РЕШЕНИЕ ЗА ИЗПЪЛНЕНИЕ (ЕС) 2021/915 НА КОМИСИЯТА

от 4 юни 2021 година

относно стандартни договорни клаузи между администратори и обработващи лични данни съгласно член 28, параграф 7 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета и член 29, параграф 7 от Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета

(текст от значение за ЕИП)

ЕВРОПЕЙСКАТА КОМИСИЯ,

като взе предвид Договора за функционирането на Европейския съюз,

като взе предвид Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (1), и по-специално член 28, параграф 7 от него,

като взе предвид Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО („Регламент за защита на данните от институциите на ЕС“) (2), и по-специално член 29, параграф 7 от него,

като има предвид, че:

(1)

Понятията „администратор“ и „обработващ лични данни“ играят ключова роля при прилагането на Регламент (ЕС) 2016/679 и на Регламент (ЕС) 2018/1725. „Администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни. За целите на Регламент (ЕС) 2018/1725 „администратор“ означава институцията или органа на Съюза, или генералната дирекция, или всяка друга организационна структура, която самостоятелно или съвместно с други определя целите и средствата за обработването на лични данни. Когато целите и средствата за обработването са определени със специален акт на Съюза, администраторът или специалните критерии за неговото определяне могат да бъдат установени от Съюза. „Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора.

(2)

Спрямо отношенията между администраторите и обработващите лични данни следва да се прилага един и същ набор от стандартни договорни клаузи, независимо дали към тях е приложим Регламент (ЕС) 2016/679, или Регламент (ЕС) 2018/1725. Причината за това е, че за да се постигне съгласуван подход към защитата на личните данни в целия Съюз и към свободното движение на лични данни в Съюза, правилата за защита на данните в Регламент (ЕС) 2016/679, приложими за публичния сектор в държавите членки, и правилата за защита на данните в Регламент (ЕС) 2018/1725, приложими за институциите, органите, службите и агенциите на Съюза, бяха съгласувани помежду си, доколкото е възможно.

(3)

За да се гарантира спазването на изискванията на регламенти (ЕС) 2016/679 и (ЕС) 2018/1725, когато на обработващия лични данни се възлагат дейности по обработване, администраторът следва да използва само такива обработващи лични данни, които осигуряват достатъчни гаранции, по-специално по отношение на експертни знания, надеждност и ресурси, че предприемат технически и организационни мерки, които отговарят на изискванията на Регламент (ЕС) 2016/679 и Регламент (ЕС) 2018/1725, включително на изискванията за сигурността на обработването.

(4)

Извършването на обработването от обработващ лични данни следва да се урежда с договор или друг правен акт съгласно правото на Съюза или правото на държава членка, който обвързва обработващия лични данни с администратора и в който се определят елементите, изброени в член 28, параграфи 3 и 4 от Регламент (ЕС) 2016/679 или член 29, параграфи 3 и 4 от Регламент (ЕС) 2018/1725. Този договор или правен акт се изготвя в писмена форма, включително в електронна форма.

(5)

В съответствие с член 28, параграф 6 от Регламент (ЕС) 2016/679 и член 29, параграф 6 от Регламент (ЕС) 2018/1725 администраторът и обработващият лични данни могат да изберат да използват индивидуален договор, съдържащ задължителните елементи, предвидени съответно в член 28, параграфи 3 и 4 от Регламент (ЕС) 2016/679 или член 29, параграфи 3 и 4 от Регламент (ЕС) 2018/1725, или да използват изцяло или частично стандартни договорни клаузи, приети от Комисията съгласно член 28, параграф 7 от Регламент (ЕС) 2016/679 и член 29, параграф 7 от Регламент (ЕС) 2018/1725.

(6)

Администраторът и обработващият лични данни следва да могат да включат стандартните договорни клаузи, предвидени в настоящото решение, в по-широк договор и да добавят други клаузи или допълнителни гаранции, при условие че те не противоречат пряко или косвено на стандартните договорни клаузи или не засягат основните права или свободи на субектите на данни. Използването на стандартните договорни клаузи е независимо от договорните задължения на администратора и/или обработващия лични данни да гарантират зачитането на приложимите привилегии и имунитети.

(7)

Стандартните договорни клаузи следва да обхващат както материалноправните, така и процесуалните правила. В съответствие с член 28, параграф 3 от Регламент (ЕС) 2016/679 и член 29, параграф 3 от Регламент (ЕС) 2018/1725 в стандартните договорни клаузи от администратора и обработващия лични данни следва да се изисква да определят предмета и срока на обработването, неговото естество и цел, вида на съответните лични данни, категориите субекти на данни и задълженията и правата на администратора.

(8)

Съгласно член 28, параграф 3 от Регламент (ЕС) 2016/679 и член 29, параграф 3 от Регламент (ЕС) 2018/1725 обработващият лични данни трябва незабавно да уведоми администратора, ако по негово мнение дадено указание на администратора нарушава Регламент (ЕС) 2016/679 или Регламент (ЕС) 2018/1725 или други разпоредби на Съюза или на държава членка в областта на защитата на данните.

(9)

Когато обработващ лични данни ангажира друг обработващ лични данни за извършването на специфични дейности, следва да се прилагат специфичните изисквания, посочени в член 28, параграфи 2 и 4 от Регламент (ЕС) 2016/679 или член 29, параграфи 2 и 4 от Регламент (ЕС) 2018/1725. По-специално се изисква предварително специфично или общо писмено разрешение. Независимо дали това предварително разрешение е специфично или общо, първият обработващ лични данни следва да поддържа актуален списък на другите обработващи лични данни.

(10)

За да изпълни изискванията на член 46, параграф 1 от Регламент (ЕС) 2016/679, Комисията прие стандартни договорни клаузи съгласно член 46, параграф 2, буква в) от Регламент (ЕС) 2016/679. Тези клаузи отговарят също така на изискванията на член 28, параграфи 3 и 4 от Регламент (ЕС) 2016/679 по отношение на предаванията на данни от администратори, попадащи в обхвата на Регламент (ЕС) 2016/679, на обработващи лични данни извън териториалния обхват на прилагане на този регламент, или от обработващи лични данни, попадащи в обхвата на Регламент (ЕС) 2016/679, на обработващи лични данни подизпълнители извън териториалния обхват на този регламент. Тези стандартни договорни клаузи не могат да се използват като стандартни договорни клаузи за целите на глава V от Регламент (ЕС) 2016/679.

(11)	Трети страни следва да могат да станат страна по стандартните договорни клаузи през целия срок на договора.

(12)	Действието на стандартните договорни клаузи следва да бъде оценено като част от периодичната оценка на Регламент (ЕС) 2016/679, предвидена в член 97 от този регламент.

(13)

В съответствие с член 42, параграфи 1 и 2 от Регламент (ЕС) 2018/1725 бяха проведени консултации с Европейския надзорен орган по защита на данните и Европейския комитет по защита на данните. На 14 януари 2021 г. (3) те представиха съвместно становище, което беше взето предвид при изготвянето на настоящото решение.

(14)	Мерките, предвидени в настоящото решение, са в съответствие със становището на комитета, създаден по силата на член 93 от Регламент (ЕС) 2016/679 и член 96, параграф 2 от Регламент (ЕС) 2018/1725.

ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:

Член 1

Стандартните договорни клаузи, заложени в приложението, отговарят на изискванията към договорите между администратори и обработващи лични данни съгласно член 28, параграфи 3 и 4 от Регламент (ЕС) 2016/679 и член 29, параграфи 3 и 4 от Регламент (ЕС) 2018/1725.

Член 2

Стандартните договорни клаузи, заложени в приложението, може да се използват в договори между администратор и обработващ лични данни, който обработва лични данни от името на администратора.

Член 3

Комисията оценява практическото прилагане на стандартните договорни клаузи, заложени в приложението, въз основа на цялата налична информация като част от периодичната оценка, предвидена в член 97 от Регламент (ЕС) 2016/679.

Член 4

Настоящото решение влиза в сила на двадесетия ден след деня на публикуването му в Официален вестник на Европейския съюз.

Съставено в Брюксел на 4 юни 2021 година.

За Комисията

Председател

Ursula VON DER LEYEN

(1) OB L 119, 4.5.2016 г., стр. 1.

(2) OB L 295, 21.11.2018 г., стр. 39.

(3) Съвместно становище 1/2021 на ЕКЗД и ЕНОЗД във връзка с Решението за изпълнение на Европейската комисия относно стандартни договорни клаузи между администратори и обработващи лични данни по въпросите, посочени в член 28, параграф 7 от Регламент (ЕС) 2016/679 и член 29, параграф 7 от Регламент (ЕС) 2018/1725.

ПРИЛОЖЕНИЕ

СТАНДАРТНИ ДОГОВОРНИ КЛАУЗИ

РАЗДЕЛ I

Клауза 1

Цел и обхват

а)

Целта на настоящите стандартни договорни клаузи (клаузите) е да се осигури съответствие с [изберете съответния вариант: ВАРИАНТ 1: член 28, параграфи 3 и 4 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива даннии и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните)]/[ВАРИАНТ 2: член 29, параграфи 3 и 4 от Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002 / EО].

б)	Администраторите и обработващите лични данни, изброени в приложение I, се споразумяха за настоящите клаузи, за да се гарантира спазването на член 28, параграфи 3 и 4 от Регламент (ЕС) 2016/679 и/или член 29, параграфи 3 и 4 от Регламент (ЕС) 2018/1725.

в)	Настоящите клаузи се прилагат по отношение на обработването на лични данни, посочено в приложение II.

г)	Приложения I—IV са неразделна част от клаузите.

д)	Настоящите клаузи не засягат задълженията на администратора по силата на Регламент (ЕС) 2016/679 и/или Регламент (ЕС) 2018/1725.

е)	Тези клаузи сами по себе си не гарантират спазването на задълженията, свързани с международното предаване на данни в съответствие с глава V от Регламент (ЕС) 2016/679 и/или Регламент (ЕС) 2018/1725.

Клауза 2

Неизменност на клаузите

а)	Страните се задължават да не изменят клаузите, с изключение на добавянето на информация към приложенията или актуализирането на информацията в тях.

б)

Това не пречи на страните да включат стандартните договорни клаузи, определени в настоящите клаузи, в по-широк договор или да добавят други клаузи или допълнителни гаранции, при условие че те не противоречат, пряко или непряко, на настоящите клаузи или не засягат основни права или свободи на субектите на данни.

Клауза 3

Тълкуване

а)	Когато в настоящите клаузи се използват термини, определени съответно в Регламент (ЕС) 2016/679 или Регламент (ЕС) 2018/1725, тези термини имат същото значение като в този регламент.

б)	Настоящите клаузи се четат и тълкуват в светлината на разпоредбите съответно на Регламент (ЕС) 2016/679 или Регламент (ЕС) 2018/1725.

в)	Настоящите клаузи не трябва да се тълкуват по начин, който противоречи на правата и задълженията, предвидени в Регламент (ЕС) 2016/679 и Регламент (ЕС) 2018/1725, или по начин, който засяга основните права или свободи на субектите на данни.

Клауза 4

Йерархия

В случай на противоречие между настоящите клаузи и разпоредбите на свързаните с тях споразумения между страните, съществуващи към момента на договаряне на настоящите клаузи или сключени след това, предимство имат настоящите клаузи.

Клауза 5 — незадължителна

Клауза за присъединяване

а)	Структура, която не е страна по настоящите клаузи, може със съгласието на всички страни да се присъедини към настоящите клаузи по всяко време като администратор или като обработващ лични данни, като попълни приложенията и подпише приложение I.

б)	След като попълни и подпише приложенията съгласно точка а), присъединяващата се структура се счита за страна по настоящите клаузи и има правата и задълженията на администратор или обработващ лични данни в съответствие с посоченото в приложение I.

в)	Настоящите клаузи не пораждат права или задължения за присъединяващата се структура за периода, преди тя да стане страна.

РАЗДЕЛ II

ЗАДЪЛЖЕНИЯ НА СТРАНИТЕ

Клауза 6

Описание на обработването

Подробностите за операциите по обработване, и по-специално категориите лични данни и целите, за които личните данни се обработват от името на администратора, са посочени в приложение II.

Клауза 7

Задължения на страните

7.1. Указания

а)

Обработващият лични данни обработва личните данни само по документирано нареждане на администратора, освен когато е длъжен да направи това съгласно правото на Съюза или правото на държава членка, което се прилага спрямо обработващия лични данни. В този случай обработващият лични данни информира администратора за това правно изискване преди обработването, освен когато това право забранява такова информиране на важни основания от публичен интерес. Администраторът може да дава по-нататъшни указания през целия период на обработване на личните данни. Тези указания винаги се документират.

б)	Обработващият лични данни незабавно информира администратора, ако прецени, че дадените от администратора указания нарушават Регламент (ЕС) 2016/679, Регламент (ЕС) 2018/1725 или приложимите разпоредби на правото на Съюза или на държава членка в областта на защитата на данните.

7.2. Ограничение в рамките на целта

Обработващият лични данни обработва личните данни само за конкретната(ите) цел(и) на обработването, както е посочено в приложение II, освен когато администраторът е дал допълнителни указания.

7.3. Срок на обработването на лични данни

Обработване от обработващия лични данни се извършва единствено в срока, посочен в приложение II.

7.4. Сигурност на обработването

а)

За да гарантира сигурността на личните данни, обработващият лични данни прилага най-малко техническите и организационните мерки, посочени в приложение III. Това включва защита на данните срещу нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване на данните или достъп до тях (нарушение на сигурността на личните данни). При оценката на подходящото ниво на сигурност страните вземат предвид достиженията на техническия прогрес, разходите за прилагане, естеството, обхвата, контекста и целта на обработването и свързаните с обработването рискове за субектите на данни.

б)

Обработващият лични данни предоставя на членовете на своя персонал достъп до обработваните лични данни само до степента, която е строго необходима за изпълнението, управлението и наблюдението на договора. Обработващият лични данни гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са длъжни по закон да спазват поверителност.

7.5. Чувствителни данни

Когато обработването е свързано с лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, генетични данни или биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице, или данни, свързани с присъди и нарушения („чувствителни данни“), обработващият лични данни прилага специфични ограничения и/или допълнителни гаранции.

7.6. Документиране и съответствие

а)	Страните трябва да могат да докажат, че спазват задълженията си по настоящите клаузи.

б)	Обработващият лични данни обработва своевременно и по подходящия начин всички запитвания от страна на администратора, свързани с обработването на данни в съответствие с настоящите клаузи.

в)

Обработващият лични данни предоставя на администратора цялата информация, необходима за доказване на спазването на задълженията, посочени в настоящите клаузи и произтичащи пряко от Регламент (ЕС) 2016/679 и/или Регламент (ЕС) 2018/1725. По искане на администратора обработващият лични данни позволява и допринася за извършването на одити на обхванатите от настоящите клаузи дейности по обработване на разумни интервали или ако има основание да се смята, че е налице неспазване. Когато взема решение за извършване на проверка или одит, администраторът може да вземе предвид съответните сертификати, притежавани от обработващия лични данни.

г)	Администраторът може да избере да извърши одита сам или да упълномощи независим одитор. Одитите могат да включват проверки в помещенията или физическите съоръжения на обработващия лични данни и, когато е целесъобразно, се извършват с разумно предизвестие.

д)	При поискване страните предоставят информацията, посочена в настоящата клауза, включително резултатите от одити, на компетентния(ите) надзорен(ни) орган(и).

7.7. Използване на обработващи лични данни подизпълнители

а)

ВАРИАНТ 1: ПРЕДВАРИТЕЛНО СПЕЦИФИЧНО РАЗРЕШЕНИЕ: Обработващият лични данни няма да предава за подизпълнение на обработващ лични данни дейностите си по обработване, извършвани от името на администратора съгласно настоящите клаузи, без специфичното предварително писмено разрешение на администратора. Обработващият лични данни подава искането за специфично разрешение най-малко [ПОСОЧЕТЕ ПЕРИОД ОТ ВРЕМЕ], преди да включи обработващия лични данни подизпълнител, заедно с информацията, необходима, за да може администраторът да вземе решение във връзка разрешението. Списъкът на обработващите лични данни подизпълнители, по отношение на които администраторът на лични данни вече е дал разрешение, може да се намери в приложение IV. Страните редовно актуализират приложение IV.

ВАРИАНТ 2: ОБЩО ПИСМЕНО РАЗРЕШЕНИЕ: Обработващият лични данни има общото разрешение на администратора да включва обработващи лични данни подизпълнители от съгласуван списък. Обработващият лични данни изрично уведомява писмено администратора за всички планирани промени в този списък чрез добавяне или замяна на обработващи лични данни подизпълнители най-малко [ПОСОЧЕТЕ ПЕРИОД ОТ ВРЕМЕ] предварително, като по този начин дава на администратора на лични данни достатъчно време, за да може да възрази срещу такива промени преди включването на обработващия(ите) лични данни подизпълнител(и). Обработващият лични данни предоставя на администратора необходимата информация, за да може администраторът на лични данни да упражни правото си на възражение.

б)

Когато обработващият лични данни включва обработващ лични данни подизпълнител, който да извършва специфични дейности по обработване (от името на администратора), той прави това чрез договор, с който на обработващия лични данни подизпълнител се налагат по същество същите задължения за защита на данните, както задълженията, предвидени в настоящите клаузи по отношение на обработващия лични данни. Обработващият лични данни осигурява спазването от обработващия лични данни подизпълнител на задълженията на обработващия лични данни съгласно настоящите клаузи и Регламент (ЕС) 2016/679 и/или Регламент (ЕС) 2018/1725.

в)

Обработващият лични данни предоставя на администратора по негово искане копие от това споразумение с обработващия лични данни подизпълнител и всички негови последващи изменения. До степента, необходима за защита на търговска тайна или друга поверителна информация, включително лични данни, обработващият лични данни може да редактира текста на споразумението, преди да сподели негово копие.

г)

Обработващият лични данни носи пълната отговорност пред администратора за изпълнението на задълженията на обработващия лични данни подизпълнител по неговия договор с обработващия лични данни. Обработващият лични данни уведомява администратора за всяко неизпълнение от страна на обработващия лични данни подизпълнител на договорните му задължения.

д)

Обработващият лични данни договаря с обработващия лични данни подизпълнител клауза за трети страни бенефициери, по силата на която, в случай че обработващият лични данни е изчезнал фактически или е престанал да съществува юридически, или е изпаднал в несъстоятелност, администраторът има право да прекрати договора с обработващия лични данни подизпълнител и да му даде указания да изтрие или върне личните данни.

7.8. Международно предаване на данни

а)

Всяко предаване на данни на трета държава или международна организация от обработващия лични данни се извършва единствено въз основа на документирани указания от администратора или с цел изпълнение на конкретно изискване съгласно правото на Съюза или правото на държава членка, което се прилага спрямо обработващия лични данни, и се извършва в съответствие с глава V от Регламент (ЕС) 2016/679 или Регламент (ЕС) 2018/1725.

б)

Администраторът приема, че когато обработващият лични данни включва обработващ лични данни подизпълнител в съответствие с клауза 7.7 за извършване на конкретни дейности по обработване (от името на администратора) и тези дейности по обработване включват предаване на лични данни по смисъла на глава V от Регламент (ЕС) 2016/679, обработващият лични данни и обработващият лични данни подизпълнител могат да гарантират спазването на глава V от Регламент (ЕС) 2016/679, като използват стандартни договорни клаузи, приети от Комисията въз основа на член 46, параграф 2 от Регламент (ЕС) 2016/679, при условие че условията за използване на тези стандартни договорни клаузи са изпълнени.

Клауза 8

Оказване на съдействие на администратора

а)	Обработващият лични данни своевременно уведомява администратора за всяко искане, което е получил от субект на данни. Той не отговаря сам на това искане, освен ако не бъде оправомощен от администратора.

б)

Обработващият лични данни подпомага администратора при изпълнението на неговите задължения да отговаря на исканията на субектите на данни във връзка с упражняването на правата им, като взема предвид естеството на обработването. При изпълнението на задълженията си в съответствие с букви а) и б) обработващият лични данни спазва указанията на администратора.

в)

В допълнение към задължението на обработващия лични данни да подпомага администратора съгласно клауза 8, буква б), обработващият лични данни подпомага администратора и за спазването на следните задължения, като взема предвид естеството на обработването и информацията, с която разполага обработващият лични данни:

(1)	задължението за извършване на оценка на въздействието на предвидените дейности по обработване върху защитата на личните данни („оценка на въздействието върху защитата на данните“), когато има вероятност даден вид обработване да доведе до висок риск за правата и свободите на физическите лица;

(2)	администраторът се консултира с компетентния(ите) надзорен(ни) орган(и) преди обработването, когато оценката на въздействието върху защитата на данните покаже, че обработването ще породи висок риск, ако администраторът не предприеме мерки за ограничаване на риска;

(3)	задължението да се гарантира, че личните данни са точни и актуални, като обработващият лични данни информира незабавно администратора, когато узнае, че личните данни, които обработва, са неточни или са остарели;

(4)	задълженията по [ВАРИАНТ 1] член 32 от Регламент (ЕС) 2016/679/[ВАРИАНТ 2] членове 33, 36—38 от Регламент (ЕС) 2018/1725.

г)	Страните определят в приложение III подходящите технически и организационни мерки, посредством които обработващият лични данни е длъжен да подпомага администратора при изпълнението на настоящата клауза, както и обхвата и степента на дължимата помощ.

Клауза 9

Уведомяване за нарушение на сигурността на личните данни

В случай на нарушение на сигурността на личните данни обработващият лични данни си сътрудничи с администратора и го подпомага при изпълнението на задълженията му по членове 33 и 34 от Регламент (ЕС) 2016/679 или членове 34 и 35 от Регламент (ЕС) 2018/1725, когато е приложимо, като взема предвид естеството на обработването и информацията, с която разполага обработващият лични данни.

9.1 Нарушение на сигурността на личните данни във връзка с лични данни, обработвани от администратора

В случай на нарушение на сигурността на личните данни във връзка с лични данни, обработвани от администратора, обработващият лични данни подпомага администратора:

а)

за уведомяване на компетентния(ите) надзорен(ни) орган(и) за нарушението на сигурността на личните данни без ненужно забавяне, след като администраторът узнае за него, когато е приложимо/(освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица);

б)

за получаване на следната информация, която съгласно [ВАРИАНТ 1] член 33, параграф 3 от Регламент (ЕС) 2016/679/[ВАРИАНТ 2] член 34, параграф 3 от Регламент (ЕС) 2018/1725 се посочва в уведомлението от администратора, и включва най-малко:

(1)	естеството на личните данни, включително, когато това е възможно, категориите и приблизителният брой на засегнатите субекти на данни и категориите и приблизителният брой на засегнатите записи на лични данни;

(2)	евентуалните последици от нарушението на сигурността на личните данни;

(3)	предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.

Когато и доколкото не е възможно цялата информация да се подаде едновременно, първоначалното уведомление съдържа информацията, която е налична към момента, а допълнителната информация се предоставя впоследствие, когато стане налична, без ненужно забавяне;

в)

за изпълнение, в съответствие с [ВАРИАНТ 1] член 34 от Регламент (ЕС) 2016/679,/[ВАРИАНТ 2] член 35 от Регламент (ЕС) 2018/1725, на задължението за уведомяване на субекта на данни за нарушението на сигурността на личните данни без ненужно забавяне, когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица.

9.2 Нарушение на сигурността на личните данни във връзка с лични данни, обработвани от обработващия лични данни

В случай на нарушение на сигурността на данните във връзка с лични данни, обработвани от обработващия лични данни, обработващият лични данни уведомява администратора без ненужно забавяне, след като узнае за нарушението. Уведомлението съдържа най-малко:

а)	описание на естеството на нарушението (включително, когато е възможно, категориите и приблизителният брой на засегнатите субекти на данни и на засегнатите записи на лични данни);

б)	координатите на точката за контакт, от която може да бъде получена повече информация относно нарушението на сигурността на личните данни;

в)	евентуалните последици и предприетите или предложените мерки за справяне с нарушението, включително за намаляване на евентуалните неблагоприятни последици от него.

Страните посочват в приложение III всички други елементи, които обработващият лични данни трябва да предостави, когато подпомага администратора при спазването на задълженията му по [ВАРИАНТ 1] членове 33 и 34 от Регламент (ЕС) 2016/679/[ВАРИАНТ 2] членове 34 и 35 от Регламент (ЕС) 2018/1725.

РАЗДЕЛ III

ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

Клауза 10

Неспазване на клаузите и прекратяване

а)

Без да се засягат разпоредбите на Регламент (ЕС) 2016/679 и/или Регламент (ЕС) 2018/1725, в случай че обработващият лични данни наруши задълженията си по настоящите клаузи, администраторът може да даде указания на обработващия лични данни да спре обработването на лични данни, докато последният не изпълни тези клаузи или докато договорът не бъде прекратен. Обработващият лични данни своевременно уведомява администратора, ако не е в състояние да спазва настоящите клаузи, независимо от причината.

б)

Администраторът има право да прекрати договора, доколкото той се отнася до обработването на лични данни съгласно настоящите клаузи, когато:

(1)	администраторът е спрял обработването на лични данни от страна на обработващия лични данни съгласно буква а) и спазването на настоящите клаузи не е възстановено в разумен срок, и във всеки случай в срок от един месец от спирането;

(2)	обработващият лични данни съществено или системно нарушава настоящите клаузи или задълженията си съгласно Регламент (ЕС) 2016/679 и/или Регламент (ЕС) 2018/1725;

(3)	обработващият лични данни не се съобрази със задължително решение на компетентен съд или компетентен(и) надзорен(ни) орган(и) по отношение на задълженията си по настоящите клаузи или по Регламент (ЕС) 2016/679 и/или Регламент (ЕС) 2018/1725.

в)

Обработващият лични данни има право да прекрати договора, доколкото той се отнася до обработването на лични данни съгласно настоящите клаузи, ако, след като е информирал администратора, че неговите указания нарушават приложимите правни изисквания в съответствие с клауза 7.1, буква б), администраторът настоява за спазване на указанията.

г)

След прекратяването на договора обработващият лични данни, по избор на администратора, заличава всички лични данни, обработвани от името на администратора, и удостоверява на администратора, че е направил това, или връща всички лични данни на администратора и заличава съществуващите копия, освен ако правото на Съюза или правото на държава членка не изисква съхранение на личните данни. Докато данните не бъдат заличени или върнати, обработващият лични данни продължава да осигурява спазването на настоящите клаузи.