EUR-Lex Prieiga prie Europos Sąjungos teisės

Grįžti į „EUR-Lex“ pradžios puslapį

Šis dokumentas gautas iš interneto svetainės „EUR-Lex“

Dokumentas 32021D0914

Komisijos įgyvendinimo sprendimas (ES) 2021/914 2021 m. birželio 4 d. dėl standartinių sutarčių sąlygų, kuriomis asmens duomenys perduodami į trečiąsias valstybes pagal Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 (Tekstas svarbus EEE)

C/2021/3972

OL L 199, 2021 6 7, p. 31—61 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Galioja

ELI: http://data.europa.eu/eli/dec_impl/2021/914/oj

2021 6 7   

LT

Europos Sąjungos oficialusis leidinys

L 199/31


KOMISIJOS ĮGYVENDINIMO SPRENDIMAS (ES) 2021/914

2021 m. birželio 4 d.

dėl standartinių sutarčių sąlygų, kuriomis asmens duomenys perduodami į trečiąsias valstybes pagal Europos Parlamento ir Tarybos reglamentą (ES) 2016/679

(Tekstas svarbus EEE)

EUROPOS KOMISIJA,

atsižvelgdama į Sutartį dėl Europos Sąjungos veikimo,

atsižvelgdama į 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – Bendrasis duomenų apsaugos reglamentas) (1), ypač į jo 28 straipsnio 7 dalį ir 46 straipsnio 2 dalies c punktą,

kadangi:

(1)

technologiniai pokyčiai sudaro palankesnes sąlygas tarpvalstybiniams duomenų srautams, kurie būtini tarptautiniam bendradarbiavimui ir tarptautinei prekybai plėsti. Tuo pat metu reikia užtikrinti, kad nebūtų sumažintas Reglamentu (ES) 2016/679 užtikrinamas fizinių asmenų apsaugos lygis, kai asmens duomenys perduodami į trečiąsias valstybes, įskaitant tolesnio duomenų perdavimo atvejais (2). Reglamento (ES) 2016/679 V skyriaus nuostatomis dėl duomenų perdavimo siekiama užtikrinti šio aukšto apsaugos lygio tęstinumą, kai asmens duomenys perduodami į trečiąją valstybę (3);

(2)

pagal Reglamento (ES) 2016/679 46 straipsnio 1 dalį, jei nėra Komisijos sprendimo dėl tinkamumo pagal 45 straipsnio 3 dalį, duomenų valdytojas arba duomenų tvarkytojas gali perduoti asmens duomenis į trečiąją valstybę tik tuo atveju, jei jis yra nustatęs tinkamas apsaugos priemones, su sąlyga, kad suteikiama galimybė naudotis vykdytinomis duomenų subjektų teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis. Tokios apsaugos priemonės gali būti nustatytos standartinėse duomenų apsaugos sąlygose, kurias Komisija priima pagal 46 straipsnio 2 dalies c punktą;

(3)

standartinėmis sutarčių sąlygomis tik užtikrinamos tinkamos tarptautinio duomenų perdavimo duomenų apsaugos priemonės. Todėl duomenų valdytojas arba duomenų tvarkytojas, perduodantis asmens duomenis į trečiąją valstybę (toliau – duomenų eksportuotojas), ir duomenų valdytojas arba duomenų tvarkytojas, gaunantis asmens duomenis (toliau – duomenų importuotojas), gali nevaržomai įtraukti tas standartines sutarčių sąlygas į platesnę sutartį ir įtraukti kitas sąlygas arba papildomas apsaugos priemones, jei jos tiesiogiai ar netiesiogiai neprieštarauja standartinėms sutarčių sąlygoms arba nepažeidžia duomenų subjektų pagrindinių teisių ar laisvių. Duomenų valdytojai ir duomenų tvarkytojai skatinami taikyti dar griežtesnes apsaugos priemones numatant sutartinius įsipareigojimus, papildančius standartines sutarčių sąlygas (4). Standartinėmis sutarčių sąlygomis nedaromas poveikis duomenų eksportuotojo ir (arba) importuotojo sutartinėms prievolėms užtikrinti, kad būtų paisoma taikytinų privilegijų ir imunitetų;

(4)

duomenų eksportuotojas turi ne tik taikyti standartinės sutarčių sąlygas, kad užtikrintų tinkamas duomenų perdavimo apsaugos priemones pagal Reglamento (ES) 2016/679 46 straipsnio 1 dalį, bet ir vykdyti savo, kaip duomenų valdytojo ar duomenų tvarkytojo, bendrąsias pareigas pagal Reglamentą (ES) 2016/679. Tos pareigos apima duomenų valdytojo pareigą pateikti duomenų subjektams informaciją apie tai, kad jis ketina perduoti jų asmens duomenis į trečiąją valstybę, arba pagal Reglamento (ES) 2016/679 13 straipsnio 1 dalies f punktą ir 14 straipsnio 1 dalies f punktą. Kai duomenys perduodami pagal Reglamento (ES) 2016/679 46 straipsnį, į tokią informaciją turi būti įtraukta nuoroda į atitinkamas apsaugos priemones ir būdus, kaip gauti jų kopiją, arba informacija, kur suteikiama galimybė su jomis susipažinti;

(5)

Komisijos sprendimuose 2001/497/EB (5) ir 2010/87/ES (6) nustatytos standartinės sutarčių sąlygos, siekiant sudaryti palankesnes sąlygas perduodant asmens duomenis iš Sąjungoje įsisteigusio duomenų valdytojo duomenų valdytojui arba duomenų tvarkytojui, įsisteigusiam trečiojoje valstybėje, kuri neužtikrina tinkamo apsaugos lygio. Šie sprendimai buvo grindžiami Europos Parlamento ir Tarybos direktyva 95/46/EB (7);

(6)

pagal Reglamento (ES) 2016/679 46 straipsnio 5 dalį Sprendimas 2001/497/EB ir Sprendimas 2010/87/ES lieka galioti tol, kol Komisijos sprendimu, priimtu pagal to reglamento 46 straipsnio 2 dalį, jie bus prireikus iš dalies pakeisti, pakeisti naujais sprendimais arba panaikinti. Sprendimuose nustatytas standartines sutarčių sąlygas reikėjo atnaujinti atsižvelgiant į naujus Reglamento (ES) 2016/679 reikalavimus. Be to, nuo šių sprendimų priėmimo skaitmeninėje ekonomikoje įvyko svarbių pokyčių: plačiai paplito naujos ir sudėtingesnės duomenų tvarkymo operacijos, dažnai apimančios daug duomenų importuotojų ir eksportuotojų, ilgos ir sudėtingos duomenų tvarkymo grandinės ir besikeičiantys verslo santykiai. Dėl to reikia modernizuoti standartines sutarčių sąlygas, kad jos geriau atspindėtų šias realijas, įtraukiant papildomus duomenų tvarkymo ir perdavimo atvejus, ir taikyti lankstesnį požiūrį, pavyzdžiui, dėl šalių, galinčių prisijungti prie sutarties, skaičiaus;

(7)

duomenų valdytojas arba duomenų tvarkytojas gali naudoti šio sprendimo priede išdėstytas standartines sutarčių sąlygas, kad užtikrintų tinkamas apsaugos priemones pagal Reglamento (ES) 2016/679 46 straipsnio 1 dalį, perduodant asmens duomenis trečiojoje valstybėje įsisteigusiam duomenų tvarkytojui arba duomenų valdytojui, nedarant poveikio tarptautinio perdavimo sąvokos aiškinimui Reglamente (ES) 2016/679. Standartinės sutarčių sąlygos gali būti naudojamos tokiam perdavimui tik tiek, kiek importuotojo atliekamas duomenų tvarkymas nepatenka į Reglamento (ES) 2016/679 taikymo sritį. Tai taip pat apima duomenų valdytojo arba duomenų tvarkytojo, kuris nėra įsisteigęs Sąjungoje, vykdomą asmens duomenų perdavimą, jei duomenų tvarkymui taikomas Reglamentas (ES) 2016/679 pagal jo 3 straipsnio 2 dalį, nes jis susijęs su prekių ar paslaugų siūlymu duomenų subjektams Sąjungoje arba jų veiksmų stebėsena, jei jie atliekami Sąjungoje;

(8)

atsižvelgiant į bendrą Reglamento (ES) 2016/679 ir Europos Parlamento ir Tarybos reglamento (ES) 2018/1725 (8) suderinimą, duomenų tvarkytojas, kuris nėra Sąjungos institucija ar įstaiga, tačiau kuriam yra privalomas Reglamentas (ES) 2016/679 ir kuris tvarko asmens duomenis Sąjungos institucijos ar įstaigos vardu pagal Reglamento (ES) 2018/1725 29 straipsnį, sudarydamas Reglamento (ES) 2018/1725 29 straipsnio 4 dalyje nurodytą sutartį dėl asmens duomenų perdavimo pagalbiniam duomenų tvarkytojui trečiojoje valstybėje, taip pat turėtų turėti galimybę naudoti standartines sutarčių sąlygas. Jei sutartyje bus atspindimos tos pačios duomenų apsaugos prievolės, kurios nustatytos duomenų valdytojo ir duomenų tvarkytojo sutartyje ar kitame teisės akte pagal Reglamento (ES) 2018/1725 29 straipsnio 3 dalį, visų pirma numatant pakankamas garantijas dėl techninių ir organizacinių priemonių, kuriomis užtikrinama, kad duomenų tvarkymas atitiktų to reglamento reikalavimus, tai užtikrins atitiktį Reglamento (ES) 2018/1725 29 straipsnio 4 daliai. Visų pirma tai bus tuo atveju, kai duomenų valdytojas ir duomenų tvarkytojas standartinėms sutarčių sąlygoms, taikomoms duomenų perdavimui tarp duomenų valdytojų ir duomenų tvarkytojų pagal Europos Parlamento ir Tarybos reglamento (ES) 2016/679 28 straipsnio 7 dalį ir Europos Parlamento ir Tarybos reglamento (ES) 2018/1725 (9) 29 straipsnio 7 dalį, taiko Komisijos įgyvendinimo sprendime nustatytas standartines sutarčių sąlygas.

(9)

kai tvarkant duomenis duomenų valdytojai, kuriems taikomas Reglamentas (ES) 2016/679, perduoda duomenis duomenų tvarkytojams, nepatenkantiems į jo teritorinę taikymo sritį, arba duomenų tvarkytojai, kuriems taikomas Reglamentas (ES) 2016/679, perduoda duomenis pagalbiniams duomenų tvarkytojams, nepatenkantiems į jo teritorinę taikymo sritį, šio sprendimo priede išdėstytomis standartinėmis sutarčių sąlygomis taip pat turėtų būti galima įvykdyti Reglamento (ES) 2016/679 28 straipsnio 3 ir 4 dalių reikalavimus;

(10)

šio sprendimo priede išdėstytose standartinėse sutarčių sąlygose bendrosios sąlygos derinamos su moduliniu požiūriu, kad būtų atsižvelgta į įvairius perdavimo scenarijus ir šiuolaikinių duomenų tvarkymo grandinių sudėtingumą. Be bendrųjų sąlygų, duomenų valdytojai ir duomenų tvarkytojai turėtų pasirinkti jų atvejui taikytiną modulį, kad pritaikytų savo prievoles pagal standartines sutarčių sąlygas pagal savo vaidmenį ir atsakomybę, kurie susiję su atitinkamu duomenų tvarkymu. Turėtų būti galimybė standartinių sutarčių sąlygų laikytis daugiau nei dviem šalims. Be to, papildomiems duomenų valdytojams ir duomenų tvarkytojams turėtų būti leidžiama prisijungti prie standartinių sutarčių sąlygų kaip duomenų eksportuotojams ar importuotojams per visą sutarties, kurios dalis jos yra, gyvavimo ciklą;

(11)

siekiant užtikrinti tinkamas apsaugos priemones, standartinėmis sutarčių sąlygomis turėtų būti užtikrinta, kad tuo pagrindu perduodamiems asmens duomenims būtų suteikiamas iš esmės lygiavertis apsaugos lygis, koks garantuojamas Sąjungoje (10). Siekiant užtikrinti duomenų tvarkymo skaidrumą, duomenų subjektams turėtų būti pateikta standartinių sutarčių sąlygų kopija ir jie turėtų būti informuojami, visų pirma, apie tvarkomų asmens duomenų kategorijas, teisę gauti standartinių sutarčių sąlygų kopiją ir bet kokį tolesnį duomenų perdavimą. Duomenų importuotojui turėtų būti leidžiama toliau perduoti duomenis trečiajai šaliai kitoje trečiojoje valstybėje tik tuo atveju, jei trečioji šalis prisijungia prie standartinių sutarčių sąlygų, jei apsaugos tęstinumas užtikrinamas kitaip, arba konkrečiais atvejais, pavyzdžiui, remiantis aiškiu informuoto duomenų subjekto sutikimu;

(12)

su kai kuriomis išimtimis, visų pirma susijusiomis su tam tikromis prievolėmis, kurios išimtinai susijusios su duomenų eksportuotojo ir duomenų importuotojo santykiais, duomenų subjektams turėtų būti suteikta galimybė remtis standartinėmis sutarčių sąlygomis ir, prireikus, užtikrinti jų vykdymą kaip trečiosioms šalims naudos gavėjoms. Todėl, nors šalims turėtų būti leidžiama pasirinkti vienos iš valstybių narių teisę, kuri būtų taikoma standartinėms sutarčių sąlygoms, tokioje teisėje turi būti numatytos trečiosios šalies naudos gavėjos teisės. Siekiant sudaryti palankesnes sąlygas individualiam teisių gynimui, standartinėse sutarčių sąlygose turėtų būti reikalaujama, kad duomenų importuotojas informuotų duomenų subjektus apie kontaktinį asmenį ir nedelsdamas išnagrinėtų bet kokius skundus ar prašymus. Kilus duomenų importuotojo ir duomenų subjekto, kuris remiasi savo, kaip trečiosios šalies naudos gavėjos, teisėmis, ginčui, duomenų subjektas turėtų turėti galimybę pateikti skundą kompetentingai priežiūros institucijai arba perduoti ginčą nagrinėti kompetentingiems ES teismams;

(13)

siekiant užtikrinti veiksmingą vykdymą, turėtų būti reikalaujama, kad duomenų importuotojas paklustų tokios institucijos ir teismų jurisdikcijai ir įsipareigotų laikytis bet kokio privalomo sprendimo pagal taikomą valstybės narės teisę. Visų pirma, duomenų importuotojas turėtų sutikti atsakyti į užklausas, leisti atlikti auditą ir laikytis priežiūros institucijos priimtų priemonių, įskaitant taisomąsias ir kompensacines priemones. Be to, duomenų importuotojas turėtų turėti galimybę pasiūlyti duomenų subjektams galimybę ginti savo teises nemokamai kreipiantis į nepriklausomą ginčų sprendimo instituciją. Pagal Reglamento (ES) 2016/679 80 straipsnio 1 dalį turėtų būti leidžiama, kad kilus ginčams su duomenų importuotoju duomenų subjektams atstovautų asociacijos ar kitos įstaigos, jei jie to pageidauja;

(14)

standartinėse sutarčių sąlygose turėtų būti numatytos taisyklės dėl šalių tarpusavio atsakomybės ir atsakomybės duomenų subjektų atžvilgiu ir taisyklės dėl šalių tarpusavio žalos atlyginimo. Jei duomenų subjektas patiria turtinę ar neturtinę žalą dėl bet kokio trečiosios šalies naudos gavėjos teisių pagal standartines sutarčių sąlygas pažeidimo, jis turėtų turėti teisę gauti kompensaciją. Tai neturėtų daryti poveikio jokiai atsakomybei pagal Reglamentą (ES) 2016/679;

(15)

jei duomenys perduodami duomenų importuotojui, kuris veikia kaip duomenų tvarkytojas arba pagalbinis duomenų tvarkytojas, turėtų būti taikomi specialūs reikalavimai pagal Reglamento (ES) 2016/679 28 straipsnio 3 dalį. Standartinėse sutarčių sąlygose turėtų būti reikalaujama, kad duomenų importuotojas pateiktų visą informaciją, būtiną įrodyti, kad vykdomos sąlygose nustatytos prievolės, ir sudarytų sąlygas bei padėtų duomenų eksportuotojui atlikti jo duomenų tvarkymo veiklos auditą. Duomenų importuotojui pasitelkiant bet kokį pagalbinį duomenų tvarkytoją, kaip nustatyta Reglamento (ES) 2016/679 28 straipsnio 2 ir 4 dalyse, standartinėse sutarčių sąlygose visų pirma turėtų būti nustatyta duomenų eksportuotojo bendro arba konkretaus leidimo procedūra ir reikalavimas sudaryti rašytinę sutartį su pagalbiniu duomenų tvarkytoju, kuria būtų užtikrinamas toks pat apsaugos lygis, kaip ir pagal sąlygas;

(16)

standartinėse sutarčių sąlygose tikslinga numatyti skirtingas apsaugos priemones, kurios būtų taikomos konkrečiu atveju, kai duomenų tvarkytojas Sąjungoje perduoda asmens duomenis savo duomenų valdytojui trečiojoje valstybėje, ir atspindėtų ribotas savarankiškas duomenų tvarkytojų prievoles pagal Reglamentą (ES) 2016/679. Visų pirma, standartinėse sutarčių sąlygose turėtų būti reikalaujama, kad duomenų tvarkytojas informuotų duomenų valdytoją, jei jis negali laikytis jo nurodymų, įskaitant atvejus, kai tokiais nurodymais pažeidžiama Sąjungos duomenų apsaugos teisė, ir kad duomenų valdytojas nesiimtų jokių veiksmų, kurie trukdytų duomenų tvarkytojui vykdyti savo prievoles pagal Reglamentą (ES) 2016/679. Jose taip pat turėtų būti reikalaujama, kad šalys padėtų viena kitai atsakyti į duomenų subjektų užklausas ir prašymus pagal duomenų importuotojui taikomą vietos teisę arba, duomenų tvarkymo Sąjungoje atveju, pagal Reglamentą (ES) 2016/679. Papildomi reikalavimai, susiję su paskirties trečiosios valstybės teisės aktų poveikiu duomenų valdytojui laikantis sąlygų, visų pirma, kaip elgtis gavus privalomus trečiosios valstybės valdžios institucijų prašymus atskleisti perduotus asmens duomenis, turėtų būti taikomi tais atvejais, kai Sąjungos duomenų tvarkytojas derina iš duomenų valdytojo trečiojoje valstybėje gautus asmens duomenis su Sąjungoje duomenų tvarkytojo surinktais asmens duomenimis. Priešingai, tokie reikalavimai nėra pagrįsti, kai užsakomosios paslaugos apima tik iš duomenų valdytojo gautų asmens duomenų tvarkymą ir jų perdavimą atgal, nes jie bet kuriuo atveju priklauso ir priklausys atitinkamos trečiosios valstybės jurisdikcijai;

(17)

šalys turėtų sugebėti įrodyti, kad laikosi standartinių sutarčių sąlygų. Visų pirma turėtų būti reikalaujama, kad duomenų importuotojas saugotų atitinkamus duomenų tvarkymo veiklos, už kurią jis atsako, dokumentus ir nedelsdamas informuotų duomenų eksportuotoją, jei dėl kokių nors priežasčių negali laikytis šių sąlygų. Savo ruožtu duomenų eksportuotojas turėtų sustabdyti duomenų perdavimą, o ypač rimtais atvejais turėtų turėti teisę nutraukti sutartį, kiek ji susijusi su asmens duomenų tvarkymu pagal standartines sutarčių sąlygas, jei duomenų importuotojas pažeidžia šias sąlygas arba negali jų laikytis. Specialios taisyklės turėtų būti taikomos tais atvejais, kai vietos teisės aktai turi įtakos sąlygų laikymuisi. Asmens duomenys, kurie buvo perduoti iki sutarties nutraukimo, ir visos jų kopijos duomenų eksportuotojo pasirinkimu turėtų būti grąžinti duomenų eksportuotojui arba visiškai sunaikinti;

(18)

standartinėse sutarčių sąlygose turėtų būti numatytos konkrečios apsaugos priemonės, visų pirma atsižvelgiant į Teisingumo Teismo praktiką (11), susijusios su paskirties trečiosios valstybės teisės aktų poveikiu duomenų importuotojui laikantis sąlygų, visų pirma, kaip elgtis gavus privalomus tos valstybės valdžios institucijų prašymus atskleisti perduotus asmens duomenis;

(19)

asmens duomenys neturėtų būti perduodami ir tvarkomi pagal standartines sutarčių sąlygas, jei paskirties trečiosios valstybės teisės aktai ir praktika neleidžia duomenų importuotojui laikytis šių sąlygų. Šiuo atžvilgiu neturėtų būti laikoma, kad teisės aktai ir praktika, kuriais paisoma pagrindinių teisių ir laisvių esmės ir kuriais neviršijama tai, kas būtina ir proporcinga demokratinėje visuomenėje siekiant apsaugoti vieną iš Reglamento (ES) 2016/679 23 straipsnio 1 dalyje išvardytų tikslų, prieštarauja standartinėms sutarčių sąlygoms. Šalys turėtų garantuoti, kad susitardamos dėl standartinių sutarčių sąlygų jos neturi pagrindo manyti, jog duomenų importuotojui taikomi teisės aktai ir praktika neatitinka šių reikalavimų;

(20)

šalys visų pirma turėtų atsižvelgti į konkrečias duomenų perdavimo aplinkybes (pavyzdžiui, sutarties turinį ir trukmę, perduodamų duomenų pobūdį, gavėjo rūšį, duomenų tvarkymo tikslą), paskirties trečiosios valstybės teisės aktus ir praktiką, kurie yra svarbūs atsižvelgiant į duomenų perdavimo aplinkybes, ir į visas apsaugos priemones, taikomas siekiant papildyti standartinėse sutarčių sąlygose numatytas apsaugos priemones (įskaitant atitinkamas sutartines, technines ir organizacines priemones, taikomas asmens duomenis perduodant ir juos tvarkant paskirties valstybėje). Dėl tokių teisės aktų ir praktikos poveikio standartinių sutarčių sąlygų laikymuisi, atliekant bendrą vertinimą galima atsižvelgti į įvairius elementus, įskaitant patikimą informaciją apie teisės aktų taikymą praktikoje (pavyzdžiui, teismų praktiką ir nepriklausomų priežiūros institucijų ataskaitas), prašymų tame pačiame sektoriuje buvimą arba nebuvimą ir, esant griežtoms sąlygoms, dokumentais pagrįstą duomenų eksportuotojo ir (arba) duomenų importuotojo praktinę patirtį;

(21)

sutikęs laikytis standartinių sutarčių sąlygų, duomenų importuotojas turėtų pranešti duomenų eksportuotojui, jei turi pagrindo manyti, kad negali laikytis standartinių sutarčių sąlygų. Jei duomenų eksportuotojas gauna tokį pranešimą arba kitaip sužino, kad duomenų importuotojas nebegali laikytis standartinių sutarčių sąlygų, jis turėtų nustatyti tinkamas priemones padėčiai spręsti, prireikus pasikonsultavęs su kompetentinga priežiūros institucija. Tokios priemonės gali apimti duomenų eksportuotojo ir (arba) duomenų importuotojo priimtas papildomas priemones, pavyzdžiui, technines ar organizacines priemones saugumui ir konfidencialumui užtikrinti. Turėtų būti reikalaujama, kad duomenų eksportuotojas sustabdytų duomenų perdavimą, jei mano, kad negalima užtikrinti tinkamų apsaugos priemonių, arba jei tai nurodo kompetentinga priežiūros institucija;

(22)

jei įmanoma, duomenų importuotojas turėtų pranešti duomenų eksportuotojui ir duomenų subjektui, jei gauna teisiškai privalomą valdžios (įskaitant teisminę) institucijos prašymą pagal paskirties valstybės teisę atskleisti pagal standartines sutarčių sąlygas perduotus asmens duomenis. Jis analogiškai turėtų jiems pranešti, jei sužino apie bet kokią tiesioginę valdžios institucijų prieigą prie tokių asmens duomenų pagal trečiosios paskirties valstybės teisę. Jei, nepaisant visų pastangų, duomenų importuotojas negali pranešti duomenų eksportuotojui ir (arba) duomenų subjektui apie konkrečius prašymus atskleisti informaciją, jis turėtų pateikti duomenų eksportuotojui kuo daugiau svarbios informacijos apie prašymus. Be to, duomenų importuotojas turėtų reguliariai teikti apibendrintą informaciją duomenų eksportuotojui. Taip pat turėtų būti reikalaujama, kad duomenų importuotojas dokumentais įformintų visus gautus prašymus atskleisti informaciją ir pateiktus atsakymus ir, gavęs prašymą, šią informaciją pateiktų duomenų eksportuotojui arba kompetentingai priežiūros institucijai, arba abiem. Jei, įvertinęs tokio prašymo teisėtumą pagal paskirties valstybės įstatymus, duomenų importuotojas prieina prie išvados, kad yra pagrindo manyti, jog prašymas yra neteisėtas pagal paskirties trečiosios valstybės teisės aktus, jis turėtų jį užginčyti, be kita ko, prireikus, pasinaudodamas esamomis galimybėmis jį apskųsti. Bet kuriuo atveju, jei duomenų importuotojas nebegali laikytis standartinių sutarčių sąlygų, jis turėtų apie tai atitinkamai informuoti duomenų eksportuotoją, įskaitant atvejus, kai tai yra prašymo atskleisti informaciją pasekmė;

(23)

kadangi suinteresuotųjų subjektų poreikiai, technologijos ir duomenų tvarkymo operacijos gali keistis, Komisija turėtų įvertinti standartinių sutarčių sąlygų taikymą atsižvelgdama į patirtį, kai atlieka to reglamento 97 straipsnyje nurodytą periodinį Reglamento (ES) 2016/679 vertinimą;

(24)

Sprendimas 2001/497/EB ir Sprendimas 2010/87/ES turėtų būti panaikinti praėjus trims mėnesiams po šio sprendimo įsigaliojimo. Tuo laikotarpiu duomenų eksportuotojams ir duomenų importuotojams, taikant Reglamento (ES) 2016/679 46 straipsnio 1 dalį, turėtų būti toliau leidžiama naudotis standartinėmis sutarčių sąlygomis, nustatytomis Sprendimuose 2001/497/EB ir 2010/87/ES. Papildomą 15 mėnesių laikotarpį duomenų eksportuotojai ir duomenų importuotojai, taikant Reglamento (ES) 2016/679 46 straipsnio 1 dalį, turėtų turėti galimybę toliau remtis standartinėmis sutarčių sąlygomis, nustatytomis Sprendimuose 2001/497/EB ir 2010/87/ES, vykdydami sutartis, kurias jie sudarė iki tų sprendimų panaikinimo dienos, su sąlyga, kad duomenų tvarkymo operacijos, kurios yra sutarties objektas, nesikeičia, o rėmimasis šiomis išlygomis užtikrina, kad asmens duomenų perdavimui būtų taikomos tinkamos apsaugos priemonės pagal Reglamento (ES) 2016/679 46 straipsnio 1 dalį. Atitinkamų sutarties pakeitimų atveju turėtų būti reikalaujama, kad duomenų eksportuotojas remtųsi nauju duomenų perdavimo pagal sutartį pagrindu, visų pirma pakeisdamas esamas standartines sutarčių sąlygas šio sprendimo priede nustatytomis standartinėmis sutarčių sąlygomis. Tas pats turėtų būti taikoma ir tuo atveju, kai sutartyje numatytos duomenų tvarkymo operacijos pavedamos pagalbiniam duomenų tvarkytojui;

(25)

pagal Reglamento (ES) 2018/1725 42 straipsnio 1 ir 2 dalis buvo konsultuojamasi su Europos duomenų apsaugos priežiūros pareigūnu ir Europos duomenų apsaugos valdyba, kurie 2021 m. sausio 14 d. pateikė bendrą nuomonę (12), į kurią buvo atsižvelgta rengiant šį sprendimą;

(26)

šiame sprendime numatytos priemonės atitinka pagal Reglamento (ES) 2016/679 93 straipsnį įsteigto komiteto nuomonę,

PRIĖMĖ ŠĮ SPRENDIMĄ:

1 straipsnis

1.   Priede išdėstytos standartinės sutarčių sąlygos laikomos tinkamomis apsaugos priemonėmis pagal Reglamento (ES) 2016/679 46 straipsnio 1 dalį ir 2 dalies c punktą, kai duomenų valdytojas arba duomenų tvarkytojas perduoda asmens duomenis, kurie tvarkomi pagal tą reglamentą, (duomenų eksportuotojas) duomenų valdytojui arba (pagalbiniam) duomenų tvarkytojui, kurio atliekamam duomenų tvarkymui netaikomas tas reglamentas (duomenų importuotojas).

2.   Standartinėse sutarčių sąlygose taip pat nustatomos duomenų valdytojų ir duomenų tvarkytojų teisės ir pareigos, susijusios su Reglamento (ES) 2016/679 28 straipsnio 3 ir 4 dalyse nurodytais klausimais, kai duomenų valdytojas perduoda asmens duomenis duomenų tvarkytojui arba duomenų tvarkytojas – pagalbiniam duomenų tvarkytojui.

2 straipsnis

Jei kompetentingos valstybės narės institucijos pasinaudoja įgaliojimais imtis taisomųjų veiksmų pagal Reglamento (ES) 2016/679 58 straipsnį reaguodamos į tai, kad duomenų importuotojui paskirties trečiojoje valstybėje taikomi arba pradedami taikyti teisės aktai ar praktika, dėl kurių jis negali laikytis priede nustatytų standartinių sutarčių sąlygų, ir dėl to sustabdomas arba uždraudžiamas duomenų perdavimas į trečiąsias valstybes, atitinkama valstybė narė nedelsdama informuoja Komisiją, kuri perduoda informaciją kitoms valstybėms narėms.

3 straipsnis

Komisija, remdamasi visa turima informacija, įvertina priede išdėstytų standartinių sutarčių sąlygų praktinį taikymą atlikdama periodinį vertinimą, kuris numatytas Reglamento (ES) 2016/679 97 straipsnyje.

4 straipsnis

1.   Šis sprendimas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.

2.   Sprendimas 2001/497/EB panaikinamas nuo 2021 m. rugsėjo 27 d.

3.   Sprendimas 2010/87/ES panaikinamas nuo 2021 m. rugsėjo 27 d.

4.   Laikoma, kad sutartimis, sudarytomis iki 2021 m. rugsėjo 27 d. remiantis Sprendimu 2001/497/EB arba Sprendimu 2010/87/ES, užtikrinamos tinkamos apsaugos priemonės pagal Reglamento (ES) 2016/679 46 straipsnio 1 dalį iki 2022 m. gruodžio 27 d. su sąlyga, kad duomenų tvarkymo operacijos, kurios yra sutarties dalykas, išlieka nepakitusios, o remiantis tomis sąlygomis užtikrinama, jog asmens duomenų perdavimui taikomos tinkamos apsaugos priemonės.

Priimta Briuselyje 2021 m. birželio 4 d.

Komisijos vardu

Pirmininkė

Ursula VON DER LEYEN


(1)  OL L 119, 2016 5 4, p. 1.

(2)  Reglamento (ES) 2016/679 44 straipsnis.

(3)  Taip pat žr. 2020 m. liepos 16 d. Teisingumo Teismo sprendimo Data Protection Commissioner/Facebook Ireland Ltd ir Maximillian Schrems (Schrems II), C-311/18, ECLI:EU:C:2020:559, 93 punktą.

(4)  Reglamento (ES) 2016/679 109 konstatuojamoji dalis.

(5)  2001 m. birželio 15 d. Komisijos sprendimas 2001/497/EB dėl sutarčių, susijusių su asmens duomenų perdavimu trečiosioms šalims, tipinių punktų, atsižvelgiant į Direktyvą 95/46/EB (OL L 181, 2001 7 4, p. 19).

(6)  2010 m. vasario 5 d. Komisijos sprendimas 2010/87/ES dėl sutarčių standartinių sąlygų, nustatytų asmens duomenų perdavimui trečiosiose šalyse įsikūrusiems tvarkytojams pagal Europos Parlamento ir Tarybos direktyvos 95/46/EB nuostatas (OL L 39, 2010 2 12, p. 5).

(7)  1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995 11 23, p. 31).

(8)  2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamentas (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB (OL L 295, 2018 11 21, p. 39); žr. 5 konstatuojamąją dalį.

(9)  C(2021) 3701.

(10)  Sprendimas Schrems II, 96 ir 103 punktai. Taip pat žr. Reglamento (ES) 2016/679 108 ir 114 konstatuojamąsias dalis.

(11)  Sprendimas Schrems II.

(12)  EDAV ir EDAPP bendra nuomonė 2/2021 dėl Europos Komisijos įgyvendinimo sprendimo dėl standartinių sutarčių sąlygų, nustatytų asmens duomenų perdavimui į trečiąsias valstybes, Reglamento (ES) 2016/679 46 straipsnio 2 dalies c punkte nurodytais klausimais.


PRIEDAS

STANDARTINĖS SUTARČIŲ SĄLYGOS

I SKIRSNIS

1 sąlyga

Tikslas ir taikymo sritis

a)

Šiomis standartinėmis sutarčių sąlygomis siekiama užtikrinti, kad būtų laikomasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (Bendrasis duomenų apsaugos reglamentas) (1) reikalavimų perduodant asmens duomenis į trečiąją valstybę.

b)

Šalys:

i)

fizinis (-iai) ar juridinis (-iai) asmuo (-enys), valdžios institucija (-os), agentūra (-os) ar kita (-os) įstaiga (-os) (toliau – subjektas (-ai)), perduodantis (-ys) asmens duomenis, kaip nurodyta I priedo A skyriuje (toliau atskirai – duomenų eksportuotojas), ir

ii)

trečiojoje valstybėje esantis (-ys) subjektas (-ai), gaunantis (-ys) asmens duomenis iš duomenų eksportuotojo tiesiogiai ar netiesiogiai per kitą subjektą, kuris taip pat yra šių sąlygų šalis, kaip nurodyta I priedo A skyriuje (toliau atskirai – duomenų importuotojas),

susitarė dėl šių standartinių sutarčių sąlygų (toliau – sąlygos).

c)

Šios sąlygos taikomos, kai asmens duomenys perduodami kaip nurodyta I priedo B skyriuje.

d)

Šių sąlygų priedėlis, kuriame pateikti čia nurodyti priedai, yra neatskiriama šių sąlygų dalis.

2 sąlyga

Sąlygų galiojimas ir nekintamumas

a)

Šiose sąlygose nustatytos tinkamos apsaugos priemonės, įskaitant vykdytinas duomenų subjektų teises ir veiksmingas teisių gynimo priemones pagal Reglamento (ES) 2016/679 46 straipsnio 1 dalį ir 46 straipsnio 2 dalies c punktą, o duomenų valdytojams perduodant duomenis duomenų tvarkytojams ir (arba) duomenų tvarkytojams – duomenų tvarkytojams, standartinės sutarčių sąlygos pagal Reglamento (ES) 2016/679 28 straipsnio 7 dalį, su sąlyga, kad jos nėra keičiamos, išskyrus atvejus, kai pasirenkamas (-i) atitinkamas (-i) modulis (-iai) arba papildoma ar atnaujinama priedėlyje pateikta informacija. Tai neužkerta kelio šalims įtraukti šiose sąlygose nustatytas standartines sutarčių sąlygas į platesnę sutartį ir (arba) įtraukti kitas sąlygas ar papildomas apsaugos priemones su sąlyga, kad jos tiesiogiai ar netiesiogiai neprieštarauja šioms sąlygoms ir nepažeidžia pagrindinių duomenų subjektų teisių ar laisvių.

b)

Šios sąlygos nedaro poveikio prievolėms, kurios duomenų eksportuotojui taikomos pagal Reglamentą (ES) 2016/679.

3 sąlyga

Trečiosios šalys naudos gavėjos

a)

Duomenų subjektai, kaip trečiosios šalys naudos gavėjos, gali remtis šiomis sąlygomis ir reikalauti, kad duomenų eksportuotojas ir (arba) duomenų importuotojas jas vykdytų, išskyrus šias išimtis:

i)

1 sąlyga, 2 sąlyga, 3 sąlyga, 6 sąlyga, 7 sąlyga;

ii)

8 sąlyga – pirmas modulis: 8.5 sąlygos e punktas ir 8.9 sąlygos b punktas; antras modulis: 8.1 sąlygos b punktas, 8.9 sąlygos a, c, d ir e punktai; trečias modulis: 8.1 sąlygos a, c ir d punktai ir 8.9 sąlygos a, c, d, e, f ir g punktai; ketvirtas modulis: 8.1 sąlygos b punktas ir 8.3 sąlygos b punktas;

iii)

9 sąlyga – antras modulis: 9 sąlygos a, c, d ir e punktai; trečias modulis: 9 sąlygos a, c, d ir e punktai;

iv)

12 sąlyga – pirmas modulis: 12 sąlygos a ir d punktai; antras ir trečias moduliai: 12 sąlygos a, d ir f punktai;

v)

13 sąlyga;

vi)

15.1 sąlygos c, d ir e punktai;

vii)

16 sąlygos e punktas;

viii)

18 sąlyga – pirmas, antras ir trečias moduliai: 18 sąlygos a ir b punktai; ketvirtas modulis: 18 sąlyga.

b)

a punktas nedaro poveikio duomenų subjektų teisėms pagal Reglamentą (ES) 2016/679.

4 sąlyga

Aiškinimas

a)

Kai šiose sąlygose vartojamos Reglamente (ES) 2016/679 apibrėžtos sąvokos, tos sąvokos turi tokią pat reikšmę, kaip tame reglamente.

b)

Šios sąlygos suprantamos ir aiškinamos atsižvelgiant į Reglamento (ES) 2016/679 nuostatas.

c)

Šios sąlygos negali būti aiškinamos taip, kad prieštarautų Reglamente (ES) 2016/679 numatytoms teisėms ir pareigoms.

5 sąlyga

Hierarchija

Esant prieštaravimui tarp šių sąlygų ir susijusių šalių susitarimų, galiojančių tuo metu, kai susitariama dėl šių sąlygų arba sudaromų vėliau, nuostatų, pirmenybė teikiama šioms sąlygoms.

6 sąlyga

Perdavimo aprašymas

Išsami informacija apie duomenų perdavimą, ypač perduodamų asmens duomenų kategorijas ir jų perdavimo tikslą (-us), pateikta I priedo B skyriuje.

7 sąlyga – pasirinktinai

Prisijungimo sąlyga

a)

Subjektas, kuris nėra šių sąlygų šalis, šalių susitarimu gali bet kada prisijungti prie šių sąlygų kaip duomenų eksportuotojas arba duomenų importuotojas, užpildydamas priedėlį ir pasirašydamas I priedo A skyrių.

b)

Užpildęs priedėlį ir pasirašęs I priedo A skyrių, prisijungiantis subjektas tampa šių sąlygų šalimi ir turi duomenų eksportuotojo arba duomenų importuotojo teises ir pareigas pagal tai, kuriai grupei jis priskiriamas I priedo A skyriuje.

c)

Prisijungiantis subjektas neturi jokių teisių ar pareigų, kylančių pagal šias sąlygas tuo laikotarpiu, kuriuo jis nebuvo šalimi.

II SKIRSNIS. ŠALIŲ PRIEVOLĖS

8 sąlyga

Duomenų apsaugos priemonės

Duomenų eksportuotojas garantuoja, kad dėjo pagrįstas pastangas nustatyti, ar duomenų importuotojas, įgyvendindamas tinkamas technines ir organizacines priemones, gali įvykdyti savo prievoles pagal šias sąlygas.

PIRMAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų valdytojui

8.1.   Tikslo apribojimas

Duomenų importuotojas tvarko asmens duomenis tik konkrečiu (-iais) perdavimo tikslu (-ais), kaip nurodyta I priedo B skyriuje. Jis gali tvarkyti asmens duomenis tik kitu tikslu:

i)

jei gavo išankstinį duomenų subjekto sutikimą;

ii)

jei tai būtina siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus vykstant konkrečiai administracinei ar reguliavimo procedūrai arba teismo procesui arba

iii)

jei tai būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus.

8.2.   Skaidrumas

a)

Tam, kad duomenų subjektai galėtų veiksmingai naudotis savo teisėmis pagal 10 sąlygą, duomenų importuotojas juos informuoja tiesiogiai arba per duomenų eksportuotoją:

i)

apie savo tapatybę ir kontaktinius duomenis;

ii)

apie tvarkomų asmens duomenų kategorijas;

iii)

apie teisę gauti šių sąlygų kopiją;

iv)

jei jis ketina toliau perduoti asmens duomenis bet kuriai trečiajai (-iosioms) šaliai (-ims), apie gavėją ar gavėjų kategorijas (atitinkamai, siekiant suteikti prasmingą informaciją), tokio tolesnio perdavimo tikslą ir jo pagrindą pagal 8.7 sąlygą.

b)

a punktas netaikomas, kai duomenų subjektas jau turi informaciją, įskaitant atvejus, kai tokią informaciją jau pateikė duomenų eksportuotojas, arba kai informacijos pateikti neįmanoma arba tai pareikalautų neproporcingai didelių duomenų importuotojo pastangų. Pastaruoju atveju duomenų importuotojas, kiek tai įmanoma, pateikia informaciją viešai.

c)

Duomenų subjektui paprašius, šalys nemokamai pateikia jam šių sąlygų, įskaitant jų užpildytą priedėlį, kopiją. Tiek, kiek tai būtina verslo paslaptims ar kitai konfidencialiai informacijai, įskaitant asmens duomenis, apsaugoti, šalys gali kupiūruoti priedėlio teksto dalį prieš pateikdamos jo kopiją, tačiau pateikia informatyvią santrauką, jei priešingu atveju duomenų subjektas negalėtų suprasti jo turinio arba naudotis savo teisėmis. Gavusios prašymą, šalys duomenų subjektui nurodo kupiūravimo priežastis, kiek tai įmanoma neatskleisdamos kupiūruotos informacijos.

d)

a–c punktai nedaro poveikio duomenų eksportuotojo prievolėms pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.

8.3.   Tikslumas ir duomenų kiekio mažinimas

a)

Kiekviena šalis užtikrina, kad asmens duomenys būtų tikslūs ir, prireikus, atnaujinami. Duomenų importuotojas imasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie yra netikslūs, atsižvelgiant į jų tvarkymo tikslą (-us), būtų nedelsiant ištrinti arba ištaisyti.

b)

Jei viena iš šalių sužino, kad jos perduoti ar gauti asmens duomenys yra netikslūs arba paseno, ji nepagrįstai nedelsdama apie tai praneša kitai šaliai.

c)

Duomenų importuotojas užtikrina, kad asmens duomenys būtų adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslo (-ų), dėl kurio (-ių) jie tvarkomi.

8.4.   Saugojimo ribojimas

Duomenų importuotojas saugo asmens duomenis ne ilgiau, nei tai yra būtina tuo (-ais) tikslu (-ais), kuriuo (-iais) jie tvarkomi. Jis imasi tinkamų techninių ar organizacinių priemonių, kad užtikrintų šios prievolės vykdymą, įskaitant duomenų ir visų kopijų ištrynimą ar anoniminimą (2) pasibaigus saugojimo laikotarpiui.

8.5.   Duomenų tvarkymo saugumas

a)

Duomenų importuotojas, o perduodant duomenis – ir duomenų eksportuotojas, įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų asmens duomenų saugumą, įskaitant apsaugą nuo saugumo pažeidimo, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami asmens duomenys arba prie jų be leidimo gaunama prieiga (toliau – asmens duomenų saugumo pažeidimas). Vertindami tinkamą saugumo lygį, jie tinkamai atsižvelgia į techninių galimybių pažangos lygį, įgyvendinimo sąnaudas, duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslą (-us), taip pat tvarkant duomenis duomenų subjektui kylančią riziką. Šalys visų pirma apsvarsto šifravimo arba pseudonimų suteikimo galimybę, įskaitant perduodant duomenis, jei tokiu būdu galima pasiekti duomenų tvarkymo tikslo.

b)

Šalys susitarė dėl II priede nustatytų techninių ir organizacinių priemonių. Duomenų importuotojas reguliariai tikrina, ar šios priemonės ir toliau užtikrina tinkamą saugumo lygį.

c)

Duomenų importuotojas užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama teisės aktais nustatyta konfidencialumo prievolė.

d)

Jei pažeidžiamas asmens duomenų, kuriuos duomenų importuotojas tvarko pagal šias sąlygas, saugumas, duomenų importuotojas imasi tinkamų priemonių asmens duomenų saugumo pažeidimui pašalinti, įskaitant priemones galimam neigiamam jo poveikiui sumažinti.

e)

Jei dėl asmens duomenų saugumo pažeidimo gali kilti pavojus fizinių asmenų teisėms ir laisvėms, duomenų importuotojas nepagrįstai nedelsdamas apie tai praneša duomenų eksportuotojui ir kompetentingai priežiūros institucijai pagal 13 sąlygą. Tokiame pranešime turi būti pateikiamas i) pažeidimo pobūdžio aprašymas (įskaitant, jei įmanoma, atitinkamų duomenų subjektų ir asmens duomenų įrašų kategorijas ir apytikslį skaičių), ii) tikėtinos jo pasekmės, iii) priemonės, kurių imtasi arba siūloma imtis pažeidimui pašalinti, ir iv) kontaktinio asmens, kuris gali suteikti daugiau informacijos, duomenys. Jei duomenų importuotojas negali pateikti visos informacijos vienu metu, jis gali tai daryti etapais toliau nepagrįstai nedelsdamas.

f)

Asmens duomenų saugumo pažeidimo, dėl kurio gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, atveju duomenų importuotojas taip pat nepagrįstai nedelsdamas praneša atitinkamiems duomenų subjektams apie asmens duomenų saugumo pažeidimą ir jo pobūdį, prireikus bendradarbiaudamas su duomenų eksportuotoju, kartu pateikdamas e punkto ii–iv papunkčiuose nurodytą informaciją, nebent duomenų importuotojas įgyvendino priemones, kuriomis gerokai sumažinamas pavojus fizinių asmenų teisėms ar laisvėms, arba pranešimas pareikalautų neproporcingai daug pastangų. Pastaruoju atveju duomenų importuotojas vietoje to paskelbia viešą pranešimą arba imasi panašių priemonių, kad informuotų visuomenę apie asmens duomenų saugumo pažeidimą.

g)

Duomenų importuotojas dokumentais pagrindžia visas atitinkamas faktines aplinkybes, susijusias su asmens duomenų saugumo pažeidimu, įskaitant jo pasekmes ir visus taisomuosius veiksmus, kurių buvo imtasi, ir juos registruoja.

8.6.   Neskelbtini duomenys

Kai perduodami asmens duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, genetiniai duomenys, ar biometriniai duomenys, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenys arba duomenys apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją ar duomenys apie apkaltinamuosius nuosprendžius ar nusikalstamas veikas (toliau – neskelbtini duomenys), duomenų importuotojas taiko konkrečius apribojimus ir (arba) papildomas apsaugos priemones, kurie pritaikyti pagal konkretų duomenų pobūdį ir susijusius pavojus. Tai gali būti personalo, kuriam leidžiama susipažinti su asmens duomenimis, ribojimas, papildomos saugumo priemonės (pavyzdžiui, pseudonimų suteikimas) ir (arba) papildomi tolesnio atskleidimo apribojimai.

8.7.   Tolesnis perdavimas

Duomenų importuotojas neatskleidžia asmens duomenų trečiajai šaliai, esančiai už Europos Sąjungos ribų (3), (toje pačioje valstybėje kaip duomenų importuotojas arba kitoje trečiojoje valstybėje, toliau – tolesnis perdavimas) nebent trečioji šalis laikosi arba sutinka laikytis šių sąlygų pagal atitinkamą modulį. Priešingu atveju duomenų importuotojas tolesnį perdavimą gali atlikti tik tada, jei:

i)

perduoda į šalį, kuriai taikomas sprendimas dėl tinkamumo pagal Reglamento (ES) 2016/679 45 straipsnį, apimantis tolesnį duomenų perdavimą;

ii)

trečioji šalis kitais atžvilgiais užtikrina tinkamas apsaugos priemones pagal Reglamento (ES) 2016/679 46 arba 47 straipsnį atitinkamo tvarkymo atžvilgiu;

iii)

trečioji šalis su duomenų importuotoju sudaro privalomą dokumentą, kuriuo užtikrinamas toks pat duomenų apsaugos lygis, kaip pagal šias sąlygas, o duomenų importuotojas šių apsaugos priemonių kopiją pateikia duomenų eksportuotojui;

iv)

jis yra būtinas siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus vykstant konkrečiai administracinei ar reguliavimo procedūrai arba teismo procesui

v)

jis yra būtinas siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus, arba

vi)

jei netaikoma nė viena kita sąlyga, duomenų importuotojas yra gavęs aiškų duomenų subjekto sutikimą dėl tolesnio duomenų perdavimo konkrečiomis aplinkybėmis, prieš tai jį informavęs apie perdavimo tikslą (-us), gavėjo tapatybę ir galimus tokio perdavimo pavojus jam dėl tinkamų duomenų apsaugos priemonių nebuvimo. Tokiu atveju duomenų importuotojas informuoja duomenų eksportuotoją ir, pastarojo prašymu, jam perduoda duomenų subjektui pateiktos informacijos kopiją.

Bet koks tolesnis perdavimas galimas tik tuo atveju, jei duomenų importuotojas laikosi visų kitų šiose sąlygose numatytų apsaugos priemonių, visų pirma tikslo apribojimo principo.

8.8.   Duomenų importuotojui pavaldžių asmenų atliekamas duomenų tvarkymas

Duomenų importuotojas užtikrina, kad bet kuris jo įgaliotas asmuo, įskaitant duomenų tvarkytoją, duomenis tvarkytų tik pagal jo nurodymus.

8.9.   Dokumentai ir sąlygų laikymasis

a)

Kiekviena šalis turi galėti įrodyti, kad vykdo savo prievoles pagal šias sąlygas. Visų pirma, duomenų importuotojas saugo atitinkamus vykdomos duomenų tvarkymo veiklos, už kurią jis atsako, dokumentus.

b)

Kompetentingos priežiūros institucijos prašymu, duomenų importuotojas jai pateikia tokius dokumentus.

ANTRAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų tvarkytojui

8.1.   Nurodymai

a)

Duomenų importuotojas tvarko asmens duomenis tik pagal duomenų eksportuotojo dokumentais įformintus nurodymus. Duomenų eksportuotojas gali duoti tokius nurodymus per visą sutarties galiojimo laikotarpį.

b)

Duomenų importuotojas nedelsdamas informuoja duomenų eksportuotoją, jei dėl kokių nors priežasčių negali laikytis šių nurodymų.

8.2.   Tikslo apribojimas

Duomenų importuotojas tvarko asmens duomenis tik konkrečiu (-iais) perdavimo tikslu (-ais), kaip nurodyta I priedo B skyriuje, nebent gauna papildomus duomenų eksportuotojo nurodymus.

8.3.   Skaidrumas

Duomenų subjektui paprašius, duomenų eksportuotojas nemokamai pateikia jam šių sąlygų, įskaitant šalių užpildytą priedėlį, kopiją. Tiek, kiek tai būtina verslo paslaptims ar kitai konfidencialiai informacijai, įskaitant II priede aprašytas priemones ir asmens duomenis, apsaugoti, duomenų eksportuotojas gali kupiūruoti dalį šių sąlygų priedėlio teksto prieš pateikdamas jo kopiją, tačiau pateikia informatyvią santrauką, jei priešingu atveju duomenų subjektas negalėtų suprasti jo turinio arba naudotis savo teisėmis. Gavusios prašymą, šalys duomenų subjektui nurodo kupiūravimo priežastis, kiek tai įmanoma neatskleisdamos kupiūruotos informacijos. Ši sąlyga nedaro poveikio duomenų eksportuotojo prievolėms pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.

8.4.   Tikslumas

Jei duomenų importuotojas sužino, kad jo gauti asmens duomenys yra netikslūs arba paseno, jis nepagrįstai nedelsdamas apie tai praneša duomenų eksportuotojui. Šiuo atveju duomenų importuotojas bendradarbiauja su duomenų eksportuotoju, kad duomenys būtų ištrinti arba ištaisyti.

8.5.   Duomenų tvarkymo trukmė ir duomenų ištrynimas arba grąžinimas

Duomenų importuotojas duomenis tvarko tik I priedo B skyriuje nurodytą laikotarpį. Pasibaigus duomenų tvarkymo paslaugų teikimui, duomenų importuotojas duomenų eksportuotojo pasirinkimu ištrina visus duomenų eksportuotojo vardu tvarkomus asmens duomenis ir patvirtina duomenų eksportuotojui, kad tai padarė, arba grąžina duomenų eksportuotojui visus jo vardu tvarkomus asmens duomenis ir ištrina esamas kopijas. Kol duomenys nesunaikinami ar negrąžinami, duomenų importuotojas ir toliau užtikrina, kad būtų laikomasi šių sąlygų. Tuo atveju, jei pagal duomenų importuotojui taikomus vietos teisės aktus draudžiama grąžinti arba ištrinti asmens duomenis, duomenų importuotojas garantuoja, kad jis ir toliau užtikrins šių sąlygų laikymąsi ir tvarkys duomenis tik tokia apimtimi ir tiek laiko, kiek to reikia pagal tokią vietos teisę. Tai nedaro poveikio 14 sąlygai, visų pirma 14 sąlygos e punkte nustatytam reikalavimui, kad duomenų importuotojas per visą sutarties galiojimo laikotarpį praneštų duomenų eksportuotojui, jei jis turi pagrindo manyti, kad jam taikomi arba pradėti taikyti teisės aktai ar praktika, kurie neatitinka 14 sąlygos a punkte nustatytų reikalavimų.

8.6.   Duomenų tvarkymo saugumas

a)

Duomenų importuotojas, o perduodant duomenis – ir duomenų eksportuotojas, įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų asmens duomenų saugumą, įskaitant apsaugą nuo saugumo pažeidimo, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami tokie duomenys arba prie jų be leidimo gaunama prieiga (toliau – asmens duomenų saugumo pažeidimas). Vertindamos tinkamą saugumo lygį, šalys tinkamai atsižvelgia į techninių galimybių pažangos lygį, įgyvendinimo sąnaudas, duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslą (-us), taip pat tvarkant duomenis duomenų subjektams kylančią riziką. Šalys visų pirma apsvarsto šifravimo arba pseudonimų suteikimo galimybę, įskaitant perduodant duomenis, jei tokiu būdu galima pasiekti duomenų tvarkymo tikslo. Pseudonimų suteikimo atveju papildomą informaciją, pagal kurią asmens duomenys priskiriami konkrečiam duomenų subjektui, jei įmanoma, kontroliuoja tik duomenų eksportuotojas. Vykdydamas prievoles pagal šią dalį, duomenų importuotojas bent jau įgyvendina II priede nurodytas technines ir organizacines priemones. Duomenų importuotojas atlieka reguliarius patikrinimus siekdamas užtikrinti, kad šios priemonės ir toliau užtikrintų tinkamą saugumo lygį.

b)

Duomenų importuotojas suteikia prieigą prie asmens duomenų savo darbuotojams tik tiek, kiek tai būtina sutarčiai įgyvendinti, valdyti ir stebėti. Jis užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama įstatais nustatyta konfidencialumo prievolė.

c)

Jei pažeidžiamas asmens duomenų, kuriuos duomenų importuotojas tvarko pagal šias sąlygas, saugumas, duomenų importuotojas imasi tinkamų priemonių pažeidimui pašalinti, įskaitant priemones neigiamam jo poveikiui sumažinti. Sužinojęs apie pažeidimą, duomenų importuotojas taip pat nepagrįstai nedelsdamas apie tai praneša duomenų eksportuotojui. Tokiame pranešime turi būti pateikiami kontaktinio asmens, kuris gali suteikti daugiau informacijos, duomenys, pažeidimo pobūdžio aprašymas (įskaitant, jei įmanoma, atitinkamų duomenų subjektų ir asmens duomenų įrašų kategorijas ir apytikslį skaičių), tikėtinos jo pasekmės ir priemonės, kurių imtasi arba siūloma imtis pažeidimui pašalinti, įskaitant, kai tinkama, priemones galimam neigiamam jo poveikiui sumažinti. Kai ir jei visos informacijos neįmanoma pateikti tuo pačiu metu, pradiniame pranešime pateikiama tuo metu turima informacija, o papildoma informacija, kai ji sužinoma, vėliau pateikiama nepagrįstai nedelsiant.

d)

Duomenų importuotojas bendradarbiauja su duomenų eksportuotoju ir jam padeda, kad duomenų eksportuotojas galėtų įvykdyti savo prievoles pagal Reglamentą (ES) 2016/679, visų pirma informuoti kompetentingą priežiūros instituciją ir susijusius duomenų subjektus, atsižvelgdamas į duomenų tvarkymo pobūdį ir duomenų importuotojo turimą informaciją.

8.7.   Neskelbtini duomenys

Kai perduodami asmens duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, genetiniai duomenys ar biometriniai duomenys, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenys arba duomenys apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją ar duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas (toliau – neskelbtini duomenys), duomenų importuotojas taiko konkrečius apribojimus ir (arba) papildomas apsaugos priemones, kurie aprašyti I priedo B skyriuje.

8.8.   Tolesnis perdavimas

Duomenų importuotojas atskleidžia asmens duomenis trečiajai šaliai tik pagal duomenų eksportuotojo dokumentais įformintus nurodymus. Be to, duomenys gali būti atskleisti trečiajai šaliai, esančiai už Europos Sąjungos ribų (4), (toje pačioje valstybėje kaip duomenų importuotojas arba kitoje trečiojoje valstybėje, toliau – tolesnis perdavimas) tik jei trečioji šalis laikosi arba sutinka laikytis šių sąlygų pagal atitinkamą modulį, arba jei:

i)

duomenys toliau perduodami į valstybę, kuriai taikomas sprendimas dėl tinkamumo pagal Reglamento (ES) 2016/679 45 straipsnį, apimantis tolesnį duomenų perdavimą;

ii)

trečioji šalis kitais atžvilgiais užtikrina tinkamas apsaugos priemones pagal Reglamento (ES) 2016/679 46 arba 47 straipsnį atitinkamo tvarkymo atžvilgiu;

iii)

tolesnis perdavimas yra būtinas siekiant pareikšti, vykdyti arba ginti teisinius reikalavimus vykstant konkrečiai administracinei ar reguliavimo procedūrai arba teismo procesui arba

iv)

tolesnis perdavimas yra būtinas siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus.

Bet koks tolesnis perdavimas galimas tik tuo atveju, jei duomenų importuotojas laikosi visų kitų šiose sąlygose numatytų apsaugos priemonių, visų pirma tikslo apribojimo principo.

8.9.   Dokumentai ir sąlygų laikymasis

a)

Duomenų importuotojas nedelsdamas ir tinkamai atsako į duomenų eksportuotojo užklausas, susijusias su duomenų tvarkymu pagal šias sąlygas.

b)

Šalys turi galėti įrodyti, kad laikosi šių sąlygų. Visų pirma, duomenų importuotojas saugo atitinkamus duomenų tvarkymo veiklos, kurią vykdo duomenų eksportuotojo vardu, dokumentus.

c)

Duomenų importuotojas pateikia duomenų eksportuotojui visą informaciją, būtiną siekiant įrodyti, kad vykdomos šiose sąlygose nustatytos prievolės, ir, duomenų eksportuotojo prašymu, sudaro sąlygas bei padeda atlikti duomenų tvarkymo veiklos, kuriai taikomos šios sąlygos, auditą pagrįstais laiko tarpais arba jei nustatoma, kad nesilaikoma reikalavimų. Priimdamas sprendimą dėl peržiūros ar audito, duomenų eksportuotojas gali atsižvelgti į atitinkamus duomenų importuotojo turimus sertifikatus.

d)

Duomenų eksportuotojas gali pats atlikti auditą arba įgalioti nepriklausomą auditorių. Auditas gali apimti patikrinimus duomenų importuotojo patalpose ar fiziniuose objektuose ir, jei tinkama, turi būti atliekamas tinkamai apie jį pranešus.

e)

Kompetentingos priežiūros institucijos prašymu, šalys pateikia b ir c punktuose nurodytą informaciją, įskaitant bet kokio audito rezultatus.

TREČIAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų tvarkytojui

8.1.   Nurodymai

a)

Duomenų eksportuotojas yra informavęs duomenų importuotoją, kad jis veikia kaip duomenų tvarkytojas pagal duomenų valdytojo (-ų) nurodymus, kuriuos duomenų eksportuotojas pateikia duomenų importuotojui prieš pradedant tvarkyti duomenis.

b)

Duomenų importuotojas tvarko asmens duomenis tik pagal duomenų valdytojo dokumentais įformintus nurodymus, kuriuos duomenų eksportuotojas perdavė duomenų importuotojui, ir bet kokius papildomus dokumentais įformintus duomenų eksportuotojo nurodymus. Tokie papildomi nurodymai neprieštarauja duomenų valdytojo nurodymams. Duomenų valdytojas arba duomenų eksportuotojas gali duoti papildomų dokumentais įformintų nurodymų dėl duomenų tvarkymo per visą sutarties galiojimo laikotarpį.

c)

Duomenų importuotojas nedelsdamas informuoja duomenų eksportuotoją, jei dėl kokių nors priežasčių negali laikytis šių nurodymų. Jei duomenų importuotojas negali laikytis duomenų valdytojo nurodymų, duomenų eksportuotojas nedelsdamas apie tai praneša duomenų valdytojui.

d)

Duomenų eksportuotojas garantuoja, kad duomenų importuotojui nustatė tokias pačias duomenų apsaugos prievoles, kokios nustatytos duomenų valdytojo ir duomenų eksportuotojo sutartyje arba kitame teisės akte pagal Sąjungos arba valstybės narės teisę (5).

8.2.   Tikslo apribojimas

Duomenų importuotojas tvarko asmens duomenis tik konkrečiu (-iais) perdavimo tikslu (-ais), kaip nurodyta I priedo B skyriuje, nebent gauna papildomus duomenų valdytojo nurodymus, kuriuos duomenų importuotojui perduoda duomenų eksportuotojas, arba papildomus duomenų eksportuotojo nurodymus.

8.3.   Skaidrumas

Duomenų subjektui paprašius, duomenų eksportuotojas nemokamai pateikia jam šių sąlygų, įskaitant šalių užpildytą priedėlį, kopiją. Tiek, kiek tai būtina verslo paslaptims ar kitai konfidencialiai informacijai, įskaitant asmens duomenis, apsaugoti, duomenų eksportuotojas gali kupiūruoti priedėlio teksto dalį prieš pateikdamos jo kopiją, tačiau pateikia informatyvią santrauką, jei priešingu atveju duomenų subjektas negalėtų suprasti jo turinio arba naudotis savo teisėmis. Gavusios prašymą, šalys duomenų subjektui nurodo kupiūravimo priežastis, kiek tai įmanoma neatskleisdamos kupiūruotos informacijos.

8.4.   Tikslumas

Jei duomenų importuotojas sužino, kad jo gauti asmens duomenys yra netikslūs arba paseno, jis nepagrįstai nedelsdamas apie tai praneša duomenų eksportuotojui. Šiuo atveju duomenų importuotojas bendradarbiauja su duomenų eksportuotoju, kad duomenys būtų ištaisyti arba ištrinti.

8.5.   Duomenų tvarkymo trukmė ir duomenų ištrynimas arba grąžinimas

Duomenų importuotojas duomenis tvarko tik I priedo B skyriuje nurodytą laikotarpį. Pasibaigus duomenų tvarkymo paslaugų teikimui, duomenų importuotojas duomenų eksportuotojo pasirinkimu ištrina visus duomenų valdytojo vardu tvarkomus asmens duomenis ir patvirtina duomenų eksportuotojui, kad tai padarė, arba grąžina duomenų eksportuotojui visus jo vardu tvarkomus asmens duomenis ir ištrina esamas kopijas. Kol duomenys neištrinami ar negrąžinami, duomenų importuotojas ir toliau užtikrina, kad būtų laikomasi šių sąlygų. Tuo atveju, jei pagal duomenų importuotojui taikomus vietos teisės aktus draudžiama grąžinti arba ištrinti asmens duomenis, duomenų importuotojas garantuoja, kad jis ir toliau užtikrins šių sąlygų laikymąsi ir tvarkys duomenis tik tokia apimtimi ir tiek laiko, kiek to reikia pagal tokią vietos teisę. Tai nedaro poveikio 14 sąlygai, visų pirma 14 sąlygos e punkte nustatytam reikalavimui, kad duomenų importuotojas per visą sutarties galiojimo laikotarpį praneštų duomenų eksportuotojui, jei jis turi pagrindo manyti, kad jam taikomi arba pradėti taikyti teisės aktai ar praktika, kurie neatitinka 14 sąlygos a punkte nustatytų reikalavimų.

8.6.   Duomenų tvarkymo saugumas

a)

Duomenų importuotojas, o perduodant duomenis – ir duomenų eksportuotojas, įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų asmens duomenų saugumą, įskaitant apsaugą nuo saugumo pažeidimo, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami tokie duomenys arba prie jų be leidimo gaunama prieiga (toliau – asmens duomenų saugumo pažeidimas). Vertindami tinkamą saugumo lygį, jie tinkamai atsižvelgia į techninių galimybių pažangos lygį, įgyvendinimo sąnaudas, duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslą (-us), taip pat tvarkant duomenis duomenų subjektui kylančią riziką. Šalys visų pirma apsvarsto šifravimo arba pseudonimų suteikimo galimybę, įskaitant perduodant duomenis, jei tokiu būdu galima pasiekti duomenų tvarkymo tikslo. Pseudonimų suteikimo atveju papildomą informaciją, pagal kurią asmens duomenys priskiriami konkrečiam duomenų subjektui, jei įmanoma, kontroliuoja tik duomenų eksportuotojas arba duomenų valdytojas. Vykdydamas prievoles pagal šią dalį, duomenų importuotojas bent jau įgyvendina II priede nurodytas technines ir organizacines priemones. Duomenų importuotojas atlieka reguliarius patikrinimus siekdamas užtikrinti, kad šios priemonės ir toliau užtikrintų tinkamą saugumo lygį.

b)

Duomenų importuotojas suteikia prieigą prie duomenų savo darbuotojams tik tiek, kiek tai būtina sutarčiai įgyvendinti, valdyti ir stebėti. Jis užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama įstatais nustatyta konfidencialumo prievolė.

c)

Jei pažeidžiamas asmens duomenų, kuriuos duomenų importuotojas tvarko pagal šias sąlygas, saugumas, duomenų importuotojas imasi tinkamų priemonių pažeidimui pašalinti, įskaitant priemones neigiamam jo poveikiui sumažinti. Sužinojęs apie pažeidimą, duomenų importuotojas taip pat nepagrįstai nedelsdamas apie tai praneša duomenų eksportuotojui ir, jei tinkama ir įmanoma, duomenų valdytojui. Tokiame pranešime turi būti pateikiami kontaktinio asmens, kuris gali suteikti daugiau informacijos, duomenys, pažeidimo pobūdžio aprašymas (įskaitant, jei įmanoma, atitinkamų duomenų subjektų ir asmens duomenų įrašų kategorijas ir apytikslį skaičių), tikėtinos jo pasekmės ir priemonės, kurių imtasi arba siūloma imtis duomenų saugumo pažeidimui pašalinti, įskaitant priemones galimam neigiamam jo poveikiui sumažinti. Kai ir jei visos informacijos neįmanoma pateikti tuo pačiu metu, pradiniame pranešime pateikiama tuo metu turima informacija, o papildoma informacija, kai ji sužinoma, vėliau pateikiama nepagrįstai nedelsiant.

d)

Duomenų importuotojas bendradarbiauja su duomenų eksportuotoju ir jam padeda, kad duomenų eksportuotojas galėtų įvykdyti savo prievoles pagal Reglamentą (ES) 2016/679, visų pirma informuoti savo duomenų valdytoją, kad pastarasis savo ruožtu galėtų informuoti kompetentingą priežiūros instituciją ir susijusius duomenų subjektus, atsižvelgdamas į duomenų tvarkymo pobūdį ir duomenų importuotojo turimą informaciją.

8.7.   Neskelbtini duomenys

Kai perduodami asmens duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, genetiniai duomenys ar biometriniai duomenys, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenys arba duomenys apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją ar duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas (toliau – neskelbtini duomenys), duomenų importuotojas taiko konkrečius apribojimus ir (arba) papildomas apsaugos priemones, kurie nustatyti I priedo B skyriuje.

8.8.   Tolesnis perdavimas

Duomenų importuotojas atskleidžia asmens duomenis trečiajai šaliai tik pagal duomenų valdytojo dokumentais įformintus nurodymus, kuriuos duomenų eksportuotojas perdavė duomenų importuotojui. Be to, duomenys gali būti atskleisti trečiajai šaliai, esančiai už Europos Sąjungos ribų (6), (toje pačioje valstybėje kaip duomenų importuotojas arba kitoje trečiojoje valstybėje, toliau – tolesnis perdavimas) tik jei trečioji šalis laikosi arba sutinka laikytis šių sąlygų pagal atitinkamą modulį, arba jei:

i)

duomenys toliau perduodami į valstybę, kuriai taikomas sprendimas dėl tinkamumo pagal Reglamento (ES) 2016/679 45 straipsnį, apimantis tolesnį duomenų perdavimą;

ii)

trečioji šalis kitais atžvilgiais užtikrina tinkamas apsaugos priemones pagal Reglamento (ES) 2016/679 46 arba 47 straipsnį;

iii)

tolesnis perdavimas yra būtinas siekiant pareikšti, vykdyti arba ginti teisinius reikalavimus vykstant konkrečiai administracinei ar reguliavimo procedūrai arba teismo procesui arba

iv)

tolesnis perdavimas yra būtinas siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus.

Bet koks tolesnis perdavimas galimas tik tuo atveju, jei duomenų importuotojas laikosi visų kitų šiose sąlygose numatytų apsaugos priemonių, visų pirma tikslo apribojimo principo.

8.9.   Dokumentai ir sąlygų laikymasis

a)

Duomenų importuotojas nedelsdamas ir tinkamai atsako į duomenų eksportuotojo arba duomenų valdytojo užklausas, susijusias su duomenų tvarkymu pagal šias sąlygas.

b)

Šalys turi galėti įrodyti, kad laikosi šių sąlygų. Visų pirma, duomenų importuotojas saugo atitinkamus duomenų tvarkymo veiklos, kurią vykdo duomenų valdytojo vardu, dokumentus.

c)

Duomenų importuotojas pateikia visą informaciją, būtiną siekiant įrodyti, kad vykdomos šiose sąlygose nustatytos prievolės, duomenų eksportuotojui, kuris ją pateikia duomenų valdytojui.

d)

Duomenų importuotojas sudaro sąlygas ir padeda duomenų eksportuotojui atlikti duomenų tvarkymo veiklos, kuriai taikomos šios sąlygos, auditą pagrįstais laiko tarpais arba jei nustatoma, kad nesilaikoma reikalavimų. Tas pats taikoma ir tuo atveju, kai duomenų eksportuotojas prašo atlikti auditą duomenų valdytojo nurodymu. Priimdamas sprendimą dėl audito, duomenų eksportuotojas gali atsižvelgti į atitinkamus duomenų importuotojo turimus sertifikatus.

e)

Kai auditas atliekamas duomenų valdytojo nurodymu, duomenų eksportuotojas rezultatus pateikia duomenų valdytojui.

f)

Duomenų eksportuotojas gali pats atlikti auditą arba įgalioti nepriklausomą auditorių. Auditas gali apimti patikrinimus duomenų importuotojo patalpose ar fiziniuose objektuose ir, jei tinkama, turi būti atliekamas tinkamai apie jį pranešus.

g)

Kompetentingos priežiūros institucijos prašymu, šalys pateikia b ir c punktuose nurodytą informaciją, įskaitant bet kokio audito rezultatus.

KETVIRTAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų valdytojui

8.1.   Nurodymai

a)

Duomenų eksportuotojas tvarko asmens duomenis tik pagal dokumentais įformintus duomenų importuotojo, kuris veikia kaip duomenų valdytojas, nurodymus.

b)

Duomenų eksportuotojas nedelsdamas informuoja duomenų importuotoją, jei negali laikytis tų nurodymų, įskaitant atvejus, kai tokiais nurodymais pažeidžiamas Reglamentas (ES) 2016/679 arba kitas Sąjungos ar valstybės narės duomenų apsaugos teisės aktas.

c)

Duomenų importuotojas nesiima jokių veiksmų, kurie trukdytų duomenų eksportuotojui vykdyti savo prievoles pagal Reglamentą (ES) 2016/679, įskaitant pagalbinio duomenų tvarkytojo pasitelkimą arba bendradarbiavimą su kompetentingomis priežiūros institucijomis.

d)

Pasibaigus duomenų tvarkymo paslaugų teikimui, duomenų eksportuotojas duomenų importuotojo pasirinkimu ištrina visus duomenų importuotojo vardu tvarkomus asmens duomenis ir patvirtina duomenų importuotojui, kad tai padarė, arba grąžina duomenų importuotojui visus jo vardu tvarkomus asmens duomenis ir ištrina esamas kopijas.

8.2.   Duomenų tvarkymo saugumas

a)

Šalys įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų asmens duomenų saugumą, įskaitant juos perduodant, ir apsaugą nuo saugumo pažeidimo, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami duomenys arba prie jų be leidimo gaunama prieiga (toliau – asmens duomenų saugumo pažeidimas). Vertindamos tinkamą saugumo lygį, jos tinkamai atsižvelgia į techninių galimybių pažangos lygį, įgyvendinimo sąnaudas, asmens duomenų pobūdį (7), duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslą (-us), taip pat tvarkant duomenis duomenų subjektams kylančią riziką, ir visų pirma apsvarsto šifravimo arba pseudonimų suteikimo galimybę, įskaitant perduodant duomenis, jei tokiu būdu galima pasiekti duomenų tvarkymo tikslo.

b)

Duomenų eksportuotojas padeda duomenų importuotojui užtikrinti tinkamą duomenų saugumą pagal a punktą. Jei pažeidžiamas asmens duomenų, kuriuos duomenų eksportuotojas tvarko pagal šias sąlygas, saugumas, duomenų eksportuotojas nepagrįstai nedelsdamas po to, kai apie tai sužino, praneša apie tai duomenų importuotojui ir padeda duomenų importuotojui pašalinti pažeidimą.

c)

Duomenų eksportuotojas užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama įstatais nustatyta konfidencialumo prievolė.

8.3.   Dokumentai ir sąlygų laikymasis

a)

Šalys turi galėti įrodyti, kad laikosi šių sąlygų.

b)

Duomenų eksportuotojas pateikia duomenų importuotojui visą informaciją, būtiną siekiant įrodyti, kad jis vykdo savo prievoles pagal šias sąlygas, ir sudaro sąlygas auditui bei padeda jį atlikti.

9 sąlyga

Pagalbinių duomenų tvarkytojų pasitelkimas

ANTRAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų tvarkytojui

a)

1 VARIANTAS. KONKRETUS IŠANKSTINIS LEIDIMAS. Be išankstinio konkretaus duomenų eksportuotojo rašytinio leidimo duomenų importuotojas neperduoda jokios duomenų eksportuotojo vardu pagal šias sąlygas vykdomos duomenų tvarkymo veiklos pagalbiniam duomenų tvarkytojui. Duomenų importuotojas pateikia prašymą dėl konkretaus leidimo likus ne mažiau kaip [nurodyti laikotarpį] iki pagalbinio duomenų tvarkytojo pasitelkimo kartu su informacija, kuri būtina duomenų eksportuotojui, kad jis galėtų priimti sprendimą dėl leidimo. Duomenų eksportuotojo jau įgaliotų pagalbinių duomenų tvarkytojų sąrašas pateiktas III priede. Šalys nuolat atnaujina III priedą.

2 VARIANTAS. BENDRAS RAŠYTINIS LEIDIMAS. Duomenų importuotojas turi bendrą duomenų eksportuotojo leidimą pasitelkti pagalbinį (-ius) duomenų tvarkytoją (-us) iš suderinto sąrašo. Duomenų importuotojas konkrečiai raštu informuoja duomenų eksportuotoją apie bet kokius numatomus to sąrašo pakeitimus įtraukiant ar pakeičiant pagalbinius duomenų tvarkytojus ne mažiau kaip prieš [nurodyti laikotarpį], taip suteikdamas duomenų eksportuotojui pakankamai laiko, kad jis galėtų prieštarauti tokiems pakeitimams iki pagalbinio (-ių) duomenų tvarkytojo (-ų) pasitelkimo. Duomenų importuotojas pateikia duomenų eksportuotojui informaciją, būtiną tam, kad duomenų eksportuotojas galėtų pasinaudoti savo teise prieštarauti.

b)

Kai duomenų importuotojas pasitelkia pagalbinį duomenų tvarkytoją konkrečiai duomenų tvarkymo veiklai vykdyti (duomenų eksportuotojo vardu), jis tai daro sudarydamas rašytinę sutartį, kurioje iš esmės numatomos tokios pačios duomenų apsaugos prievolės, kurių duomenų importuotojui privaloma laikytis pagal šias sąlygas, įskaitant duomenų subjektų trečiosios šalies naudos gavėjos teises (8). Šalys susitaria, kad duomenų importuotojas, laikydamasis šios sąlygos, vykdo savo įsipareigojimus pagal 8.8 sąlygą. Duomenų importuotojas užtikrina, kad pagalbinis duomenų tvarkytojas laikytųsi įsipareigojimų, kurie duomenų importuotojui taikomi pagal šias sąlygas.

c)

Duomenų eksportuotojo prašymu, duomenų importuotojas pateikia duomenų eksportuotojui tokio susitarimo su pagalbiniu duomenų tvarkytoju ir visų vėlesnių jo pakeitimų kopiją. Tiek, kiek būtina verslo paslaptims ar kitai konfidencialiai informacijai, įskaitant asmens duomenis, apsaugoti, duomenų importuotojas gali kupiūruoti susitarimo tekstą prieš pateikdamas jo kopiją.

d)

Duomenų importuotojas lieka visiškai atsakingas duomenų eksportuotojui už pagalbinio duomenų tvarkytojo įsipareigojimų, nustatytų jo sutartyje su duomenų importuotoju, vykdymą. Duomenų importuotojas praneša duomenų eksportuotojui apie bet kokį pagalbinio duomenų tvarkytojo įsipareigojimų pagal tą sutartį nevykdymą.

e)

Duomenų importuotojas suderina su pagalbiniu duomenų tvarkytoju trečiosios šalies naudos gavėjos sąlygą, pagal kurią duomenų importuotojui faktiškai dingus, teisiškai nutraukus veiklą arba tapus nemokiu duomenų eksportuotojas turi teisę nutraukti sutartį su pagalbiniu duomenų tvarkytoju ir nurodyti pagalbiniam duomenų tvarkytojui ištrinti arba grąžinti asmens duomenis.

TREČIAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų tvarkytojui

a)

1 VARIANTAS. KONKRETUS IŠANKSTINIS LEIDIMAS. Be išankstinio konkretaus duomenų valdytojo rašytinio leidimo duomenų importuotojas neperduoda jokios duomenų eksportuotojo vardu pagal šias sąlygas vykdomos duomenų tvarkymo veiklos pagalbiniam duomenų tvarkytojui. Duomenų importuotojas pateikia prašymą dėl konkretaus leidimo likus ne mažiau kaip [nurodyti laikotarpį] iki atitinkamo pagalbinio duomenų tvarkytojo pasitelkimo kartu su informacija, kuri būtina duomenų valdytojui, kad jis galėtų priimti sprendimą dėl leidimo. Apie tokį pasitelkimą jis informuoja duomenų eksportuotoją. Duomenų valdytojo jau įgaliotų pagalbinių duomenų tvarkytojų sąrašas pateiktas III priede. Šalys nuolat atnaujina III priedą.

2 VARIANTAS. BENDRAS RAŠYTINIS LEIDIMAS. Duomenų importuotojas turi bendrą duomenų valdytojo leidimą pasitelkti pagalbinį (-ius) duomenų tvarkytoją (-us) iš suderinto sąrašo. Duomenų importuotojas konkrečiai raštu informuoja duomenų valdytoją apie bet kokius numatomus to sąrašo pakeitimus įtraukiant ar pakeičiant pagalbinius duomenų tvarkytojus ne mažiau kaip prieš [nurodyti laikotarpį], taip suteikdamas duomenų valdytojui pakankamai laiko, kad jis galėtų prieštarauti tokiems pakeitimams iki pagalbinio (-ių) duomenų tvarkytojo (-ų) pasitelkimo. Duomenų importuotojas pateikia duomenų valdytojui informaciją, būtiną tam, kad duomenų valdytojas galėtų pasinaudoti savo teise prieštarauti. Duomenų importuotojas informuoja duomenų eksportuotoją apie pagalbinio (-ių) duomenų tvarkytojo (-ų) pasitelkimą.

b)

Kai duomenų importuotojas pasitelkia pagalbinį duomenų tvarkytoją konkrečiai duomenų tvarkymo veiklai vykdyti (duomenų valdytojo vardu), jis tai daro sudarydamas rašytinę sutartį, kurioje iš esmės numatomos tokios pačios duomenų apsaugos prievolės, kurių duomenų importuotojui privaloma laikytis pagal šias sąlygas, įskaitant duomenų subjektų trečiosios šalies naudos gavėjos teises (9). Šalys susitaria, kad duomenų importuotojas, laikydamasis šios sąlygos, vykdo savo įsipareigojimus pagal 8.8 sąlygą. Duomenų importuotojas užtikrina, kad pagalbinis duomenų tvarkytojas laikytųsi įsipareigojimų, kurie duomenų importuotojui taikomi pagal šias sąlygas.

c)

Duomenų eksportuotojo arba duomenų valdytojo prašymu, duomenų importuotojas pateikia tokio susitarimo su pagalbiniu duomenų tvarkytoju ir visų vėlesnių jo pakeitimų kopiją. Tiek, kiek būtina verslo paslaptims ar kitai konfidencialiai informacijai, įskaitant asmens duomenis, apsaugoti, duomenų importuotojas gali kupiūruoti susitarimo tekstą prieš pateikdamas jo kopiją.

d)

Duomenų importuotojas lieka visiškai atsakingas duomenų eksportuotojui už pagalbinio duomenų tvarkytojo įsipareigojimų, nustatytų jo sutartyje su duomenų importuotoju, vykdymą. Duomenų importuotojas praneša duomenų eksportuotojui apie bet kokį pagalbinio duomenų tvarkytojo įsipareigojimų pagal tą sutartį nevykdymą.

e)

Duomenų importuotojas suderina su pagalbiniu duomenų tvarkytoju trečiosios šalies naudos gavėjos sąlygą, pagal kurią duomenų importuotojui faktiškai dingus, teisiškai nutraukus veiklą arba tapus nemokiu duomenų eksportuotojas turi teisę nutraukti sutartį su pagalbiniu duomenų tvarkytoju ir nurodyti pagalbiniam duomenų tvarkytojui ištrinti arba grąžinti asmens duomenis.

10 sąlyga

Duomenų subjektų teisės

PIRMAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų valdytojui

a)

Duomenų importuotojas, prireikus padedamas duomenų eksportuotojo, nepagrįstai nedelsdamas ir ne vėliau kaip per vieną mėnesį nuo užklausos ar prašymo gavimo dienos (10) išnagrinėja visas iš duomenų subjekto gautas užklausas ir prašymus, susijusius su jo asmens duomenų tvarkymu ir naudojimusi jo teisėmis pagal šias sąlygas. Duomenų importuotojas imasi tinkamų priemonių, kad sudarytų palankesnes sąlygas teikti tokias užklausas, prašymus ir naudotis duomenų subjekto teisėmis. Bet kokia duomenų subjektui teikiama informacija pateikiama suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba.

b)

Visų pirma, duomenų subjekto prašymu, duomenų importuotojas nemokamai:

i)

pateikia duomenų subjektui patvirtinimą, ar jo asmens duomenys yra tvarkomi, ir, jei taip yra, jo duomenų kopiją ir I priede nurodytą informaciją; jei asmens duomenys buvo arba bus perduoti toliau, pateikia informaciją apie duomenų gavėjus arba duomenų gavėjų kategorijas (atitinkamai, siekiant suteikti prasmingą informaciją), kuriems buvo arba bus toliau perduodami asmens duomenys, tokio tolesnio perdavimo tikslą ir pagrindą pagal 8.7 sąlygą; taip pat pateikia informaciją apie teisę pateikti skundą priežiūros institucijai pagal 12 sąlygos c punkto i papunktį;

ii)

ištaiso netikslius arba neišsamius duomenų subjekto duomenis;

iii)

ištrina duomenų subjekto asmens duomenis, jei tokie duomenys tvarkomi arba buvo tvarkomi pažeidžiant bet kurią iš šių sąlygų, užtikrinant trečiosios šalies naudos gavėjos teises, arba duomenų subjektui atšaukus sutikimą, kuriuo grindžiamas duomenų tvarkymas.

c)

Jei duomenų importuotojas asmens duomenis tvarko tiesioginės rinkodaros tikslais, jis nutraukia duomenų tvarkymą tokiais tikslais, jei duomenų subjektas tam prieštarauja.

d)

Duomenų importuotojas nepriima vien tik automatizuotu perduotų asmens duomenų tvarkymu pagrįsto sprendimo (toliau – automatizuotas sprendimas), dėl kurio duomenų subjektui kiltų teisinių pasekmių arba kuris jam darytų panašų didelį poveikį, nebent yra gautas aiškus duomenų subjekto sutikimas arba tai leidžiama daryti pagal paskirties valstybės teisės aktus, jei tokiuose teisės aktuose nustatytos tinkamos priemonės, kuriomis saugomos duomenų subjekto teisės ir teisėti interesai. Tokiu atveju duomenų importuotojas, prireikus bendradarbiaudamas su duomenų eksportuotoju:

i)

informuoja duomenų subjektą apie numatomą automatizuotą sprendimą, numatomas pasekmes ir logiką ir

ii)

įgyvendina tinkamas apsaugos priemones, bent jau suteikdamas duomenų subjektui galimybę užginčyti sprendimą, išreikšti savo nuomonę ir pasiekti, kad sprendimą peržiūrėtų žmogus.

e)

Jei duomenų subjekto prašymai yra neproporcingi, visų pirma dėl jų pasikartojančio turinio, duomenų importuotojas gali imti pagrįstą mokestį, atsižvelgdamas į prašymo įvykdymo administracines išlaidas, arba atsisakyti imtis veiksmų pagal prašymą.

f)

Duomenų importuotojas gali atsisakyti tenkinti duomenų subjekto prašymą, jei toks atsisakymas leidžiamas pagal paskirties valstybės teisės aktus ir yra būtinas bei proporcingas demokratinėje visuomenėje siekiant apsaugoti vieną iš Reglamento (ES) 2016/679 23 straipsnio 1 dalyje išvardytų tikslų.

g)

Jei duomenų importuotojas ketina atsisakyti patenkinti duomenų subjekto prašymą, jis informuoja duomenų subjektą apie atsisakymo priežastis ir galimybę pateikti skundą kompetentingai priežiūros institucijai ir (arba) pasinaudoti teisminėmis teisių gynimo priemonėmis.

ANTRAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų tvarkytojui

a)

Duomenų importuotojas nedelsdamas praneša duomenų eksportuotojui apie bet kokį iš duomenų subjekto gautą prašymą. Jis pats į tokį prašymą neatsako, nebent duomenų eksportuotojas jam leido tai daryti.

b)

Duomenų importuotojas padeda duomenų eksportuotojui vykdyti jo prievoles atsakyti į duomenų subjektų prašymus pasinaudoti savo teisėmis pagal Reglamentą (ES) 2016/679. Šiuo atžvilgiu šalys II priede, atsižvelgdamos į duomenų tvarkymo pobūdį, nustato atitinkamas technines ir organizacines priemones, kuriomis teikiama pagalba, taip pat reikiamos pagalbos apimtį ir mastą.

c)

Duomenų importuotojas, vykdydamas a ir b punktuose nustatytas prievoles, laikosi duomenų eksportuotojo nurodymų.

TREČIAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų tvarkytojui

a)

Duomenų importuotojas nedelsdamas praneša duomenų eksportuotojui ir, kai tinkama, duomenų valdytojui apie bet kokį iš duomenų subjekto gautą prašymą, pats į tokį prašymą neatsakydamas, nebent duomenų valdytojas jam leido tai daryti.

b)

Duomenų importuotojas, kai tinkama bendradarbiaudamas su duomenų eksportuotoju, padeda duomenų valdytojui vykdyti jo prievoles atsakyti į duomenų subjektų prašymus pasinaudoti savo teisėmis pagal Reglamentą (ES) 2016/679 arba Reglamentą (ES) 2018/1725. Šiuo atžvilgiu šalys II priede, atsižvelgdamos į duomenų tvarkymo pobūdį, nustato atitinkamas technines ir organizacines priemones, kuriomis teikiama pagalba, taip pat reikiamos pagalbos apimtį ir mastą.

c)

Duomenų importuotojas, vykdydamas a ir b punktuose nustatytas prievoles, laikosi duomenų valdytojo nurodymų, kuriuos jam perdavė duomenų eksportuotojas.

KETVIRTAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų valdytojui

Šalys padeda viena kitai atsakyti į duomenų subjektų pateiktas užklausas ir prašymus pagal duomenų importuotojui taikomą vietos teisę arba, kai duomenis tvarko duomenų eksportuotojas ES, pagal Reglamentą (ES) 2016/679.

11 sąlyga

Teisių gynimas

a)

Duomenų importuotojas skaidriai ir lengvai prieinamu formatu atskiru pranešimu arba savo svetainėje informuoja duomenų subjektus apie kontaktinį asmenį, įgaliotą nagrinėti skundus. Jis nedelsdamas nagrinėja visus iš duomenų subjekto gautus skundus.

[VARIANTAS: Duomenų importuotojas sutinka, kad duomenų subjektai taip pat gali nemokamai pateikti skundą nepriklausomai ginčų sprendimo institucijai (11). Jis a punkte nurodytu būdu informuoja duomenų subjektus apie tokį teisių gynimo mechanizmą ir apie tai, kad jie neprivalo juo naudotis ar laikytis tam tikros sekos, kai siekia ginti savo teises].

PIRMAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų valdytojui

ANTRAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų tvarkytojui

TREČIAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų tvarkytojui

b)

Kilus duomenų subjekto ir vienos iš šalių ginčui dėl šių sąlygų laikymosi, ta šalis deda visas pastangas, kad klausimas būtų taikiai išspręstas laiku. Šalys informuoja viena kitą apie tokius ginčus ir, prireikus, bendradarbiauja juos sprendžiant.

c)

Kai duomenų subjektas remiasi trečiosios šalies naudos gavėjos teise pagal 3 sąlygą, duomenų importuotojas sutinka su duomenų subjekto sprendimu:

i)

pateikti skundą savo nuolatinės gyvenamosios vietos ar darbo vietos valstybės narės priežiūros institucijai arba kompetentingai priežiūros institucijai pagal 13 sąlygą;

ii)

perduoti ginčą nagrinėti kompetentingiems teismams pagal 18 sąlygą.

d)

Šalys sutinka, kad duomenų subjektui gali atstovauti ne pelno įstaiga, organizacija ar asociacija Reglamento (ES) 2016/679 80 straipsnio 1 dalyje nustatytomis sąlygomis.

e)

Duomenų importuotojas laikosi sprendimo, kuris yra privalomas pagal taikytiną ES arba valstybės narės teisę.

f)

Duomenų importuotojas sutinka, kad duomenų subjekto pasirinkimas neturės poveikio jo materialinėms ir procesinėms teisėms siekti teisių gynimo pagal taikytinus teisės aktus.

12 sąlyga

Atsakomybė

PIRMAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų valdytojui

KETVIRTAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų valdytojui

a)

Kiekviena šalis yra atsakinga kitai šaliai (-ims) už bet kokią žalą, kurią ji padaro kitai šaliai (-ims) dėl bet kokio šių sąlygų pažeidimo.

b)

Kiekviena šalis yra atsakinga duomenų subjektui, o duomenų subjektas turi teisę gauti bet kokios turtinės ar neturtinės žalos, kurią šalis padaro duomenų subjektui pažeisdama trečiosios šalies naudos gavėjos teises pagal šias sąlygas, kompensaciją. Tai nedaro poveikio duomenų eksportuotojo atsakomybei pagal Reglamentą (ES) 2016/679.

c)

Jei už žalą, padarytą duomenų subjektui dėl šių sąlygų pažeidimo, atsako daugiau nei viena šalis, visos atsakingos šalys atsako solidariai, o duomenų subjektas turi teisę pareikšti ieškinį teisme bet kuriai iš šių šalių.

d)

Šalys susitaria, kad, jei viena šalis laikoma atsakinga pagal c punktą, ji turi teisę reikalauti, kad kita (-os) šalis (-ys) grąžintų kompensacijos dalį, atitinkančią jos (jų) atsakomybę už žalą.

e)

Duomenų importuotojas negali remtis duomenų tvarkytojo ar pagalbinio duomenų tvarkytojo elgesiu, kad išvengtų atsakomybės.

ANTRAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų tvarkytojui

TREČIAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų tvarkytojui

a)

Kiekviena šalis yra atsakinga kitai šaliai (-ims) už bet kokią žalą, kurią ji padaro kitai šaliai (-ims) dėl bet kokio šių sąlygų pažeidimo.

b)

Duomenų importuotojas yra atsakingas duomenų subjektui, o duomenų subjektas turi teisę gauti bet kokios turtinės ar neturtinės žalos, kurią duomenų importuotojas arba jo pagalbinis duomenų tvarkytojas padaro duomenų subjektui pažeisdamas trečiosios šalies naudos gavėjos teises pagal šias sąlygas, kompensaciją.

c)

Nepaisant b punkto, duomenų eksportuotojas yra atsakingas duomenų subjektui, o duomenų subjektas turi teisę gauti bet kokios turtinės ar neturtinės žalos, kurią duomenų eksportuotojas arba duomenų importuotojas (ar jo pagalbinis duomenų tvarkytojas) padaro duomenų subjektui pažeisdamas trečiosios šalies naudos gavėjos teises pagal šias sąlygas, kompensaciją. Tai nedaro poveikio duomenų eksportuotojo atsakomybei ir, kai duomenų eksportuotojas yra duomenų tvarkytojas, veikiantis duomenų valdytojo vardu, duomenų valdytojo atsakomybei pagal Reglamentą (ES) 2016/679 arba Reglamentą (ES) 2018/1725.

d)

Šalys susitaria, kad, jei duomenų eksportuotojas laikomas atsakingu pagal c punktą už duomenų importuotojo (arba jo pagalbinio duomenų tvarkytojo) padarytą žalą, jis turi teisę reikalauti, kad duomenų importuotojas grąžintų kompensacijos dalį, atitinkančią duomenų importuotojo atsakomybę už žalą.

e)

Jei už žalą, padarytą duomenų subjektui dėl šių sąlygų pažeidimo, atsako daugiau nei viena šalis, visos atsakingos šalys atsako solidariai, o duomenų subjektas turi teisę pareikšti ieškinį teisme bet kuriai iš šių šalių.

f)

Šalys susitaria, kad, jei viena šalis laikoma atsakinga pagal e punktą, ji turi teisę reikalauti, kad kita (-os) šalis (-ys) grąžintų kompensacijos dalį, atitinkančią jos (jų) atsakomybę už žalą.

g)

Duomenų importuotojas negali remtis pagalbinio duomenų tvarkytojo elgesiu, kad išvengtų atsakomybės.

13 sąlyga

Priežiūra

PIRMAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų valdytojui

ANTRAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų tvarkytojui

TREČIAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų tvarkytojui

a)

[Kai duomenų eksportuotojas yra įsisteigęs ES valstybėje narėje:] Priežiūros institucija, turinti užtikrinti, kad duomenų eksportuotojas laikytųsi Reglamento (ES) 2016/679 reikalavimų, taikomų duomenų perdavimui, nurodyta I priedo C skyriuje, yra kompetentinga priežiūros institucija.

[Jei duomenų eksportuotojas nėra įsisteigęs ES valstybėje narėje, tačiau patenka į Reglamento (ES) 2016/679 teritorinę taikymo sritį pagal jo 3 straipsnio 2 dalį ir yra paskyręs atstovą pagal Reglamento (ES) 2016/679 27 straipsnio 1 dalį:] Valstybės narės, kurioje įsisteigęs atstovas pagal Reglamento (ES) 2016/679 27 straipsnio 1 dalį, priežiūros institucija, nurodyta I priedo C skyriuje, yra kompetentinga priežiūros institucija.

[Jei duomenų eksportuotojas nėra įsisteigęs ES valstybėje narėje, tačiau patenka į Reglamento (ES) 2016/679 teritorinę taikymo sritį pagal jo 3 straipsnio 2 dalį, bet neprivalo paskirti atstovo pagal Reglamento (ES) 2016/679 27 straipsnio 2 dalį:] Vienos iš valstybių narių, kurioje yra duomenų subjektai, kurių asmens duomenys perduodami pagal šias sąlygas jiems siūlant prekes ar paslaugas arba kurių elgesys yra stebimas, priežiūros institucija, nurodyta I priedo C skyriuje, yra kompetentinga priežiūros institucija.

b)

Duomenų importuotojas sutinka pripažinti kompetentingos priežiūros institucijos jurisdikciją ir bendradarbiauti su ja atliekant bet kokias procedūras, kuriomis siekiama užtikrinti šių sąlygų laikymąsi. Visų pirma, duomenų importuotojas sutinka atsakyti į užklausas, leisti atlikti auditą ir laikytis priežiūros institucijos priimtų priemonių, įskaitant taisomąsias ir kompensacines priemones. Jis pateikia priežiūros institucijai rašytinį patvirtinimą, kad buvo imtasi būtinų veiksmų.

III SKIRSNIS. VIETOS TEISĖS AKTAI IR PRIEVOLĖS VALDŽIOS INSTITUCIJŲ PRIEIGOS ATVEJU

14 sąlyga

Vietos teisės aktai ir praktika, turintys įtakos sąlygų laikymuisi

PIRMAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų valdytojui

ANTRAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų tvarkytojui

TREČIAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų tvarkytojui

KETVIRTAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų valdytojui (kai ES duomenų tvarkytojas derina iš duomenų valdytojo trečiojoje valstybėje gautus asmens duomenis su duomenų tvarkytojo ES surinktais asmens duomenimis)

a)

Šalys garantuoja, kad neturi pagrindo manyti, jog paskirties trečiosios valstybės įstatymai ir praktika, taikomi duomenų importuotojo atliekamam asmens duomenų tvarkymui, įskaitant bet kokius reikalavimus atskleisti asmens duomenis arba priemones, kuriomis valdžios institucijoms suteikiama prieiga, trukdo duomenų importuotojui vykdyti jo prievoles pagal šias sąlygas. Tai grindžiama nuostata, kad teisės aktai ir praktika, kuriais paisoma pagrindinių teisių ir laisvių esmės ir kuriais neviršijama tai, kas būtina ir proporcinga demokratinėje visuomenėje siekiant apsaugoti vieną iš Reglamento (ES) 2016/679 23 straipsnio 1 dalyje išvardytų tikslų, neprieštarauja standartinėms sutarčių sąlygoms.

b)

Šalys pareiškia, kad, teikdamos a punkte nurodytą garantiją, jos tinkamai atsižvelgė visų pirma į šią informaciją:

i)

konkrečias perdavimo aplinkybes, įskaitant duomenų tvarkymo grandinės ilgį, dalyvaujančių subjektų skaičių ir naudojamus perdavimo kanalus; numatytą atlikti tolesnį perdavimą; gavėjo rūšį; duomenų tvarkymo tikslą; perduodamų asmens duomenų kategorijas ir formatą; ekonomikos sektorių, kuriame vyksta duomenų perdavimas; perduotų duomenų saugojimo vietą;

ii)

paskirties trečiosios valstybės teisės aktus ir praktiką, įskaitant tuos, pagal kuriuos reikalaujama atskleisti duomenis valdžios institucijoms arba tokioms institucijoms suteikiama prieiga, kurie yra svarbūs atsižvelgiant į konkrečias duomenų perdavimo aplinkybes, ir taikomus apribojimus bei apsaugos priemones (12);

iii)

visas atitinkamas sutartines, technines ar organizacines apsaugos priemones, taikomas siekiant papildyti šiose sąlygose numatytas apsaugos priemones, įskaitant priemones, taikomas perduodant ir tvarkant asmens duomenis paskirties valstybėje.

c)

Duomenų importuotojas garantuoja, kad, atlikdamas vertinimą pagal b punktą, jis dėjo visas pastangas, kad duomenų eksportuotojui pateiktų atitinkamą informaciją, ir sutinka toliau bendradarbiauti su duomenų eksportuotoju, kad būtų užtikrintas šių sąlygų laikymasis.

d)

Šalys susitaria dokumentais įforminti vertinimą pagal b punktą ir, kompetentingos priežiūros institucijos prašymu, jai juos pateikti.

e)

Duomenų importuotojas sutinka nedelsdamas informuoti duomenų eksportuotoją, jei po to, kai susitarė dėl šių sąlygų, ir sutarties galiojimo laikotarpiu turi pagrindo manyti, kad jam taikomi arba pradėti taikyti teisės aktai ar praktika, kurie neatitinka a punkto reikalavimų, įskaitant pasikeitus trečiosios valstybės teisės aktams ar priemonei (pavyzdžiui, prašymą atskleisti informaciją), iš kurių matyti, kad tokie teisės aktai praktikoje taikomi nesilaikant a punkto reikalavimų. [Trečias modulis. Duomenų eksportuotojas persiunčia pranešimą duomenų valdytojui.]

f)

Gavęs pranešimą pagal e punktą arba jei duomenų eksportuotojas turi pagrindo manyti, kad duomenų importuotojas nebegali vykdyti savo prievolių pagal šias sąlygas, duomenų eksportuotojas nedelsdamas nustato tinkamas priemones (pvz., technines ar organizacines priemones saugumui ir konfidencialumui užtikrinti), kurias duomenų eksportuotojas ir (arba) duomenų importuotojas turi priimti susidariusiomis aplinkybėmis [trečias modulis –, prireikus konsultuojantis su duomenų valdytoju]. Duomenų eksportuotojas sustabdo duomenų perdavimą, jei mano, kad negalima užtikrinti tinkamų tokio perdavimo apsaugos priemonių, arba jei [trečias modulis – duomenų valdytojas arba] kompetentinga priežiūros institucija jam nurodė tai padaryti. Tokiu atveju duomenų eksportuotojas turi teisę nutraukti sutartį, kiek ji susijusi su asmens duomenų tvarkymu pagal šias sąlygas. Jei sutartį yra sudariusios daugiau nei dvi šalys, duomenų eksportuotojas gali pasinaudoti šia teise nutraukti sutartį tik atitinkamos šalies atžvilgiu, nebent šalys susitarė kitaip. Kai sutartis nutraukiama pagal šią sąlygą, taikomi 16 sąlygos d ir e punktai.

15 sąlyga

Duomenų importuotojo prievolės valdžios institucijų prieigos atveju

PIRMAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų valdytojui

ANTRAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų tvarkytojui

TREČIAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų tvarkytojui

KETVIRTAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų valdytojui (kai ES duomenų tvarkytojas derina iš duomenų valdytojo trečiojoje valstybėje gautus asmens duomenis su duomenų tvarkytojo ES surinktais asmens duomenimis)

15.1.   Pranešimas

a)

Duomenų importuotojas sutinka nedelsdamas informuoti duomenų eksportuotoją ir, jei įmanoma, duomenų subjektą (jei reikia, padedant duomenų eksportuotojui), jei:

i)

gauna teisiškai privalomą valdžios institucijos, įskaitant teismines institucijas, prašymą pagal paskirties valstybės teisės aktus atskleisti pagal šias sąlygas perduotus asmens duomenis; tokiame pranešime pateikiama informacija apie prašomus asmens duomenis, prašymą pateikusią instituciją, prašymo teisinį pagrindą ir pateiktą atsakymą, arba

ii)

sužino apie bet kokią tiesioginę valdžios institucijų prieigą prie asmens duomenų, perduotų pagal šias sąlygas, pagal paskirties valstybės teisės aktus; tokiame pranešime pateikiama visa importuotojo turima informacija.

[Trečias modulis. Duomenų eksportuotojas persiunčia pranešimą duomenų valdytojui.]

b)

Jei pagal paskirties valstybės teisės aktus duomenų importuotojui draudžiama informuoti duomenų eksportuotoją ir (arba) duomenų subjektą, duomenų importuotojas sutinka dėti visas pastangas, kad būtų atleistas nuo šio draudimo ir galėtų kuo greičiau pateikti kuo daugiau informacijos. Duomenų importuotojas sutinka dokumentais įforminti savo pastangas, kad galėtų jas įrodyti duomenų eksportuotojo prašymu.

c)

Jei tai leidžiama pagal paskirties valstybės teisės aktus, duomenų importuotojas sutinka sutarties galiojimo laikotarpiu reguliariai teikti duomenų eksportuotojui kuo daugiau svarbios informacijos apie gautus prašymus (visų pirma prašymų skaičių, prašomų duomenų rūšį, prašymą teikiančią (-ias) instituciją (-as), ar prašymai buvo užginčyti ir tokio užginčijimo rezultatus ir pan.). [Trečias modulis. Duomenų eksportuotojas persiunčia informaciją duomenų valdytojui.]

d)

Duomenų importuotojas sutinka saugoti a–c punktuose nurodytą informaciją visą sutarties galiojimo laikotarpį ir, gavęs prašymą, pateikti ją kompetentingai priežiūros institucijai.

e)

a–c punktai nedaro poveikio duomenų importuotojo prievolei pagal 14 sąlygos e punktą ir 16 sąlygą nedelsiant informuoti duomenų eksportuotoją, jei jis negali laikytis šių sąlygų.

15.2.   Teisėtumo ir duomenų kiekio mažinimo peržiūra

a)

Duomenų importuotojas sutinka peržiūrėti prašymo atskleisti informaciją teisėtumą, visų pirma, ar juo neviršijami prašymą pateikusiai valdžios institucijai suteikti įgaliojimai, ir užginčyti prašymą, jei atlikęs išsamų vertinimą prieina prie išvados, kad yra pagrindo manyti, jog prašymas yra neteisėtas pagal paskirties valstybės teisės aktus, taikytinus tarptautinės teisės įsipareigojimus ir tarptautinio mandagumo principus. Duomenų importuotojas tokiomis pačiomis sąlygomis naudojasi galimybėmis apskųsti prašymą. Užginčydamas prašymą, duomenų importuotojas prašo taikyti laikinąsias priemones, kad būtų sustabdytas prašymo poveikis, kol kompetentinga teisminė institucija priims sprendimą dėl jo pagrįstumo. Jis neatskleidžia prašomų asmens duomenų tol, kol to nereikalaujama pagal galiojančias procedūrines taisykles. Šie reikalavimai neturi poveikio duomenų importuotojo prievolėms pagal 14 sąlygos e punktą.

b)

Duomenų importuotojas sutinka dokumentais įforminti savo teisinį vertinimą ir bet kokį prašymo atskleisti informaciją užginčijimą ir, kiek tai leidžiama pagal paskirties valstybės teisės aktus, pateikti dokumentus duomenų eksportuotojui. Kompetentingos priežiūros institucijos prašymu, jis juos pateikia ir jai. [Trečias modulis. Duomenų eksportuotojas pateikia vertinimą duomenų valdytojui.]

c)

Duomenų importuotojas, atsakydamas į prašymą atskleisti informaciją, sutinka pateikti mažiausią leistiną informacijos kiekį, remiantis pagrįstu prašymo aiškinimu.

IV SKIRSNIS. BAIGIAMOSIOS NUOSTATOS

16 sąlyga

Sąlygų nesilaikymas ir sutarties nutraukimas

a)

Duomenų importuotojas nedelsdamas informuoja duomenų eksportuotoją, jei dėl kokių nors priežasčių negali laikytis šių sąlygų.

b)

Jei duomenų importuotojas pažeidžia šias sąlygas arba negali laikytis šių sąlygų, duomenų eksportuotojas laikinai sustabdo asmens duomenų perdavimą duomenų importuotojui, kol vėl bus užtikrintas jų laikymasis arba bus nutraukta sutartis. Tai nedaro poveikio 14 sąlygos f punktui.

c)

Duomenų eksportuotojas turi teisę nutraukti sutartį tiek, kiek ji susijusi su asmens duomenų tvarkymu pagal šias sąlygas, jei:

i)

duomenų eksportuotojas sustabdė asmens duomenų perdavimą duomenų importuotojui pagal b punktą ir per pagrįstą laiką, o bet kuriuo atveju per vieną mėnesį nuo sustabdymo, nepradedama vėl laikytis šių sąlygų;

ii)

duomenų importuotojas iš esmės arba nuolat pažeidžia šias sąlygas arba

iii)

duomenų importuotojas nevykdo privalomo kompetentingo teismo ar priežiūros institucijos sprendimo dėl jo prievolių pagal šias sąlygas.

Tokiais atvejais jis informuoja kompetentingą priežiūros instituciją [trečias modulis – ir duomenų valdytoją] apie tokį nesilaikymą. Jei sutartį yra sudariusios daugiau nei dvi šalys, duomenų eksportuotojas gali pasinaudoti šia teise nutraukti sutartį tik atitinkamos šalies atžvilgiu, nebent šalys susitarė kitaip.

d)

[Pirmas, antras ir trečias modulis. Asmens duomenys, kurie buvo perduoti iki sutarties nutraukimo pagal c punktą, duomenų eksportuotojo pasirinkimu nedelsiant grąžinami duomenų eksportuotojui arba visiškai ištrinami. Tas pats taikoma ir visoms duomenų kopijoms.] [Ketvirtas modulis. Duomenų eksportuotojo ES surinkti asmens duomenys, kurie buvo perduoti iki sutarties nutraukimo pagal c punktą, nedelsiant visiškai ištrinami, įskaitant visas jų kopijas.] Duomenų importuotojas patvirtina duomenų eksportuotojui, kad duomenys ištrinti. Kol duomenys neištrinami ar negrąžinami, duomenų importuotojas ir toliau užtikrina, kad būtų laikomasi šių sąlygų. Tuo atveju, jei pagal duomenų importuotojui taikomus vietos teisės aktus draudžiama grąžinti arba ištrinti perduotus asmens duomenis, duomenų importuotojas garantuoja, kad jis ir toliau užtikrins šių sąlygų laikymąsi ir tvarkys duomenis tik tokia apimtimi ir tiek laiko, kiek to reikia pagal tokią vietos teisę.

e)

Bet kuri šalis gali atšaukti savo sutikimą laikytis šių sąlygų, jei i) Europos Komisija pagal Reglamento (ES) 2016/679 45 straipsnio 3 dalį priima sprendimą, apimantį asmens duomenų perdavimą, kuriam taikomos šios sąlygos, arba ii) Reglamentas (ES) 2016/679 tampa valstybės, į kurią perduodami asmens duomenys, teisinės sistemos dalimi. Tai nedaro poveikio kitoms prievolėms, kurios taikomos atitinkamam duomenų tvarkymui pagal Reglamentą (ES) 2016/679.

17 sąlyga

Taikoma teisė

PIRMAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų valdytojui

ANTRAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų tvarkytojui

TREČIAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų tvarkytojui

[1 VARIANTAS. Šioms sąlygoms taikoma vienos iš ES valstybių narių teisė su sąlyga, kad tokioje teisėje numatytos trečiosios šalies naudos gavėjos teisės. Šalys susitaria, kad tai yra _______ (nurodyti valstybę narę) teisė].

[2 VARIANTAS (skirtas antram ir trečiam moduliams): Šioms sąlygoms taikoma ES valstybės narės, kurioje įsisteigęs duomenų eksportuotojas, teisė. Jei tokioje teisėje nėra numatytos trečiosios šalies naudos gavėjos teisės, joms taikoma kitos ES valstybės narės teisė, kurioje numatytos trečiosios šalies naudos gavėjos teisės. Šalys susitaria, kad tai yra _______ (nurodyti valstybę narę) teisė].

KETVIRTAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų valdytojui

Šioms sąlygoms taikoma valstybės teisė, kurioje numatytos trečiosios šalies naudos gavėjos teisės. Šalys susitaria, kad tai yra _______ (nurodyti valstybę) teisė.

18 sąlyga

Teisinio reglamentavimo ir jurisdikcijos pasirinkimas

PIRMAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų valdytojui

ANTRAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų tvarkytojui

TREČIAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų tvarkytojui

a)

Bet koks ginčas, kylantis dėl šių sąlygų, sprendžiamas ES valstybės narės teismuose.

b)

Šalys susitaria, kad tai yra _____ (nurodyti valstybę narę) teismai.

c)

Duomenų subjektas taip pat gali pradėti teismo procesą prieš duomenų eksportuotoją ir (arba) duomenų importuotoją valstybės narės, kurioje yra jo nuolatinė gyvenamoji vieta, teismuose.

d)

Šalys susitaria pripažinti tokių teismų jurisdikciją.

KETVIRTAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų valdytojui

 

Bet koks ginčas, kylantis dėl šių sąlygų, sprendžiamas _____ (nurodyti valstybę) teismuose.


(1)  Kai duomenų eksportuotojas yra duomenų tvarkytojas, kuriam taikomas Reglamentas (ES) 2016/679, veikiantis Sąjungos institucijos ar įstaigos, kuri yra duomenų valdytojas, vardu, naudojimasis šiomis sąlygomis pasitelkiant kitą duomenų tvarkytoją (pagalbinis duomenų tvarkymas), kuriam netaikomas Reglamentas (ES) 2016/679, taip pat užtikrina 2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamento (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB (OL L 295, 2018 11 21, p. 39), 29 straipsnio 4 dalies reikalavimų laikymąsi tiek, kiek yra suderintos šios sąlygos ir duomenų valdytojo ir duomenų tvarkytojo sudarytoje sutartyje ar kitame teisės akte pagal Reglamento (ES) 2018/1725 29 straipsnio 3 dalį nustatytos duomenų apsaugos prievolės. Tai visų pirma pasakytina apie atvejus, kai duomenų valdytojas ir duomenų tvarkytojas remiasi Sprendime 2021/915 nustatytomis standartinėmis sutarčių sąlygomis.

(2)  Tam reikia duomenis anoniminti taip, kad niekas nebegalėtų nustatyti asmens tapatybės, kaip numatyta Reglamento (ES) 2016/679 26 konstatuojamojoje dalyje, ir kad šis procesas būtų negrįžtamas.

(3)  Europos ekonominės erdvės susitarime (toliau – EEE susitarimas) nustatyta, kad Europos Sąjungos vidaus rinkos taisyklės galioja trijose EEE valstybėse: Islandijoje, Lichtenšteine ir Norvegijoje. Sąjungos duomenų apsaugos teisės aktai, įskaitant Reglamentą (ES) 2016/679, patenka į EEE susitarimo taikymo sritį ir yra įtraukti į to susitarimo XI priedą. Todėl bet koks duomenų importuotojo atliekamas duomenų atskleidimas EEE esančiai trečiajai šaliai nelaikomas tolesniu duomenų perdavimu pagal šias sąlygas.

(4)  Europos ekonominės erdvės susitarime (toliau – EEE susitarimas) nustatyta, kad Europos Sąjungos vidaus rinkos taisyklės galioja trijose EEE valstybėse: Islandijoje, Lichtenšteine ir Norvegijoje. Sąjungos duomenų apsaugos teisės aktai, įskaitant Reglamentą (ES) 2016/679, patenka į EEE susitarimo taikymo sritį ir yra įtraukti į to susitarimo XI priedą. Todėl bet koks duomenų importuotojo atliekamas duomenų atskleidimas EEE esančiai trečiajai šaliai nelaikomas tolesniu duomenų perdavimu pagal šias sąlygas.

(5)  Žr. Reglamento (ES) 2016/679 28 straipsnio 4 dalį, o kai duomenų valdytojas yra ES institucija ar įstaiga – Reglamento (ES) 2018/1725 29 straipsnio 4 dalį.

(6)  Europos ekonominės erdvės susitarime (toliau – EEE susitarimas) nustatyta, kad Europos Sąjungos vidaus rinkos taisyklės galioja trijose EEE valstybėse: Islandijoje, Lichtenšteine ir Norvegijoje. Sąjungos duomenų apsaugos teisės aktai, įskaitant Reglamentą (ES) 2016/679, patenka į EEE susitarimo taikymo sritį ir yra įtraukti į to susitarimo XI priedą. Todėl bet koks duomenų importuotojo atliekamas duomenų atskleidimas EEE esančiai trečiajai šaliai nelaikomas tolesniu duomenų perdavimu pagal šias sąlygas.

(7)  Kai perduodami ir toliau tvarkomi asmens duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, genetiniai duomenys ar biometriniai duomenys, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenys arba duomenys apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją ar duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas.

(8)  Šis reikalavimas gali būti įvykdytas pagalbiniam duomenų tvarkytojui prisijungus prie šių sąlygų pagal atitinkamą modulį, kaip numatyta pagal 7 sąlygą.

(9)  Šis reikalavimas gali būti įvykdytas pagalbiniam duomenų tvarkytojui prisijungus prie šių sąlygų pagal atitinkamą modulį, kaip numatyta pagal 7 sąlygą.

(10)  Tas laikotarpis gali būti pratęstas ne ilgiau kaip dar dviem mėnesiams, kiek tai būtina atsižvelgiant į prašymų sudėtingumą ir skaičių. Duomenų importuotojas tinkamai ir nedelsdamas informuoja duomenų subjektą apie bet kokį tokį pratęsimą.

(11)  Duomenų importuotojas gali siūlyti nepriklausomą ginčų sprendimą arbitražo institucijoje tik tuo atveju, jei jis įsisteigęs valstybėje, kuri yra ratifikavusi Niujorko konvenciją dėl arbitražo sprendimų vykdymo.

(12)  Dėl tokių teisės aktų ir praktikos poveikio šių sąlygų laikymuisi, atliekant bendrą vertinimą gali būti atsižvelgiama į skirtingą informaciją. Tokiai informacijai gali būti priskiriama atitinkama ir dokumentais pagrįsta praktinė patirtis, įgyta anksčiau gavus valdžios institucijų prašymus atskleisti informaciją, arba tokių prašymų nebuvimas, apimantis pakankamai reprezentatyvų laikotarpį. Tai visų pirma susiję su vidaus įrašais ar kitais dokumentais, nuolat rengiamais laikantis išsamaus patikrinimo reikalavimų ir patvirtintais vyresniosios vadovybės lygmeniu, jei šia informacija galima teisėtai dalytis su trečiosiomis šalimis. Kai remiantis šia praktine patirtimi daroma išvada, kad duomenų importuotojui nebus trukdoma laikytis šių sąlygų, ji turi būti pagrįsta kita svarbia objektyvia informacija, o šalys turi atidžiai apsvarstyti, ar visos šios informacijos pakanka šiai išvadai pagrįsti, atsižvelgiant į jos patikimumą ir reprezentatyvumą. Visų pirma, šalys turi atsižvelgti į tai, ar jų praktinę patirtį patvirtina ir ar jai neprieštarauja vieša ar kitaip prieinama patikima informacija apie prašymų buvimą ar nebuvimą tame pačiame sektoriuje ir (arba) teisės taikymą praktikoje, pavyzdžiui, teismų praktika ir nepriklausomų priežiūros institucijų ataskaitos.


PRIEDĖLIS

PAAIŠKINIMAS

Turi būti įmanoma aiškiai atskirti informaciją, taikomą kiekvienam duomenų perdavimui ar perdavimo kategorijai, ir šiuo atžvilgiu nustatyti atitinkamą (-as) šalių funkciją (-as) – duomenų eksportuotojo (-ų) ir (arba) duomenų importuotojo (-ų). Tam nebūtinai reikia pildyti ir pasirašyti atskirus priedėlius dėl kiekvieno duomenų perdavimo, duomenų perdavimo kategorijos ir (arba) sutartinių santykių, jei šį skaidrumą galima užtikrinti vienu priedėliu. Vis dėlto, kai būtina užtikrinti pakankamą aiškumą, reikėtų naudoti atskirus priedėlius.


I PRIEDAS

A.   ŠALIŲ SĄRAŠAS

PIRMAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų valdytojui

ANTRAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų tvarkytojui

TREČIAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų tvarkytojui

KETVIRTAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų valdytojui

Duomenų eksportuotojas (-ai): [duomenų eksportuotojo (-ų) ir, jei taikoma, jo (-ų) duomenų apsaugos pareigūno ir (arba) atstovo Europos Sąjungoje tapatybė ir kontaktiniai duomenys]

1.

Pavadinimas: …

Adresas: …

Kontaktinio asmens vardas ir pavardė, pareigos ir kontaktiniai duomenys: …

Veikla, susijusi su duomenų perdavimu pagal šias sąlygas: …

Parašas ir data: …

Funkcija (duomenų valdytojas/duomenų tvarkytojas) …

2.

Duomenų importuotojas (-ai): [duomenų importuotojo (-ų) tapatybė ir kontaktiniai duomenys, įskaitant kontaktinį asmenį, atsakingą už duomenų apsaugą]

1.

Pavadinimas: …

Adresas: …

Kontaktinio asmens vardas ir pavardė, pareigos ir kontaktiniai duomenys: …

Veikla, susijusi su duomenų perdavimu pagal šias sąlygas: …

Parašas ir data: …

Funkcija (duomenų valdytojas/duomenų tvarkytojas) …

2.

B.   PERDAVIMO APRAŠYMAS

PIRMAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų valdytojui

ANTRAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų tvarkytojui

TREČIAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų tvarkytojui

KETVIRTAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų valdytojui

Duomenų subjektų, kurių asmens duomenys perduodami, kategorijos

Perduodamų asmens duomenų kategorijos

Perduodami neskelbtini duomenys (jei taikoma) ir taikomi apribojimai arba apsaugos priemonės, kuriais visapusiškai atsižvelgiama į duomenų pobūdį ir susijusius pavojus, pavyzdžiui, griežtas tikslo apribojimas, prieigos apribojimai (įskaitant prieigą tik specialius mokymus baigusiems darbuotojams), prieigos prie duomenų registravimas, tolesnio perdavimo apribojimai arba papildomos apsaugos priemonės.

Perdavimo dažnumas (pvz., ar duomenys perduodami vieną kartą, ar nuolat).

Tvarkymo pobūdis

Duomenų perdavimo tikslas (-ai) ir tolesnis tvarkymas

Asmens duomenų saugojimo laikotarpis arba, jei tai neįmanoma, kriterijai, taikomi tam laikotarpiui nustatyti

Jeigu perduodama (pagalbiniams) duomenų tvarkytojams, taip pat nurodyti tvarkymo dalyką, pobūdį ir trukmę

C.   KOMPETENTINGA PRIEŽIŪROS INSTITUCIJA

PIRMAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų valdytojui

ANTRAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų tvarkytojui

TREČIAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų tvarkytojui

Nurodykite kompetentingą (-as) priežiūros instituciją (-as) pagal 13 sąlygą


II PRIEDAS

TECHNINĖS IR ORGANIZACINĖS PRIEMONĖS, ĮSKAITANT TECHNINES IR ORGANIZACINES PRIEMONES DUOMENŲ SAUGUMUI UŽTIKRINTI

PIRMAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų valdytojui

ANTRAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų tvarkytojui

TREČIAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų tvarkytojui

PAAIŠKINIMAS.

Techninės ir organizacinės priemonės turi būti aprašytos konkrečiai (o ne bendrai). Taip pat žr. bendrą pastabą pirmame priedėlio puslapyje, ypač dėl būtinybės aiškiai nurodyti, kurios priemonės taikomos kiekvienam perdavimui ir (arba) perdavimų sekai.

Duomenų importuotojo (-ų) įgyvendintų techninių ir organizacinių priemonių (įskaitant atitinkamą sertifikavimą), kuriomis užtikrinamas tinkamas saugumo lygis, atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslą, taip pat pavojų fizinių asmenų teisėms ir laisvėms, aprašymas.

[Galimų priemonių pavyzdžiai:

Pseudonimų suteikimo asmens duomenims ir jų šifravimo priemonės

Nuolatinio duomenų tvarkymo sistemų ir paslaugų konfidencialumo, vientisumo, prieinamumo ir atsparumo užtikrinimo priemonės

Priemonės, užtikrinančios gebėjimą laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju

Reguliarų techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesai

Naudotojo tapatybės nustatymo ir leidimo suteikimo priemonės

Duomenų apsaugos priemonės, taikomos perduodant duomenis

Duomenų apsaugos priemonės, taikomos saugant duomenis

Vietų, kuriose tvarkomi asmens duomenys, fizinio saugumo užtikrinimo priemonės

Priemonės, užtikrinančios įvykių registravimą

Sistemos konfigūracijos, įskaitant numatytąją konfigūraciją, užtikrinimo priemonės

IT ir IT saugumo vidaus valdymo ir administravimo priemonės

Procesų ir produktų sertifikavimo/užtikrinimo priemonės

Duomenų kiekio mažinimo užtikrinimo priemonės

Duomenų kokybės užtikrinimo priemonės

Riboto duomenų saugojimo užtikrinimo priemonės

Atskaitomybės užtikrinimo priemonės

Duomenų perkeliamumo ir ištrynimo užtikrinimo priemonės]

Perduodant duomenis (pagalbiniams) duomenų tvarkytojams, taip pat aprašykite konkrečias technines ir organizacines priemones, kurių turi imtis (pagalbinis) duomenų tvarkytojas, kad galėtų teikti pagalbą duomenų valdytojui, o kai duomenis duomenų tvarkytojas perduoda pagalbiniam duomenų tvarkytojui – duomenų eksportuotojui


III PRIEDAS

PAGALBINIŲ DUOMENŲ TVARKYTOJŲ SĄRAŠAS

ANTRAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų tvarkytojui

TREČIAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų tvarkytojui

PAAIŠKINIMAS.

Šis priedas turi būti pildomas pasirinkus antrą ir trečią modulius, kai pagalbiniams duomenų tvarkytojams suteikiamas konkretus leidimas (9 sąlygos a punktas, 1 variantas).

Duomenų valdytojas suteikė leidimą pasitelkti šiuos pagalbinius duomenų tvarkytojus:

1.

Pavadinimas: …

Adresas: …

Kontaktinio asmens vardas ir pavardė, pareigos ir kontaktiniai duomenys: …

Tvarkymo aprašymas (įskaitant aiškų atsakomybės atskyrimą, jei leidimas suteiktas keliems pagalbiniams duomenų tvarkytojams): …

2.


Į viršų