ISSN 1977-0618
Официален вестник
на Европейския съюз
L 199
Издание на български език
Законодателство
Година 64
7 юни 2021 г.
|
ISSN 1977-0618 |
||
|
Официален вестник на Европейския съюз |
L 199 |
|
|
|
||
|
Издание на български език |
Законодателство |
Година 64 |
|
|
|
|
|
(1) Текст от значение за ЕИП. |
|
BG |
Актовете, чиито заглавия се отпечатват с нормален шрифт, са актове по текущо управление на селскостопанската политика и имат кратък срок на действие. Заглавията на всички останали актове се отпечатват с удебелен шрифт и се предшестват от звезда. |
II Незаконодателни актове
РЕГЛАМЕНТИ
|
7.6.2021 |
BG |
Официален вестник на Европейския съюз |
L 199/1 |
РЕГЛАМЕНТ ЗА ИЗПЪЛНЕНИЕ (ЕС) 2021/909 НА КОМИСИЯТА
от 31 май 2021 година
относно класирането на някои стоки в Комбинираната номенклатура
ЕВРОПЕЙСКАТА КОМИСИЯ,
като взе предвид Договора за функционирането на Европейския съюз,
като взе предвид Регламент (ЕС) № 952/2013 на Европейския парламент и на Съвета от 9 октомври 2013 г. за създаване на Митнически кодекс на Съюза (1), и по-специално член 57, параграф 4 и член 58, параграф 2 от него,
като има предвид, че:
|
(1) |
С цел да се осигури еднакво прилагане на Комбинираната номенклатура, приложена към Регламент (ЕИО) № 2658/87 (2) на Съвета, е необходимо да се приемат мерки относно класирането на стоките, посочени в приложението към настоящия регламент. |
|
(2) |
Регламент (ЕИО) № 2658/87 определя общите правила за тълкуване на Комбинираната номенклатура. Тези правила се прилагат също така и за всяка друга номенклатура, която изцяло или частично се основава на нея, с която се добавят допълнителни подраздели към нея и която е създадена със специални разпоредби на Съюза с оглед на прилагането на тарифни и други мерки, свързани с търговията със стоки. |
|
(3) |
Съгласно тези общи правила стоките, описани в колона 1 от таблицата в приложението, следва да бъдат класирани в кодовете по КН, посочени в колона 2, на основание на посоченото в колона 3 от същата таблица. |
|
(4) |
Целесъобразно е да се предвиди обвързващата тарифна информация, която е издадена по отношение на обхванатите от настоящия регламент стоки и която не е в съответствие с него, да може да продължи да се ползва от титуляря за известен срок по силата на член 34, параграф 9 от Регламент (ЕС) № 952/2013. Този срок следва да бъде три месеца. |
|
(5) |
Мерките, предвидени в настоящия регламент, са в съответствие със становището на Комитета по Митническия кодекс, |
ПРИЕ НАСТОЯЩИЯ РЕГЛАМЕНТ:
Член 1
Стоките, описани в колона 1 от таблицата, поместена в приложението, се класират в Комбинираната номенклатура в кода по КН, посочен в колона 2 от същата таблица.
Член 2
Обвързващата тарифна информация, която не е в съответствие с настоящия регламент, може да продължи да се ползва по силата на член 34, параграф 9 от Регламент (ЕС) № 952/2013 за срок от три месеца от датата на влизане в сила на настоящия регламент.
Член 3
Настоящият регламент влиза в сила на двадесетия ден след деня на публикуването му в Официален вестник на Европейския съюз.
Настоящият регламент е задължителен в своята цялост и се прилага пряко във всички държави членки.
Съставено в Брюксел на 31 май 2021 година.
За Комисията,
от името на председателя,
Gerassimos THOMAS
Генерален директор
Генерална дирекция „Данъчно облагане и митнически съюз“
(1) ОВ L 269, 10.10.2013 г., стр. 1.
(2) Регламент (ЕИО) № 2658/87 на Съвета от 23 юли 1987 г. относно тарифната и статистическа номенклатура и Общата митническа тарифа (ОВ L 256, 7.9.1987 г., стр. 1).
ПРИЛОЖЕНИЕ
|
Описание на стоките |
Класиране (код по КН) |
Основания |
|
(1) |
(2) |
(3) |
|
Гъвкаво изделие (така наречен макарон за басейни) изработено от порести пластмаси (полимерен пеноматериал), във формата на куха тръба с дължина приблизително 1 m и диаметър приблизително 8 cm. Във вода изделието плава и се представя за използване като помощно средство за плуване в съответствие с европейския стандарт за помощни средства за обучение по плуване (EN 13138-2:2014). Изделието е също така ударопоглъщащо и топлинно изолиращо. Вж. изображенията (*1). |
3926 90 97 |
Класирането се определя от общите правила 1 и 6 за тълкуване на Комбинираната номенклатура и от описанието на кодовете по КН 3926 , 3926 90 и 3926 90 97 . Класиране в позиция 9506 като артикул или съоръжение за физическа култура, гимнастика, атлетика, други видове спорт или игри на открито се изключва, тъй като поради простата си обща форма изделието не може да бъде идентифицирано като артикул, предназначен за физическа култура или спорт от позиция 9506 , въпреки че поради способността си да плава то отговаря на стандарта за помощни средства за обучение по плуване. Освен това поради простата си форма и обикновения си материал изделието би могло да се използва за различни цели (например като ударопоглъщащ защитен продукт, служещ за обвивка на пръти, като продукт за топлоизолация, служещ за обвивка на тръбопроводи, като продукт за забавление на деца). Също така се изключва класиране в позиция 9503 като „други играчки“, тъй като изделието не може да бъде ясно идентифицирано като изделие за забавление на деца или възрастни, предвид неговата направа. Поради това изделието следва да се класира според материала, от който се състои (пластмаса). Следователно изделието следва да бъде класирано в код по КН 3926 90 97 като „други изделия от пластмаси“. |
(*1) Изображенията са само за информация.
|
7.6.2021 |
BG |
Официален вестник на Европейския съюз |
L 199/4 |
РЕГЛАМЕНТ ЗА ИЗПЪЛНЕНИЕ (ЕС) 2021/910 НА КОМИСИЯТА
от 31 май 2021 година
относно класирането на някои стоки в Комбинираната номенклатура
ЕВРОПЕЙСКАТА КОМИСИЯ,
като взе предвид Договора за функционирането на Европейския съюз,
като взе предвид Регламент (ЕС) № 952/2013 на Европейския парламент и на Съвета от 9 октомври 2013 г. за създаване на Митнически кодекс на Съюза (1), и по-специално член 57, параграф 4 и член 58, параграф 2 от него,
като има предвид, че:
|
(1) |
С цел да се осигури еднакво прилагане на Комбинираната номенклатура, приложена към Регламент (ЕИО) № 2658/87 на Съвета (2), е необходимо да се приемат мерки относно класирането на стоките, посочени в приложението към настоящия регламент. |
|
(2) |
С Регламент (ЕИО) № 2658/87 се определят общите правила за тълкуване на Комбинираната номенклатура. Тези правила се прилагат също така и за всяка друга номенклатура, която изцяло или частично се основава на нея, с която се добавят допълнителни подраздели към нея и която е създадена със специални разпоредби на Съюза с оглед на прилагането на тарифни и други мерки, свързани с търговията със стоки. |
|
(3) |
В съответствие с тези общи правила стоките, описани в колона 1 от таблицата в приложението, следва да бъдат класирани в кода по КН, посочен в колона 2, на основание на посоченото в колона 3 от същата таблица. |
|
(4) |
Целесъобразно е да се предвиди обвързващата тарифна информация, която е издадена по отношение на обхванатите от настоящия регламент стоки и която не е в съответствие с него, да може да продължи да се ползва от титуляря за известен срок по силата на член 34, параграф 9 от Регламент (ЕС) № 952/2013. Този срок следва да бъде три месеца. |
|
(5) |
Мерките, предвидени в настоящия регламент, са в съответствие със становището на Комитета по Митническия кодекс, |
ПРИЕ НАСТОЯЩИЯ РЕГЛАМЕНТ:
Член 1
Стоките, описани в колона 1 от таблицата в приложението, се класират в Комбинираната номенклатура в кода по КН, посочен в колона 2 от същата таблица.
Член 2
Обвързващата тарифна информация, която не е в съответствие с настоящия регламент, може да продължи да се ползва по силата на член 34, параграф 9 от Регламент (ЕС) № 952/2013 за срок от три месеца от датата на влизане в сила на настоящия регламент.
Член 3
Настоящият регламент влиза в сила на двадесетия ден след деня на публикуването му в Официален вестник на Европейския съюз.
Настоящият регламент е задължителен в своята цялост и се прилага пряко във всички държави членки.
Съставено в Брюксел на 31 май 2021 година.
За Комисията,
от името на председателя,
Gerassimos THOMAS
Генерален директор
Генерална дирекция „Данъчно облагане и митнически Съюз“
(1) ОВ L 269, 10.10.2013 г., стр. 1.
(2) Регламент (ЕИО) № 2658/87 на Съвета от 23 юли 1987 г. относно тарифната и статистическа номенклатура и Общата митническа тарифа (ОВ L 256, 7.9.1987 г., стр. 1).
ПРИЛОЖЕНИЕ
|
Описание на стоките |
Класиране (код по КН) |
Основания |
|
(1) |
(2) |
(3) |
|
Металокерамични пръчки с равномерно кръгло напречно сечение. Изделията с различна дължина и диаметър могат да бъдат твърди или да са пробити и да имат охлаждащи канали, като са с тъпи краища. Възможно е някои от изделията да са и със скосяване. Изделията са изработени от металокерамика, а именно от синтерован метален карбид на основата на волфрамов карбид с кобалт за свързващо вещество. Въз основа на ниската си степен на обработка и проста форма изделията могат да се използват за широка гама от приложения, например като елементи за усилване. Ако бъдат допълнително обработени, изделията могат да се използват за инструменти и като инструменти. |
8113 00 90 |
Класирането се определя от разпоредбите на общи правила 1 и 6 за тълкуване на Комбинираната номенклатура, забележка 4 към раздел XV и от описанието на кодовете по КН 8113 00 и 8113 00 90 . Класирането в код по КН 8209 00 80 като пръчки и подобни профилирани части за инструменти, немонтирани, от металокерамики се изключва, тъй като изделията могат да се използват за инструменти и като инструменти само ако са допълнително обработени и са подходящи и за други цели. Изделията попадат в обхвата на позиция 8113 , която включва металокерамиките, в необработени или под формата на изделия, неупоменати другаде в Комбинираната номенклатура (вж. също Обяснителните бележки към Хармонизираната система за позиция 8113 , шести параграф). Следователно изделията трябва да бъдат класирани в код по КН 8113 00 90 като Металокерамики и изделия от металокерамики. |
|
7.6.2021 |
BG |
Официален вестник на Европейския съюз |
L 199/7 |
РЕГЛАМЕНТ ЗА ИЗПЪЛНЕНИЕ (ЕС) 2021/911 НА КОМИСИЯТА
от 31 май 2021 година
относно класирането на някои стоки в Комбинираната номенклатура
ЕВРОПЕЙСКАТА КОМИСИЯ,
като взе предвид Договора за функционирането на Европейския съюз,
като взе предвид Регламент (ЕС) № 952/2013 на Европейския парламент и на Съвета от 9 октомври 2013 г. за създаване на Митнически кодекс на Съюза (1), и по-специално член 57, параграф 4 и член 58, параграф 2 от него,
като има предвид, че:
|
(1) |
С цел да се осигури еднакво прилагане на Комбинираната номенклатура, приложена към Регламент (ЕИО) № 2658/87 на Съвета (2), е необходимо да се приемат мерки относно класирането на стоките, посочени в приложението към настоящия регламент. |
|
(2) |
С Регламент (ЕИО) № 2658/87 се определят общите правила за тълкуване на Комбинираната номенклатура. Тези правила се прилагат също така и към всяка друга номенклатура, която изцяло или частично се основава на нея, с която се добавят допълнителни подраздели към нея и която е създадена със специални разпоредби на Съюза с оглед на прилагането на тарифни и други мерки, свързани с търговията със стоки. |
|
(3) |
В съответствие с тези общи правила стоките, описани в колона 1 от таблицата в приложението, следва да бъдат класирани в кода по КН, посочен в колона 2, на основание на посоченото в колона 3 от същата таблица. |
|
(4) |
Целесъобразно е да се предвиди обвързващата тарифна информация, която е издадена по отношение на обхванатите от настоящия регламент стоки и която не е в съответствие с него, да може да продължи да се ползва от титуляря за известен срок по силата на член 34, параграф 9 от Регламент (ЕС) № 952/2013. Този срок следва да бъде три месеца. |
|
(5) |
Мерките, предвидени в настоящия регламент, са в съответствие със становището на Комитета по Митническия кодекс, |
ПРИЕ НАСТОЯЩИЯ РЕГЛАМЕНТ:
Член 1
Стоките, описани в колона 1 от таблицата в приложението, се класират в Комбинираната номенклатура в кода по КН, посочен в колона 2 от същата таблица.
Член 2
Обвързващата тарифна информация, която не е в съответствие с настоящия регламент, може да продължи да се ползва по силата на член 34, параграф 9 от Регламент (ЕС) № 952/2013 за срок от три месеца от датата на влизане в сила на настоящия регламент.
Член 3
Настоящият регламент влиза в сила на двадесетия ден след деня на публикуването му в Официален вестник на Европейския съюз.
Настоящият регламент е задължителен в своята цялост и се прилага пряко във всички държави членки.
Съставено в Брюксел на 31 май 2021 година.
За Комисията
от името на председателя,
Gerassimos THOMAS
Генерален директор
Генерална дирекция „Данъчно облагане и митнически съюз“
(1) ОВ L 269, 10.10.2013 г., стр. 1.
(2) Регламент (ЕИО) № 2658/87 на Съвета от 23 юли 1987 г. относно тарифната и статистическа номенклатура и Общата митническа тарифа (ОВ L 256, 7.9.1987 г., стр. 1).
ПРИЛОЖЕНИЕ
|
Описание на стоките |
Класиране (код по КН) |
Основания |
||||||||
|
1 |
2 |
3 |
||||||||
|
Ролкови платформи за пренасяне на мебели, състоящи се от:
Изделието има вдлъбнатина за хващане при пренасянето му (например на ръка) или за окачването му на стена. Изделието е предназначено да се използва за превоз на различни предмети, по-специално на мебели и други тежки предмети. (Вж. изображението) (*1) |
4421 99 10 |
Класирането се определя от общи правила 1, 3, буква б) и 6 за тълкуване на Комбинираната номенклатура, от забележка 3 към глава 44 и от текстовете на кодове по КН 4421 , 4421 99 и 4421 99 10 . Класирането в код по КН 8716 80 00 като други превозни средства, без задвижващо устройство, се изключва, тъй като обективните характеристики и свойства на изделието не отговарят напълно на условията в позиция 8716 и код по КН 8716 80 00 . С оглед на неговите обективни характеристики и свойства, включително вдлъбнатината за хващане, която не се използва за бутането му с крак или ръка, и неговата конструкция, предвидена за транспортиране на тежки предмети, напр. мебели, чрез бутане на самите предмети, изделието не е предназначено да бъде теглено от други превозни средства, да бъде бутано или теглено ръчно, да бъде бутано с крак или да бъде теглено от животни (вж. също Обяснителните бележки към Хармонизираната система към позиция 8716 , втори параграф). Изделието не може да се счита за превозно средство, защото не притежава някои от характеристиките и свойствата на превозно средство с ръчно или крачно задвижване от позиция 8716 , тъй като не е вид количка за теглене или бутане с различен брой колела и оси, нито пък съдържа някаква специфична част на превозно средство, например шаси. Поради това изделието следва да се класира според материала, от който се състои. Изделието е съставен продукт, състоящ се от различни материали (дърво, пластмаса и метал). Елементът, който придава основния характер на изделието, е дървеният материал, тъй като дървената плоскост съставлява основната част от съставния продукт и е от най-голямо значение за употребата на изделието по предназначение. Следователно изделието трябва да бъде класирано в код по КН 4421 99 10 като друго изделие от плочи от дървесни влакна. |
(*1) Изображението е само за информация.
|
7.6.2021 |
BG |
Официален вестник на Европейския съюз |
L 199/10 |
РЕГЛАМЕНТ ЗА ИЗПЪЛНЕНИЕ (ЕС) 2021/912 НА КОМИСИЯТА
от 4 юни 2021 година
за разрешаване на промени в спецификациите на новата храна лакто-N-неотетраоза (с източник от микроорганизми) и за изменение на Регламент за изпълнение (ЕС) 2017/2470
(текст от значение за ЕИП)
ЕВРОПЕЙСКАТА КОМИСИЯ,
като взе предвид Договора за функционирането на Европейския съюз,
като взе предвид Регламент (ЕС) 2015/2283 на Европейския парламент и на Съвета от 25 ноември 2015 г. относно новите храни, за изменение на Регламент (ЕС) № 1169/2011 на Европейския парламент и на Съвета и за отмяна на Регламент (ЕО) № 258/97 на Европейския парламент и на Съвета и на Регламент (ЕО) № 1852/2001 на Комисията (1), и по-специално член 12 от него,
като има предвид, че:
|
(1) |
В Регламент (ЕС) 2015/2283 се предвижда, че само новите храни, разрешени и включени в списъка на Съюза, могат да бъдат пуснати на пазара в рамките на Съюза. |
|
(2) |
В съответствие с член 8 от Регламент (ЕС) 2015/2283 беше приет Регламент за изпълнение (ЕС) 2017/2470 на Комисията (2) за изготвяне на списък на Съюза на разрешените нови храни. |
|
(3) |
В съответствие с член 12 от Регламент (ЕС) 2015/2283 Комисията трябва да представи проект на акт за изпълнение за разрешаване на пускането на пазара на Съюза на нова храна и за актуализиране на списъка на Съюза. |
|
(4) |
С Решение за изпълнение (ЕС) 2016/375 на Комисията (3) бе разрешено в съответствие с Регламент (ЕО) № 258/97 на Европейския парламент и на Съвета (4) пускането на пазара на химически синтезирана лакто-N-неотетраоза като нова хранителна съставка. |
|
(5) |
В съответствие с член 5 от Регламент (ЕО) № 258/97 на 1 септември 2016 г. дружеството Glycom A/S уведоми Комисията за намерението си да пусне на пазара лакто-N-неотетраоза с източник от микроорганизми, произведена с щам K-12 на Escherichia coli, като нова хранителна съставка. |
|
(6) |
Заедно с подадената до Комисията нотификация Glycom A/S представи доклад, издаден от компетентния орган на Ирландия в съответствие с член 3, параграф 4 от Регламент (ЕО) № 258/97, в който, въз основа на представените от това дружество научни доказателства, се прави заключението, че лакто-N-неотетраоза, произведена с щам K-12 на Escherichia coli, е по същество равностойна на синтетичната лакто-N-неотетраоза, разрешена с Решение за изпълнение (ЕС) 2016/375. Поради това лакто-N-неотетраоза с източник от микроорганизми бе включена в списъка на Съюза на новите храни. |
|
(7) |
На 23 юни 2019 г. дружеството Chr. Hansen A/S („заявителят“) подаде заявление до Комисията в съответствие с член 10, параграф 1 от Регламент (ЕС) 2015/2283 за разрешаване на лакто-N-неотетраоза (с източник от микроорганизми), произведена чрез комбинирано действие на производните щамове PS-LNnT-JBT и DS-LNnT-JBT на Escherichia coli, щам BL21(DE3), като нова храна при същите условия на употреба като понастоящем разрешените за синтетична и получена от микроорганизми лакто-N-неотетраоза. Заявителят поиска актуализиране на списъка на Съюза по отношение на новия източник на тази нова храна. |
|
(8) |
Освен това заявителят предложи да се актуализират някои от спецификациите на лакто-N-неотетраоза (с източник от микроорганизми), произведена от този нов източник, тъй като те се различават от спецификациите на разрешената получена от микроорганизми лакто-N-неотетраоза, произведена с щам K-12 на Escherichia coli, доколкото те се отнасят до увеличаване на количествата пепел от ≤ 0,4 % на 1,0 %; по-високо ниво на наличие на дрожди и плесени — от настоящите ≤ 10 образуващи колония единици („CFU“) /g нова храна за всеки вид микроорганизъм, на ≤ 50 CFU/g за комбинация от двата; както и липса на метанол (понастоящем ≤ 100 mg/kg) и на фруктозен изомер на лакто-N-неотетраоза (от настоящите ≤ 1,0 %). |
|
(9) |
На 17 януари 2020 г. Комисията поиска от Европейския орган по безопасност на храните („Органа“) да извърши оценка на лакто-N-неотетраоза, произведена чрез комбинирано действие на производните щамове PS-LNnT-JBT и DS-LNnT-JBT на Escherichia coli, щам BL21(DE3), в съответствие с изискванията на член 11 от Регламент (ЕС) 2015/2283. |
|
(10) |
На 22 октомври 2020 г. Органът прие своето научно становище „Безопасност на лакто-N-неотетраоза (LNnT), произведена с производни щамове на E. coli, щам BL21, като нова храна съгласно Регламент (ЕС) 2015/2283“ (Safety of lacto-N-neotetraose (LNnT) produced by derivative strains of E. coli BL21 as a novel food pursuant to Regulation (EU) 2015/2283) (5). |
|
(11) |
В научното си становище Органът стигна до заключението, че лакто-N-неотетраоза (LNnT), произведена чрез комбинирано действие на производните щамове PS-LNnT-JBT и DS-LNnT-JBT на Escherichia coli, щам BL21(DE3), като нова храна съгласно Регламент (ЕС) 2015/2283, е безопасна при настоящите разрешени условия на употреба. Следователно посоченото научно становище дава достатъчни основания да се докаже, че лакто-N-неотетраоза (LNnT), произведена чрез комбинирано действие на производните щамове PS-LNnT-JBT и DS-LNnT-JBT на Escherichia coli, щам BL21(DE3), изпълнява изискванията на член 12, параграф 1 от Регламент (ЕС) 2015/2283. |
|
(12) |
Поради това е целесъобразно да се изменят спецификациите на произведената от микроорганизми лакто-N-неотетраоза, като се включат производните щамове PS-LNnT-JBT и DS-LNnT-JBT на Escherichia coli, щам BL21(DE3), като източник на новата храна, в допълнение на разрешения щам K12 на Escherichia coli, и да се изменят предложените нива на наличие на пепел и плесени и дрожди. |
|
(13) |
Поради това приложението към Регламент (ЕС) 2017/2470 следва да бъде съответно изменено. |
|
(14) |
Мерките, предвидени в настоящия регламент, са в съответствие със становището на Постоянния комитет по растенията, животните, храните и фуражите, |
ПРИЕ НАСТОЯЩИЯ РЕГЛАМЕНТ:
Член 1
Вписването относно веществото лакто-N-неотетраоза (с източник от микроорганизми) в списъка на Съюза с разрешени нови храни, предвиден в член 6 от Регламент (ЕС) 2015/2283, се изменя, както е посочено в приложението към настоящия регламент.
Член 2
Настоящият регламент влиза в сила на двадесетия ден след деня на публикуването му в Официален вестник на Европейския съюз.
Настоящият регламент е задължителен в своята цялост и се прилага пряко във всички държави членки.
Съставено в Брюксел на 4 юни 2021 година.
За Комисията
Председател
Ursula VON DER LEYEN
(1) ОВ L 327, 11.12.2015 г., стр. 1.
(2) Регламент за изпълнение (ЕС) 2017/2470 на Комисията от 20 декември 2017 г. за изготвяне на списъка на Съюза на новите храни в съответствие с Регламент (ЕС) 2015/2283 на Европейския парламент и на Съвета относно новите храни (ОВ L 351, 30.12.2017 г., стр. 72).
(3) Решение за изпълнение (ЕС) 2016/375 на Комисията от 11 март 2016 г. за разрешаване на пускането на пазара на лакто-N-неотетраоза като нова хранителна съставка съгласно Регламент (ЕО) № 258/97 на Европейския парламент и на Съвета (ОВ L 70, 16.3.2016 г., стр. 22).
(4) Регламент (ЕО) № 258/97 на Европейския парламент и на Съвета относно нови храни и нови хранителни съставки (ОВ L 43, 14.2.1997 г., стр. 1).
(5) EFSA Journal (Бюлетин на ЕОБХ), 2020; 18(11):6305.
ПРИЛОЖЕНИЕ
В таблица 2 (Спецификации) от приложението на Регламент за изпълнение (ЕС) 2017/2470 вписването относно „Лакто-N-неотетраоза (с източник от микроорганизми)“ се заменя със следното:
|
„Лакто-N-неотетраоза (с източник от микроорганизми) |
Определение: Химично наименование: β-D-галактопиранозил-(1→4)-2-ацетамидо-2-деокси-β-D-глюкопиранозил-(1→3)-β-D-галактопиранозил-(1→4)-D-глюкопираноза Химична формула: C26H45NO21 CAS №: 13007-32-4 Молекулна маса: 707,63 g/mol Източник:
Описание: Лакто-N-неотетраозата представлява бял до белезникав прах, който се произвежда чрез микробиологичен процес. Чистота: Изследване (без вода): ≥ 80 % D-лактоза: ≤ 10,0 % Лакто-N-триоза II: ≤ 3,0 % пара-лакто-N-неохексаоза: ≤ 5,0 % Фруктозен изомер на лакто-N-неотетраоза: ≤ 1,0 % Сума на захариди (лакто-N-неотетраоза, D-лактоза, лакто-N-триоза II, пара-лакто-N-неохексаоза и фруктозен изомер на лакто-N-неотетраоза): ≥ 92 % w/w (% сухо вещество) pH (при 20 °C, 5 % разтвор): 4,0—7,0 Вода: ≤ 9,0 % Сулфатна пепел: ≤ 1,0 % Остатъчен разтворител (метанол): ≤ 100 mg/kg Остатъчни белтъци: ≤ 0,01 % Микробиологични критерии: Общ брой аеробни мезофилни бактерии: ≤ 500 CFU/g Дрожди и плесени: ≤ 50 CFU/g Остатъчни ендотоксини: ≤ 10 EU/mg CFU: образуващи колония единици; EU: ендотоксинни единици“ |
РЕШЕНИЯ
|
7.6.2021 |
BG |
Официален вестник на Европейския съюз |
L 199/13 |
РЕШЕНИЕ ЗА ИЗПЪЛНЕНИЕ (ЕС) 2021/913 НА КОМИСИЯТА
от 3 юни 2021 година
относно хармонизираните стандарти за битови съдомиялни машини, изготвени в подкрепа на Регламент (ЕС) 2019/2022 и Делегиран регламент (ЕС) 2019/2017
ЕВРОПЕЙСКАТА КОМИСИЯ,
като взе предвид Договора за функционирането на Европейския съюз,
като взе предвид Регламент (ЕС) № 1025/2012 на Европейския парламент и на Съвета от 25 октомври 2012 г. относно европейската стандартизация, за изменение на директиви 89/686/ЕИО и 93/15/ЕИО на Съвета и на директиви 94/9/ЕО, 94/25/ЕО, 95/16/ЕО, 97/23/ЕО, 98/34/ЕО, 2004/22/ЕО, 2007/23/ЕО, 2009/23/ЕО и 2009/105/ЕО на Европейския парламент и на Съвета и за отмяна на Решение 87/95/ЕИО на Съвета и на Решение № 1673/2006/ЕО на Европейския парламент и на Съвета (1), и по-специално член 10, параграф 6 от него,
като има предвид, че:
|
(1) |
В съответствие с член 9, параграф 2 от Директива 2009/125/ЕО на Европейския парламент и на Съвета (2) държавите членки трябва да считат продукт, за който са приложени хармонизирани стандарти, на които са направени позовавания в Официален вестник на Европейския съюз, за продукт, който е в съответствие със съответните разпоредби на приложимата мярка по прилагането, с която са свързани тези стандарти. В член 4 от Регламент (ЕС) 2019/2022 на Комисията (3) и в приложение III към него са определени съответните изисквания за измерване и изчисляване за битови съдомиялни машини. |
|
(2) |
В съответствие с член 13 от Регламент (ЕС) 2017/1369 на Европейския парламент и на Съвета (4), след приемането съгласно член 16 от същия регламент на делегиран акт за определянето на конкретни изисквания за етикетиране, Комисията публикува в Официален вестник на Европейския съюз справочна информация за хармонизираните стандарти, които отговарят на съответните изисквания на делегирания акт за измерване и изчисляване. Ако при оценяването на съответствието на даден продукт са приложени такива хармонизирани стандарти, се счита, че моделът отговаря на съответните изисквания на делегирания акт за измерване и изчисляване. В член 3 от Делегиран регламент (ЕС) 2019/2017 на Комисията (5) и в приложение IV към него са определени изискванията за измерване и изчисляване за битови съдомиялни машини. |
|
(3) |
С Решение за изпълнение C(2020) 4329 (6) Комисията отправи искане до Европейския комитет по стандартизация (CEN), Европейския комитет за стандартизация в електротехниката (CENELEC) и Европейския институт за стандарти в далекосъобщенията (ETSI) за преразглеждане на съществуващите хармонизирани стандарти за битови съдомиялни машини, битови перални машини и битови перални машини със сушилня в подкрепа на регламенти (ЕС) 2019/2022 и (ЕС) 2019/2023 и делегирани регламенти (ЕС) 2019/2017 и (ЕС) 2019/2014. |
|
(4) |
Въз основа на искането, определено в Решение за изпълнение C(2020) 4329, CENELEC изготви хармонизирания стандарт EN 60436:2020, за да бъде отчетен научно-техническият прогрес. CENELEC прие също така изменение EN 60436:2020/A11:2020 и поправка EN 60436:2020/AC:2020-6 на този стандарт. |
|
(5) |
Комисията, заедно със CENELEC, извърши оценка на това дали хармонизиран стандарт EN 60436:2020, изменен с EN 60436:2016/A11:2020, и поправен с EN 60436:2020/AC:2020-6, отговарят на искането, определено в Решение за изпълнение C(2020) 4329. |
|
(6) |
Хармонизираният стандарт EN 60436:2020, изменен с EN 60436:2020/A11:2020, и поправен с EN 60436:2020/AC:2020-6, отговаря на изискванията, които има за цел да обхване, и които са определени в Регламент (ЕС) 2019/2022 и Делегиран регламент (ЕС) 2019/2017. |
|
(7) |
Необходимо е да се изясни кои версии на стандартите, посочени в точка „3 Изменение на точка 2 „Нормативни позовавания“ от стандарт EN 60436:2020, трябва да се прилагат за целите на презумпцията за съответствие. |
|
(8) |
Колоната „Забележки/бележки*“ от таблица ZZA.1 в стандарт EN 60436:2020 за целите на Делегиран регламент (ЕС) 2019/2017 и колоната „Забележки/бележки*“ от таблица ZZB.1 в стандарт EN 60436:2020 за целите на Регламент (ЕС) 2019/2022 следва да бъдат изключени от публикуване поради несъответствие на тези колони с изискванията в основния нормативен текст на стандарта и поради правната несигурност, произтичаща от тълкуването на правното действие на презумпцията за съответствие, включена в бележката под линия към тези колони. |
|
(9) |
Поради това е целесъобразно позоваването на хармонизиран стандарт EN 60436:2020, изменен с EN 60436:2016/A11:2020, и поправен с EN 60436:2020/AC:2020-6 в да бъде публикуван в Официален вестник на Европейския съюз с ограничения. |
|
(10) |
Хармонизиран стандарт EN 60436:2020 заменя хармонизиран стандарт EN 50242:2016, публикуван със Съобщение на Комисията 2016/C 416/05 (7). Поради това е целесъобразно това решение да бъде отменено. |
|
(11) |
Съответствието с хармонизиран стандарт дава презумпция за съответствие със съответстващите изисквания, определени в законодателството на Съюза за хармонизация, считано от датата на публикуване на позоваването на този стандарт в Официален вестник на Европейския съюз. Поради това настоящото решение следва да влезе в сила в деня на публикуването му, |
ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:
Член 1
С настоящото, позоваването на хармонизирания стандарт за битови съдомиялни машини, изготвен в подкрепа на Делегиран регламент (ЕС) 2019/2017, и включен в приложение I към настоящото решение, се публикува в Официален вестник на Европейския съюз, с ограничения.
С настоящото, позоваването на хармонизирания стандарт за битови съдомиялни машини, изготвен в подкрепа на Регламент (ЕС) 2019/2022 и включен в приложение II към настоящото решение, се публикува в Официален вестник на Европейския съюз, с ограничения.
Член 2
Съобщение 2016/C 416/05 на Комисията се отменя.
Член 3
Настоящото решение влиза в сила в деня на публикуването му в Официален вестник на Европейския съюз.
Съставено в Брюксел на 3 юни 2021 година.
За Комисията
Председател
Ursula VON DER LEYEN
(1) ОВ L 316, 14.11.2012 г., стр. 12.
(2) Директива 2009/125/ЕО на Европейския парламент и на Съвета от 21 октомври 2009 г. за създаване на рамка за определяне на изискванията за екодизайн към продукти, свързани с енергопотреблението (ОВ L 285, 31.10.2009 г., стр. 10).
(3) Регламент (ЕС) 2019/2022 на Комисията от 1 октомври 2019 г. за определяне на изисквания за екопроектиране на домакински съдомиялни машини в съответствие с Директива 2009/125/ЕО на Европейския парламент и на Съвета, за изменение на Регламент (ЕО) № 1275/2008 на Комисията и за отмяна на Регламент (ЕС) № 1016/2010 на Комисията (ОВ L 315, 5.12.2019 г., стр. 267).
(4) Регламент (ЕС) 2017/1369 на Европейския парламент и на Съвета от 4 юли 2017 г. за определяне на нормативна рамка за енергийно етикетиране и за отмяна на Директива 2010/30/ЕС (ОВ L 198, 28.7.2017 г., стр. 1).
(5) Делегиран регламент (ЕС) 2019/2017 на Комисията от 11 март 2019 г. за допълнение на Регламент (ЕС) 2017/1369 на Европейския парламент и на Съвета по отношение на енергийното етикетиране на домакински съдомиялни машини и за отмяна на Делегиран регламент (ЕС) № 1059/2010 на Комисията (ОВ L 315, 5.12.2019 г., стр. 134).
(6) Решение за изпълнение C(2020) 4329 на Комисията от 1 юли 2020 г. относно искане за стандартизация до Европейския комитет по стандартизация, Европейския комитет за стандартизация в електротехниката и Европейския институт за стандарти в далекосъобщенията по отношение на изискванията за екопроектиране и енергийно етикетиране на домакински съдомиялни машини, битови перални машини и битови перални машини със сушилня в подкрепа на регламенти (ЕС) 2019/2022 и (ЕС) 2019/2023 на Комисията и делегирани регламенти (ЕС) 2019/2017 и (ЕС) 2019/2014 на Комисията.
(7) Съобщение на Комисията в рамките на изпълнението на Регламент (ЕС) № 1016/2010 на Комисията за прилагане на Директива 2009/125/ЕО на Европейския парламент и на Съвета по отношение на изискванията за екопроектиране на домакински съдомиялни машини и на Делегиран регламент (ЕС) № 1059/2010 на Комисията за допълване на Директива 2010/30/ЕС на Европейския парламент и на Съвета по отношение на енергийното етикетиране на домакински съдомиялни машини (Публикуване на заглавията и номерата на хармонизираните стандарти, попадащи в обсега на законодателството на Съюза за хармонизация) (ОВ C 416, 11.11.2016 г., стр. 14).
ПРИЛОЖЕНИЕ I
Позоваване на хармонизирания стандарт, изготвен в подкрепа на Делегиран регламент (ЕС) 2019/2017
|
EN 60436:2020 Електрически съдомиялни машини за битова употреба. Методи за измерване на работните характеристики EN 60436:2020/A11:2020 EN 60436:2020/AC:2020-6 Ограничения:
|
ПРИЛОЖЕНИЕ II
Позоваване на хармонизирания стандарт, изготвен в подкрепа на Регламент (ЕС) 2019/2022
|
EN 60436:2020 Електрически съдомиялни машини за битова употреба. Методи за измерване на работните характеристики EN 60436:2020/A11:2020 EN 60436:2020/AC:2020-6 Ограничения:
|
|
7.6.2021 |
BG |
Официален вестник на Европейския съюз |
L 199/18 |
РЕШЕНИЕ ЗА ИЗПЪЛНЕНИЕ (ЕС) 2021/915 НА КОМИСИЯТА
от 4 юни 2021 година
относно стандартни договорни клаузи между администратори и обработващи лични данни съгласно член 28, параграф 7 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета и член 29, параграф 7 от Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета
(текст от значение за ЕИП)
ЕВРОПЕЙСКАТА КОМИСИЯ,
като взе предвид Договора за функционирането на Европейския съюз,
като взе предвид Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (1), и по-специално член 28, параграф 7 от него,
като взе предвид Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО („Регламент за защита на данните от институциите на ЕС“) (2), и по-специално член 29, параграф 7 от него,
като има предвид, че:
|
(1) |
Понятията „администратор“ и „обработващ лични данни“ играят ключова роля при прилагането на Регламент (ЕС) 2016/679 и на Регламент (ЕС) 2018/1725. „Администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни. За целите на Регламент (ЕС) 2018/1725 „администратор“ означава институцията или органа на Съюза, или генералната дирекция, или всяка друга организационна структура, която самостоятелно или съвместно с други определя целите и средствата за обработването на лични данни. Когато целите и средствата за обработването са определени със специален акт на Съюза, администраторът или специалните критерии за неговото определяне могат да бъдат установени от Съюза. „Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора. |
|
(2) |
Спрямо отношенията между администраторите и обработващите лични данни следва да се прилага един и същ набор от стандартни договорни клаузи, независимо дали към тях е приложим Регламент (ЕС) 2016/679, или Регламент (ЕС) 2018/1725. Причината за това е, че за да се постигне съгласуван подход към защитата на личните данни в целия Съюз и към свободното движение на лични данни в Съюза, правилата за защита на данните в Регламент (ЕС) 2016/679, приложими за публичния сектор в държавите членки, и правилата за защита на данните в Регламент (ЕС) 2018/1725, приложими за институциите, органите, службите и агенциите на Съюза, бяха съгласувани помежду си, доколкото е възможно. |
|
(3) |
За да се гарантира спазването на изискванията на регламенти (ЕС) 2016/679 и (ЕС) 2018/1725, когато на обработващия лични данни се възлагат дейности по обработване, администраторът следва да използва само такива обработващи лични данни, които осигуряват достатъчни гаранции, по-специално по отношение на експертни знания, надеждност и ресурси, че предприемат технически и организационни мерки, които отговарят на изискванията на Регламент (ЕС) 2016/679 и Регламент (ЕС) 2018/1725, включително на изискванията за сигурността на обработването. |
|
(4) |
Извършването на обработването от обработващ лични данни следва да се урежда с договор или друг правен акт съгласно правото на Съюза или правото на държава членка, който обвързва обработващия лични данни с администратора и в който се определят елементите, изброени в член 28, параграфи 3 и 4 от Регламент (ЕС) 2016/679 или член 29, параграфи 3 и 4 от Регламент (ЕС) 2018/1725. Този договор или правен акт се изготвя в писмена форма, включително в електронна форма. |
|
(5) |
В съответствие с член 28, параграф 6 от Регламент (ЕС) 2016/679 и член 29, параграф 6 от Регламент (ЕС) 2018/1725 администраторът и обработващият лични данни могат да изберат да използват индивидуален договор, съдържащ задължителните елементи, предвидени съответно в член 28, параграфи 3 и 4 от Регламент (ЕС) 2016/679 или член 29, параграфи 3 и 4 от Регламент (ЕС) 2018/1725, или да използват изцяло или частично стандартни договорни клаузи, приети от Комисията съгласно член 28, параграф 7 от Регламент (ЕС) 2016/679 и член 29, параграф 7 от Регламент (ЕС) 2018/1725. |
|
(6) |
Администраторът и обработващият лични данни следва да могат да включат стандартните договорни клаузи, предвидени в настоящото решение, в по-широк договор и да добавят други клаузи или допълнителни гаранции, при условие че те не противоречат пряко или косвено на стандартните договорни клаузи или не засягат основните права или свободи на субектите на данни. Използването на стандартните договорни клаузи е независимо от договорните задължения на администратора и/или обработващия лични данни да гарантират зачитането на приложимите привилегии и имунитети. |
|
(7) |
Стандартните договорни клаузи следва да обхващат както материалноправните, така и процесуалните правила. В съответствие с член 28, параграф 3 от Регламент (ЕС) 2016/679 и член 29, параграф 3 от Регламент (ЕС) 2018/1725 в стандартните договорни клаузи от администратора и обработващия лични данни следва да се изисква да определят предмета и срока на обработването, неговото естество и цел, вида на съответните лични данни, категориите субекти на данни и задълженията и правата на администратора. |
|
(8) |
Съгласно член 28, параграф 3 от Регламент (ЕС) 2016/679 и член 29, параграф 3 от Регламент (ЕС) 2018/1725 обработващият лични данни трябва незабавно да уведоми администратора, ако по негово мнение дадено указание на администратора нарушава Регламент (ЕС) 2016/679 или Регламент (ЕС) 2018/1725 или други разпоредби на Съюза или на държава членка в областта на защитата на данните. |
|
(9) |
Когато обработващ лични данни ангажира друг обработващ лични данни за извършването на специфични дейности, следва да се прилагат специфичните изисквания, посочени в член 28, параграфи 2 и 4 от Регламент (ЕС) 2016/679 или член 29, параграфи 2 и 4 от Регламент (ЕС) 2018/1725. По-специално се изисква предварително специфично или общо писмено разрешение. Независимо дали това предварително разрешение е специфично или общо, първият обработващ лични данни следва да поддържа актуален списък на другите обработващи лични данни. |
|
(10) |
За да изпълни изискванията на член 46, параграф 1 от Регламент (ЕС) 2016/679, Комисията прие стандартни договорни клаузи съгласно член 46, параграф 2, буква в) от Регламент (ЕС) 2016/679. Тези клаузи отговарят също така на изискванията на член 28, параграфи 3 и 4 от Регламент (ЕС) 2016/679 по отношение на предаванията на данни от администратори, попадащи в обхвата на Регламент (ЕС) 2016/679, на обработващи лични данни извън териториалния обхват на прилагане на този регламент, или от обработващи лични данни, попадащи в обхвата на Регламент (ЕС) 2016/679, на обработващи лични данни подизпълнители извън териториалния обхват на този регламент. Тези стандартни договорни клаузи не могат да се използват като стандартни договорни клаузи за целите на глава V от Регламент (ЕС) 2016/679. |
|
(11) |
Трети страни следва да могат да станат страна по стандартните договорни клаузи през целия срок на договора. |
|
(12) |
Действието на стандартните договорни клаузи следва да бъде оценено като част от периодичната оценка на Регламент (ЕС) 2016/679, предвидена в член 97 от този регламент. |
|
(13) |
В съответствие с член 42, параграфи 1 и 2 от Регламент (ЕС) 2018/1725 бяха проведени консултации с Европейския надзорен орган по защита на данните и Европейския комитет по защита на данните. На 14 януари 2021 г. (3) те представиха съвместно становище, което беше взето предвид при изготвянето на настоящото решение. |
|
(14) |
Мерките, предвидени в настоящото решение, са в съответствие със становището на комитета, създаден по силата на член 93 от Регламент (ЕС) 2016/679 и член 96, параграф 2 от Регламент (ЕС) 2018/1725. |
ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:
Член 1
Стандартните договорни клаузи, заложени в приложението, отговарят на изискванията към договорите между администратори и обработващи лични данни съгласно член 28, параграфи 3 и 4 от Регламент (ЕС) 2016/679 и член 29, параграфи 3 и 4 от Регламент (ЕС) 2018/1725.
Член 2
Стандартните договорни клаузи, заложени в приложението, може да се използват в договори между администратор и обработващ лични данни, който обработва лични данни от името на администратора.
Член 3
Комисията оценява практическото прилагане на стандартните договорни клаузи, заложени в приложението, въз основа на цялата налична информация като част от периодичната оценка, предвидена в член 97 от Регламент (ЕС) 2016/679.
Член 4
Настоящото решение влиза в сила на двадесетия ден след деня на публикуването му в Официален вестник на Европейския съюз.
Съставено в Брюксел на 4 юни 2021 година.
За Комисията
Председател
Ursula VON DER LEYEN
(1) OB L 119, 4.5.2016 г., стр. 1.
(2) OB L 295, 21.11.2018 г., стр. 39.
(3) Съвместно становище 1/2021 на ЕКЗД и ЕНОЗД във връзка с Решението за изпълнение на Европейската комисия относно стандартни договорни клаузи между администратори и обработващи лични данни по въпросите, посочени в член 28, параграф 7 от Регламент (ЕС) 2016/679 и член 29, параграф 7 от Регламент (ЕС) 2018/1725.
ПРИЛОЖЕНИЕ
СТАНДАРТНИ ДОГОВОРНИ КЛАУЗИ
РАЗДЕЛ I
Клауза 1
Цел и обхват
|
а) |
Целта на настоящите стандартни договорни клаузи (клаузите) е да се осигури съответствие с [изберете съответния вариант: ВАРИАНТ 1: член 28, параграфи 3 и 4 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива даннии и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните)]/[ВАРИАНТ 2: член 29, параграфи 3 и 4 от Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002 / EО]. |
|
б) |
Администраторите и обработващите лични данни, изброени в приложение I, се споразумяха за настоящите клаузи, за да се гарантира спазването на член 28, параграфи 3 и 4 от Регламент (ЕС) 2016/679 и/или член 29, параграфи 3 и 4 от Регламент (ЕС) 2018/1725. |
|
в) |
Настоящите клаузи се прилагат по отношение на обработването на лични данни, посочено в приложение II. |
|
г) |
Приложения I—IV са неразделна част от клаузите. |
|
д) |
Настоящите клаузи не засягат задълженията на администратора по силата на Регламент (ЕС) 2016/679 и/или Регламент (ЕС) 2018/1725. |
|
е) |
Тези клаузи сами по себе си не гарантират спазването на задълженията, свързани с международното предаване на данни в съответствие с глава V от Регламент (ЕС) 2016/679 и/или Регламент (ЕС) 2018/1725. |
Клауза 2
Неизменност на клаузите
|
а) |
Страните се задължават да не изменят клаузите, с изключение на добавянето на информация към приложенията или актуализирането на информацията в тях. |
|
б) |
Това не пречи на страните да включат стандартните договорни клаузи, определени в настоящите клаузи, в по-широк договор или да добавят други клаузи или допълнителни гаранции, при условие че те не противоречат, пряко или непряко, на настоящите клаузи или не засягат основни права или свободи на субектите на данни. |
Клауза 3
Тълкуване
|
а) |
Когато в настоящите клаузи се използват термини, определени съответно в Регламент (ЕС) 2016/679 или Регламент (ЕС) 2018/1725, тези термини имат същото значение като в този регламент. |
|
б) |
Настоящите клаузи се четат и тълкуват в светлината на разпоредбите съответно на Регламент (ЕС) 2016/679 или Регламент (ЕС) 2018/1725. |
|
в) |
Настоящите клаузи не трябва да се тълкуват по начин, който противоречи на правата и задълженията, предвидени в Регламент (ЕС) 2016/679 и Регламент (ЕС) 2018/1725, или по начин, който засяга основните права или свободи на субектите на данни. |
Клауза 4
Йерархия
В случай на противоречие между настоящите клаузи и разпоредбите на свързаните с тях споразумения между страните, съществуващи към момента на договаряне на настоящите клаузи или сключени след това, предимство имат настоящите клаузи.
Клауза 5 — незадължителна
Клауза за присъединяване
|
а) |
Структура, която не е страна по настоящите клаузи, може със съгласието на всички страни да се присъедини към настоящите клаузи по всяко време като администратор или като обработващ лични данни, като попълни приложенията и подпише приложение I. |
|
б) |
След като попълни и подпише приложенията съгласно точка а), присъединяващата се структура се счита за страна по настоящите клаузи и има правата и задълженията на администратор или обработващ лични данни в съответствие с посоченото в приложение I. |
|
в) |
Настоящите клаузи не пораждат права или задължения за присъединяващата се структура за периода, преди тя да стане страна. |
РАЗДЕЛ II
ЗАДЪЛЖЕНИЯ НА СТРАНИТЕ
Клауза 6
Описание на обработването
Подробностите за операциите по обработване, и по-специално категориите лични данни и целите, за които личните данни се обработват от името на администратора, са посочени в приложение II.
Клауза 7
Задължения на страните
7.1. Указания
|
а) |
Обработващият лични данни обработва личните данни само по документирано нареждане на администратора, освен когато е длъжен да направи това съгласно правото на Съюза или правото на държава членка, което се прилага спрямо обработващия лични данни. В този случай обработващият лични данни информира администратора за това правно изискване преди обработването, освен когато това право забранява такова информиране на важни основания от публичен интерес. Администраторът може да дава по-нататъшни указания през целия период на обработване на личните данни. Тези указания винаги се документират. |
|
б) |
Обработващият лични данни незабавно информира администратора, ако прецени, че дадените от администратора указания нарушават Регламент (ЕС) 2016/679, Регламент (ЕС) 2018/1725 или приложимите разпоредби на правото на Съюза или на държава членка в областта на защитата на данните. |
7.2. Ограничение в рамките на целта
Обработващият лични данни обработва личните данни само за конкретната(ите) цел(и) на обработването, както е посочено в приложение II, освен когато администраторът е дал допълнителни указания.
7.3. Срок на обработването на лични данни
Обработване от обработващия лични данни се извършва единствено в срока, посочен в приложение II.
7.4. Сигурност на обработването
|
а) |
За да гарантира сигурността на личните данни, обработващият лични данни прилага най-малко техническите и организационните мерки, посочени в приложение III. Това включва защита на данните срещу нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване на данните или достъп до тях (нарушение на сигурността на личните данни). При оценката на подходящото ниво на сигурност страните вземат предвид достиженията на техническия прогрес, разходите за прилагане, естеството, обхвата, контекста и целта на обработването и свързаните с обработването рискове за субектите на данни. |
|
б) |
Обработващият лични данни предоставя на членовете на своя персонал достъп до обработваните лични данни само до степента, която е строго необходима за изпълнението, управлението и наблюдението на договора. Обработващият лични данни гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са длъжни по закон да спазват поверителност. |
7.5. Чувствителни данни
Когато обработването е свързано с лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, генетични данни или биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице, или данни, свързани с присъди и нарушения („чувствителни данни“), обработващият лични данни прилага специфични ограничения и/или допълнителни гаранции.
7.6. Документиране и съответствие
|
а) |
Страните трябва да могат да докажат, че спазват задълженията си по настоящите клаузи. |
|
б) |
Обработващият лични данни обработва своевременно и по подходящия начин всички запитвания от страна на администратора, свързани с обработването на данни в съответствие с настоящите клаузи. |
|
в) |
Обработващият лични данни предоставя на администратора цялата информация, необходима за доказване на спазването на задълженията, посочени в настоящите клаузи и произтичащи пряко от Регламент (ЕС) 2016/679 и/или Регламент (ЕС) 2018/1725. По искане на администратора обработващият лични данни позволява и допринася за извършването на одити на обхванатите от настоящите клаузи дейности по обработване на разумни интервали или ако има основание да се смята, че е налице неспазване. Когато взема решение за извършване на проверка или одит, администраторът може да вземе предвид съответните сертификати, притежавани от обработващия лични данни. |
|
г) |
Администраторът може да избере да извърши одита сам или да упълномощи независим одитор. Одитите могат да включват проверки в помещенията или физическите съоръжения на обработващия лични данни и, когато е целесъобразно, се извършват с разумно предизвестие. |
|
д) |
При поискване страните предоставят информацията, посочена в настоящата клауза, включително резултатите от одити, на компетентния(ите) надзорен(ни) орган(и). |
7.7. Използване на обработващи лични данни подизпълнители
|
а) |
ВАРИАНТ 1: ПРЕДВАРИТЕЛНО СПЕЦИФИЧНО РАЗРЕШЕНИЕ: Обработващият лични данни няма да предава за подизпълнение на обработващ лични данни дейностите си по обработване, извършвани от името на администратора съгласно настоящите клаузи, без специфичното предварително писмено разрешение на администратора. Обработващият лични данни подава искането за специфично разрешение най-малко [ПОСОЧЕТЕ ПЕРИОД ОТ ВРЕМЕ], преди да включи обработващия лични данни подизпълнител, заедно с информацията, необходима, за да може администраторът да вземе решение във връзка разрешението. Списъкът на обработващите лични данни подизпълнители, по отношение на които администраторът на лични данни вече е дал разрешение, може да се намери в приложение IV. Страните редовно актуализират приложение IV. ВАРИАНТ 2: ОБЩО ПИСМЕНО РАЗРЕШЕНИЕ: Обработващият лични данни има общото разрешение на администратора да включва обработващи лични данни подизпълнители от съгласуван списък. Обработващият лични данни изрично уведомява писмено администратора за всички планирани промени в този списък чрез добавяне или замяна на обработващи лични данни подизпълнители най-малко [ПОСОЧЕТЕ ПЕРИОД ОТ ВРЕМЕ] предварително, като по този начин дава на администратора на лични данни достатъчно време, за да може да възрази срещу такива промени преди включването на обработващия(ите) лични данни подизпълнител(и). Обработващият лични данни предоставя на администратора необходимата информация, за да може администраторът на лични данни да упражни правото си на възражение. |
|
б) |
Когато обработващият лични данни включва обработващ лични данни подизпълнител, който да извършва специфични дейности по обработване (от името на администратора), той прави това чрез договор, с който на обработващия лични данни подизпълнител се налагат по същество същите задължения за защита на данните, както задълженията, предвидени в настоящите клаузи по отношение на обработващия лични данни. Обработващият лични данни осигурява спазването от обработващия лични данни подизпълнител на задълженията на обработващия лични данни съгласно настоящите клаузи и Регламент (ЕС) 2016/679 и/или Регламент (ЕС) 2018/1725. |
|
в) |
Обработващият лични данни предоставя на администратора по негово искане копие от това споразумение с обработващия лични данни подизпълнител и всички негови последващи изменения. До степента, необходима за защита на търговска тайна или друга поверителна информация, включително лични данни, обработващият лични данни може да редактира текста на споразумението, преди да сподели негово копие. |
|
г) |
Обработващият лични данни носи пълната отговорност пред администратора за изпълнението на задълженията на обработващия лични данни подизпълнител по неговия договор с обработващия лични данни. Обработващият лични данни уведомява администратора за всяко неизпълнение от страна на обработващия лични данни подизпълнител на договорните му задължения. |
|
д) |
Обработващият лични данни договаря с обработващия лични данни подизпълнител клауза за трети страни бенефициери, по силата на която, в случай че обработващият лични данни е изчезнал фактически или е престанал да съществува юридически, или е изпаднал в несъстоятелност, администраторът има право да прекрати договора с обработващия лични данни подизпълнител и да му даде указания да изтрие или върне личните данни. |
7.8. Международно предаване на данни
|
а) |
Всяко предаване на данни на трета държава или международна организация от обработващия лични данни се извършва единствено въз основа на документирани указания от администратора или с цел изпълнение на конкретно изискване съгласно правото на Съюза или правото на държава членка, което се прилага спрямо обработващия лични данни, и се извършва в съответствие с глава V от Регламент (ЕС) 2016/679 или Регламент (ЕС) 2018/1725. |
|
б) |
Администраторът приема, че когато обработващият лични данни включва обработващ лични данни подизпълнител в съответствие с клауза 7.7 за извършване на конкретни дейности по обработване (от името на администратора) и тези дейности по обработване включват предаване на лични данни по смисъла на глава V от Регламент (ЕС) 2016/679, обработващият лични данни и обработващият лични данни подизпълнител могат да гарантират спазването на глава V от Регламент (ЕС) 2016/679, като използват стандартни договорни клаузи, приети от Комисията въз основа на член 46, параграф 2 от Регламент (ЕС) 2016/679, при условие че условията за използване на тези стандартни договорни клаузи са изпълнени. |
Клауза 8
Оказване на съдействие на администратора
|
а) |
Обработващият лични данни своевременно уведомява администратора за всяко искане, което е получил от субект на данни. Той не отговаря сам на това искане, освен ако не бъде оправомощен от администратора. |
|
б) |
Обработващият лични данни подпомага администратора при изпълнението на неговите задължения да отговаря на исканията на субектите на данни във връзка с упражняването на правата им, като взема предвид естеството на обработването. При изпълнението на задълженията си в съответствие с букви а) и б) обработващият лични данни спазва указанията на администратора. |
|
в) |
В допълнение към задължението на обработващия лични данни да подпомага администратора съгласно клауза 8, буква б), обработващият лични данни подпомага администратора и за спазването на следните задължения, като взема предвид естеството на обработването и информацията, с която разполага обработващият лични данни:
|
|
г) |
Страните определят в приложение III подходящите технически и организационни мерки, посредством които обработващият лични данни е длъжен да подпомага администратора при изпълнението на настоящата клауза, както и обхвата и степента на дължимата помощ. |
Клауза 9
Уведомяване за нарушение на сигурността на личните данни
В случай на нарушение на сигурността на личните данни обработващият лични данни си сътрудничи с администратора и го подпомага при изпълнението на задълженията му по членове 33 и 34 от Регламент (ЕС) 2016/679 или членове 34 и 35 от Регламент (ЕС) 2018/1725, когато е приложимо, като взема предвид естеството на обработването и информацията, с която разполага обработващият лични данни.
9.1 Нарушение на сигурността на личните данни във връзка с лични данни, обработвани от администратора
В случай на нарушение на сигурността на личните данни във връзка с лични данни, обработвани от администратора, обработващият лични данни подпомага администратора:
|
а) |
за уведомяване на компетентния(ите) надзорен(ни) орган(и) за нарушението на сигурността на личните данни без ненужно забавяне, след като администраторът узнае за него, когато е приложимо/(освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица); |
|
б) |
за получаване на следната информация, която съгласно [ВАРИАНТ 1] член 33, параграф 3 от Регламент (ЕС) 2016/679/[ВАРИАНТ 2] член 34, параграф 3 от Регламент (ЕС) 2018/1725 се посочва в уведомлението от администратора, и включва най-малко:
|
Когато и доколкото не е възможно цялата информация да се подаде едновременно, първоначалното уведомление съдържа информацията, която е налична към момента, а допълнителната информация се предоставя впоследствие, когато стане налична, без ненужно забавяне;
|
в) |
за изпълнение, в съответствие с [ВАРИАНТ 1] член 34 от Регламент (ЕС) 2016/679,/[ВАРИАНТ 2] член 35 от Регламент (ЕС) 2018/1725, на задължението за уведомяване на субекта на данни за нарушението на сигурността на личните данни без ненужно забавяне, когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица. |
9.2 Нарушение на сигурността на личните данни във връзка с лични данни, обработвани от обработващия лични данни
В случай на нарушение на сигурността на данните във връзка с лични данни, обработвани от обработващия лични данни, обработващият лични данни уведомява администратора без ненужно забавяне, след като узнае за нарушението. Уведомлението съдържа най-малко:
|
а) |
описание на естеството на нарушението (включително, когато е възможно, категориите и приблизителният брой на засегнатите субекти на данни и на засегнатите записи на лични данни); |
|
б) |
координатите на точката за контакт, от която може да бъде получена повече информация относно нарушението на сигурността на личните данни; |
|
в) |
евентуалните последици и предприетите или предложените мерки за справяне с нарушението, включително за намаляване на евентуалните неблагоприятни последици от него. |
Когато и доколкото не е възможно цялата информация да се подаде едновременно, първоначалното уведомление съдържа информацията, която е налична към момента, а допълнителната информация се предоставя впоследствие, когато стане налична, без ненужно забавяне;
Страните посочват в приложение III всички други елементи, които обработващият лични данни трябва да предостави, когато подпомага администратора при спазването на задълженията му по [ВАРИАНТ 1] членове 33 и 34 от Регламент (ЕС) 2016/679/[ВАРИАНТ 2] членове 34 и 35 от Регламент (ЕС) 2018/1725.
РАЗДЕЛ III
ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
Клауза 10
Неспазване на клаузите и прекратяване
|
а) |
Без да се засягат разпоредбите на Регламент (ЕС) 2016/679 и/или Регламент (ЕС) 2018/1725, в случай че обработващият лични данни наруши задълженията си по настоящите клаузи, администраторът може да даде указания на обработващия лични данни да спре обработването на лични данни, докато последният не изпълни тези клаузи или докато договорът не бъде прекратен. Обработващият лични данни своевременно уведомява администратора, ако не е в състояние да спазва настоящите клаузи, независимо от причината. |
|
б) |
Администраторът има право да прекрати договора, доколкото той се отнася до обработването на лични данни съгласно настоящите клаузи, когато:
|
|
в) |
Обработващият лични данни има право да прекрати договора, доколкото той се отнася до обработването на лични данни съгласно настоящите клаузи, ако, след като е информирал администратора, че неговите указания нарушават приложимите правни изисквания в съответствие с клауза 7.1, буква б), администраторът настоява за спазване на указанията. |
|
г) |
След прекратяването на договора обработващият лични данни, по избор на администратора, заличава всички лични данни, обработвани от името на администратора, и удостоверява на администратора, че е направил това, или връща всички лични данни на администратора и заличава съществуващите копия, освен ако правото на Съюза или правото на държава членка не изисква съхранение на личните данни. Докато данните не бъдат заличени или върнати, обработващият лични данни продължава да осигурява спазването на настоящите клаузи. |
ПРИЛОЖЕНИЕ I
СПИСЪК НА СТРАНИТЕ
Администратор(и): [Самоличност и координати за връзка на администратора(ите) и когато е приложимо — на длъжностното лице по защита на данните на администратора]
|
1. |
Име/наименование: … |
|
|
Адрес: … |
|
|
Име, длъжност и координати за връзка с лицето за контакт: … |
|
|
Подпис и дата на присъединяване: … |
|
2. |
|
…
Обработващ(и) лични данни: [Самоличност и координати за връзка на обработващия(ите) лични данни и когато е приложимо — на длъжностното лице по защита на данните на обработващия лични данни]
|
1. |
Име/наименование: … |
|
|
Адрес: … |
|
|
Име, длъжност и координати за връзка с лицето за контакт: … |
|
|
Подпис и дата на присъединяване: … |
|
2. |
|
…
ПРИЛОЖЕНИЕ II
ОПИСАНИЕ НА ОБРАБОТВАНЕТО
Категории субекти на данни, чиито лични данни се предават
…
Категории обработвани лични данни
…
Обработвани чувствителни данни (ако е приложимо) и приложени ограничения или гаранции, които отчитат изцяло естеството на данните и свързаните с тях рискове, като например строго ограничение в рамките на целта, ограничаване на достъпа (включително достъп само за служители, преминали специализирано обучение), поддържане на регистър на достъпа до данните, ограничения по отношение на последващо предаване или допълнителни мерки за сигурност.
…
Естество на обработването
…
Цел(и), за която (които) личните данни се обработват от името на администратора
…
Продължителност на обработването
…
…
За обработване от обработващи лични данни (или обработващи лични данни подизпълнители) посочете също така предмета, естеството и продължителността на обработването
ПРИЛОЖЕНИЕ III
ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ, ВКЛЮЧИТЕЛНО ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ ЗА ОСИГУРЯВАНЕ НА СИГУРНОСТТА НА ДАННИТЕ
ОБЯСНИТЕЛНА БЕЛЕЖКА:
Техническите и организационните мерки трябва да бъдат описани конкретно, а не общо.
Описание на техническите и организационните мерки за сигурност, приложени от обработващия(ите) лични данни (включително всички съответни сертификати) с цел да се осигури подходящо ниво на сигурност, като се вземат предвид естеството, обхватът, контекстът и целта на обработването и рисковете за правата и свободите на физическите лица. Примери за възможни мерки:
|
|
Мерки за псевдонимизация и криптиране на личните данни |
|
|
Мерки за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване |
|
|
Мерки за осигуряване на способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент |
|
|
Процеси на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването |
|
|
Мерки за идентифициране и даване на разрешение на потребители |
|
|
Мерки за защита на данните по време на предаване |
|
|
Мерки за защита на данните по време на съхранение |
|
|
Мерки за осигуряване на физическа сигурност на местата, където се обработват лични данни |
|
|
Мерки за осигуряване на регистриране на събития |
|
|
Мерки за осигуряване на конфигурация на системата, включително конфигурация по подразбиране |
|
|
Мерки за управление на вътрешните информационни технологии и на сигурността на информационните технологии |
|
|
Мерки за сертифициране/осигуряване на процеси и продукти |
|
|
Мерки за осигуряване на свеждането на данните до минимум |
|
|
Мерки за осигуряване на качеството на данните |
|
|
Мерки за осигуряване на ограничено съхраняване на данни |
|
|
Мерки за осигуряване на отчетност |
|
|
Мерки за позволяване на преносимост на данните и осигуряване на изтриването им] |
По отношение на предавания към обработващи лични данни (или обработващи лични данни подизпълнители), опишете също конкретните технически и организационни мерки, които обработващият лични данни (или обработващият лични данни подизпълнител) трябва да предприеме, за да може да предоставя помощ на администратора на лични данни
Описание на конкретните технически и организационни мерки, които обработващият лични данни трябва да предприеме, за да може да предоставя помощ на администратора.
ПРИЛОЖЕНИЕ IV
СПИСЪК НА ОБРАБОТВАЩИТЕ ЛИЧНИ ДАННИ ПОДИЗПЪЛНИТЕЛИ
ОБЯСНИТЕЛНА БЕЛЕЖКА:
Настоящото приложение трябва да се попълни в случай на специфично разрешение за използване на обработващи лични данни подизпълнители (клауза 7.7, буква а), вариант 1).
Администраторът на лични данни е разрешил използването на следните обработващи лични данни подизпълнители:
|
1. |
Име/наименование: … |
|
|
Адрес: … |
|
|
Име, длъжност и координати за връзка с лицето за контакт: … |
|
|
Описание на обработването (включително ясно разграничение на отговорностите в случай, че е разрешено използването на няколко обработващи лични данни подизпълнители): … |
|
2. |
… |
|
7.6.2021 |
BG |
Официален вестник на Европейския съюз |
L 199/31 |
РЕШЕНИЕ ЗА ИЗПЪЛНЕНИЕ (ЕС) 2021/914 НА КОМИСИЯТА
от 4 юни 2021 година
относно стандартни договорни клаузи за предаването на лични данни на трети държави съгласно Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета
(текст от значение за ЕИП)
ЕВРОПЕЙСКАТА КОМИСИЯ,
като взе предвид Договора за функционирането на Европейския съюз,
като взе предвид Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (1), и по-специално член 28, параграф 7 и член 46, параграф 2, буква в) от него,
като има предвид, че:
|
(1) |
Технологичното развитие улеснява трансграничните потоци от данни, необходими за разширяване на международното сътрудничество и международната търговия. Същевременно е необходимо да се гарантира, че нивото на защита на физическите лица, гарантирано от Регламент (ЕС) 2016/679, не е застрашено, когато личните данни се предават на трети държави, включително в случаи на последващо предаване (2). Разпоредбите относно предаването на данни в глава V от Регламент (ЕС) 2016/679 имат за цел да гарантират непрекъснатостта на тази висока степен на защита, когато личните данни се предават на трета държава (3). |
|
(2) |
Съгласно член 46, параграф 1 от Регламент (ЕС) 2016/679 при липса на решение на Комисията относно адекватното ниво на защита съгласно член 45, параграф 3, администраторът или обработващият лични данни може да предава лични данни на трета държава само ако е предвидил подходящи гаранции и при условие че са налице приложими права на субектите на данни и ефективни правни средства за защита. Такива гаранции могат да бъдат предвидени чрез стандартни клаузи за защита на данните, приети от Комисията съгласно член 46, параграф 2, буква в). |
|
(3) |
Ролята на стандартните договорни клаузи е ограничена до осигуряването на подходящи гаранции за защита на данните при международни предавания на данни. Следователно администраторът или обработващият лични данни, който предава личните данни на трета държава („износителят на данни“), и администраторът или обработващият лични данни, който получава личните данни („вносителят на данни“), могат да включат тези стандартни договорни клаузи в по-широк договор и да добавят други клаузи или допълнителни гаранции, при условие че те не противоречат, пряко или непряко, на стандартните договорни клаузи или не засягат основни права или свободи на субектите на данни. Администраторите и обработващите лични данни се насърчават да предоставят допълнителни гаранции чрез договорни ангажименти, които допълват стандартните договорни клаузи (4). Използването на стандартните договорни клаузи не засяга договорните задължения на износителя и/или вносителя на данни да гарантират спазването на приложимите привилегии и имунитети. |
|
(4) |
Освен че използва стандартни договорни клаузи, за да осигури подходящи гаранции при предавания на данни съгласно член 46, параграф 1 от Регламент (ЕС) 2016/679, износителят на данни трябва да изпълнява общите си отговорности като администратор или обработващ лични данни съгласно Регламент (ЕС) 2016/679. Тези отговорности включват задължение за администратора да предоставя на субектите на данни информация относно факта, че възнамерява да предаде личните им данни на трета държава съгласно член 13, параграф 1, буква е) и член 14, параграф 1, буква е) от Регламент (ЕС) 2016/679. В случай на предавания съгласно член 46 от Регламент (ЕС) 2016/679, такава информация трябва да включва позоваване на подходящите гаранции и начините за получаване на копие от тях или на информация къде са налични. |
|
(5) |
Решения 2001/497/ЕО (5) и 2010/87/ЕС (6) на Комисията съдържат стандартни договорни клаузи за улесняване на предаването на лични данни от администратор на лични данни, установен в Съюза, на администратор или обработващ лични данни, установен в трета държава, която не предлага адекватно ниво на защита. Тези решения се основават на Директива 95/46/ЕО на Европейския парламент и на Съвета (7). |
|
(6) |
Съгласно член 46, параграф 5 от Регламент (ЕС) 2016/679 Решение 2001/497/ЕО и Решение 2010/87/ЕС остават в сила, докато не бъдат изменени, заменени или отменени, ако е необходимо, с решение на Комисията, прието съгласно член 46, параграф 2 от този регламент. Стандартните договорни клаузи в решенията се нуждаят от актуализиране с оглед на новите изисквания в Регламент (ЕС) 2016/679. Освен това от приемането на решенията насам цифровата икономика претърпя значителни промени и се характеризира с широко разпространено използване на нови и по-сложни операции по обработване, които често включват множество вносители и износители на данни, дълги и сложни вериги на обработване и непрекъснато развиващи се стопански взаимоотношения. Това изисква модернизиране на стандартните договорни клаузи, за да отразяват по-добре тези реалности, като обхванат допълнителни ситуации на обработване и предаване, и за да се даде възможност за по-гъвкав подход, например по отношение на броя на страните, които могат да се присъединят към договора. |
|
(7) |
Администраторът или обработващият лични данни може да използва стандартните договорни клаузи, заложени в приложението към настоящото решение, за да осигури подходящи гаранции по смисъла на член 46, параграф 1 от Регламент (ЕС) 2016/679 за предаването на лични данни на обработващ лични данни или администратор, установен в трета държава, без да се засяга тълкуването на понятието за международно предаване в Регламент (ЕС) 2016/679. Стандартните договорни клаузи могат да се използват за такива предавания само доколкото обработването от вносителя не попада в обхвата на Регламент (ЕС) 2016/679. Това включва и предаването на лични данни от администратор или обработващ лични данни, който не е установен в Съюза, доколкото обработването попада в обхвата на Регламент (ЕС) 2016/679 (съгласно член 3, параграф 2 от него), тъй като то е свързано с предлагането на стоки или услуги на субекти на данни в Съюза или с наблюдението на тяхното поведение, доколкото то се проявява в рамките на Съюза. |
|
(8) |
Като се има предвид общото съгласуване между Регламент (ЕС) 2016/679 и Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета (8), следва да бъде възможно стандартните договорни клаузи да се използват и в контекста на договор, както е посочено в член 29, параграф 4 от Регламент (ЕС) 2018/1725, за предаването на лични данни на обработващ лични данни подизпълнител в трета държава от обработващ лични данни, който не е институция или орган на Съюза, но попада в обхвата на Регламент (ЕС) 2016/679, и който обработва лични данни от името на институция или орган на Съюза в съответствие с член 29 от Регламент (ЕС) 2018/1725. Ако в договора са отразени същите задължения за защита на данните, предвидени в договора или друг правен акт между администратора и обработващия лични данни съгласно член 29, параграф 3 от Регламент (ЕС) 2018/1725, по-специално като се предоставят достатъчно гаранции за технически и организационни мерки, за да се гарантира, че обработването отговаря на изискванията на този регламент, това ще осигури спазването на член 29, параграф 4 от Регламент (ЕС) 2018/1725. По-специално това ще важи за случаите, в които администраторът и обработващият лични данни използват стандартните договорни клаузи в Решение за изпълнение на Комисията относно стандартни договорни клаузи между администратори и обработващи лични данни съгласно член 28, параграф 7 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета и член 29, параграф 7 от Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета (9). |
|
(9) |
Когато обработването включва предавания на данни от администратори, попадащи в обхвата на Регламент (ЕС) 2016/679, на обработващи лични данни извън неговия териториален обхват или от обработващи лични данни, попадащи в обхвата на Регламент (ЕС) 2016/679, на обработващи лични данни подизпълнители извън неговия териториален обхват, стандартните договорни клаузи, заложени в приложението към настоящото решение, също следва да позволяват изпълнението на изискванията по член 28, параграфи 3 и 4 от Регламент (ЕС) 2016/679. |
|
(10) |
В стандартните договорни клаузи, заложени в приложението към настоящото решение, са съчетани общи клаузи и модулен подход, за да бъдат обхванати различните сценарии на предаване и да бъде отчетена сложността на съвременните вериги на обработване. В допълнение към общите клаузи администраторите и обработващите лични данни следва да изберат модула, приложим в техния случай, така че задълженията им по стандартните договорни клаузи да бъдат съобразени с ролята и отговорностите им във връзка с въпросното обработване на данни. Следва да е възможно повече от две страни да се присъединят към стандартните договорни клаузи. Освен това следва да се допусне допълнителни администратори и обработващи лични данни да се присъединяват към стандартните договорни клаузи като износители или вносители на данни през целия срок на договора, по който са страна. |
|
(11) |
За да се осигурят подходящи гаранции, стандартните договорни клаузи следва да гарантират, че на личните данни, предавани на това основание, се осигурява ниво на защита, което по същество е равностойно на гарантираното в Съюза (10). За да се гарантира прозрачност на обработването, на субектите на данни следва да се предостави копие от стандартните договорни клаузи и те следва да бъдат информирани по-специално за категориите обработвани лични данни, правото да получат копие от стандартните договорни клаузи и всяко последващо предаване. Последващите предавания от вносителя на данни на трета страна в друга трета държава следва да бъдат допустими само ако третата страна се присъедини към стандартните договорни клаузи, ако непрекъснатостта на защитата е гарантирана по друг начин или в специфични ситуации, например въз основа на изричното информирано съгласие на субекта на данни. |
|
(12) |
С някои изключения, по-специално по отношение на някои задължения, които се отнасят изключително до отношенията между износителя на данни и вносителя на данни, субектите на данни следва да могат да се позовават и при необходимост да налагат спазването на стандартните договорни клаузи като трети страни бенефициери. Поради това, въпреки че страните следва да могат да изберат правото на една от държавите членки като приложимо към стандартните договорни клаузи, в това право трябва да бъдат предвидени права за трети страни бенефициери. С цел да се улесни индивидуалната правна защита, в стандартните договорни клаузи от вносителя на данни следва да се изисква да информира субектите на данни за координатите за връзка с точка за контакт и своевременно да разглежда всички жалби или искания. В случай на спор между вносителя на данни и субект на данни, който се позовава на правата си като трета страна бенефициер, субектът на данни следва да може да подаде жалба до компетентния надзорен орган или да отнесе спора до компетентните съдилища в ЕС. |
|
(13) |
За да се гарантира ефективно прилагане, вносителят на данни следва да бъде длъжен да приеме юрисдикцията на такъв орган и съдилищата и да се ангажира да спазва всяко задължително решение съгласно приложимото право на държавата членка. По-специално вносителят на данни следва да приеме да отговаря на запитвания, да бъде подлаган на одити и да спазва мерките, приети от надзорния орган, включително коригиращите и компенсаторните мерки. Освен това вносителят на данни следва да разполага с варианта да предлага на субектите на данни възможността да търсят правна защита пред независим орган за разрешаване на спорове без разходи за тях. В съответствие с член 80, параграф 1 от Регламент (ЕС) 2016/679 субектите на данни следва да могат да бъдат представлявани от сдружения или други структури при спорове срещу вносителя на данни, ако желаят това. |
|
(14) |
В стандартните договорни клаузи следва да бъдат предвидени правила за отговорността между страните и по отношение на субектите на данни и правила за обезщетяването между страните. Когато субектът на данни понесе имуществени или неимуществени вреди в резултат на нарушение на правата на третата страна бенефициер съгласно стандартните договорни клаузи, той следва да има право на обезщетение. Това не следва да засяга отговорността съгласно Регламент (ЕС) 2016/679. |
|
(15) |
В случай на предаване на данни на вносител на данни, действащ като обработващ лични данни или обработващ лични данни подизпълнител, следва да се прилагат специфични изисквания в съответствие с член 28, параграф 3 от Регламент (ЕС) 2016/679. В стандартните договорни клаузи следва от вносителя на данни да се изисква да предоставя цялата информация, необходима за доказване на спазването на задълженията, посочени в клаузите, и да позволява и допринася за извършването от износителя на данни на одити на дейностите му по обработване. По отношение на включването на обработващ лични данни подизпълнител от страна на вносителя на данни, в съответствие с член 28, параграфи 2 и 4 от Регламент (ЕС) 2016/679 в стандартните договорни клаузи следва по-специално да се предвиди процедура за общо или специфично разрешение от страна на износителя на данни и изискването за писмен договор с обработващия лични данни подизпълнител, осигуряващ същото ниво на защита, както съгласно тези клаузи. |
|
(16) |
Целесъобразно е в стандартните договорни клаузи да се предвидят различни гаранции за специфичната ситуация на предаване на лични данни от обработващ лични данни в Съюза на неговия администратор в трета държава, които да отразяват ограничените самостоятелни задължения на обработващите лични данни съгласно Регламент (ЕС) 2016/679. По-специално в стандартните договорни клаузи от обработващия лични данни следва да се изисква да информира администратора, ако не е в състояние да изпълни неговите указания, включително ако тези указания нарушават правото на Съюза в областта на защитата на данните, и от администратора да се изисква да се въздържа от всякакви действия, които биха попречили на обработващия лични данни да изпълни задълженията си по Регламент (ЕС) 2016/679. В тях следва също да се изисква от страните да си помагат взаимно, за да отговарят на запитвания и искания от субекти на данни съгласно местното право, приложимо по отношение на вносителя на данни, или съгласно Регламент (ЕС) 2016/679 по отношение на обработването на данни в Съюза. Следва да се прилагат допълнителни изисквания, имащи за цел справяне с последиците от законодателството на трета държава на получаване върху спазването на клаузите от администратора, и по-специално как да се третират правнообвързващи искания от публични органи в третата държава за разкриване на предадените лични данни, когато обработващият лични данни от Съюза съчетава личните данни, получени от администратора в третата държава, с лични данни, които обработващият лични данни е събрал в Съюза. Обратно, такива изисквания не са оправдани, когато възлагането на подизпълнители включва само обработване и обратно предаване на лични данни, които са били получени от администратора и във всички случаи са били и ще останат под юрисдикцията на въпросната трета държава. |
|
(17) |
Страните следва да могат да докажат, че спазват задълженията си по стандартните договорни клаузи. По-специално от вносителя на данни следва да се изисква да съхранява подходяща документация за дейностите по обработване, за които отговаря, и своевременно да уведомява износителя на данни, ако не е в състояние да спазва клаузите, независимо от причината. На свой ред износителят на данни следва да спре предаването и в особено сериозни случаи да има право да прекрати договора, доколкото той се отнася до обработването на лични данни съгласно стандартни договорни клаузи, когато вносителят на данни е допуснал нарушение на клаузите или не е в състояние да ги спазва. Следва да се прилагат специални правила, когато местното законодателство засяга спазването на клаузите. Личните данни, които са били предадени преди прекратяването на договора, и всички техни копия, по избор на износителя на данни следва да се бъдат върнати на износителя на данни или да бъдат изцяло унищожени. |
|
(18) |
В стандартните договорни клаузи следва да се предвидят специфични гаранции, по-специално с оглед на съдебната практика на Съда на Европейския съюз (11), за справяне с последиците от законодателството на трета държава на получаване върху спазването на клаузите от вносителя на данни, и по-специално как да се третират правнообвързващи искания от публични органи в тази държава за разкриване на предадените лични данни. |
|
(19) |
Предаването и обработването на лични данни съгласно стандартни договорни клаузи не следва да се извършва, ако законите и практиките в третата държава на получаване възпрепятстват вносителя на данни да спазва клаузите. В този контекст законите и практиките, които зачитат същността на основните права и свободи и са пропорционални, и не надхвърлят необходимото в едно демократично общество за защита на някоя от целите, изброени в член 23, параграф 1 от Регламент (ЕС) 2016/679, не следва да се смятат за такива в противоречие със стандартните договорни клаузи. Страните следва да гарантират, че към момента на договаряне на стандартните договорни клаузи нямат основание да смятат, че законите и практиките, приложими по отношение на вносителя на данни, не са в съответствие с тези изисквания. |
|
(20) |
Страните следва да вземат предвид по-специално специфичните обстоятелства на предаването (като например съдържанието и срока на договора, естеството на предаваните данни, вида на получателя, целта на обработването), законите и практиките на третата държава на получаване, които са от значение с оглед на обстоятелствата на предаването, и всички гаранции, въведени в допълнение към гаранциите съгласно стандартните договорни клаузи (включително съответните договорни, технически и организационни мерки, приложими за предаването на лични данни и тяхното обработване в държавата на получаване). По отношение на въздействието на такива закони и практики върху спазването на стандартните договорни клаузи различни елементи могат да се разглеждат като част от цялостната оценка, включително надеждна информация за прилагането на правото на практика (като например съдебната практика и докладите от независими надзорни органи), съществуването или липсата на искания в същия сектор и, при строги условия, документирания практически опит на износителя на данни и/или вносителя на данни. |
|
(21) |
Вносителят на данни следва да уведоми износителя на данни, ако след като е приел стандартните договорни клаузи, има основания да смята, че не е в състояние да спазва стандартните договорни клаузи. Ако износителят на данни получи такова уведомление или по друг начин разбере, че вносителят на данни повече не е в състояние да спазва стандартните договорни клаузи, той следва да определи подходящи мерки за справяне със ситуацията, ако е необходимо в консултации с компетентния надзорен орган. Такива мерки могат да включват допълнителни мерки, приети от износителя на данни и/или вносителя на данни, като например технически или организационни мерки за осигуряване на сигурност и поверителност. От износителя на данни следва да се изисква да спре предаването, ако смята, че не могат да бъдат осигурени подходящи гаранции, или ако компетентният надзорен орган даде указания за това. |
|
(22) |
Когато е възможно, вносителят на данни следва да уведоми износителя на данни и субекта на данни, ако получи от публичен (включително съдебен) орган правнообвързващо искане съгласно правото на държавата на получаване за разкриване на лични данни, предадени съгласно стандартните договорни клаузи. По същия начин той следва да ги уведоми, ако узнае за какъвто и да е пряк достъп на публични органи до такива лични данни в съответствие с правото на третата държава на получаване. Ако въпреки максимално положените усилия вносителят на данни не е в състояние да уведоми износителя на данни и/или субекта на данни за конкретни искания за разкриване, той следва да предостави на износителя на данни възможно най-пълна съответна информация относно исканията. Освен това вносителят на данни следва периодично да предоставя на износителя на данни обобщена информация. От вносителя на данни следва също да се изисква да документира всяко получено искане за разкриване на информация и предоставения отговор и при поискване да предоставя тази информация на износителя на данни или на компетентния надзорен орган, или и на двамата. Ако, след като провери законосъобразността на такова искане съгласно законодателството на държавата на получаване, вносителят на данни стигне до заключението, че има разумни основания да се смята, че искането е незаконосъобразно съгласно законодателството на третата държава на получаване, той следва да го оспори, включително, когато е целесъобразно, като изчерпи наличните възможности за обжалване. Във всички случаи, ако вносителят на данни повече не е в състояние да спазва стандартните договорни клаузи, той следва да информира съответно износителя на данни, включително когато това е следствие от искане за разкриване. |
|
(23) |
Тъй като нуждите на заинтересованите страни, технологиите и операциите по обработване могат да се променят, Комисията следва да оцени действието на стандартните договорни клаузи в светлината на натрупания опит като част от периодичната оценка на Регламент (ЕС) 2016/679, предвидена в член 97 от този регламент. |
|
(24) |
Решение 2001/497/ЕО и Решение 2010/87/ЕС следва да бъдат отменени три месеца след влизането в сила на настоящото решение. През този период, за целите на член 46, параграф 1 от Регламент (ЕС) 2016/679, износителите на данни и вносителите на данни следва да продължат да могат да използват стандартните договорни клаузи, заложени в решения 2001/497/ЕО и 2010/87/ЕС. През допълнителен период от 15 месеца, за целите на член 46, параграф 1 от Регламент (ЕС) 2016/679, износителите на данни и вносителите на данни следва да могат да продължат да използват стандартните договорни клаузи, заложени в решения 2001/497/ЕО и 2010/87/ЕС, за изпълнението на договори, сключени между тях преди датата на отмяна на тези решения, при условие че операциите по обработване, които са предмет на договора, остават непроменени и че използването на клаузите гарантира, че предаването на лични данни се извършва при наличието на подходящи гаранции по смисъла на член 46, параграф 1 от Регламент (ЕС) 2016/679. В случай на съответни промени в договора от износителя на данни следва да се изисква да използва ново основание за предаванията на данни съгласно договора, по-специално като замени съществуващите стандартни договорни клаузи със стандартните договорни клаузи, заложени в приложението към настоящото решение. Същото следва да се прилага и за всяко възлагане на обработващ лични данни (или обработващ лични данни подизпълнител) на операции по обработване, обхванати от договора. |
|
(25) |
В съответствие с член 42, параграфи 1 и 2 от Регламент (ЕС) 2018/1725 бяха проведени консултации с Европейския надзорен орган по защита на данните и Европейския комитет по защита на данните. На 14 януари 2021 г. (12) те представиха съвместно становище, което беше взето предвид при изготвянето на настоящото решение. |
|
(26) |
Мерките, предвидени в настоящото решение, са в съответствие със становището на комитета, създаден съгласно член 93 от Регламент (ЕС) 2016/679, |
ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:
Член 1
1. Смята се, че стандартните договорни клаузи, заложени в приложението, осигуряват подходящи гаранции по смисъла на член 46, параграф 1 и член 46, параграф 2, буква в) от Регламент (ЕС) 2016/679 за предаването от администратор или обработващ лични данни, спрямо чието обработване се прилага този регламент (износител на данни), на администратор или обработващ лични данни (или обработващ лични данни подизпълнител), спрямо чието обработване не се прилага този регламент (вносител на данни).
2. В стандартните договорни клаузи също така се определят правата и задълженията на администраторите и обработващите лични данни по отношение на въпросите, посочени в член 28, параграфи 3 и 4 от Регламент (ЕС) 2016/679, що се отнася до предаването на лични данни от администратор на лични данни на обработващ лични данни или от обработващ лични данни на обработващ лични данни подизпълнител.
Член 2
Когато компетентните органи на държава членка упражняват корективни правомощия съгласно член 58 от Регламент (ЕС) 2016/679 в отговор на това, че спрямо вносителя на данни с прилагат или ще се прилагат закони или практики в трета държава на получаване, които го възпрепятстват да спазва стандартните договорни клаузи, заложени в приложението, водещи до спиране или забрана на предаванията на данни на трети държави, съответната държава членка незабавно информира Комисията, която препраща информацията на другите държави членки.
Член 3
Комисията оценява практическото прилагане на стандартните договорни клаузи, заложени в приложението, въз основа на цялата налична информация като част от периодичната оценка, изисквана съгласно член 97 от Регламент (ЕС) 2016/679.
Член 4
1. Настоящото решение влиза в сила на двадесетия ден след деня на публикуването му в Официален вестник на Европейския съюз.
2. Решение 2001/497/ЕО се отменя, считано от 27 септември 2021 г.
3. Решение 2010/87/ЕС се отменя, считано от 27 септември 2021 г.
4. Смята се, че договорите, сключени преди 27 септември 2021 г. въз основа на Решение 2001/497/ЕО или Решение 2010/87/ЕС, осигуряват подходящи гаранции по смисъла на член 46, параграф 1 от Регламент (ЕС) 2016/679 до 27 декември 2022 г., при условие че операциите по обработване, които са предмет на договора, остават непроменени и че използването на тези клаузи гарантира, че предаването на лични данни се извършва при наличието на подходящи гаранции.
Съставено в Брюксел на 4 юни 2021 година.
За Комисията
Председател
Ursula VON DER LEYEN
(1) ОВ L 119, 4.5.2016 г., стр. 1.
(2) Член 44 от Регламент (ЕС) 2016/679.
(3) Вж. също решение на Съда от 16 юли 2020 г., Data Protection Commissioner/Facebook Ireland Ltd и Maximillian Schrems („Schrems II“), C-311/18, ECLI:EU:C:2020:559, т. 93.
(4) Съображение 109 от Регламент (ЕС) 2016/679.
(5) Решение 2001/497/ЕО на Комисията от 15 юни 2001 г. относно общите договорни клаузи за трансфера на лични данни към трети страни съгласно Директива 95/46/ЕО (ОВ L 181, 4.7.2001 г., стр. 19).
(6) Решение 2010/87/ЕС на Комисията от 5 февруари 2010 г. относно стандартните договорни клаузи при предаването на лични данни към лицата, които ги обработват, установени в трети страни, съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета (ОВ L 39, 12.2.2010 г., стр. 5).
(7) Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 23.11.1995 г., стр. 31).
(8) Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО (ОВ L 295, 21.11.2018 г., стр. 39), вж. съображение 5.
(9) C(2021) 3701.
(10) Решение по дело Schrems II, т. 96 и 103. Вж. също Регламент (ЕС) 2016/679, съображения 108 и 114.
(11) Решение по дело Schrems II.
(12) Съвместно становище 2/2021 на ЕКЗД и ЕНОЗД във връзка с Решението за изпълнение на Европейската комисия относно общите договорни клаузи за трансфера на лични данни към трети държави по въпросите, посочени в член 46, параграф 2, буква в) от Регламент (ЕС) 2016/679.
ПРИЛОЖЕНИЕ
СТАНДАРТНИ ДОГОВОРНИ КЛАУЗИ
РАЗДЕЛ I
Клауза 1
Цел и обхват
|
а) |
Целта на настоящите стандартни договорни клаузи е да се осигури съответствие с изискванията на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (Общ регламент относно защитата на данните) (1) по отношение на предаването на лични данни на трета държава. |
|
б) |
Страните:
се споразумяха за следните стандартни договорни клаузи (наричани по-нататък „клаузите“). |
|
в) |
Настоящите клаузи се прилагат по отношение на предаването на лични данни, посочено в приложение I.Б. |
|
г) |
Допълнението към настоящите клаузи, което съдържа посочените тук приложения, е неразделна част от клаузите. |
Клауза 2
Действие и неизменност на клаузите
|
а) |
С настоящите клаузи се определят подходящите гаранции, включително приложимите права на субектите на данни и ефективните правни средства за защита съгласно член 46, параграф 1 и член 46, параграф 2, буква в) от Регламент (ЕС) 2016/679, а по отношение на предаването на данни от администратори на обработващи лични данни и/или от обработващи лични данни на обработващи лични данни — стандартните договорни клаузи съгласно член 28, параграф 7 от Регламент (ЕС) 2016/679, при условие че те не са променени, освен с цел да се избере подходящият(ите) модул(и) или да се добави или актуализира информация в допълнението. Това не пречи на страните да включат стандартните договорни клаузи, определени в настоящите клаузи, в по-широк договор и/или да добавят други клаузи или допълнителни гаранции, при условие че те не противоречат, пряко или непряко, на настоящите клаузи или не засягат основни права или свободи на субектите на данни. |
|
б) |
Настоящите клаузи не засягат задълженията на износителя на данни по силата на Регламент (ЕС) 2016/679. |
Клауза 3
Трети страни бенефициери
|
а) |
Субектите на данни, в качеството си на трети страни бенефициери, могат да се позовават на настоящите клаузи и да искат прилагането им спрямо износителя на данни и/или спрямо вносителя на данни, със следните изключения:
|
|
б) |
Буква а) не засяга правата на субектите на данни съгласно Регламент (ЕС) 2016/679. |
Клауза 4
Тълкуване
|
а) |
Когато в настоящите клаузи се използват термини, определени в Регламент (ЕС) 2016/679, тези термини имат същото значение като в този регламент. |
|
б) |
Настоящите клаузи се четат и тълкуват в светлината на разпоредбите на Регламент (ЕС) 2016/679. |
|
в) |
Настоящите клаузи не трябва да се тълкуват по начин, който противоречи на правата и задълженията, предвидени в Регламент (ЕС) 2016/679. |
Клауза 5
Йерархия
В случай на противоречие между настоящите клаузи и разпоредбите на свързаните с тях споразумения между страните, съществуващи към момента на договаряне на настоящите клаузи или сключени след това, предимство имат настоящите клаузи.
Клауза 6
Описание на предаването(ията)
Подробностите за предаването(ията), и по-специално категориите лични данни, които се предават, и целта(ите), за които се предават данните, са посочени в приложение I.Б.
Клауза 7 — незадължителна
Клауза за присъединяване
|
а) |
Структура, която не е страна по настоящите клаузи, може със съгласието на страните да се присъедини към настоящите клаузи по всяко време или като износител на данни, или като вносител на данни, като попълни допълнението и подпише приложение I.А. |
|
б) |
След като попълни допълнението и подпише приложение I.А, присъединяващата се структура става страна по настоящите клаузи и има правата и задълженията на износител на данни или на вносител на данни в съответствие с посоченото в приложение I.А. |
|
в) |
Настоящите клаузи не пораждат права или задължения за присъединяващата се структура за периода преди тя да стане страна. |
РАЗДЕЛ II — ЗАДЪЛЖЕНИЯ НА СТРАНИТЕ
Клауза 8
Гаранции за защита на личните данни
Износителят на данни гарантира, че е положил разумни усилия, за да се увери, че вносителят на данни е в състояние да изпълни задълженията си по настоящите клаузи чрез прилагането на подходящи технически и организационни мерки.
МОДУЛ 1: предаване на данни от администратор на администратор
8.1. Ограничение в рамките на целта
Вносителят на данни обработва личните данни само за конкретната(ите) цел(и), за която (които) са предадени, както е посочено в приложение I.Б. Той може да обработва личните данни за друга цел единствено когато:
|
i) |
е получил предварителното съгласие на субекта на данни; |
|
ii) |
това е необходимо с цел установяване, упражняване или защита на правни претенции в контекста на конкретно административно, регулаторно или съдебно производство; или |
|
iii) |
това е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данни или на друго физическо лице. |
8.2. Прозрачност
|
а) |
За да могат субектите на данни ефективно да упражняват правата си съгласно клауза 10, вносителят на данни ги уведомява пряко или чрез износителя на данни:
|
|
б) |
Буква а) не се прилага, когато субектът на данни вече разполага с информацията, включително когато такава информация е вече предоставена от износителя на данни, или когато предоставянето на информацията се окаже невъзможно или изисква несъразмерно големи усилия от страна на вносителя на данни. В последния случай вносителят на данни, доколкото е възможно, предоставя публичен достъп до информацията. |
|
в) |
При поискване страните предоставят безплатно на субекта на данни копие от настоящите клаузи, включително от допълнението, попълнено от тях. До степента, необходима за защита на търговски тайни или друга поверителна информация, включително лични данни, страните могат да редактират част от текста на допълнението, преди да споделят негово копие, но трябва да предоставят съдържателно резюме, ако в противен случай субектът на данни не би могъл да разбере съдържанието му или да упражни правата си. При поискване страните предоставят на субекта на данни причините за редактирането, доколкото това е възможно, без да разкриват редактираната информация. |
|
г) |
Букви а)—в) не засягат задълженията на износителя на данни по членове 13 и 14 от Регламент (ЕС) 2016/679. |
8.3. Точност и свеждане на данните до минимум
|
а) |
Всяка от страните гарантира, че личните данни са точни и при необходимост, че са поддържани в актуален вид. Вносителят на данни предприема всички разумни мерки, за да гарантира своевременното изтриване или коригиране на неточни лични данни, като се има(т) предвид целта(ите), за която (които) се обработват. |
|
б) |
Ако една от страните узнае, че личните данни, които е предала или получила, са неточни или са остарели, тя уведомява другата страна без ненужно забавяне. |
|
в) |
Вносителят на данни гарантира, че личните данни са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват. |
8.4. Ограничение на съхранението
Вносителят на данни съхранява личните данни за период, не по-дълъг от необходимото за целта(ите), за която (които) те се обработват. Той въвежда подходящи технически или организационни мерки, за да гарантира спазването на това задължение, включително изтриване или анонимизация (2) на данните и на всички резервни копия в края на периода на съхранение.
8.5. Сигурност на обработването
|
а) |
Вносителят на данни, а по време на предаването също и износителят на данни, прилагат подходящи технически и организационни мерки, за да осигурят сигурността на личните данни, включително защита срещу нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп (наричано по-нататък „нарушение на сигурността на личните данни“). При оценката на подходящото ниво на сигурност те вземат предвид достиженията на техническия прогрес, разходите за прилагане, естеството, обхвата, контекста и целта(ите) на обработването, както и свързаните с обработването рискове за субекта на данни. По-специално страните обмислят възможността за използване на криптиране или псевдонимизация, включително по време на предаването, когато целта на обработването може да бъде постигната по такъв начин. |
|
б) |
Страните са се споразумели за техническите и организационните мерки, посочени в приложение II. Вносителят на данни извършва редовни проверки, за да гарантира, че тези мерки продължават да осигуряват подходящо ниво на сигурност. |
|
в) |
Вносителят на данни гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или по закон са длъжни да спазват поверителност. |
|
г) |
В случай на нарушение на сигурността на личните данни във връзка с лични данни, обработвани от вносителя на данни съгласно настоящите клаузи, той предприема подходящи мерки за справяне с нарушението на сигурността на личните данни, включително мерки за намаляване на евентуалните неблагоприятни последици. |
|
д) |
В случай на нарушение на сигурността на личните данни, което може да породи риск за правата и свободите на физическите лица, вносителят на данни без ненужно забавяне уведомява както износителя на данни, така и компетентния надзорен орган съгласно клауза 13. Уведомлението съдържа i) описание на естеството на нарушението (включително, ако е възможно, категориите и приблизителния брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни), ii) евентуалните последици от нарушението, iii) предприетите или предложените мерки за справяне с нарушението, и iv) координатите на лице за контакт, от което може да бъде получена повече информация. Доколкото за вносителя на данни не е възможно да подаде цялата информация едновременно, той може да я подаде поетапно без по-нататъшно ненужно забавяне. |
|
е) |
В случай на нарушение на сигурността на личните данни, което може да породи висок риск за правата и свободите на физическите лица, вносителят също така без ненужно забавяне съобщава на засегнатите субекти на данни за нарушението на сигурността на личните данни и неговото естество, ако е необходимо в сътрудничество с износителя на данни, както и информацията, посочена в буква д), подточки ii)—iv), освен ако вносителят на данни е въвел мерки за значително намаляване на риска за правата или свободите на физическите лица или ако уведомяването би довело до непропорционални усилия. В последния случай вносителят на данни вместо това прави публично съобщение или предприема друга подобна мярка, за да уведоми обществеността за нарушението на сигурността на личните данни. |
|
ж) |
Вносителят на данни документира всички съответни факти, свързани с нарушението на сигурността на личните данни, включително последиците от него и предприетите действия за справяне с него, и поддържа регистър на нарушенията. |
8.6. Чувствителни данни
Когато предаването е свързано с лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, генетични данни или биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице, или данни, свързани с присъди или нарушения (наричани по-нататък „чувствителни данни“), вносителят на данни прилага специфични ограничения и/или допълнителни гаранции, приспособени към специфичното естество на данните и свързаните рискове. Това може да включва ограничаване на персонала, на който е разрешен достъп до личните данни, допълнителни мерки за сигурност (като псевдонимизация) и/или допълнителни ограничения по отношение на по-нататъшното разкриване.
8.7. Последващи предавания
Вносителят на данни не разкрива личните данни пред трета страна, която се намира извън Европейския съюз (3) (в същата държава като вносителя на данни или в друга трета държава, наричано по-нататък „последващо предаване“), освен ако третата страна не е обвързана или не приеме да бъде обвързана от настоящите клаузи по съответния модул. В противен случай последващо предаване от вносителя на данни може да бъде извършено единствено ако:
|
i) |
е към държава, по отношение на която е прието решение на Комисията относно адекватното ниво на защита съгласно член 45 от Регламент (ЕС) 2016/679, в което е включено последващо предаване; |
|
ii) |
третата страна осигури по друг начин подходящи гаранции съгласно член 46 или член 47 от Регламент (ЕС) 2016/679 по отношение на въпросното обработване; |
|
iii) |
третата страна сключи с вносителя на данни инструмент със задължителен характер, осигуряващ същото ниво на защита на данните, както съгласно настоящите клаузи, и вносителят на данни предостави копие от тези гаранции на износителя на данни; |
|
iv) |
това е необходимо с цел установяване, упражняване или защита на правни претенции в контекста на конкретно административно, регулаторно или съдебно производство; |
|
v) |
това е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данни или на друго физическо лице; или |
|
vi) |
когато не се прилага никое друго условие, вносителят на данни е получил изричното съгласие на субекта на данни за последващо предаване в конкретна ситуация, след като го е уведомил за целта(ите), за самоличността на получателя и за възможните рискове за него от такова предаване поради липсата на подходящи гаранции за защита на данните. В този случай вносителят на данни уведомява износителя на данни и по негово искане му предава копие от информацията, предоставена на субекта на данни. |
Всяко последващо предаване трябва да се извършва, при условие че вносителят на данни спазва всички други гаранции съгласно настоящите клаузи, по-специално ограничението в рамките на целта.
8.8. Обработване под ръководството на вносителя на данни
Вносителят на данни гарантира, че всяко лице, действащо под негово ръководство, включително обработващ лични данни, обработва данните само по негово указание.
8.9. Документиране и съответствие
|
а) |
Всяка страна трябва да може да докаже, че спазва задълженията си по настоящите клаузи. По-специално вносителят на данни съхранява подходяща документация за дейностите по обработване, извършени под негова отговорност. |
|
б) |
Вносителят на данни е длъжен при поискване да предоставя такава документация на компетентния надзорен орган. |
МОДУЛ 2: предаване на данни от администратор на обработващ лични данни
8.1. Указания
|
а) |
Вносителят на данни обработва личните данни само по документирано нареждане на износителя на данни. Износителят на данни може да дава такива указания през целия срок на договора. |
|
б) |
Вносителят на данни незабавно уведомява износителя на данни, ако не е в състояние да изпълни тези указания. |
8.2. Ограничение в рамките на целта
Вносителят на данни обработва личните данни само за конкретната(ите) цел(и), за която (които) са предадени, както е посочено в приложение I.Б, освен когато износителят на данни е дал допълнителни указания.
8.3. Прозрачност
При поискване износителят на данни предоставя безплатно на субекта на данни копие от настоящите клаузи, включително от допълнението, попълнено от страните. До степента, необходима за защита на търговски тайни или друга поверителна информация, включително мерките, описани в приложение II, и на личните данни, износителят на данни може да редактира част от текста на допълнението към настоящите клаузи, преди да сподели негово копие, но трябва да предостави съдържателно резюме, ако в противен случай субектът на данни не би могъл да разбере съдържанието му или да упражни правата си. При поискване страните предоставят на субекта на данни причините за редактирането, доколкото това е възможно, без да разкриват редактираната информация. Тази клауза не засяга задълженията на износителя на данни по членове 13 и 14 от Регламент (ЕС) 2016/679.
8.4. Точност
Ако вносителят на данни узнае, че личните данни, които е получил, са неточни или са остарели, той уведомява износителя на данни без ненужно забавяне. В този случай вносителят на данни си сътрудничи с износителя на данни за изтриване или коригиране на данните.
8.5. Срок на обработването и изтриване или връщане на данните
Обработване от вносителя на данни се извършва единствено в срока, посочен в приложение I.Б. При прекратяване на предоставянето на услугите по обработване вносителят на данни, по избор на износителя на данни, заличава всички лични данни, обработвани от името на износителя на данни, и удостоверява пред износителя на данни, че е направил това, или му връща всички лични данни, обработвани от негово име, и заличава съществуващите копия. Докато данните не бъдат заличени или върнати, вносителят на данни продължава да осигурява спазването на настоящите клаузи. Когато съществува местно законодателство, приложимо по отношение на вносителя на данни, с което се забранява връщането или заличаването на личните данни, вносителят на данни гарантира, че ще продължи да осигурява спазването на настоящите клаузи и ще обработва данните само до степента и за периода, изисквани от това местно законодателство. Това не засяга клауза 14, по-специално изискването по клауза 14, буква д) вносителят на данни да уведомява износителя на данни по време на срока на договора, ако има основания да смята, че е длъжен, или ако стане длъжен да спазва закони или практики, които не са в съответствие с изискванията по клауза 14, буква а).
8.6. Сигурност на обработването
|
а) |
Вносителят на данни, а по време на предаването също и износителят на данни, прилагат подходящи технически и организационни мерки за осигуряване на сигурността на данните, включително защита срещу нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване на данните или достъп до тях (наричано по-нататък „нарушение на сигурността на личните данни“). При оценката на подходящото ниво на сигурност страните вземат предвид достиженията на техническия прогрес, разходите за прилагане, естеството, обхвата, контекста и целта(ите) на обработването, както и свързаните с обработването рискове за субектите на данни. По-специално страните обмислят възможността за използване на криптиране или псевдонимизация, включително по време на предаването, когато целта на обработването може да бъде постигната по такъв начин. В случай на псевдонимизация допълнителната информация за свързване на личните данни с конкретен субект на данни остава, когато е възможно, под изключителния контрол на износителя на данни. Във връзка с изпълнението на това задължение по настоящия параграф вносителят на данни прилага най-малко техническите и организационните мерки, посочени в приложение II. Вносителят на данни извършва редовни проверки, за да гарантира, че тези мерки продължават да осигуряват подходящо ниво на сигурност. |
|
б) |
Вносителят на данни предоставя на членовете на своя персонал достъп до личните данни само до степента, която е строго необходима за изпълнението, управлението и наблюдението на договора. Той гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са длъжни по закон да спазват поверителност. |
|
в) |
В случай на нарушение на сигурността на личните данни във връзка с лични данни, обработвани от вносителя на данни съгласно настоящите клаузи, той предприема подходящи мерки за справяне с нарушението, включително мерки за намаляване на неблагоприятните последици. След като узнае за нарушението вносителят на данни също така уведомява износителя на данни без ненужно забавяне. Уведомлението съдържа координатите на лице за контакт, от което може да бъде получена повече информация, описание на естеството на нарушението (включително, ако е възможно, категориите и приблизителния брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни), евентуалните последици от нарушението и предприетите или предложените мерки за справяне с нарушението, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици. Когато и доколкото не е възможно цялата информация да се подаде едновременно, първоначалното уведомление съдържа информацията, която е налична към момента, а допълнителната информация се предоставя впоследствие, когато стане налична, без ненужно забавяне. |
|
г) |
Вносителят на данни си сътрудничи с износителя на данни и го подпомага, за да му даде възможност да изпълни задълженията си по Регламент (ЕС) 2016/679, по-специално да уведоми компетентния надзорен орган и засегнатите субекти на данни, като се вземе предвид естеството на обработването и информацията, с която разполага вносителят на данни. |
8.7. Чувствителни данни
Когато предаването е свързано с лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, генетични данни или биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице, или данни, свързани с присъди и нарушения (наричани по-нататък „чувствителни данни“), вносителят на данни прилага специфичните ограничения и/или допълнителни гаранции, посочени в приложение I.Б.
8.8. Последващи предавания
Вносителят на данни разкрива личните данни пред трета страна само по документирано нареждане на износителя на данни. Освен това данните може да бъдат разкривани пред трета страна, която се намира извън Европейския съюз (4) (в същата държава като вносителя на данни или в друга трета държава, наричано по-нататък „последващо предаване“), освен ако третата страна не е обвързана или не приеме да бъде обвързана от настоящите клаузи по съответния модул, или ако:
|
i) |
последващото предаване е към държава, по отношение на която е прието решение на Комисията относно адекватното ниво на защита съгласно член 45 от Регламент (ЕС) 2016/679, в което е включено последващо предаване; |
|
ii) |
третата страна осигури по друг начин подходящи гаранции съгласно член 46 или член 47 от Регламент (ЕС) 2016/679 по отношение на въпросното обработване; |
|
iii) |
последващото предаване е необходимо с цел установяване, упражняване или защита на правни претенции в контекста на конкретно административно, регулаторно или съдебно производство; или |
|
iv) |
последващо предаване е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данни или на друго физическо лице. |
Всяко последващо предаване трябва да се извършва, при условие че вносителят на данни спазва всички други гаранции съгласно настоящите клаузи, по-специално ограничението в рамките на целта.
8.9. Документиране и съответствие
|
а) |
Вносителят на данни обработва своевременно и по подходящия начин всички запитвания от страна на износителя на данни, свързани с обработването съгласно настоящите клаузи. |
|
б) |
Страните трябва да могат да докажат, че спазват задълженията си по настоящите клаузи. По-специално вносителят на данни съхранява подходяща документация за дейностите по обработване, извършвани от името на износителя на данни. |
|
в) |
Вносителят на данни предоставя на износителя на данни цялата информация, необходима за доказване на спазването на задълженията, посочени в настоящите клаузи, и по искане на износителя на данни позволява и допринася за извършването на одити на обхванатите от настоящите клаузи дейности по обработване на разумни интервали или ако има основание да се смята, че е налице неспазване. Когато взема решение за извършване на проверка или одит, износителят на данни може да вземе предвид съответните сертификати, притежавани от вносителя на данни. |
|
г) |
Износителят на данни може да избере да извърши одита сам или да упълномощи независим одитор. Одитите могат да включват проверки в помещенията или физическите съоръжения на вносителя на данни и, когато е целесъобразно, се извършват с разумно предизвестие. |
|
д) |
При поискване страните предоставят информацията, посочена в букви б) и в), включително резултатите от одити, на компетентния надзорен орган. |
МОДУЛ 3: предаване на данни от обработващ лични данни на обработващ лични данни
8.1. Указания
|
а) |
Износителят на данни е уведомил вносителя на данни, че действа като лице, обработващо данните, съгласно указанията на своя(ите) администратор(и) на данни, като предоставя тези указания на вносителя на данни преди обработването. |
|
б) |
Вносителят на данни обработва личните данни само по документирано нареждане на администратора на данни, съобщено от износителя на данни на вносителя на данни, и по всяко допълнително документирано нареждане на износителя на данни. Такова допълнително нареждане не трябва да противоречи на нареждането на администратора на данни. Администраторът или износителят на данни може да дава допълнителни документирани нареждания относно обработването на данните през целия срок на договора. |
|
в) |
Вносителят на данни незабавно уведомява износителя на данни, ако не е в състояние да изпълни тези указания. Когато вносителят на данни не е в състояние да изпълни указанията на администратора на данни, износителят на данни незабавно уведомява администратора. |
|
г) |
Износителят на данни гарантира, че е наложил на вносителя на данни същите задължения за защита на данните, както задълженията, предвидени в договора или друг правен акт съгласно правото на Съюза или на държава членка между администратора и износителя на данни (5). |
8.2. Ограничение в рамките на целта
Вносителят на данни обработва личните данни само за конкретната(ите) цел(и), за която (които) са предадени, както е посочено в приложение I.Б, освен когато ги обработва по допълнително нареждане на администратора на лични данни, съобщено на вносителя на данни от износителя на данни, или по допълнително нареждане на износителя на данни.
8.3. Прозрачност
При поискване износителят на данни предоставя безплатно на субекта на данни копие от настоящите клаузи, включително от допълнението, попълнено от страните. До степента, необходима за защита на търговски тайни или друга поверителна информация, включително лични данни, износителят на данни може да редактира част от текста на допълнението, преди да сподели негово копие, но трябва да предостави съдържателно резюме, ако в противен случай субектът на данни не би могъл да разбере съдържанието му или да упражни правата си. При поискване страните предоставят на субекта на данни причините за редактирането, доколкото това е възможно, без да разкриват редактираната информация.
8.4. Точност
Ако вносителят на данни узнае, че личните данни, които е получил, са неточни или са остарели, той уведомява износителя на данни без ненужно забавяне. В този случай вносителят на данни си сътрудничи с износителя на данни за коригиране или изтриване на данните.
8.5. Срок на обработването и изтриване или връщане на данните
Обработване от вносителя на данни се извършва единствено в срока, посочен в приложение I.Б. При прекратяване на предоставянето на услугите по обработване вносителят на данни, по избор на износителя на данни, заличава всички лични данни, обработвани от името на администратора на данни, и удостоверява пред износителя на данни, че е направил това, или му връща всички лични данни, обработвани от негово име, и заличава съществуващите копия. Докато данните не бъдат заличени или върнати, вносителят на данни продължава да осигурява спазването на настоящите клаузи. Когато съществува местно законодателство, приложимо по отношение на вносителя на данни, с което се забранява връщането или заличаването на личните данни, вносителят на данни гарантира, че ще продължи да осигурява спазването на настоящите клаузи и ще обработва данните само до степента и за периода, изисквани от това местно законодателство. Това не засяга клауза 14, по-специално изискването по клауза 14, буква д) вносителят на данни да уведомява износителя на данни по време на срока на договора, ако има основания да смята, че е длъжен, или ако стане длъжен да спазва закони или практики, които не са в съответствие с изискванията по клауза 14, буква а).
8.6. Сигурност на обработването
|
а) |
Вносителят на данни, а по време на предаването също и износителят на данни, прилагат подходящи технически и организационни мерки за осигуряване на сигурността на данните, включително защита срещу нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване на данните или достъп до тях (наричано по-нататък „нарушение на сигурността на личните данни“). При оценката на подходящото ниво на сигурност те вземат предвид достиженията на техническия прогрес, разходите за прилагане, естеството, обхвата, контекста и целта(ите) на обработването, както и свързаните с обработването рискове за субекта на данни. По-специално страните обмислят възможността за използване на криптиране или псевдонимизация, включително по време на предаването, когато целта на обработването може да бъде постигната по такъв начин. В случай на псевдонимизация допълнителната информация за свързване на личните данни с конкретен субект на данни остава, когато е възможно, под изключителния контрол на износителя на данни или на администратора на лични данни. Във връзка с изпълнението на това задължение по настоящия параграф вносителят на данни прилага най-малко техническите и организационните мерки, посочени в приложение II. Вносителят на данни извършва редовни проверки, за да гарантира, че тези мерки продължават да осигуряват подходящо ниво на сигурност. |
|
б) |
Вносителят на данни предоставя на членовете на своя персонал достъп до данните само до степента, която е строго необходима за изпълнението, управлението и наблюдението на договора. Той гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са длъжни по закон да спазват поверителност. |
|
в) |
В случай на нарушение на сигурността на личните данни във връзка с лични данни, обработвани от вносителя на данни съгласно настоящите клаузи, той предприема подходящи мерки за справяне с нарушението, включително мерки за намаляване на неблагоприятните последици. След като узнае за нарушението вносителят на данни също така уведомява без ненужно забавяне износителя на данни и когато това е уместно и осъществимо — администратора на данни. Уведомлението съдържа координатите на лице за контакт, от което може да бъде получена повече информация, описание на естеството на нарушението (включително, ако е възможно, категориите и приблизителния брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни), евентуалните последици от нарушението на сигурността на данните и предприетите или предложените мерки за справяне с нарушението, включително мерки за намаляване на евентуалните неблагоприятни последици. Когато и доколкото не е възможно цялата информация да се подаде едновременно, първоначалното уведомление съдържа информацията, която е налична към момента, а допълнителната информация се предоставя впоследствие, когато стане налична, без ненужно забавяне. |
|
г) |
Вносителят на данни си сътрудничи с износителя на данни и го подпомага, за да му даде възможност да изпълни задълженията си по Регламент (ЕС) 2016/679, по-специално да уведоми своя администратор на лични данни, така че той да може на свой ред да уведоми компетентния надзорен орган и засегнатите субекти на данни, като се вземе предвид естеството на обработването и информацията, с която разполага вносителят на данни. |
8.7. Чувствителни данни
Когато предаването е свързано с лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, генетични данни или биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице, или данни, свързани с присъди и нарушения (наричани по-нататък „чувствителни данни“), вносителят на данни прилага специфичните ограничения и/или допълнителни гаранции, посочени в приложение I.Б.
8.8. Последващи предавания
Вносителят на данни разкрива личните данни пред трета страна само по документирано нареждане на администратора, съобщено от износителя на данни на вносителя на данни. Освен това данните може да бъдат разкривани пред трета страна, която се намира извън Европейския съюз (6) (в същата държава като вносителя на данни или в друга трета държава, наричано по-нататък „последващо предаване“), освен ако третата страна не е обвързана или не приеме да бъде обвързана от настоящите клаузи по съответния модул, или ако:
|
i) |
последващото предаване е към държава, по отношение на която е прието решение на Комисията относно адекватното ниво на защита съгласно член 45 от Регламент (ЕС) 2016/679, в което е включено последващо предаване; |
|
ii) |
третата страна осигури по друг начин подходящи гаранции съгласно член 46 или член 47 от Регламент (ЕС) 2016/679; |
|
iii) |
последващото предаване е необходимо с цел установяване, упражняване или защита на правни претенции в контекста на конкретно административно, регулаторно или съдебно производство; или |
|
iv) |
последващо предаване е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данни или на друго физическо лице. |
Всяко последващо предаване трябва да се извършва, при условие че вносителят на данни спазва всички други гаранции съгласно настоящите клаузи, по-специално ограничението в рамките на целта.
8.9. Документиране и съответствие
|
а) |
Вносителят на данни обработва своевременно и по подходящия начин всички запитвания от страна на износителя на данни или на администратора, свързани с обработването съгласно настоящите клаузи. |
|
б) |
Страните трябва да могат да докажат, че спазват задълженията си по настоящите клаузи. По-специално вносителят на данни съхранява подходяща документация за дейностите по обработване, извършвани от името на администратора на лични данни. |
|
в) |
Вносителят на данни предоставя на износителя на данни цялата информация, необходима за доказване на спазването на задълженията, посочени в настоящите клаузи, като износителят на данни предоставя тази информация на администратора. |
|
г) |
Вносителят на данни позволява и допринася за извършването от износителя на данни на одити на обхванатите от настоящите клаузи дейности по обработване на разумни интервали или ако има основание да се смята, че е налице неспазване. Същото се прилага, когато износителят на данни изисква одит по указания на администратора. Когато взема решение за извършване на одит, износителят на данни може да вземе предвид съответните сертификати, притежавани от вносителя на данни. |
|
д) |
Когато одитът се извършва по указания на администратора, износителят на данни предоставя резултатите на администратора. |
|
е) |
Износителят на данни може да избере да извърши одита сам или да упълномощи независим одитор. Одитите могат да включват проверки в помещенията или физическите съоръжения на вносителя на данни и, когато е целесъобразно, се извършват с разумно предизвестие. |
|
ж) |
При поискване страните предоставят информацията, посочена в букви б) и в), включително резултатите от одити, на компетентния надзорен орган. |
МОДУЛ 4: предаване на данни от обработващ лични данни на администратор
8.1. Указания
|
а) |
Износителят на данни обработва личните данни само по документирано нареждане на вносителя на данни, който действа като негов администратор. |
|
б) |
Износителят на данни незабавно уведомява вносителя на данни, ако не е в състояние да изпълни тези указания, ако указанията нарушават Регламент (ЕС) 2016/679 или на друго право за защита на личните данни на Съюза или на държава членка. |
|
в) |
Вносителят на данни се въздържа от всякакви действия, които биха попречили на износителя на данни да изпълни задълженията си по Регламент (ЕС) 2016/679, включително в контекста на обработването по договор за подизпълнение или по отношение на сътрудничеството с компетентните надзорни органи. |
|
г) |
При прекратяване на предоставянето на услугите по обработване износителят на данни, по избор на вносителя на данни, заличава всички лични данни, обработвани от името на вносителя на данни, и удостоверява пред вносителя на данни, че е направил това, или му връща всички лични данни, обработвани от негово име, и заличава съществуващите копия. |
8.2. Сигурност на обработването
|
а) |
Страните прилагат подходящи технически и организационни мерки, за да осигурят сигурността на данните, включително по време на предаване, и защитата им срещу нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп (наричани по-нататък „нарушение на сигурността на личните данни“). При оценката на подходящото ниво на сигурност те вземат предвид достиженията на техническия прогрес, разходите за прилагане, естеството на личните данни (7), естеството, обхвата, контекста и целта(ите) на обработването, както и свързаните с обработването рискове за субекта на данни, и по-специално обмислят възможността за използване на криптиране или псевдонимизация, включително по време на предаване, когато целта на обработването може да бъде постигната по такъв начин. |
|
б) |
Износителят на данни помага на вносителя на данни при осигуряване на подходяща сигурност на данните в съответствие с буква а). В случай на нарушение на сигурността на личните данни във връзка с лични данни, обработвани от износителя на данни съгласно настоящите клаузи, след като узнае за нарушението той уведомява вносителя на данни без ненужно забавяне и помага на вносителя на данни да се справи с нарушението. |
|
в) |
Износителят на данни гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са длъжни по закон да спазват поверителност. |
8.3. Документиране и съответствие
|
а) |
Страните трябва да могат да докажат, че спазват задълженията си по настоящите клаузи. |
|
б) |
Износителят на данни предоставя на вносителя на данни цялата информация, необходима за доказване на спазването на задълженията по настоящите клаузи, и позволява и допринася за извършването на одити. |
Клауза 9
Използване на обработващи лични данни подизпълнители
МОДУЛ 2: предаване на данни от администратор на обработващ лични данни
|
а) |
ВАРИАНТ 1: СПЕЦИФИЧНО ПРЕДВАРИТЕЛНО РАЗРЕШЕНИЕ Вносителят на данни няма да предава за подизпълнение на обработващ лични данни дейностите си по обработване, извършвани от името на износителя на данни съгласно настоящите клаузи, без специфичното предварително писмено разрешение на износителя на данни. Вносителят на данни подава искането за специфично разрешение най-малко [посочете период от време], преди да включи обработващия лични данни подизпълнител, заедно с информацията, необходима, за да може износителят на данни да вземе решение във връзка разрешението. Списъкът на обработващите лични данни подизпълнители, по отношение на които износителят на данни вече е дал разрешение, може да се намери в приложение III. Страните редовно актуализират приложение III. ВАРИАНТ 2: ОБЩО ПИСМЕНО РАЗРЕШЕНИЕ Вносителят на данни има общото разрешение на износителя на данни да включва обработващ(и) лични данни подизпълнител(и) от съгласуван списък. Вносителят на данни изрично уведомява писмено износителя на данни за всички планирани промени в този списък чрез добавяне или замяна на обработващи лични данни подизпълнители най-малко [посочете период от време] предварително, като по този начин дава на износителя на данни достатъчно време, за да може да възрази срещу такива промени, преди включването на обработващия(ите) лични данни подизпълнител(и). Вносителят на данни предоставя на износителя на данни необходимата информация, за да може износителят на данни да упражни правото си на възражение. |
|
б) |
Когато вносителят на данни включва обработващ лични данни подизпълнител, който да извършва специфични дейности по обработване (от името на износителя на данни), той прави това чрез писмен договор, с който се налагат по същество същите задължения за защита на данните, както задълженията, предвидени в настоящите клаузи по отношение на вносителя на данни, включително по отношение на правата на трети страни бенефициери във връзка със субектите на данни (8). Страните се споразумяват, че като спазва настоящата клауза, вносителят на данни изпълнява задълженията си по клауза 8.8. Вносителят на данни осигурява спазването от обработващия лични данни подизпълнител на задълженията на вносителя на данни съгласно настоящите клаузи. |
|
в) |
Вносителят на данни предоставя на износителя на данни по негово искане копие от това споразумение с обработващия лични данни подизпълнител и всички негови последващи изменения. До степента, необходима за защита на търговски тайни или друга поверителна информация, включително лични данни, вносителят на данни може да редактира текста на споразумението, преди да сподели негово копие. |
|
г) |
Вносителят на данни носи пълната отговорност пред износителя на данни за изпълнението на задълженията на обработващия лични данни подизпълнител по неговия договор с вносителя на данни. Вносителят на данни уведомява износителя на данни за всяко неизпълнение от страна на обработващия лични данни подизпълнител на задълженията му по този договор. |
|
д) |
Вносителят на данни договаря с обработващия лични данни подизпълнител клауза за трети страни бенефициери, по силата на която, в случай че вносителят на данни е изчезнал фактически или е престанал да съществува юридически, или е изпаднал в несъстоятелност, износителят на данни има право да прекрати договора с обработващия лични данни подизпълнител и да му даде указания да изтрие или върне личните данни. |
МОДУЛ 3: предаване на данни от обработващ лични данни на обработващ лични данни
|
а) |
ВАРИАНТ 1: СПЕЦИФИЧНО ПРЕДВАРИТЕЛНО РАЗРЕШЕНИЕ Вносителят на данни няма да предава за подизпълнение на обработващ лични данни дейностите си по обработване, извършвани от името на износителя на данни съгласно настоящите клаузи, без специфичното предварително писмено разрешение на администратора на лични данни. Вносителят на данни подава искането за специфично разрешение най-малко [посочете период от време], преди да включи обработващия лични данни подизпълнител, заедно с информацията, необходима, за да може администраторът на лични данни да вземе решение във връзка разрешението. Той уведомява износителя на данни за такова включване. Списъкът на обработващите лични данни подизпълнители, по отношение на които администраторът на лични данни вече е дал разрешение, може да се намери в приложение III. Страните редовно актуализират приложение III. ВАРИАНТ 2: ОБЩО ПИСМЕНО РАЗРЕШЕНИЕ Вносителят на данни има общото разрешение на администратора на лични данни да включва обработващ(и) лични данни подизпълнител(и) от съгласуван списък. Вносителят на данни изрично уведомява писмено администратора на лични данни за всички планирани промени в този списък чрез добавяне или замяна на обработващи лични данни подизпълнители най-малко [посочете период от време] предварително, като по този начин дава на администратора на лични данни достатъчно време, за да може да възрази срещу такива промени преди включването на обработващия(ите) лични данни подизпълнител(и). Вносителят на данни предоставя на администратора на лични данни необходимата информация, за да може администраторът на лични данни да упражни правото си на възражение. Вносителят на данни уведомява износителя на данни за включването на обработващия(ите) лични данни подизпълнител(и). |
|
б) |
Когато вносителят на данни включва обработващ лични данни подизпълнител, който да извършва специфични дейности по обработване (от името на администратора на лични данни), той прави това чрез писмен договор, с който се налагат по същество същите задължения за защита на данните, както задълженията, предвидени в настоящите клаузи по отношение на вносителя на данни, включително по отношение на правата на трети страни бенефициери във връзка със субектите на данни (9). Страните се споразумяват, че като спазва настоящата клауза, вносителят на данни изпълнява задълженията си по клауза 8.8. Вносителят на данни осигурява спазването от обработващия лични данни подизпълнител на задълженията на вносителя на данни съгласно настоящите клаузи. |
|
в) |
Вносителят на данни предоставя по искане на износителя на данни или на администратора на лични данни копие от това споразумение с обработващия лични данни подизпълнител и всички негови последващи изменения. До степента, необходима за защита на търговски тайни или друга поверителна информация, включително лични данни, вносителят на данни може да редактира текста на споразумението, преди да сподели негово копие. |
|
г) |
Вносителят на данни носи пълната отговорност пред износителя на данни за изпълнението на задълженията на обработващия лични данни подизпълнител по неговия договор с вносителя на данни. Вносителят на данни уведомява износителя на данни за всяко неизпълнение от страна на обработващия лични данни подизпълнител на задълженията му по този договор. |
|
д) |
Вносителят на данни договаря с обработващия лични данни подизпълнител клауза за трети страни бенефициери, по силата на която, в случай че вносителят на данни е изчезнал фактически или е престанал да съществува юридически, или е изпаднал в несъстоятелност, износителят на данни има право да прекрати договора с обработващия лични данни подизпълнител и да му даде указания да изтрие или върне личните данни. |
Клауза 10
Права на субектите на данни
МОДУЛ 1: предаване на данни от администратор на администратор
|
а) |
Вносителят на данни, когато е уместно със съдействието на износителя на данни, обработва всички запитвания и искания, които получава от субекта на данни във връзка с обработването на личните му данни и упражняването на правата му по настоящите клаузи, без ненужно забавяне и най-късно в срок от един месец от получаването на запитването или искането (10). Вносителят на данни предприема подходящи мерки за улесняване на подобни запитвания, на искания и на упражняването на правата на субекта на данни. Всяка информация, предоставена на субекта на данни, трябва да бъде в разбираема и лесно достъпна форма, като се използва ясен и прост език. |
|
б) |
По-специално по искане на субекта на данни вносителят на данни безплатно:
|
|
в) |
Когато вносителят на данни обработва личните данни за целите на директния маркетинг, той прекратява обработването за такива цели, ако субектът на данни възрази срещу него. |
|
г) |
Вносителят на данни не взема решение, основаващо се единствено на автоматизирано обработване на предадените лични данни (наричано по-нататък „автоматизирано решение“), което би имало правни последици за физическото лице или по подобен начин сериозно би го засегнало, освен с изричното съгласие на субекта на данни или ако законодателството на държавата на получаване позволява това, при условие че в това законодателство са предвидени подходящи мерки за гарантиране на правата и законните интереси на субекта на данни. В този случай при необходимост вносителят на данни в сътрудничество с износителя на данни:
|
|
д) |
Когато исканията на субект на данни са прекомерни, по-специално поради своята повторяемост, вносителят на данни може или да наложи разумна такса, основана на административните разходи за обработване на искането, или да откаже да предприеме действия по искането. |
|
е) |
Вносителят на данни може да откаже да изпълни искането на субект на данни, ако такъв отказ е допустим съгласно законодателството на държавата на получаване и представлява необходима и пропорционална мярка в едно демократично общество за гарантиране на целите по член 23, параграф 1 от Регламент (ЕС) 2016/679. |
|
ж) |
Ако вносителят на данни възнамерява да откаже да изпълни искането на субект на данни, той уведомява субекта на данни за причините за отказа и за възможността да подаде жалба до компетентния надзорен орган и/или да поиска съдебна защита. |
МОДУЛ 2: предаване на данни от администратор на обработващ лични данни
|
а) |
Вносителят на данни своевременно уведомява износителя на данни за всяко искане, което е получил от субект на данни. Той не отговаря сам на това искане, освен ако не бъде оправомощен от износителя на данни. |
|
б) |
Вносителят на данни помага на износителя на данни да изпълни задълженията си да отговаря на исканията на субектите на данни за упражняване на техните права съгласно Регламент (ЕС) 2016/679. Във връзка с това страните определят в приложение II подходящите технически и организационни мерки, като вземат предвид естеството на обработването, посредством което се предоставя помощта, както и обхвата и степента на необходимата помощ. |
|
в) |
Когато изпълнява задълженията си по букви а) и б), вносителят на данни спазва указанията на износителя на данни. |
МОДУЛ 3: предаване на данни от обработващ лични данни на обработващ лични данни
|
а) |
Вносителят на данни своевременно уведомява износителя на данни и когато е целесъобразно — администратора, за всяко искане, което е получил от субект на данни, без да отговаря на това искане, освен ако не е оправомощен от администратора. |
|
б) |
Вносителят на данни помага на администратора на лични данни, когато е необходимо в сътрудничество с износителя на данни, да изпълни задълженията си да отговаря на исканията на субектите на данни за упражняване на техните права съгласно Регламент (ЕС) 2016/679 или Регламент (ЕС) 2018/1725, според случая. Във връзка с това страните определят в приложение II подходящите технически и организационни мерки, като вземат предвид естеството на обработването, посредством което се предоставя помощта, както и обхвата и степента на необходимата помощ. |
|
в) |
Когато изпълнява задълженията си по букви а) и б), вносителят на данни спазва указанията на администратора на лични данни, както са му съобщени от износителя на данни. |
МОДУЛ 4: предаване на данни от обработващ лични данни на администратор
Страните си помагат взаимно, за да отговарят на запитвания и искания, отправени от субекти на данни съгласно местното право, приложимо по отношение на вносителя на данни, или съгласно Регламент (ЕС) 2016/679 по отношение на обработването на данни в ЕС от износителя на данни.
Клауза 11
Правни средства за защита
|
а) |
Вносителят на данни уведомява субектите на данни по прозрачен начин и в леснодостъпен формат, чрез индивидуално известие или на своя уебсайт, за точката за контакт, упълномощена да обработва жалби. Той своевременно обработва всички жалби, които получава от субекти на данни. [ВАРИАНТ: Вносителят на данни приема, че субектите на данни могат също да подават жалби до независим орган за разрешаване на спорове (11) без разходи за субекта на данни. Той уведомява субектите на данни по начина, посочен в буква а), за този механизъм за защита, както и че те не са длъжни да го използват или да следват определена последователност при търсене на защита.] |
МОДУЛ 1: предаване на данни от администратор на администратор
МОДУЛ 2: предаване на данни от администратор на обработващ лични данни
МОДУЛ 3: предаване на данни от обработващ лични данни на обработващ лични данни
|
б) |
В случай на спор между субекта на данни и една от страните по отношение на спазването на настоящите клаузи тази страна полага максимални усилия за своевременно уреждане на спора по взаимно съгласие. Страните се уведомяват взаимно за такива спорове и когато е уместно, си сътрудничат при разрешаването им. |
|
в) |
Когато субектът на данни се позовава на право на трета страна бенефициер съгласно клауза 3, вносителят на данни приема решението на субекта на данни да:
|
|
г) |
Страните приемат, че субектът на данни може да бъде представляван от структура, организация или сдружение с нестопанска цел при условията, посочени в член 80, параграф 1 от Регламент (ЕС) 2016/679. |
|
д) |
Вносителят на данни се съобразява с решение, което е обвързващо съгласно приложимото право на ЕС или на държава членка. |
|
е) |
Вносителят на данни приема, че направеният от субекта на данни избор няма да накърни неговите материални и процесуални права да търси средства за защита в съответствие с приложимото законодателство. |
Клауза 12
Отговорност
МОДУЛ 1: предаване на данни от администратор на администратор
МОДУЛ 4: предаване на данни от обработващ лични данни на администратор
|
а) |
Всяка страна носи отговорност пред другата(ите) страна(и) за всякакви вреди, причинени на другата(ите) страна(и) в резултат на нарушаване на настоящите клаузи. |
|
б) |
Всяка страна носи отговорност пред субекта на данни и субектът на данни има право да получи обезщетение за всякакви имуществени или неимуществени вреди, които страната му нанесе, нарушавайки правата на третата страна бенефициер съгласно настоящите клаузи. Това не засяга отговорността на износителя на данни съгласно Регламент (ЕС) 2016/679. |
|
в) |
Когато повече от една страна носи отговорност за вреди, причинени на субекта на данни в резултат на нарушение на настоящите клаузи, всички отговорни страни носят солидарна отговорност и субектът на данни има право да заведе дело в съда срещу която и да е от тези страни. |
|
г) |
Страните се споразумяват, че ако една от страните бъде подведена под отговорност съгласно буква в), тя ще има право да поиска обратно от другата(ите) страна(и) тази част от обезщетението, която съответства на отговорността на последната(ите) за вредите. |
|
д) |
Вносителят на данни не може да се позовава на поведението на обработващ лични данни или на обработващ лични данни подизпълнител, за да избегне собствената си отговорност. |
МОДУЛ 2: предаване на данни от администратор на обработващ лични данни
МОДУЛ 3: предаване на данни от обработващ лични данни на обработващ лични данни
|
а) |
Всяка страна носи отговорност пред другата(ите) страна(и) за всякакви вреди, причинени на другата(ите) страна(и) в резултат на нарушаване на настоящите клаузи. |
|
б) |
Вносителят на данни носи отговорност пред субекта на данни и субектът на данни има право да получи обезщетение за всякакви имуществени или неимуществени вреди, които вносителят на данни или неговият обработващ лични данни подизпълнител му нанесе, нарушавайки правата на третата страна бенефициер съгласно настоящите клаузи. |
|
в) |
Независимо от буква б), износителят на данни носи отговорност пред субекта на данни и субектът на данни има право да получи обезщетение за всякакви имуществени или неимуществени вреди, които износителят на данни или вносителят на данни (или неговият обработващ лични данни подизпълнител) му нанесе, нарушавайки правата на третата страна бенефициер съгласно настоящите клаузи. Това не засяга отговорността на износителя на данни и когато износителят на данни е обработващ лични данни, който действа от името на администратор на лични данни — отговорността на администратора на лични данни съгласно Регламент (ЕС) 2016/679 или Регламент (ЕС) 2018/1725, според случая. |
|
г) |
Страните се споразумяват, че ако износителят на данни бъде подведен под отговорност съгласно буква в) за вреди, причинени от вносителя на данни (или от неговия обработващ лични данни подизпълнител), първият ще има право да поиска обратно от вносителя на данни тази част от обезщетението, която съответства на отговорността на последния за вредите. |
|
д) |
Когато повече от една страна носи отговорност за вреди, причинени на субекта на данни в резултат на нарушение на настоящите клаузи, всички отговорни страни носят солидарна отговорност и субектът на данни има право да заведе дело в съда срещу която и да е от тези страни. |
|
е) |
Страните се споразумяват, че ако една от страните бъде подведена под отговорност съгласно буква д), тя ще има право да поиска обратно от другата(ите) страна(и) тази част от обезщетението, която съответства на отговорността на последната(ите) за вредите. |
|
ж) |
Вносителят на данни не може да се позовава на поведението на обработващ лични данни подизпълнител, за да избегне собствената си отговорност. |
Клауза 13
Надзор
МОДУЛ 1: предаване на данни от администратор на администратор
МОДУЛ 2: предаване на данни от администратор на обработващ лични данни
МОДУЛ 3: предаване на данни от обработващ лични данни на обработващ лични данни
|
а) |
[Когато износителят на данни е установен в държава — членка на ЕС:] Надзорният орган, който отговаря за осигуряване на спазването на Регламент (ЕС) 2016/679 от износителя на данни по отношение на предаването на данни, както е посочен в приложение I.В, действа като компетентен надзорен орган. [Когато износителят на данни не е установен в държава — членка на ЕС, но попада в териториалния обхват на прилагане на Регламент (ЕС) 2016/679 съгласно член 3, параграф 2 от него и е назначил представител в съответствие с член 27, параграф 1 от Регламент (ЕС) 2016/679:] Надзорният орган на държавата членка, в която е установен представителят по смисъла на член 27, параграф 1 от Регламент (ЕС) 2016/679, както е посочен в приложение I.В, действа като компетентен надзорен орган. [Когато износителят на данни не е установен в държава — членка на ЕС, но попада в териториалния обхват на прилагане на Регламент (ЕС) 2016/679 съгласно член 3, параграф 2 от него, без обаче да е длъжен да назначи представител в съответствие с член 27, параграф 2 от Регламент (ЕС) 2016/679:] Надзорният орган на една от държавите членки, в които се намират субектите на данни, чиито лични данни се предават съгласно настоящите клаузи във връзка с предлагането на стоки или услуги за тях или чието поведение се наблюдава, както е посочено в приложение I.В, действа като компетентен надзорен орган. |
|
б) |
Вносителят на данни се съгласява да приеме юрисдикцията и да си сътрудничи с компетентния надзорен орган във всички производства, които имат за цел да осигурят спазването на настоящите клаузи. По-специално вносителят на данни приема да отговаря на запитвания, да бъде подлаган на одити и да спазва мерките, приети от надзорния орган, включително коригиращите и компенсаторните мерки. Той предоставя на надзорния орган писмено потвърждение, че са предприети необходимите действия. |
РАЗДЕЛ III — МЕСТНО ЗАКОНОДАТЕЛСТВО И ЗАДЪЛЖЕНИЯ В СЛУЧАЙ НА ДОСТЪП НА ПУБЛИЧНИ ОРГАНИ
Клауза 14
Местно законодателство и практики, засягащи спазването на клаузите
МОДУЛ 1: предаване на данни от администратор на администратор
МОДУЛ 2: предаване на данни от администратор на обработващ лични данни
МОДУЛ 3: предаване на данни от обработващ лични данни на обработващ лични данни
МОДУЛ 4: Предаване на данни от обработващ лични данни на администратор (когато обработващият лични данни от ЕС съчетава личните данни, получени от администратора от трета държава, с лични данни, които обработващият лични данни е събрал в ЕС)
|
а) |
Страните гарантират, че нямат основание да смятат, че законите и практиките в третата държава на получаване, приложими по отношение на обработването на лични данни от вносителя на данни, включително всички изисквания за разкриване на лични данни или всички мерки, разрешаващи достъп от страна на публични органи, не позволяват на вносителя на данни да изпълнява задълженията си по настоящите клаузи. Това се основава на разбирането, че законите и практиките, които зачитат същността на основните права и свободи и са пропорционални, и не надхвърлят необходимото в едно демократично общество за защита на някоя от целите, изброени в член 23, параграф 1 от Регламент (ЕС) 2016/679, не са в противоречие с настоящите клаузи. |
|
б) |
Страните декларират, че при предоставянето на гаранцията по буква а) те са взели надлежно предвид по-специално следните елементи:
|
|
в) |
Вносителят на данни гарантира, че при извършването на оценката съгласно буква б) е положил максимални усилия да предостави на износителя на данни необходимата информация, и приема да продължи да си сътрудничи с износителя на данни за осигуряване на спазването на настоящите клаузи. |
|
г) |
Страните се споразумяват да документират оценката съгласно буква б) и при поискване да я предоставят на компетентния надзорен орган. |
|
д) |
Вносителят на данни се съгласява да уведоми износителя на данни своевременно, ако, след като е приел настоящите клаузи и по време на срока на договора, има основания да смята, че е длъжен, или ако стане длъжен да спазва закони или практики, които не са в съответствие с изискванията по буква а), включително след промяна на законите на третата държава или на мярка (като например искане за разкриване), сочеща за прилагане на тези закони на практика, което не е в съответствие с изискванията по буква а). [За модул 3: Износителят на данни изпраща уведомлението на администратора на лични данни.] |
|
е) |
След уведомление съгласно буква д) или ако износителят на данни по друг начин има основания да смята, че вносителят на данни вече не може да изпълнява задълженията си по настоящите клаузи, износителят на данни своевременно определя подходящи мерки (напр. технически или организационни мерки за осигуряване на сигурност и поверителност), които да бъдат предприети от износителя на данни и/или от вносителя на данни за справяне със ситуацията [за модул 3:, ако е целесъобразно в консултации с администратора на лични данни]. Износителят на данни спира предаването на данни, ако прецени, че не могат да бъдат осигурени подходящи гаранции за такова предаване, или ако е получил указания от [за модул 3: администратора на лични данни или от] компетентния надзорен орган. В този случай износителят на данни има право да прекрати договора, доколкото той се отнася до обработването на лични данни съгласно настоящите клаузи. Ако договорът е сключен между повече от две страни, износителят на данни може да упражни това право на прекратяване само по отношение на съответната страна, освен ако страните не са се договорили за друго. Когато договорът бъде прекратен съгласно настоящата клауза, се прилагат букви г) и д) от клауза 16. |
Клауза 15
Задължения на вносителя на данни в случай на достъп от страна на публични органи
МОДУЛ 1: предаване на данни от администратор на администратор
МОДУЛ 2: предаване на данни от администратор на обработващ лични данни
МОДУЛ 3: предаване на данни от обработващ лични данни на обработващ лични данни
МОДУЛ 4: Предаване на данни от обработващ лични данни на администратор (когато обработващият лични данни от ЕС съчетава личните данни, получени от администратора от трета държава, с лични данни, които обработващият лични данни е събрал в ЕС)
15.1. Уведомяване
|
а) |
Вносителят на данни се съгласява да уведоми износителя на данни, и когато е възможно — субекта на данни, своевременно (ако е необходимо с помощта на износителя на данни), ако:
[За модул 3: Износителят на данни изпраща уведомлението на администратора на лични данни.] |
|
б) |
Ако съгласно законодателството на държавата на получаване на вносителя на данни е забранено да уведомява износителя на данни и/или субекта на данни, вносителят на данни се съгласява да положи максимални усилия да получи освобождаване от забраната с цел да съобщи колкото е възможно повече информация във възможно най-кратък срок. Вносителят на данни приема да документира своите усилия, за да може да ги докаже при поискване от износителя на данни. |
|
в) |
Когато е допустимо съгласно законодателството на държавата на получаване, вносителят на данни приема да предоставя на износителя на данни периодично по време на срока на договора възможно най-много релевантна информация относно получените искания (по-специално броя на исканията, вида на исканите данни, отправилия(ите) искането орган(и), дали исканията са били оспорени и резултатите от такива оспорвания и т.н.). [За модул 3: Износителят на данни препраща информацията на администратора.] |
|
г) |
Вносителят на данни приема да съхранява информацията по букви а)—в) за срока на договора и при поискване да я предоставя на компетентния надзорен орган. |
|
д) |
Букви а)—в) не засягат задължението на вносителя на данни съгласно клауза 14, буква д) и клауза 16 своевременно да уведомява износителя на данни, когато не е в състояние да изпълни настоящите клаузи. |
15.2. Контрол за законосъобразност и свеждане на данните до минимум
|
а) |
Вносителят на данни приема да провери законосъобразността на искането за разкриване, по-специално дали то продължава да е в правомощията, предоставени на отправилия го публичен орган, както и да оспори искането, ако след внимателна преценка стигне до заключението, че има разумни основания да се смята, че искането е незаконосъобразно съгласно законодателството на държавата на получаване, приложимите задължения съгласно международното право и принципите на международната вежливост. Вносителят на данни следва при същите условия да търси възможности за обжалване. Когато оспорва искане, вносителят на данни подава молба за временни мерки с цел да се спре действието на искането, докато компетентният съдебен орган не вземе решение по същество. Той не разкрива исканите лични данни, докато това не бъде изискано съгласно приложимите процесуални правила. Тези изисквания не засягат задълженията на вносителя на данни по клауза 14, буква д). |
|
б) |
Вносителят на данни приема да документира своята правна оценка и всяко оспорване на искането за разкриване, и доколкото това е допустимо съгласно законодателството на държавата на получаване, да предостави документацията на износителя на данни. При поискване той също така предоставя документацията на компетентния надзорен орган. [За модул 3: Износителят на данни предоставя оценката на администратора на лични данни.] |
|
в) |
Вносителят на данни приема да предостави минимално допустимото количество информация, когато отговаря на искане за разкриване, въз основа на разумно тълкуване на искането. |
РАЗДЕЛ IV — ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
Клауза 16
Неспазване на клаузите и прекратяване
|
а) |
Вносителят на данни своевременно уведомява износителя на данни, ако не е в състояние да спазва настоящите клаузи, независимо от причината. |
|
б) |
В случай че вносителят на данни е допуснал нарушение на настоящите клаузи или не е в състояние да ги спазва, износителят на данни спира предаването на лични данни към вносителя на данни, докато отново не бъде осигурено спазване или договорът не бъде прекратен. Настоящият текст не засяга разпоредбите на клауза 14, буква е). |
|
в) |
Износителят на данни има право да прекрати договора, доколкото той се отнася до обработването на лични данни съгласно настоящите клаузи, когато:
В тези случаи той уведомява компетентния надзорен орган [за модул 3: и администратора] за такова неспазване. Когато договорът е сключен между повече от две страни, износителят на данни може да упражни това право на прекратяване само по отношение на съответната страна, освен ако страните не са се договорили за друго. |
|
г) |
[За модули 1, 2 и 3: Личните данни, които са били предадени преди прекратяването на договора съгласно буква в), по избор на износителя на данни незабавно се връщат на износителя на данни или се заличават изцяло. Същото се отнася за всички копия от данните.] [За модул 4: Личните данни, събрани от износителя на данни в ЕС, които са били предадени преди прекратяването на договора съгласно буква в), включително всички техни копия, незабавно се заличават изцяло.] Вносителят на данни удостоверява пред износителя на данни заличаването на данните. Докато данните не бъдат заличени или върнати, вносителят на данни продължава да осигурява спазването на настоящите клаузи. Когато съществува местно законодателство, приложимо по отношение на вносителя на данни, с което се забранява връщането или заличаването на предадените личните данни, вносителят на данни гарантира, че ще продължи да осигурява спазването на настоящите клаузи и ще обработва данните само до степента и за периода, изисквани от това местно законодателство. |
|
д) |
Всяка от страните може да оттегли своето съгласие да бъде обвързана от настоящите клаузи, когато i) Европейската комисия приеме решение съгласно член 45, параграф 3 от Регламент (ЕС) 2016/679, обхващащо предаването на лични данни, по отношение на които се прилагат настоящите клаузи; или ii) Регламент (ЕС) 2016/679 стане част от правната уредба на държавата, в която се предават личните данни. Това не засяга други задължения, приложими по отношение на въпросното обработване съгласно Регламент (ЕС) 2016/679. |
Клауза 17
Приложимо право
МОДУЛ 1: предаване на данни от администратор на администратор
МОДУЛ 2: предаване на данни от администратор на обработващ лични данни
МОДУЛ 3: предаване на данни от обработващ лични данни на обработващ лични данни
[ВАРИАНТ 1: Настоящите клаузи се уреждат от правото на една от държавите — членки на ЕС, при условие че правата на трети страни бенефициери са допустими съгласно това право. Страните се споразумяват това да бъде правото на _______ (посочете държава членка).]
[ВАРИАНТ 2 (за модули 2 и 3): Настоящите клаузи се уреждат от правото на държавата — членка на ЕС, в която е установен износителят на данни. Когато правата на трети страни бенефициери не са допустими съгласно това право, клаузите се уреждат от правото на друга държава — членка на ЕС, съгласно което правата на трети страни бенефициери са допустими. Страните се споразумяват това да бъде правото на _______ (посочете държава членка).]
МОДУЛ 4: предаване на данни от обработващ лични данни на администратор
Настоящите клаузи се уреждат от правото на държава, съгласно което правата на трети страни бенефициери са допустими. Страните се споразумяват това да бъде правото на _______ (посочете държава).
Клауза 18
Избор на съд и юрисдикция
МОДУЛ 1: предаване на данни от администратор на администратор
МОДУЛ 2: предаване на данни от администратор на обработващ лични данни
МОДУЛ 3: предаване на данни от обработващ лични данни на обработващ лични данни
|
а) |
Всички спорове, произтичащи от настоящите клаузи, се разрешават от съдилищата на държава — членка на ЕС. |
|
б) |
Страните се споразумяват това да бъдат съдилищата на _____ (посочете държава членка).] |
|
в) |
Субект на данни може да започне съдебно производство срещу износителя на данни и/или вносителя на данни и пред съдилищата на държавата членка на обичайното си местопребиваване. |
|
г) |
Страните се споразумяват да приемат юрисдикцията на такива съдилища. |
МОДУЛ 4: предаване на данни от обработващ лични данни на администратор
|
|
Всички спорове, произтичащи от настоящите клаузи, се разрешават от съдилищата на _____ (посочете държава) |
(1) Когато износителят на данни е обработващ лични данни, към когото се прилага Регламент (ЕС) 2016/679 и който действа от името на институция или орган на Съюза като администратор, използването на настоящите клаузи при включването на друг обработващ лични данни (обработване по договор за подизпълнение), към когото не се прилага Регламент (ЕС) 2016/679, също така гарантира спазването на член 29, параграф 4 от Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО (ОВ L 295, 21.11.2018 г., стр. 39), доколкото настоящите клаузи и задълженията за защита на данните, залегнали в договора или друг правен акт между администратора и обработващия лични данни по силата на член 29, параграф 3 от Регламент (ЕС) 2018/1725, са съгласувани. Това ще важи по-специално за случаите, в които администраторът и обработващият лични данни използват стандартните договорни клаузи, включени в Решение 2021/915.
(2) За това е необходимо данните да бъдат анонимизирани по такъв начин, че физическото лице да не може да бъде идентифицирано от никого, в съответствие със съображение 26 от Регламент (ЕС) 2016/679, и този процес да е необратим.
(3) В Споразумението за Европейското икономическо пространство (Споразумение за ЕИП) се предвижда разширяването на вътрешния пазар на Европейския съюз, за да включи трите държави от ЕИП — Исландия, Лихтенщайн и Норвегия. Законодателството за защита на данните на Съюза, включително Регламент (ЕС) 2016/679, попада в обхвата на Споразумението за ЕИП и е включено в приложение XI към него. Следователно всяко разкриване от вносителя на данни пред трета страна, която се намира в ЕИП, не се смята за последващо предаване за целите на настоящите клаузи.
(4) В Споразумението за Европейското икономическо пространство (Споразумение за ЕИП) се предвижда разширяването на вътрешния пазар на Европейския съюз, за да включи трите държави от ЕИП — Исландия, Лихтенщайн и Норвегия. Законодателството за защита на данните на Съюза, включително Регламент (ЕС) 2016/679, попада в обхвата на Споразумението за ЕИП и е включено в приложение XI към него. Следователно всяко разкриване от вносителя на данни пред трета страна, която се намира в ЕИП, не се смята за последващо предаване за целите на настоящите клаузи.
(5) Вж. член 28, параграф 4 от Регламент (ЕС) 2016/679 и, когато администраторът на данни е институция или орган на ЕС — член 29, параграф 4 от Регламент (ЕС) 2018/1725.
(6) В Споразумението за Европейското икономическо пространство (Споразумение за ЕИП) се предвижда разширяването на вътрешния пазар на Европейския съюз, за да включи трите държави от ЕИП — Исландия, Лихтенщайн и Норвегия. Законодателството за защита на данните на Съюза, включително Регламент (ЕС) 2016/679, попада в обхвата на Споразумението за ЕИП и е включено в приложение XI към него. Следователно всяко разкриване от вносителя на данни пред трета страна, която се намира в ЕИП, не се смята за последващо предаване за целите на настоящите клаузи.
(7) Това включва въпроса дали предаването и по-нататъшното обработване включват лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице, или данни, свързани с присъди и нарушения.
(8) Това изискване може да бъде изпълнено, като обработващият лични данни подизпълнител се присъедини към настоящите клаузи по съответния модул в съответствие с клауза 7.
(9) Това изискване може да бъде изпълнено, като обработващият лични данни подизпълнител се присъедини към настоящите клаузи по съответния модул в съответствие с клауза 7.
(10) Този период може да бъде удължен с най-много още два месеца, ако това е необходимо, като се вземат предвид сложността и броят на исканията. Вносителят на данни уведомява надлежно и своевременно субекта на данни за всяко такова удължаване.
(11) Вносителят на данни може да предложи независимо разрешаване на спорове чрез арбитражен съд единствено ако е установен в държава, която е ратифицирала Конвенцията за признаване и изпълнение на чуждестранни арбитражни решения, подписана в Ню Йорк.
(12) По отношение на въздействието на такива закони и практики върху спазването на настоящите клаузи различни елементи могат да се разглеждат като част от цялостната оценка. Такива елементи могат да включват подходящ и документиран практически опит от предишни случаи на искания за разкриване, отправени от публични органи, или липса на такива искания, обхващащ достатъчно представителен период от време. Това се отнася по-специално до вътрешни регистри или друга документация, изготвяна текущо в съответствие с изисквания за комплексна проверка и заверена на ниво висше ръководство, при условие че тази информация може законно да се споделя с трети страни. Когато на този практически опит се разчита, за да се стигне до заключението, че вносителят на данни няма да бъде възпрепятстван да спазва настоящите клаузи, е необходимо той да бъде подкрепен от други имащи отношение обективни елементи и страните трябва да преценят внимателно дали тези елементи, взети заедно, имат достатъчна тежест по отношение на своята надеждност и представителност, за да подкрепят това заключение. По-специално страните трябва да вземат предвид дали техният практически опит се потвърждава и не противоречи на публично достъпна или достъпна по друг начин надеждна информация за съществуването или липсата на искания в същия сектор и/или за прилагането на закона на практика, като например съдебна практика и доклади от независими надзорни органи.
ДОПЪЛНЕНИЕ
ОБЯСНИТЕЛНА БЕЛЕЖКА:
Трябва да е възможно да се разграничи ясно информацията, приложима за всяко предаване или категория предавания, и във връзка с това да се определи(ят) съответната(ите) роля(и) на страните като износител(и) на данни и/или вносител(и) на данни. За тази цел не е непременно необходимо да се попълват и подписват отделни допълнения за всяко предаване/категория предавания и/или договорни отношения, когато тази прозрачност може да бъде постигната чрез едно допълнение. Когато обаче това е необходимо, за да се осигури достатъчна яснота, следва да се използват отделни допълнения.
ПРИЛОЖЕНИЕ I
А. СПИСЪК НА СТРАНИТЕ
МОДУЛ 1: предаване на данни от администратор на администратор
МОДУЛ 2: предаване на данни от администратор на обработващ лични данни
МОДУЛ 3: предаване на данни от обработващ лични данни на обработващ лични данни
МОДУЛ 4: предаване на данни от обработващ лични данни на администратор
Износител(и) на данни: [Самоличност и координати за връзка на износителя(ите) на данни и когато е приложимо — на неговото(ите) длъжностно(и) лице(а) по защита на данните и/или на неговия(ите) представител(и) в Европейския съюз]
|
1. |
Име/наименование: …
Адрес: … Име, длъжност и координати за връзка с лицето за контакт: … Дейности, свързани с предадените съгласно настоящите клаузи данни: … Подпис и дата: … Роля (администратор/обработващ данните) … |
|
2. |
… |
Вносител(и) на данни: [Самоличност и координати за връзка на вносителя(ите) на данни, включително на всяко лице за контакт, което отговаря за защитата на личните данни]
|
1. |
Име/наименование: …
Адрес: … Име, длъжност и координати за връзка с лицето за контакт: … Дейности, свързани с предадените съгласно настоящите клаузи данни: … Подпис и дата: … Роля (администратор/обработващ данните) … |
|
2. |
… |
Б. ОПИСАНИЕ НА ПРЕДАВАНЕТО
МОДУЛ 1: предаване на данни от администратор на администратор
МОДУЛ 2: предаване на данни от администратор на обработващ лични данни
МОДУЛ 3: предаване на данни от обработващ лични данни на обработващ лични данни
МОДУЛ 4: предаване на данни от обработващ лични данни на администратор
Категории субекти на данни, чиито лични данни се предават
…
Категории предавани лични данни
…
Предадени чувствителни данни (ако е приложимо) и приложени ограничения или гаранции, които отчитат изцяло естеството на данните и свързаните с тях рискове, като например строго ограничение в рамките на целта, ограничаване на достъпа (включително достъп само за служители, преминали специализирано обучение), поддържане на регистър на достъпа до данните, ограничения по отношение на последващо предаване или допълнителни мерки за сигурност.
…
Честотата на предаване (напр. дали данните се предават еднократно или текущо).
…
Естество на обработването
…
Цел(и) на предаването и на по-нататъшното обработване на данните
…
Срок, за който ще се съхраняват личните данни, а ако това е невъзможно — критериите, използвани за определяне на този срок
…
За прехвърляния към обработващи лични данни (или обработващи лични данни подизпълнители) посочете също така предмета, естеството и продължителността на обработването
…
В. КОМПЕТЕНТЕН НАДЗОРЕН ОРГАН
МОДУЛ 1: предаване на данни от администратор на администратор
МОДУЛ 2: предаване на данни от администратор на обработващ лични данни
МОДУЛ 3: предаване на данни от обработващ лични данни на обработващ лични данни
Посочете компетентния(ите) надзорен(и) орган(и) в съответствие с клауза 13
…
ПРИЛОЖЕНИЕ II
ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ, ВКЛЮЧИТЕЛНО ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ ЗА ОСИГУРЯВАНЕ НА СИГУРНОСТТА НА ДАННИТЕ
МОДУЛ 1: предаване на данни от администратор на администратор
МОДУЛ 2: предаване на данни от администратор на обработващ лични данни
МОДУЛ 3: предаване на данни от обработващ лични данни на обработващ лични данни
ОБЯСНИТЕЛНА БЕЛЕЖКА:
Техническите и организационните мерки трябва да бъдат описани конкретно, а не общо. Вижте също общия коментар на първата страница на допълнението, по-специално относно необходимостта да се посочи ясно кои мерки се прилагат за всяко предаване/набор от предавания.
Описание на техническите и организационните мерки, приложени от вносителя(ите) на данни (включително всички съответни сертификати) с цел да се осигури подходящо ниво на сигурност, като се вземат предвид естеството, обхватът, контекстът и целта на обработването и рисковете за правата и свободите на физическите лица.
[Примери за възможни мерки:
Мерки за псевдонимизация и криптиране на личните данни
Мерки за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване
Мерки за осигуряване на способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент
Процеси на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването
Мерки за идентифициране и даване на разрешение на потребители
Мерки за защита на данните по време на предаване
Мерки за защита на данните по време на съхранение
Мерки за осигуряване на физическа сигурност на местата, където се обработват лични данни
Мерки за осигуряване на регистриране на събития
Мерки за осигуряване на конфигурация на системата, включително конфигурация по подразбиране
Мерки за управление на вътрешните информационни технологии и на сигурността на информационните технологии
Мерки за сертифициране/осигуряване на процеси и продукти
Мерки за осигуряване на свеждането на данните до минимум
Мерки за осигуряване на качеството на данните
Мерки за осигуряване на ограничено съхраняване на данни
Мерки за осигуряване на отчетност
Мерки за позволяване на преносимост на данните и осигуряване на изтриването им]
По отношение на предавания към обработващи лични данни (или обработващи лични данни подизпълнители), опишете също конкретните технически и организационни мерки, които обработващият лични данни (или обработващият лични данни подизпълнител) трябва да предприеме, за да може да предоставя помощ на администратора на лични данни и, за предаванията от обработващ лични данни на обработващ лични данни подизпълнител — на износителя на данни
ПРИЛОЖЕНИЕ III
СПИСЪК НА ОБРАБОТВАЩИТЕ ЛИЧНИ ДАННИ ПОДИЗПЪЛНИТЕЛИ
МОДУЛ 2: предаване на данни от администратор на обработващ лични данни
МОДУЛ 3: предаване на данни от обработващ лични данни на обработващ лични данни
ОБЯСНИТЕЛНА БЕЛЕЖКА:
Настоящото приложение трябва да се попълни за модули 2 и 3 в случай на специфично разрешение за използване на обработващи лични данни подизпълнители (клауза 9, буква а), вариант 1).
Администраторът на лични данни е разрешил използването на следните обработващи лични данни подизпълнители:
|
1. |
Име/наименование: …
Адрес: … Име, длъжност и координати за връзка с лицето за контакт: … Описание на обработването (включително ясно разграничение на отговорностите в случай, че е разрешено използването на няколко обработващи лични данни подизпълнители): … |
|
2. |
… |