7.6.2021   

LV

Eiropas Savienības Oficiālais Vēstnesis

L 199/31


KOMISIJAS ĪSTENOŠANAS LĒMUMS (ES) 2021/914

(2021. gada 4. jūnijs)

par līguma standartklauzulām attiecībā uz personas datu nosūtīšanu trešām valstīm saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2016/679

(Dokuments attiecas uz EEZ)

EIROPAS KOMISIJA,

ņemot vērā Līgumu par Eiropas Savienības darbību,

ņemot vērā Eiropas Parlamenta un Padomes Regulu (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (1), un jo īpaši tās 28. panta 7. punktu un 46. panta 2. punkta c) apakšpunktu,

tā kā:

(1)

Tehnoloģiju attīstība veicina pārrobežu datu plūsmas, kas vajadzīgas starptautiskās sadarbības un starptautiskās tirdzniecības paplašināšanai. Tajā pašā laikā ir jānodrošina, lai netiktu ietekmēts fizisku personu aizsardzības līmenis, kādu garantē Regula (ES) 2016/679, ja personas dati tiek nosūtīti trešām valstīm, tostarp tālākas nosūtīšanas gadījumos (2). Regulas (ES) 2016/679 V nodaļas noteikumu par datu nosūtīšanu mērķis ir nodrošināt personas datu nepārtrauktu augsta līmeņa aizsardzību gadījumos, ja dati tiek nosūtīti trešām valstīm (3).

(2)

Saskaņā ar Regulas (ES) 2016/679 46. panta 1. punktu, ja nav pieņemts Komisijas lēmums par aizsardzības līmeņa pietiekamību saskaņā ar 45. panta 3. punktu, pārzinis vai apstrādātājs var nosūtīt personas datus uz trešo valsti tikai tad, ja tas ir sniedzis atbilstošas garantijas, un ar nosacījumu, ka datu subjektiem ir pieejamas īstenojamas tiesības un efektīvi tiesiskās aizsardzības līdzekļi. Šādas garantijas var nodrošināt standarta datu aizsardzības klauzulas, ko pieņēmusi Komisija saskaņā ar 46. panta 2. punkta c) apakšpunktu.

(3)

Līguma standartklauzulas ir paredzētas tikai, lai nodrošinātu atbilstošas datu aizsardzības garantijas starptautiskai datu nosūtīšanai. Tādēļ pārzinis vai apstrādātājs, kas nosūta personas datus trešām valstīm (“datu nosūtītājs”), un pārzinis vai apstrādātājs, kas saņem personas datus (“datu saņēmējs”), drīkst brīvi iekļaut šīs līguma standartklauzulas plašākā līgumā un pievienot citas klauzulas vai papildu garantijas, ja tās tieši vai netieši nav pretrunā līguma standartklauzulām vai neierobežo datu subjekta pamattiesības vai brīvības. Pārziņi un apstrādātāji tiek mudināti nodrošināt papildu garantijas, izmantojot līgumsaistības, ar kurām papildina līguma standartklauzulas (4). Līguma standartklauzulu izmantošana neskar datu nosūtītāja un/vai saņēmēja jebkuras līgumsaistības nodrošināt piemērojamo privilēģiju un imunitātes ievērošanu.

(4)

Papildus līguma standartklauzulu izmantošanai, lai nodrošinātu atbilstošas garantijas datu nosūtīšanai saskaņā ar Regulas (ES) 2016/679 46. panta 1. punktu, datu nosūtītājam ir jāizpilda pārziņa vai apstrādātāja vispārīgie pienākumi saskaņā ar Regulu (ES) 2016/679. Minētie pienākumi cita starpā ir pārziņa pienākums sniegt datu subjektiem informāciju par to, ka pārzinis paredz nosūtīt to personas datus uz trešo valsti saskaņā ar Regulas (ES) 2016/679 13. panta 1. punkta f) apakšpunktu un 14. panta 1. punkta f) apakšpunktu. Tādas nosūtīšanas gadījumā, kas atbilst Regulas (ES) 2016/679 46. pantam, šādai informācijai jāietver atsauce uz atbilstošām garantijām un informācija par to, kā saņemt garantiju kopiju, vai to, kur tās ir darītas pieejamas.

(5)

Komisijas Lēmumā 2001/497/EK (5) un Lēmumā 2010/87/ES (6) ir ietvertas līguma standartklauzulas, lai veicinātu personas datu nosūtīšanu no Savienībā iedibināta datu pārziņa tādam pārzinim vai apstrādātājam, kas iedibināts trešā valstī, kura nenodrošina pietiekamu aizsardzības līmeni. Minēto lēmumu pamatā bija Eiropas Parlamenta un Padomes Direktīva 95/46/EK (7).

(6)

Saskaņā ar Regulas (ES) 2016/679 46. panta 5. punktu Lēmums 2001/497/EK un Lēmums 2010/87/ES ir spēkā, kamēr tās vajadzības gadījumā netiek grozītas, aizstātas vai atceltas ar Komisijas lēmumu, kas pieņemts saskaņā ar minētās regulas 46. panta 2. punktu. Lēmumos paredzētās līguma standartklauzulas bija jāatjaunina, ņemot vērā Regulas (ES) 2016/679 jaunās prasības. Turklāt kopš lēmumu pieņemšanas ir notikušas būtiskas izmaiņas digitālās ekonomikas jomā līdz ar tādu jaunu un sarežģītākas apstrādes darbību plašāku izmantošanu, kurās bieži vien piedalās vairāki datu saņēmēji un nosūtītāji, garu un sarežģītu ražošanas ķēžu izmantošanu un izmaiņām darījumdarbības attiecībās. Tādēļ nepieciešams modernizēt līguma standartklauzulas, lai tās labāk atbilstu faktiskajai situācijai, ņemot vērā papildu apstrādi un nosūtīšanas gadījumus, un lai ļautu izmantot elastīgāku pieeju, piemēram, attiecībā uz pušu skaitu, kuras var pievienoties līgumam.

(7)

Pārzinis vai apstrādātājs var izmantot līguma standartklauzulas, kas paredzētas šā lēmuma pielikumā, lai nodrošinātu atbilstošas garantijas Regulas (ES) 2016/679 46. panta 1. punkta izpratnē attiecībā uz personas datu nosūtīšanu trešā valstī iedibinātam apstrādātājam vai pārzinim, neskarot starptautiskās nosūtīšanas jēdziena interpretāciju saskaņā ar Regulu (ES) 2016/679. Līguma standartklauzulas var izmantot attiecībā uz šādu nosūtīšanu, tikai ciktāl saņēmēja veiktā apstrāde neietilpst Regulas (ES) 2016/679 piemērošanas jomā. Tas ietver arī personas datu nodošanu, kuru īsteno pārzinis vai apstrādātājs, kas nav iedibināts Savienībā, ciktāl apstrādei piemēro Regulu (ES) 2016/679 saskaņā ar tās 3. panta 2. punktu, jo tā ir saistīta ar preču un pakalpojumu piedāvāšanu datu subjektiem Savienībā vai to uzvedības novērošanu, ciktāl tā notiek Savienībā.

(8)

Ņemot vērā Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 un Regulas (ES) 2018/1725 vispārējo saskaņotību (8), līguma standartklauzulas jābūt iespējams izmantot arī tāda līguma kontekstā, kas minēts Regulas (ES) 2018/1725 29. panta 4. punktā, attiecībā uz tādu personas datu nosūtīšanu apakšapstrādātājam trešā valstī, ko īsteno apstrādātājs, kurš nav Savienības iestāde vai struktūra, bet uz kuru attiecas Regula (ES) 2016/679, un kurš apstrādā personas datus Savienības iestādes vai struktūras vārdā saskaņā ar Regulas (ES) 2018/1725 29. pantu. Ja šajā līgumā ir paredzēti tādi paši datu aizsardzības pienākumi, kas noteikti līgumā vai citā juridiskā dokumentā starp pārzini un apstrādātāju saskaņā ar Regulas (ES) 2018/1725 29. panta 3. punktu, jo īpaši sniedzot pietiekamas garantijas tehniskajiem un organizatoriskajiem pasākumiem, lai nodrošinātu, ka apstrāde atbilst regulas prasībām, tiek nodrošināta atbilstība Regulas (ES) 2018/1725 29. panta 4. punktam. Tas jo īpaši attieksies uz gadījumiem, kad pārzinis un apstrādātājs izmanto līguma standartklauzulas Komisijas Īstenošanas lēmumā par līguma standartklauzulām starp pārziņiem un apstrādātājiem saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 28. panta 7. punktu un Eiropas Parlamenta un Padomes Regulas (ES) 2018/1725 29. panta 7. punktu (9).

(9)

Ja apstrāde ietver datu nosūtīšanu no pārziņiem, uz kuriem attiecas Regula (ES) 2016/679, tādiem apstrādātājiem, kuri ir ārpus tās teritoriālās piemērošanas jomas, vai no apstrādātājiem, uz kuriem attiecas Regula (ES) 2016/679, tādiem apakšapstrādātājiem, kuri ir ārpus tās teritoriālās piemērošanas jomas, šā lēmuma pielikumā izklāstītajām līguma standartklauzulām arī būtu jāsniedz iespēja izpildīt Regulas (ES) 2016/679 28. panta 3. un 4. punkta prasības.

(10)

Šā lēmuma pielikumā izklāstītajās līguma standartklauzulās ir apvienoti vispārīgi noteikumi ar moduļveida pieeju, lai ņemtu vērā dažādus nosūtīšanas scenārijus un mūsdienu ražošanas ķēžu sarežģītību. Papildus vispārīgajiem noteikumiem pārziņiem un apstrādātājiem būtu jāizvēlas konkrētajai situācijai piemērots modulis, lai pielāgotu to saistības, kas paredzētas līguma standartklauzulās, to lomai un pienākumiem saistībā ar attiecīgo datu apstrādi. Ir jābūt iespējai ievērot līguma standartklauzulas vairāk nekā divām pusēm. Turklāt papildu pārziņiem un apstrādātājiem būtu jāļauj pievienoties līguma standartklauzulām kā datu nosūtītājiem vai saņēmējiem visā tāda līguma darbības cikla laikā, kurā tās ietilpst.

(11)

Lai sniegtu atbilstošas garantijas, līguma standartklauzulām būtu jānodrošina, ka personas datiem, kuri nosūtīti uz attiecīgā pamata, tiek nodrošināts aizsardzības līmenis, kurš pēc būtības ir līdzvērtīgs Savienībā garantētajam līmenim (10). Lai nodrošinātu apstrādes pārredzamību, datu subjektiem būtu jāsaņem līguma standartklauzulu kopija un tie jo īpaši būtu jāinformē par apstrādāto personas datu kategorijām, tiesībām iegūt līguma standartklauzulu kopiju un par jebkādu tālāku nosūtīšanu. Datu saņēmēja īstenota tālāka nosūtīšana trešai personai citā trešā valstī būtu jāatļauj tikai tad, ja šāda trešā persona pievienojas līguma standartklauzulām, ja tiek citā veidā nodrošināta nepārtraukta aizsardzība vai konkrētos gadījumos, piemēram, pamatojoties uz datu subjekta tiešu, informētu piekrišanu.

(12)

Izņemot dažus gadījumus, jo īpaši saistībā ar konkrētiem pienākumiem, kuri attiecas tikai uz attiecībām starp datu nosūtītāju un datu saņēmēju, datu subjektiem vajadzētu būt iespējai atsaukties uz līguma standartklauzulām un nepieciešamības gadījumā īstenot tās kā ieinteresētajai trešai personai. Tādēļ, lai gan pusēm būtu jāsniedz iespēja izvēlēties kādas dalībvalsts tiesību aktus, kas regulē līguma standartklauzulas, šādos tiesību aktos jābūt paredzētām ieinteresēto trešo personu tiesībām. Lai veicinātu individuālu tiesisko aizsardzību, līguma standartklauzulās būtu jāparedz prasība datu saņēmējam informēt datu subjektus par kontaktpunktu un ātri izskatīt jebkādas sūdzības vai pieprasījumus. Strīda gadījumā starp datu saņēmēju un datu subjektu, kas atsaucas uz savām ieinteresētās trešās personas tiesībām, datu subjektam būtu jābūt iespējai iesniegt sūdzību kompetentai uzraudzības iestādei vai lūgt, lai strīdu izskata kompetentās tiesas Eiropas Savienībā.

(13)

Lai nodrošinātu efektīvu izpildi, datu saņēmējam būtu jāpakļaujas šādas iestādes un tiesu jurisdikcijai un jāapņemas ievērot jebkādus saistošus lēmumus saskaņā ar piemērojamiem dalībvalsts tiesību aktiem. Konkrētāk, datu saņēmējam jāpiekrīt atbildēt uz jautājumiem, atļaut veikt revīzijas un ievērot uzraudzības iestādes pieņemtos pasākumus, tostarp korektīvos un kompensējošos pasākumus. Turklāt datu saņēmējam jābūt izvēles iespējai piedāvāt datu subjektiem iespēju bez maksas vērsties pēc palīdzības neatkarīgā strīdu izšķiršanas struktūrā. Saskaņā ar Regulas (ES) 2016/679 80. panta 1. punktu asociācijām vai citām institūcijām jāļauj pārstāvēt datu subjektus, ja tie to vēlas, strīdos pret datu saņēmēju.

(14)

Līguma standartklauzulās jābūt paredzētiem noteikumiem par pušu atbildību attiecībā uz datu subjektiem, kā arī noteikumiem par savstarpējām kompensācijām starp pusēm. Ja līguma standartklauzulās paredzēto ieinteresēto trešo personu tiesību jebkāda pārkāpuma rezultātā datu subjektam ir nodarīts materiāls vai nemateriāls kaitējums, tam ir tiesības saņemt kompensāciju.- Tas neskar Regulā (ES) 2016/679 paredzēto atbildību.

(15)

Ja dati tiek nosūtīti datu saņēmējam, kas rīkojas kā apstrādātājs vai apakšapstrādātājs, ir jāpiemēro īpašas prasības saskaņā ar Regulas (ES) 2016/679 28. panta 3. punktu. Līguma standartklauzulās būtu jāparedz prasība datu saņēmējam darīt pieejamu visu informāciju, kas nepieciešama, lai apliecinātu atbilstību klauzulās noteiktajiem pienākumiem un sniegtu iespēju, kā arī palīdzētu datu nosūtītājam īstenot datu saņēmēja apstrādes darbību pārbaudi. Attiecībā uz jebkādu apakšapstrādātāju piesaistīšanu, ko veic datu saņēmējs, saskaņā ar Regulas (ES) 2016/679 28. panta 2. un 4. punktu, līguma standartklauzulās jo īpaši jāparedz procedūra vispārējas vai konkrētas atļaujas saņemšanai no datu nosūtītāja, kā arī prasība par rakstisku līgumu ar apakšapstrādātāju, nodrošinot tādu pašu aizsardzības līmeni kā attiecīgās klauzulas.

(16)

Ir lietderīgi līguma standartklauzulās paredzēt dažādas tādas garantijas, kuras attiecas uz konkrētu gadījumu, kad personas datu nosūtīšanu veic apstrādātājs Savienībā pārzinim trešā valstī, un kuras atspoguļo ierobežotos patstāvīgos apstrādātāju pienākumus saskaņā ar Regulu (ES) 2016/679. Konkrētāk, līguma standartklauzulās būtu jāparedz prasība informēt pārzini, ja tas nevar ievērot norādījumus, tostarp gadījumā, ja ar šādiem norādījumiem tiktu pārkāptas Savienības datu aizsardzības tiesības, un prasība pārziņiem neveikt nekādas darbības, kuras liegtu apstrādātājam īstenot Regulā (ES) 2016/679 paredzētos pienākumus. Tajās arī būtu jāparedz prasība pusēm sniegt savstarpēju palīdzību, atbildot uz datu subjektu jautājumiem un pieprasījumiem, saskaņā ar vietējiem tiesību aktiem, kas attiecas uz datu saņēmēju, vai – ja tiek veikta datu apstrāde Savienībā – saskaņā ar Regulu (ES) 2016/679. Ja Savienības apstrādātājs apvieno personas datus, kas saņemti no pārziņa trešā valstī, ar personas datiem, kurus savācis apstrādātājs Savienībā, būtu jāpiemēro papildu prasības, lai risinātu jautājumus saistībā ar situāciju, ko izraisa galamērķa trešās valsts tiesību aktu ietekme uz pārziņa atbilstību klauzulām, jo īpaši to, kā rīkoties saistošu pieprasījumu gadījumā no trešās valsts publiskām iestādēm par nosūtīto personas datu izpaušanu. Savukārt šādas prasības nav pamatotas, ja ārpakalpojuma ietvaros tiek veikta tikai tādu personas datu apstrāde un atpakaļnosūtīšana, kuri saņemti no pārziņa un uz kuriem jebkurā gadījumā attiecās un arī turpmāk attieksies konkrētās trešās valsts jurisdikcija.

(17)

Pusēm jāspēj apliecināt atbilstību līguma standartklauzulām. Konkrētāk, datu saņēmējam būtu jāglabā attiecīgā dokumentācija par tā pārziņā esošajām apstrādes darbībām un nekavējoties jāinformē datu nosūtītājs, ja tas kādu iemeslu dēļ nevar nodrošināt atbilstību klauzulām. Savukārt datu nosūtītājam būtu jāaptur nosūtīšana un īpaši nopietnos gadījumos būtu jābūt tiesībām izbeigt līgumu, ciktāl tas attiecas uz personas datu apstrādi saskaņā ar līguma standartklauzulām, ja datu saņēmējs pārkāpj klauzulas vai nespēj tās izpildīt. Ja vietējie tiesību akti ietekmē klauzulu izpildi, ir jāpiemēro īpaši noteikumi. Personas dati, kas tika nosūtīti pirms līguma izbeigšanas, un to kopijas pēc datu nosūtītāja izvēles jāatgriež datu nosūtītājam vai pilnībā jāiznīcina.

(18)

Līguma standartklauzulām būtu jānodrošina īpašas garantijas, jo īpaši ņemot vērā Tiesas judikatūru (11), lai risinātu problēmas, ko izraisa galamērķa trešās valsts tiesību aktu ietekme uz datu saņēmēja atbilstību klauzulām, jo īpaši to, kā rīkoties saistošu pieprasījumu gadījumā no attiecīgās valsts publiskām iestādēm par nosūtīto personas datu izpaušanu.

(19)

Personas datu nosūtīšanu un apstrādi saskaņā ar līguma standartklauzulām nedrīkst veikt, ja galamērķa trešās valsts tiesību akti un prakse liedz datu saņēmējam nodrošināt klauzulu izpildi. Šajā saistībā tiesību akti un prakse, ar ko tiek ievērota pamattiesību un pamatbrīvību būtība un netiek pārsniegts līmenis, kas ir nepieciešams un samērīgs demokrātiskā sabiedrībā, lai garantētu kādu no Regulas (ES) 2016/679 23. panta 1. punktā minētajiem mērķiem, nav uzskatāmi par neatbilstošiem līguma standartklauzulām. Pusēm jāgarantē, ka brīdī, kad tās vienojas par līguma standartklauzulām, tām nav pamata uzskatīt, ka tiesību akti un prakse, kas attiecas uz datu saņēmēju, neatbilst šīm prasībām.

(20)

Pusēm jo īpaši jāņem vērā nosūtīšanas konkrētie apstākļi (piemēram, līguma saturs un darbības ilgums, nosūtīto datu raksturs, saņēmēja veids, apstrādes mērķis), galamērķa trešās valsts tiesību akti un prakse, kas ir nozīmīga saistībā ar nosūtīšanas apstākļiem, un jebkādas garantijas, kas ieviestas, lai papildinātu līguma standartklauzulās noteiktās garantijas (tostarp attiecīgie līgumiskie, tehniskie un organizatoriskie pasākumi, kas tiek piemēroti attiecībā uz personas datu nosūtīšanu un to apstrādi galamērķa valstī). Attiecībā uz šādu tiesību aktu un prakses ietekmi uz atbilstību līguma standartklauzulām vispārējā novērtējuma ietvaros var ņemt vērā dažādus elementus, tostarp uzticamu informāciju par tiesību aktu īstenošanu praksē (piemēram, judikatūra, neatkarīgu pārraudzības struktūru ziņojumi), pieprasījumu esību vai neesību tajā pašā nozarē un, piemērojot stingrus nosacījumus, datu nosūtītāja un/vai datu saņēmēja dokumentētu praktisko pieredzi.

(21)

Datu saņēmējam jāinformē datu nosūtītājs, ja pēc līguma standartklauzulu apstiprināšanas tam radies iemesls uzskatīt, ka tas nespēj nodrošināt līguma standartklauzulu izpildi. Ja datu nosūtītājs saņem šādu paziņojumu vai tam citā veidā kļūst zināms, ka datu saņēmējs vairs nevar nodrošināt līguma standartklauzulu izpildi, tam jānosaka atbilstošie pasākumi, lai rastu risinājumu attiecīgajā situācijā, nepieciešamības gadījumā apspriežoties ar kompetento uzraudzības iestādi. Šādi pasākumi cita starpā var būt datu nosūtītāja un/vai datu saņēmēja pieņemti papildu pasākumi, piemēram, tehniski vai organizatoriski pasākumi, lai nodrošinātu drošību un konfidencialitāti. Datu nosūtītājam būtu jāaptur nosūtīšana, ja tas uzskata, ka nav iespējams nodrošināt atbilstošas garantijas, vai arī ja tiek saņemts attiecīgs kompetentās uzraudzības iestādes rīkojums.

(22)

Ja iespējams, datu saņēmējam jāinformē datu nosūtītājs un datu subjekts, ja tas saņem juridiski saistošu pieprasījumu no publiskas (tostarp tiesu) iestādes saskaņā ar galamērķa valsts tiesību aktiem par tādu personas datu izpaušanu, kuri nosūtīti atbilstoši līguma standartklauzulām. Datu saņēmējam ir jāinformē minētās personas arī gadījumā, ja tam kļūst zināms par publisko iestāžu jebkādu tiešu piekļuvi šādiem personas datiem saskaņā ar galamērķa valsts tiesību aktiem. Ja, neraugoties uz datu saņēmēja visrūpīgākajiem centieniem, tas nevar paziņot datu nosūtītājam un/vai datu subjektam par konkrētiem datu izpaušanas pieprasījumiem, tam ir jāsniedz datu nosūtītājam pēc iespējas vairāk būtiskas informācijas par pieprasījumiem. Turklāt datu saņēmējam regulāri jāsniedz datu nosūtītājam apkopota informācija. Būtu arī jāparedz prasība datu saņēmējam dokumentēt visus saņemtos datu izpaušanas pieprasījumus un sniegtās atbildes, kā arī pēc pieprasījuma darīt šo informāciju pieejamu datu nosūtītājam un/vai kompetentajai uzraudzības iestādei. Ja pēc šāda pieprasījuma likumības pārbaudes saskaņā ar galamērķa valsts tiesību aktiem datu saņēmējs secina, ka pastāv pamats uzskatīt, ka pieprasījums nav likumīgs saskaņā ar galamērķa trešās valsts tiesību aktiem, tas ir jāapstrīd, tostarp attiecīgajos gadījumos izmantojot pieejamās apelācijas iespējas. Jebkurā gadījumā, ja datu saņēmējs vairs nespēj nodrošināt līguma standartklauzulu izpildi, tam attiecīgi jāinformē datu nosūtītājs, tostarp gadījumos, ja to izraisījis datu izpaušanas pieprasījums.

(23)

Tā kā ieinteresēto personu vajadzības, tehnoloģijas un apstrādes darbības var mainīties, Komisijai jāvērtē līguma standartklauzulu darbība, ņemot vērā pieredzi, Regulas (ES) 2016/679 periodiskās novērtēšanas ietvaros, kas minēta regulas 97. pantā.

(24)

Lēmums 2001/497/EK un Lēmums 2010/87/ES ir jāatceļ trīs mēnešus pēc šā lēmuma stāšanās spēkā. Šajā periodā datu nosūtītāji un datu saņēmēji Regulas (ES) 2016/679 46. panta 1. punkta izpratnē var turpināt izmantot līguma standartklauzulas, kuras izklāstītas Lēmumos 2001/497/EK un 2010/87/ES. Vēl papildus 15 mēnešus datu nosūtītāji un datu saņēmēji Regulas (ES) 2016/679 46. panta 1. punkta izpratnē var turpināt atsaukties uz līguma standartklauzulām, kuras izklāstītas Lēmumos 2001/497/EK un 2010/87/ES, tādu līgumu izpildei, kas starp tiem noslēgts pirms minēto lēmumu atcelšanas datuma, ja apstrādes darbības, uz kurām attiecas konkrētais līgums, nemainās un ja paļaušanās uz šīm klauzulām nodrošina, ka uz personas datu nosūtīšanu attiecas atbilstošas garantijas Regulas (ES) 2016/679 46. panta 1. punkta izpratnē. Būtisku līguma izmaiņu gadījumā datu nosūtītājam jāatsaucas uz jauno datu nosūtīšanas pamatojumu atbilstoši līgumam, konkrētāk, aizstājot esošās līguma standartklauzulas ar līguma standartklauzulām, kuras izklāstītas šā lēmuma pielikumā. Tā pati prasība jāpiemēro visiem līgumā paredzēto apstrādes darbību apakšlīgumiem ar (apakš-)apstrādātājiem.

(25)

Tika veikta apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju un Eiropas Datu aizsardzības kolēģiju saskaņā ar Regulas (ES) 2018/1725 42. panta 1. un 2. punktu, un tie sniedza kopīgu atzinumu 2021. gada 14. janvārī (12), kurš ir ņemts vērā, sagatavojot šo lēmumu.

(26)

Šajā lēmumā paredzētie pasākumi ir saskaņā ar atzinumu, ko sniegusi komiteja, kura izveidota ar Regulas (ES) 2016/679 93. pantu.

IR PIEŅĒMUSI ŠO LĒMUMU.

1. pants

1.   Uzskata, ka pielikumā noteiktās līguma standartklauzulas nodrošina atbilstošas garantijas Regulas (ES) 2016/679 46. panta 1. punkta un 2. punkta c) apakšpunkta nozīmē pārziņa vai apstrādātāja veiktai tādu apstrādājamu personas datu nosūtīšanai, uz kuriem attiecas minētā regula (datu nosūtītājs), pārzinim vai (apakš-)apstrādātājam, uz kuru veiktu datu apstrādi neattiecas minētā regula (datu saņēmējs).

2.   Līguma standartklauzulās arī ir izklāstītas pārziņu un apstrādātāju tiesības un pienākumi attiecībā uz Regulas (ES) 2016/679 28. panta 3. un 4. punktā minētajiem jautājumiem, ja tiek veikta personas datu nosūtīšana no pārziņa apstrādātājam vai no apstrādātāja apakšapstrādātājam.

2. pants

Ja kompetentās dalībvalstu iestādes īsteno korektīvās pilnvaras saskaņā ar Regulas (ES) 2016/679 58. pantu, reaģējot uz to, ka uz datu saņēmēju attiecas vai turpmāk attieksies galamērķa trešās valsts tiesību akti vai prakse, kas liedz tam nodrošināt pielikumā izklāstīto līguma standartklauzulu izpildi, tādējādi izraisot datu nosūtīšanas trešām valstīm apturēšanu vai aizliegšanu, attiecīgās dalībvalstis nekavējoties informē par to Komisiju, kas nosūta šo informāciju pārējām dalībvalstīm.

3. pants

Komisija novērtē pielikumā izklāstīto līguma standartklauzulu praktisko izmantošanu, pamatojoties uz pieejamo informāciju, kas sniegta periodiskās novērtēšanas ietvaros, kura jāveic saskaņā ar Regulas (ES) 2016/679 97. pantu.

4. pants

1.   Šis lēmums stājas spēkā divdesmitajā dienā pēc tā publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.

2.   Lēmumu 2001/497/EK atceļ no 2021. gada 27. septembra.

3.   Lēmumu 2010/87/ES atceļ no 2021. gada 27. septembra.

4.   Uzskatāms, ka līgumi, kas noslēgti līdz 2021. gada 27. septembrim, pamatojoties uz Lēmumu 2001/497/EK vai Lēmumu 2010/87/ES, nodrošina atbilstošas garantijas Regulas (ES) 2016/679 46. panta 1. punkta izpratnē līdz 2022. gada 27. decembrim, ja apstrādes darbības, uz kurām attiecas minētais līgums, nemainās un ja paļaušanās uz šīm klauzulām nodrošina, ka uz personas datu nosūtīšanu attiecas atbilstošas garantijas.

Briselē, 2021. gada 4. jūnijā

Komisijas vārdā –

priekšsēdētāja

Ursula VON DER LEYEN


(1)   OV L 119, 4.5.2016., 1. lpp.

(2)  Regulas (ES) 2016/679 44. pants.

(3)  Sk. arī Tiesas 2020. gada 16. jūlija spriedumu lietā C-311/18, Data Protection Commissioner/Facebook Ireland Ltd un Maximillian Schrems (“Schrems II”), ECLI:EU:C:2020:559, 93. punkts.

(4)  Regulas (ES) 2016/679 109. apsvērums.

(5)  Komisijas 2001. gada 15. jūnija Lēmums 2001/497/EK par līguma standartklauzulām attiecībā uz personas datu nosūtīšanu trešām valstīm saskaņā ar Direktīvu 95/46/EK (OV L 181., 4.7.2001., 19. lpp.).

(6)  Komisijas Lēmums 2010/87/ES (2010. gada 5. februāris) par līguma standartklauzulām attiecībā uz personas datu pārsūtīšanu trešās valstīs reģistrētiem apstrādātājiem saskaņā ar Eiropas Parlamenta un Padomes Direktīvu 95/46/EK (OV L 39., 12.2.2010., 5. lpp.).

(7)  Eiropas Parlamenta un Padomes Direktīva 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (OV L 281, 23.11.1995., 31. lpp.).

(8)  5. apsvērums Eiropas Parlamenta un Padomes Regulā (ES) 2018/1725 (2018. gada 23. oktobris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK (OV L 295, 21.11.2018., 39. lpp.). Sk. 5. apsvērumu.

(9)  C(2021)3701.

(10)   Schrems II, 96. un 103. punkts. Sk. arī Regulas (ES) 2016/679 108. un 114. apsvērumu.

(11)   Schrems II.

(12)  EDAU un EDAK Kopīgais atzinums 2/2021 par Eiropas Komisijas Īstenošanas lēmumu par līguma standartklauzulām attiecībā uz personas datu nosūtīšanu trešām valstīm saistībā ar Regulas (ES) 2016/679 46. panta 2. punkta c) apakšpunktā minētajiem jautājumiem.


PIELIKUMS

LĪGUMA STANDARTKLAUZULAS

I IEDAĻA

1. klauzula

Mērķis un darbības joma

a)

Šo līguma standartklauzulu mērķis ir nodrošināt atbilstību prasībām, kas paredzētas Eiropas Parlamenta un Padomes Regulā (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (Vispārīgā datu aizsardzības regula) (1), attiecībā uz personas datu nosūtīšanu trešām valstīm.

b)

Puses:

i)

fiziska(-as) vai juridiska(-as) persona(-as), publiska(-as) iestāde(-es), aģentūra(-as) vai cita(-as) struktūra(-as) (turpmāk “vienība(-as)”), kas nosūta personas datus, atbilstoši I.A pielikumam (turpmāk katra atsevišķi – “datu nosūtītājs”); un

ii)

vienība(-as) trešā valstī, kas saņem personas datus no datu nosūtītāja tieši vai netieši ar citas vienības starpniecību, kas arī ir šo klauzulu parakstītāja puse, atbilstoši I.A pielikumam (turpmāk katra atsevišķi – “datu saņēmējs”),

ir vienojušās par šīm līguma standartklauzulām (turpmāk “klauzulas”).

c)

Šīs klauzulas attiecas uz personas datu nosūtīšanu atbilstoši I.B pielikumam.

d)

Šo klauzulu papildinājums, kurā ietverti tajās minētie pielikumi, ir šo klauzulu neatņemama sastāvdaļa.

2. klauzula

Klauzulu ietekme un nemainība

a)

Šajās klauzulās ir noteiktas atbilstošas garantijas, tostarp īstenojamas datu subjekta tiesības un efektīvi tiesiskās aizsardzības līdzekļi, saskaņā ar Regulas (ES) 2016/679 46. panta 1. punktu un 2. punkta c) apakšpunktu un – attiecībā uz datu nosūtīšanu apstrādātājiem no pārziņiem un/vai apstrādātājiem no apstrādātājiem – līguma standartklauzulas saskaņā ar Regulas (ES) 2016/679 28. panta 7. punktu ar nosacījumu, ka tās netiek mainītas, izņemot gadījumus, lai izvēlētos atbilstošo(-os) moduli(-us) vai lai pievienotu vai atjauninātu informāciju papildinājumā. Tas neliedz pusēm iekļaut šajās klauzulās noteiktās līguma standartklauzulas plašākā līgumā un/vai pievienot citas klauzulas vai papildu garantijas, ja tās tieši vai netieši nav pretrunā šīm klauzulām vai neierobežo datu subjekta pamattiesības vai brīvības.

b)

Šīs klauzulas neskar pienākumus, kuri attiecas uz datu nosūtītāju saskaņā ar Regulu (ES) 2016/679.

3. klauzula

Ieinteresētās trešās personas

a)

Datu subjekti var atsaukties uz šīm klauzulām un īstenot tās kā ieinteresētās trešās personas pret datu nosūtītāju un/vai datu saņēmēju ar šādiem izņēmumiem:

i)

1. klauzula, 2. klauzula, 3. klauzula, 6. klauzula, 7. klauzula;

ii)

8. klauzula – pirmais modulis: 8.5. klauzulas e) punkts un 8.9. klauzulas b) punkts; otrais modulis: 8.1. klauzulas b) punkts, 8.9. klauzulas a), c), d) un e) punkts; trešais modulis: 8.1. klauzulas a), c) un d) punkts un 8.9. klauzulas a), c), d), e), f) un g) punkts; ceturtais modulis: 8.1. klauzulas b) punkts un 8.3. klauzulas b) punkts;

iii)

9. klauzula – otrais modulis: 9. klauzulas a), c), d) un e) punkts; trešais modulis: 9. klauzulas a), c), d) un e) punkts;

iv)

12. klauzula – pirmais modulis: 12. klauzulas a) un d) punkts; otrais un trešais modulis: 12. klauzulas a), d) un f) punkts;

v)

13. klauzula;

vi)

15.1. klauzulas c), d) un e) punkts;

vii)

16. klauzulas e) punkts;

viii)

18. klauzula – pirmais, otrais un trešais modulis: 18. klauzulas a) un b) punkts; ceturtais modulis: 18. klauzula.

b)

Šīs klauzulas a) punkts neskar datus subjektu tiesības saskaņā ar Regulu (ES) 2016/679.

4. klauzula

Interpretācija

a)

Ja šajās klauzulās ir izmantoti Regulā (ES) 2016/679 definēti termini, tiem ir tāda pati nozīme, kāda tiem ir attiecīgajā regulā.

b)

Klauzulas lasa un interpretē, ņemot vērā Regulas (ES) 2016/679 prasības.

c)

Šīm klauzulām neizmanto interpretāciju, kas neatbilst Regulā (ES) 2016/679 paredzētajām tiesībām un pienākumiem.

5. klauzula

Hierarhija

Ja pastāv pretruna starp šīm klauzulām un starp pusēm noslēgtajiem saistītajiem nolīgumiem, kuri ir spēkā brīdī, kad šīs klauzulas tiek apstiprinātas vai kad puses par tām vienojas, šīm klauzulām ir augstāka prioritāte.

6. klauzula

Nosūtīšanas apraksts

Informācija par nosūtīšanu un jo īpaši nosūtīto personas datu kategorijām un to nosūtīšanas mērķi(-iem) ir norādīta I.B pielikumā.

7. klauzula – neobligāta

Pievienošanās klauzula

a)

Vienība, kas nav šo klauzulu parakstītāja puse, ar pušu piekrišanu ar pievienoties šīm klauzulām jebkurā laikā gan kā datu nosūtītājs, gan kā datu saņēmējs, aizpildot papildinājumu un parakstot I.A pielikumu.

b)

Pēc tam, kad vienība, kas pievienojas, ir aizpildījusi papildinājumu un parakstījusi I.A pielikumu, tā kļūst par šo klauzulu parakstītāju pusi un tai ir datu nosūtītāja vai datu saņēmēja tiesības un pienākumi saskaņā ar tā apzīmējumu I.A pielikumā.

c)

Vienībai, kas pievienojas, nav tiesību vai pienākumu, kuri izriet no šīm klauzulām par laikposmu pirms kļūšanas par klauzulu parakstītāju pusi.

II IEDAĻA. PUŠU PIENĀKUMI

8. klauzula

Datu aizsardzības garantijas

Datu nosūtītājs garantē, ka ir veicis saprātīgi vajadzīgos pasākumus, lai noskaidrotu, vai datu saņēmējs spēj pildīt savus pienākumus saskaņā ar šīm klauzulām, īstenojot atbilstošus tehniskos un organizatoriskos pasākumus.

PIRMAIS MODULIS. Nosūtīšana no pārziņa pārzinim

8.1.   Mērķa ierobežojums

Datu saņēmējs apstrādā personas datus tikai konkrētajam(-iem) mērķim(-iem), kuram(-iem) tie nosūtīti, saskaņā ar I.B pielikumu. Tas var apstrādāt personas datus citam mērķim vienīgi šādos gadījumos:

i)

ja tas ir ieguvis datu subjekta iepriekšēju atļauju;

ii)

ja tas ir vajadzīgs likumīgu prasību celšanai, īstenošanai vai aizstāvēšanai konkrētu administratīvo procesu, regulatīvo procesu vai tiesvedības procesu kontekstā; vai

iii)

ja tas ir vajadzīgs, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses.

8.2.   Pārredzamība

a)

Lai sniegtu datu subjektiem iespēju efektīvi izmantot savas tiesības saskaņā ar 10. klauzulu, datu saņēmējs tiem tieši vai ar datu nosūtītāja starpniecību sniedz šādu informāciju:

i)

tā identitāte un kontaktinformācija;

ii)

apstrādāto personas datu kategorijas;

iii)

tiesības iegūt šo klauzulu kopiju;

iv)

ja tas ir paredzējis veikt personas datu tālāku nosūtīšanu kādai trešai(-ām) personai(-ām) – saņēmējs vai saņēmēju kategorijas (atbilstoši, lai tiktu sniegta jēgpilna informācija), šādas datu tālākas nosūtīšanas mērķis un tās pamatojums saskaņā ar 8.7. klauzulu.

b)

Šīs klauzulas a) punkts neattiecas uz gadījumiem, kad datu subjektam jau ir attiecīgā informācija, tostarp, ja šādu informāciju jau ir sniedzis datu nosūtītājs vai arī ja šādas informācijas sniegšana nav iespējama vai tai būtu nepieciešamas datu saņēmēja nesamērīgas pūles. Pēdējā no minētajiem gadījumiem datu saņēmējam, ciktāl iespējams, jānodrošina informācijas publiska pieejamība.

c)

Puses pēc pieprasījuma bez maksas dara datu subjektam pieejamu šo klauzulu, tostarp pušu aizpildītā papildinājuma, kopiju. Ciktāl tas nepieciešams komercnoslēpuma vai citas konfidenciālas informācijas, tostarp personas datu, aizsardzībai, puses var daļēji rediģēt šā papildinājuma tekstu pirms tā kopijas kopīgošanas, taču tās sniedz jēgpilnu kopsavilkumu, ja datu subjektam citādi nebūtu iespējams izprast tā saturu vai izmantot savas tiesības. Puses pēc pieprasījuma atklāj datu subjektam rediģēšanas iemeslus, ciktāl tas iespējams, neatklājot rediģēto informāciju.

d)

Šīs klauzulas a)–c) punkts neskar datu nosūtītāja pienākumus saskaņā ar Regulas (ES) 2016/679 13. un 14. pantu.

8.3.   Precizitāte un datu minimizēšana

a)

Katra puses nodrošina, lai personas dati būtu precīzi un vajadzības gadījumā tiktu atjaunināti. Datu saņēmējs veic saprātīgus pasākumus, lai nodrošinātu, ka neprecīzi personas dati, ņemot vērā nolūku(-us), kādā(-os) tie tiek apstrādāti, bez kavēšanās tiktu dzēsti vai laboti.

b)

Ja vienai no pusēm kļūst zināms, ka personas dati, kas tiek nosūtīti vai saņemti, nav precīzi vai arī tie ir novecojuši, tā nekavējoties informē otru pusi.

c)

Datu saņēmējs nodrošina, lai personas dati būtu atbilstoši, būtiski un tikai tie, kas nepieciešami saistībā ar apstrādes mērķi(-iem).

8.4.   Glabāšanas ierobežojums

Datu saņēmējs glabā personas datus ne ilgāk kā nepieciešams tāda(-u) mērķa(-u) īstenošanai, kuram(-iem) tie tiek apstrādāti. Tas veic atbilstošus tehniskos un organizatoriskos pasākumus, lai nodrošinātu atbilstību šim pienākumam, tostarp datu un visu rezerves kopiju dzēšanu vai anonimizāciju (2) glabāšanas perioda beigās.

8.5.   Apstrādes drošība

a)

Datu saņēmējs un nosūtīšanas laikā arī datu nosūtītājs īsteno atbilstošus tehniskos un organizatoriskos pasākumus, lai nodrošinātu personas datu drošību, tostarp aizsardzību pret drošības pārkāpumiem, kuru rezultātā var notikt nejauša vai nelikumīga datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem (turpmāk tekstā – “personas datu aizsardzības pārkāpums”). Novērtējot atbilstošu drošības līmeni, tiem ir pienācīgi jāņem vērā tehniskās iespējas, īstenošanas izmaksas, apstrādes raksturs, apmērs, konteksts un nolūks un ar apstrādi saistītie riski datu subjektam. Pusēm jo īpaši jāapsver iespēja izmantot šifrēšanu vai pseidonimizāciju, tostarp nosūtīšanas laikā, ja tādējādi var sasniegt apstrādes mērķi.

b)

Puses ir vienojušās par tehniskajiem un organizatoriskajiem pasākumiem, kas paredzēti II pielikumā. Datu saņēmējs veic regulāras pārbaudes, lai nodrošinātu, ka šādi pasākumi turpina nodrošināt atbilstošu drošības līmeni.

c)

Datu saņēmējs nodrošina, ka personas, kuras ir pilnvarotas apstrādāt personas datus, ir apņēmušās ievērot konfidencialitāti vai tām ir noteikts attiecīgs likumisks pienākums ievērot konfidencialitāti.

d)

Personas datu aizsardzības pārkāpuma gadījumā, kas attiecas uz personas datiem, ko apstrādā datu saņēmējs saskaņā ar šīm klauzulām, datu saņēmējs veic atbilstošus pasākumus, lai novērstu personas datu aizsardzības pārkāpumu, tostarp pasākumus, lai mazinātu iespējamo nelabvēlīgo ietekmi.

e)

Tāda personas datu aizsardzības pārkāpuma gadījumā, kas var radīt risku fizisku personu tiesībām un brīvībām, datu saņēmējs bez nepamatotas kavēšanās par to paziņo gan datu nosūtītājam, gan kompetentajai uzraudzības iestādei saskaņā ar 13. klauzulu. Šādā paziņojumā norāda i) aprakstu par pārkāpuma raksturu (tostarp, ja iespējams, attiecīgo datu subjektu un personas datu ierakstu kategorijas un aptuveno skaitu), ii) tā iespējamās sekas, iii) veiktos vai ierosinātos pasākumus, lai novērstu pārkāpumu, un iv) datus par kontaktpunktu papildu informācijas saņemšanai. Ciktāl datu saņēmējam nav iespējams sniegt visu informāciju vienlaikus, to var sniegt pa posmiem bez turpmākas nepamatotas kavēšanās.

f)

Gadījumā, ja personas datu aizsardzības pārkāpums varētu radīt augstu risku fizisku personu tiesībām un brīvībām, datu saņēmējs arī bez nepamatotas kavēšanās paziņo attiecīgajiem datu subjektiem par personas datu aizsardzības pārkāpumu un tā raksturu, nepieciešamības gadījumā sadarbojoties ar datu nosūtītāju, kā arī informāciju, kas minēta e) punkta ii)–iv) apakšpunktā, ja vien datu saņēmējs nav veicis pasākumus, lai būtiski samazinātu risku fizisku personu tiesībām un brīvībām, vai paziņošana neprasa nesamērīgi lielas pūles. Datu saņēmēja jau ieviestu pasākumu vai nesamērīgi lielu pūļu gadījumā datu saņēmējs izdod publisku paziņojumu vai īsteno līdzīgu pasākumu, lai informētu sabiedrību par personas datu aizsardzības pārkāpumu.

g)

Datu saņēmējs dokumentē visus attiecīgos faktus saistībā ar personas datu aizsardzības pārkāpumu, tostarp tā sekas un visas veiktās koriģējošās darbības, un veic attiecīgu uzskaiti.

8.6.   Sensitīvi dati

Gadījumā, ja tiek nosūtīti personas dati, kuri atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, ģenētiskie dati vai biometriskie dati fiziskas personas unikālai identifikācijai, veselības dati vai dati par fiziskas personas dzimumdzīvi vai seksuālo orientāciju, vai dati par sodāmību vai pārkāpumiem (turpmāk tekstā – “sensitīvi dati”), datu saņēmējs piemēro konkrētus ierobežojumus un/vai papildu garantijas, kas piemērotas datu un saistīto risku īpatnībām. Tie cita starpā var būt ierobežojumi attiecībā uz darbiniekiem, kuriem atļauts piekļūt personas datiem, papildu drošības pasākumi (piemēram, pseidonimizācija) un/vai papildu ierobežojumi saistībā ar tālāku izpaušanu.

8.7.   Tālāka nosūtīšana

Datu saņēmējs neizpauž personas datus trešām personām, kas atrodas ārpus Eiropas Savienības (3) (tajā pašā valstī, kurā atrodas datu saņēmējs, vai citā trešā valstī, turpmāk tekstā – “tālāka nosūtīšana”), ja vien trešai personai nav saistošas šīs klauzulas vai arī tā nepiekrīt, ka tai ir saistošas šīs klauzulas, saskaņā ar atbilstošo moduli. Pretējā gadījumā datu saņēmējs drīkst veikt tālāku nosūtīšanu tikai ar šādiem nosacījumiem:

i)

ja to veic uz valsti, attiecībā uz kuru ir pieņemts lēmums par aizsardzības līmeņa pietiekamību saskaņā ar (ES) 2016/679 45. pantu, kurš attiecas uz tālāku nosūtīšanu;

ii)

ja trešā persona citādi nodrošina atbilstošas garantijas saskaņā ar Regulas (ES) 2016/679 46. vai 47. pantu attiecībā uz konkrēto apstrādi;

iii)

ja trešā persona vienojas ar datu saņēmēju par saistošu instrumentu, kas nodrošina tādu pašu datu aizsardzības līmeni kā šīs klauzulas, un datu saņēmējs datu nosūtītājam dara pieejamu attiecīgo garantiju kopiju;

iv)

ja tā ir vajadzīga likumīgu prasību celšanai, īstenošanai vai aizstāvēšanai konkrētu administratīvo procesu, regulatīvo procesu vai tiesvedības procesu kontekstā;

v)

ja tā ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses; vai,

vi)

neesot spēkā nevienam citam nosacījumam, – ja datu saņēmējs ir ieguvis datu subjekta nepārprotamu piekrišanu tālākai nosūtīšanai konkrētā situācijā pēc tam, kad tas ir informējis datu subjektu par tālākas nosūtīšanas mērķi(-iem), saņēmēja identitāti un iespējamiem riskiem, ko šāda nosūtīšana rada datu subjektam atbilstošu datu aizsardzības garantiju neesības dēļ. Šādā gadījumā datu saņēmējs informē datu nosūtītāju un pēc datu nosūtītāja pieprasījuma nosūta tam datu subjektam sniegtās informācijas kopiju;

Jebkuras tālākas nosūtīšanas gadījumā datu saņēmējam jāievēro visas pārējās garantijas atbilstoši šīm klauzulām, jo īpaši nolūka ierobežojumi.

8.8.   Apstrāde datu saņēmēja pakļautībā

Datu saņēmējs nodrošina, ka ikviena persona, kas darbojas tā pakļautībā, tostarp apstrādātājs, apstrādā minētos datus vienīgi saskaņā ar datu saņēmēja norādījumiem.

8.9.   Dokumentācija un atbilstība

a)

Visām pusēm jāspēj apliecināt atbilstību šajās klauzulās paredzētajiem pienākumiem. Konkrētāk, datu saņēmējs glabā atbilstošo dokumentāciju par veiktajām apstrādes darbībām, par ko tas ir atbildīgs.

b)

Datu saņēmējs dara šādu dokumentāciju pieejamu pēc kompetentās uzraudzības iestādes pieprasījuma.

OTRAIS MODULIS. Nosūtīšana no pārziņa apstrādātājam

8.1.   Norādījumi

a)

Datu saņēmējs apstrādā personas datus tikai pēc datu nosūtītāja dokumentētiem norādījumiem. Datu nosūtītājs var sniegt šādus norādījumus visā līguma darbības laikā.

b)

Datu saņēmējs nekavējoties informē datu nosūtītāju, ja tas nevar izpildīt minētos norādījumus.

8.2.   Mērķa ierobežojums

Datu saņēmējs apstrādā personas datus tikai konkrētajam(-iem) mērķim(-iem), kuram(-iem) tie nosūtīti, saskaņā ar I.B pielikumu, ja vien datu nosūtītājs nav sniedzis papildu norādījumus.

8.3.   Pārredzamība

Pēc pieprasījuma datu nosūtītājs bez maksas dara datu subjektam pieejamu šo klauzulu, tostarp pušu aizpildītā papildinājuma, kopiju. Ciktāl tas nepieciešams komercnoslēpuma vai citas konfidenciālas informācijas, tostarp II pielikumā aprakstīto pasākumu un personas datu, aizsardzībai, datu nosūtītājs var rediģēt šo klauzulu papildinājuma tekstu pirms tā kopijas kopīgošanas, taču tas sniedz jēgpilnu kopsavilkumu, ja datu subjektam citādi nebūtu iespējams izprast tā saturu vai izmantot savas tiesības. Puses pēc pieprasījuma atklāj datu subjektam rediģēšanas iemeslus, ciktāl tas iespējams, neatklājot rediģēto informāciju. Šī klauzula neskar datu nosūtītāja pienākumus saskaņā ar Regulas (ES) 2016/679 13. un 14. pantu.

8.4.   Precizitāte

Ja datu saņēmējam kļūst zināms, ka personas dati, kurus tas saņēmis, nav precīzi vai arī tie ir novecojuši, tas nekavējoties informē datu nosūtītāju. Šādā gadījumā datu saņēmējs sadarbojas ar datu nosūtītāju, lai dzēstu vai labotu datus.

8.5.   Apstrādes ilgums un datu dzēšana vai atdošana

Datu saņēmējs veic apstrādi tikai laikposmā, kas norādīts I.B pielikumā. Pēc apstrādes pakalpojumu sniegšanas beigām datu saņēmējs pēc datu nosūtītāja izvēles dzēš visus personas datus, kas apstrādāti datu nosūtītāja vārdā, un apliecina datu nosūtītājam šādas darbības veikšanu vai atdod datu nosūtītājam visus tā vārdā apstrādātos datus un dzēš esošās kopijas. Līdz brīdim, kad dati tiek dzēsti vai nodoti atpakaļ, datu saņēmējs turpina nodrošināt atbilstību šīm klauzulām. Ja vietējos tiesību aktos attiecībā uz datu saņēmēju tiek aizliegta personas datu atdošana vai dzēšana, datu saņēmējs garantē, ka tas turpinās nodrošināt atbilstību šīm klauzulām un veiks datu apstrādi tikai tādā apmērā un tik ilgi, kā noteikts vietējos tiesību aktos. Tas neskar 14. klauzulu, jo īpaši 14. klauzulas e) punktā paredzēto prasību datu saņēmējiem visā līguma darbības laikā sniegt paziņojumu datu nosūtītājam, ja tam ir iemesls uzskatīt, ka uz to attiecas vai turpmāk attieksies tiesību akti vai prakse, kas neatbilst 14. klauzulas e) punktā paredzētajām prasībām.

8.6.   Apstrādes drošība

a)

Datu saņēmējs un nosūtīšanas laikā arī datu nosūtītājs īsteno atbilstošus tehniskos un organizatoriskos pasākumus, lai nodrošinātu datu drošību, tostarp aizsardzību pret drošības pārkāpumiem, kuru rezultātā var notikt nejauša vai nelikumīga datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem (turpmāk tekstā – “personas datu aizsardzības pārkāpums”). Novērtējot atbilstošu drošības līmeni, pusēm ir pienācīgi jāņem vērā tehniskās iespējas, īstenošanas izmaksas, apstrādes raksturs, apmērs, konteksts un nolūks un ar apstrādi saistītie riski datu subjektiem. Pusēm jo īpaši jāapsver iespēja izmantot šifrēšanu vai pseidonimizāciju, tostarp nosūtīšanas laikā, ja tādējādi var sasniegt apstrādes mērķi. Ja iespējams, pseidonimizācijas gadījumā papildu informācija personas datu sasaistei ar konkrētu datu subjektu paliek datu nosūtītāja ekskluzīvā kontrolē. Nodrošinot savu pienākumu izpildi saskaņā ar šo punktu, datu saņēmējam jāīsteno vismaz II pielikumā minētie tehniskie un organizatoriskie pasākumi. Datu saņēmējs veic regulāras pārbaudes, lai nodrošinātu, ka šādi pasākumi turpina sniegt atbilstošu drošības līmeni.

b)

Datu saņēmējs saviem darbiniekiem nodrošina piekļuvi personas datiem vienīgi tādā apmērā, kas ir obligāti vajadzīgs līguma īstenošanai, pārvaldībai un uzraudzībai. Tas nodrošina, ka personas, kuras ir pilnvarotas apstrādāt personas datus, ir apņēmušās ievērot konfidencialitāti vai tām ir noteikts attiecīgs likumisks pienākums ievērot konfidencialitāti.

c)

Personas datu aizsardzības pārkāpuma gadījumā, kas attiecas uz personas datiem, ko apstrādā datu saņēmējs saskaņā ar šīm klauzulām, datu saņēmējs veic atbilstošus pasākumus, lai novērstu personas datu aizsardzības pārkāpumu, tostarp pasākumus, lai mazinātu nelabvēlīgo ietekmi. Datu saņēmējs arī bez nepamatotas kavēšanās informē datu nosūtītāju pēc tam, kad tam kļuvis zināms par pārkāpumu. Šādā paziņojumā norāda datus par kontaktpunktu papildu informācijas saņemšanai, aprakstu par pārkāpuma raksturu (tostarp, ja iespējams, attiecīgo datu subjektu un personas datu ierakstu kategorijas un aptuveno skaitu), tā iespējamās sekas un veiktos vai ierosinātos pasākumus, lai novērstu pārkāpumu, tostarp attiecīgajos gadījumos pasākumus tā iespējamās nelabvēlīgās ietekmes mazināšanai. Ja un ciktāl nav iespējams sniegt visu informāciju vienlaikus, sākotnējā paziņojumā jānorāda visa attiecīgajā brīdī pieejamā informācija un pēc tam bez nepamatotas kavēšanās jāsniedz papildu informācija, tiklīdz tā kļūst pieejama.

d)

Datu saņēmējs sadarbojas ar datu nosūtītāju un palīdz tam, lai nodrošinātu iespēju datu nosūtītājam izpildīt Regulā (ES) 2016/679 paredzētos pienākumus, jo īpaši paziņot kompetentajai uzraudzības iestādei un skartajiem datu subjektiem, ņemot vērā apstrādes veidu un datu saņēmējam pieejamo informāciju.

8.7.   Sensitīvi dati

Gadījumā, ja tiek nosūtīti personas dati, kuri atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, ģenētiskie dati vai biometriskie dati fiziskas personas unikālai identifikācijai, veselības dati vai dati par fiziskas personas dzimumdzīvi vai seksuālo orientāciju, vai dati par sodāmību un pārkāpumiem (turpmāk tekstā – “sensitīvi dati”), datu saņēmējs piemēro konkrētus ierobežojumus un/vai papildu garantijas, kas aprakstītas I.B pielikumā.

8.8.   Tālāka nosūtīšana

Datu saņēmējs izpauž personas datus trešai personai vienīgi saskaņā ar datu nosūtītāja dokumentētiem norādījumiem. Turklāt izpaust datus trešām personām, kas atrodas ārpus Eiropas Savienības (4) (tajā pašā valstī, kurā atrodas datu saņēmējs, vai citā trešā valstī, turpmāk tekstā – “tālāka nosūtīšana”), drīkst tikai tad, ja trešai personai ir saistošas šīs klauzulas vai arī tā piekrīt, ka tai ir saistošas šīs klauzulas, saskaņā ar atbilstošo moduli, vai ja:

i)

tālāku nosūtīšanu veic uz valsti, attiecībā uz kuru ir pieņemts lēmums par aizsardzības līmeņa pietiekamību saskaņā ar (ES) 2016/679 45. pantu, kurš attiecas uz tālāku nosūtīšanu;

ii)

trešā persona citādi nodrošina atbilstošas garantijas saskaņā ar Regulas (ES) 2016/679 46. vai 47. pantu attiecībā uz konkrēto apstrādi;

iii)

tālāka nosūtīšana ir vajadzīga likumīgu prasību celšanai, īstenošanai vai aizstāvēšanai konkrētu administratīvo procesu, regulatīvo procesu vai tiesvedības procesu kontekstā; vai

iv)

tālāka nosūtīšana ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses.

Jebkuras tālākas nosūtīšanas gadījumā datu saņēmējam jāievēro visas pārējās garantijas atbilstoši šīm klauzulām, jo īpaši nolūka ierobežojumi.

8.9.   Dokumentācija un atbilstība

a)

Datu saņēmējs ātri un pienācīgi izskata no datu nosūtītāja saņemtus jautājumus, kas saistīti ar apstrādi saskaņā ar šīm klauzulām.

b)

Pusēm jāspēj apliecināt atbilstību šīm klauzulām. Konkrētāk, datu saņēmējs glabā atbilstošo dokumentāciju par datu nosūtītāja vārdā veiktajām apstrādes darbībām.

c)

Datu saņēmējs sniedz datu nosūtītājam visu informāciju, kas nepieciešama, lai apliecinātu atbilstību šajās klauzulās noteiktajiem pienākumiem, un pēc datu nosūtītāja pieprasījuma ļauj un palīdz veikt tādu apstrādes darbību revīzijas, uz kurām attiecas šīs klauzulas, ar pamatotu regularitāti vai ja pastāv norādes uz neatbilstību. Pieņemot lēmumu par pārbaudi vai revīziju, datu nosūtītājs var ņemt vērā atbilstīgos datu saņēmēja sertifikātus.

d)

Datu nosūtītājs var izvēlēties veikt revīziju pats vai pilnvarot neatkarīgu revidentu. Revīzijas var ietvert pārbaudes datu saņēmēja telpās vai fiziskos objektos un attiecīgajos gadījumos tikt veiktas, par to paziņojot saprātīgā termiņā.

e)

Puses pēc kompetentās uzraudzības iestādes pieprasījuma sniedz b) un c) punktā minēto informāciju, tostarp jebkādu revīziju rezultātus.

TREŠAIS MODULIS. Nosūtīšana no apstrādātāja apstrādātājam

8.1.   Norādījumi

a)

Datu nosūtītājs ir informējis datu saņēmēju, ka tas rīkojas kā apstrādātājs saskaņā ar pārziņa(-u) norādījumiem, kurus datu nosūtītājs sniedz datu saņēmējam pirms apstrādes.

b)

Datu saņēmējs apstrādā personas datus tikai pēc pārziņa dokumentētiem norādījumiem, kurus datu saņēmējam sniedzis datu nosūtītājs, kā arī pēc jebkādiem datu nosūtītāja sniegtiem papildu dokumentētiem norādījumiem. Šādi papildu norādījumi nedrīkst būt pretrunā pārziņa norādījumiem. Pārzinis vai datu nosūtītājs var sniegt papildu dokumentētus norādījumus par datu apstrādi visā līguma darbības laikā.

c)

Datu saņēmējs nekavējoties informē datu nosūtītāju, ja tas nevar izpildīt minētos norādījumus. Gadījumā, ja datu saņēmējs nevar izpildīt pārziņa norādījumus, datu nosūtītājs nekavējoties par to informē pārzini.

d)

Datu saņēmējs garantē, ka tas ir noteicis datu saņēmējam tādus pašus datu aizsardzības pienākumus, kādi ir paredzēti līgumā vai citā juridiskā dokumentā atbilstoši Savienības vai dalībvalsts tiesību aktiem starp pārzini un datu nosūtītāju (5).

8.2.   Mērķa ierobežojums

Datu saņēmējs apstrādā personas datus tikai konkrētajam(-iem) mērķim(-iem), kuram(-iem) tie nosūtīti, saskaņā ar I.B pielikumu, ja vien nav saņemti papildu norādījumi no pārziņa (kurus datu saņēmējam sniedzis datu nosūtītājs) vai no datu nosūtītāja.

8.3.   Pārredzamība

Pēc pieprasījuma datu nosūtītājs bez maksas dara datu subjektam pieejamu šo klauzulu, tostarp pušu aizpildītā papildinājuma, kopiju. Ciktāl tas nepieciešams komercnoslēpuma vai citas konfidenciālas informācijas, tostarp personas datu, aizsardzībai, datu nosūtītājs var daļēji rediģēt šā papildinājuma tekstu pirms tā kopijas kopīgošanas, taču tas sniedz jēgpilnu kopsavilkumu, ja datu subjektam citādi nebūtu iespējams izprast tā saturu vai izmantot savas tiesības. Puses pēc pieprasījuma atklāj datu subjektam rediģēšanas iemeslus, ciktāl tas iespējams, neatklājot rediģēto informāciju.

8.4.   Precizitāte

Ja datu saņēmējam kļūst zināms, ka personas dati, kurus tas saņēmis, nav precīzi vai arī tie ir novecojuši, tas nekavējoties informē datu nosūtītāju. Šādā gadījumā datu saņēmējs sadarbojas ar datu nosūtītāju, lai labotu vai dzēstu datus.

8.5.   Apstrādes ilgums un datu dzēšana vai atdošana

Datu saņēmējs veic apstrādi tikai laikposmā, kas norādīts I.B pielikumā. Pēc apstrādes pakalpojumu sniegšanas beigām datu saņēmējs pēc datu nosūtītāja izvēles dzēš visus personas datus, kas apstrādāti pārziņa vārdā, un apliecina datu nosūtītājam šādas darbības veikšanu vai atdod datu nosūtītājam visus tā vārdā apstrādātos personas datus un dzēš esošās kopijas. Līdz brīdim, kad dati tiek dzēsti vai nodoti atpakaļ, datu saņēmējs turpina nodrošināt atbilstību šīm klauzulām. Ja vietējos tiesību aktos attiecībā uz datu saņēmēju tiek aizliegta personas datu atdošana vai dzēšana, datu saņēmējs garantē, ka tas turpinās nodrošināt atbilstību šīm klauzulām un veiks datu apstrādi tikai tādā apmērā un tik ilgi, kā noteikts vietējos tiesību aktos. Tas neskar 14. klauzulu, jo īpaši 14. klauzulas e) punktā paredzēto prasību datu saņēmējiem visā līguma darbības laikā sniegt paziņojumu datu nosūtītājam, ja tam ir iemesls uzskatīt, ka uz to attiecas vai turpmāk attieksies tiesību akti vai prakse, kas neatbilst 14. klauzulas e) punktā paredzētajām prasībām.

8.6.   Apstrādes drošība

a)

Datu saņēmējs un nosūtīšanas laikā arī datu nosūtītājs īsteno atbilstošus tehniskos un organizatoriskos pasākumus, lai nodrošinātu datu drošību, tostarp aizsardzību pret drošības pārkāpumiem, kuru rezultātā var notikt nejauša vai nelikumīga datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem (turpmāk tekstā – “personas datu aizsardzības pārkāpums”). Novērtējot atbilstošu drošības līmeni, tiem ir pienācīgi jāņem vērā tehniskās iespējas, īstenošanas izmaksas, apstrādes raksturs, apmērs, konteksts un nolūks un ar apstrādi saistītie riski datu subjektam. Pusēm jo īpaši jāapsver iespēja izmantot šifrēšanu vai pseidonimizāciju, tostarp nosūtīšanas laikā, ja tādējādi var sasniegt apstrādes mērķi. Ja iespējams, pseidonimizācijas gadījumā papildu informācija personas datu sasaistei ar konkrētu datu subjektu paliek datu nosūtītāja vai pārziņa ekskluzīvā kontrolē. Nodrošinot savu pienākumu izpildi saskaņā ar šo punktu, datu saņēmējam jāīsteno vismaz II pielikumā minētie tehniskie un organizatoriskie pasākumi. Datu saņēmējs veic regulāras pārbaudes, lai nodrošinātu, ka šādi pasākumi turpina sniegt atbilstošu drošības līmeni.

b)

Datu saņēmējs saviem darbiniekiem nodrošina piekļuvi datiem vienīgi tādā apmērā, kas ir obligāti nepieciešams līguma īstenošanai, pārvaldībai un uzraudzībai. Datu nosūtītājs nodrošina, ka personas, kuras ir pilnvarotas apstrādāt personas datus, ir apņēmušās ievērot konfidencialitāti vai tām ir noteikts attiecīgs likumisks pienākums ievērot konfidencialitāti.

c)

Personas datu aizsardzības pārkāpuma gadījumā, kas attiecas uz personas datiem, ko apstrādā datu saņēmējs saskaņā ar šīm klauzulām, datu saņēmējs veic atbilstošus pasākumus, lai novērstu personas datu aizsardzības pārkāpumu, tostarp pasākumus, lai mazinātu tā nelabvēlīgo ietekmi. Pēc tam, kad tam kļuvis zināms par pārkāpumu, datu saņēmējs bez nepamatotas kavēšanās arī informē datu nosūtītāju un, ja tas ir piemēroti un iespējami, – pārzini. Šādā paziņojumā norāda datus par kontaktpunktu papildu informācijas saņemšanai, aprakstu par pārkāpuma raksturu (tostarp, ja iespējams, attiecīgo datu subjektu un personas datu ierakstu kategorijas un aptuveno skaitu), tā iespējamās sekas un veiktos vai ierosinātos pasākumus, lai novērstu datu aizsardzības pārkāpumu, tostarp pasākumus tā iespējamās nelabvēlīgās ietekmes mazināšanai. Ja un ciktāl nav iespējams sniegt visu informāciju vienlaikus, sākotnējā paziņojumā jānorāda visa attiecīgajā brīdī pieejamā informācija un pēc tam bez nepamatotas kavēšanās jāsniedz papildu informācija, tiklīdz tā kļūst pieejama.

d)

Datu saņēmējs sadarbojas ar datu nosūtītāju un palīdz tam, lai nodrošinātu iespēju datu nosūtītājam izpildīt Regulā (ES) 2016/679 paredzētos pienākumus, jo īpaši informēt pārzini, lai tas savukārt varētu informēt kompetento uzraudzības iestādi un skartos datu subjektus, ņemot vērā apstrādes veidu un datu saņēmējam pieejamo informāciju.

8.7.   Sensitīvi dati

Gadījumā, ja tiek nosūtīti personas dati, kuri atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, ģenētiskie dati vai biometriskie dati fiziskas personas unikālai identifikācijai, veselības dati vai dati par fiziskas personas dzimumdzīvi vai seksuālo orientāciju, vai dati par sodāmību un pārkāpumiem (turpmāk tekstā – “sensitīvi dati”), datu saņēmējs piemēro konkrētus ierobežojumus un/vai papildu garantijas, kas aprakstītas I.B pielikumā.

8.8.   Tālāka nosūtīšana

Datu saņēmējs izpauž personas datus trešai personai vienīgi saskaņā ar pārziņa dokumentētiem norādījumiem, kurus datu saņēmējam sniedzis datu nosūtītājs. Turklāt izpaust datus trešām personām, kas atrodas ārpus Eiropas Savienības (6) (tajā pašā valstī, kurā atrodas datu saņēmējs, vai citā trešā valstī, turpmāk tekstā – “tālāka nosūtīšana”), drīkst tikai tad, ja trešai personai ir saistošas šīs klauzulas vai arī tā piekrīt, ka tai ir saistošas šīs klauzulas, saskaņā ar atbilstošo moduli, vai ja:

i)

tālāku nosūtīšanu veic uz valsti, attiecībā uz kuru ir pieņemts lēmums par aizsardzības līmeņa pietiekamību saskaņā ar (ES) 2016/679 45. pantu, kurš attiecas uz tālāku nosūtīšanu;

ii)

trešā persona citādi nodrošina atbilstošas garantijas saskaņā ar Regulas (ES) 2016/679 46. vai 47. pantu;

iii)

tālāka nosūtīšana ir vajadzīga likumīgu prasību celšanai, īstenošanai vai aizstāvēšanai konkrētu administratīvo procesu, regulatīvo procesu vai tiesvedības procesu kontekstā; vai

iv)

tālāka nosūtīšana ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses.

Jebkuras tālākas nosūtīšanas gadījumā datu saņēmējam jāievēro visas pārējās garantijas atbilstoši šīm klauzulām, jo īpaši nolūka ierobežojumi.

8.9.   Dokumentācija un atbilstība

a)

Datu saņēmējs ātri un pienācīgi izskata no datu nosūtītāja vai pārziņa saņemtus jautājumus, kas saistīti ar apstrādi saskaņā ar šīm klauzulām.

b)

Pusēm jāspēj apliecināt atbilstību šīm klauzulām. Konkrētāk, datu saņēmējs glabā atbilstošo dokumentāciju par pārziņa vārdā veiktajām apstrādes darbībām.

c)

Datu saņēmējs sniedz datu nosūtītājam visu informāciju, kas nepieciešama, lai apliecinātu atbilstību šajās klauzulās noteiktajiem pienākumiem, un datu nosūtītājs sniedz šo informāciju pārzinim.

d)

Datu saņēmējs ļauj un palīdz datu nosūtītājam veikt tādu apstrādes darbību revīzijas, uz kurām attiecas šīs klauzulas, ar pamatotu regularitāti vai ja pastāv norādes uz neatbilstību. Tā pati prasība attiecas uz gadījumiem, kad datu nosūtītājs pieprasa revīziju saskaņā ar pārziņa norādījumiem. Pieņemot lēmumu par revīziju, datu nosūtītājs var ņemt vērā atbilstīgos datu saņēmēja sertifikātus.

e)

Ja revīzija tiek veikta saskaņā ar pārziņa norādījumiem, datu nosūtītājs nodrošina rezultātu pieejamību pārzinim.

f)

Datu nosūtītājs var izvēlēties veikt revīziju pats vai pilnvarot neatkarīgu revidentu. Revīzijas var ietvert pārbaudes datu saņēmēja telpās vai fiziskos objektos un attiecīgajos gadījumos tikt veiktas, par to paziņojot saprātīgā termiņā.

g)

Puses pēc kompetentās uzraudzības iestādes pieprasījuma sniedz b) un c) punktā minēto informāciju, tostarp jebkādu revīziju rezultātus.

CETURTAIS MODULIS. Nosūtīšana no apstrādātāja pārzinim

8.1.   Norādījumi

a)

Datu nosūtītājs apstrādā personas datus tikai pēc datu saņēmēja, kas rīkojas kā to pārzinis, dokumentētiem norādījumiem.

b)

Datu nosūtītājs nekavējoties informē datu saņēmēju, ja tas nevar izpildīt attiecīgos norādījumus, tostarp tad, ja šādi norādījumi pārkāpj Regulu (ES) 2016/679 vai citus Savienības vai dalībvalsts datu aizsardzības tiesību aktus.

c)

Datu saņēmējam jāatturas veikt jebkādas darbības, kuras traucētu datu nosūtītājam izpildīt Regulā (ES) 2016/679 paredzētos pienākumus, tostarp saistībā ar apakšapstrādi vai attiecībā uz sadarbību ar kompetentajām uzraudzības iestādēm.

d)

Pēc apstrādes pakalpojumu sniegšanas beigām datu nosūtītājs pēc datu saņēmēja izvēles dzēš visus personas datus, kas apstrādāti datu saņēmēja vārdā, un apliecina datu saņēmējam šādas darbības veikšanu vai atdod datu saņēmējam visus tā vārdā apstrādātos datus un dzēš esošās kopijas.

8.2.   Apstrādes drošība

a)

Puses īsteno atbilstošus tehniskos un organizatoriskos pasākumus, lai nodrošinātu datu drošību, tostarp nosūtīšanas laikā, un aizsardzību pret drošības pārkāpumiem, kuru rezultātā var notikt nejauša vai nelikumīga datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem (turpmāk tekstā – “personas datu aizsardzības pārkāpums”). Novērtējot atbilstošu drošības līmeni, tiem ir pienācīgi jāņem vērā tehniskās iespējas, īstenošanas izmaksas, personas datu raksturs (7), apstrādes raksturs, apmērs, konteksts un nolūks un ar apstrādi saistītie riski datu subjektam, un jo īpaši jāapsver iespēja izmantot šifrēšanu vai pseidonimizāciju, tostarp nosūtīšanas laikā, ja tādējādi var sasniegt apstrādes mērķi.

b)

Datu nosūtītājs palīdz datu saņēmējam nodrošināt pienācīgu datu drošību saskaņā ar a) punktu. Personas datu aizsardzības pārkāpuma gadījumā, kas attiecas uz personas datiem, ko apstrādā datu nosūtītājs saskaņā ar šīm klauzulām, datu nosūtītājs bez nepamatotas kavēšanās informē datu saņēmēju pēc tam, kad tam kļuvis zināms par pārkāpumu, un palīdz datu saņēmējam novērst attiecīgo pārkāpumu.

c)

Datu nosūtītājs nodrošina, ka personas, kuras ir pilnvarotas apstrādāt personas datus, ir apņēmušās ievērot konfidencialitāti vai tām ir noteikts attiecīgs likumisks pienākums ievērot konfidencialitāti.

8.3.   Dokumentācija un atbilstība

a)

Pusēm jāspēj apliecināt atbilstību šīm klauzulām.

b)

Datu nosūtītājs sniedz datu saņēmējam visu informāciju, kas nepieciešama, lai apliecinātu atbilstību šajās klauzulās noteiktajiem pienākumiem, kā arī ļauj un palīdz veikt revīzijas.

9. klauzula

Apakšapstrādātāju izmantošana

OTRAIS MODULIS. Nosūtīšana no pārziņa apstrādātājam

a)

1. IZVĒLE. KONKRĒTA IEPRIEKŠĒJA ATĻAUJA. Datu saņēmējs ne par vienu no savām apstrādes darbībām, kuras tiek veiktas datu nosūtītāja vārdā saskaņā ar šīm klauzulām, neslēdz apakšlīgumu ar apakšapstrādātāju bez datu nosūtītāja iepriekšējas konkrētas rakstiskas atļaujas. Datu saņēmējs iesniedz konkrētas atļaujas pieprasījumu vismaz [Norādīt laika periodu] pirms apakšapstrādātāja piesaistīšanas kopā ar informāciju, kas nepieciešama, lai sniegtu datu nosūtītājam iespēju pieņemt lēmumu par atļaujas piešķiršanu. Tādu apakšapstrādātāju saraksts, kurus datu nosūtītājs jau ir apstiprinājis, ir atrodams III pielikumā. Puses atjaunina III pielikumu.

2. IZVĒLE. VISPĀRĒJA RAKSTISKA ATĻAUJA. Datu saņēmējam ir datu nosūtītāja vispārējā atļauja apakšapstrādātāja(-u) piesaistīšanai no apstiprināta saraksta. Datu saņēmējs īpaši paziņo datu nosūtītājam rakstveidā par jebkādām paredzētām izmaiņām minētajā sarakstā, pievienojot vai aizstājot apakšapstrādātājus, vismaz [Norādīt laika periodu] iepriekš, tādējādi nodrošinot datu nosūtītājam pietiekami daudz laika, lai tas varētu iebilst pret šādām izmaiņām pirms apakšapstrādātāja(-u) piesaistīšanas. Datu saņēmējs sniedz datu nosūtītājam informāciju, kas nepieciešama, lai ļautu datu nosūtītājam izmantot savas tiesības iebilst.

b)

Ja datu saņēmējs piesaista apakšapstrādātāju konkrētu apstrādes darbību īstenošanai (datu nosūtītāja vārdā), to veic, izmantojot rakstisku līgumu, kurā pēc būtības noteikti tādi paši datu aizsardzības pienākumi kā līgumos, kuri ir saistoši datu saņēmējam saskaņā ar šīm klauzulām, tostarp attiecībā uz ieinteresēto trešo personu tiesībām datu subjektiem (8). Puses vienojas, ka, nodrošinot atbilstību šai klauzulai, datu saņēmējs izpilda 8.8. klauzulā paredzētos pienākumus. Datu saņēmējs nodrošina, ka apakšapstrādātājs izpilda pienākumus, kuri attiecas uz datu saņēmēju saskaņā ar šīm klauzulām.

c)

Datu saņēmējs pēc datu nosūtītāja pieprasījuma datu nosūtītājam dara pieejamu šāda apakšapstrādātāja līguma un jebkādu turpmāko grozījumu kopiju. Ciktāl tas nepieciešams komercnoslēpuma vai citas konfidenciālas informācijas, tostarp personas datu, aizsardzībai, datu saņēmējs var rediģēt līguma tekstu pirms kopijas kopīgošanas.

d)

Datu saņēmējs saglabā pilnu atbildību datu nosūtītāja priekšā par apakšapstrādātāja pienākumu īstenošanu atbilstoši līgumam ar datu saņēmēju. Datu saņēmējs informē datu nosūtītāju, ja apakšapstrādātājs jebkādā veidā nav izpildījis minētajā līgumā paredzētos pienākumus.

e)

Datu saņēmējs vienojas ar apakšapstrādātāju par ieinteresēto trešo personu klauzulu, tādējādi gadījumā, ja datu saņēmējs ir faktiski zudis, juridiski beidzis pastāvēt vai arī ir kļuvis maksātnespējīgs, datu nosūtītājam ir tiesības izbeigt apakšapstrādātāja līgumu un dot apakšapstrādātājam rīkojumu dzēst vai atdot personas datus.

TREŠAIS MODULIS. Nosūtīšana no apstrādātāja apstrādātājam

a)

1. IZVĒLE. KONKRĒTA IEPRIEKŠĒJA ATĻAUJA. Datu saņēmējs ne par vienu no savām apstrādes darbībām, kuras tiek veiktas datu nosūtītāja vārdā saskaņā ar šīm klauzulām, neslēdz apakšlīgumu ar apakšapstrādātāju bez pārziņa iepriekšējas konkrētas rakstiskas atļaujas. Datu saņēmējs iesniedz konkrētas atļaujas pieprasījumu vismaz [Norādīt laika periodu] pirms apakšapstrādātāja piesaistīšanas kopā ar informāciju, kas nepieciešama, lai sniegtu pārzinim iespēju pieņemt lēmumu par atļaujas piešķiršanu. Tas informē datu nosūtītāju par šādu piesaistīšanu. Tādu apakšapstrādātāju saraksts, kurus pārzinis jau ir apstiprinājis, ir atrodams III pielikumā. Puses atjaunina III pielikumu.

2. IZVĒLE. VISPĀRĒJA RAKSTISKA ATĻAUJA. Datu saņēmējam ir pārziņa vispārējā atļauja apakšapstrādātāja(-u) piesaistīšanai no apstiprināta saraksta. Datu saņēmējs īpaši paziņo pārzinim rakstveidā par jebkādām paredzētām izmaiņām minētajā sarakstā, pievienojot vai aizstājot apakšapstrādātājus, vismaz [Norādīt laika periodu] iepriekš, tādējādi nodrošinot pārzinim pietiekami daudz laika, lai tas varētu iebilst pret šādām izmaiņām pirms apakšapstrādātāja(-u) piesaistīšanas. Pārzinis sniedz datu nosūtītājam informāciju, kas nepieciešama, lai ļautu pārzinim izmantot savas tiesības iebilst. Datu saņēmējs informē datu nosūtītāju par apakšapstrādātāja(-u) piesaistīšanu.

b)

Ja datu saņēmējs piesaista apakšapstrādātāju konkrētu apstrādes darbību īstenošanai (pārziņa vārdā), to veic, izmantojot rakstisku līgumu, kurā pēc būtības noteikti tādi paši datu aizsardzības pienākumi kā līgumos, kuri ir saistoši datu saņēmējam saskaņā ar šīm klauzulām, tostarp attiecībā uz ieinteresēto trešo personu tiesībām datu subjektiem (9). Puses vienojas, ka, nodrošinot atbilstību šai klauzulai, datu saņēmējs izpilda 8.8. klauzulā paredzētos pienākumus. Datu saņēmējs nodrošina, ka apakšapstrādātājs izpilda pienākumus, kuri attiecas uz datu saņēmēju saskaņā ar šīm klauzulām.

c)

Datu saņēmējs pēc datu nosūtītāja vai pārziņa pieprasījuma sniedz šāda apakšapstrādātāja līguma un jebkādu turpmāko grozījumu kopiju. Ciktāl tas nepieciešams komercnoslēpuma vai citas konfidenciālas informācijas, tostarp personas datu, aizsardzībai, datu saņēmējs var rediģēt līguma tekstu pirms kopijas kopīgošanas.

d)

Datu saņēmējs saglabā pilnu atbildību datu nosūtītāja priekšā par apakšapstrādātāja pienākumu īstenošanu atbilstoši līgumam ar datu saņēmēju. Datu saņēmējs informē datu nosūtītāju, ja apakšapstrādātājs jebkādā veidā nav izpildījis minētajā līgumā paredzētos pienākumus.

e)

Datu saņēmējs vienojas ar apakšapstrādātāju par ieinteresēto trešo personu klauzulu, tādējādi gadījumā, ja datu saņēmējs ir faktiski zudis, juridiski beidzis pastāvēt vai arī ir kļuvis maksātnespējīgs, datu nosūtītājam ir tiesības izbeigt apakšapstrādātāja līgumu un dot apakšapstrādātājam rīkojumu dzēst vai atdot personas datus.

10. klauzula

Datu subjekta tiesības

PIRMAIS MODULIS. Nosūtīšana no pārziņa pārzinim

a)

Datu saņēmējs attiecīgajos gadījumos ar datu nosūtītāja palīdzību bez nepamatotas kavēšanās un ne ilgāk kā viena mēneša laikā pēc jebkura jautājuma vai pieprasījuma saņemšanas izskata jautājumus un pieprasījumus, kurus tas saņem no datu subjekta saistībā ar tā personas datu apstrādi un tiesību izmantošanu saskaņā ar šīm klauzulām (10). Datu saņēmējs veic atbilstošus pasākumus, lai sekmētu šādus jautājumus, pieprasījumus un datu subjekta tiesību izmantošanu. Jebkura datu subjektam nodrošinātā informācija jāsniedz saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu.

b)

Konkrētāk, pēc datu subjekta pieprasījuma datu saņēmējs bez maksas:

i)

sniedz datu subjektam apstiprinājumu par to, vai tiek apstrādāti uz viņu attiecošies personas dati, un, ja tas tā ir, ar viņu saistīto datu un I pielikumā norādītās informācijas kopiju; ja personas dati ir pārsūtīti vai tiks pārsūtīti tālāk, – sniedz informāciju par saņēmējiem vai saņēmēju kategorijām (atbilstoši, lai tiktu sniegta jēgpilna informācija), kam personas dati ir vai tiks nosūtīti, dara zināmu šādas datu tālākas nosūtīšanas mērķi un tās pamatojumu saskaņā ar 8.7. klauzulu; un sniedz informāciju par tiesībām iesniegt sūdzību uzraudzības iestādē saskaņā ar 12. klauzulas c) punkta i) apakšpunktu;

ii)

labo neprecīzus vai nepilnīgus datus par datu subjektu;

iii)

dzēš personas datus par datu subjektu, ja šādi dati tiek vai tikuši apstrādāti, pārkāpjot kādu no šīm klauzulām, kas nodrošina ieinteresēto trešo personu tiesības, vai ja datu subjekts atsauc savu piekrišanu, uz kuras balstīta apstrāde.

c)

Ja datu saņēmējs apstrādā personas datus tiešās tirgvedības nolūkos, tas pārtrauc apstrādi šādiem mērķiem, ja datu subjekts pret to iebilst.

d)

Datu saņēmējs nepieņem lēmumu, pamatojoties vienīgi uz automatizētu nosūtīto personas datu apstrādi (turpmāk tekstā – “automatizēts lēmums”), kas datu subjektam radītu tiesiskas sekas vai līdzīgi būtiski to ietekmētu, ja vien tas nav darīts ar datu subjekta nepārprotamu piekrišanu vai ja datu saņēmējs nav pilnvarots šādi rīkoties saskaņā ar galamērķa valsts tiesību aktiem, ar nosacījumu, ka šādi tiesību akti paredz piemērotus pasākumus datu subjekta tiesību un interešu aizsardzībai. Šādā gadījumā datu saņēmējs, nepieciešamības gadījumā sadarbojoties ar datu nosūtītāju:

i)

informē datu subjektu par paredzēto automatizēto lēmumu un paredzētajām sekām, kā arī par pamatā esošo loģiku; un

ii)

īsteno atbilstošas garantijas, vismaz sniedzot datu subjektam iespēju apstrīdēt lēmumu, izskaidrot savu viedokli un panākt, lai automatizēto lēmumu pārbaudītu cilvēks.

e)

Ja datu subjekta pieprasījumi ir pārmērīgi, jo īpaši to regulāras atkārtošanās dēļ, datu saņēmējs var iekasēt saprātīgu samaksu, ņemot vērā pieprasījuma administratīvās izmaksas, vai atteikties veikt pieprasīto darbību.

f)

Datu saņēmējs var noraidīt datu subjekta pieprasījumu, ja šāds atteikums ir atļauts saskaņā ar galamērķa valsts tiesību aktiem un ja tas demokrātiskā sabiedrībā ir nepieciešami un samērīgi, lai aizsargātu kādu no mērķiem, kuri minēti Regulas (ES) 2016/679 23. panta 1. punktā.

g)

Ja datu saņēmējs ir paredzējis noraidīt datu subjekta pieprasījumu, tas informē datu subjektu par atteikuma iemesliem un par iespēju iesniegt sūdzību kompetentajai uzraudzības iestādei un/vai tiesiskās aizsardzības saņemšanu.

OTRAIS MODULIS. Nosūtīšana no pārziņa apstrādātājam

a)

Datu saņēmējs nekavējoties informē datu nosūtītāju par jebkuru pieprasījumu, kuru tas saņēmis no datu subjekta. Datu saņēmējs pats nesniedz atbildi uz šo pieprasījumu, ja vien datu nosūtītājs to nav atļāvis darīt.

b)

Datu saņēmējs palīdz datu nosūtītājam izpildīt pienākumus atbildēt uz datu subjektu pieprasījumiem, īstenojot to tiesības saskaņā ar Regulu (ES) 2016/679. Šajā saistībā puses II pielikumā nosaka tādus atbilstošus tehniskos un organizatoriskos pasākumus, ņemot vērā apstrādes raksturu, kuri tiks izmantoti palīdzības sniegšanai, kā arī vajadzīgās palīdzības tvērumu un apjomu.

c)

Izpildot savus pienākumus saskaņā ar a) un b) punktu, datu saņēmējam jāievēro datu nosūtītāja norādījumi.

TREŠAIS MODULIS. Nosūtīšana no apstrādātāja apstrādātājam

a)

Datu saņēmējs nekavējoties informē datu nosūtītāju un attiecīgos gadījumos pārzini par jebkuru pieprasījumu, kuru tas saņēmis no datu subjekta, pats nesniedzot atbildi uz šo pieprasījumu, ja vien pārzinis to nav atļāvis darīt.

b)

Datu saņēmējs, attiecīgos gadījumos sadarbojoties ar datu nosūtītāju, palīdz pārzinim izpildīt pienākumus atbildēt uz datu subjektu pieprasījumiem, īstenojot to tiesības saskaņā ar Regulu (ES) 2016/679 vai Regulu (ES) 2018/1725. Šajā saistībā puses II pielikumā nosaka tādus atbilstošus tehniskos un organizatoriskos pasākumus, ņemot vērā apstrādes raksturu, kuri tiks izmantoti palīdzības sniegšanai, kā arī nepieciešamās palīdzības tvērumu un apjomu.

c)

Izpildot savus pienākumus saskaņā ar a) un b) punktu, datu saņēmējam jāievēro pārziņa norādījumi, kuri sniegti ar datu nosūtītāja starpniecību.

CETURTAIS MODULIS. Nosūtīšana no apstrādātāja pārzinim

Puses sniedz savstarpēju palīdzību, atbildot uz jautājumiem un pieprasījumiem, kurus datu subjekti iesniedz saskaņā ar vietējiem tiesību aktiem, kas attiecas uz datu saņēmēju, vai – ja datu nosūtītājs veic datu apstrādi Eiropas Savienībā – saskaņā ar Regulu (ES) 2016/679.

11. klauzula

Tiesiskās aizsardzības līdzekļi

a)

Datu saņēmējs informē datu subjektus pārredzamā un viegli pieejamā veidā ar atsevišķu paziņojumu starpniecību vai savā tīmekļa vietnē par kontaktpunktu, kas pilnvarots izskatīt sūdzības. Tas nekavējoties izskata visas no datu subjektiem saņemtās sūdzības.

[IZVĒLE. Datu saņēmējs piekrīt, ka datu subjekti var arī iesniegt sūdzību neatkarīgai strīdu izšķiršanas struktūrai (11), datu subjektam saistībā ar to nerodoties nekādām izmaksām. Tas informē datu subjektus a) punktā minētajā veidā par šādu tiesiskās aizsardzības mehānismu un par to, ka tiem nav obligāti tas jāizmanto vai jāievēro noteikta procedūra, cenšoties saņemt tiesisko aizsardzību.]

PIRMAIS MODULIS. Nosūtīšana no pārziņa pārzinim

OTRAIS MODULIS. Nosūtīšana no pārziņa apstrādātājam

TREŠAIS MODULIS. Nosūtīšana no apstrādātāja apstrādātājam

b)

Ja rodas domstarpības starp datu subjektu un vienu no pusēm attiecībā uz atbilstību šīm klauzulām, attiecīgā puse dara visu iespējamo, lai savlaicīgi atrisinātu jautājumu un panāktu izlīgumu. Puses savstarpēji sniedz informāciju par šādām domstarpībām un attiecīgos gadījumos sadarbojas, lai tās atrisinātu.

c)

Ja datu subjekts atsaucas uz ieinteresētās trešās personas tiesībām saskaņā ar 3. klauzulu, datu saņēmējs pieņem datu subjekta lēmumu:

i)

iesniegt sūdzību uzraudzības iestādei dalībvalstī, kurā ir viņa pastāvīgā dzīvesvieta vai darbavieta, vai kompetentajai uzraudzības iestādei saskaņā ar 13. klauzulu;

ii)

nodot strīdu izskatīšanai kompetentajām tiesām 18. klauzulas izpratnē.

d)

Puses pieņem, ka datu subjektu var pārstāvēt bezpeļņas struktūra, organizācija vai apvienība saskaņā ar nosacījumiem, kuri izklāstīti Regulas (ES) 2016/679 80. panta 1. punktā.

e)

Datu saņēmējs ievēro lēmumu, kas ir saistošs saskaņā ar piemērojamiem ES/dalībvalsts tiesību aktiem.

f)

Datu saņēmējs apstiprina, ka datu subjekta veiktā izvēle neskars viņa materiālās un procesuālās tiesības saņemt tiesisko aizsardzību saskaņā ar piemērojamiem tiesību aktiem.

12. klauzula

Atbildība

PIRMAIS MODULIS. Nosūtīšana no pārziņa pārzinim

CETURTAIS MODULIS. Nosūtīšana no apstrādātāja pārzinim

a)

Katra puse ir atbildīga citu pušu priekšā par jebkuru kaitējumu, ko tā nodarījusi citām pusēm, jebkādā veidā pārkāpjot šīs klauzulas.

b)

Katra puse ir atbildīga datu subjekta priekšā, un datu subjektam ir tiesības saņemt kompensāciju par jebkādu materiālo vai nemateriālo kaitējumu, ko attiecīgā puse izraisījusi datu subjektam, pārkāpjot ieinteresēto trešo personu tiesības saskaņā ar šīm klauzulām. Tas neskar datu nosūtītāja atbildību saskaņā ar Regulu (ES) 2016/679.

c)

Ja par jebkādu datu subjektam nodarīto kaitējumu, kas izriet no šo klauzulu pārkāpuma, ir atbildīga vairāk nekā viena puse, visas atbildīgās puses ir solidāri atbildīgas un datu subjektam ir tiesības uzsākt tiesvedību pret jebkuru no šīm pusēm.

d)

Puses vienojas, ka gadījumā, ja viena puse ir uzskatāma par atbildīgu saskaņā ar c) punktu, tai ir tiesības pieprasīt no citas(-ām) puses(-ēm) kompensācijas daļu, kas atbilst tās(-o) atbildībai par kaitējumu.

e)

Datu saņēmējs nedrīkst atsaukties uz apstrādātāja vai apakšapstrādātāja rīcību, lai izvairītos no savas atbildības.

OTRAIS MODULIS. Nosūtīšana no pārziņa apstrādātājam

TREŠAIS MODULIS. Nosūtīšana no apstrādātāja apstrādātājam

a)

Katra puse ir atbildīga citu pušu priekšā par jebkādu kaitējumu, ko tā nodarījusi citām pusēm, jebkādā veidā pārkāpjot šīs klauzulas.

b)

Datu saņēmējs ir atbildīgs datu subjekta priekšā, un datu subjektam ir tiesības saņemt kompensāciju par jebkādu materiālo vai nemateriālo kaitējumu, ko datu saņēmējs vai tā piesaistītais apakšapstrādātājs izraisījis datu subjektam, pārkāpjot ieinteresēto trešo personu tiesības saskaņā ar šīm klauzulām.

c)

Neatkarīgi no b) punkta datu nosūtītājs ir atbildīgs datu subjekta priekšā, un datu subjektam ir tiesības saņemt kompensāciju par jebkādu materiālo vai nemateriālo kaitējumu, ko datu nosūtītājs vai datu saņēmējs (vai tā piesaistītais apakšapstrādātājs) izraisa datu subjektam, pārkāpjot ieinteresēto trešo personu tiesības saskaņā ar šīm klauzulām. Tas neskar datu nosūtītāja atbildību un – ja datu nosūtītājs ir apstrādātājs, kas rīkojas pārziņa vārdā, – pārziņa atbildību saskaņā ar Regulu (ES) 2016/679 vai Regulu (ES) 2018/1725.

d)

Puses vienojas, ka tad, ja datu nosūtītājs uzskatāms par atbildīgu saskaņā ar c) punktu par kaitējumu, ko izraisījis datu saņēmējs (vai tā apakšapstrādātājs), tam ir tiesības pieprasīt no datu saņēmēja kompensācijas daļu, kas atbilst datu saņēmēja atbildībai par kaitējumu.

e)

Ja par jebkādu datu subjektam nodarīto kaitējumu, kas izriet no šo klauzulu pārkāpuma, ir atbildīga vairāk nekā viena puse, visas atbildīgās puses ir solidāri atbildīgas un datu subjektam ir tiesības uzsākt tiesvedību pret jebkuru no šīm pusēm.

f)

Puses vienojas, ka gadījumā, ja viena puse ir uzskatāma par atbildīgu saskaņā ar e) punktu, tai ir tiesības pieprasīt no citas(-ām) puses(-ēm) kompensācijas daļu, kas atbilst tās(-o) atbildībai par kaitējumu.

g)

Datu saņēmējs nedrīkst atsaukties uz apakšapstrādātāja rīcību, lai izvairītos no savas atbildības.

13. klauzula

Uzraudzība

PIRMAIS MODULIS. Nosūtīšana no pārziņa pārzinim

OTRAIS MODULIS. Nosūtīšana no pārziņa apstrādātājam

TREŠAIS MODULIS. Nosūtīšana no apstrādātāja apstrādātājam

a)

[Ja datu nosūtītājs ir iedibināts ES dalībvalstī:] Kompetentās uzraudzības iestādes funkciju īsteno uzraudzības iestāde, kura ir atbildīga par to, lai nodrošinātu datu nosūtītāja atbilstību Regulai (ES) 2016/679 datu nosūtīšanas jomā, kā norādīts I.C pielikumā.

[Ja datu nosūtītājs nav iedibināts ES dalībvalstī, bet ietilpst Regulas (ES) 2016/679 teritoriālās piemērošanas jomā saskaņā ar 3. panta 2. punktu un ir iecēlis pārstāvi saskaņā ar Regulas (ES) 2016/679 27. panta 1. punktu:] Kompetentās uzraudzības iestādes funkciju īsteno tās dalībvalsts uzraudzības iestāde, kurā ir iedibināts pārstāvis Regulas (ES) 2016/679 27. panta 1. punkta izpratnē, kā norādīts I.C pielikumā.

[Ja datu nosūtītājs nav iedibināts ES dalībvalstī, bet ietilpst Regulas (ES) 2016/679 teritoriālās piemērošanas jomā saskaņā ar 3. panta 2. punktu, tomēr neieceļot pārstāvi saskaņā ar Regulas (ES) 2016/679 27. panta 2. punktu:] Kompetentās uzraudzības iestādes funkciju īsteno uzraudzības iestāde vienā no dalībvalstīm, kurās atrodas datu subjekti, kuru personas dati tiek nosūtīti saskaņā ar šīm klauzulām saistībā ar preču un pakalpojumu piedāvāšanu tiem vai kuru rīcība tiek novērota, kā norādīts I.C pielikumā.

b)

Datu saņēmējs piekrīt pakļauties kompetentās uzraudzības iestādes jurisdikcijai un sadarboties ar to jebkuru procedūru ietvaros, kuru mērķis ir nodrošināt atbilstību šīm klauzulām. Konkrētāk, datu saņēmējs piekrīt atbildēt uz jautājumiem, atļaut veikt revīzijas un ievērot uzraudzības iestādes pieņemtos pasākumus, tostarp korektīvos un kompensējošos pasākumus. Tas sniedz uzraudzības iestādei rakstisku apstiprinājumu, ka ir veiktas vajadzīgās darbības.

III IEDAĻA. VIETĒJIE TIESĪBU AKTI UN PIENĀKUMI PUBLISKU IESTĀŽU VEIKTAS PIEKĻUVES GADĪJUMĀ

14. klauzula

Vietējie tiesību akti un prakse, kas ietekmē atbilstību klauzulām

PIRMAIS MODULIS. Nosūtīšana no pārziņa pārzinim

OTRAIS MODULIS. Nosūtīšana no pārziņa apstrādātājam

TREŠAIS MODULIS. Nosūtīšana no apstrādātāja apstrādātājam

CETURTAIS MODULIS. Nosūtīšana no apstrādātāja pārzinim (ja ES apstrādātājs apvieno personas datus, kas saņemti no pārziņa trešā valstī, ar personas datiem, kurus savācis apstrādātājs Eiropas Savienībā)

a)

Puses garantē, ka tām nav iemesla uzskatīt, ka galamērķa trešās valsts tiesību akti un prakse, kas attiecas uz datu saņēmēja veiktu personas datu apstrādi, tostarp jebkādas prasības izpaust personas datus vai pasākumi, ar kuriem tiek atļauta publisku iestāžu veikta piekļuve, neliedz datu saņēmējam īstenot šajās klauzulās paredzētos pienākumus. Tas balstās uz izpratni, ka tiesību akti un prakse, ar kuriem tiek ievērota pamattiesību un pamatbrīvību būtība un netiek pārsniegts līmenis, kas ir nepieciešams un samērīgs demokrātiskā sabiedrībā, lai garantētu kādu no Regulas (ES) 2016/679 23. panta 1. punktā minētajiem mērķiem, nav pretrunā šīm klauzulām.

b)

Puses paziņo, ka, sniedzot a) punktā minēto garantiju, tās ir pienācīgi ņēmušas vērā šādus elementus:

i)

nosūtīšanas konkrētos apstākļus, tostarp apstrādes ķēdes garumu, iesaistīto dalībnieku skaitu un izmantotos nosūtīšanas kanālus; paredzētu tālāku nosūtīšanu; saņēmēja veidu; apstrādes mērķi; nosūtīto personas datu kategorijas un formātu; ekonomikas nozari, kurā notiek nosūtīšana; nosūtīto datu glabāšanas vietu;

ii)

galamērķa trešās valsts tiesību aktus un praksi – tostarp tādus tiesību aktus un praksi, saskaņā ar ko ir jāizpauž dati publiskām iestādēm vai ar ko tiek atļauta publisku iestāžu veikta piekļuve, – kas ir nozīmīga, ņemot vērā nosūtīšanas konkrētos apstākļus, kā arī atbilstošos ierobežojumus un garantijas (12);

iii)

visas atbilstīgās līgumiskās, tehniskās un organizatoriskās garantijas, kas ieviestas, lai papildinātu šajās klauzulās paredzētās garantijas, tostarp pasākumus, kurus izmanto nosūtīšanas laikā un attiecībā uz personas datu apstrādi galamērķa valstī.

c)

Datu saņēmējs garantē, ka, veicot b) punktā minēto novērtējumu, tas ir darījis visu iespējamo, lai nodrošinātu datu nosūtītājam atbilstīgo informāciju, un apņemas turpināt sadarbību ar datu nosūtītāju, lai nodrošinātu atbilstību šīm klauzulām.

d)

Puses vienojas dokumentēt b) punktā minēto novērtējumu un pēc pieprasījuma darīt to pieejamu kompetentajai uzraudzības iestādei.

e)

Datu saņēmējs apņemas nekavējoties informēt datu nosūtītāju, ja pēc šo klauzulu apstiprināšanas un visā līguma darbības laikā tam ir iemesls uzskatīt, ka uz to attiecas vai turpmāk attieksies tiesību akti vai prakse, kas neatbilst a) punktā paredzētajām prasībām, tostarp pēc trešās valsts tiesību aktu grozījumiem vai pasākuma (piemēram, datu izpaušanas pieprasījums), kas liecina par tādu tiesību aktu īstenošanu praksē, kuri neatbilst a) punktā minētajām prasībām. [Trešajam modulim: datu nosūtītājs pārsūta paziņojumu pārzinim.]

f)

Pēc e) punktā minētā paziņojuma vai tad, ja datu nosūtītājam ir cits iemesls uzskatīt, ka datu saņēmējs vairs nevar pildīt savus pienākumus atbilstoši šīm klauzulām, datu nosūtītājs nekavējoties nosaka atbilstošus pasākumus (piemēram, tehniskus vai organizatoriskus pasākumus, lai nodrošinātu drošību un konfidencialitāti), kuri jāpieņem datu nosūtītājam un/vai datu saņēmējam situācijas risināšanai [trešajam modulim: attiecīgajos gadījumos veic apspriešanos ar pārzini]. Datu nosūtītājs aptur datu nosūtīšanu, ja tas uzskata, ka nav iespējams nodrošināt atbilstošas aizsardzības garantijas šādai nosūtīšanai vai arī pēc attiecīgu [trešajam modulim: pārziņa vai] kompetentās uzraudzības iestādes norādījumu saņemšanas. Šādā gadījumā datu nosūtītājam ir tiesības izbeigt līgumu, ciktāl tas attiecas uz personas datu apstrādi atbilstoši šīm klauzulām. Ja līgumu noslēgušas vairāk nekā divas puses, datu nosūtītājs var izmantot izbeigšanas tiesības tikai attiecībā uz konkrētu pusi, ja vien puses nav vienojušās citādi. Izbeidzot līgumu saskaņā ar šo klauzulu, tiek piemērots 16. klauzulas d) un e) punkts.

15. klauzula

Datu saņēmēja pienākumi publisku iestāžu veiktas piekļuves gadījumā

PIRMAIS MODULIS. Nosūtīšana no pārziņa pārzinim

OTRAIS MODULIS. Nosūtīšana no pārziņa apstrādātājam

TREŠAIS MODULIS. Nosūtīšana no apstrādātāja apstrādātājam

CETURTAIS MODULIS. Nosūtīšana no apstrādātāja pārzinim (gadījumā, ja ES apstrādātājs apvieno personas datus, kas saņemti no pārziņa trešā valstī, ar personas datiem, kurus savācis apstrādātājs Eiropas Savienībā)

15.1.   Paziņošana

a)

Datu saņēmējs apņemas nekavējoties informēt datu nosūtītāju un, ja iespējams, datu subjektu (nepieciešamības gadījumā ar datu nosūtītāja palīdzību), ja:

i)

tas saņem juridiski saistošu pieprasījumu no publiskām, tostarp tiesu, iestādēm saskaņā ar galamērķa valsts tiesību aktiem par tādu personas datu izpaušanu, kuri nosūtīti atbilstoši šīm klauzulām; šādā paziņojumā norāda informāciju par pieprasītajiem personas datiem, pieprasītāju iestādi, pieprasījuma juridisko pamatu un sniegto atbildi; vai

ii)

tam kļūst zināms par publisko iestāžu jebkādu tiešu piekļuvi personas datiem, kuri nosūtīti atbilstoši šīm klauzulām, saskaņā ar galamērķa valsts tiesību aktiem; šādā paziņojumā norāda visu saņēmējam pieejamo informāciju.

[Trešajam modulim: datu nosūtītājs pārsūta paziņojumu pārzinim.]

b)

Ja datu saņēmējam ir aizliegts informēt datu nosūtītāju un/vai datu subjektu saskaņā ar galamērķa valsts tiesību aktiem, datu saņēmējs apņemas darīt visu iespējamo, lai panāktu aizlieguma atcelšanu, ar mērķi paziņot pēc iespējas vairāk informācijas pēc iespējas ātrāk. Datu saņēmējs apņemas dokumentēt savas darbības, lai varētu tās apliecināt pēc datu nosūtītāja pieprasījuma.

c)

Ja tas ir atļauts saskaņā ar galamērķa valsts tiesību aktiem, datu saņēmējs apņemas regulāri visā līguma darbības laikā sniegt datu nosūtītājam pēc iespējas vairāk būtiskas informācijas par saņemtajiem pieprasījumiem (konkrētāk, pieprasījumu skaits, pieprasīto datu veids, pieprasītāja(-as) iestādes(-es), tas, vai pieprasījumi ir apstrīdēti, un šādas apstrīdēšanas iznākums utt.). [Trešajam modulim: datu nosūtītājs pārsūta informāciju pārzinim.]

d)

Datu saņēmējs apņemas glabāt a)–c) punktā minēto informāciju līguma darbības laikā un pēc pieprasījuma darīt to pieejamu kompetentajai uzraudzības iestādei.

e)

Minētais a)–c) punkts neskar datu saņēmēja pienākumu saskaņā ar 14. klauzulas e) punktu un 16. klauzulu nekavējoties informēt datu nosūtītāju, ja nav iespējams nodrošināt atbilstību šīm klauzulām.

15.2.   Likumības pārbaude un datu minimizēšana

a)

Datu saņēmējs apņemas pārbaudīt datu izpaušanas pieprasījuma likumību, jo īpaši, vai tas ietilpst pieprasītājas publiskās iestādes pilnvarās, un apstrīdēt pieprasījumu, ja tas pēc rūpīga novērtējuma secina, ka pastāv pamats uzskatīt, ka pieprasījums ir nelikumīgs saskaņā ar galamērķa valsts tiesību aktiem, piemērojamiem pienākumiem saskaņā ar starptautiskajiem tiesību aktiem un starptautiskajiem savstarpējas atzīšanas principiem. Datu saņēmējs arī izmanto apelācijas iespējas, ievērojot minētos nosacījumus. Apstrīdot pieprasījumu, datu saņēmējs mēģina īstenot pagaidu pasākumus, lai apturētu pieprasījuma darbību, līdz kompetentā tiesu iestāde pieņem lēmumu par tā pamatotību. Tas neizpauž pieprasītos personas datus, kamēr tas nav jādara saskaņā ar piemērojamiem procedūras noteikumiem. Šīs prasības neskar datu saņēmēja pienākumus, paredzēti 14. klauzulas e) punktā.

b)

Datu saņēmējs apņemas dokumentēt savu juridisko novērtējumu un jebkādu izpaušanas pieprasījuma apstrīdēšanu un, ciktāl tas atļauts saskaņā ar galamērķa valsts tiesību aktiem, darīt dokumentus pieejamus datu nosūtītājam. Tas arī nodrošina šādas dokumentācijas pieejamību pēc kompetentās uzraudzības iestādes pieprasījuma. [Trešajam modulim: datu nosūtītājs dara novērtējumu pieejamu pārzinim.]

c)

Datu saņēmējs, atbildot uz izpaušanas pieprasījumu, apņemas sniegt minimālo pieļaujamo informācijas daudzumu, pamatojoties uz pieprasījuma saprātīgu interpretāciju.

IV IEDAĻA. NOBEIGUMA NOTEIKUMI

16. klauzula

Neatbilstība klauzulām un izbeigšana

a)

Datu saņēmējs nekavējoties informē datu nosūtītāju, ja tas kādu apsvērumu dēļ nevar nodrošināt atbilstību šīm klauzulām.

b)

Gadījumā, ja datu saņēmējs ir pārkāpis šīs klauzulas vai nevar nodrošināt atbilstību šīm klauzulām, datu nosūtītājs uz laiku aptur personas datu nosūtīšanu datu saņēmējam, kamēr atkal tiek nodrošināta atbilstība vai līgums tiek izbeigts. Tas neskar 14. klauzulas f) punktu.

c)

Datu nosūtītājam ir tiesības izbeigt līgumu, ciktāl tas attiecas uz personas datu apstrādi saskaņā ar šīm klauzulām, ja:

i)

datu nosūtītājs ir apturējis personas datu nosūtīšanu datu saņēmējam saskaņā ar b) punktu un atbilstība šīm klauzulām nav atjaunota saprātīgā laikposmā un jebkurā gadījumā viena mēneša laikā pēc apturēšanas;

ii)

datu saņēmējs būtiski vai pastāvīgi pārkāpj šīs klauzulas vai

iii)

datu saņēmējs neievēro kompetentās tiesas vai uzraudzības iestādes saistošu lēmumu par tā pienākumiem saskaņā ar šīm klauzulām.

Šādos gadījumos tas informē kompetento uzraudzības iestādi [trešajam modulim: un pārzini] par šādu neatbilstību. Ja līgumu noslēgušas vairāk nekā divas puses, datu nosūtītājs var izmantot izbeigšanas tiesības tikai attiecībā uz konkrētu pusi, ja vien puses nav vienojušās citādi.

d)

[Pirmajam, otrajam un trešajam modulim: personas dati, kas nosūtīti pirms līguma izbeigšanas saskaņā ar c) punktu, pēc datu nosūtītāja izvēles nekavējoties jāatdod datu nosūtītājam vai pilnībā jādzēš. Tā pati prasība attiecas uz visām datu kopijām.] [Ceturtajam modulim: personas datus, kurus savācis datu nosūtītājs Eiropas Savienībā un kuri nosūtīti pirms līguma izbeigšanas saskaņā ar c) punktu, tostarp visas to kopijas, nekavējoties pilnībā dzēš.] Datu saņēmējs apliecina datu dzēšanu datu nosūtītājam. Līdz brīdim, kad dati tiek dzēsti vai nodoti atpakaļ, datu saņēmējs turpina nodrošināt atbilstību šīm klauzulām. Ja vietējos tiesību aktos attiecībā uz datu saņēmēju tiek aizliegta nosūtīto personas datu atdošana vai dzēšana, datu saņēmējs garantē, ka tas turpinās nodrošināt atbilstību šīm klauzulām un veiks datu apstrādi tikai tādā apmērā un tik ilgi, kā noteikts vietējos tiesību aktos.

e)

Jebkura puse var atcelt savu piekrišanu, ka tai ir saistošas šīs klauzulas, ja i) Eiropas Komisija pieņem tādu lēmumu saskaņā ar 45. panta 3. punktu Regulā (ES) 2016/679, kas attiecas uz to personas datu nosūtīšanu, kuriem piemēro šīs klauzulas, vai ii) Regula (ES) 2016/679 tiek ietverta tādas valsts tiesiskajā regulējumā, uz kuru tiek nosūtīti personas dati. Tas neskar citus pienākumus, kuri attiecas uz konkrēto apstrādi saskaņā ar Regulu (ES) 2016/679.

17. klauzula

Reglamentējošie tiesību akti

PIRMAIS MODULIS. Nosūtīšana no pārziņa pārzinim

OTRAIS MODULIS. Nosūtīšana no pārziņa apstrādātājam

TREŠAIS MODULIS. Nosūtīšana no apstrādātāja apstrādātājam

[1. IZVĒLE. Šīs klauzulas reglamentē kādas ES dalībvalsts tiesību akti, ja minētajos tiesību aktos ir paredzētas ieinteresēto trešo personu tiesības. Puses vienojas, ka tie būs _______ (norādīt dalībvalsti) tiesību akti.]

[2. IZVĒLE (otrajam un trešajam modulim). Šīs klauzulas reglamentē tās ES dalībvalsts tiesību akti, kurā ir iedibināts datu nosūtītājs. Ja šādos tiesību aktos nav paredzētas ieinteresēto trešo personu tiesības, klauzulas reglamentē citas ES dalībvalsts tiesību akti, kuros ir paredzētas ieinteresēto trešo personu tiesības. Puses vienojas, ka tie būs _______ (norādīt dalībvalsti) tiesību akti.]

CETURTAIS MODULIS. Nosūtīšana no apstrādātāja pārzinim

Šīs klauzulas reglamentē valsts tiesību akti, kuros paredzētas ieinteresēto trešo personu tiesības. Puses vienojas, ka tie būs _______ (norādīt valsti) tiesību akti.

18. klauzula

Tiesas atrašanās valsts un jurisdikcijas izvēle

PIRMAIS MODULIS. Nosūtīšana no pārziņa pārzinim

OTRAIS MODULIS. Nosūtīšana no pārziņa apstrādātājam

TREŠAIS MODULIS. Nosūtīšana no apstrādātāja apstrādātājam

a)

Domstarpības, kas izriet no šīm klauzulām, risina ES dalībvalsts tiesas.

b)

Puses vienojas, ka tās būs _____ (norādīt dalībvalsti) tiesas.

c)

Datu subjekts var arī ierosināt tiesvedību pret datu nosūtītāju un/vai datu saņēmēju tādas dalībvalsts tiesās, kurā ir datu subjekta pastāvīgā dzīvesvieta.

d)

Puses vienojas pakļauties šādu tiesu jurisdikcijai.

CETURTAIS MODULIS. Nosūtīšana no apstrādātāja pārzinim

 

Domstarpības, kas izriet no šīm klauzulām, risina _____ (norādīt valsti) tiesas.


(1)  Ja datu nosūtītājs ir apstrādātājs, uz kuru attiecas Regula (ES) 2016/679 un kurš rīkojas Savienības iestādes vai struktūras vārdā kā pārzinis, šo klauzulu izmantošana, piesaistot citu apstrādātāju (apakšapstrāde), uz kuru neattiecas Regula (ES) 2016/679, arī nodrošina atbilstību 29. panta 4. punktam Eiropas Parlamenta un Padomes Regulā (ES) 2018/1725 (2018. gada 23. oktobris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK (OV L 295, 21.11.2018., 39. lpp.), ciktāl ir saskaņotas šīs klauzulas un datu aizsardzības pienākumi, kas noteikti līgumā vai citā juridiskā dokumentā starp pārzini un apstrādātāju saskaņā ar Regulas (ES) 2018/1725 29. panta 3. punktu. Tas jo īpaši attiecas uz gadījumiem, kad pārzinis un apstrādātājs atsaucas uz līguma standartklauzulām, kas ietvertas Lēmumā 2021/915.

(2)  Šī prasība paredz padarīt datus anonīmus tā, lai saskaņā ar Regulas (ES) 2016/679 26. apsvērumu personu vairs nebūtu iespējams identificēt un lai šis process būtu neatgriezenisks.

(3)  Līgumā par Eiropas Ekonomikas zonu (EEZ līgums) paredzēta Eiropas Savienības iekšējā tirgus paplašināšana, iekļaujot trīs EEZ valstis: Islandi, Lihtenšteinu un Norvēģiju. Uz Savienības datu aizsardzības tiesību aktiem, tostarp Regulu 2016/679, attiecas EEZ līgums, un tā ir iekļauta līguma XI pielikumā. Tādēļ jebkāda datu izpaušana, ko veic datu saņēmējs trešām personām, kuras atrodas EEZ, nav klasificējama kā tālāka nosūtīšana šo klauzulu kontekstā.

(4)  Līgumā par Eiropas Ekonomikas zonu (EEZ līgums) paredzēta Eiropas Savienības iekšējā tirgus paplašināšana, iekļaujot trīs EEZ valstis: Islandi, Lihtenšteinu un Norvēģiju. Uz Savienības datu aizsardzības tiesību aktiem, tostarp Regulu 2016/679, attiecas EEZ līgums, un tā ir iekļauta līguma XI pielikumā. Tādēļ jebkāda datu izpaušana, ko veic datu saņēmējs trešām personām, kuras atrodas EEZ, nav klasificējama kā tālāka nosūtīšana šo klauzulu kontekstā.

(5)  Sk. 28. panta 4. punktu Regulā (ES) 2016/679 un, ja pārzinis ir ES iestāde vai struktūra, 29. panta 4. punktu Regulā (ES) 2018/1725.

(6)  Līgumā par Eiropas Ekonomikas zonu (EEZ līgums) paredzēta Eiropas Savienības iekšējā tirgus paplašināšana, iekļaujot trīs EEZ valstis: Islandi, Lihtenšteinu un Norvēģiju. EEZ nolīgums aptver Savienības datu aizsardzības tiesību aktus, ietverot Regulu (ES) 2016/679, un tie ir iekļauti nolīguma XI pielikumā. Tādēļ jebkāda datu izpaušana, ko veic datu saņēmējs trešām personām, kuras atrodas EEZ, nav klasificējama kā tālāka nosūtīšana šo klauzulu kontekstā.

(7)  Tas ietver to, vai nosūtīšana un turpmāka apstrāde ir saistīta ar personas datiem, kuri atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, ģenētiskajiem datiem vai biometriskajiem datiem fiziskas personas unikālai identifikācijai, veselības datiem vai datiem par fiziskas personas dzimumdzīvi vai seksuālo orientāciju, vai datiem par sodāmību vai pārkāpumiem.

(8)  Šo prasību var izpildīt apakšapstrādātājs, kas pievienojas šīm klauzulām saskaņā ar attiecīgo moduli, atbilstoši 7. klauzulai.

(9)  Šo prasību var izpildīt apakšapstrādātājs, kas pievienojas šīm klauzulām saskaņā ar attiecīgo moduli, atbilstoši 7. klauzulai.

(10)  Ciktāl nepieciešams, minēto laikposmu var pagarināt ne vairāk kā vēl par diviem mēnešiem, ņemot vērā pieprasījumu sarežģītību un skaitu. Datu saņēmējs pienācīgi un nekavējoties informē datu subjektu par jebkādu šādu pagarinājumu.

(11)  Datu saņēmējs var piedāvāt neatkarīgu strīda izšķiršanu ar šķīrējtiesas starpniecību tikai tad, ja tas ir iedibināts valstī, kura ratificējusi Ņujorkas konvenciju par šķīrējtiesu nolēmumu izpildīšanu.

(12)  Attiecībā uz šādu tiesību aktu un prakses ietekmi uz atbilstību šīm klauzulām dažādus elementus var uztvert kā vispārēja novērtējuma sastāvdaļu. Šādi elementi cita starpā var būt atbilstīga un dokumentēta praktiskā pieredze saistībā ar publisku iestāžu sniegtu iepriekšēju datu izpaušanas pieprasījumu gadījumiem vai šādu pieprasījumu neesība, aptverot pietiekami reprezentatīvu laikposmu. Tas jo īpaši attiecas uz iekšējiem uzskaites datiem vai citu dokumentāciju, kas tiek pastāvīgi gatavota ar pienācīgu rūpību un apstiprināta augstākajā vadības līmenī, ar nosacījumu, ka šo informāciju var likumīgi kopīgot ar trešām personām. Ja minēto praktisko pieredzi izmanto, lai secinātu, ka datu saņēmējam netiks liegta iespēja izpildīt šo klauzulu prasības, tas ir jāpamato ar citiem atbilstīgiem, objektīviem elementiem, un pusēm ir rūpīgi jāņem vērā, vai šo elementu kopums ir pietiekami būtisks to uzticamības un pārstāvības ziņā, lai pamatotu šādu secinājumu. Konkrētāk, pusēm jāņem vērā, vai to praktisko pieredzi apstiprina un tā nav pretrunā ar publiski vai citā veidā pieejamu uzticamu informāciju par pieprasījumu esību vai neesību tajā pašā nozarē un/vai tiesību aktu īstenošanu praksē, piemēram, judikatūru un neatkarīgu pārraudzības struktūru ziņojumiem.


PAPILDINĀJUMS

PASKAIDROJUMS

Ir jāvar skaidri nodalīt informāciju, kas attiecas uz katru nosūtīšanu vai nosūtīšanas kategoriju un šajā saistībā noteikt pušu attiecīgās lomas – datu nosūtītāji un/vai datu saņēmēji. Šī prasība neparedz, ka noteikti nepieciešams aizpildīt un parakstīt atsevišķus papildinājumus katrai nosūtīšanai/nosūtīšanas kategorijai un/vai līgumattiecībām, ja šādu pārredzamību var panākt, izmantojot vienu papildinājumu. Tomēr gadījumos, kad nepieciešams nodrošināt pietiekamu skaidrību, jāizmanto atsevišķi papildinājumi.


I PIELIKUMS

A.   PUŠU SARAKSTS

PIRMAIS MODULIS. Nosūtīšana no pārziņa pārzinim

OTRAIS MODULIS. Nosūtīšana no pārziņa apstrādātājam

TREŠAIS MODULIS. Nosūtīšana no apstrādātāja apstrādātājam

CETURTAIS MODULIS. Nosūtīšana no apstrādātāja pārzinim

Datu nosūtītājs(-i): [Datu nosūtītāja(-u) un attiecīgajos gadījumos tā/to datu aizsardzības speciālista un/vai pārstāvja Eiropas Savienībā identitāte un kontaktinformācija]

1.

Nosaukums: …

Adrese: …

Kontaktpersonas vārds un uzvārds, amats un kontaktinformācija: …

Darbības, kas attiecas uz nosūtītajiem datiem saskaņā ar šīm klauzulām: …

Paraksts un datums: …

Loma (pārzinis/apstrādātājs): …

2.

Datu saņēmējs(-i): [Datu saņēmēja(-u), tostarp par datu aizsardzību atbildīgo kontaktpersonu, identitāte un kontaktinformācija]

1.

Nosaukums: …

Adrese: …

Kontaktpersonas vārds un uzvārds, amats un kontaktinformācija: …

Darbības, kas attiecas uz nosūtītajiem datiem saskaņā ar šīm klauzulām: …

Paraksts un datums: …

Loma (pārzinis/apstrādātājs): …

2.

B.   SŪTĪJUMA APRAKSTS

PIRMAIS MODULIS. Nosūtīšana no pārziņa pārzinim

OTRAIS MODULIS. Nosūtīšana no pārziņa apstrādātājam

TREŠAIS MODULIS. Nosūtīšana no apstrādātāja apstrādātājam

CETURTAIS MODULIS. Nosūtīšana no apstrādātāja pārzinim

Datu subjektu, kuru personas dati tiek nosūtīti, kategorijas

Nosūtīto personas datu kategorijas

Nosūtītie sensitīvie dati (attiecīgajos gadījumos) un piemērotie ierobežojumi vai garantijas, kuru gadījumā tiek pilnībā ņemts vērā datu raksturs un saistītie riski, piemēram, stingrs mērķa ierobežojums, piekļuves ierobežojumi (tostarp piekļuve tikai darbiniekiem, kuri pabeiguši specializētu apmācību), datu piekļuves uzskaite, ierobežojumi tālākai nosūtīšanai vai papildu drošības pasākumi.

Nosūtīšanas biežums (piemēram, vai dati tiek nosūtīti vienreiz vai pastāvīgi).

Apstrādes raksturs

Datu nosūtīšanas un turpmākas apstrādes mērķis(-i)

Laikposms, cik ilgi personas dati tiks glabāti, vai, ja tas nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai

Attiecībā uz nosūtīšanu (apakš-)apstrādātājiem arī norādīt apstrādes priekšmetu, raksturu un ilgumu

C.   KOMPETENTĀ UZRAUDZĪBAS IESTĀDE

PIRMAIS MODULIS. Nosūtīšana no pārziņa pārzinim

OTRAIS MODULIS. Nosūtīšana no pārziņa apstrādātājam

TREŠAIS MODULIS. Nosūtīšana no apstrādātāja apstrādātājam

Norādīt kompetento(-ās) uzraudzības iestādi(-es) saskaņā ar 13. klauzulu


II PIELIKUMS.

TEHNISKIE UN ORGANIZATORISKIE PASĀKUMI, TOSTARP TEHNISKIE UN ORGANIZATORISKIE PASĀKUMI DATU DROŠĪBAS NODROŠINĀŠANAI

PIRMAIS MODULIS. Nosūtīšana no pārziņa pārzinim

OTRAIS MODULIS. Nosūtīšana no pārziņa apstrādātājam

TREŠAIS MODULIS. Nosūtīšana no apstrādātāja apstrādātājam

PASKAIDROJUMS

Tehniskie un organizatoriskie pasākumi jāapraksta konkrēti, nevis vispārīgi. Skatīt arī vispārīgās piezīmes papildinājuma pirmajā lapā, jo īpaši par vajadzību skaidri norādīt, kuri pasākumi attiecas uz katru nosūtīšanu/nosūtīšanas reižu kopumu.

Tādu tehnisko un organizatorisko pasākumu apraksts, kurus īstenojis(-uši) datu saņēmējs(-i) (ieskaitot attiecīgo sertifikāciju), lai nodrošinātu atbilstošu drošības līmeni, ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūku, kā arī riskus fizisku personu tiesībām un brīvībām.

[Iespējamo pasākumu piemēri:

personas datu pseidonimizācijas un šifrēšanas pasākumi;

apstrādes sistēmu un pakalpojumu nepārtrauktas konfidencialitātes, integritātes, pieejamības un noturības nodrošināšanas pasākumi;

pasākumi, lai nodrošinātu spēju laikus atjaunot personas datu pieejamību un piekļuvi tiem gadījumā, ja ir noticis fizisks vai tehnisks negadījums;

procesi regulārai tehnisko un organizatorisko pasākumu efektivitātes testēšanai, novērtēšanai un izvērtēšanai, lai nodrošinātu apstrādes drošību;

lietotāju identificēšanas un atļauju piešķiršanas pasākumi;

datu aizsardzības pasākumi nosūtīšanas laikā;

datu aizsardzības pasākumi glabāšanas laikā;

pasākumi personas datu apstrādes vietu fiziskās drošības nodrošināšanai;

notikumu reģistrācijas nodrošināšanas pasākumi;

sistēmu konfigurācijas nodrošināšanas pasākumi, ieskaitot noklusējuma konfigurāciju;

iekšējās IT un IT drošības pārvaldības un vadības pasākumi;

procesu un produktu sertifikācijas/apliecināšanas pasākumi;

datu minimizēšanas nodrošināšanas pasākumi;

datu kvalitātes nodrošināšanas pasākumi;

ierobežotas datu glabāšanas nodrošināšanas pasākumi;

atbildības nodrošināšanas pasākumi;

datu pārnesamības un dzēšanas nodrošināšanas pasākumi.]

Attiecībā uz nosūtīšanu (apakš-)apstrādātājiem arī aprakstīt konkrētus tehniskos un organizatoriskos pasākumus, kurus veiks (apakš-)apstrādātājs, lai varētu sniegt palīdzību pārzinim, un – attiecībā uz nosūtīšanu no apstrādātāja apakšapstrādātājam – datu nosūtītājam


III PIELIKUMS.

APAKŠAPSTRĀDĀTĀJU SARAKSTS

OTRAIS MODULIS. Nosūtīšana no pārziņa apstrādātājam

TREŠAIS MODULIS. Nosūtīšana no apstrādātāja apstrādātājam

PASKAIDROJUMS

Šis pielikums jāaizpilda otrajam un trešajam modulim gadījumā, ja tiek sniegta konkrēta atļauja apakšapstrādātājiem (9. klauzulas a) punkts, 1. izvēle).

Pārzinis ir atļāvis izmantot šādus apakšapstrādātājus:

1.

Nosaukums: …

Adrese: …

Kontaktpersonas vārds un uzvārds, amats un kontaktinformācija: …

Apstrādes apraksts (tostarp skaidri noteikti pienākumi gadījumā, ja ir pilnvaroti vairāki apakšapstrādātāji): …

2.