EUR-Lex Prístup k právu Európskej únie

Späť na domovskú stránku portálu EUR-Lex

Tento dokument je výňatok z webového sídla EUR-Lex

Dokument 32021D0914

Vykonávacie rozhodnutie Komisie (EÚ) 2021/914 zo 4. júna 2021 o štandardných zmluvných doložkách pre prenos osobných údajov do tretích krajín podľa nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (Text s významom pre EHP)

C/2021/3972

Ú. v. EÚ L 199, 7.6.2021, s. 31 – 61 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Účinné

ELI: http://data.europa.eu/eli/dec_impl/2021/914/oj

7.6.2021   

SK

Úradný vestník Európskej únie

L 199/31


VYKONÁVACIE ROZHODNUTIE KOMISIE (EÚ) 2021/914

zo 4. júna 2021

o štandardných zmluvných doložkách pre prenos osobných údajov do tretích krajín podľa nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679

(Text s významom pre EHP)

EURÓPSKA KOMISIA,

so zreteľom na Zmluvu o fungovaní Európskej únie,

so zreteľom na nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (1), a najmä na jeho článok 28 ods. 7 a článok 46 ods. 2 písm. c),

keďže:

(1)

Technologický vývoj uľahčuje cezhraničné toky údajov, ktoré sú potrebné na rozširovanie medzinárodnej spolupráce a medzinárodného obchodu. Zároveň je potrebné zabezpečiť, aby úroveň ochrany fyzických osôb zaručená nariadením (EÚ) 2016/679 nebola ohrozená, ak sa osobné údaje prenášajú do tretích krajín, a to aj v prípadoch následných prenosov (2). Cieľom ustanovení o prenose údajov v kapitole V nariadenia (EÚ) 2016/679 je zabezpečiť kontinuitu tejto vysokej úrovne ochrany v prípade prenosu osobných údajov do tretej krajiny (3).

(2)

Podľa článku 46 ods. 1 nariadenia (EÚ) 2016/679 môže prevádzkovateľ alebo sprostredkovateľ v prípade, že Komisia neprijala rozhodnutie o primeranosti podľa článku 45 ods. 3, preniesť osobné údaje do tretej krajiny, len ak poskytol primerané záruky, a pod podmienkou, že dotknuté osoby majú k dispozícii vymožiteľné práva a účinné právne prostriedky nápravy. Takéto záruky možno stanoviť v štandardných doložkách o ochrane údajov prijatých Komisiou podľa článku 46 ods. 2 písm. c).

(3)

Úloha štandardných zmluvných doložiek sa obmedzuje na zabezpečenie primeraných záruk ochrany údajov pri medzinárodných prenosoch údajov. Prevádzkovateľ alebo sprostredkovateľ prenášajúci osobné údaje do tretej krajiny (ďalej len „vývozca údajov“) a prevádzkovateľ alebo sprostredkovateľ prijímajúci osobné údaje (ďalej len „dovozca údajov“) preto môžu zahrnúť tieto štandardné zmluvné doložky do širšej zmluvy a pridať ďalšie doložky alebo dodatočné záruky za predpokladu, že nie sú priamo ani nepriamo v rozpore so štandardnými zmluvnými doložkami ani nepoškodzujú základné práva alebo slobody dotknutých osôb. Prevádzkovateľom a sprostredkovateľom sa odporúča, aby poskytovali dodatočné záruky prostredníctvom zmluvných záväzkov, ktoré doplnia štandardné zmluvné doložky (4). Používaním štandardných zmluvných doložiek nie sú dotknuté zmluvné povinnosti vývozcu a/alebo dovozcu údajov zabezpečovať dodržiavanie platných výsad a imunít.

(4)

Nad rámec používania štandardných zmluvných doložiek na účely poskytovania primeraných záruk pre prenosy podľa článku 46 ods. 1 nariadenia (EÚ) 2016/679 musí vývozca údajov plniť svoje všeobecné povinnosti prevádzkovateľa alebo sprostredkovateľa podľa nariadenia (EÚ) 2016/679. Tieto povinnosti zahŕňajú povinnosť prevádzkovateľa poskytnúť dotknutým osobám informáciu o tom, že zamýšľa preniesť ich osobné údaje do tretej krajiny podľa článku 13 ods. 1 písm. f) a článku 14 ods. 1 písm. f) nariadenia (EÚ) 2016/679. V prípade prenosov podľa článku 46 nariadenia (EÚ) 2016/679 musí táto informácia zahŕňať odkaz na primerané záruky a prostriedky, pomocou ktorých možno získať ich kópiu alebo informáciu o tom, kde boli sprístupnené.

(5)

Rozhodnutia Komisie 2001/497/ES (5) a 2010/87/EÚ (6) obsahujú štandardné zmluvné doložky na uľahčenie prenosu osobných údajov od prevádzkovateľa usadeného v Únii k prevádzkovateľovi alebo sprostredkovateľovi usadenému v tretej krajine, ktorí neposkytujú primeranú úroveň ochrany. Tieto rozhodnutia boli založené na smernici Európskeho parlamentu a Rady 95/46/ES (7).

(6)

Podľa článku 46 ods. 5 nariadenia (EÚ) 2016/679 zostáva rozhodnutie 2001/497/ES a rozhodnutie 2010/87/EÚ v platnosti dovtedy, kým ich nebude potrebné zmeniť, nahradiť alebo zrušiť rozhodnutím Komisie prijatým podľa článku 46 ods. 2 uvedeného nariadenia. Štandardné zmluvné doložky v týchto rozhodnutiach si vzhľadom na nové požiadavky v nariadení (EÚ) 2016/679 vyžadovali aktualizáciu. Navyše od prijatia týchto rozhodnutí došlo v digitálnom hospodárstve k značnému vývoju charakterizovanému širokým využívaním nových a zložitejších spracovateľských operácií, ktoré často zahŕňajú viacerých dovozcov a vývozcov údajov, dlhými a zložitými spracovateľskými reťazcami, ako aj rozvíjajúcimi sa obchodnými vzťahmi. Preto treba modernizovať štandardné zmluvné doložky tak, aby lepšie odrážali tieto skutočnosti, a to rozšírením ich pôsobnosti na ďalšie situácie v oblasti spracúvania a prenosu, a aby umožňovali pružnejší prístup, napríklad pokiaľ ide o počet subjektov, ktoré sa môžu stať zmluvnými stranami.

(7)

Prevádzkovateľ alebo sprostredkovateľ môžu použiť štandardné zmluvné doložky uvedené v prílohe k tomuto rozhodnutiu s cieľom poskytnúť primerané záruky v zmysle článku 46 ods. 1 nariadenia (EÚ) 2016/679 na prenos osobných údajov sprostredkovateľovi alebo prevádzkovateľovi usadenému v tretej krajine bez toho, aby tým bol dotknutý výklad pojmu medzinárodný prenos v nariadení (EÚ) 2016/679. Štandardné zmluvné doložky sa môžu na takéto prenosy použiť len v rozsahu, v akom spracúvanie dovozcom nepatrí do rozsahu pôsobnosti nariadenia (EÚ) 2016/679. Zahŕňa to aj prenos osobných údajov prevádzkovateľom alebo sprostredkovateľom, ktorí nie sú usadení v Únii, pokiaľ sa na spracúvanie vzťahuje nariadenie (EÚ) 2016/679 (podľa článku 3 ods. 2 tohto nariadenia) z dôvodu, že sa týka ponuky tovaru alebo služieb dotknutým osobám v Únii alebo monitorovania ich správania, ak k nemu dochádza v rámci Únie.

(8)

Vzhľadom na všeobecné zosúladenie nariadení Európskeho parlamentu a Rady (EÚ) 2016/679 a 2018/1725 (8) by malo byť možné použiť štandardné zmluvné doložky aj v kontexte zmluvy, ako sa to uvádza v článku 29 ods. 4 nariadenia (EÚ) 2018/1725, na prenos osobných údajov k ďalšiemu sprostredkovateľovi v tretej krajine od sprostredkovateľa, ktorý nie je inštitúciou ani orgánom Únie, ale na ktorého sa vzťahuje nariadenie (EÚ) 2016/679 a ktorý spracúva osobné údaje v mene inštitúcie alebo orgánu Únie v súlade s článkom 29 nariadenia (EÚ) 2018/1725. Ak zmluva odráža rovnaké povinnosti v oblasti ochrany údajov, ako sú stanovené v zmluve alebo inom právnom akte medzi prevádzkovateľom a sprostredkovateľom podľa článku 29 ods. 3 nariadenia (EÚ) 2018/1725, pričom sa ňou najmä poskytujú dostatočné záruky pre technické a organizačné opatrenia s cieľom zabezpečiť, aby spracúvanie spĺňalo požiadavky uvedeného nariadenia, zabezpečí sa tým súlad s článkom 29 ods. 4 nariadenia (EÚ) 2018/1725. Bude to platiť najmä v prípade, keď prevádzkovateľ a sprostredkovateľ používajú štandardné zmluvné doložky vo vykonávacom rozhodnutí Komisie o štandardných zmluvných doložkách medzi prevádzkovateľmi a sprostredkovateľmi podľa článku 28 ods. 7 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 a článku 29 ods. 7 nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1725 (9).

(9)

Ak spracúvanie zahŕňa prenosy údajov od prevádzkovateľov, na ktorých sa vzťahuje nariadenie (EÚ) 2016/679, k sprostredkovateľom mimo jeho územnej pôsobnosti, alebo od sprostredkovateľov, na ktorých sa vzťahuje nariadenie (EÚ) 2016/679, k ďalším sprostredkovateľom mimo jeho územnej pôsobnosti, štandardné zmluvné doložky stanovené v prílohe k tomuto rozhodnutiu by mali takisto umožňovať splnenie požiadaviek článku 28 ods. 3 a 4 nariadenia (EÚ) 2016/679.

(10)

Štandardné zmluvné doložky uvedené v prílohe k tomuto rozhodnutiu kombinujú všeobecné doložky s modulárnym prístupom na zohľadnenie rôznych scenárov prenosu a zložitosti spracovateľských reťazcov súčasnosti. Okrem všeobecných doložiek by prevádzkovatelia a sprostredkovatelia mali vybrať modul uplatniteľný na ich situáciu tak, aby svoje povinnosti vyplývajúce zo štandardných zmluvných doložiek prispôsobili svojej úlohe a zodpovednosti v súvislosti s daným spracúvaním údajov. Malo by byť možné, aby k štandardným zmluvným doložkám pristúpili viac ako dve zmluvné strany. Okrem toho by dodatoční prevádzkovatelia a sprostredkovatelia mali mať možnosť pristúpiť k štandardným zmluvným doložkám ako vývozcovia alebo dovozcovia údajov počas celého životného cyklu zmluvy, ktorej sú súčasťou.

(11)

Na účely poskytnutia primeraných záruk by štandardné zmluvné doložky mali zabezpečovať, aby sa osobným údajom prenášaným na tomto základe poskytovala úroveň ochrany, ktorá je v zásade rovnocenná úrovni ochrany zaručenej v rámci Únie (10). S cieľom zabezpečiť transparentnosť spracúvania by sa dotknutým osobám mala poskytnúť kópia štandardných zmluvných doložiek a mali by byť informované najmä o kategóriách spracúvaných osobných údajov, práve na získanie kópie štandardných zmluvných doložiek a o každom následnom prenose. Následné prenosy od dovozcu údajov k tretej strane v inej tretej krajine by sa mali povoliť len vtedy, ak tretia strana pristúpi k štandardným zmluvným doložkám, ak je kontinuita ochrany zabezpečená inak alebo v osobitných situáciách, napríklad na základe výslovného informovaného súhlasu dotknutej osoby.

(12)

S určitými výnimkami, najmä pokiaľ ide o niektoré povinnosti, ktoré sa týkajú výlučne vzťahu medzi vývozcom údajov a dovozcom údajov, by dotknuté osoby mali mať ako oprávnené tretie strany možnosť odvolávať sa na štandardné zmluvné doložky a v prípade potreby sa domáhať ich presadzovania. Aj keď by teda zmluvné strany mali mať možnosť zvoliť si právo niektorého členského štátu, ktorým sa budú riadiť štandardné zmluvné doložky, toto právo musí priznávať účinok právam oprávnenej tretej strany. V záujme uľahčenia individuálnej nápravy by sa v štandardných zmluvných doložkách malo od dovozcu údajov vyžadovať, aby informoval dotknuté osoby o kontaktnom mieste a urýchlene vybavoval sťažnosti alebo žiadosti. V prípade sporu medzi dovozcom údajov a dotknutou osobou, ktorá sa dovoláva svojich práv oprávnenej tretej strany, by dotknutá osoba mala mať možnosť podať sťažnosť príslušnému dozornému orgánu alebo sa so sporom obrátiť na príslušný súd v EÚ.

(13)

S cieľom zabezpečiť účinné presadzovanie by sa od dovozcu údajov malo vyžadovať, aby sa podriadil jurisdikcii takéhoto orgánu a súdov a zaviazal sa dodržiavať akékoľvek záväzné rozhodnutie podľa uplatniteľného práva členského štátu. Dovozca údajov by sa mal predovšetkým zaviazať, že bude odpovedať na otázky, podrobí sa auditom a bude dodržiavať opatrenia prijaté dozorným orgánom vrátane nápravných a kompenzačných opatrení. Dovozca údajov by mal mať navyše možnosť ponúknuť dotknutým osobám bezplatnú možnosť domáhať sa nápravy na nezávislom orgáne riešenia sporov. V súlade s článkom 80 ods. 1 nariadenia (EÚ) 2016/679 by dotknuté osoby mali mať možnosť nechať sa zastupovať združeniami alebo inými orgánmi v sporoch proti dovozcovi údajov, ak si to želajú.

(14)

Štandardné zmluvné doložky by mali obsahovať pravidlá zodpovednosti medzi zmluvnými stranami a vo vzťahu k dotknutým osobám, ako aj pravidlá týkajúce sa odškodnenia medzi zmluvnými stranami. Ak dotknutá osoba utrpí majetkovú alebo nemajetkovú ujmu v dôsledku akéhokoľvek porušenia práv oprávnenej tretej strany podľa štandardných zmluvných doložiek, mala by mať nárok na náhradu ujmy. Tým by nemala byť dotknutá zodpovednosť podľa nariadenia (EÚ) 2016/679.

(15)

V prípade prenosu k dovozcovi údajov v postavení sprostredkovateľa alebo ďalšieho sprostredkovateľa by sa mali uplatňovať osobitné požiadavky v súlade s článkom 28 ods. 3 nariadenia (EÚ) 2016/679. V štandardných zmluvných doložkách by sa od dovozcu údajov malo vyžadovať, aby sprístupňoval všetky informácie potrebné na preukázanie plnenia povinností stanovených v doložkách, umožňoval audity svojich spracovateľských činností zo strany vývozcu údajov a poskytoval pri nich potrebnú súčinnosť. Pokiaľ ide o zapojenie ďalšieho sprostredkovateľa zo strany dovozcu údajov v súlade s článkom 28 ods. 2 a 4 nariadenia (EÚ) 2016/679, v štandardných zmluvných doložkách by mal byť stanovený najmä postup všeobecného alebo osobitného povoľovania zo strany vývozcu údajov, ako aj požiadavka na písomnú zmluvu s ďalším sprostredkovateľom, ktorou sa zabezpečuje rovnaká úroveň ochrany ako podľa doložiek.

(16)

V štandardných zmluvných doložkách je vhodné stanoviť rôzne záruky vzťahujúce sa na špecifickú situáciu, akou je prenos osobných údajov od sprostredkovateľa v Únii k prevádzkovateľovi v tretej krajine, a premietnuť do nich obmedzené samostatné povinnosti sprostredkovateľov podľa nariadenia (EÚ) 2016/679. V štandardných zmluvných doložkách by sa predovšetkým malo vyžadovať, aby sprostredkovateľ informoval prevádzkovateľa, keď nie je schopný dodržiavať jeho pokyny, a to aj v prípade, že takéto pokyny porušujú právne predpisy Únie v oblasti ochrany údajov, a vyžadovať od prevádzkovateľa, aby sa zdržal akéhokoľvek konania, ktoré by sprostredkovateľovi bránilo v plnení jeho povinností podľa nariadenia (EÚ) 2016/679. Malo by sa v nich tiež vyžadovať, aby si zmluvné strany navzájom pomáhali pri reagovaní na otázky a žiadosti dotknutých osôb podľa miestneho práva uplatniteľného na dovozcu údajov alebo, pokiaľ ide o spracúvanie údajov v Únii, podľa nariadenia (EÚ) 2016/679. Dodatočné požiadavky týkajúce sa riešenia prípadných účinkov právnych predpisov tretej krajiny určenia na dodržiavanie štandardných zmluvných doložiek prevádzkovateľom, najmä pokiaľ ide o vybavovanie záväzných žiadostí orgánov verejnej moci v tretej krajine o poskytnutie prenesených osobných údajov, by sa mali uplatňovať v prípade, keď sprostredkovateľ z Únie kombinuje osobné údaje prijaté od prevádzkovateľa v tretej krajine s osobnými údajmi, ktoré získal sprostredkovateľ v Únii. Naopak, žiadne takéto požiadavky nie sú odôvodnené, ak outsourcing zahŕňa len spracúvanie a spätný prenos osobných údajov prijatých od prevádzkovateľa, pričom v každom prípade podlieha a naďalej bude podliehať právomoci dotknutej tretej krajiny.

(17)

Strany by mali byť schopné preukázať, že sa riadia štandardnými zmluvnými doložkami. Od dovozcu údajov by sa malo najmä vyžadovať, aby viedol príslušnú dokumentáciu o spracovateľských činnostiach, za ktoré je zodpovedný, a aby bezodkladne informoval vývozcu údajov, ak z akéhokoľvek dôvodu nie je schopný doložky dodržiavať. Na druhej strane by mal vývozca údajov pozastaviť prenos a v obzvlášť závažných prípadoch by mal mať právo vypovedať zmluvu, pokiaľ ide o spracúvanie osobných údajov podľa štandardných zmluvných doložiek, ak dovozca údajov doložky porušuje alebo nie je schopný ich dodržiavať. Ak majú miestne právne predpisy vplyv na dodržiavanie týchto doložiek, mali by sa uplatňovať osobitné pravidlá. Osobné údaje, ktoré už boli pred vypovedaním zmluvy prenesené, ako aj všetky ich kópie, by sa mali vrátiť vývozcovi údajov alebo v celom rozsahu zničiť, a to podľa toho, pre ktorú z možností sa vývozca údajov rozhodne.

(18)

Štandardné zmluvné doložky by mali predovšetkým vzhľadom na judikatúru Súdneho dvora (11) poskytovať konkrétne záruky, pokiaľ ide o reakciu na účinky právnych predpisov tretej krajiny určenia na dodržiavanie doložiek zo strany dovozcu údajov, a to najmä s ohľadom na spôsob vybavovania záväzných žiadostí orgánov verejnej moci v danej krajine o poskytnutie prenesených osobných údajov.

(19)

Prenos a spracúvanie osobných údajov podľa štandardných zmluvných doložiek by sa nemali uskutočňovať, ak právne predpisy a prax tretej krajiny určenia bránia dovozcovi údajov v dodržiavaní doložiek. V tejto súvislosti by sa nemal prijať záver, že právne predpisy a prax, ktoré rešpektujú podstatu základných práv a slobôd a neprekračujú rámec toho, čo je nevyhnutné a primerané v demokratickej spoločnosti na zabezpečenie niektorého z cieľov uvedených v článku 23 ods. 1 nariadenia (EÚ) 2016/679, sú v rozpore so štandardnými zmluvnými doložkami. Zmluvné strany by mali poskytnúť záruku, že v čase vyjadrenia súhlasu so štandardnými zmluvnými doložkami nemajú žiadny dôvod domnievať sa, že právne predpisy a prax, ktoré sa vzťahujú na dovozcu údajov, nie sú v súlade s týmito požiadavkami.

(20)

Zmluvné strany by mali zohľadňovať najmä špecifické okolnosti prenosu (ako je obsah a trvanie zmluvy, povaha prenášaných údajov, typ príjemcu, účel spracúvania), právne predpisy a prax tretej krajiny určenia, ktoré sú relevantné vzhľadom na okolnosti prenosu, ako aj všetky záruky zavedené na doplnenie záruk podľa štandardných zmluvných doložiek (vrátane príslušných zmluvných, technických a organizačných opatrení vzťahujúcich sa na prenos osobných údajov a ich spracúvanie v krajine určenia). Pokiaľ ide o vplyv takýchto právnych predpisov a praxe na dodržiavanie štandardných zmluvných doložiek, za súčasť celkového posúdenia možno považovať rôzne prvky vrátane spoľahlivých informácií o uplatňovaní práva v praxi (napríklad judikatúra a správy nezávislých orgánov dohľadu), existencie alebo neexistencie žiadostí v rámci toho istého odvetvia a pri splnení prísnych podmienok aj vrátane zdokumentovaných praktických skúseností vývozcu údajov a/alebo dovozcu údajov.

(21)

Príjemca údajov by mal vývozcovi údajov zaslať oznámenie v prípade, že po vyjadrení súhlasu so štandardnými zmluvnými doložkami má dôvod domnievať sa, že nie je schopný dodržiavať štandardné zmluvné doložky. Ak vývozca údajov dostane takéto oznámenie alebo sa inak dozvie, že dovozca údajov už nie je schopný dodržiavať štandardné zmluvné doložky, mal by určiť vhodné opatrenia na riešenie situácie, v prípade potreby po konzultácii s príslušným dozorným orgánom. Takéto opatrenia môžu zahŕňať dodatočné opatrenia prijaté vývozcom a/alebo dovozcom údajov, ako sú technické alebo organizačné opatrenia na zaistenie bezpečnosti a dôvernosti. Od vývozcu údajov by sa malo vyžadovať, aby pozastavil prenos, ak sa domnieva, že nemožno zabezpečiť primerané záruky, alebo ak mu na to dá pokyn príslušný dozorný orgán.

(22)

Ak je to možné, dovozca údajov by mal vývozcovi údajov a dotknutej osobe zaslať oznámenie, ak dostane právne záväznú žiadosť od verejného (vrátane súdneho) orgánu podľa práva krajiny určenia o poskytnutie osobných údajov prenesených podľa štandardných zmluvných doložiek. Podobne by im mal oznámiť, ak sa dozvie o akomkoľvek priamom prístupe orgánov verejnej moci k takýmto osobným údajom v súlade s právom tretej krajiny určenia. Ak dovozca údajov nie je napriek svojmu maximálnemu úsiliu schopný oznámiť vývozcovi údajov a/alebo dotknutej osobe konkrétne žiadosti o poskytnutie údajov, mal by o žiadostiach poskytnúť vývozcovi údajov čo najviac relevantných informácií. Dovozca údajov by mal navyše v pravidelných intervaloch poskytovať vývozcovi údajov súhrnné informácie. Od dovozcu údajov by sa tiež malo vyžadovať, aby zdokumentoval každú prijatú žiadosť o poskytnutie údajov a poskytnutú odpoveď a aby na požiadanie poskytol tieto informácie vývozcovi údajov alebo príslušnému dozornému orgánu, alebo obom. Ak po preskúmaní zákonnosti takejto žiadosti podľa právnych predpisov krajiny určenia dovozca údajov dospeje k záveru, že existujú opodstatnené dôvody domnievať sa, že žiadosť je podľa právnych predpisov tretej krajiny určenia nezákonná, mal by ju napadnúť, pokiaľ možno aj vyčerpaním dostupných možností odvolania. V každom prípade, ak dovozca údajov už nie je schopný dodržiavať štandardné zmluvné doložky, mal by o tom informovať vývozcu údajov, a to aj vtedy, ak je to dôsledkom žiadosti o poskytnutie údajov.

(23)

Keďže potreby zainteresovaných strán, technológie a spracovateľské operácie sa môžu meniť, Komisia by mala hodnotiť fungovanie štandardných zmluvných doložiek na základe skúseností v rámci pravidelného hodnotenia nariadenia (EÚ) 2016/679 podľa článku 97 uvedeného nariadenia.

(24)

Rozhodnutie 2001/497/ES a rozhodnutie 2010/87/EÚ by mali byť zrušené tri mesiace po nadobudnutí účinnosti tohto rozhodnutia. Počas uvedeného obdobia by vývozcovia údajov a dovozcovia údajov mali mať na účely článku 46 ods. 1 nariadenia (EÚ) 2016/679 stále možnosť používať štandardné zmluvné doložky stanovené v rozhodnutiach 2001/497/ES a 2010/87/EÚ. Počas dodatočného obdobia 15 mesiacov by vývozcovia údajov a dovozcovia údajov mali mať na účely článku 46 ods. 1 nariadenia (EÚ) 2016/679 možnosť naďalej uplatňovať štandardné zmluvné doložky stanovené v rozhodnutiach 2001/497/ES a 2010/87/EÚ na účely plnenia zmlúv uzavretých medzi nimi pred dátumom zrušenia uvedených rozhodnutí za predpokladu, že spracovateľské operácie, ktoré sú predmetom zmluvy, zostávajú nezmenené a uplatňovaním uvedených doložiek sa zabezpečuje, aby sa na prenos osobných údajov vzťahovali primerané záruky v zmysle článku 46 ods. 1 nariadenia (EÚ) 2016/679. V prípade relevantných zmien zmluvy by sa od vývozcu údajov malo vyžadovať, aby sa pri prenosoch údajov podľa zmluvy opieral o nový základ, konkrétne v dôsledku nahradenia existujúcich štandardných zmluvných doložiek štandardnými zmluvnými doložkami uvedenými v prílohe k tomuto rozhodnutiu. To isté by malo platiť pre všetky zadania subdodávok spracovateľských operácií, na ktoré sa vzťahuje zmluva, (ďalšiemu) sprostredkovateľovi.

(25)

V súlade s článkom 42 ods. 1 a 2 nariadenia (EÚ) 2018/1725 sa uskutočnili konzultácie s európskym dozorným úradníkom pre ochranu údajov a Európskym výborom pre ochranu údajov, ktorí 14. januára 2021 (12) vydali spoločné stanovisko, ktoré bolo pri príprave tohto rozhodnutia zohľadnené.

(26)

Opatrenia stanovené v tomto rozhodnutí sú v súlade so stanoviskom výboru zriadeného podľa článku 93 nariadenia (EÚ) 2016/679.

PRIJALA TOTO ROZHODNUTIE:

Článok 1

1.   Štandardné zmluvné doložky uvedené v prílohe sa považujú za doložky, ktoré poskytujú primerané záruky v zmysle článku 46 ods. 1 a článku 46 ods. 2 písm. c) nariadenia (EÚ) 2016/679 pre prenos osobných údajov od prevádzkovateľa alebo sprostredkovateľa, na ktorých sa vzťahuje uvedené nariadenie (vývozca údajov), k prevádzkovateľovi, sprostredkovateľovi alebo ďalšiemu sprostredkovateľovi, na ktorých sa pri spracúvaní údajov nevzťahuje uvedené nariadenie (dovozca údajov).

2.   V štandardných zmluvných doložkách sa stanovujú aj práva a povinnosti prevádzkovateľov a sprostredkovateľov v súvislosti so záležitosťami uvedenými v článku 28 ods. 3 a 4 nariadenia (EÚ) 2016/679, pokiaľ ide o prenos osobných údajov od prevádzkovateľa k sprostredkovateľovi alebo od sprostredkovateľa k ďalšiemu sprostredkovateľovi.

Článok 2

Ak príslušné orgány členského štátu vykonávajú nápravné právomoci podľa článku 58 nariadenia (EÚ) 2016/679 v reakcii na to, že na dovozcu údajov sa vzťahujú alebo začínajú vzťahovať právne predpisy alebo prax v tretej krajine určenia, ktoré mu bránia v dodržiavaní štandardných zmluvných doložiek uvedených v prílohe, čo vedie k pozastaveniu alebo zákazu prenosov údajov do tretích krajín, dotknutý členský štát o tom bezodkladne informuje Komisiu, ktorá túto informáciu postúpi ostatným členským štátom.

Článok 3

Komisia vyhodnotí praktické uplatňovanie štandardných zmluvných doložiek uvedených v prílohe na základe všetkých dostupných informácií v rámci pravidelného hodnotenia, ktoré sa vyžaduje podľa článku 97 nariadenia (EÚ) 2016/679.

Článok 4

1.   Toto rozhodnutie nadobúda účinnosť dvadsiatym dňom po jeho uverejnení v Úradnom vestníku Európskej únie.

2.   Rozhodnutie 2001/497/ES sa zrušuje s účinnosťou od 27. septembra 2021.

3.   Rozhodnutie 2010/87/EÚ sa zrušuje s účinnosťou od 27. septembra 2021.

4.   Zmluvy uzavreté pred 27. septembrom 2021 na základe rozhodnutia 2001/497/ES alebo rozhodnutia 2010/87/EÚ sa považujú za zmluvy poskytujúce primerané záruky v zmysle článku 46 ods. 1 nariadenia (EÚ) 2016/679 do 27. decembra 2022 za predpokladu, že spracovateľské operácie, ktoré sú predmetom zmluvy, zostanú nezmenené a že uplatňovaním uvedených doložiek sa zabezpečuje, aby sa na prenos osobných údajov vzťahovali primerané záruky.

V Bruseli 4. júna 2021

Za Komisiu

predsedníčka

Ursula VON DER LEYEN


(1)  Ú. v. EÚ L 119, 4.5.2016, s. 1.

(2)  Článok 44 nariadenia (EÚ) 2016/679.

(3)  Pozri aj rozsudok Súdneho dvora zo 16. júla 2020 vo veci C-311/18, Data Protection Commissioner/Facebook Ireland Ltd a Maximillian Schrems („Schrems II“), ECLI:EU:C:2020:559, bod 93.

(4)  Odôvodnenie 109 nariadenia (EÚ) 2016/679.

(5)  Rozhodnutie Komisie 2001/497/ES z 15. júna 2001 o štandardných zmluvných doložkách na prenos osobných údajov do tretích krajín podľa smernice 95/46/ES (Ú. v. ES L 181, 4.7.2001, s. 19).

(6)  Rozhodnutie Komisie 2010/87/EÚ z 5. februára 2010 o štandardných zmluvných doložkách pre prenos osobných údajov spracovateľom usadeným v tretích krajinách podľa smernice Európskeho parlamentu a Rady 95/46/ES (Ú. v. EÚ L 39, 12.2.2010, s. 5).

(7)  Smernica Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 23.11.1995, s. 31).

(8)  Nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1725 z 23. októbra 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES (Ú. v. EÚ L 295, 21.11.2018, s. 39); pozri odôvodnenie 5.

(9)  C(2021)3701.

(10)  Schrems II, body 96 a 103. Pozri aj nariadenie (EÚ) 2016/679, odôvodnenia 108 a 114.

(11)  Schrems II.

(12)  Spoločné stanovisko EDPB – EDPS 2/2021 k vykonávaciemu rozhodnutiu Európskej komisie o štandardných zmluvných doložkách na účely prenosu osobných údajov do tretích krajín v záležitostiach uvedených v článku 46 ods. 2 písm. c) nariadenia (EÚ) 2016/679.


PRÍLOHA

ŠTANDARDNÉ ZMLUVNÉ DOLOŽKY

ODDIEL I

Doložka 1

Účel a rozsah pôsobnosti

a)

Účelom týchto štandardných zmluvných doložiek je zabezpečiť súlad s požiadavkami nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane údajov) (1) pri prenose osobných údajov do tretej krajiny.

b)

Zmluvné strany:

i)

fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný orgán (ďalej len „subjekt“), ktoré uskutočňujú prenos osobných údajov, ako sa uvádza v prílohe I časti A (ďalej len „vývozca údajov“), a

ii)

subjekt v tretej krajine, ktorý prijíma osobné údaje od vývozcu údajov, a to priamo alebo nepriamo prostredníctvom iného subjektu, ktorý je tiež zmluvnou stranou týchto doložiek, ako sa uvádza v prílohe I časti A (ďalej len „dovozca údajov“),

sa dohodli na týchto štandardných zmluvných doložkách (ďalej len „doložky“).

c)

Tieto doložky sa uplatňujú na prenos osobných údajov podľa prílohy I časti B.

d)

Dodatok k týmto doložkám obsahujúci prílohy, na ktoré sa v týchto doložkách odkazuje, tvorí neoddeliteľnú súčasť týchto doložiek.

Doložka 2

Účinok a nemennosť doložiek

a)

V týchto doložkách sa stanovujú primerané záruky vrátane vymáhateľných práv dotknutých osôb a účinných právnych prostriedkov nápravy podľa článku 46 ods. 1 a článku 46 ods. 2 písm. c) nariadenia (EÚ) 2016/679, a pokiaľ ide o prenosy údajov od prevádzkovateľov sprostredkovateľom a/alebo od sprostredkovateľov sprostredkovateľom, štandardné zmluvné doložky podľa článku 28 ods. 7 nariadenia (EÚ) 2016/679, pokiaľ nie sú zmenené, okrem prípadu, keď sa vyberá vhodný modul/moduly, prípadne keď sa dopĺňajú alebo aktualizujú informácie v dodatku. To zmluvným stranám nebráni v tom, aby zahrnuli štandardné zmluvné doložky stanovené v týchto doložkách do širšej zmluvy a/alebo doplnili iné doložky či dodatočné záruky za predpokladu, že nie sú v priamom ani nepriamom rozpore s týmito doložkami ani neobmedzujú základné práva alebo slobody dotknutých osôb.

b)

Týmito doložkami nie sú dotknuté povinnosti, ktoré sa vzťahujú na vývozcu údajov na základe nariadenia (EÚ) 2016/679.

Doložka 3

Oprávnené tretie strany

a)

Dotknuté osoby sa môžu týchto doložiek dovolávať a vymáhať ich ako oprávnené tretie strany vo vzťahu k vývozcovi údajov a/alebo dovozcovi údajov s týmito výnimkami:

i)

doložka 1, doložka 2, doložka 3, doložka 6, doložka 7;

ii)

doložka 8 – modul č. 1: doložka 8.5 písm. e) a doložka 8.9 písm. b); modul č. 2: doložka 8.1 písm. b), doložka 8.9 písm. a), c), d) a e); modul č. 3: doložka 8.1 písm. a), c) a d), ako aj doložka 8.9 písm. a), c), d), e), f) a g); modul č. 4: doložka 8.1 písm. b) a doložka 8.3 písm. b);

iii)

doložka 9 – modul č. 2: doložka 9 písm. a), c), d) a e); modul č. 3: doložka 9 písm. a), c), d) a e);

iv)

doložka 12 – modul č. 1: doložka 12 písm. a) a d); moduly č. 2 a 3: doložka 12 písm. a), d) a f);

v)

doložka 13;

vi)

doložka 15.1 písm. c), d) a e);

vii)

doložka 16 písm. e);

viii)

doložka 18 – moduly č. 1, 2 a 3: doložka 18 písm. a) a b); modul č. 4: doložka 18.

b)

Písmenom a) nie sú dotknuté práva dotknutých osôb podľa nariadenia (EÚ) 2016/679.

Doložka 4

Výklad

a)

Ak sa v týchto doložkách používajú pojmy vymedzené v nariadení (EÚ) 2016/679, tieto pojmy majú rovnaký význam ako v uvedenom nariadení.

b)

Tieto doložky sa vykladajú v zmysle ustanovení nariadenia (EÚ) 2016/679.

c)

Tieto doložky sa nesmú vykladať spôsobom, ktorý je v rozpore s právami a povinnosťami stanovenými v nariadení (EÚ) 2016/679.

Doložka 5

Hierarchia

V prípade rozporu medzi týmito doložkami a ustanoveniami súvisiacich dohôd medzi zmluvnými stranami, ktoré existovali v čase, keď sa dohodli tieto doložky, alebo ktoré sa uzavreli neskôr, majú prednosť tieto doložky.

Doložka 6

Opis prenosu

Informácie o prenose a najmä kategórie prenášaných osobných údajov a účel, na ktorý sa prenášajú, sú uvedené v prílohe I časti B.

Doložka 7 – nepovinná

Doložka o pristúpení

a)

Subjekt, ktorý nie je zmluvnou stranou týchto doložiek, môže so súhlasom zmluvných strán kedykoľvek pristúpiť k týmto doložkám ako vývozca alebo dovozca údajov vyplnením dodatku a podpísaním prílohy I časti A.

b)

Po vyplnení dodatku a podpísaní prílohy I časti A sa pristupujúci subjekt stane zmluvnou stranou týchto doložiek a bude mať práva a povinnosti vývozcu alebo dovozcu údajov v súlade s označením v prílohe I časti A.

c)

Pristupujúci subjekt nemá žiadne práva ani povinnosti vyplývajúce z týchto doložiek, pokiaľ ide o obdobie pred tým, ako sa stal zmluvnou stranou.

ODDIEL II – POVINNOSTI ZMLUVNÝCH STRÁN

Doložka 8

Záruky v oblasti ochrany údajov

Vývozca údajov vyhlasuje, že vynaložil primerané úsilie, na základe ktorého možno konštatovať, že dovozca údajov je vďaka prijatiu vhodných technických a organizačných opatrení schopný plniť svoje povinnosti podľa týchto doložiek.

MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi

8.1.   Obmedzenie účelu

Dovozca údajov je oprávnený spracúvať osobné údaje len na osobitné účely prenosu stanovené v prílohe I časti B. Osobné údaje môže spracúvať na iný účel len vtedy, ak:

i)

získal predchádzajúci súhlas dotknutej osoby;

ii)

je to nevyhnutné na účely preukazovania, uplatňovania alebo ochrany právnych nárokov v kontexte konkrétneho správneho alebo súdneho konania, prípadne konania v oblasti regulácie; alebo

iii)

je to nevyhnutné v záujme ochrany životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby.

8.2.   Transparentnosť

a)

S cieľom umožniť dotknutým osobám účinne uplatňovať práva podľa doložky 10 ich dovozca údajov priamo alebo prostredníctvom vývozcu údajov informuje:

i)

o svojej totožnosti a kontaktných údajoch;

ii)

o kategóriách spracúvaných osobných údajov;

iii)

o práve získať kópiu týchto doložiek;

iv)

v prípade úmyslu uskutočniť následný prenos osobných údajov akejkoľvek tretej strane o príjemcovi alebo kategóriách príjemcov (podľa potreby s cieľom poskytnúť zmysluplné informácie), účele a dôvode tohto následného prenosu podľa doložky 8.7.

b)

Písmeno a) sa neuplatňuje, ak po prvé dotknutá osoba už má informácie vrátane prípadu, keď takéto informácie už poskytol vývozca údajov, alebo ak sa po druhé poskytnutie informácií ukáže ako nemožné alebo by si vyžadovalo neprimerané úsilie dovozcu údajov. V druhom prípade dovozca údajov v čo najväčšej možnej miere sprístupní tieto informácie verejnosti.

c)

Zmluvné strany sprístupnia dotknutej osobe na požiadanie a bezplatne kópiu týchto doložiek vrátane nimi vyplneného dodatku. V rozsahu potrebnom na ochranu obchodného tajomstva alebo iných dôverných informácií vrátane osobných údajov môžu zmluvné strany pred poskytnutím kópie dodatku odstrániť časť jeho textu, pričom však poskytnú zmysluplné zhrnutie, ak by dotknutá osoba inak nebola schopná pochopiť jeho obsah alebo uplatňovať svoje práva. Zmluvné strany na požiadanie oznámia dotknutej osobe dôvody odstránenia textu, pokiaľ možno bez toho, aby došlo k prezradeniu odstránených informácií.

d)

Písmenami a) až c) nie sú dotknuté povinnosti vývozcu údajov podľa článkov 13 a 14 nariadenia (EÚ) 2016/679.

8.3.   Správnosť a minimalizácia údajov

a)

Každá zmluvná strana zabezpečí, aby osobné údaje boli správne a v prípade potreby aktualizované. Dovozca údajov prijme všetky primerané opatrenia na zabezpečenie toho, aby sa osobné údaje, ktoré sú nesprávne z hľadiska účelov spracúvania, bezodkladne vymazali alebo opravili.

b)

Ak jedna zo zmluvných strán zistí, že osobné údaje, ktoré preniesla alebo získala, sú nesprávne alebo neaktuálne, bez zbytočného odkladu o tom informuje druhú zmluvnú stranu.

c)

Dovozca údajov zabezpečí, aby osobné údaje boli primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely spracúvania.

8.4.   Minimalizácia uchovávania

Dovozca údajov nesmie uchovávať osobné údaje dlhšie než je nevyhnutné na účely, na ktoré sa spracúvajú. Na účely splnenia si tejto povinnosti zavedie vhodné technické alebo organizačné opatrenia vrátane výmazu alebo anonymizácie (2) údajov a všetkých záloh v momente uplynutia obdobia uchovávania.

8.5.   Bezpečnosť spracúvania

a)

Dovozca údajov a počas prenosu aj vývozca údajov prijmú vhodné technické a organizačné opatrenia na zaistenie bezpečnosti osobných údajov vrátane ochrany pred porušením bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu alebo prístupu (ďalej len „porušenie ochrany osobných údajov“). Pri posudzovaní primeranej úrovne bezpečnosti náležite zohľadnia najnovšie poznatky, náklady na vykonanie, povahu, rozsah, kontext a účely spracúvania, ako aj riziká pre dotknutú osobu, ktoré súvisia so spracúvaním. Zmluvné strany zvážia najmä použitie šifrovania alebo pseudonymizácie, a to aj počas prenosu, ak možno vďaka nim splniť účel spracúvania.

b)

Zmluvné strany sa dohodli na technických a organizačných opatreniach uvedených v prílohe II. Dovozca údajov je povinný vykonávať pravidelné kontroly s cieľom zabezpečiť, aby tieto opatrenia nepretržite poskytovali primeranú úroveň bezpečnosti.

c)

Dovozca údajov zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť údajov, alebo aby sa na ne vzťahovala primeraná zákonná povinnosť zachovávať dôvernosť údajov.

d)

V prípade porušenia ochrany osobných údajov týkajúceho sa osobných údajov spracúvaných dovozcom údajov podľa týchto doložiek prijme dovozca údajov primerané opatrenia na nápravu porušenia ochrany osobných údajov vrátane opatrení na zmiernenie jeho možných nepriaznivých účinkov.

e)

V prípade porušenia ochrany osobných údajov, ktoré môže predstavovať riziko pre práva a slobody fyzických osôb, zašle o tom dovozca údajov bez zbytočného odkladu oznámenie vývozcovi údajov a príslušnému dozornému orgánu podľa doložky 13. Takéto oznámenie obsahuje i) opis povahy porušenia (podľa možnosti vrátane kategórií a približného počtu dotknutých osôb a záznamov o osobných údajoch); ii) pravdepodobné následky porušenia; iii) prijaté alebo navrhované opatrenia s cieľom napraviť porušenie a iv) údaje kontaktného miesta, kde možno získať viac informácií. V rozsahu, v akom nie je možné, aby dovozca údajov poskytol všetky informácie súčasne, možno ich poskytnúť vo viacerých etapách bez ďalšieho zbytočného odkladu.

f)

V prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, dovozca údajov bez zbytočného odkladu oznámi dotknutým osobám porušenie ochrany osobných údajov a povahu tohto porušenia, v prípade potreby v spolupráci s vývozcom údajov, spolu s informáciami uvedenými v písmene e) bodoch ii) až iv), okrem prípadov, ak dovozca údajov prijal opatrenia na výrazné zníženie rizika pre práva alebo slobody fyzických osôb, alebo ak by si oznámenie vyžadovalo neprimerané úsilie. Vtedy dovozca údajov namiesto toho uverejní oznámenie alebo prijme podobné opatrenie na informovanie verejnosti o porušení ochrany osobných údajov.

g)

Dovozca údajov zdokumentuje všetky relevantné skutočnosti týkajúce sa porušenia ochrany osobných údajov vrátane jeho účinkov a všetkých prijatých opatrení na nápravu a vedie o nich záznamy.

8.6.   Citlivé údaje

Ak prenos zahŕňa osobné údaje odhaľujúce rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, genetické alebo biometrické údaje na účely jedinečnej identifikácie fyzickej osoby, údaje týkajúce sa zdravia alebo sexuálneho života či sexuálnej orientácie osoby, alebo údaje týkajúce sa odsúdenia za trestné činy (ďalej len „citlivé údaje“), uplatňuje dovozca údajov osobitné obmedzenia a/alebo dodatočné záruky prispôsobené osobitnej povahe údajov a súvisiacim rizikám. Môže to zahŕňať obmedzenie okruhu zamestnancov, ktorí majú prístup k osobným údajom, dodatočné bezpečnostné opatrenia (napríklad pseudonymizácia) a/alebo dodatočné obmedzenia v súvislosti s ďalším poskytnutím.

8.7.   Následné prenosy

Dovozca údajov poskytne osobné údaje tretej strane nachádzajúcej sa mimo Európskej únie (3) (v rovnakej krajine ako dovozca údajov alebo v inej tretej krajine, ďalej len „následný prenos“) len vtedy, ak je táto tretia strana viazaná týmito doložkami alebo súhlasí s tým, že bude týmito doložkami viazaná, a to v súlade s príslušným modulom. Inak môže dovozca údajov uskutočniť následný prenos len v týchto prípadoch:

i)

uskutočňuje sa do krajiny, na ktorú sa vzťahuje rozhodnutie o primeranosti podľa článku 45 nariadenia (EÚ) 2016/679, ktorého predmetom je následný prenos;

ii)

tretia strana inak zabezpečuje primerané záruky podľa článkov 46 alebo 47 nariadenia (EÚ) 2016/679 v súvislosti s predmetným spracúvaním;

iii)

tretia strana uzavrie s dovozcom údajov dohodu o záväznom nástroji zabezpečujúcom rovnakú úroveň ochrany údajov ako podľa týchto doložiek a dovozca údajov poskytne kópiu týchto záruk vývozcovi údajov;

iv)

je to nevyhnutné na účely preukazovania, uplatňovania alebo ochrany právnych nárokov v kontexte konkrétneho správneho alebo súdneho konania, prípadne konania v oblasti regulácie;

v)

je to potrebné v záujme ochrany životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby; alebo

vi)

ak sa neuplatňuje žiadna z uvedených podmienok, dovozca údajov získal výslovný súhlas dotknutej osoby s následným prenosom v konkrétnej situácii po tom, ako ju informoval o jeho účele, totožnosti príjemcu a možných rizikách takéhoto prenosu pre ňu z dôvodu nedostatku primeraných záruk v oblasti ochrany údajov. V tomto prípade dovozca údajov informuje vývozcu údajov a na jeho žiadosť mu odovzdá kópiu informácií poskytnutých dotknutej osobe.

Na účely akéhokoľvek následného prenosu sa vyžaduje, aby dovozca údajov dodržiaval všetky ostatné záruky podľa týchto doložiek, osobitne obmedzenie účelu.

8.8.   Spracúvanie na základe poverenia dovozcu údajov

Dovozca údajov zabezpečí, aby akákoľvek osoba konajúca na základe jeho poverenia vrátane sprostredkovateľa spracúvala údaje výlučne podľa jeho pokynov.

8.9.   Dokumentácia a splnenie povinností

a)

Každá zmluvná strana musí byť schopná preukázať splnenie svojich povinností podľa týchto doložiek. Dovozca údajov uchováva najmä príslušnú dokumentáciu týkajúcu sa spracovateľských činností vykonávaných v rámci jeho zodpovednosti.

b)

Dovozca údajov na požiadanie sprístupní túto dokumentáciu príslušnému dozornému orgánu.

MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi

8.1.   Pokyny

a)

Dovozca údajov spracúva osobné údaje len na základe zdokumentovaných pokynov vývozcu údajov. Vývozca údajov môže udeľovať takéto pokyny počas celého trvania zmluvy.

b)

Dovozca údajov bezodkladne informuje vývozcu údajov, ak nie je schopný tieto pokyny dodržať.

8.2.   Obmedzenie účelu

Dovozca údajov je oprávnený spracúvať osobné údaje len na osobitné účely prenosu stanovené v prílohe I časti B, ak vývozca údajov neudelí iné pokyny.

8.3.   Transparentnosť

Vývozca údajov sprístupní dotknutej osobe na požiadanie a bezplatne kópiu týchto doložiek vrátane dodatku, ktorý vyplnili zmluvné strany. V rozsahu potrebnom na ochranu obchodného tajomstva alebo iných dôverných informácií vrátane opatrení uvedených v prílohe II a osobných údajov môže vývozca údajov pred poskytnutím kópie dodatku k týmto doložkám odstrániť časť jeho textu, pričom poskytne zmysluplné zhrnutie, ak by dotknutá osoba inak nebola schopná pochopiť jeho obsah alebo uplatňovať svoje práva. Zmluvné strany na požiadanie oznámia dotknutej osobe dôvody odstránenia textu, pokiaľ možno bez toho, aby došlo k prezradeniu odstránených informácií. Touto doložkou nie sú dotknuté povinnosti vývozcu údajov podľa článkov 13 a 14 nariadenia (EÚ) 2016/679.

8.4.   Správnosť

Ak dovozca údajov zistí, že osobné údaje, ktoré získal, sú nesprávne alebo neaktuálne, bez zbytočného odkladu o tom informuje vývozcu údajov. V takom prípade je dovozca údajov povinný spolupracovať s vývozcom údajov na účely výmazu alebo opravy údajov.

8.5.   Obdobie spracúvania, výmaz alebo vrátenie údajov

Dovozca údajov je oprávnený spracúvať údaje len počas obdobia uvedeného v prílohe I časti B. Po ukončení poskytovania spracovateľských služieb dovozca údajov vymaže všetky osobné údaje spracúvané v mene vývozcu údajov a vývozcovi údajov túto skutočnosť potvrdí, alebo vývozcovi údajov vráti všetky osobné údaje spracúvané v jeho mene a vymaže existujúce kópie, a to podľa toho, pre ktorú z možností sa vývozca údajov rozhodne. Dovozca údajov zabezpečuje dodržiavanie týchto doložiek dovtedy, kým nedôjde k vymazaniu alebo vráteniu údajov. Pokiaľ ide o miestne právne predpisy uplatniteľné na dovozcu údajov, ktorými sa zakazuje vrátenie alebo vymazanie osobných údajov, dovozca údajov vyhlasuje, že bude naďalej zabezpečovať súlad s týmito doložkami a bude ich spracúvať len v takom rozsahu a tak dlho, ako to vyžaduje uvedené miestne právo. Tým nie je dotknutá doložka 14, najmä povinnosť dovozcu údajov podľa doložky 14 písm. e) zasielať počas trvania zmluvy vývozcovi údajov oznámenia v prípade, keď má dôvod domnievať sa, že sa naň vzťahujú alebo začali vzťahovať právne predpisy alebo prax, ktoré nie sú v súlade s požiadavkami uvedenými v doložke 14 písm. a).

8.6.   Bezpečnosť spracúvania

a)

Dovozca údajov a počas prenosu aj vývozca údajov prijmú vhodné technické a organizačné opatrenia na zaistenie bezpečnosti údajov vrátane ochrany pred porušením bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu alebo prístupu k týmto údajom (ďalej len „porušenie ochrany osobných údajov“). Pri posudzovaní primeranej úrovne bezpečnosti zmluvné strany náležite zohľadnia najnovšie poznatky, náklady na vykonanie, povahu, rozsah, kontext a účely spracúvania, ako aj riziká pre dotknuté osoby, ktoré súvisia so spracúvaním. Zmluvné strany zvážia najmä použitie šifrovania alebo pseudonymizácie, a to aj počas prenosu, ak možno vďaka nim splniť účel spracúvania. V prípade pseudonymizácie zostávajú dodatočné informácie na priradenie osobných údajov ku konkrétnej dotknutej osobe, ak je to možné, pod výlučnou kontrolou vývozcu údajov. Pri plnení si povinností podľa tohto písmena je dovozca údajov povinný prijať prinajmenšom technické a organizačné opatrenia uvedené v prílohe II. Dovozca údajov je povinný vykonávať pravidelné kontroly s cieľom zabezpečiť, aby tieto opatrenia nepretržite poskytovali primeranú úroveň bezpečnosti.

b)

Dovozca údajov poskytne prístup k osobným údajom svojim zamestnancom len v rozsahu, ktorý je nevyhnutne potrebný na plnenie, riadenie a monitorovanie zmluvy. Zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť údajov, alebo aby sa na ne vzťahovala primeraná zákonná povinnosť zachovávať dôvernosť údajov.

c)

V prípade porušenia ochrany osobných údajov týkajúceho sa osobných údajov spracúvaných dovozcom údajov podľa týchto doložiek prijme dovozca údajov primerané opatrenia na nápravu porušenia vrátane opatrení na zmiernenie jeho nepriaznivých účinkov. Dovozca údajov zašle vývozcovi údajov aj oznámenie o porušení bez zbytočného odkladu po tom, ako sa o tomto porušení dozvedel. Takéto oznámenie obsahuje údaje kontaktného miesta, kde možno získať viac informácií, opis povahy porušenia (podľa možnosti vrátane kategórií a približného počtu dotknutých osôb a záznamov o osobných údajoch), pravdepodobné následky porušenia, ako aj prijaté alebo navrhované opatrenia s cieľom napraviť porušenie, v prípade potreby vrátane opatrení na zmiernenie jeho možných nepriaznivých účinkov. Pokiaľ nemožno poskytnúť všetky informácie súčasne, pôvodné oznámenie musí obsahovať informácie, ktoré boli v danom čase dostupné, pričom ďalšie informácie sa poskytnú bez zbytočného odkladu po tom, ako budú k dispozícii.

d)

Dovozca údajov spolupracuje s vývozcom údajov a poskytuje mu pomoc pri plnení si povinností podľa nariadenia (EÚ) 2016/679, najmä pokiaľ ide o podávanie oznámení príslušnému dozornému orgánu a dotknutým osobám, ktoré sú ovplyvnené, pričom zohľadní povahu spracúvania a informácie, ktoré má k dispozícii dovozca údajov.

8.7.   Citlivé údaje

Ak prenos zahŕňa osobné údaje odhaľujúce rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, genetické alebo biometrické údaje na účely jedinečnej identifikácie fyzickej osoby, údaje týkajúce sa zdravia alebo sexuálneho života či sexuálnej orientácie osoby, alebo údaje týkajúce sa odsúdenia za trestné činy (ďalej len „citlivé údaje“), uplatňuje dovozca údajov osobitné obmedzenia a/alebo dodatočné záruky uvedené v prílohe I časti B.

8.8.   Následné prenosy

Dovozca údajov poskytuje osobné údaje tretej strane len na základe zdokumentovaných pokynov vývozcu údajov. Údaje možno navyše poskytnúť tretej strane nachádzajúcej sa mimo Európskej únie (4) (v rovnakej krajine ako dovozca údajov alebo v inej tretej krajine, ďalej len „následný prenos“) len vtedy, ak je táto tretia strana viazaná týmito doložkami alebo súhlasí s tým, že bude týmito doložkami viazaná, a to v súlade s príslušným modulom, alebo ak:

i)

následný prenos sa uskutočňuje do krajiny, na ktorú sa vzťahuje rozhodnutie o primeranosti podľa článku 45 nariadenia (EÚ) 2016/679, ktorého predmetom je následný prenos;

ii)

tretia strana inak zabezpečuje primerané záruky podľa článkov 46 alebo 47 nariadenia (EÚ) 2016/679 v súvislosti s predmetným spracúvaním;

iii)

následný prenos je nevyhnutný na účely preukazovania, uplatňovania alebo ochrany právnych nárokov v kontexte konkrétneho správneho alebo súdneho konania, prípadne konania v oblasti regulácie; alebo

iv)

následný prenos je potrebný v záujme ochrany životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby.

Na účely akéhokoľvek následného prenosu sa vyžaduje, aby dovozca údajov dodržiaval všetky ostatné záruky podľa týchto doložiek, osobitne obmedzenie účelu.

8.9.   Dokumentácia a splnenie povinností

a)

Dovozca údajov sa bezodkladne a primerane zaoberá žiadosťami vývozcu údajov, ktoré sa týkajú spracúvania podľa týchto doložiek.

b)

Zmluvné strany musia byť schopné preukázať, že si splnili povinnosti podľa týchto doložiek. Dovozca údajov uchováva najmä príslušnú dokumentáciu týkajúcu sa spracovateľských činností vykonávaných v mene vývozcu údajov.

c)

Dovozca údajov sprístupní vývozcovi údajov všetky informácie potrebné na preukázanie splnenia povinností stanovených v týchto doložkách a na žiadosť vývozcu údajov umožní audity spracovateľských činností, na ktoré sa vzťahujú tieto doložky, a poskytne pri nich potrebnú súčinnosť v primeraných intervaloch alebo ak existujú náznaky nesplnenia povinností. Pri rozhodovaní o preskúmaní alebo audite môže vývozca údajov zohľadniť relevantné certifikácie, ktorými disponuje dovozca údajov.

d)

Vývozca údajov sa môže rozhodnúť, či vykoná audit sám alebo poverí nezávislého audítora. Audity môžu zahŕňať inšpekcie v priestoroch alebo fyzických zariadeniach dovozcu údajov a v prípade potreby sa vykonávajú po primeranom upovedomení.

e)

Zmluvné strany sprístupnia príslušnému dozornému orgánu na požiadanie informácie uvedené v písmenách b) a c) vrátane výsledkov všetkých auditov.

MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi

8.1.   Pokyny

a)

Vývozca údajov informoval dovozcu údajov, že koná ako sprostredkovateľ podľa pokynov prevádzkovateľa, ktoré dá vývozca údajov pred spracúvaním k dispozícii dovozcovi údajov.

b)

Dovozca údajov spracúva osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa, ktoré dovozcovi údajov oznámil vývozca údajov, a akýchkoľvek dodatočných zdokumentovaných pokynov vývozcu údajov. Takéto dodatočné pokyny nesmú byť v rozpore s pokynmi prevádzkovateľa. Prevádzkovateľ alebo vývozca údajov môže udeľovať ďalšie zdokumentované pokyny týkajúce sa spracúvania údajov počas celého trvania zmluvy.

c)

Dovozca údajov bezodkladne informuje vývozcu údajov, ak nie je schopný tieto pokyny dodržať. Ak dovozca údajov nie je schopný dodržať pokyny prevádzkovateľa, vývozca údajov bezodkladne zašle oznámenie prevádzkovateľovi.

d)

Vývozca údajov vyhlasuje, že dovozcovi údajov uložil rovnaké povinnosti v oblasti ochrany údajov, ako sú stanovené v zmluve alebo inom právnom akte podľa práva Únie alebo členského štátu, ktoré boli uzatvorené medzi prevádzkovateľom a vývozcom údajov (5).

8.2.   Obmedzenie účelu

Dovozca údajov je oprávnený spracúvať osobné údaje len na osobitné účely prenosu stanovené v prílohe I časti B, ak neexistujú iné pokyny prevádzkovateľa, ktoré vývozca údajov oznámil dovozcovi údajov, ani iné pokyny vývozcu údajov.

8.3.   Transparentnosť

Vývozca údajov sprístupní dotknutej osobe na požiadanie a bezplatne kópiu týchto doložiek vrátane dodatku, ktorý vyplnili zmluvné strany. V rozsahu potrebnom na ochranu obchodného tajomstva alebo iných dôverných informácií vrátane osobných údajov môže vývozca údajov pred poskytnutím kópie dodatku odstrániť časť jeho textu, pričom však poskytne zmysluplné zhrnutie, ak by dotknutá osoba inak nebola schopná pochopiť jeho obsah alebo uplatňovať svoje práva. Zmluvné strany na požiadanie oznámia dotknutej osobe dôvody odstránenia textu, pokiaľ možno bez toho, aby došlo k prezradeniu odstránených informácií.

8.4.   Správnosť

Ak dovozca údajov zistí, že osobné údaje, ktoré získal, sú nesprávne alebo neaktuálne, bez zbytočného odkladu o tom informuje vývozcu údajov. V takom prípade je dovozca údajov povinný spolupracovať s vývozcom údajov na účely opravy alebo výmazu údajov.

8.5.   Obdobie spracúvania, výmaz alebo vrátenie údajov

Dovozca údajov je oprávnený spracúvať údaje len počas obdobia uvedeného v prílohe I časti B. Po ukončení poskytovania spracovateľských služieb dovozca údajov vymaže všetky osobné údaje spracúvané v mene prevádzkovateľa a vývozcovi údajov túto skutočnosť potvrdí, alebo vývozcovi údajov vráti všetky osobné údaje spracúvané v jeho mene a vymaže existujúce kópie, a to podľa toho, pre ktorú z možností sa vývozca údajov rozhodne. Dovozca údajov zabezpečuje dodržiavanie týchto doložiek dovtedy, kým nedôjde k vymazaniu alebo vráteniu údajov. Pokiaľ ide o miestne právne predpisy uplatniteľné na dovozcu údajov, ktorými sa zakazuje vrátenie alebo vymazanie osobných údajov, dovozca údajov vyhlasuje, že bude naďalej zabezpečovať súlad s týmito doložkami a bude ich spracúvať len v takom rozsahu a tak dlho, ako to vyžaduje uvedené miestne právo. Tým nie je dotknutá doložka 14, najmä povinnosť dovozcu údajov podľa doložky 14 písm. e) zasielať počas trvania zmluvy vývozcovi údajov oznámenia v prípade, keď má dôvod domnievať sa, že sa naň vzťahujú alebo začali vzťahovať právne predpisy alebo prax, ktoré nie sú v súlade s požiadavkami uvedenými v doložke 14 písm. a).

8.6.   Bezpečnosť spracúvania

a)

Dovozca údajov a počas prenosu aj vývozca údajov prijmú vhodné technické a organizačné opatrenia na zaistenie bezpečnosti údajov vrátane ochrany pred porušením bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu alebo prístupu k týmto údajom (ďalej len „porušenie ochrany osobných údajov“). Pri posudzovaní primeranej úrovne bezpečnosti náležite zohľadnia najnovšie poznatky, náklady na vykonanie, povahu, rozsah, kontext a účely spracúvania, ako aj riziká pre dotknutú osobu, ktoré súvisia so spracúvaním. Zmluvné strany zvážia najmä použitie šifrovania alebo pseudonymizácie, a to aj počas prenosu, ak možno vďaka nim splniť účel spracúvania. V prípade pseudonymizácie zostávajú dodatočné informácie na priradenie osobných údajov ku konkrétnej dotknutej osobe, ak je to možné, pod výlučnou kontrolou vývozcu údajov alebo prevádzkovateľa. Pri plnení si povinností podľa tohto písmena je dovozca údajov povinný prijať prinajmenšom technické a organizačné opatrenia uvedené v prílohe II. Dovozca údajov je povinný vykonávať pravidelné kontroly s cieľom zabezpečiť, aby tieto opatrenia nepretržite poskytovali primeranú úroveň bezpečnosti.

b)

Dovozca údajov poskytne prístup k údajom svojim zamestnancom len v rozsahu, ktorý je nevyhnutne potrebný na plnenie, riadenie a monitorovanie zmluvy. Zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť údajov, alebo aby sa na ne vzťahovala primeraná zákonná povinnosť zachovávať dôvernosť údajov.

c)

V prípade porušenia ochrany osobných údajov týkajúceho sa osobných údajov spracúvaných dovozcom údajov podľa týchto doložiek prijme dovozca údajov primerané opatrenia na nápravu porušenia vrátane opatrení na zmiernenie jeho nepriaznivých účinkov. Dovozca údajov bez zbytočného odkladu zašle oznámenie vývozcovi údajov a v prípade potreby, ak je to možné, aj prevádzkovateľovi po tom, ako sa dozvedel o porušení. Takéto oznámenie obsahuje údaje kontaktného miesta, kde možno získať viac informácií, opis povahy porušenia (podľa možnosti vrátane kategórií a približného počtu dotknutých osôb a záznamov o osobných údajoch), pravdepodobné následky porušenia, ako aj prijaté alebo navrhované opatrenia s cieľom napraviť porušenie ochrany údajov vrátane opatrení na zmiernenie jeho možných nepriaznivých účinkov. Pokiaľ nemožno poskytnúť všetky informácie súčasne, pôvodné oznámenie musí obsahovať informácie, ktoré boli v danom čase dostupné, pričom ďalšie informácie sa poskytnú bez zbytočného odkladu po tom, ako budú k dispozícii.

d)

Dovozca údajov spolupracuje s vývozcom údajov a poskytuje mu pomoc pri plnení si povinností podľa nariadenia (EÚ) 2016/679, najmä pokiaľ ide o podávanie oznámení prevádzkovateľovi tak, aby mohol tento prevádzkovateľ následne zaslať oznámenie príslušnému dozornému orgánu a dotknutým osobám, ktoré sú ovplyvnené, pričom zohľadní povahu spracúvania a informácie, ktoré má k dispozícii dovozca údajov.

8.7.   Citlivé údaje

Ak prenos zahŕňa osobné údaje odhaľujúce rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, genetické alebo biometrické údaje na účely jedinečnej identifikácie fyzickej osoby, údaje týkajúce sa zdravia alebo sexuálneho života či sexuálnej orientácie osoby, alebo údaje týkajúce sa odsúdenia za trestné činy (ďalej len „citlivé údaje“), uplatňuje dovozca údajov osobitné obmedzenia a/alebo dodatočné záruky stanovené v prílohe I časti B.

8.8.   Následné prenosy

Dovozca údajov poskytuje osobné údaje tretej strane len na základe zdokumentovaných pokynov prevádzkovateľa, ktoré dovozcovi údajov oznámil vývozca údajov. Údaje možno navyše poskytnúť tretej strane nachádzajúcej sa mimo Európskej únie (6) (v rovnakej krajine ako dovozca údajov alebo v inej tretej krajine, ďalej len „následný prenos“) len vtedy, ak je táto tretia strana viazaná týmito doložkami alebo súhlasí s tým, že bude týmito doložkami viazaná, a to v súlade s príslušným modulom, alebo ak:

i)

následný prenos sa uskutočňuje do krajiny, na ktorú sa vzťahuje rozhodnutie o primeranosti podľa článku 45 nariadenia (EÚ) 2016/679, ktorého predmetom je následný prenos;

ii)

tretia strana inak zabezpečuje primerané záruky podľa článkov 46 alebo 47 nariadenia (EÚ) 2016/679;

iii)

následný prenos je nevyhnutný na účely preukazovania, uplatňovania alebo ochrany právnych nárokov v kontexte konkrétneho správneho alebo súdneho konania, prípadne konania v oblasti regulácie; alebo

iv)

následný prenos je potrebný v záujme ochrany životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby.

Na účely akéhokoľvek následného prenosu sa vyžaduje, aby dovozca údajov dodržiaval všetky ostatné záruky podľa týchto doložiek, osobitne obmedzenie účelu.

8.9.   Dokumentácia a splnenie povinností

a)

Dovozca údajov sa bezodkladne a primerane zaoberá žiadosťami vývozcu údajov alebo prevádzkovateľa, ktoré sa týkajú spracúvania podľa týchto doložiek.

b)

Zmluvné strany musia byť schopné preukázať, že si splnili povinnosti podľa týchto doložiek. Dovozca údajov uchováva najmä príslušnú dokumentáciu týkajúcu sa spracovateľských činností vykonávaných v mene prevádzkovateľa.

c)

Dovozca údajov sprístupní vývozcovi údajov všetky informácie potrebné na preukázanie splnenia povinností stanovených v týchto doložkách, pričom vývozca údajov ich poskytne prevádzkovateľovi.

d)

Dovozca údajov umožní vývozcovi údajov audity spracovateľských činností, na ktoré sa vzťahujú tieto doložky, a poskytne pri nich potrebnú súčinnosť v primeraných intervaloch alebo ak existujú náznaky nesplnenia povinností. To isté platí aj v prípade, keď vývozca údajov žiada o audit na základe pokynov prevádzkovateľa. Pri rozhodovaní o audite môže vývozca údajov zohľadniť relevantné certifikácie, ktorými disponuje dovozca údajov.

e)

Ak sa audit vykonáva na základe pokynov prevádzkovateľa, vývozca údajov sprístupní výsledky prevádzkovateľovi.

f)

Vývozca údajov sa môže rozhodnúť, či vykoná audit sám alebo poverí nezávislého audítora. Audity môžu zahŕňať inšpekcie v priestoroch alebo fyzických zariadeniach dovozcu údajov a v prípade potreby sa vykonávajú po primeranom upovedomení.

g)

Zmluvné strany sprístupnia príslušnému dozornému orgánu na požiadanie informácie uvedené v písmenách b) a c) vrátane výsledkov všetkých auditov.

MODUL č. 4: Prenos od sprostredkovateľa k prevádzkovateľovi

8.1.   Pokyny

a)

Vývozca údajov spracúva osobné údaje len na základe zdokumentovaných pokynov dovozcu údajov v postavení prevádzkovateľa.

b)

Vývozca údajov bezodkladne informuje dovozcu údajov, ak nie je schopný dodržať predmetné pokyny, a to aj v prípade, že dané pokyny porušujú nariadenie (EÚ) 2016/679 alebo iné právne predpisy Únie alebo členského štátu o ochrane údajov.

c)

Dovozca údajov sa zdrží akéhokoľvek konania, ktoré by vývozcovi údajov bránilo v plnení povinností podľa nariadenia (EÚ) 2016/679, a to aj v kontexte ďalšieho sprostredkovania alebo pokiaľ ide o spoluprácu s príslušnými dozornými orgánmi.

d)

Po ukončení poskytovania spracovateľských služieb vývozca údajov vymaže všetky osobné údaje spracúvané v mene dovozcu údajov a dovozcovi údajov túto skutočnosť potvrdí, alebo dovozcovi údajov vráti všetky osobné údaje spracúvané v jeho mene a vymaže existujúce kópie, a to podľa toho, pre ktorú z možností sa dovozca údajov rozhodne.

8.2.   Bezpečnosť spracúvania

a)

Zmluvné strany prijmú primerané technické a organizačné opatrenia na zaistenie bezpečnosti údajov, a to aj počas prenosu, ako aj ochrany pred porušením bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu alebo prístupu (ďalej len „porušenie ochrany osobných údajov“). Pri posudzovaní primeranej úrovne bezpečnosti náležite zohľadňujú najnovšie poznatky, náklady na vykonanie opatrení, povahu osobných údajov (7), povahu, rozsah, kontext a účel spracúvania a riziká spojené so spracúvaním pre dotknuté osoby, pričom najmä zvážia použitie šifrovania alebo pseudonymizácie, a to aj počas prenosu, ak možno vďaka nim splniť účel spracúvania.

b)

Vývozca údajov pomáha dovozcovi údajov zabezpečiť primeranú bezpečnosť údajov v súlade s písmenom a). V prípade porušenia ochrany osobných údajov týkajúceho sa osobných údajov spracúvaných vývozcom údajov podľa týchto doložiek zašle vývozca údajov oznam dovozcovi údajov bez zbytočného odkladu po tom, ako sa o tejto skutočnosti dozvie, a dovozcovi údajov poskytne pomoc pri náprave porušenia.

c)

Vývozca údajov zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť údajov, alebo aby sa na ne vzťahovala primeraná zákonná povinnosť zachovávať dôvernosť údajov.

8.3.   Dokumentácia a splnenie povinností

a)

Zmluvné strany musia byť schopné preukázať, že si splnili povinnosti podľa týchto doložiek.

b)

Vývozca údajov sprístupní dovozcovi údajov všetky informácie potrebné na preukázanie, že si splnil povinnosti podľa týchto doložiek, umožní audity a poskytne pri nich potrebnú súčinnosť.

Doložka 9

Využívanie ďalších sprostredkovateľov

MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi

a)

MOŽNOSŤ 1: OSOBITNÉ PREDCHÁDZAJÚCE POVOLENIE Dovozca údajov nie je oprávnený zadať žiadnu zo svojich spracovateľských činností vykonávaných v mene vývozcu údajov podľa týchto doložiek ďalšiemu sprostredkovateľovi bez predchádzajúceho osobitného písomného povolenia vývozcu údajov. Dovozca údajov predloží žiadosť o osobitné povolenie najmenej [uveďte časové obdobie] pred zapojením ďalšieho sprostredkovateľa spolu s informáciami umožňujúcimi vývozcovi údajov rozhodnúť o povolení. Zoznam ďalších sprostredkovateľov, vo vzťahu ku ktorým už vývozca údajov vydal povolenie, je uvedený v prílohe III. Zmluvné strany sú povinné prílohu III aktualizovať.

MOŽNOSŤ 2: VŠEOBECNÉ PÍSOMNÉ POVOLENIE Dovozca údajov má všeobecné povolenie vývozcu údajov na zapojenie ďalších sprostredkovateľov z dohodnutého zoznamu. Dovozca údajov osobitne písomne informuje vývozcu údajov o všetkých zamýšľaných zmenách v tomto zozname, pokiaľ ide o pridanie alebo nahradenie ďalších sprostredkovateľov, a to najmenej [uveďte časové obdobie] vopred, čím poskytne vývozcovi údajov dostatočný čas na to, aby mohol proti takýmto zmenám vzniesť námietky pred zapojením ďalšieho sprostredkovateľa. Dovozca údajov poskytne vývozcovi údajov informácie, na základe ktorých môže uplatniť svoje právo namietať.

b)

Ak dovozca údajov zapojí ďalšieho sprostredkovateľa do vykonávania konkrétnych spracovateľských činností (v mene vývozcu údajov), urobí to na základe písomnej zmluvy, v ktorej sa v podstate stanovujú rovnaké povinnosti v oblasti ochrany údajov ako sú tie, ktoré má dovozca údajov podľa týchto doložiek, a to aj pokiaľ ide o práva oprávnenej tretej strany v prípade dotknutých osôb (8). Zmluvné strany vyhlasujú, že splnením povinností v zmysle tejto doložky si dovozca údajov zároveň splní aj povinnosti v zmysle doložky 8.8. Dovozca údajov zabezpečí, aby ďalší sprostredkovateľ dodržiaval povinnosti, ktoré sa podľa týchto doložiek vzťahujú na dovozcu údajov.

c)

Dovozca údajov poskytne vývozcovi údajov na jeho žiadosť kópiu dohody s ďalším sprostredkovateľom, ako aj neskorších zmien tejto dohody. V rozsahu potrebnom na ochranu obchodného tajomstva alebo iných dôverných informácií vrátane osobných údajov môže dovozca údajov pred poskytnutím kópie tejto dohody odstrániť časti jej textu.

d)

Dovozca údajov naďalej v plnom rozsahu zodpovedá vývozcovi údajov za plnenie povinností ďalšieho sprostredkovateľa podľa zmluvy, ktorú uzatvoril s dovozcom údajov. Dovozca údajov zašle vývozcovi údajov oznámenie o každom porušení povinností ďalšieho sprostredkovateľa v zmysle uvedenej zmluvy.

e)

Dovozca údajov sa dohodne s ďalším sprostredkovateľom na doložke o oprávnenosti tretej strany, podľa ktorej má vývozca údajov v prípade, že dovozca údajov fakticky zanikol, prestal podľa práva existovať alebo sa stal insolventným, právo vypovedať zmluvu s ďalším sprostredkovateľom a ďalšiemu sprostredkovateľovi dať pokyn, aby osobné údaje vymazal alebo vrátil.

MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi

a)

MOŽNOSŤ 1: OSOBITNÉ PREDCHÁDZAJÚCE POVOLENIE Dovozca údajov nie je oprávnený zadať žiadnu zo svojich spracovateľských činností vykonávaných v mene vývozcu údajov podľa týchto doložiek ďalšiemu sprostredkovateľovi bez osobitného predchádzajúceho písomného povolenia prevádzkovateľa. Dovozca údajov predloží žiadosť o osobitné povolenie najmenej [uveďte časové obdobie] pred zapojením ďalšieho sprostredkovateľa spolu s informáciami umožňujúcimi prevádzkovateľovi rozhodnúť o povolení. O tomto zapojení informuje vývozcu údajov. Zoznam ďalších sprostredkovateľov, vo vzťahu ku ktorým už prevádzkovateľ vydal povolenie, je uvedený v prílohe III. Zmluvné strany sú povinné prílohu III aktualizovať.

MOŽNOSŤ 2: VŠEOBECNÉ PÍSOMNÉ POVOLENIE Dovozca údajov má všeobecné povolenie prevádzkovateľa na zapojenie ďalších sprostredkovateľov z dohodnutého zoznamu. Dovozca údajov osobitne písomne informuje prevádzkovateľa o všetkých zamýšľaných zmenách v tomto zozname, pokiaľ ide o pridanie alebo nahradenie ďalších sprostredkovateľov, a to najmenej [uveďte časové obdobie] vopred, čím poskytne prevádzkovateľovi dostatočný čas na to, aby mohol proti takýmto zmenám vzniesť námietky pred zapojením ďalšieho sprostredkovateľa. Dovozca údajov poskytne prevádzkovateľovi informácie, na základe ktorých môže uplatniť svoje právo namietať. Dovozca údajov informuje vývozcu údajov o zapojení ďalšieho sprostredkovateľa.

b)

Ak dovozca údajov zapojí ďalšieho sprostredkovateľa do vykonávania konkrétnych spracovateľských činností (v mene prevádzkovateľa), urobí to na základe písomnej zmluvy, v ktorej sa v podstate stanovujú rovnaké povinnosti v oblasti ochrany údajov ako sú tie, ktoré má dovozca údajov podľa týchto doložiek, a to aj pokiaľ ide o práva oprávnenej tretej strany v prípade dotknutých osôb (9). Zmluvné strany vyhlasujú, že splnením povinností v zmysle tejto doložky si dovozca údajov zároveň splní aj povinnosti v zmysle doložky 8.8. Dovozca údajov zabezpečí, aby ďalší sprostredkovateľ dodržiaval povinnosti, ktoré sa podľa týchto doložiek vzťahujú na dovozcu údajov.

c)

Dovozca údajov poskytne vývozcovi údajov na jeho žiadosť alebo na žiadosť prevádzkovateľa kópiu dohody s ďalším sprostredkovateľom, ako aj neskorších zmien tejto dohody. V rozsahu potrebnom na ochranu obchodného tajomstva alebo iných dôverných informácií vrátane osobných údajov môže dovozca údajov pred poskytnutím kópie tejto dohody odstrániť časti jej textu.

d)

Dovozca údajov naďalej v plnom rozsahu zodpovedá vývozcovi údajov za plnenie povinností ďalšieho sprostredkovateľa podľa zmluvy, ktorú uzatvoril s dovozcom údajov. Dovozca údajov zašle vývozcovi údajov oznámenie o každom porušení povinností ďalšieho sprostredkovateľa v zmysle uvedenej zmluvy.

e)

Dovozca údajov sa dohodne s ďalším sprostredkovateľom na doložke o oprávnenosti tretej strany, podľa ktorej má vývozca údajov v prípade, že dovozca údajov fakticky zanikol, prestal podľa práva existovať alebo sa stal insolventným, právo vypovedať zmluvu s ďalším sprostredkovateľom a ďalšiemu sprostredkovateľovi dať pokyn, aby osobné údaje vymazal alebo vrátil.

Doložka 10

Práva dotknutých osôb

MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi

a)

Dovozca údajov sa prípadne s pomocou vývozcu údajov zaoberá všetkými otázkami a žiadosťami, ktoré dostane od dotknutej osoby a ktoré sa týkajú spracúvania jej osobných údajov a uplatňovania jej práv podľa týchto doložiek, a to bez zbytočného odkladu a najneskôr do jedného mesiaca od prijatia predmetnej otázky alebo žiadosti. (10) Dovozca údajov prijme vhodné opatrenia na uľahčenie týchto otázok, žiadostí a uplatňovania práv dotknutej osoby. Všetky informácie poskytnuté dotknutej osobe musia byť v zrozumiteľnej a ľahko dostupnej forme, pričom musia byť formulované jasne a jednoducho.

b)

Na žiadosť dotknutej osoby dovozca údajov predovšetkým bezplatne:

i)

poskytne dotknutej osobe potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú; ak áno, kópiu údajov, ktoré sa jej týkajú, a informácie v prílohe I; ak osobné údaje boli alebo budú následne prenášané, poskytne informácie o príjemcoch alebo kategóriách príjemcov (podľa potreby s cieľom poskytnúť zmysluplné informácie), ktorým osobné údaje boli alebo budú následne prenášané, účel takýchto následných prenosov a ich dôvod podľa doložky 8.7; a poskytne informácie o práve podať sťažnosť dozornému orgánu v súlade s doložkou 12 písm. c) bodom i);

ii)

opraví nesprávne alebo neúplné údaje týkajúce sa dotknutej osoby;

iii)

vymaže osobné údaje týkajúce sa dotknutej osoby, ak sa takéto údaje spracúvajú alebo spracúvali v rozpore s doložkami, ktorých cieľom je zabezpečiť práva oprávnenej tretej strany, alebo ak dotknutá osoba odvolá súhlas, na ktorom je spracúvanie založené.

c)

Ak dovozca údajov spracúva osobné údaje na účely priameho marketingu, spracúvanie na tieto účely ukončí, ak dotknutá osoba proti tomu namieta.

d)

Dovozca údajov nie je oprávnený založiť rozhodnutie len na automatizovanom spracúvaní prenášaných osobných údajov (ďalej len „automatizované rozhodnutie“), ktoré by vyvolávalo právne účinky týkajúce sa dotknutej osoby alebo by ju podobne významne ovplyvňovalo, okrem prípadu, že by s tým dotknutá osoba výslovne súhlasila alebo dovozca údajov má na to oprávnenie podľa právnych predpisov krajiny určenia, pokiaľ sa v týchto právnych predpisoch stanovujú vhodné opatrenia na zaručenie práv a oprávnených záujmov dotknutej osoby. V takom prípade je dovozca údajov samostatne alebo v spolupráci s vývozcom údajov povinný:

i)

informovať dotknutú osobu o zamýšľanom automatizovanom rozhodnutí a dôsledkoch, ako aj o súvisiacej logike, a

ii)

zaviesť vhodné záruky, a to aspoň tak, že sa dotknutej osobe umožní napadnúť predmetné rozhodnutie, vyjadriť svoj názor a dosiahnuť preskúmanie človekom.

e)

Ak sú žiadosti dotknutej osoby neprimerané najmä z dôvodu ich opakujúcej sa povahy, dovozca údajov môže buď vyúčtovať primeraný poplatok zohľadňujúci administratívne náklady v súvislosti s vybavením žiadosti, alebo žiadosť odmietnuť.

f)

Dovozca údajov môže žiadosť dotknutej osoby zamietnuť, ak takéto zamietnutie povoľujú právne predpisy krajiny určenia, pričom je to nevyhnutné a primerané v demokratickej spoločnosti na ochranu jedného z cieľov uvedených v článku 23 ods. 1 nariadenia (EÚ) 2016/679.

g)

Ak má dovozca údajov v úmysle zamietnuť žiadosť dotknutej osoby, informuje dotknutú osobu o dôvodoch zamietnutia a možnosti podať sťažnosť príslušnému dozornému orgánu a/alebo domáhať sa nápravy na súde.

MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi

a)

Dovozca údajov bezodkladne oznámi vývozcovi údajov každú žiadosť, ktorú dostal od dotknutej osoby. Na túto žiadosť nie je oprávnený sám reagovať, pokiaľ mu to vývozca údajov nepovolil.

b)

Dovozca údajov pomáha vývozcovi údajov pri plnení povinnosti reagovať na žiadosti dotknutých osôb o výkon ich práv podľa nariadenia (EÚ) 2016/679. V tejto súvislosti zmluvné strany stanovia v prílohe II vhodné technické a organizačné opatrenia na poskytnutie pomoci, ako aj rozsah potrebnej pomoci, a to s ohľadom na povahu spracúvania.

c)

Dovozca údajov dodržiava pri plnení svojich povinností podľa písmen a) a b) pokyny vývozcu údajov.

MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi

a)

Dovozca údajov bezodkladne oznámi vývozcovi údajov a v prípade potreby aj prevádzkovateľovi každú žiadosť, ktorú dostal od dotknutej osoby, a to bez toho, aby na ňu reagoval, pokiaľ na to nebol poverený prevádzkovateľom.

b)

Dovozca údajov v prípade potreby v spolupráci s vývozcom údajov pomáha prevádzkovateľovi pri plnení povinnosti reagovať na žiadosti dotknutých osôb o výkon ich práv podľa nariadenia (EÚ) 2016/679, prípadne nariadenia (EÚ) 2018/1725. V tejto súvislosti zmluvné strany stanovia v prílohe II vhodné technické a organizačné opatrenia na poskytnutie pomoci, ako aj rozsah potrebnej pomoci, a to s ohľadom na povahu spracúvania.

c)

Dovozca údajov dodržiava pri plnení svojich povinností podľa písmen a) a b) pokyny prevádzkovateľa, ktoré mu oznámil vývozca údajov.

MODUL č. 4: Prenos od sprostredkovateľa k prevádzkovateľovi

Zmluvné strany si navzájom poskytujú pomoc pri reagovaní na otázky a žiadosti dotknutých osôb podľa miestneho práva uplatniteľného na dovozcu údajov alebo v prípade spracúvania údajov vývozcom údajov v EÚ podľa nariadenia (EÚ) 2016/679.

Doložka 11

Náprava

a)

Dovozca údajov informuje dotknuté osoby v transparentnom a ľahko dostupnom formáte prostredníctvom individuálneho oznámenia alebo na svojom webovom sídle o kontaktnom mieste, ktoré je oprávnené vybavovať sťažnosti. Bezodkladne sa zaoberá všetkými sťažnosťami, ktoré dostane od dotknutej osoby.

[MOŽNOSŤ: Dovozca údajov súhlasí s tým, aby dotknuté osoby podávali sťažnosti aj nezávislému orgánu riešenia sporov (11) bez toho, aby dotknutá osoba znášala náklady. O tomto mechanizme nápravy, o tom, že jeho využitie nie je povinné, alebo o tom, že pri domáhaní sa nápravy nie je potrebné postupovať žiadnym konkrétnym spôsobom, informuje dotknuté osoby spôsobom stanoveným v písmene a).]

MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi

MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi

MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi

b)

V prípade sporu medzi dotknutou osobou a jednou zo zmluvných strán, ktorý sa týka dodržiavania ustanovení týchto doložiek, vynaloží táto zmluvná strana maximálne úsilie na rýchle vyriešenie sporu formou zmieru. Zmluvné strany sa navzájom informujú o takýchto sporoch a v prípade potreby spolupracujú na ich riešení.

c)

Ak sa dotknutá osoba odvoláva na právo oprávnenej tretej strany podľa doložky 3, dovozca údajov akceptuje rozhodnutie dotknutej osoby:

i)

podať sťažnosť dozornému orgánu v členskom štáte svojho obvyklého pobytu alebo miesta výkonu práce, alebo príslušnému dozornému orgánu podľa doložky 13;

ii)

postúpiť spor príslušným súdom v zmysle doložky 18.

d)

Zmluvné strany súhlasia s tým, aby dotknutú osobu zastupoval neziskový subjekt, organizácia alebo združenie za podmienok stanovených v článku 80 ods. 1 nariadenia (EÚ) 2016/679.

e)

Dovozca údajov je povinný riadiť sa rozhodnutím, ktoré je záväzné podľa platných právnych predpisov EÚ alebo členského štátu.

f)

Dovozca údajov vyjadruje súhlas s tým, že rozhodnutie dotknutej osoby nebude mať vplyv na jej hmotné a procesné práva domáhať sa nápravy v súlade s platnými právnymi predpismi.

Doložka 12

Zodpovednosť

MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi

MODUL č. 4: Prenos od sprostredkovateľa k prevádzkovateľovi

a)

Každá zmluvná strana je zodpovedná voči druhej zmluvnej strane za akúkoľvek ujmu, ktorú jej spôsobí v dôsledku porušenia týchto doložiek.

b)

Každá zmluvná strana je zodpovedná voči dotknutej osobe za akúkoľvek majetkovú alebo nemajetkovú ujmu, ktorú spôsobí dotknutej osobe porušením práv oprávnenej tretej strany podľa týchto doložiek, pričom dotknutá osoba má nárok na náhradu uvedenej ujmy. Tým nie je dotknutá zodpovednosť vývozcu údajov podľa nariadenia (EÚ) 2016/679.

c)

Ak je za ujmu spôsobenú dotknutej osobe v dôsledku porušenia týchto doložiek zodpovedná viac ako jedna zmluvná strana, tieto zmluvné strany zodpovedajú spoločne a nerozdielne, pričom dotknutá osoba je oprávnená podať žalobu na súd proti ktorejkoľvek z týchto zmluvných strán.

d)

Zmluvné strany sa dohodli, že v prípade, keď nesie zodpovednosť podľa písmena c) jedna zmluvná strana, je oprávnená žiadať od druhej zmluvnej strany vrátenie časti náhrady vyjadrujúcej jej zodpovednosť za ujmu.

e)

Dovozca údajov sa nemôže odvolávať na konanie sprostredkovateľa alebo ďalšieho sprostredkovateľa s cieľom zbaviť sa svojej vlastnej zodpovednosti.

MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi

MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi

a)

Každá zmluvná strana je zodpovedná voči druhej zmluvnej strane za akúkoľvek ujmu, ktorú jej spôsobí v dôsledku porušenia týchto doložiek.

b)

Dovozca údajov je zodpovedný voči dotknutej osobe za akúkoľvek majetkovú alebo nemajetkovú ujmu, ktorú spôsobí on sám alebo ďalší sprostredkovateľ dotknutej osobe porušením práv oprávnenej tretej strany podľa týchto doložiek, pričom dotknutá osoba má nárok na náhradu uvedenej ujmy.

c)

Bez ohľadu na písmeno b) je vývozca údajov zodpovedný voči dotknutej osobe za akúkoľvek majetkovú alebo nemajetkovú ujmu, ktorú on sám alebo dovozca údajov (prípadne ďalší sprostredkovateľ) spôsobí dotknutej osobe porušením práv oprávnenej tretej strany podľa týchto doložiek, pričom dotknutá osoba má nárok na náhradu uvedenej ujmy. Tým nie je dotknutá zodpovednosť vývozcu údajov a v prípade, že vývozca údajov je sprostredkovateľom konajúcim v mene prevádzkovateľa, ani zodpovednosť prevádzkovateľa podľa nariadenia (EÚ) 2016/679, prípadne nariadenia (EÚ) 2018/1725.

d)

Zmluvné strany sa dohodli, že v prípade, keď nesie zodpovednosť za ujmu spôsobenú dovozcom údajov (alebo ďalším sprostredkovateľom) podľa písmena c) vývozca údajov, je oprávnený žiadať od dovozcu údajov vrátenie časti náhrady vyjadrujúcej jeho zodpovednosť za ujmu.

e)

Ak je za ujmu spôsobenú dotknutej osobe v dôsledku porušenia týchto doložiek zodpovedná viac ako jedna zmluvná strana, tieto zmluvné strany zodpovedajú spoločne a nerozdielne, pričom dotknutá osoba je oprávnená podať žalobu na súd proti ktorejkoľvek z týchto zmluvných strán.

f)

Zmluvné strany sa dohodli, že v prípade, keď nesie zodpovednosť jedna zmluvná strana podľa písmena e), je oprávnená žiadať od druhej zmluvnej strany vrátenie časti náhrady vyjadrujúcej jej zodpovednosť za ujmu.

g)

Dovozca údajov sa nemôže odvolávať na konanie ďalšieho sprostredkovateľa s cieľom zbaviť sa svojej vlastnej zodpovednosti.

Doložka 13

Dohľad

MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi

MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi

MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi

a)

[Ak je vývozca údajov usadený v členskom štáte EÚ:] Dozorný orgán zodpovedný za zabezpečenie toho, aby vývozca údajov dodržiaval ustanovenia nariadenia (EÚ) 2016/679 v oblasti prenosu údajov podľa prílohy I časti C, má postavenie príslušného dozorného orgánu.

[Ak vývozca údajov nie je usadený v členskom štáte EÚ, ale patrí do územnej pôsobnosti nariadenia (EÚ) 2016/679 v súlade s článkom 3 ods. 2, pričom určí zástupcu podľa článku 27 ods. 1 nariadenia (EÚ) 2016/679:] Dozorný orgán členského štátu, v ktorom je podľa prílohy I časti C usadený zástupca v zmysle článku 27 ods. 1 nariadenia (EÚ) 2016/679, má postavenie príslušného dozorného orgánu.

[Ak vývozca údajov nie je usadený v členskom štáte EÚ, ale patrí do územnej pôsobnosti nariadenia (EÚ) 2016/679 v súlade s článkom 3 ods. 2 bez toho, aby musel určiť zástupcu podľa článku 27 ods. 2 nariadenia (EÚ) 2016/679:] Dozorný orgán jedného z členských štátov, v ktorom sa nachádzajú dotknuté osoby, ktorých osobné údaje sa prenášajú v súlade s týmito doložkami v súvislosti s tovarom alebo službami, ktoré sa im ponúkajú, alebo ktorých správanie sa monitoruje, ako sa to uvádza v prílohe I časti C, má postavenie príslušného dozorného orgánu.

b)

Dovozca údajov sa zaväzuje, že sa podriadi jurisdikcii príslušného dozorného orgánu a bude s ním spolupracovať v rámci akýchkoľvek konaní, ktorých cieľom je zabezpečiť dodržiavanie týchto doložiek. Dovozca údajov sa najmä zaväzuje reagovať na otázky, podriadiť sa auditom a konať v súlade s opatreniami prijatými dozorným orgánom vrátane nápravných a kompenzačných opatrení. Dozornému orgánu poskytne písomné potvrdenie, že boli prijaté potrebné opatrenia.

ODDIEL III – MIESTNE PRÁVNE PREDPISY A POVINNOSTI V PRÍPADE PRÍSTUPU ORGÁNOV VEREJNEJ MOCI

Doložka 14

Miestne právne predpisy a prax, ktoré majú vplyv na dodržiavanie doložiek

MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi

MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi

MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi

MODUL č. 4: Prenos od sprostredkovateľa k prevádzkovateľovi (ak sprostredkovateľ v EÚ kombinuje osobné údaje prijaté od prevádzkovateľa z tretej krajiny s osobnými údajmi, ktoré získal sprostredkovateľ v EÚ)

a)

Zmluvné strany vyhlasujú, že nemajú žiadny dôvod považovať právne predpisy a prax v tretej krajine určenia, pokiaľ ide o spracúvanie osobných údajov dovozcom údajov vrátane akýchkoľvek požiadaviek na poskytovanie osobných údajov alebo opatrení, ktorými sa povoľuje prístup orgánov verejnej moci, za prekážku, ktorá by bránila dovozcovi údajov v plnení jeho povinností vyplývajúcich z týchto doložiek. Uvedené vychádza z výkladu, podľa ktorého právne predpisy a prax, ktoré rešpektujú podstatu základných práv a slobôd a neprekračujú rámec toho, čo je nevyhnutné a primerané v demokratickej spoločnosti na zabezpečenie jedného z cieľov uvedených v článku 23 ods. 1 nariadenia (EÚ) 2016/679, nie sú v rozpore s týmito doložkami.

b)

Zmluvné strany deklarujú, že v súvislosti s vyhlásením v písmene a) náležite zohľadnili najmä tieto prvky:

i)

osobitné okolnosti prenosu vrátane dĺžky spracovateľského reťazca, počtu zapojených aktérov a použitých prenosových kanálov; zamýšľané následné prenosy; typ príjemcu; účel spracúvania; kategórie a formát prenášaných osobných údajov; odvetvie hospodárstva, v ktorom sa prevod uskutočňuje; miesto uchovávania prenášaných údajov;

ii)

právne predpisy a prax tretej krajiny určenia – vrátane tých, podľa ktorých sa vyžaduje poskytovanie údajov orgánom verejnej moci alebo povoľuje prístup týchto orgánov, – ktoré sú relevantné vzhľadom na osobitné okolnosti prenosu, ako aj uplatniteľné obmedzenia a záruky (12);

iii)

všetky príslušné zmluvné, technické alebo organizačné záruky zavedené na doplnenie záruk podľa týchto doložiek vrátane opatrení uplatňovaných počas prenosu a spracúvania osobných údajov v krajine určenia.

c)

Dovozca údajov vyhlasuje, že pri vykonávaní posúdenia podľa písmena b) vynaložil maximálne úsilie na to, aby poskytol vývozcovi údajov relevantné informácie, a zaväzuje sa naďalej spolupracovať s vývozcom údajov tak, aby sa zabezpečilo dodržiavanie týchto doložiek.

d)

Zmluvné strany sa zaväzujú zdokumentovať posúdenie podľa písmena b) a na požiadanie túto dokumentáciu sprístupniť príslušnému dozornému orgánu.

e)

Dovozca údajov sa zaväzuje bezodkladne oznámiť vývozcovi údajov, či má po vyjadrení súhlasu s týmito doložkami počas trvania zmluvy dôvod domnievať sa, že sa na neho vzťahujú alebo začali vzťahovať právne predpisy alebo prax, ktoré nie sú v súlade s požiadavkami podľa písmena a), a to aj po zmene právnych predpisov tretej krajiny alebo prijatí opatrenia (ako je žiadosť o poskytnutie údajov) týkajúceho sa uplatnenia takýchto právnych predpisov v praxi, ktoré nie je v súlade s požiadavkami podľa písmena a). [V prípade modulu č. 3: Vývozca údajov postúpi oznámenie prevádzkovateľovi.]

f)

V nadväznosti na oznámenie podľa písmena e) alebo ak má vývozca údajov inak dôvod domnievať sa, že dovozca údajov už nemôže plniť svoje povinnosti podľa týchto doložiek, vývozca údajov bezodkladne určí vhodné opatrenia (napríklad technické alebo organizačné opatrenia na zaistenie bezpečnosti a dôvernosti), ktoré má prijať vývozca údajov a/alebo dovozca údajov na riešenie situácie [v prípade modulu č. 3: v prípade potreby po konzultácii s prevádzkovateľom]. Vývozca údajov preruší prenos údajov, ak sa domnieva, že nie je možné zabezpečiť primerané záruky pre takýto prenos, alebo ak mu dá na to pokyn [v prípade modulu č. 3: prevádzkovateľ alebo] príslušný dozorný orgán. V takom prípade je vývozca údajov oprávnený vypovedať zmluvu, pokiaľ ide o spracúvanie osobných údajov podľa týchto doložiek. Ak má zmluva viac ako dve zmluvné strany, vývozca údajov ju môže vypovedať len vo vzťahu k príslušnej zmluvnej strane, pokiaľ sa zmluvné strany nedohodli inak. V prípade vypovedania zmluvy podľa tejto doložky sa uplatní doložka 16 písm. d) a e).

Doložka 15

Povinnosti dovozcu údajov v prípade prístupu orgánov verejnej moci

MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi

MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi

MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi

MODUL č. 4: Prenos od sprostredkovateľa k prevádzkovateľovi (ak sprostredkovateľ v EÚ kombinuje osobné údaje prijaté od prevádzkovateľa z tretej krajiny s osobnými údajmi, ktoré získal sprostredkovateľ v EÚ)

15.1.   Oznámenie

a)

Dovozca údajov sa zaväzuje bezodkladne zaslať oznámenie vývozcovi údajov a prípadne dotknutej osobe (v prípade potreby s pomocou vývozcu údajov), ak:

i)

dostane právne záväznú žiadosť od orgánu verejnej moci vrátane súdnych orgánov podľa právnych predpisov krajiny určenia o poskytnutie osobných údajov prenášaných podľa týchto doložiek; takéto oznámenie obsahuje informácie o požadovaných osobných údajoch, žiadajúcom orgáne, právnom základe žiadosti a poskytnutej odpovedi; alebo

ii)

sa dozvie o akomkoľvek priamom prístupe orgánov verejnej moci k osobným údajom prenášaným podľa týchto doložiek v súlade s právnymi predpismi krajiny určenia; takéto oznámenie obsahuje všetky informácie, ktoré má dovozca k dispozícii.

[V prípade modulu č. 3: Vývozca údajov postúpi oznámenie prevádzkovateľovi.]

b)

Ak sa dovozcovi údajov zakazuje podľa právnych predpisov krajiny určenia zaslať oznámenie vývozcovi údajov a/alebo dotknutej osobe, dovozca údajov sa zaväzuje vynaložiť maximálne úsilie na získanie výnimky zo zákazu s cieľom oznámiť čo najviac informácií a čo najskôr. Dovozca údajov sa zaväzuje zdokumentovať svoje maximálne úsilie tak, aby ho mohol na žiadosť vývozcu údajov preukázať.

c)

Ak to právne predpisy krajiny určenia umožňujú, dovozca údajov sa zaväzuje, že počas trvania zmluvy bude vývozcovi údajov v pravidelných intervaloch poskytovať čo najviac relevantných informácií o prijatých žiadostiach (najmä počet žiadostí, druh požadovaných údajov, žiadajúci orgán, či boli žiadosti napadnuté a výsledok súvisiacich konaní atď.). [V prípade modulu č. 3: Vývozca údajov postúpi informáciu prevádzkovateľovi.]

d)

Dovozca údajov sa zaväzuje, že informácie podľa písmen a) až c) uchová počas trvania zmluvy a na požiadanie ich sprístupní príslušnému dozornému orgánu.

e)

Písmená a) až c) sa uplatňujú bez toho, aby bola dotknutá povinnosť dovozcu údajov podľa doložky 14 písm. e) a doložky 16, a to bezodkladne informovať vývozcu údajov, ak nie je schopný konať v súlade s týmito doložkami.

15.2.   Preskúmanie zákonnosti a minimalizácia údajov

a)

Dovozca údajov sa zaväzuje preskúmať zákonnosť žiadosti o poskytnutie údajov, najmä či je zachovaná právomoc žiadajúceho orgánu verejnej moci, a žiadosť napadnúť, ak po dôkladnom posúdení dospeje k záveru, že existujú opodstatnené dôvody domnievať sa, že žiadosť je nezákonná podľa právnych predpisov krajiny určenia, platných záväzkov podľa medzinárodného práva a zásad ústretovosti v medzinárodných vzťahoch. Dovozca údajov je za rovnakých podmienok povinný využívať možnosti odvolania. Pri napadnutí žiadosti dovozca údajov navrhne nariadenie predbežných opatrení s cieľom pozastaviť účinky žiadosti dovtedy, kým príslušný súdny orgán nerozhodne vo veci samej. Požadované osobné údaje poskytne až vtedy, keď je na to povinný podľa platných procesných pravidiel. Týmito požiadavkami nie sú dotknuté povinnosti dovozcu údajov podľa doložky 14 písm. e).

b)

Dovozca údajov sa zaväzuje zdokumentovať príslušné právne posúdenie, ako aj akékoľvek napadnutie žiadosti o poskytnutie údajov, a v rozsahu povolenom právnymi predpismi krajiny určenia sprístupní dokumentáciu vývozcovi údajov. Na požiadanie sprístupní túto dokumentáciu aj príslušnému dozornému orgánu. [V prípade modulu č. 3: Vývozca údajov sprístupní posúdenie prevádzkovateľovi.]

c)

Dovozca údajov sa zaväzuje, že v rámci odpovede na žiadosť o poskytnutie údajov poskytne minimálne dovolené množstvo informácií, a to na základe primeraného výkladu žiadosti.

ODDIEL IV – ZÁVEREČNÉ USTANOVENIA

Doložka 16

Nedodržanie doložiek a ukončenie platnosti

a)

Dovozca údajov bezodkladne informuje vývozcu údajov, ak nie je schopný tieto pokyny z akéhokoľvek dôvodu dodržať.

b)

V prípade, že dovozca údajov porušuje tieto doložky alebo nie je schopný plniť si povinnosti podľa týchto doložiek, vývozca údajov pozastaví prenos osobných údajov dovozcovi údajov, kým sa opäť nedosiahne súlad alebo nedôjde k ukončeniu platnosti zmluvy. Doložka 14 písm. f) tým nie je dotknutá.

c)

Vývozca údajov je oprávnený vypovedať zmluvu v rozsahu, v akom sa týka spracúvania osobných údajov podľa týchto doložiek, ak:

i)

vývozca údajov prerušil prenos osobných údajov dovozcovi údajov podľa písmena b) a dodržiavanie týchto doložiek sa neobnoví v primeranej lehote a v každom prípade do jedného mesiaca od prerušenia;

ii)

dovozca údajov závažným alebo trvalým spôsobom porušuje tieto doložky; alebo

iii)

dovozca údajov porušuje záväzné rozhodnutie príslušného súdu alebo dozorného orgánu, pokiaľ ide o jeho povinnosti podľa týchto doložiek.

V týchto prípadoch informuje o tomto porušení príslušný dozorný orgán [v prípade modulu č. 3: a prevádzkovateľa]. Ak má zmluva viac ako dve zmluvné strany, vývozca údajov ju môže vypovedať len vo vzťahu k príslušnej zmluvnej strane, pokiaľ sa zmluvné strany nedohodli inak.

d)

[V prípade modulov č. 1, 2 a 3: Osobné údaje, ktoré boli prenesené pred vypovedaním zmluvy podľa písmena c), sa bezodkladne vrátia vývozcovi údajov alebo v celom rozsahu vymažú, a to podľa toho, pre ktorú z možností sa vývozca údajov rozhodne. To isté platí v prípade kópií údajov.] [V prípade modulu č. 4: Osobné údaje získané vývozcom údajov v EÚ, ktoré boli prenesené pred vypovedaním zmluvy podľa písmena c), sa bezodkladne v celom rozsahu vymažú, vrátane ich kópií.] Dovozca údajov vydá vývozcovi údajov potvrdenie o tom, že údaje boli vymazané. Dovozca údajov zabezpečuje dodržiavanie týchto doložiek dovtedy, kým nedôjde k vymazaniu alebo vráteniu údajov. Pokiaľ ide o miestne právne predpisy uplatniteľné na dovozcu údajov, ktorými sa zakazuje vrátenie alebo vymazanie prenesených osobných údajov, dovozca údajov vyhlasuje, že bude naďalej zabezpečovať súlad s týmito doložkami a údaje bude spracúvať len v takom rozsahu a tak dlho, ako to vyžaduje uvedené miestne právo.

e)

Ktorákoľvek zo zmluvných strán môže odvolať svoj súhlas s tým, že bude viazaná týmito doložkami, ak i) Európska komisia prijme rozhodnutie podľa článku 45 ods. 3 nariadenia (EÚ) 2016/679 týkajúce sa prenosu osobných údajov, na ktoré sa vzťahujú tieto doložky, alebo ii) nariadenie (EÚ) 2016/679 sa stane súčasťou právneho rámca krajiny, do ktorej sa osobné údaje prenášajú. Tým nie sú dotknuté ostatné povinnosti vzťahujúce sa na predmetné spracúvanie podľa nariadenia (EÚ) 2016/679.

Doložka 17

Rozhodné právo

MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi

MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi

MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi

[MOŽNOSŤ 1: Tieto doložky sa riadia právom členského štátu Európskej únie, ak toto právo priznáva účinok právam oprávnenej tretej strany. Zmluvné strany sa dohodli, že týmto právom je právny poriadok ___ (uveďte členský štát).]

[MOŽNOSŤ 2 (v prípade modulov č. 2 a 3): Tieto doložky sa riadia právom členského štátu EÚ, v ktorom je usadený vývozca údajov. Ak takéto právo nepriznáva účinok právam oprávnenej tretej strany, riadia sa právom iného členského štátu Európskej únie, ktoré účinok právam oprávnenej tretej strany priznáva. Zmluvné strany sa dohodli, že týmto právom je právny poriadok ___ (uveďte členský štát).]

MODUL č. 4: Prenos od sprostredkovateľa k prevádzkovateľovi

Tieto doložky sa riadia právom krajiny, ktoré priznáva účinok právam oprávnenej tretej strany. Zmluvné strany sa dohodli, že týmto právom je právny poriadok ___ (uveďte členský štát).

Doložka 18

Voľba súdu a právomoci

MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi

MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi

MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi

a)

Na rozhodovanie sporov vyplývajúcich z týchto doložiek sú príslušné súdy členského štátu EÚ.

b)

Zmluvné strany sa dohodli, že týmito súdmi sú súdy ___ (uveďte členský štát).

c)

Dotknutá osoba môže podať návrh na začatie konania proti vývozcovi údajov a/alebo dovozcovi údajov aj na súdoch členského štátu, v ktorom má obvyklý pobyt.

d)

Zmluvné strany sa dohodli, že sa podriadia právomoci týchto súdov.

MODUL č. 4: Prenos od sprostredkovateľa k prevádzkovateľovi

 

Na rozhodovanie sporov vyplývajúcich z týchto doložiek sú príslušné súdy _____ (uveďte krajinu).


(1)  Ak je vývozca údajov sprostredkovateľom, na ktorého sa vzťahuje nariadenie (EÚ) 2016/679 a ktorý koná v mene inštitúcie alebo orgánu Únie ako prevádzkovateľ, tak uplatňovaním týchto doložiek sa pri zapojení iného sprostredkovateľa (ďalšie sprostredkovanie), na ktorého sa nevzťahuje nariadenie (EÚ) 2016/679, zabezpečuje aj súlad s článkom 29 ods. 4 nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1725 z 23. októbra 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES (Ú. v. EÚ L 295, 21.11.2018, s. 39), pokiaľ sú tieto doložky a povinnosti v oblasti ochrany údajov, ktoré sú stanovené v zmluve alebo inom právnom akte uzavretom medzi prevádzkovateľom a sprostredkovateľom podľa článku 29 ods. 3 nariadenia (EÚ) 2018/1725, vo vzájomnom súlade. Platí to najmä v prípade, keď sa prevádzkovateľ a sprostredkovateľ odvolávajú na štandardné zmluvné doložky uvedené v rozhodnutí 2021/915.

(2)  Je teda nevyhnutné, aby boli údaje anonymizované tak, aby nikto nemohol jednotlivca identifikovať, ako sa to uvádza v odôvodnení 26 nariadenia (EÚ) 2016/679, pričom tento postup musí byť nezvratný.

(3)  Dohodou o Európskom hospodárskom priestore (ďalej len „Dohoda o EHP“) sa vnútorný trh Európskej únie rozširuje o tri štáty EHP – Island, Lichtenštajnsko a Nórsko. Na právne predpisy Únie v oblasti ochrany osobných údajov vrátane nariadenia (EÚ) 2016/679 sa vzťahuje Dohoda o EHP a tieto predpisy boli začlenené do prílohy XI k tejto dohode. Preto akékoľvek poskytnutie údajov zo strany dovozcu údajov tretej strane nachádzajúcej sa v EHP sa na účely týchto doložiek nepovažuje za následný prenos.

(4)  Dohodou o Európskom hospodárskom priestore (ďalej len „Dohoda o EHP“) sa vnútorný trh Európskej únie rozširuje o tri štáty EHP – Island, Lichtenštajnsko a Nórsko. Na právne predpisy Únie v oblasti ochrany osobných údajov vrátane nariadenia (EÚ) 2016/679 sa vzťahuje Dohoda o EHP a tieto predpisy boli začlenené do prílohy XI k tejto dohode. Preto akékoľvek poskytnutie údajov zo strany dovozcu údajov tretej strane nachádzajúcej sa v EHP sa na účely týchto doložiek nepovažuje za následný prenos.

(5)  Pozri článok 28 ods. 4 nariadenia (EÚ) 2016/679 a v prípade, že prevádzkovateľom je inštitúcia alebo orgán EÚ, článok 29 ods. 4 nariadenia (EÚ) 2018/1725.

(6)  Dohodou o Európskom hospodárskom priestore (ďalej len „Dohoda o EHP“) sa vnútorný trh Európskej únie rozširuje o tri štáty EHP – Island, Lichtenštajnsko a Nórsko. Na právne predpisy Únie v oblasti ochrany osobných údajov vrátane nariadenia (EÚ) 2016/679 sa vzťahuje Dohoda o EHP a tieto predpisy boli začlenené do prílohy XI k tejto dohode. Preto akékoľvek poskytnutie údajov zo strany dovozcu údajov tretej strane nachádzajúcej sa v EHP sa na účely týchto doložiek nepovažuje za následný prenos.

(7)  Vrátane toho, či prenos a ďalšie spracúvanie zahŕňajú osobné údaje odhaľujúce rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, genetické alebo biometrické údaje na účely jedinečnej identifikácie fyzickej osoby, údaje týkajúce sa zdravia alebo sexuálneho života či sexuálnej orientácie osoby, alebo údaje týkajúce sa odsúdenia za trestné činy.

(8)  Túto požiadavku môže ďalší sprostredkovateľ, ktorý pristupuje k týmto doložkám v súlade s príslušným modulom, splniť podľa doložky 7.

(9)  Túto požiadavku môže ďalší sprostredkovateľ, ktorý pristupuje k týmto doložkám v súlade s príslušným modulom, splniť podľa doložky 7.

(10)  Túto lehotu možno predĺžiť najviac o dva mesiace, a to v nevyhnutnom rozsahu a s ohľadom na zložitosť a počet žiadostí. Dovozca údajov náležite a bezodkladne informuje dotknutú osobu o každom takomto predĺžení.

(11)  Dovozca údajov môže ponúknuť nezávislé riešenie sporov na rozhodcovskom orgáne len vtedy, ak je usadený v krajine, ktorá ratifikovala Newyorský dohovor o výkone rozhodcovských rozhodnutí.

(12)  Pokiaľ ide o vplyv týchto právnych predpisov a praxe na dodržiavanie týchto doložiek, v rámci celkového posúdenia možno zohľadniť rôzne prvky. Medzi tieto prvky možno zahrnúť relevantné a zdokumentované praktické skúsenosti s predchádzajúcimi prípadmi žiadostí orgánov verejnej moci o poskytnutie údajov alebo neexistenciu takýchto žiadostí, ktoré sa vzťahujú na dostatočne reprezentatívny časový rámec. Ide najmä o interné záznamy alebo inú dokumentáciu, ktoré boli vypracúvané priebežne v súlade s náležitou starostlivosťou a certifikované na úrovni vyššieho manažmentu, ak možno tieto informácie zákonne poskytovať tretím stranám. Pokiaľ možno na základe týchto praktických skúseností dospieť k záveru, že dovozcovi údajov nič nebráni v dodržiavaní týchto doložiek, treba uviesť aj ďalšie relevantné objektívne prvky, pričom zmluvným stranám prináleží dôkladne posúdiť, či tieto prvky ako celok majú dostatočnú váhu na podporu tohto záveru, pokiaľ ide o ich spoľahlivosť a reprezentatívnosť. Zmluvné strany musia predovšetkým prihliadnuť na to, či sú ich praktické skúsenosti potvrdené, a teda nie v rozpore s verejnými alebo inak dostupnými a spoľahlivými informáciami o existencii alebo neexistencii žiadostí v rámci toho istého odvetvia a/alebo uplatňovaním právnych predpisov v praxi, ako je napríklad judikatúra a správy nezávislých orgánov dohľadu.


DODATOK

VYSVETLIVKA:

Musí byť možné jasne rozlišovať informácie uplatniteľné na jednotlivé prenosy alebo kategórie prenosov a v tomto ohľade identifikovať úlohy jednotlivých zmluvných strán v postavení vývozcov údajov a/alebo dovozcov údajov. V tomto ohľade nie je nevyhnutné, aby došlo k vyplneniu a podpisu osobitných dodatkov pre každý prevod/kategóriu prevodov a/alebo zmluvný vzťah, ak túto transparentnosť možno dosiahnuť prostredníctvom jedného dodatku. Ak je však potrebné zabezpečiť dostatočnú jasnosť, mali by sa použiť samostatné dodatky.


PRÍLOHA I

A.   ZOZNAM ZMLUVNÝCH STRÁN

MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi

MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi

MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi

MODUL č. 4: Prenos od sprostredkovateľa k prevádzkovateľovi

Vývozca údajov: [Totožnosť a kontaktné údaje vývozcu údajov a prípadne jeho zodpovednej osoby a/alebo zástupcu v Európskej únii]

1.

Meno/názov: …

Adresa: …

Meno, funkcia a kontaktné údaje kontaktnej osoby: …

Činnosti súvisiace s údajmi prenášanými podľa týchto doložiek: …

Podpis a dátum: …

Postavenie (prevádzkovateľ/sprostredkovateľ): …

2.

Dovozca údajov: [Identita a kontaktné údaje dovozcu údajov vrátane akejkoľvek kontaktnej osoby zodpovednej za ochranu údajov]

1.

Meno/názov: …

Adresa: …

Meno, funkcia a kontaktné údaje kontaktnej osoby: …

Činnosti súvisiace s údajmi prenášanými podľa týchto doložiek: …

Podpis a dátum: …

Postavenie (prevádzkovateľ/sprostredkovateľ): …

2.

B.   OPIS PRENOSU

MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi

MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi

MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi

MODUL č. 4: Prenos od sprostredkovateľa k prevádzkovateľovi

Kategórie dotknutých osôb, ktorých osobné údaje sa prenášajú

Kategórie prenášaných osobných údajov

Prenášané citlivé údaje (v relevantných prípadoch) a uplatňované obmedzenia alebo záruky, ktoré v plnej miere zohľadňujú povahu údajov a súvisiace riziká, ako napríklad prísne obmedzenie účelu, obmedzenia prístupu (vrátane prístupu len pre personál, ktorý absolvoval špecializovanú odbornú prípravu), vedenie záznamov o prístupe k údajom, obmedzenia následných prenosov alebo dodatočné bezpečnostné opatrenia.

Frekvencia prenosu (napríklad či sa údaje prenášajú jednorazovo alebo sústavne).

Povaha spracúvania

Účel prenosu a ďalšieho spracúvania údajov

Obdobie uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jeho určenie

V prípade prevodov sprostredkovateľom alebo ďalším sprostredkovateľom uveďte aj predmet, povahu a trvanie spracúvania

C.   PRÍSLUŠNÝ DOZORNÝ ORGÁN

MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi

MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi

MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi

Uveďte príslušný dozorný orgán v súlade s doložkou 13


PRÍLOHA II

TECHNICKÉ A ORGANIZAČNÉ OPATRENIA VRÁTANE TECHNICKÝCH A ORGANIZAČNÝCH OPATRENÍ NA ZAISTENIE BEZPEČNOSTI ÚDAJOV

MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi

MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi

MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi

VYSVETLIVKA:

Technické a organizačné opatrenia treba opísať konkrétne, nie všeobecne. Pozri aj všeobecnú poznámku na prvej strane dodatku, najmä pokiaľ ide o potrebu jasne uviesť, ktoré opatrenia sa vzťahujú na konkrétny prevod/súbor presunov.

Opis technických a organizačných opatrení prijatých dovozcom údajov (vrátane všetkých príslušných certifikácií) s cieľom zabezpečiť primeranú úroveň bezpečnosti, pričom sa zohľadní povaha, rozsah, kontext a účel spracúvania, ako aj riziká pre práva a slobody fyzických osôb.

[Príklady možných opatrení:

Opatrenia v oblasti pseudonymizácie a šifrovania osobných údajov

Opatrenia na zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov a služieb spracúvania

Opatrenia na zabezpečenie schopnosti včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu

Procesy pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania

Opatrenia na identifikáciu a povoľovanie používateľov

Opatrenia na ochranu údajov počas prenosu

Opatrenia na ochranu údajov počas uchovávania

Opatrenia na zabezpečenie fyzickej bezpečnosti miest, na ktorých sa spracúvajú osobné údaje

Opatrenia na zabezpečenie zaznamenávania udalostí

Opatrenia na zabezpečenie konfigurácie systému vrátane predvolenej konfigurácie

Opatrenia na vnútornú správu a riadenie IT a bezpečnosti IT

Opatrenia na certifikáciu/zabezpečenie procesov a produktov

Opatrenia na zabezpečenie minimalizácie údajov

Opatrenia na zabezpečenie kvality údajov

Opatrenia na zabezpečenie obmedzeného uchovávania údajov

Opatrenia na zabezpečenie zodpovednosti

Opatrenia na umožnenie prenosnosti údajov a zabezpečenie výmazu]

V prípade prenosov sprostredkovateľom alebo ďalším sprostredkovateľom opíšte aj osobitné technické a organizačné opatrenia, ktoré má prijať sprostredkovateľ alebo ďalší sprostredkovateľ, aby mohol poskytnúť pomoc prevádzkovateľovi, a v prípade prenosov od sprostredkovateľa k ďalšiemu sprostredkovateľovi vývozcovi údajov


PRÍLOHA III

ZOZNAM ĎALŠÍCH SPROSTREDKOVATEĽOV

MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi

MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi

VYSVETLIVKA:

Túto prílohu je potrebné vyplniť v prípade modulov č. 2 a 3, pokiaľ ide o osobitné povolenie pre ďalších sprostredkovateľov [doložka 9 písm. a) možnosť 1].

Prevádzkovateľ povolil využitie týchto ďalších sprostredkovateľov:

1.

Meno/názov: …

Adresa: …

Meno, funkcia a kontaktné údaje kontaktnej osoby: …

Opis spracúvania (vrátane jasného vymedzenia zodpovedností v prípade povolenia niekoľkých ďalších sprostredkovateľov): …

2.


Začiatok