7.6.2021 |
SL |
Uradni list Evropske unije |
L 199/31 |
IZVEDBENI SKLEP KOMISIJE (EU) 2021/914
z dne 4. junija 2021
o standardnih pogodbenih določilih za prenos osebnih podatkov v tretje države v skladu z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta
(Besedilo velja za EGP)
EVROPSKA KOMISIJA JE –
ob upoštevanju Pogodbe o delovanju Evropske unije,
ob upoštevanju Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (splošna uredba o varstvu podatkov) (1) ter zlasti člena 28(7) in člena 46(2)(c) Uredbe,
ob upoštevanju naslednjega:
(1) |
Tehnološki razvoj olajšuje čezmejne pretoke podatkov, ki so potrebni za širitev mednarodnega sodelovanja in mednarodne trgovine. Hkrati je treba zagotoviti, da raven varstva fizičnih oseb, ki jo zagotavlja Uredba (EU) 2016/679, ni ogrožena pri prenosu osebnih podatkov v tretje države, vključno s primeri nadaljnjega prenosa (2). Določbe o prenosu podatkov iz poglavja V Uredbe (EU) 2016/679 so namenjene zagotavljanju kontinuitete te visoke ravni varstva, kadar se osebni podatki prenesejo v tretjo državo (3). |
(2) |
V skladu s členom 46(1) Uredbe (EU) 2016/679 lahko upravljavec ali obdelovalec prenese osebne podatke v tretjo državo, za katero Komisija ni sprejela sklepa o ustreznosti v skladu s členom 45(3), le če je predvidel ustrezne zaščitne ukrepe in pod pogojem, da so posameznikom, na katere se nanašajo osebni podatki, na voljo izvršljive pravice in učinkovita pravna sredstva. Takšni zaščitni ukrepi se lahko določijo s standardnimi določili o varstvu podatkov, ki jih sprejme Komisija v skladu s členom 46(2)(c). |
(3) |
Vloga standardnih pogodbenih določil je omejena na zagotavljanje ustreznih zaščitnih ukrepov za varstvo podatkov za mednarodne prenose podatkov. Zato lahko upravljavci ali obdelovalci, ki osebne podatke prenesejo v tretjo državo (v nadaljnjem besedilu: izvozniki podatkov), ter upravljavci ali obdelovalci, ki osebne podatke prejmejo (v nadaljnjem besedilu: uvozniki podatkov), navedena standardna pogodbena določila vključijo v širšo pogodbo in dodajo druga določila ali dodatne zaščitne ukrepe, če neposredno ali posredno ne nasprotujejo standardnim pogodbenim določilom ali posegajo v temeljne pravice ali svoboščine posameznikov, na katere se nanašajo osebni podatki. Upravljavce in obdelovalce se spodbuja, da v okviru pogodbenih obveznosti vzpostavijo dodatne zaščitne ukrepe, ki dopolnjujejo standardna pogodbena določila (4). Uporaba standardnih pogodbenih določil ne posega v pogodbene obveznosti izvoznika in/ali uvoznika podatkov, da zagotovi spoštovanje veljavnih privilegijev in imunitet. |
(4) |
Izvoznik podatkov mora poleg uporabe standardnih pogodbenih določil za zagotovitev ustreznih zaščitnih ukrepov za prenose v skladu s členom 46(1) Uredbe (EU) 2016/679 izpolnjevati svoje splošne odgovornosti, ki jih ima kot upravljavec ali obdelovalec na podlagi Uredbe (EU) 2016/679. Te odgovornosti vključujejo obveznost upravljavca, da posameznikom, na katere se nanašajo osebni podatki, v skladu s členom 13(1)(f) in členom 14(1)(f) Uredbe (EU) 2016/679 zagotovi informacije o tem, da namerava njihove osebne podatke prenesti v tretjo državo. Pri prenosih na podlagi člena 46 Uredbe (EU) 2016/679 morajo takšne informacije vključevati sklic na ustrezne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali informacije o tem, kje so na voljo. |
(5) |
Odločba Komisije 2001/497/ES (5) in Sklep Komisije 2010/87/EU (6) vsebujeta standardna pogodbena določila, da bi se olajšal prenos osebnih podatkov od upravljavca podatkov z ustanovitvijo v Uniji drugemu upravljavcu ali obdelovalcu z ustanovitvijo v tretji državi, ki ne zagotavlja ustrezne ravni varstva. Navedena odločba in sklep sta temeljila na Direktivi 95/46/ES Evropskega parlamenta in Sveta (7). |
(6) |
V skladu s členom 46(5) Uredbe (EU) 2016/679 Odločba 2001/497/ES in Sklep 2010/87/EU ostaneta veljavna, dokler ju Komisija po potrebi ne spremeni, nadomesti ali razveljavi s sklepom, ki ga sprejme v skladu s členom 46(2) navedene uredbe. Standardna pogodbena določila iz navedene odločbe in sklepa je treba posodobiti glede na nove zahteve iz Uredbe (EU) 2016/679. Poleg tega se je od sprejetja navedenih dveh pravnih aktov zgodil pomemben razvoj v digitalnem gospodarstvu, kjer se vse bolj uporabljajo novi in bolj kompleksni postopki obdelave, ki pogosto vključujejo več uvoznikov in izvoznikov podatkov, dolge in kompleksne verige obdelave ter nenehno razvijajoče se poslovne odnose. Zaradi tega je nastala potreba po posodobitvi standardnih pogodbenih določil, tako da bi z zajetjem dodatnih primerov obdelave in prenosa bolje odražala te nove realnosti ter da bi omogočala prožnejši pristop, na primer glede števila pogodbenic, ki se lahko pridružijo pogodbi. |
(7) |
Upravljavec ali obdelovalec lahko standardna pogodbena določila iz Priloge k temu sklepu uporabi, da bi zagotovil ustrezne zaščitne ukrepe v smislu člena 46(1) Uredbe (EU) 2016/679 za prenos osebnih podatkov obdelovalcu ali upravljavcu z ustanovitvijo v tretji državi, brez poseganja v razlago pojma mednarodnega prenosa iz Uredbe (EU) 2016/679. Standardna pogodbena določila se lahko za take prenose uporabijo samo, če obdelava s strani uvoznika ne spada na področje uporabe Uredbe (EU) 2016/679. To vključuje tudi prenos osebnih podatkov s strani upravljavca ali obdelovalca, ki nimata ustanovitve v Uniji, kolikor je obdelava predmet Uredbe (EU) 2016/679 (v skladu z njenim členom 3(2)), ker se nanaša na ponujanje blaga ali storitev posameznikom, na katere se nanašajo osebni podatki, v Uniji ali na spremljanje njihovega ravnanja, če gre za ravnanje v Uniji. |
(8) |
Glede na splošno usklajenost Uredbe (EU) 2016/679 in Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta (8) bi moralo biti standardna pogodbena določila mogoče uporabljati tudi v kontekstu pogodbe, kakor je navedeno v členu 29(4) Uredbe (EU) 2018/1725, za prenos osebnih podatkov s strani obdelovalca, ki ni institucija ali organ Unije, vendar zanj velja Uredba (EU) 2016/679 in obdeluje osebne podatke v imenu institucije ali organa Unije v skladu s členom 29 Uredbe (EU) 2018/1725, podobdelovalcu v tretji državi. Če pogodba odraža enake obveznosti glede varstva podatkov, kot so določene v pogodbi ali drugem pravnem aktu med upravljavcem in obdelovalcem v skladu s členom 29(3) Uredbe (EU) 2018/1725, zlasti če določa jamstva za tehnične in organizacijske ukrepe, ki zadoščajo za zagotovitev, da obdelava izpolnjuje zahteve iz navedene uredbe, bo s tem zagotovljena skladnost s členom 29(4) Uredbe (EU) 2018/1725. To bo veljalo zlasti v primeru, da upravljavec in obdelovalec uporabljata standardna pogodbena določila iz Izvedbenega sklepa komisije o standardnih pogodbenih določilih med upravljavci in obdelovalci na podlagi člena 28(7) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta ter člena 29(7) Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta (9). |
(9) |
Kadar obdelava vključuje prenose podatkov od upravljavcev, za katere se uporablja Uredba (EU) 2016/679, obdelovalcem zunaj njenega ozemeljskega področja uporabe ali od obdelovalcev, za katere se uporablja Uredba (EU) 2016/679, podobdelovalcem zunaj njenega ozemeljskega področja uporabe, bi morala standardna pogodbena določila iz Priloge k temu sklepu omogočati tudi, da so izpolnjene zahteve iz člena 28(3) in (4) Uredbe (EU) 2016/679. |
(10) |
Standardna pogodbena določila iz Priloge k temu sklepu združujejo splošna določila z modularnim pristopom, da bi se upoštevali različni scenariji prenosa in kompleksnost sodobnih verig obdelave. Poleg splošnih določil bi morali upravljavci in obdelovalci izbrati modul, ki se uporablja za njihovo situacijo, da bi svoje obveznosti v skladu s standardnimi pogodbenimi določili prilagodili svoji vlogi in odgovornostim v zvezi z zadevno obdelavo podatkov. Dopustiti bi bilo treba, da se k standardnim pogodbenim določilom zavežeta več kot dve pogodbenici. Poleg tega bi bilo treba dodatnim upravljavcem in obdelovalcem omogočiti, da se kot izvozniki ali uvozniki podatkov pridružijo k standardnim pogodbenim določilom kadar koli v trajanju veljavnosti pogodbe, katere del so ta določila. |
(11) |
Za zagotovitev ustreznih zaščitnih ukrepov bi bilo treba s standardnimi pogodbenimi določili zagotoviti, da se osebnim podatkom, prenesenim na tej podlagi, zagotovi raven varstva, ki je v bistvu enakovredna tisti, ki je zagotovljena v Uniji (10). Za zagotovitev preglednosti obdelave bi bilo treba posameznikom, na katere se nanašajo osebni podatki, zagotoviti kopijo standardnih pogodbenih določil in jih obvestiti zlasti o kategorijah osebnih podatkov, ki se obdelajo, o pravici do pridobitve kopije standardnih pogodbenih določil in o vsakem nadaljnjem prenosu. Nadaljnji prenosi s strani uvoznika podatkov tretji osebi v drugi tretji državi bi morali biti dovoljeni le, če se ta tretja oseba pridruži k standardnim pogodbenim določilom, če je kontinuiteta varstva zagotovljena drugače ali v posebnih okoliščinah, na primer če je posameznik, na katerega se nanašajo osebni podatki, dal izrecno in informirano privolitev za tak nadaljnji prenos. |
(12) |
Z nekaj izjemami, zlasti v zvezi z nekaterimi obveznostmi, ki se nanašajo izključno na razmerje med izvoznikom podatkov in uvoznikom podatkov, bi morali imeti posamezniki, na katere se nanašajo osebni podatki, možnost, da se na standardna pogodbena določila sklicujejo in jih po potrebi uveljavljajo kot upravičene tretje osebe. Čeprav bi moralo biti pogodbenicam dovoljeno, da izberejo pravo ene od držav članic kot pravo, ki bo urejalo standardna pogodbena določila, mora to pravo omogočati pravice upravičenih tretjih oseb. Da bi se olajšalo uveljavljanje pravnih sredstev posameznikov, bi bilo treba v standardnih pogodbenih določilih od uvoznika podatkov zahtevati, da posameznike, na katere se nanašajo osebni podatki, obvesti o kontaktni točki in da nemudoma obravnava morebitne pritožbe ali zahteve. V primeru spora med uvoznikom podatkov in posameznikom, na katerega se nanašajo osebni podatki in ki uveljavlja svoje pravice kot upravičena tretja oseba, bi moral imeti posameznik, na katerega se nanašajo osebni podatki, možnost vložiti pritožbo pri pristojnem nadzornem organu ali spor predložiti pristojnim sodiščem v EU. |
(13) |
Da se zagotovi učinkovito izvrševanje, bi bilo treba od uvoznika podatkov zahtevati, da se podvrže pristojnosti takšnega organa in sodišč ter se zaveže, da bo spoštoval vse zavezujoče odločitve v skladu s pravom države članice, ki se uporabi. Uvoznik podatkov bi se moral zlasti strinjati, da bo odgovoril na poizvedbe, privolil v revizije in ravnal v skladu z ukrepi, ki jih je sprejel nadzorni organ, vključno s popravnimi in izravnalnimi ukrepi. Poleg tega bi moral imeti uvoznik podatkov možnost, da posameznikom, na katere se nanašajo osebni podatki, ponudi brezplačno uveljavljanje pravnih sredstev pri neodvisnem organu za reševanje sporov. V skladu s členom 80(1) Uredbe (EU) 2016/679 bi moralo biti posameznikom, na katere se nanašajo osebni podatki, dovoljeno, da jih, če tako želijo, v sporih z uvoznikom podatkov zastopajo združenja ali druga telesa. |
(14) |
Standardna pogodbena določila bi morala vključevati pravila o odgovornosti med samimi pogodbenicami in v razmerju pogodbenic do posameznikov, na katere se nanašajo osebni podatki, ter pravila o odškodnini med pogodbenicami. Če posameznik, na katerega se nanašajo osebni podatki, utrpi premoženjsko ali nepremoženjsko škodo zaradi kakršne koli kršitve pravic, ki jih ima kot upravičena tretja oseba v skladu s standardnimi pogodbenimi določili, bi moral biti upravičen do odškodnine. To ne bi smelo posegati v nobeno od odgovornosti na podlagi Uredbe (EU) 2016/679. |
(15) |
Pri prenosu osebnih podatkov uvozniku podatkov, ki deluje kot obdelovalec ali podobdelovalec, bi se morale uporabljati posebne zahteve v skladu s členom 28(3) Uredbe (EU) 2016/679. S standardnimi pogodbenimi določili bi bilo treba od uvoznika podatkov zahtevati, da da na voljo vse informacije, ki so potrebne za dokazovanje njegovega izpolnjevanja obveznosti iz teh določil ter ki izvozniku podatkov omogočajo revizije dejavnosti obdelave uvoznika podatkov in k tem revizijam tudi prispevajo. Za primere, ko uvoznik podatkov zaposli podobdelovalca v skladu s členom 28(2) in (4) Uredbe (EU) 2016/679, bi bilo treba v standardnih pogodbenih določilih določiti zlasti postopek za splošno ali posebno dovoljenje, ki ga podeli izvoznik podatkov, ter zahtevo po pisni pogodbi s podobdelovalcem, ki zagotavlja enako raven varstva, kot je zagotovljena na podlagi določil. |
(16) |
Primerno je, da se v standardna pogodbena določila vključijo različni zaščitni ukrepi, ki zajemajo poseben primer prenosa osebnih podatkov s strani obdelovalca v Uniji svojemu upravljavcu v tretji državi in ki odražajo omejene samostojne obveznosti obdelovalcev v skladu z Uredbo (EU) 2016/679. Zlasti bi bilo treba s standardnimi pogodbenimi določili od obdelovalca zahtevati, da obvesti upravljavca, kadar ne more upoštevati njegovih navodil, vključno s primeri, ko upravljavčeva navodila kršijo pravo Unije o varstvu podatkov, in od upravljavca zahteva, da se vzdrži vseh dejanj, ki bi obdelovalcu preprečila izpolnjevanje njegovih obveznosti na podlagi Uredbe (EU) 2016/679. Prav tako bi bilo treba s standardnimi pogodbenimi določili od pogodbenic zahtevati, da si med seboj pomagajo pri odgovarjanju na poizvedbe in zahteve posameznikov, na katere se nanašajo osebni podatki, v skladu z lokalno zakonodajo, ki se uporablja za uvoznika podatkov, ali, če postopki obdelave podatkov potekajo v Uniji, v skladu z Uredbo (EU) 2016/679. Kadar obdelovalec Unije osebne podatke, prejete od upravljavca v tretji državi, združi z osebnimi podatki, ki jih sam zbere v Uniji, bi se morale uporabljati dodatne zahteve za obravnavo morebitnih učinkov zakonodaje namembne tretje države na skladnost upravljavca z določili, zlasti kar zadeva obravnavo zavezujočih zahtev javnih organov v tretji državi za razkritje prenesenih osebnih podatkov. Nasprotno pa take zahteve niso upravičene, če zunanje izvajanje vključuje le obdelavo in vračanje osebnih podatkov, ki so bili prejeti od upravljavca in ki so v vsakem primeru podvrženi in bodo podvrženi pristojnosti zadevne tretje države. |
(17) |
Pogodbenice bi morale biti sposobne dokazati, da spoštujejo standardna pogodbena določila. Zlasti bi bilo treba od uvoznika podatkov zahtevati, da hrani ustrezno dokumentacijo za dejavnosti obdelave, za katere je odgovoren, in da izvoznika podatkov nemudoma obvesti, če določil iz kakršnega koli razloga ne more spoštovati. Izvoznik podatkov pa bi moral ustaviti prenos in v posebej resnih primerih imeti pravico do odpovedi pogodbe, kolikor gre za obdelavo osebnih podatkov na podlagi standardnih pogodbenih določil, kadar uvoznik podatkov krši določila ali jih ne more spoštovati. Kadar lokalni zakoni vplivajo na skladnost z določili, bi se morala uporabljati posebna pravila. Osebne podatke, ki so bili preneseni pred odpovedjo pogodbe, in morebitne kopije teh podatkov bi bilo treba v skladu z odločitvijo izvoznika podatkov bodisi vrniti izvozniku podatkov bodisi jih v celoti uničiti. |
(18) |
Standardna pogodbena določila bi morala – zlasti glede na sodno prakso Sodišča (11) – določati posebne zaščitne ukrepe, da bi se obravnavali morebitni učinki zakonov namembne tretje države na skladnost uvoznika podatkov z določili, zlasti kar zadeva obravnavo zavezujočih zahtev javnih organov v tej državi za razkritje prenesenih osebnih podatkov. |
(19) |
Prenos in obdelava osebnih podatkov na podlagi standardnih pogodbenih določil se ne bi smela izvajati, če zakoni in prakse namembne tretje države uvozniku podatkov preprečujejo, da bi spoštoval določila. V zvezi s tem se za zakone in prakse, ki spoštujejo bistvo temeljnih pravic in svoboščin ter ne presegajo tistega, kar je v demokratični družbi potrebno in sorazmerno za zaščito enega od ciljev iz člena 23(1) Uredbe (EU) 2016/679, ne bi smelo šteti, da so v nasprotju s standardnimi pogodbenimi določili. Pogodbenice bi morale zagotoviti, da v trenutku, ko privolijo, da jih zavezujejo standardna pogodbena določila, nimajo razloga za domnevo, da zakoni in prakse, ki se uporabljajo za uvoznika podatkov, niso v skladu s temi zahtevami. |
(20) |
Pogodbenice bi morale upoštevati zlasti konkretne okoliščine prenosa (kot so vsebina in trajanje pogodbe, narava podatkov, ki se prenesejo, vrsta prejemnika, namen obdelave), zakone in prakse namembne tretje države, ki so relevantni glede na okoliščine prenosa, in vse zaščitne ukrepe, vzpostavljene za dopolnitev zaščitnih ukrepov na podlagi standardnih pogodbenih določil (vključno z relevantnimi pogodbenimi, tehničnimi in organizacijskimi ukrepi, ki se uporabljajo za prenos osebnih podatkov in njihovo obdelavo v namembni državi). Kar zadeva vpliv takih zakonov in praks na skladnost s standardnimi pogodbenimi določili, se lahko kot del celovite ocene upoštevajo različni elementi, vključno z zanesljivimi informacijami o uporabi prava v praksi (kot so sodna praksa in poročila neodvisnih nadzornih organov), obstojem ali odsotnostjo zahtev v istem sektorju ter, pod strogimi pogoji, dokumentiranimi praktičnimi izkušnjami izvoznika podatkov in/ali uvoznika podatkov. |
(21) |
Uvoznik podatkov bi moral izvoznika podatkov obvestiti, če ima po tem, ko je privolil, da ga zavezujejo standardna pogodbena določila, razlog za domnevo, da jih ne more spoštovati. Če izvoznik podatkov prejme tako obvestilo ali če kako drugače izve, da uvoznik podatkov ne more več spoštovati standardnih pogodbenih določil, bi moral opredeliti ustrezne ukrepe za obravnavo situacije, po potrebi po posvetovanju s pristojnim nadzornim organom. Taki ukrepi lahko vključujejo dopolnilne ukrepe, ki jih sprejme izvoznik podatkov in/ali uvoznik podatkov, kot so tehnični ali organizacijski ukrepi za zagotovitev varnosti in zaupnosti. Od izvoznika podatkov bi bilo treba zahtevati, da začasno ustavi prenos osebnih podatkov, če meni, da ni mogoče zagotoviti ustreznih zaščitnih ukrepov, ali če mu tako naroči pristojni nadzorni organ. |
(22) |
Kadar je mogoče, bi moral uvoznik podatkov obvestiti izvoznika podatkov in posameznika, na katerega se nanašajo osebni podatki, če prejme pravno zavezujočo zahtevo javnega (tudi sodnega) organa v skladu s pravom namembne države za razkritje osebnih podatkov, prenesenih na podlagi standardnih pogodbenih določil. Podobno bi ju moral obvestiti, če izve za kakršen koli neposredni dostop javnih organov do takih osebnih podatkov v skladu s pravom namembne tretje države. Če uvoznik podatkov kljub vsem svojim prizadevanjem ne more obvestiti izvoznika podatkov in/ali posameznika, na katerega se nanašajo osebni podatki, o posebnih zahtevah za razkritje, bi moral izvozniku podatkov zagotoviti čim več relevantnih informacij o zahtevah. Poleg tega bi moral uvoznik podatkov izvozniku podatkov redno zagotavljati zbirne informacije. Od uvoznika podatkov bi bilo treba zahtevati tudi, da dokumentira vsako prejeto zahtevo za razkritje in predloženi odgovor ter da te informacije da na zahtevo na voljo izvozniku podatkov ali pristojnemu nadzornemu organu ali obema. Če uvoznik podatkov po pregledu zakonitosti take zahteve v skladu z zakoni namembne države ugotovi, da obstajajo utemeljeni razlogi za domnevo, da je zahteva nezakonita v skladu z zakonodajo namembne tretje države, bi jo moral izpodbijati, po potrebi vključno z izčrpanjem možnosti pritožbe, ki so na voljo. Če uvoznik podatkov ne more več spoštovati standardnih pogodbenih določil, mora o tem v vsakem primeru obvestiti izvoznika podatkov, tudi če je to posledica zahteve za razkritje. |
(23) |
Ker se lahko potrebe deležnikov, tehnologija in postopki obdelave spremenijo, bi morala Komisija v okviru rednega ocenjevanja Uredbe (EU) 2016/679 v skladu z njenim členom 97 oceniti delovanje standardnih pogodbenih določil ob upoštevanju izkušenj. |
(24) |
Odločbo 2001/497/ES in Sklep 2010/87/EU bi bilo treba razveljaviti tri mesece po začetku veljavnosti tega sklepa. V navedenem obdobju bi morali imeti izvozniki podatkov in uvozniki podatkov za namene člena 46(1) Uredbe (EU) 2016/679 še vedno možnost uporabljati standardna pogodbena določila iz Odločbe 2001/497/ES in Sklepa 2010/87/EU. Izvozniki podatkov in uvozniki podatkov bi morali imeti za namene člena 46(1) Uredbe (EU) 2016/679 možnost, da se za dodatno obdobje 15 mesecev še naprej opirajo na standardna pogodbena določila iz Odločbe 2001/497/ES in Sklepa 2010/87/EU za izvajanje pogodb, sklenjenih med njimi pred datumom razveljavitve navedenih pravnih aktov, če se postopki obdelave, ki so predmet pogodbe, ne spremenijo in opiranje na določila zagotavlja, da za prenos osebnih podatkov veljajo ustrezni zaščitni ukrepi v smislu člena 46(1) Uredbe (EU) 2016/679. V primeru relevantnih sprememb pogodbe bi bilo treba od izvoznika podatkov zahtevati, da se za prenose podatkov na podlagi pogodbe opira na novo podlago, zlasti z zamenjavo obstoječih standardnih pogodbenih določil s standardnimi pogodbenimi določili iz Priloge k temu sklepu. Enako bi moralo veljati za vsako oddajanje postopkov obdelave, ki jih zajema pogodba, v izvajanje (pod)obdelovalcu. |
(25) |
Opravljeno je bilo posvetovanje z Evropskim nadzornikom za varstvo podatkov in Evropskim odborom za varstvo podatkov v skladu s členom 42(1) in (2) Uredbe (EU) 2018/1725, ki sta 14. januarja 2021 podala skupno mnenje (12), ki je bilo upoštevano pri pripravi tega sklepa. |
(26) |
Ukrepi iz tega sklepa so v skladu z mnenjem odbora, ustanovljenega s členom 93 Uredbe (EU) 2016/679 – |
SPREJELA NASLEDNJI SKLEP:
Člen 1
1. Šteje se, da standardna pogodbena določila iz Priloge zagotavljajo ustrezne zaščitne ukrepe v smislu člena 46(1) in (2)(c) Uredbe (EU) 2016/679 za prenos osebnih podatkov od upravljavca ali obdelovalca, ki te podatke obdeluje v skladu z navedeno uredbo (izvoznik podatkov), upravljavcu ali (pod)obdelovalcu, za katerega se pri obdelavi teh podatkov ne uporablja navedena uredba (uvoznik podatkov).
2. Standardna pogodbena določila določajo tudi pravice in obveznosti upravljavcev in obdelovalcev v zvezi z zadevami iz člena 28(3) in (4) Uredbe (EU) 2016/679, kar zadeva prenos osebnih podatkov od upravljavca obdelovalcu ali od obdelovalca podobdelovalcu.
Člen 2
Kadar pristojni organi države članice uveljavljajo popravljalna pooblastila v skladu s členom 58 Uredbe (EU) 2016/679 kot odziv na to, da za uvoznika podatkov veljajo ali začnejo veljati zakoni ali prakse v namembni tretji državi, ki mu preprečujejo spoštovanje standardnih pogodbenih določil iz Priloge, kar privede do začasne ustavitve ali prepovedi prenosov podatkov v tretje države, zadevna država članica nemudoma obvesti Komisijo, ki informacije posreduje drugim državam članicam.
Člen 3
Komisija oceni praktično uporabo standardnih pogodbenih določil iz Priloge na podlagi vseh razpoložljivih informacij v okviru rednega ocenjevanja, ki se zahteva po členu 97 Uredbe (EU) 2016/679.
Člen 4
1. Ta sklep začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.
2. Odločba 2001/497/ES se razveljavi z učinkom od 27. septembra 2021.
3. Sklep 2010/87/EU se razveljavi z učinkom od 27. septembra 2021.
4. Za pogodbe, sklenjene pred 27. septembrom 2021 na podlagi Odločbe 2001/497/ES ali Sklepa 2010/87/EU, se šteje, da zagotavljajo ustrezne zaščitne ukrepe v smislu člena 46(1) Uredbe (EU) 2016/679 do 27. decembra 2022, če se postopki obdelave, ki so predmet pogodbe, ne spremenijo in če opiranje na navedena določila zagotavlja, da za prenos osebnih podatkov veljajo ustrezni zaščitni ukrepi.
V Bruslju, 4. junija 2021
Za Komisijo
predsednica
Ursula VON DER LEYEN
(1) UL L 119, 4.5.2016, str. 1.
(2) Člen 44 Uredbe (EU) 2016/679.
(3) Glej tudi sodbo Sodišča z dne 16. julija 2020 v zadevi C-311/18, Data Protection Commissioner proti Facebook Ireland Limited in Maximillianu Schremsu (zadeva Schrems II), ECLI:EU:C:2020:559, točka 93.
(4) Uvodna izjava 109 Uredbe (EU) 2016/679.
(5) Odločba Komisije 2001/497/ES z dne 15. junija 2001 o standardnih pogodbenih klavzulah za prenos osebnih podatkov v tretje države v skladu z Direktivo 95/46/ES (UL L 181, 4.7.2001, str. 19).
(6) Sklep Komisije 2010/87/EU z dne 5. februarja 2010 o standardnih pogodbenih klavzulah za prenos osebnih podatkov obdelovalcem s sedežem v tretjih državah v skladu z Direktivo Evropskega parlamenta in Sveta 95/46/ES (UL L 39, 12.2.2010, str. 5).
(7) Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL L 281, 23.11.1995, str. 31).
(8) Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (UL L 295, 21.11.2018, str. 39); glej uvodno izjavo 5.
(9) C(2021) 3701.
(10) Zadeva Schrems II, točki 96 in 103. Glej tudi uvodni izjavi 108 in 114 Uredbe (EU) 2016/679.
(11) Zadeva Schrems II.
(12) Skupno mnenje EOVP in ENVP št. 2/2021 o izvedbenem sklepu Evropske komisije o standardnih pogodbenih določilih za prenos osebnih podatkov v tretje države za zadeve iz člena 46(2)(c) Uredbe (EU) 2016/679.
PRILOGA
STANDARDNA POGODBENA DOLOČILA
ODDELEK I
Določilo 1
Namen in področje uporabe
(a) |
Namen teh standardnih pogodbenih določil je zagotoviti skladnost z zahtevami Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Splošna uredba o varstvu podatkov) (1) glede prenosa osebnih podatkov v tretjo državo. |
(b) |
Pogodbenici(-e):
sta (so) se dogovorili(-e) o teh standardnih pogodbenih določilih (v nadaljnjem besedilu: določila). |
(c) |
Ta določila se uporabljajo za prenos osebnih podatkov, kot je določeno v Prilogi I.B. |
(d) |
Dodatek k tem določilom in v njem navedene priloge so sestavni del teh določil. |
Določilo 2
Učinek in nespremenljivost določil
(a) |
Ta določila določajo ustrezne zaščitne ukrepe, vključno z izvršljivimi pravicami posameznikov, na katere se nanašajo osebni podatki, in učinkovitimi pravnimi sredstvi v skladu s členom 46(1) in členom 46(2)(c) Uredbe (EU) 2016/679, ter, kar zadeva prenose podatkov od upravljavcev obdelovalcem in/ali od obdelovalcev obdelovalcem, standardna pogodbena določila v skladu s členom 28(7) Uredbe (EU) 2016/679, če se ne spremenijo, razen zaradi izbire ustreznega modula ali modulov oziroma zaradi dodajanja ali posodabljanja informacij v Dodatku. To pogodbenicam ne preprečuje, da standardna pogodbena določila iz teh določil vključijo v širšo pogodbo in/ali dodajo druga določila ali dodatne zaščitne ukrepe, če neposredno ali posredno ne nasprotujejo tem določilom ali posegajo v temeljne pravice ali svoboščine posameznikov, na katere se nanašajo osebni podatki. |
(b) |
Ta določila ne posegajo v obveznosti, ki veljajo za izvoznika podatkov na podlagi Uredbe (EU) 2016/679. |
Določilo 3
Upravičene tretje osebe
(a) |
Posamezniki, na katere se nanašajo osebni podatki, se lahko sklicujejo na ta določila in jih uveljavljajo kot upravičene tretje osebe v razmerju do izvoznika podatkov in/ali uvoznika podatkov, z naslednjimi izjemami:
|
(b) |
Odstavek (a) ne posega v pravice, ki jih imajo posamezniki, na katere se nanašajo osebni podatki, na podlagi Uredbe (EU) 2016/679. |
Določilo 4
Razlaga
(a) |
Kadar se v teh določilih uporabljajo izrazi, ki so opredeljeni v Uredbi (EU) 2016/679, imajo ti izrazi isti pomen kot v navedeni uredbi. |
(b) |
Ta določila se berejo in razlagajo v skladu z določbami Uredbe (EU) 2016/679. |
(c) |
Ta določila se ne razlagajo na način, ki bi bil v nasprotju s pravicami in obveznostmi iz Uredbe (EU) 2016/679. |
Določilo 5
Hierarhija
V primeru neskladja med temi določili in določbami povezanih pogodb med pogodbenicami, ki obstajajo v času sprejetja dogovora o teh določilih ali so sklenjeni po tem, prevladajo ta določila.
Določilo 6
Opis prenosa ali prenosov
Podrobnosti o prenosu ali prenosih, zlasti o kategorijah prenesenih osebnih podatkov in namenu ali namenih, za katere so ti podatki preneseni, so določene v Prilogi I.B.
Določilo 7 – Neobvezno
Določilo o pridružitvah
(a) |
Subjekt, ki ni pogodbenica teh določil, se lahko s soglasjem pogodbenic k tem določilom kadar koli pridruži kot izvoznik podatkov ali kot uvoznik podatkov, in sicer tako, da izpolni Dodatek in podpiše Prilogo I.A. |
(b) |
Subjekt, ki se pridruži, se po tem, ko je izpolnil Dodatek in podpisal Prilogo I.A, obravnava kot pogodbenica teh določil ter ima pravice in obveznosti izvoznika podatkov ali uvoznika podatkov glede na to, kako je opredeljen v Prilogi I.A. |
(c) |
Subjekt, ki se pridruži, nima nobenih pravic ali obveznosti na podlagi teh določil iz obdobja, preden je postal pogodbenica. |
ODDELEK II – OBVEZNOSTI POGODBENIC
Določilo 8
Zaščitni ukrepi za varstvo podatkov
Izvoznik podatkov jamči, da se je v mejah razumnega prepričal, da je uvoznik podatkov z izvajanjem ustreznih tehničnih in organizacijskih ukrepov sposoben izpolniti svoje obveznosti na podlagi teh določil.
MODUL ENA: Prenos od upravljavca upravljavcu
8.1 Omejitev namena
Uvoznik podatkov obdeluje osebne podatke samo za konkreten namen prenosa, kot je določeno v Prilogi I.B. Osebne podatke lahko obdeluje za drug namen le, če:
(i) |
je pridobil predhodno privolitev posameznika, na katerega se nanašajo osebni podatki; |
(ii) |
je to potrebno za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov v okviru posebnih upravnih, regulativnih ali sodnih postopkov ali |
(iii) |
je to potrebno za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe. |
8.2 Preglednost
(a) |
Da se posameznikom, na katere se nanašajo osebni podatki, omogoči učinkovito uveljavljanje njihovih pravic v skladu z določilom 10, jih uvoznik podatkov neposredno ali prek izvoznika podatkov obvesti:
|
(b) |
Odstavek (a) se ne uporablja, kadar posameznik, na katerega se nanašajo osebni podatki, že ima te informacije, tudi če mu jih je zagotovil že sam izvoznik podatkov, ali če se izkaže, da je take informacije nemogoče zagotoviti ali pa bi to pomenilo nesorazmeren napor za uvoznika podatkov. V slednjem primeru uvoznik podatkov, kolikor je mogoče, poskrbi, da informacije objavi. |
(c) |
Če posameznik, na katerega se nanašajo osebni podatki, tako zahteva, mu dajo pogodbenice brezplačno na voljo kopijo teh določil, vključno z Dodatkom, kot so ga izpolnile. Kolikor je to potrebno za varovanje poslovnih skrivnosti ali drugih zaupnih informacij, vključno z osebnimi podatki, lahko pogodbenice pred posredovanjem kopije zakrijejo občutljive in zaupne dele besedila Dodatka, vendar zagotovijo smiseln povzetek, če posameznik, na katerega se nanašajo osebni podatki, drugače ne bi mogel razumeti njegove vsebine ali uveljavljati svojih pravic. Pogodbenice posameznika, na katerega se nanašajo osebni podatki, na njegovo zahtevo obvestijo o razlogih za zakritje delov besedila v obsegu, v katerem to lahko storijo, ne da bi razkrile zadevne informacije. |
(d) |
Odstavki (a) do (c) ne posegajo v obveznosti izvoznika podatkov na podlagi členov 13 in 14 Uredbe (EU) 2016/679. |
8.3 Točnost in najmanjši obseg podatkov
(a) |
Vsaka pogodbenica zagotovi, da so osebni podatki točni in po potrebi posodobljeni. Uvoznik podatkov sprejme vse razumne ukrepe za zagotovitev, da se osebni podatki, ki so glede na namen ali namene obdelave netočni, nemudoma izbrišejo ali popravijo. |
(b) |
Če pogodbenica ugotovi, da osebni podatki, ki jih je prenesla ali prejela, niso točni ali da so zastareli, o tem brez nepotrebnega odlašanja obvesti drugo pogodbenico. |
(c) |
Uvoznik podatkov zagotovi, da so osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno glede na namen ali namene obdelave. |
8.4 Omejitev hrambe
Uvoznik podatkov hrani osebne podatke le toliko časa, kolikor je potrebno za namen ali namene, za katere se obdelujejo. Vzpostavi ustrezne tehnične ali organizacijske ukrepe za zagotovitev izpolnjevanja te obveznosti, vključno z izbrisom ali anonimizacijo (2) podatkov in vseh njihovih varnostnih kopij ob koncu obdobja hrambe.
8.5 Varnost obdelave
(a) |
Uvoznik podatkov, in med prenosom tudi izvoznik podatkov, izvedeta ustrezne tehnične in organizacijske ukrepe za zagotovitev varnosti osebnih podatkov, vključno z zaščito pred kršitvijo varnosti, ki bi povzročila naključno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop (v nadaljnjem besedilu: kršitev varnosti osebnih podatkov). Pri določanju ustrezne ravni varnosti ustrezno upoštevata najnovejši tehnološki razvoj, stroške izvajanja ter naravo, obseg, okoliščine in namen ali namene obdelave ter z obdelavo povezana tveganja za posameznike, na katere se nanašajo osebni podatki. Pogodbenice zlasti preučijo možnost uporabe šifriranja ali psevdonimizacije, tudi med prenosom, kadar je namen obdelave mogoče izpolniti na ta način. |
(b) |
Pogodbenice so se dogovorile o tehničnih in organizacijskih ukrepih, ki so določeni v Prilogi II. Uvoznik podatkov z rednimi pregledi zagotovi, da ti ukrepi še naprej zagotavljajo ustrezno raven varnosti. |
(c) |
Uvoznik podatkov zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon. |
(d) |
V primeru kršitve varnosti osebnih podatkov v zvezi z osebnimi podatki, ki jih na podlagi teh določil obdeluje uvoznik podatkov, ta sprejme ustrezne ukrepe za odpravo kršitve varnosti osebnih podatkov, vključno z ukrepi za ublažitev morebitnih škodljivih učinkov kršitve. |
(e) |
Če bodo zaradi kršitve varnosti osebnih podatkov verjetno ogrožene pravice in svoboščine fizičnih oseb, uvoznik podatkov brez nepotrebnega odlašanja obvesti izvoznika podatkov in pristojni nadzorni organ v skladu z določilom 13. Takšno obvestilo vsebuje i) opis narave kršitve (po možnosti vključno s kategorijami in približnim številom zadevnih posameznikov, na katere se nanašajo osebni podatki, ter evidenc osebnih podatkov), ii) njene verjetne posledice, iii) sprejete ali predlagane ukrepe za odpravo kršitve in iv) podatke o kontaktni točki, pri kateri je mogoče dobiti več informacij. Če uvoznik podatkov ne more zagotoviti vseh informacij hkrati, lahko to stori postopoma brez nepotrebnega dodatnega odlašanja. |
(f) |
Če bo zaradi kršitve varnosti osebnih podatkov verjetno nastalo veliko tveganje za pravice in svoboščine fizičnih oseb, uvoznik podatkov po potrebi v sodelovanju z izvoznikom podatkov brez nepotrebnega odlašanja obvesti tudi zadevne posameznike, na katere se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov in njeni naravi, skupaj z informacijami iz točk ii) do iv) odstavka (e), razen če je uvoznik podatkov izvedel ukrepe za znatno zmanjšanje tveganja za pravice ali svoboščine fizičnih oseb ali če bi obveščanje vključevalo nesorazmerna prizadevanja. V slednjem primeru uvoznik podatkov objavi javno sporočilo ali sprejme podoben ukrep za obvestitev javnosti o kršitvi varnosti osebnih podatkov. |
(g) |
Uvoznik podatkov dokumentira vsa pomembna dejstva v zvezi s kršitvijo varnosti osebnih podatkov, vključno z njenimi učinki in morebitnimi sprejetimi popravnimi ukrepi, ter vodi evidenco o tem. |
8.6 Občutljivi podatki
Če prenos vključuje osebne podatke, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, genske podatke ali biometrične podatke za namene edinstvene identifikacije posameznika, podatke v zvezi z zdravjem ali spolnim življenjem ali spolno usmerjenostjo posameznika ali podatke v zvezi s kazenskimi obsodbami ali kaznivimi dejanji (v nadaljnjem besedilu: občutljivi podatki), uvoznik podatkov uporabi posebne omejitve in/ali dodatne zaščitne ukrepe, ki so prilagojeni konkretni naravi podatkov in povezanim tveganjem. To lahko vključuje omejitev osebja, ki ima dostop do osebnih podatkov, dodatne varnostne ukrepe (kot je psevdonimizacija) in/ali dodatne omejitve v zvezi z nadaljnjim razkritjem.
8.7 Nadaljnji prenosi
Uvoznik podatkov ne razkrije osebnih podatkov tretji osebi, ki se nahaja zunaj Evropske unije (3) (v isti državi kot uvoznik podatkov ali v drugi tretji državi, v nadaljnjem besedilu: nadaljnji prenos), razen če so za to tretjo osebo v skladu z ustreznim modulom ta določila zavezujoča oziroma se tretja oseba strinja, da bodo zavezujoča. V nasprotnem primeru uvoznik podatkov izvede nadaljnji prenos le, če:
(i) |
gre za prenos v državo, za katero je bil v skladu s členom 45 Uredbe (EU) 2016/679 sprejet sklep o ustreznosti, ki zajema nadaljnji prenos; |
(ii) |
tretja oseba kako drugače zagotovi ustrezne zaščitne ukrepe v skladu s členom 46 ali 47 Uredbe (EU) 2016/679 v zvezi z zadevno obdelavo; |
(iii) |
tretja oseba z uvoznikom podatkov sklene zavezujoč akt, ki zagotavlja enako raven varstva podatkov, kot se zagotavlja v skladu s temi določili, uvoznik podatkov pa izvozniku podatkov zagotovi kopijo teh zaščitnih ukrepov; |
(iv) |
je to potrebno za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov v okviru posebnih upravnih, regulativnih ali sodnih postopkov |
(v) |
je to potrebno za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe ali |
(vi) |
kadar se ne uporablja noben od drugih pogojev, če je uvoznik podatkov pridobil izrecno privolitev posameznika, na katerega se nanašajo osebni podatki, za nadaljnji prenos v konkretni situaciji, potem ko ga je obvestil o namenu, identiteti prejemnika in morebitnih tveganjih takega prenosa zaradi pomanjkanja ustreznih zaščitnih ukrepov za varstvo podatkov. V tem primeru uvoznik podatkov o tem obvesti izvoznika podatkov in mu na njegovo zahtevo pošlje kopijo informacij, ki jih je zagotovil posamezniku, na katerega se nanašajo osebni podatki. |
Za vsak nadaljnji prenos mora uvoznik podatkov spoštovati tudi vse druge zaščitne ukrepe iz teh določil, zlasti omejitev namena.
8.8 Obdelava pod vodstvom uvoznika podatkov
Uvoznik podatkov zagotovi, da katera koli oseba, ki deluje pod njegovim vodstvom, vključno z obdelovalcem, obdeluje podatke samo po njegovih navodilih.
8.9 Dokumentacija in skladnost
(a) |
Vsaka pogodbenica je sposobna dokazati, da spoštuje obveznosti, ki jih ima na podlagi teh določil. Uvoznik podatkov hrani zlasti ustrezno dokumentacijo o dejavnostih obdelave, ki se izvajajo pod njegovo odgovornostjo. |
(b) |
Uvoznik podatkov da tako dokumentacijo na voljo pristojnemu nadzornemu organu, če ta tako zahteva. |
MODUL DVA: Prenos od upravljavca obdelovalcu
8.1 Navodila
(a) |
Uvoznik podatkov obdeluje osebne podatke samo v skladu z dokumentiranimi navodili izvoznika podatkov. Izvoznik podatkov lahko daje taka navodila ves čas trajanja pogodbe. |
(b) |
Uvoznik podatkov nemudoma obvesti izvoznika podatkov, če ne more upoštevati njegovih navodil. |
8.2 Omejitev namena
Uvoznik podatkov obdeluje osebne podatke samo za konkretne namene prenosa, kot je določeno v Prilogi I.B, razen če od izvoznika podatkov prejme dodatna navodila.
8.3 Preglednost
Če posameznik, na katerega se nanašajo osebni podatki, tako zahteva, mu da izvoznik podatkov brezplačno na voljo kopijo teh določil, vključno z Dodatkom, kot so ga izpolnile pogodbenice. Kolikor je to potrebno za varovanje poslovnih skrivnosti ali drugih zaupnih informacij, vključno z ukrepi, opisanimi v Prilogi II, in osebnimi podatki, lahko izvoznik podatkov pred posredovanjem kopije zakrije občutljive in zaupne dele besedila Dodatka k tem določilom, vendar zagotovi smiseln povzetek, če posameznik, na katerega se nanašajo osebni podatki, drugače ne bi mogel razumeti njegove vsebine ali uveljavljati svojih pravic. Pogodbenice posameznika, na katerega se nanašajo osebni podatki, na njegovo zahtevo obvestijo o razlogih za zakritje delov besedila v obsegu, v katerem to lahko storijo, ne da bi razkrile zadevne informacije. To določilo ne posega v obveznosti, ki jih ima izvoznik podatkov na podlagi členov 13 in 14 Uredbe (EU) 2016/679.
8.4 Točnost
Če uvoznik podatkov ugotovi, da osebni podatki, ki jih je prejel, niso točni ali da so zastareli, o tem brez nepotrebnega odlašanja obvesti izvoznika podatkov. V tem primeru uvoznik podatkov sodeluje z izvoznikom podatkov pri izbrisu ali popravku podatkov.
8.5 Trajanje obdelave ter izbris ali vrnitev podatkov
Uvoznik podatkov obdeluje osebne podatke le tako dolgo, kot je določeno v Prilogi I.B. Po koncu opravljanja storitev obdelave uvoznik podatkov v skladu z odločitvijo izvoznika podatkov bodisi izbriše vse osebne podatke, ki so bili obdelani v imenu izvoznika podatkov, ter mu potrdi, da je to storil, bodisi izvozniku podatkov vrne vse osebne podatke, obdelane v njegovem imenu, in izbriše obstoječe kopije. Dokler se podatki ne izbrišejo ali vrnejo, uvoznik podatkov še naprej zagotavlja skladnost s temi določili. Če se za uvoznika podatkov uporabljajo lokalni zakoni, ki prepovedujejo vračanje ali izbris osebnih podatkov, uvoznik podatkov jamči, da bo še naprej zagotavljal skladnost s temi določili in bo zadevne podatke obdeloval le v obsegu in tako dolgo, kot se zahteva v skladu z navedeno lokalno zakonodajo. To ne posega v določilo 14, zlasti v zahtevo, da mora uvoznik podatkov v skladu z določilom 14(e) obvestiti izvoznika podatkov, če ima kadar koli v času trajanja pogodbe razlog za domnevo, da zanj veljajo ali so začeli veljati zakoni ali prakse, ki niso v skladu z zahtevami iz določila 14(a).
8.6 Varnost obdelave
(a) |
Uvoznik podatkov, in med prenosom tudi izvoznik podatkov, izvedeta ustrezne tehnične in organizacijske ukrepe za zagotovitev varnosti podatkov, vključno z zaščito pred kršitvijo varnosti, ki bi povzročila naključno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do zadevnih podatkov (v nadaljnjem besedilu: kršitev varnosti osebnih podatkov). Pri določanju ustrezne ravni varnosti pogodbenice ustrezno upoštevajo najnovejši tehnološki razvoj, stroške izvajanja ter naravo, obseg, okoliščine in namen ali namene obdelave ter z obdelavo povezana tveganja za posameznike, na katere se nanašajo osebni podatki. Pogodbenice zlasti preučijo možnost uporabe šifriranja ali psevdonimizacije, tudi med prenosom, kadar je namen obdelave mogoče izpolniti na ta način. V primeru psevdonimizacije ostanejo dodatne informacije za pripisovanje osebnih podatkov določenemu posamezniku, na katerega se nanašajo osebni podatki, po možnosti pod izključnim nadzorom izvoznika podatkov. Uvoznik podatkov za izpolnitev svojih obveznosti v skladu s tem odstavkom izvede vsaj tehnične in organizacijske ukrepe iz Priloge II. Uvoznik podatkov z rednimi pregledi zagotovi, da ti ukrepi še naprej zagotavljajo ustrezno raven varnosti. |
(b) |
Uvoznik podatkov članom svojega osebja odobri dostop do osebnih podatkov zgolj v obsegu, ki je nujno potreben za izvajanje, upravljanje in spremljanje pogodbe. Zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon. |
(c) |
V primeru kršitve varnosti osebnih podatkov v zvezi z osebnimi podatki, ki jih na podlagi teh določil obdeluje uvoznik podatkov, ta sprejme ustrezne ukrepe za odpravo kršitve, vključno z ukrepi za ublažitev škodljivih učinkov kršitve. Uvoznik podatkov po seznanitvi s kršitvijo brez nepotrebnega odlašanja obvesti tudi izvoznika podatkov. Takšno obvestilo vsebuje podatke o kontaktni točki, pri kateri je mogoče dobiti več informacij, opis narave kršitve (po možnosti vključno s kategorijami in približnim številom zadevnih posameznikov, na katere se nanašajo osebni podatki, ter evidenc osebnih podatkov), njene verjetne posledice ter sprejete ali predlagane ukrepe za odpravo kršitve, po potrebi vključno z ukrepi za ublažitev morebitnih škodljivih učinkov kršitve. Kadar in kolikor vseh informacij ni mogoče zagotoviti hkrati, začetno obvestilo vsebuje informacije, ki so takrat na voljo, nadaljnje informacije pa se takoj, ko so na voljo, predložijo brez nepotrebnega odlašanja. |
(d) |
Uvoznik podatkov sodeluje z izvoznikom podatkov in mu pomaga izpolniti obveznosti iz Uredbe (EU) 2016/679, zlasti da obvesti pristojni nadzorni organ in prizadete posameznike, na katere se nanašajo osebni podatki, pri čemer se upoštevajo narava obdelave in informacije, ki so na voljo uvozniku podatkov. |
8.7 Občutljivi podatki
Če prenos vključuje osebne podatke, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, genske podatke ali biometrične podatke za namene edinstvene identifikacije posameznika, podatke v zvezi z zdravjem ali spolnim življenjem ali spolno usmerjenostjo posameznika ali podatke v zvezi s kazenskimi obsodbami in kaznivimi dejanji (v nadaljnjem besedilu: občutljivi podatki), uvoznik podatkov uporabi posebne omejitve in/ali dodatne zaščitne ukrepe, opisane v Prilogi I.B.
8.8 Nadaljnji prenosi
Uvoznik podatkov razkrije osebne podatke tretji osebi samo v skladu z dokumentiranimi navodili izvoznika podatkov. Poleg tega se lahko podatki razkrijejo tretji osebi, ki se nahaja zunaj Evropske unije (4) (v isti državi kot uvoznik podatkov ali v drugi tretji državi, v nadaljnjem besedilu: nadaljnji prenos), samo če so za to tretjo osebo v skladu z ustreznim modulom ta določila zavezujoča oziroma se tretja oseba strinja, da bodo zavezujoča, ali če:
(i) |
gre za nadaljnji prenos v državo, v zvezi s katero je bil v skladu s členom 45 Uredbe (EU) 2016/679 sprejet sklep o ustreznosti, ki zajema nadaljnji prenos; |
(ii) |
tretja oseba kako drugače zagotovi ustrezne zaščitne ukrepe v skladu s členom 46 ali 47 Uredbe (EU) 2016/679 v zvezi z zadevno obdelavo; |
(iii) |
je nadaljnji prenos potreben za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov v okviru posebnih upravnih, regulativnih ali sodnih postopkov ali |
(iv) |
je nadaljnji prenos potreben za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe. |
Za vsak nadaljnji prenos mora uvoznik podatkov spoštovati tudi vse druge zaščitne ukrepe iz teh določil, zlasti omejitev namena.
8.9 Dokumentacija in skladnost
(a) |
Uvoznik podatkov nemudoma in ustrezno obravnava poizvedbe izvoznika podatkov, ki se nanašajo na obdelavo na podlagi teh določil. |
(b) |
Pogodbenice so sposobne dokazati skladnost s temi določili. Uvoznik podatkov hrani zlasti ustrezno dokumentacijo o dejavnostih obdelave, ki se izvajajo v imenu izvoznika podatkov. |
(c) |
Uvoznik podatkov da izvozniku podatkov na voljo vse informacije, ki so potrebne za dokazovanje izpolnjevanja obveznosti iz teh določil, ter na zahtevo izvoznika podatkov omogoči revizije dejavnosti obdelave, zajetih s temi določili, in k njim prispeva v razumnih časovnih presledkih ali če obstajajo znaki neskladnosti. Izvoznik podatkov lahko pri odločanju za pregled ali revizijo upošteva ustrezne certifikate uvoznika podatkov. |
(d) |
Izvoznik podatkov se lahko odloči, da bo revizijo izvedel sam ali da bo za to pooblastil neodvisnega revizorja. Revizije lahko vključujejo inšpekcijske preglede v prostorih ali fizičnih objektih uvoznika podatkov in se po potrebi izvedejo v razumnem roku od obvestila o njih. |
(e) |
Pogodbenice pristojnemu nadzornemu organu na zahtevo omogočijo dostop do informacij iz odstavkov (b) in (c), vključno z rezultati revizij. |
MODUL TRI: Prenos od obdelovalca obdelovalcu
8.1 Navodila
(a) |
Izvoznik podatkov je obvestil uvoznika podatkov, da deluje kot obdelovalec po navodilih svojega upravljavca ali upravljavcev, uvozniku podatkov pa da ta navodila na voljo pred obdelavo. |
(b) |
Uvoznik podatkov obdeluje osebne podatke samo v skladu z dokumentiranimi navodili upravljavca, kot mu jih je sporočil izvoznik podatkov, in v skladu z morebitnimi dodatnimi dokumentiranimi navodili izvoznika podatkov. Takšna dodatna navodila ne smejo biti v nasprotju z navodili upravljavca. Upravljavec ali izvoznik podatkov lahko dasta nadaljnja dokumentirana navodila glede obdelave podatkov kadar koli v času trajanja pogodbe. |
(c) |
Uvoznik podatkov nemudoma obvesti izvoznika podatkov, če ne more upoštevati njegovih navodil. Kadar uvoznik podatkov ne more upoštevati navodil upravljavca, izvoznik podatkov o tem nemudoma obvesti upravljavca. |
(d) |
Izvoznik podatkov jamči, da je uvozniku podatkov naložil enake obveznosti glede varstva podatkov, kot so določene v pogodbi ali drugem pravnem aktu na podlagi prava Unije ali države članice med upravljavcem in izvoznikom podatkov (5). |
8.2 Omejitev namena
Uvoznik podatkov obdeluje osebne podatke samo za posebne namene prenosa, kot je določeno v Prilogi I.B, razen če mu izvoznik podatkov posreduje nadaljnja navodila, ki izvirajo od njega ali od upravljavca.
8.3 Preglednost
Če posameznik, na katerega se nanašajo osebni podatki, tako zahteva, mu da izvoznik podatkov brezplačno na voljo kopijo teh določil, vključno z Dodatkom, kot so ga izpolnile pogodbenice. Kolikor je to potrebno za varovanje poslovnih skrivnosti ali drugih zaupnih informacij, vključno z osebnimi podatki, lahko izvoznik podatkov pred posredovanjem kopije zakrije občutljive in zaupne dele besedila Dodatka, vendar zagotovi smiseln povzetek, če posameznik, na katerega se nanašajo osebni podatki, drugače ne bi mogel razumeti njegove vsebine ali uveljavljati svojih pravic. Pogodbenice posameznika, na katerega se nanašajo osebni podatki, na njegovo zahtevo obvestijo o razlogih za zakritje delov besedila v obsegu, v katerem to lahko storijo, ne da bi razkrile zadevne informacije.
8.4 Točnost
Če uvoznik podatkov ugotovi, da osebni podatki, ki jih je prejel, niso točni ali da so zastareli, o tem brez nepotrebnega odlašanja obvesti izvoznika podatkov. V tem primeru uvoznik podatkov sodeluje z izvoznikom podatkov pri popravku ali izbrisu podatkov.
8.5 Trajanje obdelave ter izbris ali vrnitev podatkov
Uvoznik podatkov obdeluje osebne podatke le v obdobju, določenem v Prilogi I.B. Po koncu opravljanja storitev obdelave uvoznik podatkov v skladu z odločitvijo izvoznika podatkov bodisi izbriše vse osebne podatke, ki so bili obdelani v imenu upravljavca, in izvozniku podatkov potrdi, da je to storil, bodisi izvozniku podatkov vrne vse osebne podatke, obdelane v njegovem imenu, in izbriše obstoječe kopije. Dokler se podatki ne izbrišejo ali vrnejo, uvoznik podatkov še naprej zagotavlja skladnost s temi določili. Če se za uvoznika podatkov uporabljajo lokalni zakoni, ki prepovedujejo vračanje ali izbris osebnih podatkov, uvoznik podatkov jamči, da bo še naprej zagotavljal skladnost s temi določili in bo zadevne podatke obdeloval le v obsegu in tako dolgo, kot se zahteva v skladu z navedeno lokalno zakonodajo. To ne posega v določilo 14, zlasti v zahtevo, da mora uvoznik podatkov v skladu z določilom 14(e) obvestiti izvoznika podatkov, če ima kadar koli v času trajanja pogodbe razlog za domnevo, da zanj veljajo ali so začeli veljati zakoni ali prakse, ki niso v skladu z zahtevami iz določila 14(a).
8.6 Varnost obdelave
(a) |
Uvoznik podatkov, in med prenosom tudi izvoznik podatkov, izvedeta ustrezne tehnične in organizacijske ukrepe za zagotovitev varnosti podatkov, vključno z zaščito pred kršitvijo varnosti, ki bi povzročila naključno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do zadevnih podatkov (v nadaljnjem besedilu: kršitev varnosti osebnih podatkov). Pri določanju ustrezne ravni varnosti ustrezno upoštevata najnovejši tehnološki razvoj, stroške izvajanja ter naravo, obseg, okoliščine in namen ali namene obdelave ter z obdelavo povezana tveganja za posameznike, na katere se nanašajo osebni podatki. Pogodbenice zlasti preučijo možnost uporabe šifriranja ali psevdonimizacije, tudi med prenosom, kadar je namen obdelave mogoče izpolniti na ta način. V primeru psevdonimizacije ostanejo dodatne informacije za pripisovanje osebnih podatkov določenemu posamezniku, na katerega se nanašajo osebni podatki, po možnosti pod izključnim nadzorom izvoznika podatkov ali upravljavca. Uvoznik podatkov za izpolnitev svojih obveznosti v skladu s tem odstavkom izvede vsaj tehnične in organizacijske ukrepe iz Priloge II. Uvoznik podatkov z rednimi pregledi zagotovi, da ti ukrepi še naprej zagotavljajo ustrezno raven varnosti. |
(b) |
Uvoznik podatkov članom svojega osebja odobri dostop do podatkov zgolj v obsegu, ki je nujno potreben za izvajanje, upravljanje in spremljanje pogodbe. Zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon. |
(c) |
V primeru kršitve varnosti osebnih podatkov v zvezi z osebnimi podatki, ki jih na podlagi teh določil obdeluje uvoznik podatkov, ta sprejme ustrezne ukrepe za odpravo kršitve, vključno z ukrepi za ublažitev škodljivih učinkov kršitve. Uvoznik podatkov po seznanitvi s kršitvijo brez nepotrebnega odlašanja obvesti tudi izvoznika podatkov ter, kadar je to primerno in izvedljivo, upravljavca. Takšno obvestilo vsebuje podatke o kontaktni točki, pri kateri je mogoče dobiti več informacij, opis narave kršitve (po možnosti vključno s kategorijami in približnim številom zadevnih posameznikov, na katere se nanašajo osebni podatki, ter evidenc osebnih podatkov), njene verjetne posledice ter sprejete ali predlagane ukrepe za odpravo kršitve varnosti podatkov, vključno z ukrepi za ublažitev morebitnih škodljivih učinkov kršitve. Kadar in kolikor vseh informacij ni mogoče zagotoviti hkrati, začetno obvestilo vsebuje informacije, ki so takrat na voljo, nadaljnje informacije pa se takoj, ko so na voljo, predložijo brez nepotrebnega odlašanja. |
(d) |
Uvoznik podatkov sodeluje z izvoznikom podatkov in mu pomaga izpolniti obveznosti iz Uredbe (EU) 2016/679, zlasti da obvesti svojega upravljavca, da lahko ta nato obvesti pristojni nadzorni organ in prizadete posameznike, na katere se nanašajo osebni podatki, pri čemer se upoštevajo narava obdelave in informacije, ki so na voljo uvozniku podatkov. |
8.7 Občutljivi podatki
Če prenos vključuje osebne podatke, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, genske podatke ali biometrične podatke za namene edinstvene identifikacije posameznika, podatke v zvezi z zdravjem ali spolnim življenjem ali spolno usmerjenostjo posameznika ali podatke v zvezi s kazenskimi obsodbami in kaznivimi dejanji (v nadaljnjem besedilu: občutljivi podatki), uvoznik podatkov uporabi posebne omejitve in/ali dodatne zaščitne ukrepe, opisane v Prilogi I.B.
8.8 Nadaljnji prenosi
Uvoznik podatkov razkrije osebne podatke tretji osebi samo v skladu z dokumentiranimi navodili upravljavca, kot mu jih je sporočil izvoznik podatkov. Poleg tega se lahko podatki razkrijejo tretji osebi, ki se nahaja zunaj Evropske unije (6) (v isti državi kot uvoznik podatkov ali v drugi tretji državi, v nadaljnjem besedilu: nadaljnji prenos), samo če so za to tretjo osebo v skladu z ustreznim modulom ta določila zavezujoča oziroma se tretja oseba strinja, da bodo zavezujoča, ali če:
(i) |
gre za nadaljnji prenos v državo, v zvezi s katero je bil v skladu s členom 45 Uredbe (EU) 2016/679 sprejet sklep o ustreznosti, ki zajema nadaljnji prenos; |
(ii) |
tretja oseba kako drugače zagotovi ustrezne zaščitne ukrepe v skladu s členom 46 ali 47 Uredbe (EU) 2016/679; |
(iii) |
je nadaljnji prenos potreben za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov v okviru posebnih upravnih, regulativnih ali sodnih postopkov ali |
(iv) |
je nadaljnji prenos potreben za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe. |
Za vsak nadaljnji prenos mora uvoznik podatkov spoštovati tudi vse druge zaščitne ukrepe iz teh določil, zlasti omejitev namena.
8.9 Dokumentacija in skladnost
(a) |
Uvoznik podatkov nemudoma in ustrezno obravnava poizvedbe izvoznika podatkov ali upravljavca, ki se nanašajo na obdelavo na podlagi teh določil. |
(b) |
Pogodbenice so sposobne dokazati skladnost s temi določili. Uvoznik podatkov hrani zlasti ustrezno dokumentacijo o dejavnostih obdelave, ki se izvajajo v imenu upravljavca. |
(c) |
Uvoznik podatkov da vse informacije, ki so potrebne za dokazovanje izpolnjevanja obveznosti iz teh določil, na voljo izvozniku podatkov, ki jih zagotovi upravljavcu. |
(d) |
Uvoznik podatkov omogoči izvozniku podatkov izvedbo revizij dejavnosti obdelave, zajetih s temi določili, in k njim prispeva v razumnih časovnih presledkih ali če obstajajo znaki neskladnosti. Enako velja, kadar izvoznik podatkov zahteva revizijo po navodilih upravljavca. Izvoznik podatkov lahko pri odločanju za revizijo upošteva ustrezne certifikate uvoznika podatkov. |
(e) |
Kadar se revizija opravi po navodilih upravljavca, mu da izvoznik podatkov na voljo rezultate revizije. |
(f) |
Izvoznik podatkov se lahko odloči, da bo revizijo izvedel sam ali da bo za to pooblastil neodvisnega revizorja. Revizije lahko vključujejo inšpekcijske preglede v prostorih ali fizičnih objektih uvoznika podatkov in se po potrebi izvedejo v razumnem roku od obvestila o njih. |
(g) |
Pogodbenice pristojnemu nadzornemu organu na zahtevo omogočijo dostop do informacij iz odstavkov (b) in (c), vključno z rezultati revizij. |
MODUL ŠTIRI: Prenos od obdelovalca upravljavcu
8.1 Navodila
(a) |
Izvoznik podatkov obdeluje osebne podatke samo v skladu z dokumentiranimi navodili uvoznika podatkov, ki deluje kot njegov upravljavec. |
(b) |
Izvoznik podatkov nemudoma obvesti uvoznika podatkov, če ne more upoštevati teh navodil, med drugim kadar takšna navodila kršijo Uredbo (EU) 2016/679 ali drugo zakonodajo Unije ali države članice o varstvu podatkov. |
(c) |
Uvoznik podatkov se vzdrži vseh dejanj, ki bi izvozniku podatkov preprečila izpolnjevanje obveznosti iz Uredbe (EU) 2016/679, tudi v kontekstu podobdelave ali glede sodelovanja s pristojnimi nadzornimi organi. |
(d) |
Po koncu opravljanja storitev obdelave izvoznik podatkov v skladu z odločitvijo uvoznika podatkov bodisi izbriše vse osebne podatke, ki so bili obdelani v imenu uvoznika podatkov, in mu potrdi, da je to storil, bodisi uvozniku podatkov vrne vse osebne podatke, obdelane v njegovem imenu, in izbriše obstoječe kopije. |
8.2 Varnost obdelave
(a) |
Pogodbenice izvedejo ustrezne tehnične in organizacijske ukrepe za zagotovitev varnosti podatkov, tudi med prenosom, in zaščite pred kršitvijo varnosti, ki bi povzročila naključno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop (v nadaljnjem besedilu: kršitev varnosti osebnih podatkov). Pri določanju ustrezne ravni varnosti ustrezno upoštevajo najnovejši tehnološki razvoj, stroške izvajanja, naravo osebnih podatkov (7), naravo, obseg, okoliščine in namen ali namene obdelave ter z obdelavo povezana tveganja za posameznike, na katere se nanašajo osebni podatki, zlasti pa preučijo možnost uporabe šifriranja ali psevdonimizacije, tudi med prenosom, kadar je namen obdelave mogoče izpolniti na ta način. |
(b) |
Izvoznik podatkov pomaga uvozniku podatkov zagotoviti ustrezno varnost podatkov v skladu z odstavkom (a). Če je kršena varnost osebnih podatkov v zvezi z osebnimi podatki, ki jih izvoznik podatkov obdeluje na podlagi teh določil, izvoznik podatkov po seznanitvi s kršitvijo brez nepotrebnega odlašanja obvesti uvoznika podatkov in mu pomaga pri obravnavanju kršitve. |
(c) |
Izvoznik podatkov zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon. |
8.3 Dokumentacija in skladnost
(a) |
Pogodbenice so sposobne dokazati skladnost s temi določili. |
(b) |
Izvoznik podatkov da uvozniku podatkov na voljo vse informacije, ki so potrebne za dokazovanje izpolnjevanja obveznosti na podlagi teh določil, ter omogoči revizije in k njim prispeva. |
Določilo 9
Uporaba podobdelovalcev
MODUL DVA: Prenos od upravljavca obdelovalcu
(a) |
MOŽNOST 1: POSEBNO PREDHODNO DOVOLJENJE Uvoznik podatkov nobenih dejavnosti obdelave, ki jih v imenu izvoznika podatkov izvaja na podlagi teh določil, ne odda v izvajanje podobdelovalcu brez predhodnega posebnega pisnega dovoljenja izvoznika podatkov. Uvoznik podatkov predloži zahtevo za posebno dovoljenje vsaj [določite časovno obdobje] pred zaposlitvijo zadevnega podobdelovalca ter priloži informacije, ki jih izvoznik podatkov potrebuje, da lahko odloči o dovoljenju. Podobdelovalci, ki jih je izvoznik podatkov že odobril, so navedeni na seznamu v Prilogi III. Pogodbenice redno posodabljajo Prilogo III. MOŽNOST 2: SPLOŠNO PISNO DOVOLJENJE Uvoznik podatkov ima splošno dovoljenje izvoznika podatkov za zaposlitev podobdelovalcev z dogovorjenega seznama. Uvoznik podatkov izrecno pisno obvesti izvoznika podatkov o vseh nameravanih spremembah tega seznama z dodajanjem ali zamenjavo podobdelovalcev vsaj [določite časovno obdobje] vnaprej, s čimer izvozniku podatkov zagotovi dovolj časa, da lahko ugovarja takšnim spremembam še pred zaposlitvijo zadevnega podobdelovalca ali podobdelovalcev. Uvoznik podatkov zagotovi izvozniku podatkov informacije, ki jih ta potrebuje za uveljavljanje pravice do ugovora. |
(b) |
Kadar uvoznik podatkov zaposli podobdelovalca za izvajanje posebnih dejavnosti obdelave (v imenu izvoznika podatkov), to stori s pisno pogodbo, ki vsebinsko določa enake obveznosti glede varstva podatkov, kot so tiste, ki zavezujejo uvoznika podatkov na podlagi teh določil, tudi v smislu pravic upravičenih tretjih oseb za posameznike, na katere se nanašajo osebni podatki (8). Pogodbenice se strinjajo, da uvoznik podatkov s spoštovanjem tega določila izpolnjuje svoje obveznosti iz določila 8.8. Uvoznik podatkov zagotovi, da podobdelovalec izpolnjuje obveznosti, ki v skladu s temi določili veljajo za uvoznika podatkov. |
(c) |
Uvoznik podatkov zagotovi izvozniku podatkov na njegovo zahtevo kopijo take pogodbe s podobdelovalcem in vseh njenih naknadnih sprememb. Kolikor je to potrebno za varovanje poslovnih skrivnosti ali drugih zaupnih informacij, vključno z osebnimi podatki, lahko uvoznik podatkov pred posredovanjem kopije zakrije občutljive in zaupne dele pogodbe. |
(d) |
Uvoznik podatkov ostane v celoti odgovoren izvozniku podatkov za izpolnjevanje obveznosti, ki jih ima podobdelovalec na podlagi pogodbe z uvoznikom podatkov. Uvoznik podatkov obvesti izvoznika podatkov o kakršnem koli neizpolnjevanju obveznosti podobdelovalca na podlagi navedene pogodbe. |
(e) |
Uvoznik podatkov se s podobdelovalcem dogovori o klavzuli v korist tretjega, v skladu s katero ima izvoznik podatkov, če uvoznik podatkov dejansko izgine, pravno preneha obstajati ali postane insolventen, pravico, da odpove pogodbo s podobdelovalcem in podobdelovalcu naroči, naj osebne podatke izbriše ali vrne. |
MODUL TRI: Prenos od obdelovalca obdelovalcu
(a) |
MOŽNOST 1: POSEBNO PREDHODNO DOVOLJENJE Uvoznik podatkov nobenih dejavnosti obdelave, ki jih v imenu izvoznika podatkov izvaja na podlagi teh določil, ne odda v izvajanje podobdelovalcu brez predhodnega posebnega pisnega dovoljenja upravljavca. Uvoznik podatkov predloži zahtevo za posebno dovoljenje vsaj [določite časovno obdobje] pred zaposlitvijo zadevnega podobdelovalca ter priloži informacije, ki jih upravljavec potrebuje, da lahko odloči o dovoljenju. O taki zaposlitvi obvesti izvoznika podatkov. Podobdelovalci, ki jih je upravljavec že odobril, so navedeni na seznamu v Prilogi III. Pogodbenice redno posodabljajo Prilogo III. MOŽNOST 2: SPLOŠNO PISNO DOVOLJENJE Uvoznik podatkov ima splošno dovoljenje upravljavca za zaposlitev podobdelovalcev z dogovorjenega seznama. Uvoznik podatkov izrecno pisno obvesti upravljavca o vseh nameravanih spremembah tega seznama z dodajanjem ali zamenjavo podobdelovalcev vsaj [določite časovno obdobje] vnaprej, s čimer upravljavcu zagotovi dovolj časa, da lahko ugovarja takšnim spremembam še pred zaposlitvijo zadevnega podobdelovalca ali podobdelovalcev. Uvoznik podatkov zagotovi upravljavcu informacije, ki jih ta potrebuje za uveljavljanje pravice do ugovora. Uvoznik podatkov obvesti izvoznika podatkov o zaposlitvi zadevnega podobdelovalca ali podobdelovalcev. |
(b) |
Kadar uvoznik podatkov zaposli podobdelovalca za izvajanje posebnih dejavnosti obdelave (v imenu upravljavca), to stori s pisno pogodbo, ki vsebinsko določa enake obveznosti glede varstva podatkov, kot so tiste, ki zavezujejo uvoznika podatkov na podlagi teh določil, tudi v smislu pravic upravičenih tretjih oseb za posameznike, na katere se nanašajo osebni podatki (9). Pogodbenice se strinjajo, da uvoznik podatkov s spoštovanjem tega določila izpolnjuje svoje obveznosti iz določila 8.8. Uvoznik podatkov zagotovi, da podobdelovalec izpolnjuje obveznosti, ki v skladu s temi določili veljajo za uvoznika podatkov. |
(c) |
Uvoznik podatkov zagotovi izvozniku podatkov ali upravljavcu na njuno zahtevo kopijo take pogodbe s podobdelovalcem in vseh njenih naknadnih sprememb. Kolikor je to potrebno za varovanje poslovnih skrivnosti ali drugih zaupnih informacij, vključno z osebnimi podatki, lahko uvoznik podatkov pred posredovanjem kopije zakrije občutljive in zaupne dele pogodbe. |
(d) |
Uvoznik podatkov ostane v celoti odgovoren izvozniku podatkov za izpolnjevanje obveznosti, ki jih ima podobdelovalec na podlagi pogodbe z uvoznikom podatkov. Uvoznik podatkov obvesti izvoznika podatkov o kakršnem koli neizpolnjevanju obveznosti podobdelovalca na podlagi navedene pogodbe. |
(e) |
Uvoznik podatkov se s podobdelovalcem dogovori o klavzuli v korist tretjega, v skladu s katero ima izvoznik podatkov, če uvoznik podatkov dejansko izgine, pravno preneha obstajati ali postane insolventen, pravico, da odpove pogodbo s podobdelovalcem in podobdelovalcu naroči, naj osebne podatke izbriše ali vrne. |
Določilo 10
Pravice posameznikov, na katere se nanašajo osebni podatki
MODUL ENA: Prenos od upravljavca upravljavcu
(a) |
Uvoznik podatkov, po potrebi s pomočjo izvoznika podatkov, obravnava vse poizvedbe in zahteve, ki jih prejme od posameznika, na katerega se nanašajo osebni podatki, v zvezi z obdelavo njegovih osebnih podatkov in uveljavljanjem njegovih pravic na podlagi teh določil, brez nepotrebnega odlašanja in najpozneje v enem mesecu od prejema poizvedbe ali zahteve (10). Uvoznik podatkov sprejme ustrezne ukrepe za olajšanje takšnih poizvedb in zahtev ter uveljavljanja pravic posameznika, na katerega se nanašajo osebni podatki. Vse informacije, ki se zagotovijo posamezniku, na katerega se nanašajo osebni podatki, so v razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku. |
(b) |
Uvoznik podatkov posamezniku, na katerega se nanašajo osebni podatki, na njegovo zahtevo zlasti brezplačno:
|
(c) |
Kadar uvoznik podatkov obdeluje osebne podatke za namene neposrednega trženja, preneha obdelavo v take namene, če posameznik, na katerega se nanašajo osebni podatki, temu nasprotuje. |
(d) |
Uvoznik podatkov ne sprejme odločitve, ki bi temeljila izključno na avtomatizirani obdelavi prenesenih osebnih podatkov (v nadaljnjem besedilu: avtomatizirana odločitev) in bi imela pravne učinke za posameznika, na katerega se nanašajo osebni podatki, ali bi nanj podobno pomembno vplivala, razen če je pridobil izrecno privolitev posameznika, na katerega se nanašajo osebni podatki, ali če je za to pooblaščen v skladu z zakoni namembne države, pod pogojem, da taki zakoni določajo ustrezne ukrepe za zaščito pravic in zakonitih interesov posameznika, na katerega se nanašajo osebni podatki. V tem primeru uvoznik podatkov po potrebi v sodelovanju z izvoznikom podatkov:
|
(e) |
Kadar so zahteve posameznika, na katerega se nanašajo osebni podatki, pretirane, zlasti ker se ponavljajo, lahko uvoznik podatkov zaračuna razumno pristojbino, pri čemer upošteva upravne stroške ugoditve zahtevi, ali zavrne ukrepanje v zvezi z zahtevo. |
(f) |
Uvoznik podatkov lahko zavrne zahtevo posameznika, na katerega se nanašajo osebni podatki, če je taka zavrnitev dovoljena v skladu z zakoni namembne države ter je potrebna in sorazmerna v demokratični družbi za zaščito enega od ciljev iz člena 23(1) Uredbe (EU) 2016/679. |
(g) |
Če namerava uvoznik podatkov zavrniti zahtevo posameznika, na katerega se nanašajo osebni podatki, ga obvesti o razlogih za zavrnitev ter o možnosti vložitve pritožbe pri pristojnem nadzornem organu in/ali uveljavljanja sodnega varstva. |
MODUL DVA: Prenos od upravljavca obdelovalcu
(a) |
Uvoznik podatkov nemudoma obvesti izvoznika podatkov o vsaki zahtevi, ki jo prejme od posameznika, na katerega se nanašajo osebni podatki. Na to zahtevo sam ne odgovori, razen če ga je za to pooblastil izvoznik podatkov. |
(b) |
Uvoznik podatkov pomaga izvozniku podatkov izpolniti njegove obveznosti, da odgovori na zahteve posameznikov, na katere se nanašajo osebni podatki, za uveljavljanje njihovih pravic v skladu z Uredbo (EU) 2016/679. V zvezi s tem pogodbenice v Prilogi II ob upoštevanju narave obdelave določijo ustrezne tehnične in organizacijske ukrepe, s katerimi se zagotovi pomoč, ter področje in obseg potrebne pomoči. |
(c) |
Uvoznik podatkov pri izpolnjevanju svojih obveznosti iz odstavkov (a) in (b) ravna v skladu z navodili izvoznika podatkov. |
MODUL TRI: Prenos od obdelovalca obdelovalcu
(a) |
Uvoznik podatkov nemudoma obvesti izvoznika podatkov in po potrebi upravljavca o vsaki zahtevi, ki jo prejme od posameznika, na katerega se nanašajo osebni podatki, ne da bi odgovoril na to zahtevo, razen če ga je za to pooblastil upravljavec. |
(b) |
Uvoznik podatkov po potrebi v sodelovanju z izvoznikom podatkov pomaga upravljavcu izpolniti njegove obveznosti, da odgovori na zahteve posameznikov, na katere se nanašajo osebni podatki, za uveljavljanje njihovih pravic v skladu z Uredbo (EU) 2016/679 oziroma Uredbo (EU) 2018/1725, če se uporablja slednja. V zvezi s tem pogodbenice v Prilogi II ob upoštevanju narave obdelave določijo ustrezne tehnične in organizacijske ukrepe, s katerimi se zagotovi pomoč, ter področje in obseg potrebne pomoči. |
(c) |
Uvoznik podatkov pri izpolnjevanju svojih obveznosti iz odstavkov (a) in (b) ravna v skladu z navodili upravljavca, kot mu jih je sporočil izvoznik podatkov. |
MODUL ŠTIRI: Prenos od obdelovalca upravljavcu
Pogodbenice si pomagajo pri odgovarjanju na poizvedbe in zahteve posameznikov, na katere se nanašajo osebni podatki, v skladu z lokalno zakonodajo, ki se uporablja za uvoznika podatkov, ali – pri postopkih obdelave podatkov, ki jih izvoznik podatkov izvaja v EU, – v skladu z Uredbo (EU) 2016/679.
Določilo 11
Pravna sredstva
(a) |
Uvoznik podatkov v pregledni in lahko dostopni obliki z individualnim obvestilom ali na svojem spletišču obvesti posameznike, na katere se nanašajo osebni podatki, o kontaktni točki, ki je pooblaščena za obravnavo pritožb. Nemudoma obravnava vse pritožbe, ki jih prejme od posameznika, na katerega se nanašajo osebni podatki. [MOŽNOST: Uvoznik podatkov se strinja, da lahko posamezniki, na katere se nanašajo osebni podatki, brezplačno vložijo pritožbo tudi pri neodvisnem organu za reševanje sporov (11). Posameznike, na katere se nanašajo osebni podatki, na način iz odstavka (a) obvesti, da tak mehanizem pravnega varstva obstaja in da ga niso primorani uporabljati ali slediti določenemu zaporedju pri uveljavljanju pravnega varstva.] |
MODUL ENA: Prenos od upravljavca upravljavcu
MODUL DVA: Prenos od upravljavca obdelovalcu
MODUL TRI: Prenos od obdelovalca obdelovalcu
(b) |
Pri sporu med posameznikom, na katerega se nanašajo osebni podatki, in eno od pogodbenic glede skladnosti s temi določili si ta pogodbenica po najboljših močeh prizadeva za pravočasno sporazumno rešitev spora. Pogodbenice se medsebojno obveščajo o takih sporih in po potrebi sodelujejo pri njihovem reševanju. |
(c) |
Kadar se posameznik, na katerega se nanašajo osebni podatki, sklicuje na pravico upravičene tretje osebe v skladu z določilom 3, uvoznik podatkov sprejme odločitev posameznika, na katerega se nanašajo osebni podatki, da:
|
(d) |
Pogodbenice soglašajo, da posameznika, na katerega se nanašajo osebni podatki, lahko zastopa neprofitni organ, organizacija ali združenje pod pogoji iz člena 80(1) Uredbe (EU) 2016/679. |
(e) |
Uvoznik podatkov spoštuje odločitev, ki je zavezujoča v skladu z veljavno zakonodajo EU ali zakonodajo države članice. |
(f) |
Uvoznik podatkov se strinja, da izbira posameznika, na katerega se nanašajo osebni podatki, ne bo posegala v njegove materialne in postopkovne pravice do uveljavljanja pravnih sredstev v skladu z veljavno zakonodajo. |
Določilo 12
Odgovornost
MODUL ENA: Prenos od upravljavca upravljavcu
MODUL ŠTIRI: Prenos od obdelovalca upravljavcu
(a) |
Vsaka pogodbenica odgovarja drugim pogodbenicam za kakršno koli škodo, ki jim jo povzroči s kršitvijo teh določil. |
(b) |
Vsaka pogodbenica je odgovorna posamezniku, na katerega se nanašajo osebni podatki, ta pa je upravičen do nadomestila za vso premoženjsko ali nepremoženjsko škodo, ki mu jo povzroči pogodbenica s tem, da krši pravice upravičenih tretjih oseb na podlagi teh določil. To ne posega v odgovornost izvoznika podatkov na podlagi Uredbe (EU) 2016/679. |
(c) |
Kadar je za škodo, ki je zaradi kršitve teh določil povzročena posamezniku, na katerega se nanašajo osebni podatki, odgovorna več kot ena pogodbenica, so vse odgovorne pogodbenice skupno in solidarno odgovorne, posameznik, na katerega se nanašajo osebni podatki, pa ima pravico, da na sodišču vloži tožbo proti kateri koli od teh pogodbenic. |
(d) |
Pogodbenice se strinjajo, da če je ena od pogodbenic odgovorna v skladu z odstavkom (c), lahko od drugih pogodbenic zahteva povračilo dela nadomestila, ki ustreza odgovornosti teh pogodbenic za škodo. |
(e) |
Uvoznik podatkov se ne more sklicevati na ravnanje obdelovalca ali podobdelovalca, da bi se izognil lastni odgovornosti. |
MODUL DVA: Prenos od upravljavca obdelovalcu
MODUL TRI: Prenos od obdelovalca obdelovalcu
(a) |
Vsaka pogodbenica odgovarja drugim pogodbenicam za kakršno koli škodo, ki jim jo povzroči zaradi kršitve teh določil. |
(b) |
Uvoznik podatkov je odgovoren posamezniku, na katerega se nanašajo osebni podatki, ta pa je upravičen do nadomestila za vso premoženjsko ali nepremoženjsko škodo, ki mu jo povzroči uvoznik podatkov ali njegov podobdelovalec s tem, da krši pravice upravičenih tretjih oseb na podlagi teh določil. |
(c) |
Ne glede na odstavek (b) je izvoznik podatkov odgovoren posamezniku, na katerega se nanašajo osebni podatki, ta pa je upravičen do nadomestila za vso premoženjsko ali nepremoženjsko škodo, ki mu jo povzroči izvoznik podatkov ali uvoznik podatkov (ali njegov podobdelovalec) s tem, da krši pravice upravičenih tretjih oseb na podlagi teh določil. To ne posega v odgovornost izvoznika podatkov in, kadar je izvoznik podatkov obdelovalec, ki deluje v imenu upravljavca, v odgovornost upravljavca v skladu z Uredbo (EU) 2016/679 oziroma Uredbo (EU) 2018/1725, če se uporablja slednja. |
(d) |
Pogodbenice se strinjajo, da če je izvoznik podatkov odgovoren v skladu z odstavkom (c) za škodo, ki jo povzroči uvoznik podatkov (ali njegov podobdelovalec), lahko od uvoznika podatkov zahteva povračilo dela nadomestila, ki ustreza odgovornosti uvoznika podatkov za škodo. |
(e) |
Kadar je za škodo, ki je zaradi kršitve teh določil povzročena posamezniku, na katerega se nanašajo osebni podatki, odgovorna več kot ena pogodbenica, so vse odgovorne pogodbenice skupno in solidarno odgovorne, posameznik, na katerega se nanašajo osebni podatki, pa ima pravico, da na sodišču vloži tožbo proti kateri koli od teh pogodbenic. |
(f) |
Pogodbenice se strinjajo, da če je ena od pogodbenic odgovorna v skladu z odstavkom (e), lahko od drugih pogodbenic zahteva del nadomestila, ki ustreza odgovornosti teh pogodbenic za škodo. |
(g) |
Uvoznik podatkov se ne more sklicevati na ravnanje podobdelovalca, da bi se izognil lastni odgovornosti. |
Določilo 13
Nadzor
MODUL ENA: Prenos od upravljavca upravljavcu
MODUL DVA: Prenos od upravljavca obdelovalcu
MODUL TRI: Prenos od obdelovalca obdelovalcu
(a) |
[Če ima izvoznik podatkov ustanovitev v državi članici EU:] Pristojni nadzorni organ je nadzorni organ, ki je odgovoren za zagotavljanje skladnosti izvoznika podatkov z Uredbo (EU) 2016/679, kar zadeva prenos podatkov, kot je naveden v Prilogi I.C. [Če izvoznik podatkov nima ustanovitve v državi članici EU, vendar spada v ozemeljsko področje uporabe Uredbe (EU) 2016/679 v skladu z njenim členom 3(2) in je imenoval predstavnika v skladu s členom 27(1) Uredbe (EU) 2016/679:] Pristojni nadzorni organ je nadzorni organ države članice, v kateri ima ustanovitev predstavnik v smislu člena 27(1) Uredbe (EU) 2016/679, kot je naveden v Prilogi I.C. [Če izvoznik podatkov nima ustanovitve v državi članici EU, vendar spada v ozemeljsko področje uporabe Uredbe (EU) 2016/679 v skladu z njenim členom 3(2), pri čemer mu ni treba imenovati predstavnika v skladu s členom 27(2) Uredbe (EU) 2016/679:] Pristojni nadzorni organ je nadzorni organ ene od držav članic, v kateri so posamezniki, na katere se nanašajo osebni podatki, ki se prenesejo na podlagi teh določil v zvezi s ponujanjem blaga ali storitev tem posameznikom, ali katerih ravnanje se spremlja, kot je navedeno v Prilogi I.C. |
(b) |
Uvoznik podatkov se strinja, da se bo podvrgel pristojnosti pristojnega nadzornega organa in z njim sodeloval v vseh postopkih, katerih namen je zagotoviti skladnost s temi določili. Uvoznik podatkov se zlasti strinja, da bo odgovoril na poizvedbe, privolil v revizije in ravnal v skladu z ukrepi, ki jih je sprejel nadzorni organ, vključno s popravnimi in izravnalnimi ukrepi. Nadzornemu organu predloži pisno potrdilo, da so bili sprejeti potrebni ukrepi. |
ODDELEK III – LOKALNI ZAKONI IN OBVEZNOSTI V PRIMERU DOSTOPA JAVNIH ORGANOV
Določilo 14
Lokalni zakoni in prakse, ki vplivajo na skladnost z določili
MODUL ENA: Prenos od upravljavca upravljavcu
MODUL DVA: Prenos od upravljavca obdelovalcu
MODUL TRI: Prenos od obdelovalca obdelovalcu
MODUL ŠTIRI: Prenos od obdelovalca upravljavcu (če obdelovalec EU osebne podatke, prejete od upravljavca iz tretje države, združi z osebnimi podatki, ki jih sam zbere v EU)
(a) |
Pogodbenice jamčijo, da nimajo razloga za domnevo, da zakoni in prakse v namembni tretji državi, ki se uporabljajo za obdelavo osebnih podatkov s strani uvoznika podatkov, vključno z morebitnimi zahtevami za razkritje osebnih podatkov ali ukrepi, ki dovoljujejo dostop javnim organom, uvozniku podatkov preprečujejo izpolnjevanje obveznosti iz teh določil. To temelji na razumevanju, da zakoni in prakse, ki spoštujejo bistvo temeljnih pravic in svoboščin ter ne presegajo tistega, kar je v demokratični družbi potrebno in sorazmerno za zaščito enega od ciljev iz člena 23(1) Uredbe (EU) 2016/679, niso v nasprotju s temi določili. |
(b) |
Pogodbenice izjavljajo, da so pri zagotavljanju jamstva iz odstavka (a) ustrezno upoštevale zlasti naslednje elemente:
|
(c) |
Uvoznik podatkov jamči, da si je pri izvajanju ocene iz odstavka (b) po najboljših močeh prizadeval, da bi izvozniku podatkov zagotovil relevantne informacije, in se strinja, da bo še naprej sodeloval z izvoznikom podatkov pri zagotavljanju skladnosti s temi določili. |
(d) |
Pogodbenice soglašajo, da bodo dokumentirale oceno iz odstavka (b) in jo dale na voljo pristojnemu nadzornemu organu na njegovo zahtevo. |
(e) |
Uvoznik podatkov se strinja, da bo nemudoma obvestil izvoznika podatkov, če ima po tem, ko je privolil, da ga ta določila zavezujejo, in v času trajanja pogodbe razlog za domnevo, da zanj veljajo ali so začeli veljati zakoni ali prakse, ki niso v skladu z zahtevami iz odstavka (a), vključno s spremembo zakonov v tretji državi ali ukrepom (kot je zahteva za razkritje), v katerem je navedena uporaba takih zakonov v praksi, ki ni v skladu z zahtevami iz odstavka (a). [Za modul tri: Izvoznik podatkov obvestilo posreduje upravljavcu.] |
(f) |
Po obvestilu v skladu z odstavkom (e) ali če izvoznik podatkov iz drugih razlogov meni, da uvoznik podatkov ne more več izpolnjevati svojih obveznosti na podlagi teh določil, izvoznik podatkov nemudoma opredeli ustrezne ukrepe (kot so na primer tehnični ali organizacijski ukrepi za zagotovitev varnosti in zaupnosti), ki jih mora sprejeti izvoznik podatkov in/ali uvoznik podatkov za obravnavo situacije [za modul tri: po potrebi v posvetovanju z upravljavcem]. Izvoznik podatkov ustavi prenos podatkov, če meni, da ni mogoče zagotoviti ustreznih zaščitnih ukrepov za tak prenos, ali če mu je tako naročil [za modul tri: upravljavec ali] pristojni nadzorni organ. V tem primeru lahko izvoznik podatkov odpove pogodbo, če ta zadeva obdelavo osebnih podatkov na podlagi teh določil. Če pogodba vključuje več kot dve pogodbenici, lahko izvoznik podatkov uveljavlja to pravico do odpovedi le v zvezi z zadevno pogodbenico, razen če so se pogodbenice dogovorile drugače. Če je pogodba odpovedana v skladu s tem določilom, se uporabi določilo 16(d) in (e). |
Določilo 15
Obveznosti uvoznika podatkov v primeru dostopa javnih organov
MODUL ENA: Prenos od upravljavca upravljavcu
MODUL DVA: Prenos od upravljavca obdelovalcu
MODUL TRI: Prenos od obdelovalca obdelovalcu
MODUL ŠTIRI: Prenos od obdelovalca upravljavcu (če obdelovalec EU osebne podatke, prejete od upravljavca iz tretje države, združi z osebnimi podatki, ki jih sam zbere v EU)
15.1 Obvestilo
(a) |
Uvoznik podatkov se strinja, da bo nemudoma obvestil izvoznika podatkov in po možnosti posameznika, na katerega se nanašajo osebni podatki (po potrebi s pomočjo izvoznika podatkov), če:
[Za modul tri: Izvoznik podatkov obvestilo posreduje upravljavcu.] |
(b) |
Če uvoznik podatkov v skladu z zakonodajo namembne države ne sme obvestiti izvoznika podatkov in/ali posameznika, na katerega se nanašajo osebni podatki, se uvoznik podatkov strinja, da si bo po najboljših močeh prizadeval pridobiti opustitev prepovedi, da bi posredoval čim več informacij in čim prej. Uvoznik podatkov se strinja, da bo dokumentiral svoja prizadevanja, da jih bo lahko dokazal na zahtevo izvoznika podatkov. |
(c) |
Kadar to dovoljujejo zakoni namembne države, se uvoznik podatkov strinja, da bo izvozniku podatkov v rednih časovnih presledkih v času trajanja pogodbe zagotovil čim več ustreznih informacij o prejetih zahtevah (zlasti o številu zahtev, vrsti zahtevanih podatkov, organih prosilcih, o tem, ali so bili zahtevki izpodbijani, in o izidu takih izpodbijanj itd.). [Za modul tri: Izvoznik podatkov informacije posreduje upravljavcu.] |
(d) |
Uvoznik podatkov se strinja, da bo informacije v skladu z odstavki (a) do (c) hranil za čas trajanja pogodbe in jih dal na voljo pristojnemu nadzornemu organu, če bo ta tako zahteval. |
(e) |
Odstavki (a) do (c) ne posegajo v obveznost uvoznika podatkov v skladu z določilom 14(e) in določilom 16, da nemudoma obvesti izvoznika podatkov, kadar teh določil ne more spoštovati. |
15.2 Pregled zakonitosti in najmanjši obseg podatkov
(a) |
Uvoznik podatkov se strinja, da bo pregledal zakonitost zahteve za razkritje, zlasti, ali zahteva ostaja v okviru pooblastil, ki jih ima javni organ prosilec, in da jo bo izpodbijal, če bo po skrbni oceni ugotovil obstoj utemeljenih razlogov za domnevo, da je zahteva nezakonita v skladu z zakoni namembne države, veljavnimi obveznostmi po mednarodnem pravu in načeli mednarodne pravne kurtoazije. Uvoznik podatkov si pod enakimi pogoji prizadeva za možnost pritožbe. Pri izpodbijanju zahteve uvoznik podatkov zahteva začasne ukrepe za začasno prekinitev učinkov zahteve, dokler pristojni sodni organ ne odloči o vsebini. Zahtevanih osebnih podatkov ne razkrije, dokler ni k temu primoran v skladu z veljavnimi postopkovnimi pravili. Te zahteve ne posegajo v obveznosti uvoznika podatkov na podlagi določila 14(e). |
(b) |
Uvoznik podatkov se strinja, da bo dokumentiral svojo pravno oceno in kakršno koli izpodbijanje zahteve za razkritje ter v obsegu, ki ga dovoljujejo zakoni namembne države, dokumentacijo dal na voljo izvozniku podatkov. Prav tako jo bo dal na voljo pristojnemu nadzornemu organu, če bo ta tako zahteval. [Za modul tri: Izvoznik podatkov da oceno na voljo upravljavcu.] |
(c) |
Uvoznik podatkov se strinja, da bo pri odgovoru na zahtevo za razkritje na podlagi razumne razlage zahteve zagotovil minimalno dopustljivo količino informacij. |
ODDELEK IV – KONČNE DOLOČBE
Določilo 16
Neskladnost z določili in odpoved
(a) |
Uvoznik podatkov nemudoma obvesti izvoznika podatkov, če iz kakršnega koli razloga ne more zagotoviti skladnosti s temi določili. |
(b) |
Če uvoznik podatkov krši ta določila ali jih ne more spoštovati, lahko izvoznik podatkov začasno ustavi prenos osebnih podatkov uvozniku podatkov, dokler ni skladnost ponovno zagotovljena ali dokler ni pogodba odpovedana. To ne posega v določilo 14(f). |
(c) |
Izvoznik podatkov ima pravico odpovedati pogodbo, če ta zadeva obdelavo osebnih podatkov na podlagi teh določil, kadar:
V navedenih primerih izvoznik podatkov o takšni neskladnosti obvesti pristojni nadzorni organ [za modul tri: in upravljavca]. Če pogodba vključuje več kot dve pogodbenici, lahko izvoznik podatkov uveljavlja to pravico do odpovedi le v zvezi z zadevno pogodbenico, razen če so se pogodbenice dogovorile drugače. |
(d) |
[Za module ena, dva in tri: Osebne podatke, ki so bili preneseni pred odpovedjo pogodbe na podlagi odstavka (c), bi bilo treba v skladu z odločitvijo izvoznika podatkov bodisi takoj vrniti izvozniku podatkov bodisi jih v celoti izbrisati. Enako velja za vse kopije podatkov.] [Za modul štiri: Osebni podatki, ki jih je zbral izvoznik podatkov v EU in so bili preneseni pred odpovedjo pogodbe na podlagi odstavka (c), se takoj v celoti izbrišejo, vključno z njihovimi kopijami.] Uvoznik podatkov izvozniku podatkov potrdi izbris podatkov. Dokler se podatki ne izbrišejo ali vrnejo, uvoznik podatkov še naprej zagotavlja skladnost s temi določili. Če se za uvoznika podatkov uporabljajo lokalni zakoni, ki prepovedujejo vračanje ali izbris prenesenih osebnih podatkov, uvoznik podatkov jamči, da bo še naprej zagotavljal skladnost s temi določili in bo zadevne podatke obdeloval le v obsegu in tako dolgo, kot se zahteva v skladu z navedeno lokalno zakonodajo. |
(e) |
Vsaka pogodbenica lahko prekliče svoje strinjanje, da jo ta določila zavezujejo, če (i) Evropska komisija sprejme sklep v skladu s členom 45(3) Uredbe (EU) 2016/679, ki zajema prenos osebnih podatkov, za katerega se uporabljajo ta določila, ali če (ii) postane Uredba (EU) 2016/679 del pravnega okvira države, v katero se prenesejo osebni podatki. To ne posega v druge obveznosti, ki se uporabljajo za zadevno obdelavo na podlagi Uredbe (EU) 2016/679. |
Določilo 17
Pravo, ki se uporablja
MODUL ENA: Prenos od upravljavca upravljavcu
MODUL DVA: Prenos od upravljavca obdelovalcu
MODUL TRI: Prenos od obdelovalca obdelovalcu
[MOŽNOST 1: Ta določila ureja pravo ene od držav članic EU, če tako pravo dopušča pravice upravičenih tretjih oseb. Pogodbenice se strinjajo, da je to pravo ___ (navedite državo članico).]
[MOŽNOST 2 (za modula dva in tri): Ta določila ureja pravo države članice EU, v kateri ima izvoznik podatkov ustanovitev. Če tako pravo ne dopušča pravic upravičenih tretjih oseb, ta določila ureja pravo druge države članice EU, ki dopušča pravice upravičenih tretjih oseb. Pogodbenice se strinjajo, da je to pravo ___ (navedite državo članico).]
MODUL ŠTIRI: Prenos od obdelovalca upravljavcu
Ta določila ureja pravo države, ki dopušča pravice upravičenih tretjih oseb. Pogodbenice se strinjajo, da je to pravo ___ (navedite državo).
Določilo 18
Izbira sodišča in pristojnosti
MODUL ENA: Prenos od upravljavca upravljavcu
MODUL DVA: Prenos od upravljavca obdelovalcu
MODUL TRI: Prenos od obdelovalca obdelovalcu
(a) |
Vse spore, ki izhajajo iz teh določil, rešujejo sodišča države članice EU. |
(b) |
Pogodbenice se strinjajo, da so to sodišča ___ (navedite državo članico). |
(c) |
Posameznik, na katerega se nanašajo osebni podatki, lahko začne sodni postopek proti izvozniku podatkov in/ali uvozniku podatkov tudi pred sodišči države članice, v kateri ima običajno prebivališče. |
(d) |
Pogodbenice se strinjajo, da se bodo podvrgle pristojnosti takih sodišč. |
MODUL ŠTIRI: Prenos od obdelovalca upravljavcu
|
Vse spore, ki izhajajo iz teh določil, rešujejo sodišča _____ (navedite državo). |
(1) Kadar je izvoznik podatkov obdelovalec, za katerega se uporablja Uredba (EU) 2016/679, in deluje kot upravljavec v imenu institucije ali organa Unije, opiranje na ta določila pri zaposlitvi drugega obdelovalca (podobdelava), za katerega se Uredba (EU) 2016/679 ne uporablja, zagotavlja tudi skladnost s členom 29(4) Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (UL L 295, 21.11.2018, str. 39), kolikor so ta določila usklajena z obveznostmi glede varstva podatkov, kot so določene v pogodbi ali drugem pravnem aktu med upravljavcem in obdelovalcem v skladu s členom 29(3) Uredbe (EU) 2018/1725. To velja zlasti v primeru, ko se upravljavec in obdelovalec opirata na standardna pogodbena določila iz Sklepa (EU) 2021/915
(2) Za to je potrebno, da se podatki anonimizirajo tako, da v skladu z uvodno izjavo 26 Uredbe (EU) 2016/679 posameznik ni več določljiv in da je ta postopek nepovraten.
(3) Sporazum o Evropskem gospodarskem prostoru (Sporazum EGP) določa razširitev notranjega trga Evropske unije na tri države EGP, tj. Islandijo, Lihtenštajn in Norveško. Zakonodaja Unije na področju varstva podatkov, vključno z Uredbo (EU) 2016/679, je zajeta v Sporazumu EGP in je bila vključena v Prilogo XI k Sporazumu. Zato se kakršno koli razkritje s strani uvoznika podatkov tretji osebi, ki se nahaja v EGP, ne šteje za nadaljnji prenos za namene teh določil.
(4) Sporazum o Evropskem gospodarskem prostoru (Sporazum EGP) določa razširitev notranjega trga Evropske unije na tri države EGP, tj. Islandijo, Lihtenštajn in Norveško. Zakonodaja Unije na področju varstva podatkov, vključno z Uredbo (EU) 2016/679, je zajeta v Sporazumu EGP in je bila vključena v Prilogo XI k Sporazumu. Zato se kakršno koli razkritje s strani uvoznika podatkov tretji osebi, ki se nahaja v EGP, ne šteje za nadaljnji prenos za namene teh določil.
(5) Glej člen 28(4) Uredbe (EU) 2016/679 in, kadar je upravljavec institucija ali organ EU, člen 29(4) Uredbe (EU) 2018/1725.
(6) Sporazum o Evropskem gospodarskem prostoru (Sporazum EGP) določa razširitev notranjega trga Evropske unije na tri države EGP, tj. Islandijo, Lihtenštajn in Norveško. Zakonodaja Unije na področju varstva podatkov, vključno z Uredbo (EU) 2016/679, je zajeta v Sporazumu EGP in je bila vključena v Prilogo XI k Sporazumu. Zato se kakršno koli razkritje s strani uvoznika podatkov tretji osebi, ki se nahaja v EGP, ne šteje za nadaljnji prenos za namene teh določil.
(7) Vključno s tem, ali prenos in nadaljnja obdelava vključujeta osebne podatke, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, genske podatke ali biometrične podatke za namene edinstvene identifikacije posameznika, podatke v zvezi z zdravjem ali spolnim življenjem ali spolno usmerjenostjo posameznika ali podatke v zvezi s kazenskimi obsodbami ali kaznivimi dejanji.
(8) Ta zahteva je lahko izpolnjena tudi, če se podobdelovalec v skladu z določilom 7 pridruži k tem določilom na podlagi ustreznega modula.
(9) Ta zahteva je lahko izpolnjena tudi, če se podobdelovalec v skladu z določilom 7 pridruži k tem določilom na podlagi ustreznega modula.
(10) To obdobje se lahko podaljša za največ dva meseca, če je to potrebno zaradi kompleksnosti in števila zahtev. Uvoznik podatkov o vsakem takem podaljšanju ustrezno in nemudoma obvesti posameznika, na katerega se nanašajo osebni podatki.
(11) Uvoznik podatkov lahko neodvisno reševanje sporov prek arbitražnega organa ponudi le, če ima ustanovitev v državi, ki je ratificirala Konvencijo o priznavanju in izvrševanju tujih arbitražnih odločb.
(12) Kar zadeva vpliv takih zakonov in praks na skladnost s temi določili, se lahko kot del splošne ocene upoštevajo različni elementi. Taki elementi lahko vključujejo relevantne in dokumentirane praktične izkušnje s predhodnimi primeri zahtev za razkritje s strani javnih organov ali odsotnost takih zahtev v dovolj reprezentativnem časovnem okviru. To se nanaša zlasti na notranje evidence ali drugo dokumentacijo, ki se stalno pripravlja v skladu s potrebno skrbnostjo in je potrjena na ravni višjega vodstva, pod pogojem, da se te informacije lahko zakonito posredujejo tretjim osebam. Kadar se na podlagi teh praktičnih izkušenj sklepa, da uvozniku podatkov ne bo preprečeno spoštovanje teh določil, je to treba podpreti z drugimi ustreznimi objektivnimi elementi, pogodbenice pa morajo skrbno preučiti, ali imajo ti elementi skupaj zadostno težo, kar zadeva njihovo zanesljivost in reprezentativnost, da bi podprli tak sklep. Pogodbenice bi morale zlasti upoštevati, ali so njihove praktične izkušnje podprte in da niso v nasprotju z javno ali drugače dostopnimi, zanesljivimi informacijami o obstoju ali neobstoju zahtev v istem sektorju in/ali uporabi prava v praksi, kot so sodna praksa in poročila neodvisnih nadzornih organov.
DODATEK
POJASNJEVALNA OPOMBA:
Omogočiti je treba jasno razlikovanje med informacijami, ki se uporabljajo za posamezne prenose ali kategorije prenosov, in v zvezi s tem določiti vloge, ki jih imajo pogodbenice kot izvozniki podatkov in/ali uvozniki podatkov. To ne pomeni nujno, da je treba izpolniti in podpisati ločene dodatke za vsak prenos/kategorijo prenosov in/ali pogodbeno razmerje, če je to preglednost mogoče doseči z enim dodatkom. Kadar pa je to potrebno za zagotovitev zadostne jasnosti, je treba uporabiti ločene dodatke.
PRILOGA I
A. SEZNAM POGODBENIC
MODUL ENA: Prenos od upravljavca upravljavcu
MODUL DVA: Prenos od upravljavca obdelovalcu
MODUL TRI: Prenos od obdelovalca obdelovalcu
MODUL ŠTIRI: Prenos od obdelovalca upravljavcu
Izvoznik(-i) podatkov: [Identiteta in kontaktni podatki izvoznikov podatkov ter po potrebi njihove pooblaščene osebe za varstvo podatkov in/ali predstavnika v Evropski uniji]
1. |
Ime: …
Naslov: … Ime, položaj in kontaktni podatki kontaktne osebe: … Dejavnosti, relevantne za podatke, ki se prenesejo na podlagi teh določil: … Podpis in datum: … Vloga (upravljavec/obdelovalec): … |
2. |
… |
Uvoznik(-i) podatkov: [Identiteta in kontaktni podatki uvoznikov podatkov, vključno z vsemi kontaktnimi osebami, odgovornimi za varstvo podatkov]
1. |
Ime: …
Naslov: … Ime, položaj in kontaktni podatki kontaktne osebe: … Dejavnosti, relevantne za podatke, ki se prenesejo na podlagi teh določil: … Podpis in datum: … Vloga (upravljavec/obdelovalec): … |
2. |
… |
B. OPIS PRENOSA
MODUL ENA: Prenos od upravljavca upravljavcu
MODUL DVA: Prenos od upravljavca obdelovalcu
MODUL TRI: Prenos od obdelovalca obdelovalcu
MODUL ŠTIRI: Prenos od obdelovalca upravljavcu
Kategorije posameznikov, na katere se nanašajo osebni podatki, ki se prenesejo
…
Kategorije osebnih podatkov, ki se prenesejo
…
Preneseni občutljivi podatki (če je primerno) in uporabljene omejitve ali zaščitni ukrepi, ki v celoti upoštevajo naravo podatkov in povezana tveganja, kot so na primer stroga omejitev namena, omejitve dostopa (vključno z dostopom samo za osebje, ki se je udeležilo posebnega usposabljanja), vodenje evidence dostopa do podatkov, omejitve za nadaljnje prenose ali dodatni varnostni ukrepi
…
Pogostost prenosa (npr. ali gre za enkraten ali stalen prenos osebnih podatkov)
…
Narava obdelave
…
Namen ali nameni prenosa in nadaljnje obdelave podatkov
…
Obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja
…
Za prenose (pod)obdelovalcem je treba navesti tudi predmet, naravo in trajanje obdelave.
…
C. PRISTOJNI NADZORNI ORGAN
MODUL ENA: Prenos od upravljavca upravljavcu
MODUL DVA: Prenos od upravljavca obdelovalcu
MODUL TRI: Prenos od obdelovalca obdelovalcu
Navedba pristojnih nadzornih organov v skladu z določilom 13
…
PRILOGA II
TEHNIČNI IN ORGANIZACIJSKI UKREPI, VKLJUČNO S TEHNIČNIMI IN ORGANIZACIJSKIMI UKREPI ZA ZAGOTOVITEV VARNOSTI PODATKOV
MODUL ENA: Prenos od upravljavca upravljavcu
MODUL DVA: Prenos od upravljavca obdelovalcu
MODUL TRI: Prenos od obdelovalca obdelovalcu
POJASNJEVALNA OPOMBA:
Tehnične in organizacijske ukrepe je treba opisati s posebnimi (in ne splošnimi) izrazi. Glej tudi splošno opombo na prvi strani Dodatka, zlasti o potrebi po jasni navedbi ukrepov, ki se uporabljajo za vsak prenos/sklop prenosov.
Opis tehničnih in organizacijskih ukrepov, ki jih izvajajo uvozniki podatkov (vključno z vsemi ustreznimi certifikati), da se zagotovi ustrezna raven varnosti, ob upoštevanju narave, obsega, okoliščin in namena obdelave ter tveganj za pravice in svoboščine posameznikov.
[Primeri možnih ukrepov:
ukrepi za psevdonimizacijo in šifriranje osebnih podatkov;
ukrepi za zagotovitev stalne zaupnosti, celovitosti, dostopnosti in odpornosti sistemov in storitev za obdelavo;
ukrepi za zagotovitev zmožnosti pravočasne povrnitve razpoložljivosti in dostopa do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;
postopki rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotovitev varnosti obdelave;
ukrepi za identifikacijo uporabnika in izdajo dovoljenja uporabniku;
ukrepi za varstvo podatkov med prenosom;
ukrepi za varstvo podatkov med hrambo;
ukrepi za zagotavljanje fizične varnosti lokacij, na katerih se obdelujejo osebni podatki;
ukrepi za zagotavljanje beleženja dogodkov;
ukrepi za zagotavljanje konfiguracije sistema, vključno s privzeto konfiguracijo;
ukrepi za notranje upravljanje in vodenje IT in varnosti IT;
ukrepi za certificiranje / izdajanje zagotovil za postopke in proizvode;
ukrepi za zagotavljanje najmanjšega obsega podatkov;
ukrepi za zagotavljanje kakovosti podatkov;
ukrepi za zagotavljanje omejene hrambe podatkov;
ukrepi za zagotavljanje odgovornosti;
ukrepi za omogočanje prenosljivosti podatkov in zagotavljanje izbrisa.]
Za prenose (pod)obdelovalcem je treba opisati tudi posebne tehnične in organizacijske ukrepe, ki jih mora sprejeti (pod)obdelovalec, da lahko zagotovi pomoč upravljavcu in – za prenose od obdelovalca podobdelovalcu – izvozniku podatkov.
PRILOGA III
SEZNAM PODOBDELOVALCEV
MODUL DVA: Prenos od upravljavca obdelovalcu
MODUL TRI: Prenos od obdelovalca obdelovalcu
POJASNJEVALNA OPOMBA:
To prilogo je treba izpolniti za modul dva in modul tri v primeru posebnega dovoljenja za podobdelovalce (določilo 9(a), možnost 1).
Upravljavec je odobril uporabo naslednjih podobdelovalcev:
1. |
Ime: …
Naslov: … Ime, položaj in kontaktni podatki kontaktne osebe: … Opis obdelave (vključno z jasno razmejitvijo odgovornosti, če je odobrenih več podobdelovalcev): … |
2. |
… |