODUL 4.: Prijenos od izvršitelja obrade do voditelja obrade
(a) |
Svaka stranka odgovorna je drugim strankama za bilo kakvu štetu koju prouzroči drugim strankama bilo kakvom povredom ovih klauzula. |
(b) |
Svaka stranka odgovorna je ispitaniku, a ispitanik ima pravo na naknadu za svaku materijalnu ili nematerijalnu štetu koju mu stranka prouzroči povredom prava u korist treće strane u okviru ovih klauzula. Time se ne dovodi u pitanje odgovornost izvoznika podataka u skladu s Uredbom (EU) 2016/679. |
(c) |
Ako je više od jedne stranke odgovorno za bilo koju štetu nanesenu ispitaniku zbog povrede ovih klauzula, sve su predmetne stranke solidarno odgovorne, a ispitanik ima pravo pokrenuti sudski postupak protiv bilo koje od tih stranaka. |
(d) |
Stranke su suglasne s tim da, ako se jedna stranka smatra odgovornom u skladu s točkom (c), ona ima pravo od drugih stranaka tražiti povrat dijela naknade koji odgovara njihovoj odgovornosti za štetu. |
(e) |
Uvoznik podataka ne može se pozvati na ponašanje izvršitelja obrade ili podizvršitelja obrade kako bi izbjegao vlastitu odgovornost. |
MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade
MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade
(a) |
Svaka stranka odgovorna je drugim strankama za bilo kakvu štetu koju prouzroči drugim strankama bilo kakvom povredom ovih klauzula. |
(b) |
Uvoznik podataka odgovoran je ispitaniku, a ispitanik ima pravo na naknadu za svaku materijalnu ili nematerijalnu štetu koju mu prouzroči uvoznik podataka ili njegov podizvršitelj obrade povredom prava u korist treće strane u okviru ovih klauzula. |
(c) |
Neovisno o točki (b) izvoznik podataka odgovoran je ispitaniku, a ispitanik ima pravo na naknadu za svaku materijalnu ili nematerijalnu štetu koju mu prouzroči izvoznik podataka ili uvoznik podataka (ili njegov podizvršitelj obrade) povredom prava u korist treće strane u okviru ovih klauzula. Time se ne dovodi u pitanje odgovornost izvoznika podataka i, ako je izvoznik podataka izvršitelj obrade koji djeluje u ime voditelja obrade, odgovornost voditelja obrade u skladu s Uredbom (EU) 2016/679 ili Uredbom (EU) 2018/1725, ovisno o tome koja je uredba primjenjiva. |
(d) |
Stranke su suglasne s tim da, ako se izvoznik podataka u skladu s točkom (c) smatra odgovornim za štetu koju je prouzročio uvoznik podataka (ili njegov podizvršitelj obrade), on ima pravo od uvoznika podataka tražiti povrat dijela naknade koji odgovara odgovornosti uvoznika podataka za štetu. |
(e) |
Ako je više od jedne stranke odgovorno za bilo koju štetu nanesenu ispitaniku zbog povrede ovih klauzula, sve su predmetne stranke solidarno odgovorne, a ispitanik ima pravo pokrenuti sudski postupak protiv bilo koje od tih stranaka. |
(f) |
Stranke su suglasne s tim da, ako se jedna stranka smatra odgovornom u skladu s točkom (e), ona ima pravo od drugih stranaka tražiti povrat dijela naknade koji odgovara njihovoj odgovornosti za štetu. |
(g) |
Uvoznik podataka ne može se pozvati na ponašanje podizvršitelja obrade kako bi izbjegao vlastitu odgovornost. |
Klauzula 13.
Nadzor
MODUL 1.: Prijenos od voditelja obrade do voditelja obrade
MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade
MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade
(a) |
[Ako izvoznik podataka ima poslovni nastan u državi članici EU-a:] Nadzorno tijelo odgovorno za osiguravanje da izvoznik podataka poštuje Uredbu (EU) 2016/679 u pogledu prijenosa podataka, kako je navedeno u Prilogu I.C., djeluje kao nadležno nadzorno tijelo. [Ako izvoznik podataka nema poslovni nastan u državi članici EU-a, ali je obuhvaćen teritorijalnim područjem primjene Uredbe (EU) 2016/679 u skladu s njezinim člankom 3. stavkom 2. i imenovao je predstavnika u skladu s člankom 27. stavkom 1. Uredbe (EU) 2016/679:] Nadzorno tijelo države članice u kojoj predstavnik u smislu članka 27. stavka 1. Uredbe (EU) 2016/679 ima poslovni nastan, kako je navedeno u Prilogu I.C., djeluje kao nadležno nadzorno tijelo. [Ako izvoznik podataka nema poslovni nastan u državi članici EU-a, ali je obuhvaćen teritorijalnim područjem primjene Uredbe (EU) 2016/679 u skladu s njezinim člankom 3. stavkom 2. a da ne mora imenovati predstavnika u skladu s člankom 27. stavkom 2. Uredbe (EU) 2016/679:] Nadzorno tijelo jedne od država članica u kojoj se nalaze ispitanici čiji se osobni podaci prenose u skladu s ovim klauzulama u vezi s nuđenjem robe ili usluga ili čije se ponašanje prati, kako je navedeno u Prilogu I.C., djeluje kao nadležno nadzorno tijelo. |
(b) |
Uvoznik podataka prihvaća nadležnost nadležnog nadzornog tijela i suglasan je surađivati s njim u svim postupcima kojima je cilj osigurati usklađenost s ovim klauzulama. Uvoznik podataka suglasan je s tim da odgovara na upite, da se podvrgava revizijama i da postupa u skladu s mjerama koje je donijelo nadzorno tijelo, uključujući korektivne i kompenzacijske mjere. Nadzornom tijelu dostavlja pisanu potvrdu o tome da su poduzete potrebne mjere. |
ODJELJAK III. – LOKALNI PROPISI I OBVEZE U SLUČAJU PRISTUPA TIJELA JAVNE VLASTI
Klauzula 14.
Lokalni propisi i prakse koji utječu na usklađenost s klauzulama
MODUL 1.: Prijenos od voditelja obrade do voditelja obrade
MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade
MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade
MODUL 4.: Prijenos od izvršitelja obrade do voditelja obrade (ako izvršitelj obrade iz EU-a kombinira osobne podatke primljene od voditelja obrade iz treće zemlje s osobnim podacima koje je izvršitelj obrade prikupio u EU-u)
(a) |
Stranke jamče da nemaju razloga vjerovati da zakoni i prakse u trećoj zemlji odredišta koji se primjenjuju na obradu osobnih podataka koju provodi uvoznik podataka, uključujući sve zahtjeve za otkrivanje osobnih podataka ili mjere kojima se odobrava pristup tijelima javne vlasti, sprečavaju uvoznika podataka u ispunjavanju njegovih obveza u skladu s ovim klauzulama. To se temelji na pretpostavci da zakoni i prakse kojima se poštuje bit temeljnih prava i sloboda i koji ne prelaze ono što je nužno i razmjerno u demokratskom društvu za zaštitu jednog od ciljeva navedenih u članku 23. stavku 1. Uredbe (EU) 2016/679 nisu u suprotnosti sa standardnim ugovornim klauzulama. |
(b) |
Stranke izjavljuju da su pri pružanju jamstva iz točke (a) posebno uzele u obzir sljedeće elemente:
|
(c) |
Uvoznik podataka jamči da je pri provedbi procjene iz točke (b) učinio sve što je u njegovoj moći kako bi izvozniku podataka dostavio relevantne informacije i suglasan je s tim da će nastaviti surađivati s izvoznikom podataka kako bi osigurao usklađenost s ovim klauzulama. |
(d) |
Stranke su suglasne s tim da će dokumentirati procjenu iz točke (b) i na zahtjev je staviti na raspolaganje nadležnom nadzornom tijelu. |
(e) |
Uvoznik podataka suglasan je s tim da će odmah obavijestiti izvoznika podataka ako, nakon što je pristao na ove klauzule i za vrijeme trajanja ugovora ima razloga vjerovati da se na njega primjenjuju ili su se počeli primjenjivati zakoni ili prakse koji nisu u skladu sa zahtjevima iz točke (a), među ostalim zbog promjene zakona treće zemlje ili mjere (kao što je zahtjev za otkrivanje) koja podrazumijeva primjenu takvih zakona u praksi koja nije u skladu sa zahtjevima iz točke (a). [Za modul 3.: Izvoznik podataka prosljeđuje obavijest voditelju obrade.] |
(f) |
Ako primi obavijest u skladu s točkom (e) ili ima drugog razloga vjerovati da uvoznik podataka više ne može ispunjavati svoje obveze u skladu s ovim klauzulama, izvoznik podataka odmah utvrđuje odgovarajuće mjere (na primjer tehničke ili organizacijske mjere za osiguravanje sigurnosti i povjerljivosti) koje izvoznik podataka i/ili uvoznik podataka treba donijeti za rješavanje tog problema [za modul 3.:, prema potrebi uz savjetovanje s voditeljem obrade]. Izvoznik podataka obustavlja prijenos podataka ako smatra da nije moguće osigurati odgovarajuće zaštitne mjere za takav prijenos ili ako to zatraži [za modul 3.: voditelj obrade ili] nadležno nadzorno tijelo. U tom slučaju izvoznik podataka ima pravo raskinuti ugovor ako se odnosi na obradu osobnih podataka u skladu s ovim klauzulama. Ako u ugovoru sudjeluje više od dvije stranke, izvoznik podataka može iskoristiti to pravo na raskid samo u odnosu na relevantnu stranku, osim ako su se stranke drukčije dogovorile. Kad se ugovor raskine u skladu s ovom klauzulom, primjenjuje se klauzula 16. točke (d) i (e). |
Klauzula 15.
Obveze uvoznika podataka u slučaju pristupa tijela javne vlasti
MODUL 1.: Prijenos od voditelja obrade do voditelja obrade
MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade
MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade
MODUL 4.: Prijenos od izvršitelja obrade do voditelja obrade (ako izvršitelj obrade iz EU-a kombinira osobne podatke primljene od voditelja obrade iz treće zemlje s osobnim podacima koje je izvršitelj obrade prikupio u EU-u)
15.1. Obavijest
(a) |
Uvoznik podataka suglasan je s tim da će odmah obavijestiti izvoznika podataka i, ako je moguće, ispitanika (ako je potrebno uz pomoć izvoznika podataka):
[Za modul 3.: Izvoznik podataka prosljeđuje obavijest voditelju obrade.] |
(b) |
Ako je uvozniku podataka u skladu sa zakonima zemlje odredišta zabranjeno obavijestiti izvoznika podataka i/ili ispitanika, uvoznik podataka suglasan je s tim da će učiniti sve što je u njegovoj moći da dobije izuzeće od zabrane kako bi što prije dostavio što više informacija. Uvoznik podataka suglasan je s tim da će dokumentirati taj proces kako bi ga mogao dokazati na zahtjev izvoznika podataka. |
(c) |
Ako je to dopušteno zakonima zemlje odredišta, uvoznik podataka suglasan je s tim da će izvozniku podataka za vrijeme trajanja ugovora u redovitim vremenskim razmacima dostavljati najveću moguću količinu relevantnih informacija o primljenim zahtjevima (osobito broj zahtjeva, vrstu traženih podataka, tijelo ili tijela koja su podnijela zahtjev, jesu li zahtjevi osporavani i ishod takvih osporavanja itd.). [Za modul 3.: Izvoznik podataka prosljeđuje informacije voditelju obrade.] |
(d) |
Uvoznik podataka suglasan je s tim da će za vrijeme trajanja ugovora čuvati informacije u skladu s točkama od (a) do (c) i na zahtjev ih staviti na raspolaganje nadležnom nadzornom tijelu. |
(e) |
Točkama od (a) do (c) ne dovodi se u pitanje obveza uvoznika podataka u skladu s klauzulom 14. točkom (e) i klauzulom 16. da odmah obavijesti izvoznika podataka ako ne može poštovati ove klauzule. |
15.2. Preispitivanje zakonitosti i smanjenje količine podataka
(a) |
Uvoznik podataka suglasan je preispitati zakonitost zahtjeva za otkrivanje, a posebno je li on obuhvaćen ovlastima tijela javne vlasti koje je podnijelo zahtjev, te osporiti zahtjev ako nakon pažljive procjene zaključi da postoje opravdani razlozi na temelju kojih se može smatrati da je zahtjev u suprotnosti sa zakonima zemlje odredišta, primjenjivim obvezama u skladu s međunarodnim pravom i načelima međunarodne kurtoazije. Uvoznik podataka pod istim uvjetima iskorištava mogućnosti žalbe. Pri osporavanju zahtjeva uvoznik podataka traži privremene mjere kako bi se odgodili učinci zahtjeva dok nadležno pravosudno tijelo ne odluči o njegovoj osnovanosti. Ne otkriva tražene osobne podatke sve dok se to ne zahtijeva na temelju primjenjivih postupovnih pravila. Ti zahtjevi ne dovode u pitanje obveze uvoznika podataka u skladu s klauzulom 14. točkom (e). |
(b) |
Uvoznik podataka suglasan je s tim da će dokumentirati svoju pravnu ocjenu i svako osporavanje zahtjeva za otkrivanje te tu dokumentaciju staviti na raspolaganje izvozniku podataka ako je to dopušteno zakonima zemlje odredišta. Tu dokumentaciju na zahtjev stavlja na raspolaganje i nadležnom nadzornom tijelu. [Za modul 3.: Izvoznik podataka stavlja ocjenu na raspolaganje voditelju obrade.] |
(c) |
Uvoznik podataka suglasan je s tim da će pružiti najmanju dopuštenu količinu informacija pri odgovaranju na zahtjev za otkrivanje na temelju razumnog tumačenja zahtjeva. |
ODJELJAK IV. – ZAVRŠNE ODREDBE
Klauzula 16.
Neusklađenost s klauzulama i raskid
(a) |
Uvoznik podataka odmah obavješćuje izvoznika podataka ako zbog bilo kojeg razloga ne može poštovati klauzule. |
(b) |
U slučaju da je uvoznik podataka prekršio ove klauzule ili ih ne može poštovati, izvoznik podataka obustavlja prijenos osobnih podataka uvozniku podataka dok se ponovno ne osigura poštovanje klauzula ili dok se ugovor ne raskine. To ne dovodi u pitanje klauzulu 14. točku (f). |
(c) |
Izvoznik podataka ima pravo raskinuti ugovor u dijelu koji se odnosi na obradu osobnih podataka u skladu s ovim klauzulama:
U tim slučajevima obavješćuje nadležno nadzorno tijelo [za modul 3.: i voditelja obrade] o takvoj neusklađenosti. Ako u ugovoru sudjeluje više od dvije stranke, izvoznik podataka može iskoristiti to pravo na raskid samo u odnosu na relevantnu stranku, osim ako su se stranke drukčije dogovorile. |
(d) |
[Za module 1., 2. i 3.: Osobni podaci koji su preneseni prije raskida ugovora u skladu s točkom (c) ovisno o odluci izvoznika podataka odmah se vraćaju izvozniku podataka ili u cijelosti brišu. Isto se primjenjuje na sve kopije podataka.] [Za modul 4.: Osobni podaci koje je izvoznik podataka prikupio u EU-u i koji su preneseni prije raskida ugovora u skladu s točkom (c) odmah se u cijelosti brišu zajedno sa svim njihovim kopijama.] Uvoznik podataka izvozniku podataka potvrđuje da su podaci izbrisani. Dok se podaci ne izbrišu ili ne vrate, uvoznik podataka nastavlja osiguravati usklađenost s ovim klauzulama. Kad se na uvoznika podataka primjenjuju lokalni propisi kojima se zabranjuje vraćanje ili brisanje prenesenih osobnih podataka, uvoznik podataka jamči da će nastaviti osiguravati usklađenost s ovim klauzulama i da će obrađivati podatke samo u mjeri i trajanju koji su u skladu s tim lokalnim zakonodavstvom. |
(e) |
Svaka stranka može povući svoju suglasnost s tim da bude obvezana ovim klauzulama ako i. Europska komisija donese odluku u skladu s člankom 45. stavkom 3. Uredbe (EU) 2016/679 koja obuhvaća prijenos osobnih podataka na koji se ove klauzule primjenjuju; ili ii. Uredba (EU) 2016/679 postane dio pravnog okvira zemlje u koju se osobni podaci prenose. Time se ne dovode u pitanje druge obveze koje se odnose na predmetnu obradu u skladu s Uredbom (EU) 2016/679. |
Klauzula 17.
Mjerodavno pravo
MODUL 1.: Prijenos od voditelja obrade do voditelja obrade
MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade
MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade
[MOGUĆNOST 1.: Ove su klauzule uređene pravom jedne od država članica EU-a pod uvjetom da se tim pravom omogućuju prava u korist treće strane. Stranke su suglasne da je to pravo _______ (navesti državu članicu).]
[MOGUĆNOST 2. (za modul 2. i modul 3.): Ove su klauzule uređene pravom države članice EU-a u kojoj izvoznik podataka ima poslovni nastan. Ako se tim pravom ne omogućuju prava u korist treće strane, klauzule se uređuju pravom druge države članice EU-a koje omogućuje prava u korist treće strane. Stranke su suglasne da je to pravo _______ (navesti državu članicu).]
MODUL 4.: Prijenos od izvršitelja obrade do voditelja obrade
Ove su klauzule uređene pravom zemlje koja omogućuje prava u korist treće strane. Stranke su suglasne da je to pravo _______ (navesti zemlju).
Klauzula 18.
Odabir suda i nadležnosti
MODUL 1.: Prijenos od voditelja obrade do voditelja obrade
MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade
MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade
(a) |
Sve sporove koji proizlaze iz ovih klauzula rješavaju sudovi države članice EU-a. |
(b) |
Stranke su suglasne da su to sudovi _______ (navesti državu članicu). |
(c) |
Ispitanik može i pokrenuti sudski postupak protiv izvoznika podataka i/ili uvoznika podataka pred sudovima države članice u kojoj ispitanik ima uobičajeno boravište. |
(d) |
Stranke prihvaćaju nadležnost tih sudova. |
MODUL 4.: Prijenos od izvršitelja obrade do voditelja obrade
|
Sve sporove koji proizlaze iz ovih klauzula rješavaju sudovi _____ (navesti zemlju). |
(1) Ako je izvoznik podataka izvršitelj obrade na kojeg se primjenjuje Uredba (EU) 2016/679 i koji djeluje u ime institucije ili tijela Unije kao voditelj obrade, oslanjanjem na ove klauzule pri angažiranju drugog izvršitelja obrade (podobrada) na kojeg se ne primjenjuje Uredba (EU) 2016/679 osigurava se i poštovanje članka 29. stavka 4. Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (SL L 295, 21.11.2018., str. 39.) u mjeri u kojoj su usklađene ove klauzule i obveze zaštite podataka utvrđene u ugovoru ili drugom pravnom aktu između voditelja obrade i izvršitelja obrade u skladu s člankom 29. stavkom 3. Uredbe (EU) 2018/1725. To će posebno biti slučaj kad se voditelj obrade i izvršitelj obrade oslanjaju na standardne ugovorne klauzule iz Odluke 2021/915.
(2) Za to je potrebno anonimizirati podatke tako da nitko više ne može utvrditi identitet pojedinca u skladu s uvodnom izjavom 26. Uredbe (EU) 2016/679.
(3) U Sporazumu o Europskom gospodarskom prostoru (Sporazum o EGP-u) predviđeno je proširenje unutarnjeg tržišta Europske unije na tri države EGP-a: Island, Lihtenštajn i Norvešku. Zakonodavstvo Unije o zaštiti podataka, uključujući Uredbu (EU) 2016/679, obuhvaćeno je Sporazumom o EGP-u i uključeno u Prilog XI. tom sporazumu. Stoga se bilo kakvo otkrivanje uvoznika podataka trećoj strani koja se nalazi u EGP-u ne smatra daljnjim prijenosom za potrebe ovih klauzula.
(4) U Sporazumu o Europskom gospodarskom prostoru (Sporazum o EGP-u) predviđeno je proširenje unutarnjeg tržišta Europske unije na tri države EGP-a: Island, Lihtenštajn i Norvešku. Zakonodavstvo Unije o zaštiti podataka, uključujući Uredbu (EU) 2016/679, obuhvaćeno je Sporazumom o EGP-u i uključeno u Prilog XI. tom sporazumu. Stoga se bilo kakvo otkrivanje uvoznika podataka trećoj strani koja se nalazi u EGP-u ne smatra daljnjim prijenosom za potrebe ovih klauzula.
(5) Vidjeti članak 28. stavak 4. Uredbe (EU) 2016/679 i, ako je voditelj obrade institucija ili tijelo EU-a, članak 29. stavak 4. Uredbe (EU) 2018/1725.
(6) U Sporazumu o Europskom gospodarskom prostoru (Sporazum o EGP-u) predviđeno je proširenje unutarnjeg tržišta Europske unije na tri države EGP-a: Island, Lihtenštajn i Norvešku. Zakonodavstvo Unije o zaštiti podataka, uključujući Uredbu (EU) 2016/679, obuhvaćeno je Sporazumom o EGP-u i uključeno u Prilog XI. tom sporazumu. Stoga se bilo kakvo otkrivanje uvoznika podataka trećoj strani koja se nalazi u EGP-u ne smatra daljnjim prijenosom za potrebe ovih klauzula.
(7) To uključuje i procjenu obuhvaćaju li prijenos li daljnja obrada osobne podatke koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu, genetske podatke ili biometrijske podatke u svrhu jedinstvene identifikacije pojedinca, podatke koji se odnose na zdravlje, spolni život ili spolnu orijentaciju osobe ili podatke koji se odnose na osuđujuće presude ili kaznena djela.
(8) Ovaj zahtjev može ispuniti podizvršitelj obrade koji pristupa ovim klauzulama prema odgovarajućem modulu, u skladu s klauzulom 7.
(9) Ovaj zahtjev može ispuniti podizvršitelj obrade koji pristupa ovim klauzulama prema odgovarajućem modulu, u skladu s klauzulom 7.
(10) Taj se rok može produljiti za najviše dva dodatna mjeseca ako je to potrebno s obzirom na složenost i broj zahtjeva. Uvoznik podataka propisno i bez odgode obavješćuje ispitanika o svakom takvom produljenju.
(11) Uvoznik podataka može ponuditi neovisno rješavanje sporova pred arbitražnim sudom samo ako ima poslovni nastan u zemlji koja je ratificirala Njujoršku konvenciju o priznanju i izvršenju inozemnih arbitražnih odluka.
(12) Kad je riječ o učinku takvih zakona i praksi na usklađenost s ovim klauzulama, u okviru ukupne procjene mogu se razmatrati različiti elementi. Ti elementi mogu uključivati relevantno i zabilježeno praktično iskustvo s prethodnim zahtjevima tijela javne vlasti za otkrivanje ili izostankom takvih zahtjeva u dovoljno reprezentativnom vremenskom okviru. To se posebno odnosi na internu evidenciju ili drugu dokumentaciju koja se kontinuirano izrađuje s dužnom pažnjom i potvrđuje na razini višeg rukovodstva, pod uvjetom da se te informacije mogu zakonito dijeliti s trećim stranama. Ako se na temelju tog praktičnog iskustva zaključi da uvozniku podataka neće biti onemogućeno usklađivanje s ovim klauzulama, to je potrebno potkrijepiti drugim relevantnim i objektivnim elementima, a stranke trebaju pažljivo razmotriti jesu li ti elementi zajedno dovoljno pouzdani i reprezentativni da bi potkrijepili taj zaključak. Stranke posebno moraju uzeti u obzir je li njihovo praktično iskustvo potkrijepljeno i u skladu s javno ili na drugi način dostupnim pouzdanim informacijama o postojanju ili nepostojanju zahtjeva unutar istog sektora i/ili primjenom zakona u praksi, kao što su sudska praksa i izvješća neovisnih nadzornih tijela.
DODATAK
OBJAŠNJENJE:
Mora biti moguće jasno razlikovati informacije koje se primjenjuju na svaki prijenos ili kategoriju prijenosa i u tom pogledu utvrditi odgovarajuće uloge stranaka kao izvoznika podataka i/ili uvoznika podataka. Za to nije nužno popuniti i potpisati zasebne dodatke za svaki prijenos/kategoriju prijenosa i/ili ugovorni odnos ako se ta transparentnost može postići jednim dodatkom. No ako je to potrebno da bi se osigurala dostatna jasnoća, trebalo bi primjenjivati zasebne dodatke.
PRILOG I.
A POPIS STRANAKA
MODUL 1.: Prijenos od voditelja obrade do voditelja obrade
MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade
MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade
MODUL 4.: Prijenos od izvršitelja obrade do voditelja obrade
Izvoznik/izvoznici podataka: [Identitet i podaci za kontakt izvoznika podataka i, ako je primjenjivo, njegova službenika za zaštitu podataka i/ili predstavnika izvoznika podataka u Europskoj uniji]
1. |
Ime: …
Adresa: … Ime, položaj i kontaktni podaci osobe za kontakt: … Aktivnosti koje su relevantne za podatke prenesene u skladu s ovim klauzulama: … Potpis i datum: … Uloga (voditelj obrade/izvršitelj obrade): … |
2. |
… |
Uvoznik/uvoznici podataka: [Identitet i podaci za kontakt uvoznika podataka, uključujući sve osobe za kontakt odgovorne za zaštitu podataka]
1. |
Ime: …
Adresa: … Ime, položaj i kontaktni podaci osobe za kontakt: … Aktivnosti koje su relevantne za podatke prenesene u skladu s ovim klauzulama: … Potpis i datum: … Uloga (voditelj obrade/izvršitelj obrade): … |
2. |
… |
B OPIS PRIJENOSA
MODUL 1.: Prijenos od voditelja obrade do voditelja obrade
MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade
MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade
MODUL 4.: Prijenos od izvršitelja obrade do voditelja obrade
Kategorije ispitanika čiji se osobni podaci prenose
….
Kategorije osobnih podataka koji se prenose
…
Osjetljivi podaci koji se prenose (ako je primjenjivo) i primijenjena ograničenja ili zaštitne mjere kojima se u potpunosti uzimaju u obzir priroda podataka i povezani rizici, kao što su stroga ograničenja svrhe, ograničenja pristupa (uključujući pristup samo za osoblje koje je prošlo posebno osposobljavanje), vođenje evidencije o pristupu podacima, ograničenja za daljnje prijenose ili dodatne sigurnosne mjere.
….
Učestalost prijenosa (npr. prenose li se podaci jednokratno ili kontinuirano)
…
Priroda obrade
…
Svrha/svrhe prijenosa podataka i daljnje obrade
….
Razdoblje u kojem će se osobni podaci čuvati ili, ako to nije moguće, kriteriji na temelju kojih se utvrđuje to razdoblje
…
Za prijenose (pod)izvršiteljima obrade isto tako navesti predmet, prirodu i trajanje obrade
…
C NADLEŽNO NADZORNO TIJELO
MODUL 1.: Prijenos od voditelja obrade do voditelja obrade
MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade
MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade
Navesti nadležna nadzorna tijela u skladu s klauzulom 13.
…
PRILOG II.
TEHNIČKE I ORGANIZACIJSKE MJERE, UKLJUČUJUĆI TEHNIČKE I ORGANIZACIJSKE MJERE ZA JAMČENJE SIGURNOSTI PODATAKA
MODUL 1.: Prijenos od voditelja obrade do voditelja obrade
MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade
MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade
OBJAŠNJENJE:
Tehničke i organizacijske mjere moraju biti opisane na konkretan (a ne na općenit) način. Vidjeti i opću napomenu na prvoj stranici Dodatka, a posebno dio o potrebi za jasnim navođenjem mjera koje se primjenjuju na svaki prijenos/skup prijenosa.
Opis tehničkih i organizacijskih mjera koje provode uvoznici podataka (uključujući sve relevantne certifikate) kako bi se zajamčila odgovarajuća razina sigurnosti, vodeći računa o prirodi, opsegu, kontekstu i svrsi obrade te riziku za prava i slobode pojedinaca.
[Primjeri mogućih mjera:
Mjere pseudonimizacije i enkripcije osobnih podataka
Mjere za osiguravanje trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade
Mjere za osiguravanje sposobnosti pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta
Procesi za redovito testiranje, procjenu i evaluaciju učinkovitosti tehničkih i organizacijskih mjera kako bi se zajamčila sigurnost obrade
Mjere za identifikaciju i odobrenje korisnika
Mjere za zaštitu podataka pri prijenosu
Mjere za zaštitu podataka pri pohrani
Mjere za jamčenje fizičke sigurnosti lokacija na kojima se obrađuju osobni podaci
Mjere za osiguravanje bilježenja događaja
Mjere za osiguravanje konfiguracije sustava, uključujući zadanu konfiguraciju
Mjere za unutarnje upravljanje informacijskim tehnologijama i njihovom sigurnošću
Mjere za certificiranje/osiguravanje postupaka i proizvoda
Mjere za osiguravanje smanjenja količine podataka
Mjere za osiguravanje kvalitete podataka
Mjere za osiguravanje ograničenog zadržavanja podataka
Mjere za osiguravanje odgovornosti
Mjere kojima se omogućuje prenosivost podataka i osigurava brisanje podataka]
Za prijenose (pod)izvršiteljima obrade opisati i posebne tehničke i organizacijske mjere koje (pod)izvršitelj obrade treba poduzeti kako bi mogao pružiti pomoć voditelju obrade i, u slučaju prijenosa s izvršitelja na podizvršitelja obrade, izvozniku podataka
PRILOG III.
POPIS PODIZVRŠITELJA OBRADE
MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade
MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade
OBJAŠNJENJE:
Ovaj Prilog mora se popuniti za modul 2. i modul 3. u slučaju posebnog odobrenja podizvršitelja obrade (klauzula 9. točka (a), mogućnost 1.).
Voditelj obrade odobrio je angažiranje sljedećih podizvršitelja obrade:
1. |
Ime: …
Adresa: … Ime, položaj i kontaktni podaci osobe za kontakt: … Opis obrade (uključujući jasno razgraničenje odgovornosti ako je odobreno nekoliko podizvršitelja obrade): … |
2. |
… |