ZAŁĄCZNIK
STANDARDOWE KLAUZULE UMOWNE
Uznaje się, że niniejsze klauzule będą okresowo zmieniane, w zakresie, w jakim odnoszą się do ograniczonego transferu, który podlega przepisom o ochronie danych danego kraju lub terytorium, w celu odzwierciedlenia (w możliwym zakresie bez istotnej niepewności co do wyniku) wszelkich zmian (w tym wszelkich zastąpień) dokonanych zgodnie z tymi przepisami o ochronie danych.
Sekcja I
Klauzula 1
Cel i zakres
- Celem niniejszych standardowych klauzul umownych jest zapewnienie zgodności z wymogami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych) w zakresie przekazywania danych osobowych do państwa trzeciego.
- Strony:
- osoby fizyczne lub prawne, organy publiczne, agencje lub inne podmioty (zwane dalej "podmiotami") przekazujące dane osobowe, wymienione w załączniku I.A. (zwane dalej "podmiotami przekazującymi dane"), oraz
- podmiot/podmioty w państwie trzecim otrzymujące dane osobowe od podmiotu przekazującego dane, bezpośrednio lub pośrednio za pośrednictwem innego podmiotu będącego również stroną niniejszych klauzul, wymienionego w załączniku I.A. (zwanego dalej "podmiotem odbierającym dane"), wyraziły zgodę na niniejsze standardowe klauzule umowne (zwane dalej "klauzulami").
- Niniejsze klauzule mają zastosowanie w odniesieniu do przekazywania danych osobowych określonych w Załączniku I.B.
- Załącznik do niniejszych Klauzul zawierający Załączniki, o których w nim mowa, stanowi integralną część niniejszych Klauzul.
W przypadku gdy podmiot przekazujący dane jest podmiotem przetwarzającym podlegającym rozporządzeniu (UE) 2016/679 działającym w imieniu instytucji lub organu Unii jako administratora, poleganie na niniejszych klauzulach przy angażowaniu innego podmiotu przetwarzającego (podprzetwarzanie) niepodlegającego rozporządzeniu (UE) 2016/679 zapewnia również zgodność z art. 29 ust. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje Unii, instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).11.2018, s. 39), w zakresie, w jakim niniejsze klauzule i obowiązki w zakresie ochrony danych określone w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym zgodnie z art. 29 ust. 3 rozporządzenia (UE) 2018/1725 są do siebie dostosowane. Dotyczy to w szczególności sytuacji, w których administrator i podmiot przetwarzający opierają się na standardowych klauzulach umownych zawartych w decyzji.
Klauzula 2
Skutek i niezmienność klauzul
- Niniejsze Klauzule określają odpowiednie zabezpieczenia, w tym egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej, zgodnie z art. 46 ust. 1 i art. 46 ust. 2 lit. c) rozporządzenia (UE) 2016/679 oraz, w odniesieniu do przekazywania danych od administratorów do podmiotów przetwarzających i/lub od podmiotów przetwarzających do podmiotów przetwarzających, standardowe klauzule umowne zgodnie z art. 28 ust. 7 rozporządzenia (UE) 2016/679, pod warunkiem że nie zostaną one zmodyfikowane, z wyjątkiem wyboru odpowiedniego modułu (modułów) lub dodania lub aktualizacji informacji w Załączniku. Nie uniemożliwia to Stronom włączenia standardowych klauzul umownych określonych w niniejszych klauzulach do szerszej umowy i/lub dodania innych klauzul lub dodatkowych zabezpieczeń, pod warunkiem że nie są one sprzeczne, bezpośrednio lub pośrednio, z niniejszymi klauzulami ani nie naruszają podstawowych praw lub wolności osób, których dane dotyczą.
- Niniejsze klauzule pozostają bez uszczerbku dla obowiązków, którym podlega podmiot przekazujący dane na mocy rozporządzenia (UE) 2016/679.
Klauzula 3
Beneficjenci będący osobami trzecimi
- Osoby, których dane dotyczą, mogą powoływać się na niniejsze klauzule i egzekwować je jako beneficjenci zewnętrzni wobec podmiotu przekazującego i/lub odbierającego dane, z następującymi wyjątkami:
- Klauzula 1, Klauzula 2, Klauzula 3, Klauzula 6, Klauzula 7;
- Klauzula 8 - Moduł Pierwszy: Klauzula 8.5 (e) i Klauzula 8.9 (b); Moduł Drugi: Klauzula 8.1 (b), Klauzula 8.9 (a), (c), (d) i (e); Moduł Trzeci: Klauzula 8.1(a), (c) i (d) oraz Klauzula 8.9(a), (c), (d), (e), (f) i (g); Moduł Czwarty: Klauzula 8.1 (b) i Klauzula 8.3 (b);
- Klauzula 9 - Moduł Drugi: Klauzula 9(a), (c), (d) i (e); Moduł Trzeci: Klauzula 9(a), (c), (d) i (e);
- Klauzula 12 - Moduł Pierwszy: Klauzula 12(a) i (d); Moduły Drugi i Trzeci: Klauzula 12(a), (d) i (f);
- Klauzula 13;
- Klauzula 15.1(c), (d) i (e);
- Klauzula 16(e);
- Klauzula 18 - Moduły pierwszy, drugi i trzeci: Klauzula 18(a) i (b); Moduł Czwarty: Klauzula 18.
- Litera (a) pozostaje bez uszczerbku dla praw osób, których dane dotyczą, wynikających z rozporządzenia (UE) 2016/679.
Klauzula 4
Interpretacja
- W przypadku użycia w niniejszych klauzulach terminów zdefiniowanych w rozporządzeniu (UE) 2016/679, terminy te mają takie samo znaczenie jak w tym rozporządzeniu.
- Niniejsze klauzule należy odczytywać i interpretować w świetle przepisów rozporządzenia (UE) 2016/679.
- Niniejsze klauzule nie mogą być interpretowane w sposób sprzeczny z prawami i obowiązkami przewidzianymi w rozporządzeniu (UE) 2016/679.
Klauzula 5
Hierarchia
W przypadku sprzeczności między niniejszymi Klauzulami a postanowieniami powiązanych umów między Stronami, istniejących w momencie uzgodnienia niniejszych Klauzul lub zawartych później, pierwszeństwo mają niniejsze Klauzule.
Klauzula 6
Opis transferu(-ów)
Szczegóły dotyczące przekazywania danych, a w szczególności kategorie danych osobowych, które są przekazywane, oraz cel(e), dla których są one przekazywane, są określone w załączniku I.B.
Sekcja II - Zobowiązania Stron
Klauzula 8
Zabezpieczenia ochrony danych
Podmiot przekazujący dane gwarantuje, że dołożył należytych starań w celu ustalenia, czy podmiot odbierający dane jest w stanie, poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych, spełnić swoje zobowiązania wynikające z niniejszych klauzul.
MODUŁ JEDEN: Przekazywanie kontrolera do kontrolera
8.1 Ograniczenie celu
Podmiot odbierający dane przetwarza dane osobowe wyłącznie w określonym celu (celach) przekazania, jak określono w załączniku I.B. Może on przetwarzać dane osobowe wyłącznie w innym celu:
- w przypadku uzyskania uprzedniej zgody osoby, której dane dotyczą;
- gdy jest to niezbędne do ustalenia, dochodzenia lub obrony roszczeń prawnych w kontekście konkretnego postępowania administracyjnego, regulacyjnego lub sądowego; lub
- gdy jest to konieczne w celu ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.
8.2 Przejrzystość
- Aby umożliwić osobom, których dane dotyczą, skuteczne wykonywanie ich praw zgodnie z klauzulą 10, podmiot odbierający dane informuje je o tym bezpośrednio lub za pośrednictwem podmiotu przekazującego dane:
- jego tożsamości i danych kontaktowych;
- kategorii przetwarzanych danych osobowych;
- o prawie do uzyskania kopii niniejszych klauzul;
- w przypadku zamiaru dalszego przekazania danych osobowych jakiejkolwiek osobie trzeciej/osobom trzecim, odbiorcy lub kategorii odbiorców (w stosownych przypadkach w celu dostarczenia istotnych informacji), cel takiego dalszego przekazania i jego uzasadnienie zgodnie z klauzulą 8.7.
- Ustęp (a) nie ma zastosowania w przypadku, gdy osoba, której dane dotyczą, posiada już informacje, w tym gdy takie informacje zostały już dostarczone przez podmiot przekazujący dane, lub dostarczenie informacji okazuje się niemożliwe lub wymagałoby nieproporcjonalnego wysiłku ze strony podmiotu odbierającego dane. W tym ostatnim przypadku odbierający dane w miarę możliwości udostępnia informacje publicznie.
- Na żądanie osoby, której dane dotyczą, Strony udostępnią jej bezpłatnie kopię niniejszych klauzul, w tym wypełniony przez nie Załącznik. W zakresie niezbędnym do ochrony tajemnic handlowych lub innych informacji poufnych, w tym danych osobowych, Strony mogą zredagować część tekstu Załącznika przed udostępnieniem kopii, ale dostarczą istotne streszczenie, w przypadku gdy osoba, której dane dotyczą, nie byłaby w stanie zrozumieć jego treści lub skorzystać ze swoich praw. Na wniosek osoby, której dane dotyczą, Strony przedstawiają jej uzasadnienie redakcji, w zakresie, w jakim jest to możliwe bez ujawniania redagowanych informacji.
- Lit. a)-c) pozostają bez uszczerbku dla obowiązków podmiotu przekazującego dane wynikających z art. 13 i 14 rozporządzenia (UE) 2016/679.
8.3 Dokładność i minimalizacja danych
- Każda ze Stron zapewnia, że dane osobowe są dokładne i, w razie potrzeby, aktualizowane. Podmiot odbierający dane podejmie wszelkie uzasadnione kroki w celu zapewnienia, że dane osobowe, które są niedokładne, biorąc pod uwagę cel(e) przetwarzania, zostaną niezwłocznie usunięte lub poprawione.
- Jeśli jedna ze Stron dowie się, że przekazane lub otrzymane przez nią dane osobowe są nieprawidłowe lub nieaktualne, bez zbędnej zwłoki poinformuje o tym drugą Stronę.
- Podmiot odbierający dane zapewnia, że dane osobowe są adekwatne, istotne i ograniczone do tego, co jest konieczne w związku z celem (celami) przetwarzania.
8.4 Ograniczenie przechowywania
Podmiot odbierający dane przechowuje dane osobowe nie dłużej niż jest to konieczne do celów, dla których są one przetwarzane. Wdraża odpowiednie środki techniczne lub organizacyjne w celu zapewnienia zgodności z tym obowiązkiem, w tym usunięcia lub anonimizacji danych i wszystkich kopii zapasowych na koniec okresu przechowywania.
8.5 Bezpieczeństwo przetwarzania
- Podmiot odbierający dane, a podczas ich przekazywania również podmiot przekazujący dane, wdrażają odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych osobowych, w tym ochrony przed naruszeniem bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych (zwanego dalej "naruszeniem ochrony danych osobowych"). Oceniając odpowiedni poziom bezpieczeństwa, Strony należycie uwzględniają aktualny stan wiedzy, koszty wdrożenia, charakter, zakres, kontekst i cel(e) przetwarzania oraz ryzyko związane z przetwarzaniem dla osoby, której dane dotyczą. Strony rozważają w szczególności zastosowanie szyfrowania lub pseudonimizacji, w tym podczas przesyłania danych, jeżeli cel przetwarzania może zostać osiągnięty w ten sposób.
- Strony uzgodniły środki techniczne i organizacyjne określone w załączniku II. Podmiot odbierający dane przeprowadza regularne kontrole w celu zapewnienia, że środki te nadal zapewniają odpowiedni poziom bezpieczeństwa.
- Podmiot odbierający dane zapewnia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności.
- W przypadku naruszenia ochrony danych osobowych w odniesieniu do danych osobowych przetwarzanych przez podmiot odbierający dane na mocy niniejszych klauzul, podmiot odbierający dane podejmie odpowiednie środki w celu zaradzenia naruszeniu ochrony danych osobowych, w tym środki mające na celu złagodzenie jego ewentualnych negatywnych skutków.
- W przypadku naruszenia ochrony danych osobowych, które może skutkować ryzykiem naruszenia praw i wolności osób fizycznych, podmiot odbierający dane bez zbędnej zwłoki zawiadamia zarówno podmiot przekazujący dane, jak i właściwy organ nadzorczy zgodnie z klauzulą 13. Takie powiadomienie zawiera i) opis charakteru naruszenia (w tym, w miarę możliwości, kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz rejestrów danych osobowych, których naruszenie dotyczy), ii) jego prawdopodobne konsekwencje, iii) środki podjęte lub proponowane w celu zaradzenia naruszeniu oraz iv) dane punktu kontaktowego, od którego można uzyskać więcej informacji. W zakresie, w jakim podmiot odbierający dane nie jest w stanie dostarczyć wszystkich informacji w tym samym czasie, może to zrobić etapami bez zbędnej dalszej zwłoki.
- W przypadku naruszenia ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, odbierający dane bez zbędnej zwłoki zawiadamia również osoby, których dane dotyczą, o naruszeniu ochrony danych osobowych i jego charakterze, w razie potrzeby we współpracy z przekazującym dane, wraz z informacjami, o których mowa w lit. e) ppkt (ii)-(iv), chyba że odbierający dane wdrożył środki w celu znacznego ograniczenia ryzyka naruszenia praw lub wolności osób fizycznych lub zawiadomienie wymagałoby niewspółmiernie dużego wysiłku. W tym ostatnim przypadku odbierający dane powinien zamiast tego wydać publiczny komunikat lub podjąć podobny środek w celu poinformowania opinii publicznej o naruszeniu ochrony danych osobowych.
- Podmiot odbierający dane dokumentuje wszystkie istotne fakty związane z naruszeniem ochrony danych osobowych, w tym jego skutki i wszelkie podjęte działania naprawcze, oraz prowadzi ich rejestr.
8.6 Dane wrażliwe
Jeżeli przekazanie obejmuje dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych, dane genetyczne lub dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia lub życia seksualnego lub orientacji seksualnej osoby lub dane dotyczące wyroków skazujących lub naruszeń prawa (zwane dalej "danymi wrażliwymi"), podmiot odbierający dane stosuje szczególne ograniczenia i/lub dodatkowe zabezpieczenia dostosowane do szczególnego charakteru danych i związanego z nimi ryzyka. Może to obejmować ograniczenie personelu uprawnionego do dostępu do danych osobowych, dodatkowe środki bezpieczeństwa (takie jak pseudonimizacja) i/lub dodatkowe ograniczenia w odniesieniu do dalszego ujawniania.
8.7 Dalsze transfery
Podmiot odbierający dane nie ujawnia danych osobowych stronie trzeciej znajdującej się poza Unią Europejską (w tym samym kraju co podmiot odbierający dane lub w innym kraju trzecim, dalej "dalsze przekazanie"), chyba że strona trzecia jest lub zgadza się na związanie niniejszymi klauzulami w ramach odpowiedniego modułu. W przeciwnym razie dalsze przekazanie danych przez podmiot odbierający dane może mieć miejsce tylko wtedy, gdy:
- do kraju korzystającego z decyzji stwierdzającej odpowiedni stopień ochrony zgodnie z art. 45 rozporządzenia (UE) 2016/679, która obejmuje dalsze przekazywanie;
- strona trzecia w inny sposób zapewnia odpowiednie zabezpieczenia zgodnie z art. 46 lub 47 rozporządzenia (UE) 2016/679 w odniesieniu do danego przetwarzania;
- strona trzecia zawiera wiążący instrument z podmiotem odbierającym dane, zapewniający taki sam poziom ochrony danych jak na mocy niniejszych klauzul, a podmiot odbierający dane przekazuje kopię tych zabezpieczeń podmiotowi przekazującemu dane;
- jest to niezbędne do ustalenia, dochodzenia lub obrony roszczeń prawnych w kontekście konkretnego postępowania administracyjnego, regulacyjnego lub sądowego;
- jest to konieczne w celu ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; lub
- jeżeli żaden z pozostałych warunków nie ma zastosowania, podmiot odbierający dane uzyskał wyraźną zgodę osoby, której dane dotyczą, na dalsze przekazanie danych w konkretnej sytuacji, po poinformowaniu jej o celu (celach), tożsamości odbiorcy i możliwym ryzyku związanym z takim przekazaniem ze względu na brak odpowiednich zabezpieczeń ochrony danych. W takim przypadku podmiot odbierający dane poinformuje podmiot przekazujący dane oraz, na żądanie tego ostatniego, przekaże mu kopię informacji przekazanych osobie, której dane dotyczą.
Wszelkie dalsze przekazywanie danych podlega przestrzeganiu przez podmiot odbierający dane wszystkich innych zabezpieczeń wynikających z niniejszych klauzul, w szczególności ograniczenia celu.
8.8 Przetwarzanie z upoważnienia podmiotu odbierającego dane
Podmiot odbierający dane zapewnia, że każda osoba działająca z jego upoważnienia, w tym podmiot przetwarzający, przetwarza dane wyłącznie zgodnie z jego instrukcjami.
8.9 Dokumentacja i zgodność
- Każda ze Stron musi być w stanie wykazać zgodność ze swoimi zobowiązaniami wynikającymi z niniejszych klauzul. W szczególności podmiot odbierający dane prowadzi odpowiednią dokumentację czynności przetwarzania danych wykonywanych na jego odpowiedzialność.
- Podmiot odbierający dane udostępnia taką dokumentację właściwemu organowi nadzorczemu na jego żądanie.
Wymaga to anonimizacji danych w taki sposób, aby osoba fizyczna nie była już możliwa do zidentyfikowania przez nikogo, zgodnie z motywem 26 rozporządzenia (UE) 2016/679, oraz aby proces ten był nieodwracalny.
Porozumienie o Europejskim Obszarze Gospodarczym (Porozumienie EOG) przewiduje rozszerzenie rynku wewnętrznego Unii Europejskiej na trzy państwa EOG: Islandię, Liechtenstein i Norwegię. Unijne przepisy o ochronie danych, w tym rozporządzenie (UE) 2016/679, są objęte Porozumieniem EOG i zostały włączone do załącznika XI do tego porozumienia. W związku z tym jakiekolwiek ujawnienie danych przez podmiot odbierający dane stronie trzeciej znajdującej się w EOG nie kwalifikuje się jako dalsze przekazanie danych do celów niniejszych klauzul.
MODUŁ DRUGI: Przeniesienie kontrolera do procesora
8.1 Instrukcje
- Podmiot odbierający dane przetwarza dane osobowe wyłącznie na udokumentowane polecenie podmiotu przekazującego dane. Przekazujący dane może wydawać takie instrukcje przez cały okres obowiązywania umowy.
- Odbierający dane niezwłocznie informuje przekazującego dane, jeśli nie jest w stanie zastosować się do tych instrukcji.
8.2 Ograniczenie celu
Podmiot odbierający dane przetwarza dane osobowe wyłącznie w określonym celu (celach) przekazania, jak określono w załączniku I.B, chyba że zgodnie z dalszymi instrukcjami podmiotu przekazującego dane.
8.3 Przejrzystość
Na wniosek osoby, której dane dotyczą, podmiot przekazujący dane udostępnia jej bezpłatnie kopię niniejszych klauzul, w tym dodatku uzupełnionego przez Strony. W zakresie niezbędnym do ochrony tajemnic handlowych lub innych informacji poufnych, w tym środków opisanych w załączniku II i danych osobowych, podmiot przekazujący dane może przed udostępnieniem kopii przeredagować część tekstu dodatku do niniejszych klauzul, ale udostępnia istotne streszczenie w przypadku, gdy osoba, której dane dotyczą, nie byłaby w stanie zrozumieć jego treści lub skorzystać ze swoich praw. Na żądanie Strony podadzą osobie, której dane dotyczą, powody redakcji, w zakresie, w jakim jest to możliwe bez ujawniania redagowanych informacji. Niniejsza klauzula pozostaje bez uszczerbku dla obowiązków podmiotu przekazującego dane wynikających z art. 13 i 14 rozporządzenia (UE) 2016/679.
8.4 Dokładność
Jeśli podmiot odbierający dane dowie się, że otrzymane przez niego dane osobowe są niedokładne lub nieaktualne, bez zbędnej zwłoki poinformuje o tym podmiot przekazujący dane. W takim przypadku odbierający dane współpracuje z przekazującym dane w celu usunięcia lub poprawienia danych.
8.5 Czas trwania przetwarzania oraz usunięcie lub zwrot danych
Przetwarzanie przez podmiot odbierający dane odbywa się wyłącznie przez czas określony w załączniku I.B. Po zakończeniu świadczenia usług przetwarzania podmiot odbierający dane, zgodnie z wyborem podmiotu przekazującego dane, usuwa wszystkie dane osobowe przetwarzane w imieniu podmiotu przekazującego dane i zaświadcza podmiotowi przekazującemu dane, że to zrobił, lub zwraca podmiotowi przekazującemu dane wszystkie dane osobowe przetwarzane w jego imieniu i usuwa istniejące kopie. Dopóki dane nie zostaną usunięte lub zwrócone, podmiot odbierający dane będzie nadal zapewniał zgodność z niniejszymi klauzulami. W przypadku lokalnych przepisów mających zastosowanie do podmiotu odbierającego dane, które zabraniają zwrotu lub usunięcia danych osobowych, podmiot odbierający dane gwarantuje, że będzie nadal zapewniał zgodność z niniejszymi klauzulami i będzie je przetwarzał wyłącznie w zakresie i tak długo, jak wymaga tego lokalne prawo. Pozostaje to bez uszczerbku dla klauzuli 14, w szczególności wymogu, aby podmiot odbierający dane zgodnie z klauzulą 14(e) powiadamiał podmiot przekazujący dane przez cały okres obowiązywania umowy, jeśli ma powody sądzić, że podlega lub zaczął podlegać przepisom lub praktykom niezgodnym z wymogami określonymi w klauzuli 14(a).
8.6 Bezpieczeństwo przetwarzania
- Podmiot odbierający dane, a podczas ich przekazywania również podmiot przekazujący dane, wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych, w tym ochrony przed naruszeniem bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do tych danych (zwanym dalej "naruszeniem ochrony danych osobowych"). Oceniając odpowiedni poziom bezpieczeństwa, Strony należycie uwzględniają aktualny stan wiedzy, koszty wdrożenia, charakter, zakres, kontekst i cel(e) przetwarzania oraz ryzyko związane z przetwarzaniem dla osób, których dane dotyczą. Strony rozważają w szczególności zastosowanie szyfrowania lub pseudonimizacji, w tym podczas przesyłania, jeżeli cel przetwarzania może być w ten sposób osiągnięty. W przypadku pseudonimizacji dodatkowe informacje umożliwiające przypisanie danych osobowych do konkretnej osoby, której dane dotyczą, pozostają w miarę możliwości pod wyłączną kontrolą podmiotu przekazującego dane. Wypełniając swoje obowiązki wynikające z niniejszego ustępu, podmiot odbierający dane wdraża co najmniej środki techniczne i organizacyjne określone w załączniku II. Odbierający dane przeprowadza regularne kontrole w celu zapewnienia, że środki te nadal zapewniają odpowiedni poziom bezpieczeństwa.
- Podmiot odbierający dane udziela dostępu do danych osobowych członkom swojego personelu wyłącznie w zakresie ściśle niezbędnym do realizacji, zarządzania i monitorowania umowy. Zapewnia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności.
- W przypadku naruszenia ochrony danych osobowych w odniesieniu do danych osobowych przetwarzanych przez odbierającego dane na mocy niniejszych klauzul, odbierający dane podejmuje odpowiednie środki w celu zaradzenia naruszeniu, w tym środki mające na celu złagodzenie jego negatywnych skutków. Odbierający dane powiadamia również przekazującego dane bez zbędnej zwłoki po uzyskaniu informacji o naruszeniu. Takie powiadomienie zawiera dane punktu kontaktowego, w którym można uzyskać więcej informacji, opis charakteru naruszenia (w tym, w miarę możliwości, kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz rekordy danych osobowych, których dotyczy naruszenie), jego prawdopodobne konsekwencje oraz środki podjęte lub zaproponowane w celu zaradzenia naruszeniu, w tym, w stosownych przypadkach, środki mające na celu złagodzenie jego ewentualnych negatywnych skutków. W przypadku, gdy i w zakresie, w jakim nie jest możliwe przekazanie wszystkich informacji w tym samym czasie, wstępne zawiadomienie zawiera informacje dostępne w danym momencie, a dalsze informacje, w miarę ich dostępności, są przekazywane bez zbędnej zwłoki.
- Podmiot odbierający dane współpracuje z podmiotem przekazującym dane i pomaga mu w tym, aby umożliwić podmiotowi przekazującemu dane wywiązanie się z obowiązków wynikających z rozporządzenia (UE) 2016/679, w szczególności w celu powiadomienia właściwego organu nadzorczego i osób, których dane dotyczą, z uwzględnieniem charakteru przetwarzania i informacji dostępnych podmiotowi odbierającemu dane.
8.7 Dane wrażliwe
Jeżeli przekazanie obejmuje dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych, dane genetyczne lub dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia lub życia seksualnego lub orientacji seksualnej osoby lub dane dotyczące wyroków skazujących i naruszeń prawa (zwane dalej "danymi szczególnie chronionymi"), podmiot odbierający dane stosuje szczególne ograniczenia i/lub dodatkowe zabezpieczenia opisane w załączniku I.B.
8.8 Dalsze transfery
Podmiot odbierający dane ujawnia dane osobowe stronie trzeciej wyłącznie na podstawie udokumentowanych instrukcji od podmiotu przekazującego dane. Ponadto dane mogą zostać ujawnione stronie trzeciej znajdującej się poza Unią Europejską (w tym samym kraju co podmiot odbierający dane lub w innym kraju trzecim, zwanym dalej "dalszym przekazaniem") tylko wtedy, gdy strona trzecia jest lub zgadza się być związana niniejszymi klauzulami, w ramach odpowiedniego modułu, lub jeśli:
- dalsze przekazywanie odbywa się do państwa korzystającego z decyzji stwierdzającej odpowiedni stopień ochrony zgodnie z art. 45 rozporządzenia (UE) 2016/679, która obejmuje dalsze przekazywanie;
- strona trzecia w inny sposób zapewnia odpowiednie zabezpieczenia zgodnie z art. 46 lub 47 rozporządzenia (UE) 2016/679 w odniesieniu do danego przetwarzania;
- dalsze przekazanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń prawnych w kontekście konkretnego postępowania administracyjnego, regulacyjnego lub sądowego; lub
- dalsze przekazanie jest konieczne w celu ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.
Wszelkie dalsze przekazywanie danych podlega przestrzeganiu przez podmiot odbierający dane wszystkich innych zabezpieczeń wynikających z niniejszych klauzul, w szczególności ograniczenia celu.
8.9 Dokumentacja i zgodność
- Podmiot odbierający dane niezwłocznie i odpowiednio rozpatruje zapytania od podmiotu przekazującego dane, które odnoszą się do przetwarzania na mocy niniejszych klauzul.
- Strony muszą być w stanie wykazać zgodność z niniejszymi klauzulami. W szczególności podmiot odbierający dane przechowuje odpowiednią dokumentację dotyczącą działań związanych z przetwarzaniem danych prowadzonych w imieniu podmiotu przekazującego dane.
- Podmiot odbierający dane udostępnia podmiotowi przekazującemu dane wszelkie informacje niezbędne do wykazania zgodności z obowiązkami określonymi w niniejszych klauzulach, a na wniosek podmiotu przekazującego dane umożliwia i uczestniczy w audytach czynności przetwarzania objętych niniejszymi klauzulami, w rozsądnych odstępach czasu lub jeśli istnieją przesłanki wskazujące na niezgodność. Podejmując decyzję o przeglądzie lub audycie, podmiot przekazujący dane może wziąć pod uwagę odpowiednie certyfikaty posiadane przez podmiot odbierający dane.
- Przekazujący dane może przeprowadzić audyt samodzielnie lub zlecić go niezależnemu audytorowi. Audyty mogą obejmować inspekcje w pomieszczeniach lub obiektach fizycznych podmiotu odbierającego dane i, w stosownych przypadkach, są przeprowadzane z odpowiednim wyprzedzeniem.
- Strony udostępniają informacje, o których mowa w lit. b) i c), w tym wyniki wszelkich audytów, właściwemu organowi nadzorczemu na jego żądanie.
Porozumienie o Europejskim Obszarze Gospodarczym (Porozumienie EOG) przewiduje rozszerzenie rynku wewnętrznego Unii Europejskiej na trzy państwa EOG: Islandię, Liechtenstein i Norwegię. Unijne przepisy o ochronie danych, w tym rozporządzenie (UE) 2016/679, są objęte Porozumieniem EOG i zostały włączone do załącznika XI do tego porozumienia. W związku z tym jakiekolwiek ujawnienie danych przez podmiot odbierający dane stronie trzeciej znajdującej się w EOG nie kwalifikuje się jako dalsze przekazanie danych do celów niniejszych klauzul.
MODUŁ TRZECI: Przenoszenie procesora do procesora
8.1 Instrukcje
- Podmiot przekazujący dane poinformował podmiot odbierający dane, że działa jako podmiot przetwarzający dane zgodnie z instrukcjami administratora(-ów) danych, które podmiot przekazujący dane udostępni podmiotowi odbierającemu dane przed rozpoczęciem przetwarzania.
- Podmiot odbierający dane przetwarza dane osobowe wyłącznie zgodnie z udokumentowanymi instrukcjami administratora danych, przekazanymi podmiotowi odbierającemu dane przez podmiot przekazujący dane, oraz wszelkimi dodatkowymi udokumentowanymi instrukcjami podmiotu przekazującego dane. Takie dodatkowe instrukcje nie mogą być sprzeczne z instrukcjami administratora danych. Administrator lub podmiot przekazujący dane mogą wydawać dalsze udokumentowane instrukcje dotyczące przetwarzania danych przez cały okres obowiązywania umowy.
- Jeżeli podmiot odbierający dane nie jest w stanie zastosować się do tych instrukcji, niezwłocznie informuje o tym podmiot przekazujący dane. Jeżeli podmiot odbierający dane nie jest w stanie zastosować się do instrukcji administratora danych, podmiot przekazujący dane niezwłocznie powiadamia o tym administratora danych.
- Podmiot przekazujący dane gwarantuje, że nałożył na podmiot odbierający dane te same obowiązki w zakresie ochrony danych, które zostały określone w umowie lub innym akcie prawnym na mocy prawa Unii lub prawa państwa członkowskiego między administratorem danych a podmiotem przekazującym dane.
8.2 Ograniczenie celu
Podmiot odbierający dane przetwarza dane osobowe wyłącznie w określonym celu (celach) przekazania, jak określono w załączniku I.B., chyba że zgodnie z dalszymi instrukcjami administratora danych, przekazanymi podmiotowi odbierającemu dane przez podmiot przekazujący dane lub przez podmiot przekazujący dane.
8.3 Przejrzystość
Na wniosek osoby, której dane dotyczą, podmiot przekazujący dane udostępnia jej bezpłatnie kopię niniejszych klauzul, w tym dodatku wypełnionego przez Strony. W zakresie niezbędnym do ochrony tajemnic handlowych lub innych informacji poufnych, w tym danych osobowych, podmiot przekazujący dane może przed udostępnieniem kopii zredagować część tekstu Załącznika, ale udostępnia istotne streszczenie w przypadku, gdy osoba, której dane dotyczą, w przeciwnym razie nie byłaby w stanie zrozumieć jego treści lub skorzystać ze swoich praw. Na wniosek osoby, której dane dotyczą, Strony podają powody redakcji, w zakresie, w jakim jest to możliwe bez ujawniania redagowanych informacji.
8.4 Dokładność
Jeśli podmiot odbierający dane dowie się, że otrzymane przez niego dane osobowe są niedokładne lub nieaktualne, bez zbędnej zwłoki poinformuje o tym podmiot przekazujący dane. W takim przypadku odbierający dane współpracuje z przekazującym dane w celu poprawienia lub usunięcia danych.
8.5 Czas trwania przetwarzania oraz usunięcie lub zwrot danych
Przetwarzanie przez podmiot odbierający dane odbywa się wyłącznie przez czas określony w załączniku I.B. Po zakończeniu świadczenia usług przetwarzania podmiot odbierający dane, zgodnie z wyborem podmiotu przekazującego dane, usuwa wszystkie dane osobowe przetwarzane w imieniu administratora danych i zaświadcza podmiotowi przekazującemu dane, że to zrobił, lub zwraca podmiotowi przekazującemu dane wszystkie dane osobowe przetwarzane w jego imieniu i usuwa istniejące kopie. Dopóki dane nie zostaną usunięte lub zwrócone, podmiot odbierający dane będzie nadal zapewniał zgodność z niniejszymi klauzulami. W przypadku lokalnych przepisów mających zastosowanie do podmiotu odbierającego dane, które zabraniają zwrotu lub usunięcia danych osobowych, podmiot odbierający dane gwarantuje, że będzie nadal zapewniał zgodność z niniejszymi klauzulami i będzie je przetwarzał wyłącznie w zakresie i tak długo, jak wymaga tego lokalne prawo. Pozostaje to bez uszczerbku dla klauzuli 14, w szczególności wymogu, aby podmiot odbierający dane zgodnie z klauzulą 14(e) powiadamiał podmiot przekazujący dane przez cały okres obowiązywania umowy, jeśli ma powody sądzić, że podlega lub zaczął podlegać przepisom lub praktykom niezgodnym z wymogami określonymi w klauzuli 14(a).
8.6 Bezpieczeństwo przetwarzania
- Podmiot odbierający dane, a podczas ich przekazywania również podmiot przekazujący dane, wdrażają odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych, w tym ochrony przed naruszeniem bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do tych danych (zwanego dalej "naruszeniem ochrony danych osobowych"). Oceniając odpowiedni poziom bezpieczeństwa, Strony należycie uwzględniają aktualny stan wiedzy, koszty wdrożenia, charakter, zakres, kontekst i cel(e) przetwarzania oraz ryzyko związane z przetwarzaniem dla osoby, której dane dotyczą. Strony rozważają w szczególności zastosowanie szyfrowania lub pseudonimizacji, w tym podczas przesyłania, jeżeli cel przetwarzania może być w ten sposób osiągnięty. W przypadku pseudonimizacji dodatkowe informacje umożliwiające przypisanie danych osobowych do konkretnej osoby, której dane dotyczą, pozostają w miarę możliwości pod wyłączną kontrolą podmiotu przekazującego dane lub administratora danych. Wypełniając swoje obowiązki wynikające z niniejszego ustępu, podmiot odbierający dane wdraża co najmniej środki techniczne i organizacyjne określone w załączniku II. Odbierający dane przeprowadza regularne kontrole w celu zapewnienia, że środki te nadal zapewniają odpowiedni poziom bezpieczeństwa.
- Podmiot odbierający dane udziela dostępu do danych członkom swojego personelu wyłącznie w zakresie ściśle niezbędnym do realizacji, zarządzania i monitorowania umowy. Zapewnia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności.
- W przypadku naruszenia ochrony danych osobowych w odniesieniu do danych osobowych przetwarzanych przez podmiot odbierający dane na mocy niniejszych klauzul, podmiot odbierający dane podejmuje odpowiednie środki w celu zaradzenia naruszeniu, w tym środki mające na celu złagodzenie jego negatywnych skutków. Podmiot odbierający dane bez zbędnej zwłoki powiadamia również podmiot przekazujący dane oraz, w stosownych przypadkach i jeżeli jest to wykonalne, administratora danych po uzyskaniu informacji o naruszeniu. Takie powiadomienie zawiera dane punktu kontaktowego, w którym można uzyskać więcej informacji, opis charakteru naruszenia (w tym, w miarę możliwości, kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz rekordy danych osobowych, których dotyczy naruszenie), jego prawdopodobne konsekwencje oraz środki podjęte lub zaproponowane w celu zaradzenia naruszeniu ochrony danych, w tym środki mające na celu złagodzenie jego ewentualnych negatywnych skutków. Jeżeli i w zakresie, w jakim nie jest możliwe przekazanie wszystkich informacji w tym samym czasie, wstępne zawiadomienie powinno zawierać informacje dostępne w danym momencie, a dalsze informacje powinny być przekazywane bez zbędnej zwłoki w miarę ich udostępniania.
- Podmiot odbierający dane współpracuje z podmiotem przekazującym dane i pomaga mu w tym, aby umożliwić podmiotowi przekazującemu dane wywiązanie się z obowiązków wynikających z rozporządzenia (UE) 2016/679, w szczególności w celu powiadomienia administratora danych, aby ten z kolei mógł powiadomić właściwy organ nadzorczy i osoby, których dane dotyczą, z uwzględnieniem charakteru przetwarzania i informacji dostępnych podmiotowi odbierającemu dane.
8.7 Dane wrażliwe
Jeżeli przekazanie obejmuje dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych, dane genetyczne lub dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia lub życia seksualnego lub orientacji seksualnej osoby lub dane dotyczące wyroków skazujących i naruszeń prawa (zwane dalej "danymi szczególnie chronionymi"), podmiot odbierający dane stosuje szczególne ograniczenia i/lub dodatkowe zabezpieczenia określone w załączniku I.B.
8.8 Dalsze transfery
Podmiot odbierający dane ujawnia dane osobowe stronie trzeciej wyłącznie na podstawie udokumentowanych instrukcji administratora danych, przekazanych podmiotowi odbierającemu dane przez podmiot przekazujący dane. Ponadto dane mogą być ujawniane stronie trzeciej znajdującej się poza Unią Europejską (w tym samym kraju co podmiot odbierający dane lub w innym kraju trzecim, dalej "dalsze przekazywanie") tylko wtedy, gdy strona trzecia jest lub zgadza się być związana niniejszymi klauzulami, w ramach odpowiedniego modułu, lub jeśli:
- dalsze przekazywanie odbywa się do państwa korzystającego z decyzji stwierdzającej odpowiedni stopień ochrony zgodnie z art. 45 rozporządzenia (UE) 2016/679, która obejmuje dalsze przekazywanie;
- osoba trzecia w inny sposób zapewnia odpowiednie zabezpieczenia zgodnie z art. 46 lub 47 rozporządzenia (UE) 2016/679;
- dalsze przekazanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń prawnych w kontekście konkretnego postępowania administracyjnego, regulacyjnego lub sądowego; lub
- dalsze przekazanie jest konieczne w celu ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.
Wszelkie dalsze przekazywanie danych podlega przestrzeganiu przez podmiot odbierający dane wszystkich innych zabezpieczeń wynikających z niniejszych klauzul, w szczególności ograniczenia celu.
8.9 Dokumentacja i zgodność
- Podmiot odbierający dane niezwłocznie i odpowiednio rozpatruje zapytania od podmiotu przekazującego dane lub administratora danych, które odnoszą się do przetwarzania na mocy niniejszych klauzul.
- Strony muszą być w stanie wykazać zgodność z niniejszymi klauzulami. W szczególności podmiot odbierający dane przechowuje odpowiednią dokumentację dotyczącą czynności przetwarzania wykonywanych w imieniu administratora danych.
- Podmiot odbierający dane udostępnia wszelkie informacje niezbędne do wykazania zgodności z obowiązkami określonymi w niniejszych klauzulach podmiotowi przekazującemu dane, który przekazuje je administratorowi danych.
- Podmiot odbierający dane umożliwia podmiotowi przekazującemu dane przeprowadzanie audytów działań związanych z przetwarzaniem danych objętych niniejszymi klauzulami i przyczynia się do ich przeprowadzania w rozsądnych odstępach czasu lub w przypadku wystąpienia oznak niezgodności. To samo ma zastosowanie w przypadku, gdy podmiot przekazujący dane zażąda audytu na polecenie administratora danych. Podejmując decyzję o audycie, podmiot przekazujący dane może wziąć pod uwagę odpowiednie certyfikaty posiadane przez podmiot odbierający dane.
- Jeżeli audyt jest przeprowadzany na polecenie administratora, podmiot przekazujący dane udostępnia administratorowi jego wyniki.
- Przekazujący dane może przeprowadzić audyt samodzielnie lub zlecić go niezależnemu audytorowi. Audyty mogą obejmować inspekcje w pomieszczeniach lub obiektach fizycznych podmiotu odbierającego dane i, w stosownych przypadkach, są przeprowadzane z odpowiednim wyprzedzeniem.
- Strony udostępniają informacje, o których mowa w lit. b) i c), w tym wyniki wszelkich audytów, właściwemu organowi nadzorczemu na jego żądanie.
Zob. art. 28 ust. 4 rozporządzenia (UE) 2016/679 oraz, w przypadku gdy administrator jest instytucją lub organem UE, art. 29 ust. 4 rozporządzenia (UE) 2018/1725.
Porozumienie o Europejskim Obszarze Gospodarczym (Porozumienie EOG) przewiduje rozszerzenie rynku wewnętrznego Unii Europejskiej na trzy państwa EOG: Islandię, Liechtenstein i Norwegię. Unijne przepisy o ochronie danych, w tym rozporządzenie (UE) 2016/679, są objęte Porozumieniem EOG i zostały włączone do załącznika XI do tego porozumienia. W związku z tym jakiekolwiek ujawnienie danych przez podmiot odbierający dane stronie trzeciej znajdującej się w EOG nie kwalifikuje się jako dalsze przekazanie danych do celów niniejszych klauzul.
MODUŁ CZWARTY: Przeniesienie procesora do kontrolera
8.1 Instrukcje
- Podmiot przekazujący dane przetwarza dane osobowe wyłącznie na podstawie udokumentowanych instrukcji od podmiotu odbierającego dane działającego jako ich administrator.
- Przekazujący dane niezwłocznie informuje odbierającego dane, jeśli nie jest w stanie zastosować się do tych instrukcji, w tym jeśli takie instrukcje naruszają rozporządzenie (UE) 2016/679 lub inne przepisy Unii lub państwa członkowskiego dotyczące ochrony danych.
- Podmiot odbierający dane powstrzymuje się od wszelkich działań, które uniemożliwiłyby podmiotowi przekazującemu dane wypełnienie jego obowiązków wynikających z rozporządzenia (UE) 2016/679, w tym w kontekście podprzetwarzania lub współpracy z właściwymi organami nadzorczymi.
- Po zakończeniu świadczenia usług przetwarzania danych podmiot przekazujący dane, zgodnie z wyborem podmiotu odbierającego dane, usuwa wszystkie dane osobowe przetwarzane w imieniu podmiotu odbierającego dane i zaświadcza podmiotowi odbierającemu dane, że to zrobił, lub zwraca podmiotowi odbierającemu dane wszystkie dane osobowe przetwarzane w jego imieniu i usuwa istniejące kopie.
8.2 Bezpieczeństwo przetwarzania
- Strony wdrażają odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych, w tym podczas ich przesyłania, oraz ochrony przed naruszeniem bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do nich (zwanym dalej "naruszeniem ochrony danych osobowych"). Oceniając odpowiedni poziom bezpieczeństwa, należy odpowiednio uwzględnić stan wiedzy technicznej, koszty wdrożenia, charakter danych osobowych, charakter, zakres, kontekst i cel (cele) przetwarzania oraz ryzyko związane z przetwarzaniem dla osób, których dane dotyczą, a w szczególności rozważyć skorzystanie z szyfrowania lub pseudonimizacji, w tym podczas przesyłania, jeżeli cel przetwarzania może być w ten sposób osiągnięty.
- Przekazujący dane pomaga odbierającemu dane w zapewnieniu odpowiedniego bezpieczeństwa danych zgodnie z lit. a). W przypadku naruszenia ochrony danych osobowych w odniesieniu do danych osobowych przetwarzanych przez podmiot przekazujący dane na mocy niniejszych klauzul, podmiot przekazujący dane powiadamia podmiot odbierający dane bez zbędnej zwłoki po powzięciu wiadomości o naruszeniu i pomaga podmiotowi odbierającemu dane w usunięciu naruszenia.
- Podmiot przekazujący dane zapewnia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności.
8.3 Dokumentacja i zgodność
- Strony muszą być w stanie wykazać zgodność z niniejszymi klauzulami.
- Podmiot przekazujący dane udostępnia podmiotowi odbierającemu dane wszelkie informacje niezbędne do wykazania zgodności z jego zobowiązaniami wynikającymi z niniejszych klauzul oraz umożliwia przeprowadzanie audytów i przyczynia się do nich.
Obejmuje to, czy przekazywanie i dalsze przetwarzanie obejmuje dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych, dane genetyczne lub biometryczne w celu jednoznacznej identyfikacji osoby fizycznej, dane dotyczące zdrowia lub życia seksualnego lub orientacji seksualnej osoby lub dane dotyczące wyroków skazujących lub przestępstw.
Klauzula 9
Korzystanie z podprzetwarzających
MODUŁ DRUGI: Przeniesienie kontrolera do procesora
- OGÓLNE PISEMNE UPOWAŻNIENIE Odbierający dane posiada ogólne upoważnienie przekazującego dane do angażowania podwykonawców przetwarzania z uzgodnionej listy. Odbierający dane wyraźnie informuje przekazującego dane na piśmie o wszelkich zamierzonych zmianach w tym wykazie poprzez dodanie lub zastąpienie podwykonawców przetwarzania z co najmniej miesięcznym wyprzedzeniem, dając w ten sposób przekazującemu dane wystarczająco dużo czasu na zgłoszenie sprzeciwu wobec takich zmian przed zaangażowaniem podwykonawcy(-ów) przetwarzania. Podmiot odbierający dane przekazuje podmiotowi przekazującemu dane informacje niezbędne do umożliwienia podmiotowi przekazującemu dane skorzystania z prawa do sprzeciwu.
- W przypadku, gdy podmiot odbierający dane angażuje podwykonawcę przetwarzania do wykonywania określonych czynności przetwarzania (w imieniu podmiotu przekazującego dane), czyni to w drodze pisemnej umowy, która przewiduje, co do istoty, takie same obowiązki w zakresie ochrony danych, jak te wiążące podmiot odbierający dane na mocy niniejszych klauzul, w tym w zakresie praw beneficjenta będącego osobą trzecią dla osób, których dane dotyczą. Strony uzgadniają, że przestrzegając niniejszego punktu, odbierający dane wypełnia swoje zobowiązania wynikające z punktu 8.8. Podmiot odbierający dane dopilnuje, aby podwykonawca przetwarzania przestrzegał obowiązków, którym podlega podmiot odbierający dane zgodnie z niniejszymi klauzulami.
- Odbierający dane dostarcza, na żądanie przekazującego dane, kopię takiej umowy z podwykonawcą przetwarzania i wszelkich późniejszych zmian do przekazującego dane. W zakresie niezbędnym do ochrony tajemnic handlowych lub innych informacji poufnych, w tym danych osobowych, odbierający dane może zredagować tekst umowy przed udostępnieniem jej kopii.
- Odbierający dane pozostaje w pełni odpowiedzialny wobec przekazującego dane za wykonanie zobowiązań podwykonawcy przetwarzania wynikających z umowy z odbierającym dane. Podmiot odbierający dane powiadamia podmiot przekazujący dane o każdym przypadku niewypełnienia przez podwykonawcę przetwarzania jego zobowiązań wynikających z tej umowy.
- Podmiot odbierający dane uzgadnia z podwykonawcą przetwarzania klauzulę beneficjenta będącego osobą trzecią, zgodnie z którą - w przypadku gdy podmiot odbierający dane faktycznie zniknął, przestał istnieć prawnie lub stał się niewypłacalny - podmiot przekazujący dane ma prawo rozwiązać umowę z podwykonawcą przetwarzania i nakazać podwykonawcy przetwarzania usunięcie lub zwrot danych osobowych.
Wymóg ten może zostać spełniony poprzez przystąpienie przez podwykonawcę przetwarzania do niniejszych klauzul w ramach odpowiedniego modułu, zgodnie z klauzulą 7.
MODUŁ TRZECI: Przenoszenie procesora do procesora
- OGÓLNE PISEMNE UPOWAŻNIENIE Podmiot odbierający dane posiada ogólne upoważnienie administratora danych do angażowania podwykonawców przetwarzania z uzgodnionej listy. Podmiot odbierający dane wyraźnie informuje administratora danych na piśmie o wszelkich zamierzonych zmianach na tej liście poprzez dodanie lub zastąpienie podwykonawców przetwarzania z co najmniej miesięcznym wyprzedzeniem, dając w ten sposób administratorowi danych wystarczająco dużo czasu, aby mógł sprzeciwić się takim zmianom przed zaangażowaniem podwykonawcy(-ów) przetwarzania. Podmiot odbierający dane dostarcza administratorowi danych informacje niezbędne do umożliwienia administratorowi danych skorzystania z prawa do sprzeciwu. Podmiot odbierający dane informuje podmiot przekazujący dane o zaangażowaniu podwykonawcy(-ów) przetwarzania.
- W przypadku, gdy podmiot odbierający dane angażuje podwykonawcę przetwarzania do wykonywania określonych czynności przetwarzania (w imieniu administratora danych), czyni to w drodze pisemnej umowy, która przewiduje, co do istoty, takie same obowiązki w zakresie ochrony danych, jak te wiążące podmiot odbierający dane na mocy niniejszych klauzul, w tym w zakresie praw beneficjenta będącego osobą trzecią dla osób, których dane dotyczą. Strony uzgadniają, że przestrzegając niniejszego punktu, odbierający dane wypełnia swoje zobowiązania wynikające z punktu 8.8. Podmiot odbierający dane dopilnuje, aby podwykonawca przetwarzania przestrzegał obowiązków, którym podlega podmiot odbierający dane zgodnie z niniejszymi klauzulami.
- Na żądanie podmiotu przekazującego dane lub administratora danych podmiot odbierający dane dostarczy kopię takiej umowy z podwykonawcą przetwarzania oraz wszelkich późniejszych zmian. W zakresie niezbędnym do ochrony tajemnic handlowych lub innych informacji poufnych, w tym danych osobowych, odbierający dane może zredagować tekst umowy przed udostępnieniem jej kopii.
- Odbierający dane pozostaje w pełni odpowiedzialny wobec przekazującego dane za wykonanie zobowiązań podwykonawcy przetwarzania wynikających z umowy z odbierającym dane. Podmiot odbierający dane powiadamia podmiot przekazujący dane o każdym przypadku niewypełnienia przez podwykonawcę przetwarzania jego zobowiązań wynikających z tej umowy.
- Podmiot odbierający dane uzgadnia z podwykonawcą przetwarzania klauzulę beneficjenta będącego osobą trzecią, zgodnie z którą - w przypadku gdy podmiot odbierający dane faktycznie zniknął, przestał istnieć prawnie lub stał się niewypłacalny - podmiot przekazujący dane ma prawo rozwiązać umowę z podwykonawcą przetwarzania i nakazać podwykonawcy przetwarzania usunięcie lub zwrot danych osobowych.
Wymóg ten może zostać spełniony poprzez przystąpienie przez podwykonawcę przetwarzania do niniejszych klauzul w ramach odpowiedniego modułu, zgodnie z klauzulą 7.
Klauzula 10
Prawa osób, których dane dotyczą
MODUŁ JEDEN: Przekazywanie kontrolera do kontrolera
- Odbierający dane, w stosownych przypadkach z pomocą przekazującego dane, rozpatruje wszelkie zapytania i wnioski otrzymane od osoby, której dane dotyczą, dotyczące przetwarzania jej danych osobowych i wykonywania jej praw wynikających z niniejszych klauzul bez zbędnej zwłoki i najpóźniej w ciągu jednego miesiąca od otrzymania zapytania lub wniosku. Podmiot odbierający dane podejmie odpowiednie środki w celu ułatwienia takich zapytań, wniosków i wykonywania praw osób, których dane dotyczą. Wszelkie informacje przekazywane osobie, której dane dotyczą, muszą mieć zrozumiałą i łatwo dostępną formę, przy użyciu jasnego i prostego języka.
- W szczególności, na wniosek osoby, której dane dotyczą, podmiot odbierający dane bezpłatnie :
- dostarczenie osobie, której dane dotyczą, potwierdzenia, czy dane osobowe jej dotyczące są przetwarzane, a w takim przypadku kopii danych jej dotyczących oraz informacji zawartych w załączniku I; jeżeli dane osobowe zostały lub zostaną dalej przekazane, dostarczenie informacji o odbiorcach lub kategoriach odbiorców (odpowiednio w celu dostarczenia istotnych informacji), którym dane osobowe zostały lub zostaną dalej przekazane, celu takiego dalszego przekazania oraz jego podstawie zgodnie z klauzulą 8.7; oraz informować o prawie do wniesienia skargi do organu nadzorczego zgodnie z klauzulą 12(c)(i);
- sprostowania niedokładnych lub niekompletnych danych dotyczących osoby, której dane dotyczą;
- usunięcia danych osobowych dotyczących osoby, której dane dotyczą, jeżeli takie dane są lub były przetwarzane z naruszeniem którejkolwiek z niniejszych klauzul zapewniających prawa beneficjenta będącego osobą trzecią lub jeżeli osoba, której dane dotyczą, wycofa zgodę, na której opiera się przetwarzanie.
- Jeżeli podmiot odbierający dane przetwarza dane osobowe do celów marketingu bezpośredniego, zaprzestaje przetwarzania danych do takich celów, jeżeli osoba, której dane dotyczą, zgłosi sprzeciw.
- Podmiot odbierający dane nie podejmuje decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu przekazanych danych osobowych (zwanej dalej "zautomatyzowaną decyzją"), która wywoływałaby skutki prawne dotyczące osoby, której dane dotyczą, lub w podobny sposób znacząco na nią wpływała, chyba że za wyraźną zgodą osoby, której dane dotyczą, lub jeżeli jest do tego upoważniony na mocy przepisów kraju docelowego, pod warunkiem, że takie przepisy przewidują odpowiednie środki w celu ochrony praw i uzasadnionych interesów osoby, której dane dotyczą. W takim przypadku podmiot odbierający dane, w razie potrzeby we współpracy z podmiotem przekazującym dane:
- poinformować osobę, której dane dotyczą, o planowanej zautomatyzowanej decyzji, przewidywanych konsekwencjach i logice; oraz
- wdrożyć odpowiednie zabezpieczenia, co najmniej poprzez umożliwienie osobie, której dane dotyczą, zakwestionowania decyzji, wyrażenia swojego punktu widzenia i uzyskania weryfikacji przez człowieka.
- Jeżeli żądania osoby, której dane dotyczą, są nadmierne, w szczególności ze względu na ich powtarzający się charakter, podmiot odbierający dane może pobrać rozsądną opłatę uwzględniającą koszty administracyjne związane z uwzględnieniem żądania lub odmówić podjęcia działań w związku z żądaniem.
- Podmiot odbierający dane może odrzucić wniosek osoby, której dane dotyczą, jeżeli taka odmowa jest dozwolona na mocy prawa kraju przeznaczenia oraz jest konieczna i proporcjonalna w demokratycznym społeczeństwie do ochrony jednego z celów wymienionych w art. 23 ust. 1 rozporządzenia (UE) 2016/679.
- Jeśli podmiot odbierający dane zamierza odrzucić wniosek osoby, której dane dotyczą, poinformuje ją o przyczynach odmowy oraz o możliwości złożenia skargi do właściwego organu nadzorczego i/lub dochodzenia roszczeń na drodze sądowej.
Okres ten może zostać przedłużony maksymalnie o kolejne dwa miesiące, w niezbędnym zakresie, biorąc pod uwagę złożoność i liczbę wniosków. Podmiot odbierający dane należycie i niezwłocznie informuje osobę, której dane dotyczą, o każdym takim przedłużeniu.
MODUŁ DRUGI: Przeniesienie kontrolera do procesora
- Odbierający dane niezwłocznie powiadamia przekazującego dane o każdym wniosku otrzymanym od osoby, której dane dotyczą. Nie odpowiada na taki wniosek samodzielnie, chyba że został do tego upoważniony przez podmiot przekazujący dane.
- Podmiot odbierający dane pomaga podmiotowi przekazującemu dane w wypełnianiu jego obowiązków w zakresie udzielania odpowiedzi na wnioski osób, których dane dotyczą, dotyczące wykonywania ich praw na mocy rozporządzenia (UE) 2016/679. W tym względzie Strony określają w załączniku II odpowiednie środki techniczne i organizacyjne, biorąc pod uwagę charakter przetwarzania, za pomocą których udzielana jest pomoc, a także zakres i zasięg wymaganej pomocy.
- Wypełniając swoje obowiązki wynikające z lit. a) i b), odbierający dane stosuje się do instrukcji przekazującego dane.
MODUŁ TRZECI: Przenoszenie procesora do procesora
- Podmiot odbierający dane niezwłocznie powiadamia podmiot przekazujący dane oraz, w stosownych przypadkach, administratora danych o każdym żądaniu otrzymanym od osoby, której dane dotyczą, nie odpowiadając na to żądanie, chyba że został do tego upoważniony przez administratora danych.
- Podmiot odbierający dane pomaga administratorowi, w stosownych przypadkach we współpracy z podmiotem przekazującym dane, w wypełnianiu jego obowiązków w zakresie odpowiadania na wnioski osób, których dane dotyczą, o skorzystanie z ich praw na mocy, odpowiednio, rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725. W tym względzie Strony określają w załączniku II odpowiednie środki techniczne i organizacyjne, biorąc pod uwagę charakter przetwarzania, za pomocą których udzielana jest pomoc, a także zakres i zasięg wymaganej pomocy.
- Wypełniając swoje obowiązki wynikające z lit. a) i b), podmiot odbierający dane stosuje się do instrukcji administratora danych przekazanych przez podmiot przekazujący dane.
MODUŁ CZWARTY: Przeniesienie procesora do kontrolera
Strony pomagają sobie nawzajem w udzielaniu odpowiedzi na zapytania i wnioski składane przez osoby, których dane dotyczą, zgodnie z prawem lokalnym mającym zastosowanie do podmiotu odbierającego dane lub, w przypadku przetwarzania danych przez podmiot przekazujący dane w UE, zgodnie z rozporządzeniem (UE) 2016/679.
Klauzula 11
Zadośćuczynienie
- Podmiot odbierający dane informuje osoby, których dane dotyczą, w przejrzystym i łatwo dostępnym formacie, poprzez indywidualne zawiadomienie lub na swojej stronie internetowej, o punkcie kontaktowym upoważnionym do rozpatrywania skarg. Podmiot odbierający dane niezwłocznie rozpatruje wszelkie skargi otrzymane od osób, których dane dotyczą.
Podmiot odbierający dane może oferować niezależne rozstrzyganie sporów za pośrednictwem organu arbitrażowego tylko wtedy, gdy ma on siedzibę w kraju, który ratyfikował Konwencję nowojorską o wykonywaniu orzeczeń arbitrażowych.
MODUŁ JEDEN: Przekazywanie kontrolera do kontrolera
MODUŁ DRUGI: Przeniesienie kontrolera do procesora
MODUŁ TRZECI: Przenoszenie procesora do procesora
- W przypadku sporu między osobą, której dane dotyczą, a jedną ze Stron w odniesieniu do zgodności z niniejszymi klauzulami, Strona ta dołoży wszelkich starań, aby rozwiązać kwestię polubownie w odpowiednim czasie. Strony informują się wzajemnie o takich sporach i, w stosownych przypadkach, współpracują przy ich rozwiązywaniu.
- Jeżeli osoba, której dane dotyczą, powołuje się na prawo beneficjenta będącego osobą trzecią zgodnie z klauzulą 3, podmiot odbierający dane akceptuje decyzję osoby, której dane dotyczą:
- złożyć skargę do organu nadzorczego w państwie członkowskim swojego zwykłego pobytu lub miejsca pracy lub do właściwego organu nadzorczego zgodnie z klauzulą 13;
- przekazać spór do właściwego sądu w rozumieniu klauzuli 18.
- Strony akceptują, że osoba, której dane dotyczą, może być reprezentowana przez podmiot, organizację lub stowarzyszenie nienastawione na zysk na warunkach określonych w art. 80 ust. 1 rozporządzenia (UE) 2016/679.
- Podmiot odbierający dane stosuje się do decyzji, która jest wiążąca na mocy obowiązującego prawa UE lub państwa członkowskiego.
- Podmiot odbierający dane zgadza się, że wybór dokonany przez osobę, której dane dotyczą, nie narusza jej materialnych i proceduralnych praw do dochodzenia roszczeń zgodnie z obowiązującymi przepisami.
Klauzula 12
Odpowiedzialność
MODUŁ JEDEN: Przekazywanie kontrolera do kontrolera
MODUŁ CZWARTY: Przeniesienie procesora do kontrolera
- Każda ze Stron ponosi odpowiedzialność wobec drugiej Strony za wszelkie szkody wyrządzone drugiej Stronie w wyniku naruszenia niniejszych Klauzul.
- Każda ze Stron ponosi odpowiedzialność wobec osoby, której dane dotyczą, a osoba, której dane dotyczą, jest uprawniona do otrzymania odszkodowania za wszelkie szkody materialne lub niematerialne, które Strona wyrządziła osobie, której dane dotyczą, poprzez naruszenie praw beneficjenta będącego osobą trzecią na mocy niniejszych klauzul. Pozostaje to bez uszczerbku dla odpowiedzialności podmiotu przekazującego dane na mocy rozporządzenia (UE) 2016/679.
- W przypadku, gdy więcej niż jedna Strona jest odpowiedzialna za jakąkolwiek szkodę wyrządzoną osobie, której dane dotyczą, w wyniku naruszenia niniejszych klauzul, wszystkie odpowiedzialne Strony ponoszą odpowiedzialność solidarną, a osoba, której dane dotyczą, jest uprawniona do wniesienia powództwa do sądu przeciwko którejkolwiek z tych Stron.
- Strony uzgadniają, że jeżeli jedna ze Stron zostanie uznana za odpowiedzialną na mocy ustępu (c), będzie ona uprawniona do żądania od drugiej Strony (Stron) zwrotu części odszkodowania odpowiadającej jej (ich) odpowiedzialności za szkodę.
- Podmiot odbierający dane nie może powoływać się na postępowanie podmiotu przetwarzającego lub podprzetwarzającego w celu uniknięcia własnej odpowiedzialności.
MODUŁ DRUGI: Przeniesienie kontrolera do procesora
MODUŁ TRZECI: Przenoszenie procesora do procesora
- Każda ze Stron ponosi odpowiedzialność wobec drugiej Strony za wszelkie szkody wyrządzone drugiej Stronie w wyniku naruszenia niniejszych Klauzul.
- Odbierający dane ponosi odpowiedzialność wobec osoby, której dane dotyczą, a osoba, której dane dotyczą, jest uprawniona do otrzymania odszkodowania za wszelkie szkody materialne lub niematerialne, które odbierający dane lub jego podwykonawca przetwarzania wyrządza osobie, której dane dotyczą, poprzez naruszenie praw beneficjenta będącego osobą trzecią na mocy niniejszych klauzul.
- Niezależnie od lit. b) przekazujący dane ponosi odpowiedzialność wobec osoby, której dane dotyczą, a osoba, której dane dotyczą, jest uprawniona do otrzymania odszkodowania za wszelkie szkody materialne lub niematerialne, które przekazujący dane lub odbierający dane (lub jego podwykonawca przetwarzania) wyrządza osobie, której dane dotyczą, naruszając prawa beneficjenta będącego osobą trzecią na mocy niniejszych klauzul. Pozostaje to bez uszczerbku dla odpowiedzialności podmiotu przekazującego dane oraz, w przypadku gdy podmiot przekazujący dane jest podmiotem przetwarzającym dane działającym w imieniu administratora danych, dla odpowiedzialności administratora danych na mocy, odpowiednio, rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725.
- Strony uzgadniają, że jeśli podmiot przekazujący dane zostanie pociągnięty do odpowiedzialności na mocy lit. c) za szkody spowodowane przez podmiot odbierający dane (lub jego podwykonawcę przetwarzania), będzie on uprawniony do żądania od podmiotu odbierającego dane zwrotu części odszkodowania odpowiadającej odpowiedzialności podmiotu odbierającego dane za szkodę.
- W przypadku, gdy więcej niż jedna Strona jest odpowiedzialna za jakąkolwiek szkodę wyrządzoną osobie, której dane dotyczą, w wyniku naruszenia niniejszych klauzul, wszystkie odpowiedzialne Strony ponoszą odpowiedzialność solidarną, a osoba, której dane dotyczą, jest uprawniona do wniesienia powództwa do sądu przeciwko którejkolwiek z tych Stron.
- Strony uzgadniają, że jeżeli jedna ze Stron zostanie uznana za odpowiedzialną na podstawie ustępu (e), będzie ona uprawniona do żądania od drugiej Strony (Stron) zwrotu części odszkodowania odpowiadającej jej (ich) odpowiedzialności za szkodę.
- Podmiot odbierający dane nie może powoływać się na zachowanie podwykonawcy przetwarzania w celu uniknięcia własnej odpowiedzialności.
Klauzula 13
Nadzór
MODUŁ JEDEN: Przekazywanie kontrolera do kontrolera
MODUŁ DRUGI: Przeniesienie kontrolera do procesora
MODUŁ TRZECI: Przenoszenie procesora do procesora
- Organ nadzorczy odpowiedzialny za zapewnienie przestrzegania przez podmiot przekazujący dane rozporządzenia (UE) 2016/679 w odniesieniu do przekazywania danych, jak wskazano w załączniku I.C, działa jako właściwy organ nadzorczy.
Organ nadzorczy państwa członkowskiego, w którym siedzibę ma przedstawiciel w rozumieniu art. 27 ust. 1 rozporządzenia (UE) 2016/679, wskazany w załączniku I.C, działa jako właściwy organ nadzorczy.
Organ nadzorczy jednego z państw członkowskich, w którym znajdują się osoby, których dane osobowe są przekazywane na mocy niniejszych klauzul w związku z oferowaniem im towarów lub usług lub których zachowanie jest monitorowane, jak wskazano w załączniku I.C, działa jako właściwy organ nadzorczy.
- Odbierający dane zgadza się poddać jurysdykcji właściwego organu nadzorczego i współpracować z nim w ramach wszelkich procedur mających na celu zapewnienie zgodności z niniejszymi klauzulami. W szczególności podmiot odbierający dane zgadza się odpowiadać na zapytania, poddawać się audytom i stosować się do środków przyjętych przez organ nadzorczy, w tym środków naprawczych i kompensacyjnych. Dostarczy organowi nadzorczemu pisemne potwierdzenie podjęcia niezbędnych działań.
SEKCJA III - LOKALNE PRZEPISY PRAWA I OBOWIĄZKI W PRZYPADKU DOSTĘPU WŁADZ PUBLICZNYCH
Klauzula 14
Lokalne przepisy i praktyki wpływające na zgodność z klauzulami
MODUŁ JEDEN: Przekazywanie kontrolera do kontrolera
MODUŁ DRUGI: Przeniesienie kontrolera do procesora
MODUŁ TRZECI: Przenoszenie procesora do procesora
MODUŁ CZWARTY: Przekazanie danych przez podmiot przetwarzający administratorowi (w przypadku gdy podmiot przetwarzający z UE łączy dane osobowe otrzymane od administratora z państwa trzeciego z danymi osobowymi zebranymi przez podmiot przetwarzający w UE)
- Strony gwarantują, że nie mają powodu, aby sądzić, że przepisy i praktyki w docelowym państwie trzecim mające zastosowanie do przetwarzania danych osobowych przez podmiot odbierający dane, w tym wszelkie wymogi dotyczące ujawniania danych osobowych lub środki umożliwiające dostęp organom publicznym, uniemożliwiają podmiotowi odbierającemu dane wypełnienie jego zobowiązań wynikających z niniejszych klauzul. Opiera się to na założeniu, że przepisy i praktyki, które szanują istotę podstawowych praw i wolności oraz nie wykraczają poza to, co jest konieczne i proporcjonalne w demokratycznym społeczeństwie do ochrony jednego z celów wymienionych w art. 23 ust. 1 rozporządzenia (UE) 2016/679, nie są sprzeczne z niniejszymi klauzulami.
- Strony oświadczają, że udzielając gwarancji, o której mowa w punkcie (a), należycie uwzględniły w szczególności następujące elementy:
- szczególne okoliczności przekazania, w tym długość łańcucha przetwarzania, liczba zaangażowanych podmiotów i wykorzystywane kanały transmisji; zamierzone dalsze przekazanie; rodzaj odbiorcy; cel przetwarzania; kategorie i format przekazywanych danych osobowych; sektor gospodarczy, w którym następuje przekazanie; miejsce przechowywania przekazanych danych;
- przepisy i praktyki obowiązujące w docelowym państwie trzecim - w tym przepisy i praktyki wymagające ujawnienia danych organom publicznym lub zezwalające takim organom na dostęp do danych - istotne w świetle konkretnych okoliczności przekazania oraz obowiązujących ograniczeń i zabezpieczeń;
- wszelkie odpowiednie zabezpieczenia umowne, techniczne lub organizacyjne wprowadzone w celu uzupełnienia zabezpieczeń wynikających z niniejszych klauzul, w tym środki stosowane podczas przesyłania i przetwarzania danych osobowych w kraju przeznaczenia.
- Podmiot odbierający dane gwarantuje, że przeprowadzając ocenę zgodnie z lit. b), dołożył wszelkich starań, aby dostarczyć podmiotowi przekazującemu dane odpowiednie informacje i zgadza się, że będzie nadal współpracować z podmiotem przekazującym dane w celu zapewnienia zgodności z niniejszymi klauzulami.
- Strony postanawiają udokumentować ocenę przeprowadzoną zgodnie z ustępem (b) i udostępnić ją właściwemu organowi nadzorczemu na jego żądanie.
- Podmiot odbierający dane zgadza się niezwłocznie powiadomić podmiot przekazujący dane, jeśli po wyrażeniu zgody na niniejsze klauzule i w okresie obowiązywania umowy ma powody, by sądzić, że podlega lub zaczął podlegać przepisom lub praktykom niezgodnym z wymogami określonymi w ust. a), w tym w wyniku zmiany przepisów państwa trzeciego lub środka (takiego jak wniosek o ujawnienie) wskazującego na stosowanie takich przepisów w praktyce, które nie są zgodne z wymogami określonymi w ust. a).
- W następstwie powiadomienia zgodnie z lit. e) lub jeśli przekazujący dane ma inne powody, by sądzić, że odbierający dane nie może już wypełniać swoich obowiązków wynikających z niniejszych klauzul, przekazujący dane niezwłocznie określa odpowiednie środki (np. środki techniczne lub organizacyjne w celu zapewnienia bezpieczeństwa i poufności), które mają zostać przyjęte przez przekazującego dane i/lub odbierającego dane w celu zaradzenia tej sytuacji. Przekazujący dane zawiesi przekazywanie danych, jeśli uzna, że nie można zapewnić odpowiednich zabezpieczeń takiego przekazywania lub jeśli zostanie o to poproszony przez właściwy organ nadzorczy. W takim przypadku podmiot przekazujący dane będzie uprawniony do rozwiązania umowy w zakresie, w jakim dotyczy ona przetwarzania danych osobowych na mocy niniejszych klauzul. Jeśli umowa obejmuje więcej niż dwie Strony, podmiot przekazujący dane może skorzystać z tego prawa do rozwiązania umowy tylko w odniesieniu do odpowiedniej Strony, chyba że Strony uzgodniły inaczej. W przypadku rozwiązania umowy zgodnie z niniejszą klauzulą zastosowanie ma klauzula 16(d) i (e).
Jeśli chodzi o wpływ takich przepisów i praktyk na zgodność z niniejszymi klauzulami, w ramach ogólnej oceny można wziąć pod uwagę różne elementy. Takie elementy mogą obejmować odpowiednie i udokumentowane praktyczne doświadczenie z wcześniejszymi przypadkami wniosków o ujawnienie od organów publicznych lub brak takich wniosków, obejmujących wystarczająco reprezentatywne ramy czasowe. Odnosi się to w szczególności do wewnętrznych rejestrów lub innej dokumentacji, sporządzanej w sposób ciągły zgodnie z należytą starannością i poświadczonej na poziomie kierownictwa wyższego szczebla, pod warunkiem, że informacje te mogą być zgodnie z prawem udostępniane stronom trzecim. W przypadku, gdy opiera się na tym praktycznym doświadczeniu, aby stwierdzić, że podmiot odbierający dane nie będzie miał przeszkód w przestrzeganiu niniejszych klauzul, musi ono być poparte innymi istotnymi, obiektywnymi elementami, a do Stron należy staranne rozważenie, czy te elementy razem mają wystarczającą wagę, pod względem ich wiarygodności i reprezentatywności, aby poprzeć ten wniosek. W szczególności Strony muszą wziąć pod uwagę, czy ich praktyczne doświadczenie jest potwierdzone i nie jest sprzeczne z publicznie dostępnymi lub w inny sposób dostępnymi, wiarygodnymi informacjami na temat istnienia lub braku wniosków w tym samym sektorze i/lub stosowania prawa w praktyce, takimi jak orzecznictwo i sprawozdania niezależnych organów nadzoru.
Klauzula 15
Obowiązki podmiotu odbierającego dane w przypadku dostępu organów publicznych
MODUŁ JEDEN: Przekazywanie kontrolera do kontrolera
MODUŁ DRUGI: Przeniesienie kontrolera do procesora
MODUŁ TRZECI: Przenoszenie procesora do procesora
MODUŁ CZWARTY: Przekazanie danych przez podmiot przetwarzający administratorowi (w przypadku gdy podmiot przetwarzający z UE łączy dane osobowe otrzymane od administratora z państwa trzeciego z danymi osobowymi zebranymi przez podmiot przetwarzający w UE)
15.1 Powiadomienie
- Podmiot odbierający dane zgadza się niezwłocznie powiadomić podmiot przekazujący dane oraz, w miarę możliwości, osobę, której dane dotyczą (w razie potrzeby z pomocą podmiotu przekazującego dane), jeśli:
- otrzyma prawnie wiążący wniosek od organu publicznego, w tym organów sądowych, zgodnie z prawem kraju docelowego, o ujawnienie danych osobowych przekazanych zgodnie z niniejszymi klauzulami; takie powiadomienie zawiera informacje o żądanych danych osobowych, organie wnioskującym, podstawie prawnej wniosku i udzielonej odpowiedzi; lub
- dowie się o jakimkolwiek bezpośrednim dostępie organów publicznych do danych osobowych przekazywanych na mocy niniejszych klauzul zgodnie z prawem kraju przeznaczenia; takie powiadomienie powinno zawierać wszystkie informacje dostępne importerowi.
- Jeśli odbierający dane ma zakaz powiadamiania przekazującego dane i/lub osoby, której dane dotyczą, zgodnie z prawem kraju przeznaczenia, odbierający dane zgadza się dołożyć wszelkich starań, aby uzyskać zwolnienie z zakazu, w celu jak najszybszego przekazania jak największej ilości informacji. Odbierający dane zgadza się udokumentować swoje starania, aby móc je wykazać na żądanie przekazującego dane.
- O ile jest to dopuszczalne na mocy prawa kraju przeznaczenia, podmiot odbierający dane zgadza się dostarczać podmiotowi przekazującemu dane, w regularnych odstępach czasu przez cały okres obowiązywania umowy, jak najwięcej istotnych informacji na temat otrzymanych wniosków (w szczególności liczbę wniosków, rodzaj żądanych danych, organ/organy wnioskujące, czy wnioski zostały zakwestionowane i wynik takich skarg itp.)
- Podmiot odbierający dane zgadza się przechowywać informacje zgodnie z lit. a)-c) przez okres obowiązywania umowy i udostępniać je właściwemu organowi nadzorczemu na żądanie.
- Ustępy (a) do (c) pozostają bez uszczerbku dla obowiązku podmiotu odbierającego dane zgodnie z Klauzulą 14(e) i Klauzulą 16 do niezwłocznego poinformowania podmiotu przekazującego dane w przypadku, gdy nie jest on w stanie zastosować się do tych klauzul.
15.2 Przegląd legalności i minimalizacji danych
- Podmiot odbierający dane zgadza się sprawdzić zgodność z prawem wniosku o ujawnienie danych, w szczególności, czy mieści się on w zakresie uprawnień przyznanych organowi publicznemu składającemu wniosek, oraz zakwestionować wniosek, jeśli po dokładnej ocenie dojdzie do wniosku, że istnieją uzasadnione podstawy, aby uznać, że wniosek jest niezgodny z prawem na mocy przepisów kraju przeznaczenia, mających zastosowanie zobowiązań wynikających z prawa międzynarodowego i zasad współżycia międzynarodowego. Na tych samych warunkach odbierający dane korzysta z możliwości odwołania. Kwestionując wniosek, podmiot odbierający dane dąży do zastosowania środków tymczasowych w celu zawieszenia skutków wniosku do czasu podjęcia przez właściwy organ sądowy decyzji co do jego zasadności. Nie ujawnia żądanych danych osobowych, dopóki nie jest do tego zobowiązany zgodnie z obowiązującymi przepisami proceduralnymi. Wymogi te pozostają bez uszczerbku dla obowiązków podmiotu odbierającego dane wynikających z klauzuli 14(e).
- Podmiot odbierający dane zgadza się udokumentować swoją ocenę prawną i wszelkie kwestionowanie wniosku o ujawnienie oraz, w zakresie dopuszczalnym przez prawo kraju przeznaczenia, udostępnić dokumentację podmiotowi przekazującemu dane. Na żądanie udostępni ją również właściwemu organowi nadzorczemu.
- Podmiot odbierający dane zgadza się dostarczyć minimalną dopuszczalną ilość informacji w odpowiedzi na wniosek o ujawnienie, w oparciu o rozsądną interpretację wniosku.
SEKCJA IV - POSTANOWIENIA KOŃCOWE
Klauzula 16
Nieprzestrzeganie klauzul i rozwiązanie umowy
- Podmiot odbierający dane niezwłocznie poinformuje podmiot przekazujący dane, jeśli z jakiegokolwiek powodu nie będzie w stanie zastosować się do niniejszych klauzul.
- W przypadku, gdy podmiot odbierający dane narusza niniejsze klauzule lub nie jest w stanie ich przestrzegać, podmiot przekazujący dane zawiesza przekazywanie danych osobowych podmiotowi odbierającemu dane do czasu ponownego zapewnienia zgodności lub rozwiązania umowy. Pozostaje to bez uszczerbku dla klauzuli 14(f).
- Przekazujący dane jest uprawniony do rozwiązania umowy w zakresie, w jakim dotyczy ona przetwarzania danych osobowych na podstawie niniejszych klauzul, w przypadku gdy:
- podmiot przekazujący dane zawiesił przekazywanie danych osobowych podmiotowi odbierającemu dane zgodnie z lit. b), a zgodność z niniejszymi klauzulami nie została przywrócona w rozsądnym terminie, a w każdym razie w ciągu jednego miesiąca od zawieszenia;
- podmiot odbierający dane narusza niniejsze klauzule w sposób istotny lub uporczywy; lub
- podmiot odbierający dane nie zastosuje się do wiążącej decyzji właściwego sądu lub organu nadzorczego dotyczącej jego obowiązków wynikających z niniejszych klauzul.
W takich przypadkach informuje on właściwy organ nadzorczy o takiej niezgodności. W przypadku, gdy umowa obejmuje więcej niż dwie Strony, podmiot przekazujący dane może skorzystać z prawa do rozwiązania umowy wyłącznie w odniesieniu do odpowiedniej Strony, chyba że Strony uzgodniły inaczej.
- Podmiot odbierający dane poświadcza usunięcie danych podmiotowi przekazującemu dane. Do czasu usunięcia lub zwrotu danych podmiot odbierający dane będzie nadal zapewniał zgodność z niniejszymi klauzulami. W przypadku lokalnych przepisów mających zastosowanie do podmiotu odbierającego dane, które zabraniają zwrotu lub usunięcia przekazanych danych osobowych, podmiot odbierający dane gwarantuje, że będzie nadal zapewniał zgodność z niniejszymi klauzulami i będzie przetwarzał dane wyłącznie w zakresie i tak długo, jak wymaga tego lokalne prawo.
- Każda ze Stron może cofnąć swoją zgodę na związanie się niniejszymi klauzulami, jeżeli (i) Komisja Europejska przyjmie decyzję zgodnie z art. 45 ust. 3 rozporządzenia (UE) 2016/679, która obejmuje przekazywanie danych osobowych, do których mają zastosowanie niniejsze klauzule; lub (ii) rozporządzenie (UE) 2016/679 stanie się częścią ram prawnych kraju, do którego przekazywane są dane osobowe. Pozostaje to bez uszczerbku dla innych obowiązków mających zastosowanie do danego przetwarzania na mocy rozporządzenia (UE) 2016/679.
Klauzula 17
Prawo właściwe
MODUŁ JEDEN: Przekazywanie kontrolera do kontrolera
MODUŁ DRUGI: Przeniesienie kontrolera do procesora
MODUŁ TRZECI: Przenoszenie procesora do procesora
Niniejsze klauzule podlegają prawu jednego z państw członkowskich UE, pod warunkiem, że prawo to zezwala na prawa beneficjenta będącego osobą trzecią. Strony uzgadniają, że będzie to prawo państwa członkowskiego UE, w którym podmiot przekazujący dane zamieścił adnotację w Umowie Zlecenia.
MODUŁ CZWARTY: Przeniesienie procesora do kontrolera
Niniejsze klauzule podlegają prawu kraju zezwalającego na prawa beneficjenta będącego osobą trzecią. Strony uzgadniają, że będzie to kraj członkowski UE, w którym eksporter danych odnotował w Umowie Zamówienia.
Klauzula 18
Wybór forum i jurysdykcji
MODUŁ JEDEN: Przekazywanie kontrolera do kontrolera
MODUŁ DRUGI: Przeniesienie kontrolera do procesora
MODUŁ TRZECI: Przenoszenie procesora do procesora
- Wszelkie spory wynikające z niniejszych klauzul będą rozstrzygane przez sądy państwa członkowskiego UE.
- Strony uzgadniają, że będą to sądy Irlandii.
- Osoba, której dane dotyczą, może również wszcząć postępowanie sądowe przeciwko podmiotowi przekazującemu i/lub odbierającemu dane przed sądami państwa członkowskiego, w którym ma miejsce zwykłego pobytu.
- Strony zgadzają się poddać jurysdykcji takich sądów.
MODUŁ CZWARTY: Przeniesienie procesora do kontrolera
Wszelkie spory wynikające z niniejszych klauzul będą rozstrzygane przez sądy w Irlandii.
DODATEK
NOTA WYJAŚNIAJĄCA:
Musi istnieć możliwość wyraźnego rozróżnienia informacji mających zastosowanie do każdego przekazania lub kategorii przekazań oraz, w tym względzie, określenia odpowiedniej roli (ról) Stron jako podmiotów przekazujących dane i/lub podmiotów odbierających dane. Nie musi to wymagać wypełniania i podpisywania oddzielnych załączników dla każdego przekazania/kategorii przekazań i/lub stosunku umownego, w przypadku gdy przejrzystość można osiągnąć za pomocą jednego załącznika. Jednak tam, gdzie jest to konieczne dla zapewnienia wystarczającej jasności, należy stosować oddzielne załączniki.
ZAŁĄCZNIK I
NOTA WYJAŚNIAJĄCA:
A. LISTA STRON
MODUŁ JEDEN: Przekazywanie kontrolera do kontrolera
MODUŁ DRUGI: Przeniesienie kontrolera do procesora
MODUŁ TRZECI: Przenoszenie procesora do procesora
MODUŁ CZWARTY: Przeniesienie procesora do kontrolera
Eksporter(zy) danych:
Prosimy o zapoznanie się z podpisaną Umową Zamówienia.
Importer(zy) danych:
BigTime Software
Adres:
311 South Wacker Dr. Suite 2300;
Tel: +1 (617) 431-4111
e-mail: privacy@projectorpsa.com
B. OPIS PRZENIESIENIA
MODUŁ JEDEN: Przekazywanie kontrolera do kontrolera
MODUŁ DRUGI: Przeniesienie kontrolera do procesora
MODUŁ TRZECI: Przenoszenie procesora do procesora
MODUŁ CZWARTY: Przeniesienie procesora do kontrolera
Kategorie osób, których dane dotyczą, których dane osobowe są przekazywane:
Oznacza podzbiór Danych Osobowych przetwarzanych przez Usługodawcę lub IMPORTERA DANYCH. Dane Osobowe Aplikacji obejmują następujące Dane Osobowe: imię i nazwisko, adres e-mail, czas przepracowany, czas nieprzepracowany, poniesione wydatki, projekty, nad którymi pracowano, umiejętności i życiorysy. Nie obejmują one danych biometrycznych, danych genetycznych ani danych dotyczących zdrowia w rozumieniu RODO. Nie obejmuje również numerów identyfikacyjnych wydanych przez rząd.
.............................
Kategorie przekazywanych danych osobowych:
Zobacz powyżej.
.............................
Przekazane dane wrażliwe (jeśli dotyczy) i zastosowane ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych i związane z nimi ryzyko, takie jak na przykład ścisłe ograniczenie celu, ograniczenia dostępu (w tym dostęp tylko dla pracowników, którzy przeszli specjalistyczne szkolenie), prowadzenie rejestru dostępu do danych, ograniczenia dotyczące dalszego przekazywania lub dodatkowe środki bezpieczeństwa:
Nie dotyczy.
.............................
Częstotliwość przesyłania danych (np. czy dane są przesyłane jednorazowo czy w sposób ciągły).
Ciągły.
.............................
Charakter przetwarzania
Operacje biznesowe.
.............................
Cel(e) przekazywania i dalszego przetwarzania danych
Wspieranie aplikacji SaaS w celu zapewnienia organizacjom świadczącym usługi profesjonalne możliwości efektywnego prowadzenia działalności.
.............................
Okres, przez który dane osobowe będą przechowywane lub, jeśli nie jest to możliwe, kryteria stosowane do określenia tego okresu:
Tak długo, jak Eksporter Danych jest z nami związany umową. Następnie, o ile nie zostaniemy powiadomieni inaczej, będziemy zarządzać danymi zgodnie z naszymi zasadami przechowywania danych określonymi w naszym audycie SOC 1 typu II.
.............................
W przypadku przekazywania danych (pod)podmiotom przetwarzającym należy również określić przedmiot, charakter i czas trwania przetwarzania:
Dane są przechowywane wyłącznie przez okres obowiązywania umowy. Wszyscy podwykonawcy przetwarzania danych zachowują zgodność z RODO i SOC.
.............................
C. WŁAŚCIWY ORGAN NADZORCZY
MODUŁ JEDEN: Przekazywanie kontrolera do kontrolera
MODUŁ DRUGI: Przeniesienie kontrolera do procesora
MODUŁ TRZECI: Przenoszenie procesora do procesora
Wskazanie właściwego organu nadzorczego zgodnie z klauzulą 13:
BigTime software współpracuje z zewnętrznymi dostawcami usług prawnych i audytowych, aby zapewnić kompetentny nadzór nad naszą zgodnością z przepisami.
...............................
ZAŁĄCZNIK II - ŚRODKI TECHNICZNE I ORGANIZACYJNE, W TYM ŚRODKI TECHNICZNE I ORGANIZACYJNE ZAPEWNIAJĄCE BEZPIECZEŃSTWO DANYCH
MODUŁ JEDEN: Przekazywanie kontrolera do kontrolera
MODUŁ DRUGI: Przeniesienie kontrolera do procesora
MODUŁ TRZECI: Przenoszenie procesora do procesora
NOTA WYJAŚNIAJĄCA:
Środki techniczne i organizacyjne muszą być opisane w sposób szczegółowy (a nie ogólny). Zob. również ogólna uwaga na pierwszej stronie dodatku, w szczególności dotycząca potrzeby wyraźnego wskazania, które środki mają zastosowanie do każdego transferu/zestawu transferów.
Opis środków technicznych i organizacyjnych wdrożonych przez podmiot(-y) odbierający(-e) dane (w tym wszelkich stosownych certyfikatów) w celu zapewnienia odpowiedniego poziomu bezpieczeństwa, z uwzględnieniem charakteru, zakresu, kontekstu i celu przetwarzania oraz zagrożeń dla praw i wolności osób fizycznych.
Przetwarzanie danych odbywa się w systemach przetwarzania danych, dla których wdrożono techniczne i organizacyjne środki ochrony danych osobowych. W tym kontekście IMPORTER DANYCH zapewnia EKSPORTERA DANYCH, że wdroży odpowiednie środki dotyczące ochrony danych opisane w aktualnym raporcie SOC IMPORTERA DANYCH, który jest dostępny dla EKSPORTERA DANYCH na żądanie.
W przypadku przekazywania danych (pod)podmiotom przetwarzającym dane należy również opisać konkretne środki techniczne i organizacyjne, które mają zostać podjęte przez (pod)podmiot przetwarzający dane, aby był on w stanie udzielić pomocy administratorowi danych oraz, w przypadku przekazywania danych przez podmiot przetwarzający podprzetwarzającemu dane, przekazującemu dane.
ZAŁĄCZNIK III - WYKAZ PODPRZETWARZAJĄCYCH
MODUŁ DRUGI: Przeniesienie kontrolera do procesora
MODUŁ TRZECI: Przenoszenie procesora do procesora
NOTA WYJAŚNIAJĄCA:
Niniejszy załącznik musi zostać wypełniony dla Modułów Drugiego i Trzeciego, w przypadku szczególnej autoryzacji podprzetwarzających (Klauzula 9(a), Opcja 1).
Administrator zezwolił na korzystanie z usług następujących podwykonawców przetwarzania:
Wszystkie podprocesory są utrzymywane i wymienione tutaj: https://www.projectorpsa.com/legal/subprocessors/