7.6.2021 |
MT |
Il-Ġurnal Uffiċjali tal-Unjoni Ewropea |
L 199/31 |
DEĊIŻJONI TA’ IMPLIMENTAZZJONI TAL-KUMMISSJONI (UE) 2021/914
tal-4 ta’ Ġunju 2021
dwar klawżoli kuntrattwali standard għat-trasferiment ta’ data personali lil pajjiżi terzi skont ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill
(Test b’rilevanza għaż-ŻEE)
IL-KUMMISSJONI EWROPEA,
Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,
Wara li kkunsidrat ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas-27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data) (1), u b’mod partikolari l-Artikolu 28(7) u l-Artikolu 46(2)(c) tiegħu,
Billi:
(1) |
L-iżviluppi teknoloġiċi qed jiffaċilitaw il-flussi transfruntiera tad-data meħtieġa għall-espansjoni tal-kooperazzjoni internazzjonali u l-kummerċ internazzjonali. Fl-istess ħin, huwa meħtieġ li jiġi żgurat li l-livell ta’ protezzjoni tal-persuni fiżiċi ggarantit mir-Regolament (UE) 2016/679 ma jiġix imminat meta d-data personali tiġi ttrasferita lejn pajjiżi terzi, inkluż f’każijiet ta’ trasferimenti ulterjuri (2). Id-dispożizzjonijiet dwar it-trasferimenti tad-data fil-Kapitolu V tar-Regolament (UE) 2016/679 huma maħsuba biex jiżguraw il-kontinwità ta’ dak il-livell għoli ta’ protezzjoni meta d-data personali tiġi ttrasferita lil pajjiż terz (3). |
(2) |
Skont l-Artikolu 46(1) tar-Regolament (UE) 2016/679, fin-nuqqas ta’ deċiżjoni ta’ adegwatezza mill-Kummissjoni skont l-Artikolu 45(3), kontrollur jew proċessur jista’ jittrasferixxi data personali lil pajjiż terz biss jekk il-kontrollur jew il-proċessur ikun ipprovda salvagwardji xierqa, u bil-kundizzjoni li jkunu disponibbli drittijiet infurzabbli u rimedji legali effettivi għas-suġġetti tad-data. Dawn is-salvagwardji jistgħu jiġu pprovduti permezz ta’ klawżoli standard ta’ protezzjoni tad-data adottati mill-Kummissjoni skont l-Artikolu 46(2)(c). |
(3) |
Ir-rwol tal-klawżoli kuntrattwali standard huwa limitat biex jiġu żgurati salvagwardji xierqa tal-protezzjoni tad-data għat-trasferimenti internazzjonali tad-data. Għalhekk, il-kontrollur jew il-proċessur li jittrasferixxi d-data personali lil pajjiż terz jew (l-“esportatur tad-data”) u l-kontrollur jew il-proċessur li jirċievi d-data personali (l-“importatur tad-data”) huma liberi li jinkludu dawk il-klawżoli kuntrattwali standard f’kuntratt usa’, u li jżidu klawżoli jew salvagwardji addizzjonali oħra dment li dawn ma jikkontradixxux, direttament jew indirettament, il-klawżoli kuntrattwali standard jew ma jippreġudikawx id-drittijiet jew il-libertajiet fundamentali tas-suġġetti tad-data. Il-kontrolluri u l-proċessuri huma mħeġġa jipprovdu salvagwardji addizzjonali permezz ta’ impenji kuntrattwali li jissupplimentaw il-klawżoli kuntrattwali standard (4). L-użu tal-klawżoli kuntrattwali standard hija mingħajr preġudizzju għal kwalunkwe obbligu kuntrattwali tal-esportatur u/jew tal-importatur tad-data li jiżgura r-rispett tal-privileġġi u l-immunitajiet applikabbli. |
(4) |
Minbarra li juża klawżoli kuntrattwali standard biex jipprovdi salvagwardji xierqa għat-trasferimenti skont l-Artikolu 46(1) tar-Regolament (UE) 2016/679, l-esportatur tad-data għandu jissodisfa r-responsabbiltajiet ġenerali tiegħu bħala kontrollur jew proċessur skont ir-Regolament (UE) 2016/679. Dawk ir-responsabbiltajiet jinkludu l-obbligu tal-kontrollur li jipprovdi lis-suġġetti tad-data b’informazzjoni dwar il-fatt li jkun beħsiebu jittrasferixxi data personali lil pajjiż terz f’konformità mal-Artikolu 13(1)(f) u l-Artikolu 14(1)(f) tar-Regolament (UE) 2016/679. Fil-każ tat-trasferimenti msemmija fl-Artikolu 46 tar-Regolament (UE) 2016/679, din l-informazzjoni trid tinkludi referenza għas-salvagwardji xierqa u l-mezzi li bihom tinkiseb kopja tagħhom jew informazzjoni fejn ikunu saru disponibbli. |
(5) |
Id-Deċiżjonijiet tal-Kummissjoni 2001/497/KE (5) u 2010/87/UE (6) fihom klawżoli kuntrattwali standard biex jiffaċilitaw it-trasferiment ta’ data personali minn kontrollur tad-data stabbilit fl-Unjoni għal kontrollur jew proċessur stabbilit f’pajjiż terz li ma joffrix livell adegwat ta’ protezzjoni. Dawk id-deċiżjonijiet kienu bbażati fuq id-Direttiva 95/46/KE tal-Parlament Ewropew u tal-Kunsill (7). |
(6) |
Skont l-Artikolu 46(5) tar-Regolament (UE) 2016/679, id-Deċiżjoni 2001/497/KE u d-Deċiżjoni 2010/87/UE jibqgħu fis-seħħ sakemm jiġu emendati, issostitwiti jew imħassra, jekk meħtieġ, b’deċiżjoni tal-Kummissjoni adottata skont l-Artikolu 46(2) ta’ dak ir-Regolament. Il-klawżoli kuntrattwali standard fid-deċiżjonijiet kienu jeħtieġu aġġornament fid-dawl tar-rekwiżiti l-ġodda fir-Regolament (UE) 2016/679. Barra minn hekk, minn mindu ġew adottati d-deċiżjonijiet, l-ekonomija diġitali rat żviluppi sinifikanti, bl-użu mifrux ta’ operazzjonijiet ta’ pproċessar ġodda u aktar kumplessi li spiss jinvolvu diversi importaturi u esportaturi tad-data, ktajjen tal-ipproċessar twal u kumplessi, u relazzjonijiet kummerċjali li qed jevolvu. Dan jitlob modernizzazzjoni tal-klawżoli kuntrattwali standard biex jirriflettu aħjar dawk ir-realtajiet, billi jkopru sitwazzjonijiet addizzjonali ta’ pproċessar u trasferiment, u biex jippermettu approċċ aktar flessibbli, pereżempju fir-rigward tan-numru ta’ partijiet li jistgħu jingħaqdu mal-kuntratt. |
(7) |
Kontrollur jew proċessur jista’ juża l-klawżoli kuntrattwali standard stabbiliti fl-Anness ta’ din id-Deċiżjoni biex jipprovdi salvagwardji xierqa skont it-tifsira tal-Artikolu 46(1) tar-Regolament (UE) 2016/679 għat-trasferiment ta’ data personali lil proċessur jew kontrollur stabbilit f’pajjiż terz, mingħajr preġudizzju għall-interpretazzjoni tal-kunċett ta’ trasferiment internazzjonali fir-Regolament (UE) 2016/679. Il-klawżoli kuntrattwali standard jistgħu jintużaw għal trasferimenti bħal dawn biss sa fejn l-ipproċessar mill-importatur ma jaqax fil-kamp ta’ applikazzjoni tar-Regolament (UE) 2016/679. Dan jinkludi wkoll it-trasferiment ta’ data personali minn kontrollur jew proċessur mhux stabbilit fl-Unjoni, sal-punt li l-ipproċessar ikun soġġett għar-Regolament (UE) 2016/679 (skont l-Artikolu 3(2) tiegħu), minħabba li jkun relatat mal-offerta ta’ prodotti jew servizzi lil suġġetti tad-data fl-Unjoni jew mal-monitoraġġ tal-imġiba tagħhom tagħhom safejn isseħħ fl-Unjoni. |
(8) |
Minħabba l-allinjament ġenerali tar-Regolament (UE) 2016/679 u r-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill (8), jenħtieġ li jkun possibbli li jintużaw il-klawżoli kuntrattwali standard ukoll fil-kuntest ta’ kuntratt, kif imsemmi fl-Artikolu 29(4) tar-Regolament (UE) 2018/1725 għat-trasferiment ta’ data personali lil sottoproċessur f’pajjiż terz minn proċessur li mhuwiex istituzzjoni jew korp tal-Unjoni, iżda li huwa soġġett għar-Regolament (UE) 2016/679 u li jipproċessa data personali f’isem istituzzjoni jew korp tal-Unjoni skont l-Artikolu 29 tar-Regolament (UE) 2018/1725. Sakemm il-kuntratt jirrifletti l-istess obbligi ta’ protezzjoni tad-data kif stabbiliti fil-kuntratt jew f’att legali ieħor bejn il-kontrollur u l-proċessur skont l-Artikolu 29(3) tar-Regolament (UE) 2018/1725, b’mod partikolari billi jipprovdi garanziji suffiċjenti għal miżuri tekniċi u organizzattivi biex jiżgura li l-ipproċessar jissodisfa r-rekwiżiti ta’ dak ir-Regolament, dan jiżgura konformità mal-Artikolu 29(4) tar-Regolament (UE) 2018/1725. B’mod partikolari, dan ikun il-każ meta l-kontrollur u l-proċessur jużaw il-klawżoli kuntrattwali standard fid-Deċiżjoni ta’ Implimentazzjoni tal-Kummissjoni dwar klawżoli kuntrattwali standard bejn il-kontrolluri u l-proċessuri skont l-Artikolu 28(7) tar-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill u l-Artikolu 29(7) tar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill (9). |
(9) |
Meta l-ipproċessar jinvolvi trasferimenti ta’ data minn kontrolluri soġġetti għar-Regolament (UE) 2016/679 lil proċessuri barra mill-kamp ta’ applikazzjoni territorjali tiegħu jew minn proċessuri soġġetti għar-Regolament (UE) 2016/679 lil sottoproċessuri barra mill-kamp ta’ applikazzjoni territorjali tiegħu, jenħtieġ li l-klawżoli kuntrattwali standard stabbiliti fl-Anness ta’ din id-Deċiżjoni jippermettu wkoll li jiġu ssodisfati r-rekwiżiti tal-Artikolu 28(3) u (4) tar-Regolament (UE) 2016/679. |
(10) |
Il-klawżoli kuntrattwali standard stabbiliti fl-Anness ta’ din id-Deċiżjoni jikkombinaw klawżoli ġenerali ma’ approċċ modulari biex jiġu indirizzati diversi xenarji ta’ trasferiment u l-kumplessità ta’ ktajjen moderni tal-ipproċessar. Minbarra l-klawżoli ġenerali, jenħtieġ li l-kontrolluri u l-proċessuri jagħżlu l-modulu applikabbli għas-sitwazzjoni tagħhom, sabiex ifasslu l-obbligi tagħhom skont il-klawżoli kuntrattwali standard apposta għar-rwol u r-responsabbiltajiet tagħhom fir-rigward tal-ipproċessar tad-data inkwistjoni. Jenħtieġ li jkun possibbli għal aktar minn żewġ partijiet li jaderixxu mal-klawżoli kuntrattwali standard. Barra minn hekk, jenħtieġ li kontrolluri u proċessuri addizzjonali jitħallew jaderixxu mal-klawżoli kuntrattwali standard bħala esportaturi jew importaturi tad-data matul iċ-ċiklu tal-ħajja tal-kuntratt li huma jiffurmaw parti minnu. |
(11) |
Sabiex jiġu pprovduti salvagwardji xierqa, jenħtieġ li l-klawżoli kuntrattwali standard jiżguraw li d-data personali trasferita fuq dik il-bażi tingħata livell ta’ protezzjoni essenzjalment ekwivalenti għal dak li huwa garantit fl-Unjoni (10) Bil-għan li tiġi żgurata t-trasparenza tal-ipproċessar, jenħtieġ li s-suġġetti tad-data jiġu pprovduti b’kopja tal-klawżoli kuntrattwali standard u jiġu infurmati, b’mod partikolari, dwar il-kategoriji ta’ data personali pproċessata, id-dritt li jiksbu kopja tal-klawżoli kuntrattwali standard u kwalunkwe trasferiment ulterjuri. Jenħtieġ li trasferimenti ulterjuri mill-importatur tad-data lil parti terza f’pajjiż terz ieħor ikunu permessi biss jekk il-parti terza taderixxi mal-klawżoli kuntrattwali standard, jekk il-kontinwità tal-protezzjoni tkun żgurata mod ieħor jew f’sitwazzjonijiet speċifiċi, bħal fil-każ tal-kunsens espliċitu u infurmat tas-suġġett tad-data. |
(12) |
B’xi eċċezzjonijiet, b’mod partikolari fir-rigward ta’ ċerti obbligi li jikkonċernaw esklussivament ir-relazzjoni bejn l-esportatur tad-data u l-importatur tad-data, jenħtieġ li s-suġġetti tad-data jkunu jistgħu jinvokaw, u fejn meħtieġ jinfurzaw, il-klawżoli kuntrattwali standard bħala benefiċjarji ta’ partijiet terzi. Għalhekk, filwaqt li jenħtieġ li l-partijiet jitħallew jagħżlu l-liġi ta’ wieħed mill-Istati Membri bħala waħda li tirregola l-klawżoli kuntrattwali standard, dik il-liġi trid tippermetti drittijiet ta’ parti terza benefiċjarja. Sabiex jiġi ffaċilitat ir-rimedju individwali, jenħtieġ li l-klawżoli kuntrattwali standard jirrikjedu li l-importatur tad-data jinforma lis-suġġetti tad-data b’punt ta’ kuntatt u li jindirizza minnufih kwalunkwe lment jew talba. Fil-każ ta’ tilwima bejn l-importatur tad-data u suġġett tad-data li jinvoka d-drittijiet tiegħu bħala parti terza benefiċjarja, jenħtieġ li s-suġġett tad-data jkun jista’ jippreżenta lment lill-awtorità superviżorja kompetenti jew jirreferi t-tilwima lill-qrati kompetenti fl-UE. |
(13) |
Sabiex jiġi żgurat infurzar effettiv, jenħtieġ li l-importatur tad-data jkun meħtieġ jissottometti ruħu għall-ġuriżdizzjoni ta’ tali awtorità u qrati u jimpenja ruħu li jirrispetta kwalunkwe deċiżjoni vinkolanti skont il-liġi applikabbli tal-Istat Membru. B’mod partikolari, jenħtieġ li l-importatur tad-data jaqbel li jwieġeb għall-mistoqsijiet, jissottometti ruħu għall-awditi u jikkonforma mal-miżuri adottati mill-awtorità superviżorja, inklużi miżuri ta’ rimedju u ta’ kumpens. Barra minn hekk, jenħtieġ li l-importatur tad-data jkollu l-għażla li joffri lis-suġġetti tad-data l-opportunità li jitolbu rimedju quddiem korp indipendenti għas-soluzzjoni tat-tilwim, mingħajr ebda spiża. F’konformità mal-Artikolu 80(1) tar-Regolament (UE) 2016/679, jenħtieġ li s-suġġetti tad-data jitħallew jiġu rrappreżentati minn assoċjazzjonijiet jew korpi oħra f’tilwim kontra l-importatur tad-data jekk ikunu jixtiequ hekk. |
(14) |
Jenħtieġ li l-klawżoli kuntrattwali standard jipprevedu regoli dwar ir-responsabbiltà bejn il-partijiet u fir-rigward tas-suġġetti tad-data, u regoli dwar l-indennifikazzjoni bejn il-partijiet. Meta s-suġġett tad-data jġarrab ħsara materjali jew mhux materjali bħala konsegwenza ta’ kwalunkwe ksur tad-drittijiet tal-parti terza benefiċjarja skont il-klawżoli kuntrattwali standard, jenħtieġ li jkun intitolat għal kumpens. Jenħtieġ li dan ikun mingħajr preġudizzju għal kwalunkwe responsabbiltà skont ir-Regolament (UE) 2016/679. |
(15) |
Fil-każ ta’ trasferiment lil importatur tad-data li jaġixxi bħala proċessur jew sottoproċessur, jenħtieġ li japplikaw rekwiżiti speċifiċi skont l-Artikolu 28(3) tar-Regolament (UE) 2016/679. Jenħtieġ li l-klawżoli kuntrattwali standard jirrikjedu li l-importatur tad-data jagħmel disponibbli l-informazzjoni kollha meħtieġa biex juri l-konformità mal-obbligi stabbiliti fil-klawżoli u biex jippermetti u jikkontribwixxi għall-awditi tal-attivitajiet ta’ pproċessar tiegħu mill-esportatur tad-data. Fir-rigward tal-ingaġġ ta’ kwalunkwe sottoproċessur mill-importatur tad-data, f’konformità mal-Artikolu 28(2) u (4) tar-Regolament (UE) 2016/679, jenħtieġ li l-klawżoli kuntrattwali standard jistabbilixxu b’mod partikolari l-proċedura għal awtorizzazzjoni ġenerali jew speċifika mill-esportatur tad-data u r-rekwiżit għal kuntratt bil-miktub mas-sottoproċessur li jiżgura l-istess livell ta’ protezzjoni bħal taħt il-klawżoli. |
(16) |
Huwa xieraq li jiġu pprovduti salvagwardji differenti fil-klawżoli kuntrattwali standard li jkopru s-sitwazzjoni speċifika ta’ trasferiment ta’ data personali minn proċessur fl-Unjoni lill-kontrollur tiegħu f’pajjiż terz u jirriflettu l-obbligi awtonomi limitati għall-proċessuri skont ir-Regolament (UE) 2016/679. B’mod partikolari, il-klawżoli kuntrattwali standard jenħtieġ li jirrikjedu li l-proċessur jinforma lill-kontrollur jekk ma jkunx jista’ jsegwi l-istruzzjonijiet tiegħu, inkluż jekk tali struzzjonijiet jiksru l-liġi tal-Unjoni dwar il-protezzjoni tad-data, u jeħtieġu li l-kontrollur joqgħod lura minn kwalunkwe azzjoni li tipprevjeni lill-proċessur milli jissodisfa l-obbligi tiegħu skont ir-Regolament (UE) 2016/679. Jenħtieġ li dawn jirrikjedu wkoll li l-partijiet jassistu lil xulxin biex iwieġbu għall-mistoqsijiet u t-talbiet mis-suġġetti tad-data skont il-liġi lokali applikabbli għall-importatur tad-data jew, għall-ipproċessar tad-data fl-Unjoni, skont ir-Regolament (UE) 2016/679. Jenħtieġ li japplikaw rekwiżiti addizzjonali biex jiġi indirizzat kwalunkwe effett tal-liġijiet tal-pajjiż terz tad-destinazzjoni fuq il-konformità tal-kontrollur mal-klawżoli, b’mod partikolari kif għandhom jiġu ttrattati talbiet vinkolanti mill-awtoritajiet pubbliċi fil-pajjiż terz għall-iżvelar tad-data personali trasferita meta l-proċessur tal-Unjoni jikkombina d-data personali riċevuta mill-kontrollur fil-pajjiż terz mad-data personali miġbura mill-proċessur fl-Unjoni. Min-naħa l-oħra, rekwiżiti bħal dawn mhumiex iġġustifikati meta l-esternalizzazzjoni tinvolvi biss l-ipproċessar u t-trasferiment lura ta’ data personali li tkun ġiet riċevuta mill-kontrollur u li fi kwalunkwe każ kienet u se tibqa’ soġġetta għall-ġuriżdizzjoni tal-pajjiż terz inkwistjoni. |
(17) |
Jenħtieġ li l-partijiet ikunu jistgħu juru konformità mal-klawżoli kuntrattwali standard. B’mod partikolari, jenħtieġ li l-importatur tad-data jkun meħtieġ iżomm dokumentazzjoni xierqa għall-attivitajiet ta’ pproċessar taħt ir-responsabbiltà tiegħu, u jinforma lill-esportatur tad-data minnufih jekk ma jkunx jista’ jikkonforma mal-klawżoli, għal kwalunkwe raġuni. Min-naħa tiegħu, jenħtieġ li l-esportatur tad-data jissospendi t-trasferiment u, f’każijiet partikolarment serji, ikollu d-dritt li jittermina l-kuntratt, sa fejn jikkonċerna l-ipproċessar ta’ data personali skont klawżoli kuntrattwali standard, meta l-importatur tad-data jkun qed jikser il-klawżoli jew ma jkunx jista’ jikkonforma magħhom. Jenħtieġ li japplikaw regoli speċifiċi fejn il-liġijiet lokali jaffettwaw il-konformità mal-klawżoli. Jenħtieġ li, fuq l-għażla tal-esportatur tad-data, data personali li kienet ġiet trasferita qabel it-terminazzjoni tal-kuntratt u kwalunkwe kopja tagħha, tiġi rritornata lill-esportatur tad-data jew tinqered fl-intier tagħha. |
(18) |
Il-klawżoli kuntrattwali standard jenħtieġ li jipprevedu salvagwardji speċifiċi, b’mod partikolari fid-dawl tal-ġurisprudenza tal-Qorti tal-Ġustizzja (11), biex jiġi indirizzat kwalunkwe effett tal-liġijiet tal-pajjiż terz ta’ destinazzjoni fuq il-konformità tal-importatur tad-data mal-klawżoli, u b’mod partikolari kif jiġu ttrattati talbiet vinkolanti mill-awtoritajiet pubbliċi f’dak il-pajjiż għall-iżvelar tad-data personali trasferita. |
(19) |
Jenħtieġ li t-trasferiment u l-ipproċessar ta’ data personali skont klawżoli kuntrattwali standard ma jsirux jekk il-liġijiet u l-prattiki tal-pajjiż terz ta’ destinazzjoni jipprevjenu lill-importatur tad-data milli jikkonforma mal-klawżoli. F’dan il-kuntest, jenħtieġ li l-liġijiet u l-prattiki li jirrispettaw l-essenza tad-drittijiet u l-libertajiet fundamentali u li ma jaqbżux dak li huwa meħtieġ u proporzjonat f’soċjetà demokratika biex jiġi ssalvagwardjat wieħed mill-objettivi elenkati fl-Artikolu 23(1) tar-Regolament (UE) 2016/679 ma jitqisux li huma f’kunflitt mal-klawżoli kuntrattwali standard. Jenħtieġ li l-partijiet jiggarantixxu li, fil-ħin li jaqblu mal-klawżoli kuntrattwali standard, ma jkollhom l-ebda raġuni biex jemmnu li l-liġijiet u l-prattiki applikabbli għall-importatur tad-data mhumiex konformi ma’ dawn ir-rekwiżiti. |
(20) |
Il-partijiet jenħtieġ li jqisu, b’mod partikolari, iċ-ċirkostanzi speċifiċi tat-trasferiment (bħall-kontenut u t-tul tal-kuntratt, in-natura tad-data li trid tiġi trasferita, it-tip ta’ riċevitur, l-iskop tal-ipproċessar), il-liġijiet u l-prattiki tal-pajjiż terz ta’ destinazzjoni li huma rilevanti fid-dawl taċ-ċirkostanzi tat-trasferiment u kwalunkwe salvagwardja stabbilita biex tissupplimenta dawk skont il-klawżoli kuntrattwali standard (inklużi l-miżuri kuntrattwali, tekniċi u organizzattivi li japplikaw għat-trażmissjoni tad-data personali u l-ipproċessar tagħha fil-pajjiż tad-destinazzjoni). Fir-rigward tal-impatt ta’ tali liġijiet u prattiki fuq il-konformità mal-klawżoli kuntrattwali standard, elementi differenti jistgħu jitqiesu bħala parti minn valutazzjoni ġenerali, inkluża informazzjoni affidabbli dwar l-applikazzjoni tal-liġi fil-prattika (bħal ġurisprudenza u rapporti minn korpi indipendenti ta’ sorveljanza), l-eżistenza jew in-nuqqas ta’ talbiet fl-istess settur u, taħt kundizzjonijiet stretti, l-esperjenza prattika dokumentata tal-esportatur tad-data u/jew tal-importatur tad-data. |
(21) |
Jenħtieġ li l-importatur tad-data jinnotifika lill-esportatur tad-data jekk, wara li jkun qabel mal-klawżoli kuntrattwali standard, ikollu raġuni biex jemmen li mhuwiex kapaċi jikkonforma mal-klawżoli kuntrattwali standard. Jekk l-esportatur tad-data jirċievi tali notifika jew inkella jsir konxju li l-importatur tad-data ma jistax jibqa’ jikkonforma mal-klawżoli kuntrattwali standard, jenħtieġ li huwa jidentifika miżuri xierqa biex jindirizza s-sitwazzjoni, jekk ikun meħtieġ f’konsultazzjoni mal-awtorità superviżorja kompetenti. Tali miżuri jistgħu jinkludu miżuri supplimentari adottati mill-esportatur tad-data u/jew mill-importatur tad-data, bħal miżuri tekniċi jew organizzattivi biex jiġu żgurati s-sigurtà u l-kunfidenzjalità. Jenħtieġ li l-esportatur tad-data jkun meħtieġ jissospendi t-trasferiment jekk iqis li ma tista’ tiġi żgurata l-ebda salvagwardja xierqa, jew jekk jingħata struzzjonijiet mill-awtorità superviżorja kompetenti biex jagħmel dan. |
(22) |
Fejn possibbli, l-importatur tad-data jenħtieġ li jinnotifika lill-esportatur tad-data u lis-suġġett tad-data jekk jirċievi talba legalment vinkolanti minn awtorità pubblika (inkluża dik ġudizzjarja) skont il-liġi tal-pajjiż tad-destinazzjoni għall-iżvelar ta’ data personali trasferita skont il-klawżoli kuntrattwali standard. Bl-istess mod, hija jenħtieġ li tinnotifikahom jekk issir taf bi kwalunkwe aċċess dirett mill-awtoritajiet pubbliċi għal tali data personali, f’konformità mal-liġi tal-pajjiż terz ta’ destinazzjoni. Jekk, minkejja l-aħjar sforzi tiegħu, l-importatur tad-data ma jkunx f’pożizzjoni li jinnotifika lill-esportatur tad-data u/jew lis-suġġett tad-data dwar talbiet speċifiċi ta’ divulgazzjoni, huwa jenħtieġ li jipprovdi lill-esportatur tad-data b’kemm jista’ jkun informazzjoni rilevanti dwar it-talbiet. Barra minn hekk, jenħtieġ li l-importatur tad-data jipprovdi informazzjoni aggregata lill-esportatur tad-data f’intervalli regolari. Jenħtieġ li l-importatur tad-data jkun meħtieġ ukoll jiddokumenta kwalunkwe talba għall-iżvelar riċevuta u t-tweġiba pprovduta, u jagħmel dik l-informazzjoni disponibbli għall-esportatur tad-data jew għall-awtorità superviżorja kompetenti, jew għat-tnejn, fuq talba. Jekk, wara rieżami tal-legalità ta’ tali talba skont il-liġijiet tal-pajjiż tad-destinazzjoni, l-importatur tad-data jikkonkludi li hemm raġunijiet raġonevoli biex jitqies li t-talba hija illegali skont il-liġijiet tal-pajjiż terz ta’ destinazzjoni, huwa jenħtieġ li jikkontestaha, inkluż, fejn xieraq, billi jeżawrixxi l-possibbiltajiet disponibbli ta’ appell. Fi kwalunkwe każ, jekk l-importatur tad-data ma jkunx jista’ jibqa’ jikkonforma mal-klawżoli kuntrattwali standard, jenħtieġ li dan jinforma lill-esportatur tad-data b’dan, inkluż meta dan ikun il-konsegwenza ta’ talba għal żvelar. |
(23) |
Peress li l-ħtiġijiet, it-teknoloġija u l-operazzjonijiet ta’ pproċessar tal-partijiet ikkonċernati jistgħu jinbidlu, jenħtieġ li l-Kummissjoni tevalwa l-operat tal-klawżoli kuntrattwali standard fid-dawl tal-esperjenza, bħala parti mill-evalwazzjoni perjodika tar-Regolament (UE) 2016/679 imsemmija fl-Artikolu 97 ta’ dak ir-Regolament. |
(24) |
Id-Deċiżjoni 2001/497/KE u d-Deċiżjoni 2010/87/UE jenħtieġ li jitħassru tliet xhur wara d-dħul fis-seħħ ta’ din id-Deċiżjoni. Matul dak il-perjodu, jenħtieġ li l-esportaturi tad-data u l-importaturi tad-data, għall-fini tal-Artikolu 46(1) tar-Regolament (UE) 2016/679, xorta jkunu jistgħu jużaw il-klawżoli kuntrattwali standard stabbiliti fid-Deċiżjonijiet 2001/497/KE u 2010/87/UE. Għal perjodu addizzjonali ta’ 15-il xahar, jenħtieġ li l-esportaturi tad-data u l-importaturi tad-data, għall-fini tal-Artikolu 46(1) tar-Regolament (UE) 2016/679, ikunu jistgħu jkomplu jiddependu fuq klawżoli kuntrattwali standard stabbiliti fid-Deċiżjonijiet 2001/497/KE u 2010/87/UE għat-twettiq ta’ kuntratti konklużi bejniethom qabel id-data tat-tħassir ta’ dawk id-deċiżjonijiet, dment li l-operazzjonijiet ta’ pproċessar li huma s-suġġett tal-kuntratt jibqgħu l-istess u li d-dipendenza fuq il-klawżoli tiżgura li t-trasferiment ta’ data personali jkun soġġett għal salvagwardji xierqa skont it-tifsira tal-Artikolu 46(1) tar-Regolament (UE) 2016/679. Fil-każ ta’ bidliet rilevanti fil-kuntratt, jenħtieġ li l-esportatur tad-data jkun meħtieġ jiddependi fuq raġuni ġdida għat-trasferimenti tad-data skont il-kuntratt, b’mod partikolari billi jissostitwixxi l-klawżoli kuntrattwali standard eżistenti bil-klawżoli kuntrattwali standard stabbiliti fl-Anness ta’ din id-Deċiżjoni. L-istess jenħtieġ li japplika għal kwalunkwe sottokuntrattar lil (sotto)proċessur ta’ operazzjonijiet ta’ pproċessar koperti mill-kuntratt. |
(25) |
Il-Kontrollur Ewropew għall-Protezzjoni tad-Data u l-Bord Ewropew għall-Protezzjoni tad-Data ġew ikkonsultati skont l-Artikolu 42(1) u (2) tar-Regolament (UE) 2018/1725 u taw opinjoni konġunta fl-14 ta’ Jannar 2021 (12), li ġiet ikkunsidrata fit-tħejjija ta’ din id-Deċiżjoni. |
(26) |
Il-miżuri previsti f’din id-Deċiżjoni huma konformi mal-opinjoni tal-Kumitat stabbilit bl-Artikolu 93 tar-Regolament (UE) 2016/679, |
ADOTTAT DIN ID-DEĊIŻJONI:
Artikolu 1
1. Il-klawżoli kuntrattwali standard stabbiliti fl-Anness huma meqjusa li jipprovdu salvagwardji xierqa skont it-tifsira tal-Artikolu 46(1) u (2)(c) tar-Regolament (UE) 2016/679 għat-trasferiment minn kontrollur jew proċessur ta’ data personali pproċessata soġġett għal dak ir-Regolament (esportatur tad-data) lil kontrollur jew (sotto)proċessur li l-ipproċessar tiegħu tad-data mhuwiex soġġett għal dak ir-Regolament (importatur tad-data).
2. Il-klawżoli kuntrattwali standard jistabbilixxu wkoll id-drittijiet u l-obbligi tal-kontrolluri u tal-proċessuri fir-rigward tal-kwistjonijiet imsemmija fl-Artikolu 28(3) u (4) tar-Regolament (UE) 2016/679, f’dak li jirrigwarda t-trasferiment ta’ data personali minn kontrollur lil proċessur, jew minn proċessur lil sottoproċessur.
Artikolu 2
Meta l-awtoritajiet kompetenti tal-Istat Membru jeżerċitaw setgħat korrettivi skont l-Artikolu 58 tar-Regolament (UE) 2016/679 b’rispons għal li l-importatur tad-data jkun jew ikun sar soġġett għal liġijiet jew prattiki fil-pajjiż terz ta’ destinazzjoni li jipprevjenuh milli jikkonforma mal-klawżoli kuntrattwali standard stabbiliti fl-Anness, li jwassal għas-sospensjoni jew għall-projbizzjoni ta’ trasferimenti ta’ data lil pajjiżi terzi, l-Istat Membru kkonċernat għandu, mingħajr dewmien, jinforma lill-Kummissjoni, li mbagħad tibgħat l-informazzjoni lill-Istati Membri l-oħra.
Artikolu 3
Il-Kummissjoni għandha tevalwa l-applikazzjoni prattika tal-klawżoli kuntrattwali standard stabbiliti fl-Anness abbażi tal-informazzjoni kollha disponibbli bħala parti mill-evalwazzjoni perjodika meħtieġa mill-Artikolu 97 tar-Regolament (UE) 2016/679.
Artikolu 4
1. Din id-Deċiżjoni għandha tidħol fis-seħħ fl-għoxrin jum wara dak tal-pubblikazzjoni tagħha f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.
2. Id-Deċiżjoni 2001/497/KE titħassar b’effett mis-27 ta’ Settembru 2021.
3. Id-Deċiżjoni 2010/87/UE titħassar b’effett mis-27 ta’ Settembru 2021.
4. Il-kuntratti konklużi qabel mis-27 ta’ Settembru 2021 abbażi tad-Deċiżjoni 2001/497/KE jew tad-Deċiżjoni 2010/87/UE għandhom jitqiesu li jipprovdu salvagwardji xierqa skont it-tifsira tal-Artikolu 46(1) tar-Regolament (UE) 2016/679 sas-27 ta’ Diċembru 2022, sakemm l-operazzjonijiet ta’ pproċessar li huma s-suġġett tal-kuntratt jibqgħu l-istess u li d-dipendenza fuq dawk il-klawżoli tiżgura li t-trasferiment ta’ data personali jkun soġġett għal salvagwardji xierqa.
Magħmul fi Brussell, l-4 ta’ Ġunju 2021.
Għall-Kummissjoni
Il-President
Ursula VON DER LEYEN
(2) L-Artikolu 44 tar-Regolament (UE) 2016/679.
(3) Ara wkoll is-sentenza tal-Qorti tal-Ġustizzja tas-16 ta’ Lulju 2020 fil-Kawża C-311/18, Data Protection Commissioner vs Facebook Ireland Limited u Maximillian Schrems (“Schrems II”), ECLI:EU:C:2020:559, il-punt 93.
(4) Il-premessa 109 tar-Regolament (UE) 2016/679.
(5) Id-Deċiżjoni tal-Kummissjoni 2001/497/KE tal-15 ta’ Ġunju 2001 dwar klawżoli standard kuntrattwali għat-trasferiment ta’ data personali lil pajjiżi terzi, skont id-Direttiva 95/46/KE (ĠU L 181, 4.7.2001, p. 19).
(6) Id-Deċiżjoni tal-Kummissjoni 2010/87/UE tal-5 ta’ Frar 2010 dwar klawżoli kuntrattwali standard għat-trasferiment ta’ data personali għall-proċessuri stabbiliti f’pajjiżi terzi, taħt id-Direttiva 95/46/KE tal-Parlament Ewropew u tal-Kunsill (ĠU L 39, 12.2.2010, p. 5).
(7) Id-Direttiva 95/46/KE tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Ottubru 1995 dwar il-protezzjoni ta’ individwi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ dik id-data (ĠU L 281, 23.11.1995, p. 31).
(8) Ir-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data, u li jħassar ir-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE (ĠU L 295, 21.11.2018, p. 39); ara l-premessa 5.
(9) C(2021)3701.
(10) Schrems II, il-punti 96 u 103. Ara wkoll ir-Regolament (UE) 2016/679, il-premessi 108 u 114.
(11) Schrems II.
(12) Opinjoni Konġunta 2/2021tal-EDPB-KEPD dwar id-Deċiżjoni ta’ Implimentazzjoni tal-Kummissjoni Ewropea dwar klawżoli kuntrattwali standard għat-trasferiment ta’ data personali lil pajjiżi terzi għall-kwistjonijiet imsemmija fl-Artikolu 46(2)(c) tar-Regolament.
ANNESS
KLAWŻOLI KUNTRATTWALI STANDARD
TAQSIMA I
Klawżola 1
Għan u kamp ta’ applikazzjoni
(a) |
L-għan ta’ dawn il-klawżoli kuntrattwali standard huwa li tiġi żgurata l-konformità mar-rekwiżiti tar-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas-27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data (Regolament Ġenerali dwar il-Protezzjoni tad-Data) (1) għat-trasferiment ta’ data personali lejn pajjiż terz. |
(b) |
Il-Partijiet:
qablu ma’ dawn il-klawżoli kuntrattwali standard (minn hawn ’il quddiem: “Klawżoli”). |
(c) |
Dawn il-Klawżoli japplikaw fir-rigward tat-trasferiment ta’ data personali kif speċifikat fl-Anness I.B. |
(d) |
L-Appendiċi għal dawn il-Klawżoli li fihom l-Annessi msemmija fih jifforma parti integrali minn dawn il-Klawżoli. |
Klawżola 2
Effett u invarjabbiltà tal-Klawżoli
(a) |
Dawn il-Klawżoli jistabbilixxu salvagwardji xierqa, inklużi drittijiet infurzabbli tas-suġġetti tad-data u rimedji legali effettivi, skont l-Artikolu 46(1) u l-Artikolu 46(2)(c) tar-Regolament (UE) 2016/679 u, fir-rigward tat-trasferimenti tad-data minn kontrolluri lil proċessuri u/jew minn proċessuri lil proċessuri, klawżoli kuntrattwali standard skont l-Artikolu 28(7) tar-Regolament (UE) 2016/679, dment li ma jiġux immodifikati, ħlief biex jintgħażel/jintgħażlu l-Modulu/i xieraq/xierqa jew biex tiġi miżjuda jew aġġornata l-informazzjoni fl-Appendiċi. Dan ma jipprevjenix lill-Partijiet milli jinkludu l-klawżoli kuntrattwali standard stabbiliti f’dawn il-Klawżoli f’kuntratt usa’ u/jew milli jżidu klawżoli oħra jew salvagwardji addizzjonali, dment li dawn ma jmorrux kontra, direttament jew indirettament, dawn il-Klawżoli jew jippreġudikaw id-drittijiet jew il-libertajiet fundamentali tas-suġġetti tad-data. |
(b) |
Dawn il-Klawżoli huma mingħajr preġudizzju għall-obbligi li għalihom l-esportatur tad-data huwa soġġett bis-saħħa tar-Regolament (UE) 2016/679. |
Klawżola 3
Partijiet terzi benefiċjarji
(a) |
Is-suġġetti tad-data jistgħu jinvokaw u jinfurzaw dawn il-Klawżoli, bħala partijiet terzi benefiċjarji, kontra l-esportatur tad-data u/jew l-importatur tad-data, bl-eċċezzjonijiet li ġejjin:
|
(b) |
Il-paragrafu (a) huwa mingħajr preġudizzju għad-drittijiet tas-suġġetti tad-data skont ir-Regolament (UE) 2016/679. |
Klawżola 4
Interpretazzjoni
(a) |
Meta dawn il-Klawżoli jużaw termini li huma definiti fir-Regolament (UE) 2016/679, dawk it-termini għandu jkollhom l-istess tifsira bħal f’dak ir-Regolament. |
(b) |
Dawn il-Klawżoli għandhom jinqraw u jiġu interpretati fid-dawl tad-dispożizzjonijiet tar-Regolament (UE) 2016/679. |
(c) |
Dawn il-Klawżoli ma għandhomx jiġu interpretati b’mod li jmur kontra d-drittijiet u l-obbligi previsti fir-Regolament (UE) 2016/679. |
Klawżola 5
Ġerarkija
F’każ ta’ kontradizzjoni bejn dawn il-Klawżoli u d-dispożizzjonijiet tal-ftehimiet relatati bejn il-Partijiet, li jkunu jeżistu fiż-żmien meta dawn il-Klawżoli jiġu miftiehma jew iffirmati minn hemm ’il quddiem, dawn il-Klawżoli għandhom jipprevalu.
Klawżola 6
Deskrizzjoni tat-trasferiment(i)
Id-dettalji tat-trasferiment(i), u b’mod partikolari l-kategoriji ta’ data personali li tiġi ttrasferita u l-iskop(ijiet) li għalihom tiġi ttrasferita, huma speċifikati fl-Anness I.B.
Klawżola 7 - Fakultattiva
Klawżola ta’ ddokkjar
(a) |
Entità li mhijiex Parti għal dawn il-Klawżoli tista’, bil-qbil tal-Partijiet, taderixxi ma’ dawn il-Klawżoli fi kwalunkwe ħin, jew bħala esportatur tad-data jew bħala importatur tad-data, billi timla l-Appendiċi u tiffirma l-Anness I.A. |
(b) |
Ladarba tkun lestiet l-Appendiċi u ffirmat l-Anness I.A, l-entità aderenti għandha ssir Parti għal dawn il-Klawżoli u jkollha d-drittijiet u l-obbligi ta’ esportatur tad-data jew ta’ importatur tad-data skont id-deżinjazzjoni tagħha fl-Anness I.A. |
(c) |
L-entità aderenti ma għandu jkollha l-ebda dritt jew obbligu li jirriżulta minn dawn il-Klawżoli mill-perjodu ta’ qabel ma ssir Parti. |
TAQSIMA II - OBBLIGI TAL-PARTIJIET
Klawżola 8
Salvagwardji għall-protezzjoni tad-data
L-esportatur tad-data jiggarantixxi li uża sforzi raġonevoli biex jiddetermina li l-importatur tad-data jista’ jissodisfa l-obbligi tiegħu skont dawn il-Klawżoli permezz tal-implimentazzjoni ta’ miżuri tekniċi u organizzattivi xierqa.
MODULU WIEĦED: Trasferiment minn kontrollur lil kontrollur
8.1. Limitazzjoni tal-iskop
L-importatur tad-data għandu jipproċessa d-data personali biss għall-iskop(ijiet) speċifiku/speċifiċi tat-trasferiment, kif stabbilit fl-Anness I.B. Huwa jista’ jipproċessa biss id-data personali għal skop ieħor:
(i) |
meta jkun kiseb il-kunsens minn qabel tas-suġġett tad-data; |
(ii) |
meta jkun meħtieġ għall-istabbiliment, l-eżerċizzju jew id-difiża ta’ talbiet legali fil-kuntest ta’ proċedimenti amministrattivi, regolatorji jew ġudizzjarji speċifiċi; jew |
(iii) |
meta jkun meħtieġ sabiex ikunu protetti l-interessi vitali tas-suġġett tad-data jew ta’ persuna fiżika oħra. |
8.2. Trasparenza
(a) |
Sabiex is-suġġetti tad-data jkunu jistgħu jeżerċitaw b’mod effettiv id-drittijiet tagħhom skont il-Klawżola 10, l-importatur tad-data għandu jinformahom, jew direttament jew permezz tal-esportatur tad-data:
|
(b) |
Il-paragrafu (a) ma għandux japplika meta s-suġġett tad-data diġà jkollu l-informazzjoni, inkluż meta tali informazzjoni tkun diġà ġiet ipprovduta mill-esportatur tad-data, jew l-għoti ta’ tali informazzjoni jirriżulta impossibbli jew ikun jinvolvi sforz sproporzjonat għall-importatur tad-data. Fl-aħħar każ, l-importatur tad-data għandu, sa fejn ikun possibbli, jagħmel l-informazzjoni disponibbli għall-pubbliku. |
(c) |
Fuq talba, il-Partijiet għandhom jagħmlu kopja ta’ dawn il-Klawżoli, inkluż l-Appendiċi kif mimli minnhom, disponibbli għas-suġġett tad-data mingħajr ħlas. Sa fejn ikun meħtieġ għall-protezzjoni tas-sigrieti kummerċjali jew informazzjoni kunfidenzjali oħra, inkluża data personali, il-Partijiet jistgħu jħassru parti mit-test tal-Appendiċi qabel ma jikkondividu kopja, iżda għandhom jipprovdu sommarju sinifikanti meta s-suġġett tad-data ma jkunx jista’ jifhem b’ebda mod ieħor il-kontenut tiegħu jew jeżerċita d-drittijiet tiegħu. Fuq talba, il-Partijiet għandhom jipprovdu lis-suġġett tad-data bir-raġunijiet għar-redazzjonijiet, sa fejn ikun possibbli mingħajr ma jiżvelaw l-informazzjoni redatta. |
(d) |
Il-paragrafi (a) sa (c) huma mingħajr preġudizzju għall-obbligi tal-esportatur tad-data skont l-Artikoli 13 u 14 tar-Regolament (UE) 2016/679. |
8.3. Preċiżjoni u minimizzazzjoni tad-data
(a) |
Kull Parti għandha tiżgura li d-data personali tkun preċiża u, fejn meħtieġ, tinżamm aġġornata. L-importatur tad-data għandu jieħu kull pass raġonevoli biex jiżgura li d-data personali li ma tkunx preċiża, wara li jikkunsidra l-iskop(ijiet) tal-ipproċessar, titħassar jew tiġi rrettifikata mingħajr dewmien. |
(b) |
Jekk waħda mill-Partijiet issir konxja li d-data personali li tkun ittrasferiet jew li tkun irċeviet ma tkunx preċiża, jew tkun skadiet, għandha tinforma lill-Parti l-oħra mingħajr dewmien żejjed. |
(c) |
L-importatur tad-data għandu jiżgura li d-data personali tkun adegwata, rilevanti u limitata għal dak li huwa meħtieġ fir-rigward tal-iskop(ijiet) tal-ipproċessar. |
8.4. Limitazzjoni tal-ħżin
L-importatur tad-data għandu jżomm id-data personali għal mhux aktar milli meħtieġ għall-iskop(ijiet) li għalih(om) tiġi pproċessata. Huwa għandu jistabbilixxi miżuri tekniċi jew organizzattivi xierqa biex jiżgura l-konformità ma’ dan l-obbligu, li jinkludu t-tħassir jew l-anonimizzazzjoni (2) tad-data u l-backups kollha fi tmiem il-perjodu ta’ żamma.
8.5. Sigurtà tal-ipproċessar
(a) |
L-importatur tad-data u, matul it-trażmissjoni, anke l-esportatur tad-data għandhom jimplimentaw miżuri tekniċi u organizzattivi xierqa biex jiżguraw is-sigurtà tad-data personali, inkluża l-protezzjoni kontra ksur ta’ sigurtà li jwassal għall-qerda, it-telf, l-alterazzjoni, l-iżvelar jew l-aċċess mhux awtorizzati (minn hawn ’il quddiem “ksur ta’ data personali”). Meta jivvalutaw il-livell xieraq ta’ sigurtà, dawn għandhom iqisu kif xieraq l-ogħla livell ta’ żvilupp tekniku, l-ispejjeż tal-implimentazzjoni, in-natura, l-ambitu, il-kuntest u l-iskop(ijiet) tal-ipproċessar u r-riskji involuti fl-ipproċessar għas-suġġett tad-data. Il-partijiet għandhom b’mod partikolari jikkunsidraw li jirrikorru għall-kriptaġġ jew il-psewdonimizzazzjoni, inkluż matul it-trażmissjoni, fejn l-għan tal-ipproċessar jista’ jiġi ssodisfat b’dak il-mod. |
(b) |
Il-Partijiet qablu dwar il-miżuri tekniċi u organizzattivi stabbiliti fl-Anness II. L-importatur tad-data għandu jwettaq kontrolli regolari biex jiżgura li dawn il-miżuri jkomplu jipprovdu livell xieraq ta’ sigurtà. |
(c) |
L-importatur tad-data għandu jiżgura li l-persuni awtorizzati biex jipproċessaw id-data personali jkunu impenjaw ruħhom li jżommu l-kunfidenzjalità jew li jkunu taħt obbligu statutorju xieraq ta’ kunfidenzjalità. |
(d) |
F’każ ta’ ksur ta’ data personali li jikkonċerna data personali pproċessata mill-importatur tad-data skont dawn il-Klawżoli, l-importatur tad-data għandu jieħu miżuri xierqa biex jindirizza l-ksur tad-data personali, inklużi miżuri biex jitnaqqsu l-effetti avversi possibbli tiegħu. |
(e) |
F’każ ta’ ksur ta’ data personali li x’aktarx jirriżulta f’riskju għad-drittijiet u l-libertajiet ta’ persuni fiżiċi, l-importatur tad-data għandu jinnotifika mingħajr dewmien żejjed kemm lill-esportatur tad-data kif ukoll lill-awtorità superviżorja kompetenti skont il-Klawżola 13. Tali notifika għandu jkun fiha i) deskrizzjoni tan-natura tal-ksur (inklużi, fejn possibbli, kategoriji u numru approssimattiv ta’ suġġetti tad-data u rekords tad-data personali kkonċernati), ii) il-konsegwenzi probabbli tiegħu, iii) il-miżuri meħuda jew proposti biex jiġi indirizzat il-ksur, u iv) id-dettalji ta’ punt ta’ kuntatt li minnu tista’ tinkiseb aktar informazzjoni. Sa fejn mhuwiex possibbli għall-importatur tad-data li jipprovdi l-informazzjoni kollha fl-istess ħin, dan jista’ jagħmel dan f’fażijiet mingħajr aktar dewmien żejjed. |
(f) |
F’każ ta’ ksur ta’ data personali li x’aktarx jirriżulta f’riskju għoli għad-drittijiet u l-libertajiet ta’ persuni fiżiċi, l-importatur tad-data għandu jinnotifika wkoll mingħajr dewmien żejjed lis-suġġetti tad-data kkonċernati dwar il-ksur ta’ data personali u n-natura tiegħu, jekk ikun meħtieġ f’kooperazzjoni mal-esportatur tad-data, flimkien mal-informazzjoni msemmija fil-paragrafu (e), il-punti ii) sa iv), sakemm l-importatur tad-data ma jkunx implimenta miżuri biex inaqqas b’mod sinifikanti r-riskju għad-drittijiet jew il-libertajiet ta’ persuni fiżiċi, jew in-notifika tkun tinvolvi sforzi sproporzjonati. Fil-każ tal-aħħar, l-importatur tad-data għandu minflok jagħmel komunikazzjoni pubblika jew jieħu miżura simili sabiex jinforma lill-pubbliku dwar il-ksur tad-data personali. |
(g) |
L-importatur tad-data għandu jiddokumenta l-fatti rilevanti kollha relatati mal-ksur tad-data personali, inklużi l-effetti tiegħu u kwalunkwe azzjoni ta’ rimedju meħuda, u jżomm rekord tagħhom. |
8.6. Data sensittiva
Meta t-trasferiment jinvolvi data personali li tiżvela l-oriġini razzjali jew etnika, opinjonijiet politiċi, twemmin reliġjuż jew filosofiku, jew sħubija fi trade union, data ġenetika, jew data bijometrika bl-għan li tiġi identifikata unikament persuna fiżika, data li tikkonċerna s-saħħa jew il-ħajja sesswali jew l-orjentazzjoni sesswali ta’ persuna, jew data relatata ma’ kundanni jew reati kriminali (minn hawn ’il quddiem “ data sensittiva”), l-importatur tad-data għandu japplika restrizzjonijiet speċifiċi u/jew salvagwardji addizzjonali adattati għan-natura speċifika tad-data u r-riskji involuti. Dan jista’ jinkludi r-restrizzjoni tal-persunal permess li jaċċessa d-data personali, miżuri ta’ sigurtà addizzjonali (bħall-psewdonimizzazzjoni) u/jew restrizzjonijiet addizzjonali fir-rigward ta’ żvelar ulterjuri.
8.7. Trasferimenti ulterjuri
L-importatur tad-data ma għandux jiżvela d-data personali lil parti terza li tinsab barra mill-Unjoni Ewropea (3) (fl-istess pajjiż bħall-importatur tad-data jew f’pajjiż terz ieħor, minn hawn ’il quddiem “trasferiment ulterjuri”) sakemm il-parti terza ma tkunx marbuta jew taqbel li tkun marbuta b’dawn il-Klawżoli, taħt il-Modulu xieraq. B’mod ieħor, trasferiment ulterjuri mill-importatur tad-data jista’ jseħħ biss jekk:
(i) |
ikun lil pajjiż li jibbenefika minn deċiżjoni ta’ adegwatezza skont l-Artikolu 45 tar-Regolament (UE) 2016/679 li tkopri t-trasferiment ulterjuri; |
(ii) |
il-parti terza tiżgura b’mod ieħor salvagwardji xierqa skont l-Artikoli 46 jew 47 tar-Regolament (UE) 2016/679 fir-rigward tal-ipproċessar inkwistjoni; |
(iii) |
il-parti terza tidħol fi strument vinkolanti mal-importatur tad-data li jiżgura l-istess livell ta’ protezzjoni tad-data bħal taħt dawn il-Klawżoli, u l-importatur tad-data jipprovdi kopja ta’ dawn is-salvagwardji lill-esportatur tad-data; |
(iv) |
ikun meħtieġ għall-istabbiliment, l-eżerċizzju jew id-difiża ta’ pretensjonijiet legali fil-kuntest ta’ proċedimenti amministrattivi, regolatorji jew ġudizzjarji speċifiċi; |
(v) |
l-ipproċessar ikun meħtieġ sabiex jiġu protetti l-interessi vitali tas-suġġett tad-data jew ta’ persuna fiżika oħra; jew |
(vi) |
fejn ma tapplika l-ebda waħda mill-kundizzjonijiet l-oħra, l-importatur tad-data jkun kiseb il-kunsens espliċitu tas-suġġett tad-data għal trasferiment ulterjuri f’sitwazzjoni speċifika, wara li jkun informah bl-iskop(ijiet) tiegħu, l-identità tar-riċevitur u r-riskji possibbli ta’ tali trasferiment għas-suġġett minħabba n-nuqqas ta’ salvagwardji xierqa tal-protezzjoni tad-data. F’dan il-każ, l-importatur tad-data għandu jinforma lill-esportatur tad-data u, fuq talba ta’ dan tal-aħħar, għandu jibgħatlu kopja tal-informazzjoni pprovduta lis-suġġett tad-data. |
Kwalunkwe trasferiment ulterjuri huwa soġġett għall-konformità mill-importatur tad-data mas-salvagwardji l-oħra kollha skont dawn il-Klawżoli, b’mod partikolari l-limitazzjoni tal-iskop.
8.8. Proċessar taħt l-awtorità tal-importatur tad-data
L-importatur tad-data għandu jiżgura li kwalunkwe persuna li taġixxi taħt l-awtorità tiegħu, inkluż proċessur, jipproċessa d-data biss skont l-istruzzjonijiet tiegħu.
8.9. Dokumentazzjoni u konformità
(a) |
Kull Parti għandha tkun tista’ turi konformità mal-obbligi tagħha skont dawn il-Klawżoli. B’mod partikolari, l-importatur tad-data għandu jżomm dokumentazzjoni xierqa tal-attivitajiet ta’ pproċessar imwettqa taħt ir-responsabbiltà tiegħu. |
(b) |
L-importatur tad-data għandu jagħmel tali dokumentazzjoni disponibbli għall-awtorità superviżorja kompetenti fuq talba. |
MODULU TNEJN: Trasferiment minn kontrollur lil proċessur
8.1. Struzzjonijiet
(a) |
L-importatur tad-data għandu jipproċessa d-data personali biss fuq struzzjonijiet dokumentati mill-esportatur tad-data. L-esportatur tad-data jista’ jagħti dawn l-istruzzjonijiet tul il-kuntratt kollu. |
(b) |
L-importatur tad-data għandu jinforma minnufih lill-esportatur tad-data jekk ma jkunx jista’ jsegwi dawk l-istruzzjonijiet. |
8.2. Limitazzjoni tal-iskop
L-importatur tad-data għandu jipproċessa d-data personali biss għall-iskop(ijiet) speċifiku/speċifiċi tat-trasferiment, kif stabbilit fl-Anness I.B, sakemm ma jkunx hemm struzzjonijiet ulterjuri mill-esportatur tad-data.
8.3. Trasparenza
Fuq talba, l-esportatur tad-data għandu jagħmel disponibbli għas-suġġett tad-data mingħajr ħlas kopja ta’ dawn il-Klawżoli, inkluż l-Appendiċi kif mimli mill-Partijiet. Sa fejn ikun meħtieġ biex jiġu protetti s-sigrieti kummerċjali jew informazzjoni kunfidenzjali oħra, inklużi l-miżuri deskritti fl-Anness II u data personali, l-esportatur tad-data jista’ jeditja parti mit-test tal-Appendiċi ta’ dawn il-Klawżoli qabel ma jikkondividi kopja, iżda għandu jipprovdi sommarju sinifikanti meta, jekk ma jsirx dan, is-suġġett tad-data ma jkunx jista’ jifhem il-kontenut tiegħu jew jeżerċita d-drittijiet tiegħu. Fuq talba, il-Partijiet għandhom jipprovdu lis-suġġett tad-data bir-raġunijiet għar-redazzjonijiet, sa fejn ikun possibbli mingħajr ma jiżvelaw l-informazzjoni redatta. Din il-klawsola hija mingħajr preġudizzju għall-obbligi tal-esportatur tad-data skont l-Artikoli 13 u 14 tar-Regolament (UE) 2016/679.
8.4. Preċiżjoni
Jekk l-importatur tad-data jsir konxju li d-data personali li jkun irċieva ma tkunx preċiża, jew tkun skadiet, dan għandu jinforma lill-esportatur tad-data mingħajr dewmien żejjed. F’dan il-każ, l-importatur tad-data għandu jikkoopera mal-esportatur tad-data biex iħassar jew jirrettifika d-data.
8.5. Tul tal-ipproċessar u tħassir jew ritorn tad-data
L-ipproċessar mill-importatur tad-data għandu jsir biss għat-tul speċifikat fl-Anness I.B. Wara t-tmiem tal-provvista tas-servizzi tal-ipproċessar, l-importatur tad-data għandu, fuq l-għażla tal-esportatur tad-data, iħassar id-data personali kollha pproċessata f’isem l-esportatur tad-data u jiċċertifika lill-esportatur tad-data li għamel dan, jew jirritorna lill-esportatur tad-data d-data personali kollha pproċessata f’ismu u jħassar kopji eżistenti. Sakemm id-data titħassar jew tintbagħat lura, l-importatur tad-data għandu jkompli jiżgura l-konformità ma’ dawn il-Klawżoli. Fil-każ ta’ liġijiet lokali applikabbli għall-importatur tad-data li jipprojbixxu r-ritorn jew it-tħassir tad-data personali, l-importatur tad-data jiggarantixxi li se jkompli jiżgura l-konformità ma’ dawn il-Klawżoli u jipproċessaha biss sal-punt u sakemm ikun meħtieġ skont dik il-liġi lokali. Dan huwa mingħajr preġudizzju għall-Klawżola 14, b’mod partikolari r-rekwiżit għall-importatur tad-data skont il-Klawżola 14(e) li jinnotifika lill-esportatur tad-data tul il-kuntratt kollu jekk ikollu raġuni biex jemmen li jkun, jew li sar, soġġett għal liġijiet jew prattiki li mhumiex konformi mar-rekwiżiti skont il-Klawżola 14(a).
8.6. Sigurtà tal-ipproċessar
(a) |
L-importatur tad-data u, matul it-trażmissjoni, anke l-esportatur tad-data għandhom jimplimentaw miżuri tekniċi u organizzattivi xierqa biex jiżguraw is-sigurtà tad-data, inkluża l-protezzjoni kontra ksur ta’ sigurtà li jwassal għall-qerda, it-telf, l-alterazzjoni, l-iżvelar jew l-aċċess aċċidentali jew illegali għal dik id-data (minn hawn ’il quddiem “ksur ta’ data personali”). Meta jivvalutaw il-livell xieraq ta’ sigurtà, il-Partijiet għandhom iqisu kif xieraq l-ogħla livell ta’ żvilupp tekniku, l-ispejjeż tal-implimentazzjoni, in-natura, il-kamp ta’ applikazzjoni, il-kuntest u l-iskop(ijiet) tal-ipproċessar u r-riskji involuti fl-ipproċessar għas-suġġetti tad-data. Il-partijiet għandhom b’mod partikolari jikkunsidraw li jirrikorru għall-kriptaġġ jew il-psewdonimizzazzjoni, inkluż matul it-trażmissjoni, meta l-għan tal-ipproċessar jista’ jiġi ssodisfat b’dak il-mod. F’każ ta’ psewdonimizzazzjoni, l-informazzjoni addizzjonali għall-attribuzzjoni tad-data personali lil suġġett speċifiku tad-data għandha, fejn possibbli, tibqa’ taħt il-kontroll esklussiv tal-esportatur tad-data. Meta jikkonforma mal-obbligu tiegħu skont dan il-paragrafu, l-importatur tad-data għandu tal-inqas jimplimenta l-miżuri tekniċi u organizzattivi speċifikati fl-Anness II. L-importatur tad-data għandu jwettaq kontrolli regolari biex jiżgura li dawn il-miżuri jkomplu jipprovdu livell xieraq ta’ sigurtà. |
(b) |
L-importatur tad-data għandu jagħti aċċess għad-data personali lill-membri tal-persunal tiegħu biss sa fejn ikun strettament meħtieġ għall-implimentazzjoni, il-ġestjoni u l-monitoraġġ tal-kuntratt. Huwa għandu jiżgura li l-persuni awtorizzati biex jipproċessaw id-data personali jkunu impenjaw ruħhom li jżommu l-kunfidenzjalità jew li jkunu taħt obbligu statutorju xieraq ta’ kunfidenzjalità. |
(c) |
F’każ ta’ ksur ta’ data personali li jikkonċerna data personali pproċessata mill-importatur tad-data skont dawn il-Klawżoli, l-importatur tad-data għandu jieħu miżuri xierqa biex jindirizza l-ksur, inklużi miżuri biex inaqqas l-effetti avversi tiegħu. L-importatur tad-data għandu jinnotifika wkoll lill-esportatur tad-data mingħajr dewmien żejjed wara li jkun sar jaf bil-ksur. Tali notifika għandha tinkludi d-dettalji ta’ punt ta’ kuntatt fejn tista’ tinkiseb aktar informazzjoni, deskrizzjoni tan-natura tal-ksur (inkluż, fejn possibbli, il-kategoriji u numru approssimattiv tas-suġġetti tad-data u tar-rekords tad-data personali kkonċernati), il-konsegwenzi probabbli tiegħu u l-miżuri meħuda jew proposti biex jiġi indirizzat il-ksur inklużi, fejn xieraq, miżuri biex jittaffew l-effetti avversi possibbli tiegħu. Meta, u sa fejn, ma jkunx possibbli li tiġi pprovduta l-informazzjoni kollha fl-istess ħin, in-notifika inizjali għandha tinkludi l-informazzjoni disponibbli f’dak il-waqt u informazzjoni ulterjuri għandha tiġi pprovduta sussegwentement, kif issir disponibbli, mingħajr dewmien żejjed. |
(d) |
L-importatur tad-data għandu jikkoopera mal-esportatur tad-data u jassistih biex jippermetti lill-esportatur tad-data jikkonforma mal-obbligi tiegħu skont ir-Regolament (UE) 2016/679, b’mod partikolari biex jinnotifika lill-awtorità superviżorja kompetenti u lis-suġġetti tad-data affettwati, filwaqt li titqies in-natura tal-ipproċessar u l-informazzjoni disponibbli għall-importatur tad-data. |
8.7. Data sensittiva
Meta t-trasferiment jinvolvi data personali li tiżvela l-oriġini razzjali jew etnika, opinjonijiet politiċi, twemmin reliġjuż jew filosofiku, jew sħubija fi trade union, data ġenetika, jew data bijometrika bl-għan li tiġi identifikata unikament persuna fiżika, data li tikkonċerna s-saħħa jew il-ħajja sesswali jew l-orjentazzjoni sesswali ta’ persuna, jew data relatata ma’ kundanni u reati kriminali (minn hawn ’il quddiem “ data sensittiva”), l-importatur tad-data għandu japplika r-restrizzjonijiet speċifiċi u/jew is-salvagwardji addizzjonali deskritti fl-Anness I.B.
8.8. Trasferimenti ulterjuri
L-importatur tad-data għandu jiżvela biss id-data personali lil parti terza fuq struzzjonijiet dokumentati mill-esportatur tad-data. Minbarra dan, id-data tista’ tiġi żvelata lil parti terza li tinsab barra mill-Unjoni Ewropea (4) (fl-istess pajjiż bħall-importatur tad-data jew f’pajjiż terz ieħor, minn hawn ’il quddiem “trasferiment ulterjuri”) biss jekk il-parti terza tkun marbuta jew taqbel li tkun marbuta b’dawn il-Klawżoli, taħt il-Modulu xieraq.
(i) |
it-trasferiment ulterjuri jkun lil pajjiż li jibbenefika minn deċiżjoni ta’ adegwatezza skont l-Artikolu 45 tar-Regolament (UE) 2016/679 li tkopri t-trasferiment ulterjuri; |
(ii) |
il-parti terza tiżgura b’mod ieħor salvagwardji xierqa skont l-Artikoli 46 jew 47 tar-Regolament (UE) 2016/679 fir-rigward tal-ipproċessar inkwistjoni; |
(iii) |
it-trasferiment ulterjuri jkun meħtieġ għall-istabbiliment, l-eżerċizzju jew id-difiża ta’ pretensjonijiet legali fil-kuntest ta’ proċedimenti amministrattivi, regolatorji jew ġudizzjarji speċifiċi; jew |
(iv) |
it-trasferiment ulterjuri jkun meħtieġ sabiex jiġu protetti l-interessi vitali tas-suġġett tad-data jew ta’ persuna fiżika oħra. |
Kwalunkwe trasferiment ulterjuri huwa soġġett għall-konformità mill-importatur tad-data mas-salvagwardji l-oħra kollha skont dawn il-Klawżoli, b’mod partikolari l-limitazzjoni tal-iskop.
8.9. Dokumentazzjoni u konformità
(a) |
L-importatur tad-data għandu minnufih u b’mod adegwat jittratta mistoqsijiet mill-esportatur tad-data li jkunu relatati mal-ipproċessar skont dawn il-Klawżoli. |
(b) |
Il-Partijiet għandhom ikunu jistgħu juru konformità ma’ dawn il-Klawżoli. B’mod partikolari, l-importatur tad-data għandu jżomm dokumentazzjoni xierqa dwar l-attivitajiet ta’ pproċessar imwettqa f’isem l-esportatur tad-data. |
(c) |
L-importatur tad-data għandu jagħmel disponibbli għall-esportatur tad-data l-informazzjoni kollha meħtieġa biex juri konformità mal-obbligi stabbiliti f’dawn il-Klawżoli u fuq talba tal-esportatur tad-data, jippermetti u jikkontribwixxi għall-awditi tal-attivitajiet ta’ pproċessar koperti minn dawn il-Klawżoli, f’intervalli raġonevoli jew jekk ikun hemm indikazzjonijiet ta’ nuqqas ta’ konformità. Meta jiddeċiedi li jwettaq rieżami jew awditu, l-esportatur tad-data jista’ jqis iċ-ċertifikazzjonijiet rilevanti li jkollu l-importatur tad-data. |
(d) |
L-esportatur tad-data jista’ jagħżel li jwettaq l-awditu huwa stess jew li jagħti mandat lil awditur indipendenti. L-awditi jistgħu jinkludu spezzjonijiet fil-bini jew fil-faċilitajiet fiżiċi tal-importatur tad-data u għandhom, fejn xieraq, jitwettqu b’avviż raġonevoli. |
(e) |
Il-Partijiet għandhom jagħmlu l-informazzjoni msemmija fil-paragrafi (b) u (c), inklużi r-riżultati ta’ kwalunkwe awditu, disponibbli għall-awtorità superviżorja kompetenti fuq talba. |
MODULU TLIETA: Trasferiment minn proċessur lil proċessur
8.1. Struzzjonijiet
(a) |
L-esportatur tad-data informa lill-importatur tad-data li huwa qed jaġixxi bħala proċessur skont l-istruzzjonijiet tal-kontrollur(i) tiegħu, li l-esportatur tad-data għandu jagħmel disponibbli għall-importatur tad-data qabel l-ipproċessar. |
(b) |
L-importatur tad-data għandu jipproċessa d-data personali biss fuq struzzjonijiet dokumentati mill-kontrollur, kif ikkomunikati lill-importatur tad-data mill-esportatur tad-data, u kwalunkwe struzzjoni dokumentata addizzjonali mill-esportatur tad-data. Dawn l-istruzzjonijiet addizzjonali ma għandhomx ikunu f’kunflitt mal-istruzzjonijiet mill-kontrollur. Il-kontrollur jew l-esportatur tad-data jista’ jagħti struzzjonijiet dokumentati ulterjuri dwar l-ipproċessar tad-data tul il-kuntratt. |
(c) |
L-importatur tad-data għandu jinforma minnufih lill-esportatur tad-data jekk ma jkunx jista’ jsegwi dawk l-istruzzjonijiet. Meta l-importatur tad-data ma jkunx jista’ jsegwi l-istruzzjonijiet mill-kontrollur, l-esportatur tad-data għandu jinnotifika minnufih lill-kontrollur. |
(d) |
L-esportatur tad-data jiggarantixxi li jkun impona l-istess obbligi ta’ protezzjoni tad-data fuq l-importatur tad-data kif stabbilit fil-kuntratt jew f’att legali ieħor skont il-liġi tal-Unjoni jew tal-Istat Membru bejn il-kontrollur u l-esportatur tad-data (5). |
8.2. Limitazzjoni tal-iskop
L-importatur tad-data għandu jipproċessa d-data personali biss għall-iskop(ijiet) speċifiku/speċifiċi tat-trasferiment, kif stabbilit fl-Anness I.B., sakemm mhux fuq struzzjonijiet ulterjuri mill-kontrollur, kif ikkomunikati lill-importatur tad-data mill-esportatur tad-data, jew mill-esportatur tad-data.
8.3. Trasparenza
Fuq talba, l-esportatur tad-data għandu jagħmel disponibbli għas-suġġett tad-data mingħajr ħlas kopja ta’ dawn il-Klawżoli, inkluż l-Appendiċi kif mimli mill-Partijiet. Sa fejn ikun meħtieġ għall-protezzjoni tas-sigrieti kummerċjali jew informazzjoni kunfidenzjali oħra, inkluża data personali, l-esportatur tad-data jista’ jħassar parti mit-test tal-Appendiċi qabel ma jikkondividi kopja, iżda għandu jipprovdi sommarju sinifikanti fejn is-suġġett tad-data ma jkunx jista’ jifhem b’ebda mod ieħor il-kontenut tiegħu jew jeżerċita d-drittijiet tiegħu. Fuq talba, il-Partijiet għandhom jipprovdu lis-suġġett tad-data bir-raġunijiet għar-redazzjonijiet, sa fejn ikun possibbli mingħajr ma jiżvelaw l-informazzjoni redatta.
8.4. Preċiżjoni
Jekk l-importatur tad-data jsir konxju li d-data personali li jkun irċieva ma tkunx preċiża, jew tkun skadiet, dan għandu jinforma lill-esportatur tad-data mingħajr dewmien żejjed. F’dan il-każ, l-importatur tad-data għandu jikkoopera mal-esportatur tad-data biex jirrettifika jew iħassar id-data.
8.5. Tul tal-ipproċessar u tħassir jew ritorn tad-data
L-ipproċessar mill-importatur tad-data għandu jsir biss għat-tul speċifikat fl-Anness I.B. Wara t-tmiem tal-provvista tas-servizzi tal-ipproċessar, l-importatur tad-data għandu, fuq l-għażla tal-esportatur tad-data, iħassar id-data personali kollha pproċessata f’isem il-kontrollur u jiċċertifika lill-esportatur tad-data li għamel dan, jew jirritorna lill-esportatur tad-data d-data personali kollha pproċessata f’ismu u jħassar kopji eżistenti. Sakemm id-data titħassar jew tintbagħat lura, l-importatur tad-data għandu jkompli jiżgura l-konformità ma’ dawn il-Klawżoli. Fil-każ ta’ liġijiet lokali applikabbli għall-importatur tad-data li jipprojbixxu r-ritorn jew it-tħassir tad-data personali, l-importatur tad-data jiggarantixxi li se jkompli jiżgura l-konformità ma’ dawn il-Klawżoli u jipproċessaha biss sal-punt u sakemm ikun meħtieġ skont dik il-liġi lokali. Dan huwa mingħajr preġudizzju għall-Klawżola 14, b’mod partikolari r-rekwiżit għall-importatur tad-data skont il-Klawżola 14(e) li jinnotifika lill-esportatur tad-data tul il-kuntratt kollu jekk ikollu raġuni biex jemmen li jkun jew li jkun sar soġġett għal liġijiet jew prattiki li mhumiex konformi mar-rekwiżiti skont il-Klawżola 14(a).
8.6. Sigurtà tal-ipproċessar
(a) |
L-importatur tad-data u, matul it-trażmissjoni, anke l-esportatur tad-data għandhom jimplimentaw miżuri tekniċi u organizzattivi xierqa biex jiżguraw is-sigurtà tad-data, inkluża l-protezzjoni kontra ksur ta’ sigurtà li jwassal għall-qerda, it-telf, l-alterazzjoni, l-iżvelar jew l-aċċess aċċidentali jew illegali għal dik id-data (minn hawn ’il quddiem “ksur ta’ data personali”). Meta jivvalutaw il-livell xieraq ta’ sigurtà, dawn għandhom iqisu kif xieraq l-ogħla livell ta’ żvilupp tekniku, l-ispejjeż tal-implimentazzjoni, in-natura, l-ambitu, il-kuntest u l-iskop(ijiet) tal-ipproċessar u r-riskji involuti fl-ipproċessar għas-suġġett tad-data. Il-Partijiet għandhom b’mod partikolari jikkunsidraw li jirrikorru għall-kriptaġġ jew il-psewdonimizzazzjoni, inkluż matul it-trażmissjoni, meta l-għan tal-ipproċessar jista’ jiġi ssodisfat b’dak il-mod. F’każ ta’ psewdonimizzazzjoni, l-informazzjoni addizzjonali għall-attribuzzjoni tad-data personali lil suġġett speċifiku tad-data għandha, fejn possibbli, tibqa’ taħt il-kontroll esklussiv tal-esportatur tad-data jew tal-kontrollur. Meta jikkonforma mal-obbligu tiegħu skont dan il-paragrafu, l-importatur tad-data għandu tal-inqas jimplimenta l-miżuri tekniċi u organizzattivi speċifikati fl-Anness II. L-importatur tad-data għandu jwettaq kontrolli regolari biex jiżgura li dawn il-miżuri jkomplu jipprovdu livell xieraq ta’ sigurtà. |
(b) |
L-importatur tad-data għandu jagħti aċċess għad-data lill-membri tal-persunal tiegħu biss sa fejn ikun strettament meħtieġ għall-implimentazzjoni, il-ġestjoni u l-monitoraġġ tal-kuntratt. Huwa għandu jiżgura li l-persuni awtorizzati biex jipproċessaw id-data personali jkunu impenjaw ruħhom li jżommu l-kunfidenzjalità jew li dawn ikunu taħt obbligu statutorju xieraq ta’ kunfidenzjalità. |
(c) |
F’każ ta’ ksur ta’ data personali li jikkonċerna data personali pproċessata mill-importatur tad-data skont dawn il-Klawżoli, l-importatur tad-data għandu jieħu miżuri xierqa biex jindirizza l-ksur, inklużi miżuri biex jitnaqqsu l-effetti avversi tiegħu. L-importatur tad-data għandu jinnotifika wkoll, mingħajr dewmien żejjed, lill-esportatur tad-data u, meta jkun xieraq u fattibbli, lill-kontrollur wara li jkun sar jaf bil-ksur. Tali notifika għandha tinkludi d-dettalji ta’ punt ta’ kuntatt fejn tkun tista’ tinkiseb aktar informazzjoni, deskrizzjoni tan-natura tal-ksur (inkluż, fejn possibbli, il-kategoriji u numru approssimattiv tas-suġġetti tad-data u tar-rekords tad-data personali kkonċernati), il-konsegwenzi probabbli tiegħu u l-miżuri meħuda jew proposti biex jiġi indirizzat il-ksur tad-data, inklużi miżuri biex jittaffew l-effetti avversi possibbli tiegħu. Meta, u sa fejn, ma jkunx possibbli li tiġi pprovduta l-informazzjoni kollha fl-istess ħin, in-notifika inizjali għandha tinkludi l-informazzjoni disponibbli f’dak il-waqt u informazzjoni ulterjuri għandha tiġi pprovduta sussegwentement, hekk kif issir disponibbli, mingħajr dewmien żejjed. |
(d) |
L-importatur tad-data għandu jikkoopera mal-esportatur tad-data u jassistih biex jippermetti lill-esportatur tad-data jikkonforma mal-obbligi tiegħu skont ir-Regolament (UE) 2016/679, b’mod partikolari li jinnotifika lill-kontrollur tiegħu biex dan tal-aħħar ikun jista’ min-naħa tiegħu jinnotifika lill-awtorità superviżorja kompetenti u lis-suġġetti tad-data affettwati, filwaqt li titqies in-natura tal-ipproċessar u l-informazzjoni disponibbli għall-importatur tad-data. |
8.7. Data sensittiva
Meta t-trasferiment jinvolvi data personali li tiżvela l-oriġini razzjali jew etnika, opinjonijiet politiċi, twemmin reliġjuż jew filosofiku, jew sħubija fi trade union, data ġenetika, jew data bijometrika bl-għan li tiġi identifikata unikament persuna fiżika, data li tikkonċerna s-saħħa jew il-ħajja sesswali jew l-orjentazzjoni sesswali ta’ persuna, jew data relatata ma’ kundanni u reati kriminali (minn hawn ’il quddiem “ data sensittiva”), l-importatur tad-data għandu japplika r-restrizzjonijiet speċifiċi u/jew is-salvagwardji addizzjonali deskritti fl-Anness I.B.
8.8. Trasferimenti ulterjuri
L-importatur tad-data għandu jiżvela biss id-data personali lil parti terza fuq struzzjonijiet dokumentati mill-kontrollur, kif ikkomunikati lill-importatur tad-data mill-esportatur tad-data. Minbarra dan, id-data tista’ tiġi żvelata lil parti terza li tinsab barra mill-Unjoni Ewropea (6) (fl-istess pajjiż bħall-importatur tad-data jew f’pajjiż terz ieħor, minn hawn ’il quddiem “trasferiment ulterjuri”) biss jekk il-parti terza tkun marbuta jew taqbel li tkun marbuta b’dawn il-Klawżoli, taħt il-Modulu xieraq, jew jekk:
(i) |
it-trasferiment ulterjuri jkun lil pajjiż li jibbenefika minn deċiżjoni ta’ adegwatezza skont l-Artikolu 45 tar-Regolament (UE) 2016/679 li tkopri t-trasferiment ulterjuri; |
(ii) |
il-parti terza tiżgura b’mod ieħor salvagwardji xierqa skont l-Artikoli 46 jew 47 tar-Regolament (UE) 2016/679; |
(iii) |
it-trasferiment ulterjuri jkun meħtieġ għall-istabbiliment, l-eżerċizzju jew id-difiża ta’ talbiet legali fil-kuntest ta’ proċedimenti amministrattivi, regolatorji jew ġudizzjarji speċifiċi; jew |
(iv) |
it-trasferiment ulterjuri jkun meħtieġ sabiex jiġu protetti l-interessi vitali tas-suġġett tad-data jew ta’ persuna fiżika oħra. |
Kwalunkwe trasferiment ulterjuri huwa soġġett għall-konformità mill-importatur tad-data mas-salvagwardji l-oħra kollha skont dawn il-Klawżoli, b’mod partikolari l-limitazzjoni tal-iskop.
8.9. Dokumentazzjoni u konformità
(a) |
L-importatur tad-data għandu minnufih u b’mod adegwat jittratta mistoqsijiet mill-esportatur tad-data jew mill-kontrollur li jkunu relatati mal-ipproċessar skont dawn il-Klawżoli. |
(b) |
Il-Partijiet għandhom ikunu jistgħu juru konformità ma’ dawn il-Klawżoli. B’mod partikolari, l-importatur tad-data għandu jżomm dokumentazzjoni xierqa dwar l-attivitajiet ta’ pproċessar imwettqa f’isem il-kontrollur. |
(c) |
L-importatur tad-data għandu jagħmel l-informazzjoni kollha meħtieġa biex juri konformità mal-obbligi stabbiliti f’dawn il-Klawżoli disponibbli għall-esportatur tad-data, li għandu jipprovdiha lill-kontrollur. |
(d) |
L-importatur tad-data għandu jippermetti u jikkontribwixxi għall-awditi mill-esportatur tad-data tal-attivitajiet ta’ pproċessar koperti minn dawn il-Klawżoli, f’intervalli raġonevoli jew jekk ikun hemm indikazzjonijiet ta’ nuqqas ta’ konformità. L-istess għandu japplika meta l-esportatur tad-data jitlob awditu fuq struzzjonijiet tal-kontrollur. Meta jiddeċiedi li jwettaq awditu, l-esportatur tad-data jista’ jqis iċ-ċertifikazzjonijiet rilevanti li jkollu l-importatur tad-data. |
(e) |
Meta l-awditu jitwettaq fuq l-istruzzjonijiet tal-kontrollur, l-esportatur tad-data għandu jagħmel ir-riżultati disponibbli għall-kontrollur. |
(f) |
L-esportatur tad-data jista’ jagħżel li jwettaq l-awditu huwa stess jew li jagħti mandat lil awditur indipendenti. L-awditi jistgħu jinkludu spezzjonijiet fil-bini jew fil-faċilitajiet fiżiċi tal-importatur tad-data u għandhom, fejn xieraq, jitwettqu b’avviż raġonevoli. |
(g) |
Il-Partijiet għandhom jagħmlu l-informazzjoni msemmija fil-paragrafi (b) u (c), inklużi r-riżultati ta’ kwalunkwe awditu, disponibbli għall-awtorità superviżorja kompetenti fuq talba. |
MODULU ERBGĦA: Trasferiment minn proċessur lil kontrollur
8.1. Struzzjonijiet
(a) |
L-esportatur tad-data għandu jipproċessa d-data personali biss fuq struzzjonijiet dokumentati mill-importatur tad-data li jaġixxi bħala l-kontrollur tiegħu. |
(b) |
L-esportatur tad-data għandu jinforma minnufih lill-importatur tad-data jekk ma jkunx jista’ jsegwi dawk l-istruzzjonijiet, inkluż jekk tali struzzjonijiet jiksru r-Regolament (UE) 2016/679 jew liġi oħra tal-Unjoni jew tal-Istat Membru dwar il-protezzjoni tad-data. |
(c) |
L-importatur tad-data għandu joqgħod lura minn kwalunkwe azzjoni li tipprevjeni lill-esportatur tad-data milli jissodisfa l-obbligi tiegħu skont ir-Regolament (UE) 2016/679, inkluż fil-kuntest tas-sottoproċessar jew fir-rigward tal-kooperazzjoni mal-awtoritajiet superviżorji kompetenti. |
(d) |
Wara t-tmiem tal-provvista tas-servizzi tal-ipproċessar, l-esportatur tad-data għandu, fuq l-għażla tal-importatur tad-data, iħassar id-data personali kollha pproċessata f’isem l-importatur tad-data u jiċċertifika lill-importatur tad-data li għamel dan, jew jirritorna lill-importatur tad-data d-data personali kollha pproċessata f’ismu u jħassar kopji eżistenti. |
8.2. Sigurtà tal-ipproċessar
(a) |
Il-Partijiet għandhom jimplimentaw miżuri tekniċi u organizzattivi xierqa biex jiżguraw is-sigurtà tad-data, inkluż matul it-trażmissjoni, u l-protezzjoni kontra ksur ta’ sigurtà li jwassal għall-qerda, it-telf, l-alterazzjoni, l-iżvelar jew l-aċċess aċċidentali jew illegali (minn hawn ’il quddiem “ksur ta’ data personali”). Meta jivvalutaw il-livell xieraq ta’ sigurtà, huma għandhom iqisu kif xieraq l-ogħla livell ta’ żvilupp tekniku, l-ispejjeż tal-implimentazzjoni, in-natura tad-data personali (7), in-natura, l-ambitu, il-kuntest u l-iskop(ijiet) tal-ipproċessar u r-riskji involuti fl-ipproċessar għas-suġġetti tad-data, u b’mod partikolari jikkunsidraw li jirrikorru għall-kriptaġġ jew il-psewdonimizzazzjoni, inkluż matul it-trażmissjoni, fejn l-għan tal-ipproċessar jista’ jiġi ssodisfat b’dak il-mod. |
(b) |
L-esportatur tad-data għandu jassisti lill-importatur tad-data biex jiżgura sigurtà xierqa tad-data skont il-paragrafu (a). F’każ ta’ ksur ta’ data personali li jikkonċerna d-data personali pproċessata mill-esportatur tad-data skont dawn il-Klawżoli, l-esportatur tad-data għandu jinnotifika lill-importatur tad-data mingħajr dewmien żejjed wara li jkun sar konxju tiegħu u jassisti lill-importatur tad-data fl-indirizzar tal-ksur. |
(c) |
L-esportatur tad-data għandu jiżgura li l-persuni awtorizzati biex jipproċessaw id-data personali jkunu impenjaw ruħhom li jżommu l-kunfidenzjalità jew li jkunu taħt obbligu statutorju xieraq ta’ kunfidenzjalità. |
8.3. Dokumentazzjoni u konformità
(a) |
Il-Partijiet għandhom ikunu jistgħu juru konformità ma’ dawn il-Klawżoli. |
(b) |
L-esportatur tad-data għandu jagħmel disponibbli għall-importatur tad-data l-informazzjoni kollha meħtieġa biex juri konformità mal-obbligi tiegħu skont dawn il-Klawżoli u jippermetti u jikkontribwixxi għall-awditi. |
Klawżola 9
L-użu ta’ sottoproċessuri
MODULU TNEJN: Trasferiment minn kontrollur lil proċessur
(a) |
OPZJONI 1: AWTORIZZAZZJONI SPEĊIFIKA MINN QABEL L-importatur tad-data ma għandu jissottokuntratta l-ebda waħda mill-attivitajiet ta’ pproċessar tiegħu mwettqa f’isem l-esportatur tad-data skont dawn il-Klawżoli lil sottoproċessur mingħajr l-awtorizzazzjoni bil-miktub speċifika minn qabel tal-esportatur tad-data. L-importatur tad-data għandu jissottometti t-talba għal awtorizzazzjoni speċifika mill-inqas [Speċifika l-perjodu ta’ żmien] qabel l-ingaġġ tas-sottoproċessur, flimkien mal-informazzjoni meħtieġa biex l-esportatur tad-data jkun jista’ jiddeċiedi dwar l-awtorizzazzjoni. Il-lista ta’ sottoproċessuri diġà awtorizzati mill-esportatur tad-data tinsab fl-Anness III. Il-Partijiet għandhom iżommu l-Anness III aġġornat. OPZJONI 2: AWTORIZZAZZJONI ĠENERALI BIL-MIKTUB L-importatur tad-data għandu l-awtorizzazzjoni ġenerali tal-esportatur tad-data biex jingaġġa sottoproċessur(i) minn lista miftiehma. L-importatur tad-data għandu jinforma speċifikament lill-esportatur tad-data bil-miktub dwar kwalunkwe bidla maħsuba f’dik il-lista permezz taż-żieda jew is-sostituzzjoni tas-sottoproċessuri mill-inqas [Speċifika l-perjodu ta’ żmien] bil-quddiem, biex b’hekk l-esportatur tad-data jkollu biżżejjed żmien biex ikun jista’ joġġezzjona għal tali bidliet qabel l-ingaġġ tas-sottoproċessur(i). L-importatur tad-data għandu jipprovdi l-informazzjoni meħtieġa lill-esportatur tad-data biex dan ikun jista’ jeżerċita d-dritt tiegħu li joġġezzjona. |
(b) |
Meta l-importatur tad-data jingaġġa sottoproċessur biex iwettaq attivitajiet speċifiċi ta’ pproċessar (f’isem l-esportatur tad-data), huwa għandu jagħmel dan permezz ta’ kuntratt bil-miktub li jipprevedi, fis-sustanza, l-istess obbligi ta’ protezzjoni tad-data bħal dawk li jorbtu lill-importatur tad-data skont dawn il-Klawżoli, inkluż f’termini tad-drittijiet ta’ parti terza benefiċjarja għas-suġġetti tad-data (8). Il-Partijiet jaqblu li, meta jikkonforma ma’ din il-Klawżola, l-importatur tad-data jkun qed jissodisfa l-obbligi tiegħu skont il-Klawżola 8.8. L-importatur tad-data għandu jiżgura li s-sottoproċessur jikkonforma mal-obbligi li għalihom huwa soġġett l-importatur tad-data skont dawn il-Klawżoli. |
(c) |
L-importatur tad-data għandu jipprovdi, fuq talba tal-esportatur tad-data, kopja ta’ tali ftehim ma’ sottoproċessur u kwalunkwe emenda sussegwenti lill-esportatur tad-data. Sa fejn ikun meħtieġ biex jiġu protetti s-sigrieti tan-negozju jew informazzjoni kunfidenzjali oħra, inkluża data personali, l-importatur tad-data jista’ jeditja t-test tal-ftehim qabel ma jqassam kopja. |
(d) |
L-importatur tad-data għandu jibqa’ kompletament responsabbli lejn l-esportatur tad-data għat-twettiq tal-obbligi tas-sottoproċessur skont il-kuntratt tiegħu mal-importatur tad-data. L-importatur tad-data għandu jinnotifika lill-esportatur tad-data bi kwalunkwe nuqqas mis-sottoproċessur li jissodisfa l-obbligi tiegħu skont dak il-kuntratt. |
(e) |
L-importatur tad-data għandu jaqbel dwar klawżola ta’ benefiċjarju ta’ parti terza mas-sottoproċessur li biha - fil-każ li l-importatur tad-data jkun fattwalment għeb, waqaf jeżisti fil-liġi jew sar insolventi - l-esportatur tad-data għandu jkollu d-dritt li jtemm il-kuntratt tas-sottoproċessur u li jagħti struzzjonijiet lis-sottoproċessur biex iħassar jew jirritorna d-data personali. |
MODULU TLIETA: Trasferiment minn proċessur lil proċessur
(a) |
OPZJONI 1: AWTORIZZAZZJONI SPEĊIFIKA MINN QABEL L-importatur tad-data ma għandu jissottokuntratta l-ebda waħda mill-attivitajiet ta’ pproċessar tiegħu mwettqa f’isem l-esportatur tad-data skont dawn il-Klawżoli lil sottoproċessur mingħajr l-awtorizzazzjoni bil-miktub speċifika minn qabel tal-kontrollur. L-importatur tad-data għandu jissottometti t-talba għal awtorizzazzjoni speċifika mill-inqas [Speċifika l-perjodu ta’ żmien] qabel l-ingaġġ tas-sottoproċessur, flimkien mal-informazzjoni meħtieġa biex il-kontrollur tad-data jkun jista’ jiddeċiedi dwar l-awtorizzazzjoni. Huwa għandu jinforma lill-esportatur tad-data b’dan l-ingaġġ. Il-lista ta’ sottoproċessuri diġà awtorizzati mill-kontrollur tinsab fl-Anness III. Il-Partijiet għandhom iżommu l-Anness III aġġornat. OPZJONI 2: AWTORIZZAZZJONI ĠENERALI BIL-MIKTUB L-importatur tad-data għandu l-awtorizzazzjoni ġenerali tal-kontrollur biex jingaġġa sottoproċessur(i) minn lista miftiehma. L-importatur tad-data għandu jinforma speċifikament lill-kontrollur bil-miktub dwar kwalunkwe bidla maħsuba f’dik il-lista permezz taż-żieda jew is-sostituzzjoni tas-sottoproċessuri mill-inqas [Speċifika l-perjodu ta’ żmien] bil-quddiem, biex b’hekk il-kontrollur ikollu biżżejjed żmien biex ikun jista’ joġġezzjona għal tali bidliet qabel l-ingaġġ tas-sottoproċessur(i). L-importatur tad-data għandu jipprovdi l-informazzjoni meħtieġa lill-kontrollur biex dan ikun jista’ jeżerċita d-dritt tiegħu li joġġezzjona. L-importatur tad-data għandu jinforma lill-esportatur tad-data bl-ingaġġ tas-sottoproċessur(i). |
(b) |
Meta l-importatur tad-data jingaġġa sottoproċessur biex iwettaq attivitajiet speċifiċi ta’ pproċessar (f’isem il-kontrollur), huwa għandu jagħmel dan permezz ta’ kuntratt bil-miktub li jipprevedi, fis-sustanza, l-istess obbligi ta’ protezzjoni tad-data bħal dawk li jorbtu lill-importatur tad-data skont dawn il-Klawżoli, inkluż f’termini tad-drittijiet ta’ parti terza benefiċjarja għas-suġġetti tad-data (9). Il-Partijiet jaqblu li, meta jikkonforma ma’ din il-Klawżola, l-importatur tad-data jkun qed jissodisfa l-obbligi tiegħu skont il-Klawżola 8.8. L-importatur tad-data għandu jiżgura li s-sottoproċessur jikkonforma mal-obbligi li għalihom huwa soġġett l-importatur tad-data skont dawn il-Klawżoli. |
(c) |
L-importatur tad-data għandu jipprovdi, fuq talba tal-esportatur tad-data jew tal-kontrollur, kopja ta’ tali ftehim ma’ sottoproċessur u kwalunkwe emenda sussegwenti. Sa fejn ikun meħtieġ biex jiġu protetti s-sigrieti tan-negozju jew informazzjoni kunfidenzjali oħra, inkluża data personali, l-importatur tad-data jista’ jeditja t-test tal-ftehim qabel ma jqassam kopja. |
(d) |
L-importatur tad-data għandu jibqa’ kompletament responsabbli lejn l-esportatur tad-data għat-twettiq tal-obbligi tas-sottoproċessur skont il-kuntratt tiegħu mal-importatur tad-data. L-importatur tad-data għandu jinnotifika lill-esportatur tad-data bi kwalunkwe nuqqas mis-sottoproċessur li jissodisfa l-obbligi tiegħu skont dak il-kuntratt. |
(e) |
L-importatur tad-data għandu jaqbel dwar klawżola ta’ benefiċjarju ta’ parti terza mas-sottoproċessur li biha - fil-każ li l-importatur tad-data jkun fattwalment għeb, waqaf jeżisti fil-liġi jew sar insolventi - l-esportatur tad-data għandu jkollu d-dritt li jittermina l-kuntratt tas-sottoproċessur u li jagħti struzzjonijiet lis-sottoproċessur biex iħassar jew jirritorna d-data personali. |
Klawżola 10
Drittijiet tas-suġġetti tad-data
MODULU WIEĦED: Trasferiment minn kontrollur lil kontrollur
(a) |
L-importatur tad-data, bl-assistenza tal-esportatur tad-data fejn ikun rilevanti, għandu jittratta kwalunkwe mistoqsija u talba li jirċievi minn suġġett tad-data relatata mal-ipproċessar tad-data personali tiegħu u l-eżerċizzju tad-drittijiet tiegħu skont dawn il-Klawżoli mingħajr dewmien żejjed u mhux aktar tard minn xahar minn meta jirċievi l-mistoqsija jew talba. (10) L-importatur tad-data għandu jieħu miżuri xierqa biex jiffaċilita tali mistoqsijiet u talbiet u l-eżerċizzju tad-drittijiet tas-suġġett tad-data. Kwalunkwe informazzjoni pprovduta lis-suġġett tad-data għandha tkun f’forma li tinftiehem u faċilment aċċessibbli, bl-użu ta’ lingwaġġ ċar u sempliċi. |
(b) |
B’mod partikolari, fuq talba tas-suġġett tad-data, l-importatur tad-data għandu, mingħajr ħlas:
|
(c) |
Meta l-importatur tad-data jipproċessa d-data personali għal finijiet ta’ kummerċjalizzazzjoni diretta, dan għandu jwaqqaf l-ipproċessar għal tali finijiet jekk is-suġġett tad-data joġġezzjona għalih. |
(d) |
L-importatur tad-data ma għandux jieħu deċiżjoni bbażata biss fuq l-ipproċessar awtomatizzat tad-data personali trasferita (minn hawn ’il quddiem “deċiżjoni awtomatizzata”), li tipproduċi effetti legali rigward is-suġġett tad-data jew bl-istess mod taffettwah b’mod sinifikanti, sakemm ma jkunx bil-kunsens espliċitu tas-suġġett tad-data jew jekk ikun awtorizzat jagħmel dan skont il-liġijiet tal-pajjiż ta’ destinazzjoni, sakemm tali liġijiet jistabbilixxu miżuri xierqa għas-salvagwardja tad-drittijiet u l-interessi leġittimi tas-suġġett tad-data. F’dan il-każ, l-importatur tad-data għandu, fejn meħtieġ f’kooperazzjoni mal-esportatur tad-data:
|
(e) |
Meta t-talbiet minn suġġett tad-data jkunu eċċessivi, b’mod partikolari minħabba l-karattru ripetittiv tagħhom, l-importatur tad-data jista’ jew jitlob ħlas raġonevoli filwaqt li jqis l-ispejjeż amministrattivi biex jissodisfa t-talba jew jirrifjuta li jaġixxi fuq it-talba. |
(f) |
L-importatur tad-data jista’ jirrifjuta talba ta’ suġġett tad-data jekk tali rifjut ikun permess skont il-liġijiet tal-pajjiż ta’ destinazzjoni u jkun meħtieġ u proporzjonat f’soċjetà demokratika biex jipproteġi wieħed mill-objettivi elenkati fl-Artikolu 23(1) tar-Regolament (UE) 2016/679. |
(g) |
Jekk l-importatur tad-data jkollu l-ħsieb li jirrifjuta talba ta’ suġġett tad-data, dan għandu jinforma lis-suġġett tad-data bir-raġunijiet għar-rifjut u dwar il-possibbiltà li jressaq ilment mal-awtorità superviżorja kompetenti u/jew li jitlob rimedju ġudizzjarju. |
MODULU TNEJN: Trasferiment minn kontrollur lil proċessur
(a) |
L-importatur tad-data għandu jinnotifika minnufih lill-esportatur tad-data dwar kwalunkwe talba li jkun irċieva mingħand suġġett tad-data. Huwa ma għandux iwieġeb għal dik it-talba huwa stess sakemm ma jkunx ġie awtorizzat jagħmel dan mill-esportatur tad-data. |
(b) |
L-importatur tad-data għandu jassisti lill-esportatur tad-data biex dan jissodisfa l-obbligi tiegħu li jwieġeb għat-talbiet tas-suġġetti tad-data biex jeżerċitaw id-drittijiet tagħhom skont ir-Regolament (UE) 2016/679. F’dan ir-rigward, il-Partijiet għandhom jistabbilixxu fl-Anness II il-miżuri tekniċi u organizzattivi xierqa li permezz tagħhom għandha tiġi pprovduta l-assistenza, kif ukoll il-kamp ta’ applikazzjoni u l-firxa tal-assistenza meħtieġa, filwaqt li jqisu n-natura tal-ipproċessar. |
(c) |
Fit-twettiq tal-obbligi tiegħu skont il-paragrafi (a) u (b), l-importatur tad-data għandu jikkonforma mal-istruzzjonijiet mill-esportatur tad-data. |
MODULU TLIETA: Trasferiment minn proċessur lil proċessur
(a) |
L-importatur tad-data għandu jinnotifika minnufih lill-esportatur tad-data u, fejn xieraq, lill-kontrollur dwar kwalunkwe talba li jkun irċieva mingħand suġġett tad-data, mingħajr ma jwieġeb għal dik it-talba sakemm ma jkunx ġie awtorizzat jagħmel dan mill-kontrollur. |
(b) |
L-importatur tad-data għandu jassisti lill-kontrollur, fejn xieraq f’kooperazzjoni mal-esportatur tad-data, fit-twettiq tal-obbligi tiegħu li jwieġeb għat-talbiet tas-suġġetti tad-data biex jeżerċitaw id-drittijiet tagħhom skont ir-Regolament (UE) 2016/679 jew ir-Regolament (UE) 2018/1725, kif applikabbli. F’dan ir-rigward, il-Partijiet għandhom jistabbilixxu fl-Anness II il-miżuri tekniċi u organizzattivi xierqa li permezz tagħhom għandha tiġi pprovduta l-assistenza, kif ukoll il-kamp ta’ applikazzjoni u l-firxa tal-assistenza meħtieġa, filwaqt li jqisu n-natura tal-ipproċessar. |
(c) |
Fit-twettiq tal-obbligi tiegħu skont il-paragrafi (a) u (b), l-importatur tad-data għandu jikkonforma mal-istruzzjonijiet mingħand il-kontrollur, kif ikkomunikati mill-esportatur tad-data. |
MODULU ERBGĦA: Trasferiment minn proċessur lil kontrollur
Il-Partijiet għandhom jassistu lil xulxin biex iwieġbu għall-mistoqsijiet u t-talbiet magħmula mis-suġġetti tad-data lill-importatur tad-data skont il-liġi lokali applikabbli jew, għall-ipproċessar tad-data fl-UE, skont ir-Regolament (UE) 2016/679.
Klawżola 11
Rimedju
(a) |
L-importatur tad-data għandu jinforma lis-suġġetti tad-data f’format trasparenti u faċilment aċċessibbli, permezz ta’ avviż individwali jew fuq is-sit web tiegħu, rigward punt ta’ kuntatt awtorizzat biex jittratta l-ilmenti. Dan għandu jindirizza minnufih kwalunkwe lment li jirċievi mingħand suġġett tad-data. [OPZJONI: L-importatur tad-data jaqbel li s-suġġetti tad-data jistgħu jippreżentaw ukoll ilment ma’ korp indipendenti għas-soluzzjoni tat-tilwim (11) mingħajr ebda spiża għas-suġġett tad-data. Huwa għandu jinforma lis-suġġetti tad-data, bil-mod stabbilit fil-paragrafu (a), dwar tali mekkaniżmu ta’ rimedju u li mhumiex meħtieġa jużawh, jew li jsegwu sekwenza partikolari meta jfittxu rimedju.] |
MODULU WIEĦED: Trasferiment minn kontrollur lil kontrollur
MODULU TNEJN: Trasferiment minn kontrollur lil proċessur
MODULU TLIETA: Trasferiment minn proċessur lil proċessur
(b) |
F’każ ta’ tilwima bejn suġġett tad-data u waħda mill-Partijiet fir-rigward tal-konformità ma’ dawn il-Klawżoli, dik il-Parti għandha tagħmel l-aħjar sforzi li tista’ biex issolvi l-kwistjoni b’mod amikevoli u fil-ħin. Il-Partijiet għandhom iżommu lil xulxin informati dwar tali tilwim u, fejn xieraq, jikkooperaw biex isolvuh. |
(c) |
Meta s-suġġett tad-data jinvoka dritt ta’ parti terza benefiċjarja skont il-Klawżola 3, l-importatur tad-data għandu jaċċetta d-deċiżjoni tas-suġġett tad-data li:
|
(d) |
Il-Partijiet jaċċettaw li s-suġġett tad-data jista’ jkun irrappreżentat minn korp, organizzazzjoni jew assoċjazzjoni mingħajr skop ta’ qligħ skont il-kundizzjonijiet stabbiliti fl-Artikolu 80(1) tar-Regolament (UE) 2016/679. |
(e) |
L-importatur tad-data għandu jaċċetta li jikkonforma ma’ deċiżjoni li tkun vinkolanti skont il-liġi applikabbli tal-UE jew tal-Istat Membru. |
(f) |
L-importatur tad-data jaqbel li l-għażla magħmula mis-suġġett tad-data ma tkunx se tippreġudika d-drittijiet sostantivi u proċedurali tiegħu biex jitlob rimedji skont il-liġijiet applikabbli. |
Klawżola 12
Responsabbiltà
MODULU WIEĦED: Trasferiment minn kontrollur lil kontrollur
MODULU ERBGĦA: Trasferiment minn proċessur lil kontrollur
(a) |
Kull Parti għandha tkun responsabbli lejn il-Parti(jiet) l-oħra għal kwalunkwe dannu li tikkawża lill-Parti(jiet) l-oħra bi kwalunkwe ksur ta’ dawn il-Klawżoli. |
(b) |
Kull Parti għandha tkun responsabbli lejn is-suġġett tad-data, u s-suġġett tad-data għandu jkun intitolat li jirċievi kumpens, għal kwalunkwe dannu materjali jew mhux materjali li l-Parti tikkawża lis-suġġett tad-data billi tikser id-drittijiet tal-parti terza benefiċjarja skont dawn il-Klawżoli. Dan huwa mingħajr preġudizzju għar-responsabbiltà tal-esportatur tad-data skont ir-Regolament (UE) 2016/679. |
(c) |
Meta aktar minn Parti waħda tkun responsabbli għal kwalunkwe dannu kkawżat lis-suġġett tad-data b’riżultat ta’ ksur ta’ dawn il-Klawżoli, il-Partijiet responsabbli kollha għandhom ikunu responsabbli in solidum u s-suġġett tad-data jkun intitolat li jressaq kawża quddiem il-qorti kontra kwalunkwe waħda minn dawn il-Partijiet. |
(d) |
Il-Partijiet jaqblu li jekk Parti waħda tinżamm responsabbli skont il-paragrafu (c), hija għandha tkun intitolata li titlob lura mill-Parti/Partijiet l-oħra dik il-parti tal-kumpens li tikkorrispondi għar-responsabbiltà tagħha/tagħhom għad-dannu. |
(e) |
L-importatur tad-data ma jistax jinvoka l-imġiba ta’ proċessur jew sottoproċessur biex jevita r-responsabbiltà tiegħu stess. |
MODULU TNEJN: Trasferiment minn kontrollur lil proċessur
MODULU TLIETA: Trasferiment minn proċessur lil proċessur
(a) |
Kull Parti għandha tkun responsabbli lejn il-Parti(jiet) l-oħra għal kwalunkwe dannu li tikkawża lill-Parti(jiet) l-oħra bi kwalunkwe ksur ta’ dawn il-Klawżoli. |
(b) |
L-importatur tad-data għandu jkun responsabbli lejn is-suġġett tad-data, u s-suġġett tad-data għandu jkun intitolat li jirċievi kumpens, għal kwalunkwe dannu materjali jew mhux materjali li l-importatur tad-data jew is-sottoproċessur tiegħu jikkawża lis-suġġett tad-data billi jikser id-drittijiet tal-parti terza benefiċjarja skont dawn il-Klawżoli. |
(c) |
Minkejja l-paragrafu (b), l-esportatur tad-data għandu jkun responsabbli lejn is-suġġett tad-data, u s-suġġett tad-data għandu jkun intitolat li jirċievi kumpens, għal kwalunkwe dannu materjali jew mhux materjali li l-esportatur tad-data jew l-importatur tad-data (jew is-sottoproċessur tiegħu) jikkawża lis-suġġett tad-data billi jikser id-drittijiet tal-parti terza benefiċjarja skont dawn il-Klawżoli. Dan huwa mingħajr preġudizzju għar-responsabbiltà tal-esportatur tad-data u, fejn l-esportatur tad-data jkun proċessur li jaġixxi f’isem kontrollur, għar-responsabbiltà tal-kontrollur skont ir-Regolament (UE) 2016/679 jew ir-Regolament (UE) 2018/1725, kif applikabbli. |
(d) |
Il-Partijiet jaqblu li jekk l-esportatur tad-data jinżamm responsabbli skont il-paragrafu (c) għad-danni kkawżati mill-importatur tad-data (jew mis-sottoproċessur tiegħu), huwa għandu jkun intitolat li jitlob lura mingħand l-importatur tad-data dik il-parti mill-kumpens li tikkorrispondi għar-responsabbiltà tal-importatur tad-data għad-dannu. |
(e) |
Meta aktar minn Parti waħda tkun responsabbli għal kwalunkwe dannu kkawżat lis-suġġett tad-data b’riżultat ta’ ksur ta’ dawn il-Klawżoli, il-Partijiet responsabbli kollha għandhom ikunu responsabbli in solidum u s-suġġett tad-data jkun intitolat li jressaq kawża quddiem il-qorti kontra kwalunkwe waħda minn dawn il-Partijiet. |
(f) |
Il-Partijiet jaqblu li jekk Parti waħda tinżamm responsabbli skont il-paragrafu (e), hija għandha tkun intitolata li titlob lura mill-Parti/Partijiet l-oħra dik il-parti tal-kumpens li tikkorrispondi għar-responsabbiltà tagħha/tagħhom għad-dannu. |
(g) |
L-importatur tad-data ma jistax jinvoka l-imġiba ta’ sottoproċessur biex jevita r-responsabbiltà tiegħu stess. |
Klawżola 13
Superviżjoni
MODULU WIEĦED: Trasferiment minn kontrollur lil kontrollur
MODULU TNEJN: Trasferiment minn kontrollur lil proċessur
MODULU TLIETA: Trasferiment minn proċessur lil proċessur
(a) |
[Meta l-esportatur tad-data jkun stabbilit fi Stat Membru tal-UE:] L-awtorità superviżorja responsabbli biex tiżgura l-konformità mill-esportatur tad-data mar-Regolament (UE) 2016/679 fir-rigward tat-trasferiment tad-data, kif indikat fl-Anness I.C, għandha taġixxi bħala awtorità superviżorja kompetenti. [Meta l-esportatur tad-data ma jkunx stabbilit fi Stat Membru tal-UE, iżda jaqa’ fil-kamp ta’ applikazzjoni territorjali tar-Regolament (UE) 2016/679 f’konformità mal-Artikolu 3(2) tiegħu u jkun ħatar rappreżentant skont l-Artikolu 27(1) tar-Regolament (UE) 2016/679:] L-awtorità superviżorja tal-Istat Membru li fih ikun stabbilit ir-rappreżentant skont it-tifsira tal-Artikolu 27(1) tar-Regolament (UE) 2016/679, kif indikat fl-Anness I.C, għandha taġixxi bħala awtorità superviżorja kompetenti. [Meta l-esportatur tad-data ma jkunx stabbilit fi Stat Membru tal-UE, iżda jaqa’ fil-kamp ta’ applikazzjoni territorjali tar-Regolament (UE) 2016/679 f’konformità mal-Artikolu 3(2) tiegħu mingħajr madankollu ma jkollu għalfejn jaħtar rappreżentant skont l-Artikolu 27(2) tar-Regolament (UE) 2016/679:] L-awtorità superviżorja ta’ wieħed mill-Istati Membri fejn jinsabu s-suġġetti tad-data li d-data personali tagħhom tiġi ttrasferita skont dawn il-Klawżoli fir-rigward tal-offerta ta’ prodotti jew servizzi lilhom, jew li l-imġiba tagħhom tiġi mmonitorjata, kif indikat fl-Anness I.C, għandha taġixxi bħala awtorità superviżorja kompetenti. |
(b) |
L-importatur tad-data jaqbel li jissottometti lilu nnifsu għall-ġuriżdizzjoni tal-awtorità superviżorja kompetenti u jikkoopera magħha fi kwalunkwe proċedura li jkollha l-għan li tiżgura l-konformità ma’ dawn il-Klawżoli. B’mod partikolari, l-importatur tad-data jaqbel li jwieġeb għall-mistoqsijiet, jissottometti ruħu għall-awditi u jikkonforma mal-miżuri adottati mill-awtorità superviżorja, inklużi miżuri ta’ rimedju u ta’ kumpens. Huwa għandu jipprovdi lill-awtorità superviżorja konferma bil-miktub li ttieħdu l-azzjonijiet meħtieġa. |
TAQSIMA III – LIĠIJIET U OBBLIGI LOKALI F’KAŻ TA’ AĊĊESS MILL-AWTORITAJIET PUBBLIĊI
Klawżola 14
Liġijiet u prattiki lokali li jaffettwaw il-konformità mal-Klawżoli
MODULU WIEĦED: Trasferiment minn kontrollur lil kontrollur
MODULU TNEJN: Trasferiment minn kontrollur lil proċessur
MODULU TLIETA: Trasferiment minn proċessur lil proċessur
MODULU ERBGĦA: Trasferiment minn proċessur lil kontrollur (meta l-proċessur tal-UE jgħaqqad id-data personali riċevuta mill-kontrollur ta’ pajjiż terz ma’ data personali miġbura mill-proċessur fl-UE)
(a) |
Il-Partijiet jiggarantixxu li ma għandhom l-ebda raġuni biex jemmnu li l-liġijiet u l-prattiki fil-pajjiż terz ta’ destinazzjoni applikabbli għall-ipproċessar tad-data personali mill-importatur tad-data, inkluż kwalunkwe rekwiżit biex tiġi żvelata data personali jew kwalunkwe miżura li tawtorizza l-aċċess mill-awtoritajiet pubbliċi, jipprevjenu lill-importatur tad-data milli jissodisfa l-obbligi tiegħu skont dawn il-Klawżoli. Dan huwa bbażat fuq il-fehim li l-liġijiet u l-prattiki li jirrispettaw l-essenza tad-drittijiet u l-libertajiet fundamentali u li ma jaqbżux dak li huwa meħtieġ u proporzjonat f’soċjetà demokratika biex jiġi ssalvagwardjat wieħed mill-objettivi elenkati fl-Artikolu 23(1) tar-Regolament (UE) 2016/679, ma jikkontradixxux dawn il-Klawżoli. |
(b) |
Il-Partijiet jiddikjaraw li meta qed jipprovdu l-garanzija fil-paragrafu (a), huma jkunu qiesu b’mod dovut u b’mod partikolari l-elementi li ġejjin:
|
(c) |
L-importatur tad-data jiggarantixxi li, fit-twettiq tal-valutazzjoni skont il-paragrafu (b), għamel l-aħjar sforzi tiegħu biex jipprovdi informazzjoni rilevanti lill-esportatur tad-data u jaqbel li se jkompli jikkoopera mal-esportatur tad-data biex jiżgura konformità ma’ dawn il-Klawżoli. |
(d) |
Il-Partijiet jaqblu li jiddokumentaw il-valutazzjoni skont il-paragrafu (b) u jagħmluha disponibbli għall-awtorità superviżorja kompetenti fuq talba. |
(e) |
L-importatur tad-data jaqbel li jinnotifika minnufih lill-esportatur tad-data jekk, wara li jkun qabel ma’ dawn il-Klawżoli u sakemm idum il-kuntratt, ikollu raġuni biex jemmen li huwa jkun, jew li jkun sar soġġett, għal liġijiet jew prattiki mhux konformi mar-rekwiżiti skont il-paragrafu (a), inkluż wara bidla fil-liġijiet fil-pajjiż terz jew miżura (bħal talba ta’ żvelar) li tindika applikazzjoni ta’ tali liġijiet fil-prattika li mhix konformi mar-rekwiżiti fil-paragrafu (a). [Għall-Modulu Tlieta: L-esportatur tad-data għandu jibgħat in-notifika lill-kontrollur.] |
(f) |
Wara notifika skont il-paragrafu (e), jew jekk l-esportatur tad-data b’xi mod ieħor ikollu raġuni biex jemmen li l-importatur tad-data ma jistax jibqa’ jissodisfa l-obbligi tiegħu skont dawn il-Klawżoli, l-esportatur tad-data għandu jidentifika minnufih miżuri xierqa (pereżempju, miżuri tekniċi jew organizzattivi biex jiġu żgurati s-sigurtà u l-kunfidenzjalità) li għandhom jiġu adottati mill-esportatur tad-data u/jew mill-importatur tad-data biex tiġi indirizzata s-sitwazzjoni, [għall-Modulu Tlieta:, jekk ikun xieraq f’konsultazzjoni mal-kontrollur]. L-esportatur tad-data għandu jissospendi t-trasferiment tad-data jekk iqis li ma tista’ tiġi żgurata l-ebda salvagwardja xierqa għal tali trasferiment, jew jekk jingħata struzzjonijiet minn [għall-Modulu Tlieta: il-kontrollur jew] l-awtorità superviżorja kompetenti biex jagħmel dan. F’dan il-każ, l-esportatur tad-data għandu jkun intitolat li jittermina l-kuntratt, sa fejn jikkonċerna l-ipproċessar ta’ data personali skont dawn il-Klawżoli. Jekk il-kuntratt jinvolvi aktar minn żewġ Partijiet, l-esportatur tad-data jista’ jeżerċita dan id-dritt għat-terminazzjoni biss fir-rigward tal-Parti rilevanti, sakemm il-Partijiet ma jkunux qablu mod ieħor. Meta l-kuntratt jiġi tterminat skont din il-Klawżola, għandha tapplika l-Klawżola 16(d) u (e). |
Klawżola 15
Obbligi tal-importatur tad-data f’każ ta’ aċċess minn awtoritajiet pubbliċi
MODULU WIEĦED: Trasferiment minn kontrollur lil kontrollur
MODULU TNEJN: Trasferiment minn kontrollur lil proċessur
MODULU TLIETA: Trasferiment minn proċessur lil proċessur
MODULU ERBGĦA: Trasferiment minn proċessur lil kontrollur (meta l-proċessur tal-UE jgħaqqad id-data personali riċevuta mill-kontrollur ta’ pajjiż terz ma’ data personali miġbura mill-proċessur fl-UE)
15.1. Notifika
(a) |
L-importatur tad-data jaqbel li jinnotifika minnufih lill-esportatur tad-data u, fejn possibbli, lis-suġġett tad-data (jekk meħtieġ bl-għajnuna tal-esportatur tad-data) jekk huwa:
[Għall-Modulu Tlieta: L-esportatur tad-data għandu jibgħat in-notifika lill-kontrollur.] |
(b) |
Jekk l-importatur tad-data jkun ipprojbit milli jinnotifika lill-esportatur tad-data u/jew lis-suġġett tad-data skont il-liġijiet tal-pajjiż ta’ destinazzjoni, l-importatur tad-data jaqbel li jagħmel l-aħjar sforzi tiegħu biex jikseb rinunzja tal-projbizzjoni, bil-għan li jikkomunika informazzjoni kemm possibbli u kemm jista’ jkun malajr. L-importatur tad-data jaqbel li jiddokumenta l-aħjar sforzi tiegħu sabiex ikun jista’ jurihom fuq talba tal-esportatur tad-data. |
(c) |
Fejn ikun permissibbli skont il-liġijiet tal-pajjiż tad-destinazzjoni, l-importatur tad-data jaqbel li jipprovdi lill-esportatur tad-data, f’intervalli regolari għat-tul tal-kuntratt, informazzjoni rilevanti kemm jista’ jkun possibbli dwar it-talbiet riċevuti (b’mod partikolari, l-għadd ta’ talbiet, it-tip ta’ data mitluba, l-awtorità/awtoritajiet rikjedenti, jekk it-talbiet ġewx ikkontestati u l-eżitu ta’ tali kontestazzjonijiet, eċċ.). [Għall-Modulu Tlieta: L-esportatur tad-data għandu jgħaddi l-informazzjoni lill-kontrollur.] |
(d) |
L-importatur tad-data jaqbel li jippreserva l-informazzjoni skont il-paragrafi (a) sa (c) għat-tul tal-kuntratt u jagħmilha disponibbli għall-awtorità superviżorja kompetenti fuq talba. |
(e) |
Il-paragrafi (a) sa (c) huma mingħajr preġudizzju għall-obbligu tal-importatur tad-data skont il-Klawżola 14(e) u l-Klawżola 16 li jinforma minnufih lill-esportatur tad-data meta ma jkunx jista’ jikkonforma ma’ dawn il-Klawżoli. |
15.2. Rieżami tal-legalità u minimizzazzjoni tad-data
(a) |
L-importatur tad-data jaqbel li jirrevedi l-legalità tat-talba għall-iżvelar, b’mod partikolari jekk din tibqax fis-setgħat mogħtija lill-awtorità pubblika rikjedenti jew le, u li jikkontesta t-talba jekk, wara valutazzjoni bir-reqqa, jikkonkludi li hemm raġunijiet raġonevoli biex jitqies li t-talba mhijiex legali skont il-liġijiet tal-pajjiż tad-destinazzjoni, l-obbligi applikabbli skont il-liġi internazzjonali u l-prinċipji ta’ korteżija internazzjonali. L-importatur tad-data għandu, taħt l-istess kondizzjonijiet, ifittex possibbiltajiet ta’ appell. Meta jikkontesta talba, l-importatur tad-data għandu jitlob miżuri interim bil-għan li jissospendi l-effetti tat-talba sakemm l-awtorità ġudizzjarja kompetenti tkun iddeċidiet dwar il-merti tagħha. Huwa ma għandux jiżvela d-data personali mitluba sakemm ma jkunx meħtieġ jagħmel dan skont ir-regoli proċedurali applikabbli. Dawn ir-rekwiżiti huma mingħajr preġudizzju għall-obbligi tal-importatur tad-data skont il-Klawżola 14(e). |
(b) |
L-importatur tad-data jaqbel li jiddokumenta l-valutazzjoni legali tiegħu u kwalunkwe kontestazzjoni għat-talba għall-iżvelar u, sa fejn ikun permissibbli skont il-liġijiet tal-pajjiż ta’ destinazzjoni, jagħmel id-dokumentazzjoni disponibbli għall-esportatur tad-data. Għandu wkoll jagħmilha disponibbli għall-awtorità superviżorja kompetenti fuq talba. [Għall-Modulu Tlieta: L-esportatur tad-data għandu jagħmel il-valutazzjoni disponibbli għall-kontrollur.] |
(c) |
L-importatur tad-data jaqbel li jipprovdi l-ammont minimu ta’ informazzjoni permissibbli meta jwieġeb għal talba għall-iżvelar, abbażi ta’ interpretazzjoni raġonevoli tat-talba. |
TAQSIMA IV – DISPOŻIZZJONIJIET FINALI
Klawżola 16
Nuqqas ta’ konformità mal-Klawżoli u terminazzjoni
(a) |
L-importatur tad-data għandu jinforma minnufih lill-esportatur tad-data jekk għal kwalunkwe raġuni ma jkunx jista’ jikkonforma ma’ dawn il-Klawżoli. |
(b) |
F’każ li l-importatur tad-data jkun qed jikser dawn il-Klawżoli jew ma jkunx jista’ jikkonforma ma’ dawn il-Klawżoli, l-esportatur tad-data għandu jissospendi t-trasferiment ta’ data personali lill-importatur tad-data sakemm terġa’ tiġi żgurata l-konformità jew il-kuntratt jiġi tterminat. Dan huwa mingħajr preġudizzju għall-Klawżola 14(f). |
(c) |
L-esportatur tad-data għandu jkun intitolat li jittermina l-kuntratt, sa fejn jikkonċerna l-ipproċessar ta’ data personali skont dawn il-Klawżoli, meta:
F’dawn il-każijiet, huwa għandu jinforma lill-awtorità superviżorja kompetenti [għall-Modulu Tlieta: u l-kontrollur] dwar tali nuqqas ta’ konformità. Meta l-kuntratt jinvolvi aktar minn żewġ Partijiet, l-esportatur tad-data jista’ jeżerċita dan id-dritt għat-terminazzjoni biss fir-rigward tal-Parti rilevanti, sakemm il-Partijiet ma jkunux qablu mod ieħor. |
(d) |
[Għall-Moduli Wieħed, Tnejn u Tlieta: Data personali li tkun ġiet ittrasferita qabel it-terminazzjoni tal-kuntratt skont il-paragrafu (c) għandha fuq l-għażla tal-esportatur tad-data tiġi rritornata minnufih lill-esportatur tad-data jew titħassar fl-intier tagħha. Dan għandu japplika wkoll għal kwalunkwe kopja tad-data.] [Għall-Modulu Erbgħa: Data personali miġbura mill-esportatur tad-data fl-UE li tkun ġiet ittrasferita qabel it-terminazzjoni tal-kuntratt skont il-paragrafu (c) għandha titħassar immedjatament fl-intier tagħha, inkluża kwalunkwe kopja tagħha.] L-importatur tad-data għandu jiċċertifika t-tħassir tad-data lill-esportatur tad-data. Sakemm id-data titħassar jew tintbagħat lura, l-importatur tad-data għandu jkompli jiżgura l-konformità ma’ dawn il-Klawżoli. Fil-każ ta’ liġijiet lokali applikabbli għall-importatur tad-data li jipprojbixxu r-ritorn jew it-tħassir tad-data personali trasferita, l-importatur tad-data jiggarantixxi li se jkompli jiżgura l-konformità ma’ dawn il-Klawżoli u jipproċessa d-data biss sal-punt u sakemm ikun meħtieġ skont dik il-liġi lokali. |
(e) |
Kull Parti tista’ tirrevoka l-qbil tagħha li tkun marbuta b’dawn il-Klawżoli meta (i) il-Kummissjoni Ewropea tadotta deċiżjoni skont l-Artikolu 45(3) tar-Regolament (UE) 2016/679 li tkopri t-trasferiment ta’ data personali li għalih japplikaw dawn il-Klawżoli; jew (ii) ir-Regolament (UE) 2016/679 isir parti mill-qafas legali tal-pajjiż li lilu tiġi ttrasferita d-data personali. Dan huwa mingħajr preġudizzju għal obbligi oħra li japplikaw għall-ipproċessar inkwistjoni skont ir-Regolament (UE) 2016/679. |
Klawżola 17
Liġi regolatorja
MODULU WIEĦED: Trasferiment minn kontrollur lil kontrollur
MODULU TNEJN: Trasferiment minn kontrollur lil proċessur
MODULU TLIETA: Trasferiment minn proċessur lil proċessur
[OPZJONI 1: Dawn il-Klawżoli għandhom ikunu rregolati mil-liġi ta’ wieħed mill-Istati Membri tal-UE, dment li tali liġi tippermetti drittijiet ta’ partijiet terzi benefiċjarji. Il-Partijiet jaqblu li din għandha tkun il-liġi ta’ _______ (speċifika l-Istat Membru).]
[OPZJONI 2 (għall-Moduli Tnejn u Tlieta): Dawn il-Klawżoli għandhom ikunu rregolati mil-liġi tal-Istat Membru tal-UE li fih l-esportatur tad-data huwa stabbilit. Fejn tali liġi ma tippermettix drittijiet ta’ partijiet terzi benefiċjarji, dawn għandhom ikunu rregolati mil-liġi ta’ Stat Membru ieħor tal-UE li tippermetti drittijiet ta’ partijiet terzi benefiċjarji. Il-Partijiet jaqblu li din għandha tkun il-liġi ta’ _______ (speċifika l-Istat Membru).]
MODULU ERBGĦA: Trasferiment minn proċessur lil kontrollur
Dawn il-Klawżoli għandhom ikunu regolati mil-liġi ta’ pajjiż li jippermetti drittijiet ta’ partijiet terzi benefiċjarji. Il-Partijiet jaqblu li din għandha tkun il-liġi ta’ _______ (speċifika l-pajjiż).
Klawżola 18
Għażla ta’ forum u ġuriżdizzjoni
MODULU WIEĦED: Trasferiment minn kontrollur lil kontrollur
MODULU TNEJN: Trasferiment minn kontrollur lil proċessur
MODULU TLIETA: Trasferiment minn proċessur lil proċessur
(a) |
Kwalunkwe tilwima li tirriżulta minn dawn il-Klawżoli għandha tiġi riżolta mill-qrati ta’ Stat Membru tal-UE. |
(b) |
Il-Partijiet jaqblu li dawn għandhom ikunu l-qrati ta’ _____ (speċifika l-Istat Membru). |
(c) |
Suġġett tad-data jista’ wkoll iressaq proċedimenti legali kontra l-esportatur tad-data u/jew l-importatur tad-data quddiem il-qrati tal-Istat Membru li fih ikollu r-residenza abitwali tiegħu. |
(d) |
Il-Partijiet jaqblu li jissottomettu lilhom infushom għall-ġuriżdizzjoni ta’ dawn il-qrati. |
MODULU ERBGĦA: Trasferiment minn proċessur lil kontrollur
|
Kwalunkwe tilwima li tirriżulta minn dawn il-Klawżoli għandha tiġi riżolta mill-qrati ta’ _____ (speċifika l-pajjiż). |
(1) Meta l-esportatur tad-data jkun proċessur soġġett għar-Regolament (UE) 2016/679 li jaġixxi f’isem istituzzjoni jew korp tal-Unjoni bħala kontrollur, id-dipendenza fuq dawn il-Klawżoli meta jingaġġa proċessur ieħor (sottoproċessar) mhux soġġett għar-Regolament (UE) 2016/679 tiżgura wkoll il-konformità mal-Artikolu 29(4) tar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data, u li jħassar ir-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE (ĠU L 295, 21.11.2018, p. 39), sa fejn dawn il-Klawżoli u l-obbligi tal-protezzjoni tad-data kif stabbiliti fil-kuntratt jew f’att legali ieħor bejn il-kontrollur u l-proċessur skont l-Artikolu 29(3) tar-Regolament (UE) 2018/1725 ikunu allinjati. Dan ikun il-każ b’mod partikolari meta l-kontrollur u l-proċessur jiddependu fuq il-klawżoli kuntrattwali standard inklużi fid-Deċiżjoni 2021/915.
(2) Dan jeħtieġ li d-data tiġi anonimizzata b’tali mod li l-individwu ma jibqa’ identifikabbli minn ħadd, f’konformità mal-premessa 26 tar-Regolament (UE) 2016/679, u li dan il-proċess ikun irriversibbli.
(3) Il-Ftehim dwar iż-Żona Ekonomika Ewropea (il-Ftehim ŻEE) jipprevedi l-estensjoni tas-suq intern tal-Unjoni Ewropea għat-tliet Stati taż-ŻEE, l-Iżlanda, il-Liechtenstein u n-Norveġja. Il-leġiżlazzjoni tal-Unjoni dwar il-protezzjoni tad-data, inkluż ir-Regolament (UE) 2016/679, hija koperta mill-Ftehim ŻEE u ġiet inkorporata fl-Anness XI tiegħu. Għalhekk, l-ebda żvelar mill-importatur tad-data lil parti terza li tinsab fiż-ŻEE ma jikkwalifika bħala trasferiment ulterjuri għall-finijiet ta’ dawn il-Klawżoli.
(4) Il-Ftehim dwar iż-Żona Ekonomika Ewropea (il-Ftehim ŻEE) jipprevedi l-estensjoni tas-suq intern tal-Unjoni Ewropea għat-tliet Stati taż-ŻEE, l-Iżlanda, il-Liechtenstein u n-Norveġja. Il-leġiżlazzjoni tal-Unjoni dwar il-protezzjoni tad-data, inkluż ir-Regolament (UE) 2016/679, hija koperta mill-Ftehim ŻEE u ġiet inkorporata fl-Anness XI tiegħu. Għalhekk, l-ebda żvelar mill-importatur tad-data lil parti terza li tinsab fiż-ŻEE ma tikkwalifika bħala trasferiment ulterjuri għall-finijiet ta’ dawn il-Klawżoli.
(5) Ara l-Artikolu 28(4) tar-Regolament (UE) 2016/679 u, meta l-kontrollur ikun istituzzjoni jew korp tal-UE, l-Artikolu 29(4) tar-Regolament (UE) 2018/1725.
(6) Il-Ftehim dwar iż-Żona Ekonomika Ewropea (il-Ftehim ŻEE) jipprevedi l-estensjoni tas-suq intern tal-Unjoni Ewropea għat-tliet Stati taż-ŻEE, l-Iżlanda, il-Liechtenstein u n-Norveġja. Il-leġiżlazzjoni tal-Unjoni dwar il-protezzjoni tad-data, inkluż ir-Regolament (UE) 2016/679, hija koperta mill-Ftehim ŻEE u ġiet inkorporata fl-Anness XI tiegħu. Għalhekk, l-ebda żvelar mill-importatur tad-data lil parti terza li tinsab fiż-ŻEE ma jikkwalifika bħala trasferiment ulterjuri għall-finijiet ta’ dawn il-Klawżoli.
(7) Dan jinkludi jekk it-trasferiment u l-ipproċessar ulterjuri jinvolvux data personali li tiżvela l-oriġini razzjali jew etnika, opinjonijiet politiċi, twemmin reliġjuż jew filosofiku, jew is-sħubija fi trade union, data ġenetika, jew data bijometrika bl-għan li tiġi identifikata unikament persuna fiżika, data li tikkonċerna s-saħħa jew il-ħajja sesswali jew l-orjentazzjoni sesswali ta’ persuna, jew data relatata ma’ kundanni jew reati kriminali.
(8) Dan ir-rekwiżit jista’ jiġi ssodisfat billi s-sottoproċessur jaderixxi ma’ dawn il-Klawżoli skont il-Modulu xieraq, skont il-Klawżola 7.
(9) Dan ir-rekwiżit jista’ jiġi ssodisfat billi s-sottoproċessur jaderixxi ma’ dawn il-Klawżoli skont il-Modulu xieraq, skont il-Klawżola 7.
(10) Dak il-perjodu jista’ jiġi estiż b’massimu ta’ xahrejn oħra, sa fejn ikun meħtieġ minħabba l-kumplessità u n-numru ta’ talbiet. L-importatur tad-data għandu jinforma lis-suġġett tad-data kif xieraq u fil-pront dwar kwalunkwe estensjoni bħal din.
(11) L-importatur tad-data jista’ joffri soluzzjoni indipendenti għat-tilwim permezz ta’ korp ta’ arbitraġġ biss jekk ikun stabbilit f’pajjiż li jkun irratifika l-Konvenzjoni ta’ New York dwar l-Eżekuzzjoni ta’ Deċiżjonijiet ta’ Arbitraġġ.
(12) Fir-rigward tal-impatt ta’ tali liġijiet u prattiki fuq il-konformità ma’ dawn il-Klawżoli, jistgħu jitqiesu elementi differenti bħala parti minn valutazzjoni ġenerali. Tali elementi jistgħu jinkludu esperjenza prattika rilevanti u dokumentata b’każijiet preċedenti ta’ talbiet għall-iżvelar minn awtoritajiet pubbliċi, jew in-nuqqas ta’ tali talbiet, li tkopri perjodu ta’ żmien rappreżentattiv biżżejjed. Dan jirreferi b’mod partikolari għal rekords interni jew dokumentazzjoni oħra, imfassla fuq bażi kontinwa f’konformità mad-diliġenza dovuta u ċċertifikati fil-livell ta’ maniġment superjuri, dment li din l-informazzjoni tista’ tiġi kondiviża legalment ma’ partijiet terzi. Meta din l-esperjenza prattika tintuża bħala bażi biex fuqha jiġi konkluż li l-importatur tad-data se jitħalla jikkonforma ma’ dawn il-Klawżoli, din jeħtieġ li tiġi appoġġata minn elementi oġġettivi rilevanti oħra, u hija r-responsabbiltà tal-Partijiet li jikkunsidraw bir-reqqa jekk dawn l-elementi għandhomx piż suffiċjenti flimkien, f’termini tal-affidabbiltà u r-rappreżentattività tagħhom, biex jappoġġaw din il-konklużjoni. B’mod partikolari, il-Partijiet iridu jqisu jekk l-esperjenza prattika tagħhom tkunx ikkorroborata u mhux kontradetta minn informazzjoni affidabbli, disponibbli għall-pubbliku jew aċċessibbli mod ieħor, dwar l-eżistenza jew in-nuqqas ta’ talbiet fl-istess settur u/jew mill-applikazzjoni tal-liġi fil-prattika, bħal ġurisprudenza u rapporti minn korpi indipendenti ta’ sorveljanza.
APPENDIĊI
NOTA TA’ SPJEGAZZJONI:
Għandu jkun possibbli li ssir distinzjoni ċara bejn l-informazzjoni applikabbli għal kull trasferiment jew kategorija ta’ trasferimenti u, f’dan ir-rigward, li jiġi/u ddeterminat(i) ir-rwol(i) rispettiv(i) tal-Partijiet bħala esportatur(i) tad-data u/jew importatur(i) tad-data. Dan mhux neċessarjament jeħtieġ l-ikkompletar u l-iffirmar ta’ Appendiċijiet separati għal kull trasferiment/kategorija ta’ trasferimenti u/jew relazzjoni kuntrattwali, meta din it-trasparenza tista’ tinkiseb permezz ta’ appendiċi wieħed. Madankollu, fejn ikun meħtieġ li tiġi żgurata ċarezza suffiċjenti, jenħtieġ li jintużaw appendiċijiet separati.
ANNESS I
A. LISTA TAL-PARTIJIET
MODULU WIEĦED: Trasferiment minn kontrollur lil kontrollur
MODULU TNEJN: Trasferiment minn kontrollur lil proċessur
MODULU TLIETA: Trasferiment minn proċessur lil proċessur
MODULU ERBGĦA: Trasferiment minn proċessur lil kontrollur
Esportatur(i) tad-data: [L-identità u d-dettalji ta’ kuntatt tal-esportatur(i) tad-data u, fejn applikabbli, tal-uffiċjal tal-protezzjoni tad-data u/jew tar-rappreżentant tiegħu jew tagħhom fl-Unjoni Ewropea]
1. |
Isem: …
Indirizz: … L-isem, il-pożizzjoni u d-dettalji ta’ kuntatt tal-persuna ta’ kuntatt: … Attivitajiet rilevanti għad-data trasferita skont dawn il-Klawżoli: … Firma u data: … Rwol (kontrollur/proċessur): … |
2. |
… |
Importatur(i) tad-data: [L-identità u d-dettalji ta’ kuntatt tal-importatur(i) tad-data, inkluż kwalunkwe persuna ta’ kuntatt b’responsabbiltà għall-protezzjoni tad-data]
1. |
Isem: …
Indirizz: … L-isem, il-pożizzjoni u d-dettalji ta’ kuntatt tal-persuna ta’ kuntatt: … Attivitajiet rilevanti għad-data trasferita skont dawn il-Klawżoli: … Firma u data: … Rwol (kontrollur/proċessur): … |
2. |
… |
B. DESKRIZZJONI TAT-TRASFERIMENT
MODULU WIEĦED: Trasferiment minn kontrollur lil kontrollur
MODULU TNEJN: Trasferiment minn kontrollur lil proċessur
MODULU TLIETA: Trasferiment minn proċessur lil proċessur
MODULU ERBGĦA: Trasferiment minn proċessur lil kontrollur
Il-kategoriji tas-suġġetti tad-data li d-data personali tagħhom tiġi ttrasferita
…
Il-kategoriji tad-data personali trasferita
…
Data sensittiva trasferita (jekk applikabbli) u r-restrizzjonijiet jew is-salvagwardji applikati li jqisu bis-sħiħ in-natura tad-data u r-riskji involuti, bħal pereżempju limitazzjoni stretta tal-iskop, restrizzjonijiet tal-aċċess (inkluż aċċess biss għal persunal li jkun segwa taħriġ speċjalizzat), iż-żamma ta’ rekord tal-aċċess għad-data, restrizzjonijiet għal trasferimenti ulterjuri jew miżuri ta’ sigurtà addizzjonali.
…
Il-frekwenza tat-trasferiment (eż. jekk id-data tiġix trasferita fuq bażi ta’ darba jew fuq bażi kontinwa).
…
In-natura tal-ipproċessar
…
L-iskop(ijiet) tat-trasferiment tad-data u tal-ipproċessar ulterjuri
…
Il-perjodu li matulu tkun se tinħażen id-data personali, jew jekk dak ma jkunx possibbli, il-kriterji użati biex jiġi ddeterminat dak il-perjodu
…
Għal trasferimenti lil (sotto)proċessuri, speċifika wkoll is-suġġett, in-natura u t-tul tal-ipproċessar
…
C. AWTORITÀ SUPERVIŻORJA KOMPETENTI
MODULU WIEĦED: Trasferiment minn kontrollur lil kontrollur
MODULU TNEJN: Trasferiment minn kontrollur lil proċessur
MODULU TLIETA: Trasferiment minn proċessur lil proċessur
Identifika l-awtorità/awtoritajiet superviżorja/i kompetenti skont il-Klawżola 13
…
ANNESS II
MIŻURI TEKNIĊI U ORGANIZZATTIVI INKLUŻI MIŻURI TEKNIĊI U ORGANIZZATTIVI BIEX TIĠI ŻGURATA S-SIGURTÀ TAD-DATA
MODULU WIEĦED: Trasferiment minn kontrollur lil kontrollur
MODULU TNEJN: Trasferiment minn kontrollur lil proċessur
MODULU TLIETA: Trasferiment minn proċessur lil proċessur
NOTA TA’ SPJEGAZZJONI:
Il-miżuri tekniċi u organizzattivi jridu jiġu deskritti f’termini speċifiċi (u mhux ġeneriċi). Ara wkoll il-kumment ġenerali fuq l-ewwel paġna tal-Appendiċi, b’mod partikolari dwar il-ħtieġa li jiġi indikat b’mod ċar liema miżuri japplikaw għal kull trasferiment/sett ta’ trasferimenti.
Deskrizzjoni tal-miżuri tekniċi u organizzattivi implimentati mill-importatur(i) tad-data (inkluż kwalunkwe ċertifikazzjoni rilevanti) biex jiġi żgurat livell xieraq ta’ sigurtà, filwaqt li jitqiesu n-natura, il-kamp ta’ applikazzjoni, il-kuntest u l-iskop tal-ipproċessar, u r-riskji għad-drittijiet u l-libertajiet tal-persuni fiżiċi.
[Eżempji ta’ miżuri possibbli:
Miżuri ta’ psewdonimizzazzjoni u kriptaġġ tad-data personali
Miżuri biex jiġu żgurati l-kunfidenzjalità, l-integrità, id-disponibbiltà u r-reżiljenza kontinwi tas-sistemi u s-servizzi ta’ pproċessar
Miżuri biex tiġi żgurata l-kapaċità li jiġu rrestawrati d-disponibbiltà u l-aċċess għad-data personali fil-pront f’każ ta’ inċident fiżiku jew tekniku
Proċessi sabiex tiġi ttestjata, ivvalutata u evalwata l-effettività tal-miżuri tekniċi u organizzattivi biex tiġi żgurata s-sigurtà tal-ipproċessar
Miżuri għall-identifikazzjoni u l-awtorizzazzjoni tal-utent
Miżuri għall-protezzjoni tad-data waqt it-trażmissjoni
Miżuri għall-protezzjoni tad-data waqt il-ħżin
Miżuri biex tiġi żgurata s-sigurtà fiżika tal-postijiet li fihom tiġi pproċessata d-data personali
Miżuri għall-iżgurar tar-reġistrar tal-avvenimenti
Miżuri biex tiġi żgurata l-konfigurazzjoni tas-sistema, inkluża l-konfigurazzjoni prestabbilita
Miżuri għall-governanza u l-ġestjoni interni tal-IT u tas-sigurtà tal-IT
Miżuri għaċ-ċertifikazzjoni/l-assigurazzjoni tal-proċessi u tal-prodotti
Miżuri għall-iżgurar tal-minimizzazzjoni tad-data
Miżuri biex tiġi żgurata l-kwalità tad-data
Miżuri biex tiġi żgurata żamma limitata tad-data
Miżuri biex tiġi żgurata r-responsabbiltà
Miżuri li jippermettu l-portabbiltà tad-data u jiżguraw it-tħassir]
Għat-trasferimenti lil (sotto)proċessuri, iddeskrivi wkoll il-miżuri tekniċi u organizzattivi speċifiċi li għandhom jittieħdu mis-(sotto)proċessur sabiex ikun jista’ jipprovdi assistenza lill-kontrollur u, għal trasferimenti minn proċessur għal sottoproċessur, lill-esportatur tad-data
ANNESS III
LISTA TA’ SOTTOPROĊESSURI
MODULU TNEJN: Trasferiment minn kontrollur lil proċessur
MODULU TLIETA: Trasferiment minn proċessur lil proċessur
NOTA TA’ SPJEGAZZJONI:
Dan l-Anness irid jimtela għall-Moduli Tnejn u Tlieta, f’każ tal-awtorizzazzjoni speċifika ta’ sottoproċessuri (Klawżola 9(a), Opzjoni 1).
Il-kontrollur awtorizza l-użu tas-sottoproċessuri li ġejjin:
1. |
Isem: …
Indirizz: … L-isem, il-pożizzjoni u d-dettalji ta’ kuntatt tal-persuna ta’ kuntatt: … Deskrizzjoni tal-ipproċessar (inkluża delimitazzjoni ċara tar-responsabbiltajiet f’każ li jiġu awtorizzati diversi sottoproċessuri): … |
2. |
… |