This document is an excerpt from the EUR-Lex website
Document 32021D0914
Commission Implementing Decision (EU) 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council (Text with EEA relevance)
Prováděcí rozhodnutí Komise (EU) 2021/914 ze dne 4. června 2021 o standardních smluvních doložkách pro předávání osobních údajů do třetích zemí podle nařízení Evropského parlamentu a Rady (EU) 2016/679 (Text s významem pro EHP)
Prováděcí rozhodnutí Komise (EU) 2021/914 ze dne 4. června 2021 o standardních smluvních doložkách pro předávání osobních údajů do třetích zemí podle nařízení Evropského parlamentu a Rady (EU) 2016/679 (Text s významem pro EHP)
C/2021/3972
Úř. věst. L 199, 7.6.2021, p. 31–61
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
7.6.2021 |
CS |
Úřední věstník Evropské unie |
L 199/31 |
PROVÁDĚCÍ ROZHODNUTÍ KOMISE (EU) 2021/914
ze dne 4. června 2021
o standardních smluvních doložkách pro předávání osobních údajů do třetích zemí podle nařízení Evropského parlamentu a Rady (EU) 2016/679
(Text s významem pro EHP)
EVROPSKÁ KOMISE,
s ohledem na Smlouvu o fungování Evropské unie,
s ohledem na nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (1), a zejména na čl. 28 odst. 7 a čl. 46 odst. 2 písm. c) uvedeného nařízení,
vzhledem k těmto důvodům:
(1) |
Technologický vývoj usnadňuje přeshraniční toky údajů nezbytné pro rozšíření mezinárodní spolupráce a mezinárodního obchodu. Zároveň se musí zajistit, aby nebyla ohrožena úroveň ochrany fyzických osob zaručená nařízením (EU) 2016/679, jsou-li předávány osobní údaje do třetích zemí, a to ani v případech dalšího předávání (2). Ustanovení o předávání údajů obsažená v kapitole V nařízení (EU) 2016/679 mají zajistit kontinuitu této vysoké úrovně ochrany, pokud jsou osobní údaje předávány do třetí země (3). |
(2) |
Podle čl. 46 odst. 1 nařízení (EU) 2016/679 může správce nebo zpracovatel v případě neexistence rozhodnutí Komise o odpovídající ochraně podle čl. 45 odst. 3 předat osobní údaje do třetí země pouze v případě, že poskytne vhodné záruky, a za podmínky, že jsou k dispozici vymahatelná práva a účinná právní ochrana pro subjekty údajů. Tyto záruky mohou být stanoveny standardními doložkami o ochraně osobních údajů přijatými Komisí podle čl. 46 odst. 2 písm. c). |
(3) |
Úloha standardních smluvních doložek se omezuje na zajištění vhodných záruk ochrany údajů pro mezinárodní předávání údajů. Správce nebo zpracovatel předávající osobní údaje do třetí země („vývozce údajů“) a správce nebo zpracovatel přijímající osobní údaje („dovozce údajů“) proto mohou zahrnout uvedené standardní smluvní doložky do rozsáhlejší smlouvy a přidat jiné doložky či dodatečné záruky, pokud tyto nejsou v přímém nebo nepřímém rozporu se standardními smluvními doložkami, nebo pokud se nedotýkají základních práv či svobod subjektů údajů. Správci a zpracovatelé jsou vybízeni k poskytování dodatečných záruk prostřednictvím smluvních závazků, které standardní smluvní doložky doplní (4). Využitím standardních smluvních doložek nejsou dotčeny smluvní závazky vývozce a/nebo dovozce údajů zajišťovat dodržování příslušných výsad a imunit. |
(4) |
Kromě toho, že vývozce údajů využívá standardních smluvních doložek za účelem poskytnutí vhodných záruk pro předávání podle čl. 46 odst. 1 nařízení (EU) 2016/679, musí plnit své obecné povinnosti správce nebo zpracovatele v rámci nařízení (EU) 2016/679. Mezi tyto povinnosti patří povinnost správce poskytnout subjektům údajů informace o skutečnosti, že má v úmyslu předat jejich osobní údaje do třetí země podle čl. 13 odst. 1 písm. f) a čl. 14 odst. 1 písm. f) nařízení (EU) 2016/679. V případě předávání podle článku 46 nařízení (EU) 2016/679 musí tyto informace zahrnovat odkaz na vhodné záruky a prostředky, jejichž prostřednictvím lze získat jejich kopii nebo informace o tom, kde byly zpřístupněny. |
(5) |
Rozhodnutí Komise 2001/497/ES (5) a 2010/87/EU (6) obsahují standardní smluvní doložky, jejichž cílem je usnadnit předávání osobních údajů od správce údajů usazeného v Unii správci nebo zpracovateli usazenému ve třetí zemi, která nenabízí odpovídající úroveň ochrany. Uvedená rozhodnutí vycházejí ze směrnice Evropského parlamentu a Rady 95/46/ES (7). |
(6) |
Podle čl. 46 odst. 5 nařízení (EU) 2016/679 zůstávají rozhodnutí 2001/497/ES a rozhodnutí 2010/87/EU platná až do chvíle, kdy je Komise podle potřeby změní, nahradí nebo zruší rozhodnutím přijatým podle čl. 46 odst. 2 uvedeného nařízení. Standardní smluvní doložky v těchto rozhodnutích vyžadovaly aktualizaci s ohledem na nové požadavky uvedené v nařízení (EU) 2016/679. Kromě toho od přijetí těchto rozhodnutí došlo v digitální ekonomice k významnému vývoji, s širokým využitím nových a složitějších operací zpracování, které často zahrnují více dovozců a vývozců údajů, dlouhé a složité řetězce zpracování a rozvíjející se obchodní vztahy. To vyžaduje modernizaci standardních smluvních doložek, aby lépe odrážely tuto realitu tím, že pokryjí další situace zpracování a předávání a umožní flexibilnější přístup, například s ohledem na počet stran, které se mohou ke smlouvě připojit. |
(7) |
Správce nebo zpracovatel může použít standardní smluvní doložky uvedené v příloze tohoto rozhodnutí za účelem poskytnutí vhodných záruk ve smyslu čl. 46 odst. 1 nařízení (EU) 2016/679 pro předávání osobních údajů zpracovateli nebo správci usazenému ve třetí zemi, aniž je dotčen výklad pojmu mezinárodního předávání uvedeného v nařízení (EU) 2016/679. Standardní smluvní doložky lze použít k takovému předávání pouze v rozsahu, v jakém zpracování dovozcem nespadá do oblasti působnosti nařízení (EU) 2016/679. To zahrnuje také předávání osobních údajů správcem nebo zpracovatelem, který není usazen v Unii, v rozsahu, v jakém zpracování podléhá nařízení (EU) 2016/679 (podle čl. 3 odst. 2 uvedeného nařízení), protože se týká nabídky zboží nebo služeb subjektům údajů v Unii nebo monitorování jejich chování, pokud k němu dochází v rámci Unie. |
(8) |
Vzhledem k obecnému sladění nařízení Evropského parlamentu a Rady (EU) 2016/679 a nařízení (EU) 2018/1725 (8) by mělo být možné standardní smluvní doložky použít také v souvislosti se smlouvou uvedenou v čl. 29 odst. 4 nařízení (EU) 2018/1725 pro předávání osobních údajů dílčímu zpracovateli ve třetí zemi zpracovatelem, který není orgánem nebo subjektem Unie, ale na něhož se vztahuje nařízení (EU) 2016/679 a který zpracovává osobní údaje jménem orgánu nebo subjektu Unie v souladu s článkem 29 nařízení (EU) 2018/1725. Pokud smlouva odráží stejné povinnosti v oblasti ochrany údajů, jaké jsou stanoveny ve smlouvě nebo jiném právním aktu mezi správcem a zpracovatelem podle čl. 29 odst. 3 nařízení (EU) 2018/1725, zejména tím, že poskytuje dostatečné záruky pro technická a organizační opatření k zajištění toho, aby zpracování splňovalo požadavky uvedeného nařízení, soulad s čl. 29 odst. 4 nařízení (EU) 2018/1725 bude zajištěn. Zejména to bude případ, kdy správce a zpracovatel využívají standardních smluvních doložek obsažených v prováděcím rozhodnutí Komise o standardních smluvních doložkách mezi správci a zpracovateli podle čl. 28 odst. 7 nařízení Evropského parlamentu a Rady (EU) 2016/679 a čl. 29 odst. 7 nařízení Evropského parlamentu a Rady (EU) 2018/1725 (9). |
(9) |
Pokud zpracování zahrnuje předávání údajů od správců, na něž se vztahuje nařízení (EU) 2016/679, zpracovatelům mimo jeho územní působnost nebo od zpracovatelů, na něž se vztahuje nařízení (EU) 2016/679, dílčím zpracovatelům mimo jeho územní působnost, standardní smluvní doložky stanovené v příloze tohoto rozhodnutí by měly rovněž umožňovat splnění požadavků čl. 28 odst. 3 a 4 nařízení (EU) 2016/679. |
(10) |
Standardní smluvní doložky uvedené v příloze tohoto rozhodnutí kombinují obecná ustanovení s modulárním přístupem s cílem zohlednit různé scénáře předávání a složitost moderních zpracovatelských řetězců. Kromě obecných ustanovení by si správci a zpracovatelé měli vybrat modul, který se vztahuje na jejich situaci, aby tak přizpůsobili své povinnosti uvedené ve standardních smluvních doložkách své úloze a povinnostem ve vztahu k dotčenému zpracování údajů. Mělo by být možné, aby byly standardní smluvní doložky dodržovány více než dvěma stranami. Kromě toho by dalším správcům a zpracovatelům mělo být umožněno přistoupit ke standardním smluvním doložkám v postavení vývozců nebo dovozců údajů po celou dobu platnosti smlouvy, jejíž součástí tyto doložky jsou. |
(11) |
V zájmu poskytnutí vhodných záruk by standardní smluvní doložky měly zajistit, aby osobním údajům předávaným na tomto základě byla poskytována úroveň ochrany v zásadě rovnocenná úrovni ochrany zaručené v Unii (10). Za účelem zajištění transparentnosti zpracování by měla být subjektům údajů poskytnuta kopie standardních smluvních doložek a měly by být informovány zejména o kategoriích zpracovávaných osobních údajů, právu na získání kopie standardních smluvních doložek a o jakémkoli dalším předávání. Další předávání údajů dovozcem údajů třetí straně v jiné třetí zemi by mělo být povoleno, pouze pokud tato třetí strana přistoupí ke standardním smluvním doložkám, pokud je zajištěna kontinuita ochrany jinak nebo ve zvláštních situacích, například na základě výslovného informovaného souhlasu subjektu údajů. |
(12) |
S některými výjimkami, zejména pokud jde o určité povinnosti, které se týkají výlučně vztahu mezi vývozcem údajů a dovozcem údajů, by subjekty údajů měly mít možnost dovolávat se standardních smluvních doložek jako oprávněné třetí strany a v případě potřeby tyto doložky vymáhat. I když by tedy stranám mělo být umožněno zvolit si právo jednoho z členských států, kterým se standardní smluvní doložky budou řídit, uvedené právo musí umožňovat uplatňování práv náležejících oprávněné třetí straně. Aby se usnadnila individuální právní ochrana, standardní smluvní doložky by měly vyžadovat, aby dovozce údajů poskytl subjektům údajů informace o kontaktním místě a neprodleně vyřídil jakékoli stížnosti nebo žádosti. V případě sporu mezi dovozcem údajů a subjektem údajů, který se dovolává svých práv jako oprávněná třetí strana, by subjekt údajů měl mít možnost podat stížnost u příslušného dozorového úřadu, nebo postoupit spor příslušným soudům v EU. |
(13) |
Aby bylo zajištěno účinné vymáhání, měl by být dovozce údajů povinen podřídit se pravomoci tohoto úřadu a soudů a zavázat se dodržovat jakékoli závazné rozhodnutí v souladu s platným právem členského státu. Dovozce údajů by měl zejména souhlasit, že bude reagovat na dotazy, podrobovat se auditům a dodržovat opatření přijatá dozorovým úřadem, včetně nápravných a kompenzačních opatření. Dovozce údajů by navíc měl mít možnost nabídnout subjektům údajů příležitost žádat o bezplatnou nápravu před nezávislým orgánem pro řešení sporů. V souladu s čl. 80 odst. 1 nařízení (EU) 2016/679 by subjekty údajů měly mít možnost být ve sporech proti dovozci údajů zastoupeny sdruženími nebo jinými subjekty, pokud si to přejí. |
(14) |
Standardní smluvní doložky by měly stanovovat pravidla týkající se odpovědnosti mezi stranami a ve vztahu k subjektům údajů a pravidla o odškodnění mezi stranami. Pokud subjekt údajů utrpí hmotnou nebo nehmotnou újmu v důsledku jakéhokoli porušení práv náležejících oprávněné třetí straně podle standardních smluvních doložek, měl by mít nárok na náhradu této újmy. Tím by neměla být dotčena odpovědnost podle nařízení (EU) 2016/679. |
(15) |
V případě předání dovozci údajů, který jedná jako zpracovatel nebo dílčí zpracovatel, by se měly uplatnit zvláštní požadavky v souladu s čl. 28 odst. 3 nařízení (EU) 2016/679. Ve standardních smluvních doložkách by se mělo od dovozce údajů vyžadovat, aby poskytl veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v doložkách, a aby vývozci údajů umožnil provádět audity jeho činností zpracování a k těmto auditům přispíval. Pokud jde o zapojení dílčího zpracovatele ze strany dovozce údajů – v souladu s čl. 28 odst. 2 a 4 nařízení (EU) 2016/679 – standardní smluvní doložky by měly zejména stanovit postup pro vydání obecného nebo zvláštního povolení od vývozce údajů a požadavek na uzavření písemné smlouvy s dílčím zpracovatelem zajišťující stejnou úroveň ochrany, jaká je zaručena těmito doložkami. |
(16) |
Ve standardních smluvních doložkách je vhodné stanovit různé záruky, které se vztahují na zvláštní situaci, kdy osobní údaje předává zpracovatel v Unii správci ve třetí zemi, a které odrážejí omezené samostatné povinnosti zpracovatelů podle nařízení (EU) 2016/679. Ve standardních smluvních doložkách by se zejména mělo vyžadovat, aby zpracovatel informoval správce, pokud není schopen dodržovat jeho pokyny, a to i v případě, že je takovými pokyny porušeno právo Unie v oblasti ochrany údajů, a aby se správce zdržel jakýchkoli opatření, která by bránila zpracovateli při plnění jeho povinností podle nařízení (EU) 2016/679. Mělo by se v nich rovněž vyžadovat, aby si strany vzájemně pomáhaly při odpovídání na dotazy a žádosti subjektů údajů podle místního práva použitelného na dovozce údajů nebo v případě zpracování údajů v Unii podle nařízení (EU) 2016/679. Dodatečné požadavky týkající se řešení jakýchkoli dopadů právních předpisů třetí země určení na dodržování doložek správcem, zejména pokud jde o řešení závazných žádostí veřejných orgánů ve třetí zemi týkajících se zveřejnění předávaných osobních údajů, by se měly uplatnit v případě, že unijní zpracovatel kombinuje osobní údaje přijaté od správce ve třetí zemi s osobními údaji shromážděnými zpracovatelem v Unii. Naopak žádné takové požadavky nejsou odůvodněné, pokud externí zajištění zahrnuje pouze zpracování a zpětné předání osobních údajů, které byly získány od správce a v každém případě spadají a budou i nadále spadat do pravomoci dotčené třetí země. |
(17) |
Strany by měly být schopny soulad se standardními smluvními doložkami prokázat. Od dovozce údajů by mělo být zejména požadováno, aby vedl příslušnou dokumentaci pro činnosti zpracování, za které odpovídá, a aby bezodkladně informoval vývozce údajů, pokud z jakéhokoli důvodu není schopen tyto doložky dodržovat. Vývozce údajů by pro změnu měl v případech, kdy jde o zpracování osobních údajů podle standardních smluvních doložek, předávání pozastavit a ve zvláště závažných případech mít právo smlouvu vypovědět, pokud dovozce údajů tyto doložky porušuje nebo není schopen je dodržovat. V případě místních právních předpisů, které mají vliv na dodržování doložek, by měla platit zvláštní pravidla. Osobní údaje, které byly předány před vypovězením smlouvy, a jakékoli jejich kopie by měly být podle volby vývozce údajů vráceny vývozci údajů nebo zničeny v celém rozsahu. |
(18) |
Standardní smluvní doložky by měly stanovit zvláštní záruky, zejména s ohledem na judikaturu Soudního dvora (11), s cílem řešit případné dopady právních předpisů třetí země určení na dodržování doložek dovozcem údajů, zejména to, jak vyřídit závazné žádosti orgánů veřejné moci této země týkající se zpřístupnění předávaných osobních údajů. |
(19) |
K předávání a zpracování osobních údajů podle standardních smluvních doložek by nemělo docházet tehdy, pokud právní předpisy a praxe třetí země určení brání dovozci údajů v dodržování těchto doložek. V těchto souvislostech by se právní předpisy a postupy, které respektují podstatu základních práv a svobod a nepřekračují to, co je v demokratické společnosti nezbytné a přiměřené k zajištění jednoho z cílů uvedených v čl. 23 odst. 1 nařízení (EU) 2016/679, neměly považovat za odporující standardním smluvním doložkám. Strany by měly zaručit, že v době sjednávání standardních smluvních doložek nemají žádný důvod se domnívat, že právní předpisy a postupy použitelné na dovozce údajů nejsou s těmito požadavky v souladu. |
(20) |
Za tímto účelem by strany měly zohlednit zejména konkrétní okolnosti předávání (jako je obsah a doba platnosti smlouvy, povaha údajů, jež mají být předány, druh příjemce, účel zpracování), právní předpisy a postupy třetí země určení, které mají význam s ohledem na okolnosti předávání, a veškeré záruky zavedené za účelem doplnění záruk podle standardních smluvních doložek (včetně příslušných smluvních, technických a organizačních opatření, jež se uplatňují na předávání a zpracování osobních údajů v zemi určení). Pokud jde o dopad takových právních předpisů a postupů na dodržování standardních smluvních doložek, za součást celkového posouzení lze považovat různé prvky, včetně spolehlivých informací týkajících se uplatňování práva v praxi (jde například o judikaturu a zprávy nezávislých dozorových úřadů), existence nebo neexistence žádostí ve stejném odvětví a za přísných podmínek doložené praktické zkušenosti vývozce údajů a/nebo dovozce údajů. |
(21) |
Dovozce údajů by měl vývozce údajů informovat, pokud má po udělení souhlasu se standardními smluvními doložkami důvod se domnívat, že není schopen tyto doložky dodržovat. Pokud vývozce údajů takové oznámení obdrží nebo se jinak dozví, že dovozce údajů již není schopen standardní smluvní doložky dodržovat, měl by v případě potřeby po konzultaci s příslušným dozorovým úřadem určit vhodná opatření k řešení situace. Tato opatření mohou zahrnovat doplňková opatření přijatá vývozcem údajů nebo dovozcem údajů, jako jsou technická nebo organizační opatření k zajištění bezpečnosti a důvěrnosti. Od vývozce údajů by mělo být požadováno, aby předávání pozastavil, pokud se domnívá, že nelze zajistit žádné vhodné záruky, nebo pokud mu k tomu dá pokyn příslušný dozorový úřad. |
(22) |
Je-li to možné, měl by dovozce údajů informovat vývozce údajů a subjekt údajů, pokud obdrží právně závaznou žádost od veřejného (včetně soudního) orgánu podle práva země určení o zveřejnění osobních údajů předávaných podle standardních smluvních doložek. Podobně by je měl informovat, pokud se dozví o jakémkoli přímém přístupu orgánů veřejné moci k těmto osobním údajům v souladu s právními předpisy třetí země určení. Pokud dovozce údajů i přes maximální úsilí není schopen informovat vývozce údajů a/nebo subjekt údajů o konkrétních žádostech o poskytnutí údajů, měl by vývozci údajů o těchto žádostech poskytnout co nejrelevantnější informace. Dovozce údajů by navíc měl vývozci údajů podávat souhrnné informace v pravidelných intervalech. Od dovozce údajů by rovněž mělo být požadováno, aby všechny žádosti o poskytnutí údajů a sdělené odpovědi dokumentoval a tyto informace na požádání vývozci údajů a/nebo příslušnému dozorovému úřadu zpřístupnil. Pokud dovozce údajů po přezkoumání zákonnosti takové žádosti podle právních předpisů země určení dospěje k závěru, že existují opodstatněné důvody se domnívat, že žádost je podle právních předpisů třetí země určení protiprávní, měl by takovou žádost napadnout, včetně případného vyčerpání všech dostupných opravných prostředků. V každém případě, pokud již dovozce údajů není schopen dodržovat standardní smluvní doložky, měl by o tom odpovídajícím způsobem informovat vývozce údajů, a to i tehdy, jde-li o důsledek žádosti o poskytnutí údajů. |
(23) |
Jelikož se potřeby zúčastněných stran, technologie a operace zpracování mohou měnit, měla by Komise fungování standardních smluvních doložek na základě zkušeností vyhodnotit v rámci pravidelného hodnocení nařízení (EU) 2016/679 podle článku 97 uvedeného nařízení. |
(24) |
Rozhodnutí 2001/497/ES a rozhodnutí 2010/87/EU by měla být zrušena tři měsíce po vstupu tohoto rozhodnutí v platnost. Během tohoto období by měli mít vývozci a dovozci údajů pro účely čl. 46 odst. 1 nařízení (EU) 2016/679 možnost nadále používat standardní smluvní doložky stanovené v rozhodnutích 2001/497/ES a 2010/87/EU. Po dobu dalších patnácti měsíců by měli mít vývozci a dovozci údajů pro účely čl. 46 odst. 1 nařízení (EU) 2016/679 nadále možnost spoléhat se na standardní smluvní doložky stanovené v rozhodnutích 2001/497/ES a 2010/87/EU, pokud jde o plnění smluv uzavřených mezi nimi před datem zrušení těchto rozhodnutí, za předpokladu, že operace zpracování, které jsou předmětem smlouvy, zůstanou nezměněny, a za předpokladu, že spoléhání se na tyto doložky zajistí, že předávání osobních údajů bude podléhat vhodným zárukám ve smyslu čl. 46 odst. 1 nařízení (EU) 2016/679. V případě podstatných změn smlouvy by měl být vývozce údajů povinen vycházet z nového základu pro předávání údajů v rámci smlouvy, a to zejména tak, že nahradí stávající standardní smluvní doložky standardními smluvními doložkami stanovenými v příloze tohoto rozhodnutí. Totéž by mělo platit pro jakékoli subdodavatelské zakázky zadávané (dílčímu) zpracovateli, které se týkající operací zpracování, na něž se smlouva vztahuje. |
(25) |
Evropský inspektor ochrany údajů a Evropský sbor pro ochranu údajů byly konzultovány v souladu s čl. 42 odst. 1 a 2 nařízení (EU) 2018/1725 a dne 14. ledna 2021 vydaly společné stanovisko (12), které bylo při vypracování tohoto rozhodnutí zohledněno. |
(26) |
Opatření stanovená tímto rozhodnutím jsou v souladu se stanoviskem výboru zřízeného podle článku 93 nařízení (EU) 2016/679, |
PŘIJALA TOTO ROZHODNUTÍ:
Článek 1
1. Standardní smluvní doložky uvedené v příloze se považují za doložky poskytující vhodné záruky ve smyslu čl. 46 odst. 1 a čl. 46 odst. 2 písm. c) nařízení (EU) 2016/679 pro předávání osobních údajů – zpracovaných podle uvedeného nařízení – správcem nebo zpracovatelem (vývozce údajů) správci nebo (dílčímu) zpracovateli, na kterého se při zpracování údajů uvedené nařízení nevztahuje (dovozce údajů).
2. Standardní smluvní doložky rovněž stanoví práva a povinnosti správců a zpracovatelů ve vztahu k záležitostem uvedeným v čl. 28 odst. 3 a 4 nařízení (EU) 2016/679, pokud jde o předávání osobních údajů od správce zpracovateli nebo od zpracovatele dílčímu zpracovateli.
Článek 2
Pokud příslušné orgány členských států vykonávají nápravné pravomoci podle článku 58 nařízení (EU) 2016/679 v reakci na to, že se na dovozce údajů vztahují nebo začínají vztahovat právní předpisy nebo postupy ve třetí zemi určení, které mu brání v dodržování standardních smluvních doložek uvedených v příloze, důsledkem čehož je pozastavení nebo zákaz předávání údajů do třetích zemí, informuje dotčený členský stát neprodleně Komisi, která předá informace ostatním členským státům.
Článek 3
Komise vyhodnotí praktické uplatňování standardních smluvních doložek stanovených v příloze na základě všech dostupných informací v rámci pravidelného hodnocení požadovaného podle článku 97 nařízení (EU) 2016/679.
Článek 4
1. Toto rozhodnutí vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
2. Rozhodnutí 2001/497/ES se zrušuje ode dne 27. září 2021.
3. Rozhodnutí 2010/87/EU se zrušuje ode dne 27. září 2021.
4. Smlouvy uzavřené před 27. zářím 2021 na základě rozhodnutí 2001/497/ES nebo rozhodnutí 2010/87/EU se považují za smlouvy poskytující vhodné záruky ve smyslu čl. 46 odst. 1 nařízení (EU) 2016/679 do 27. prosince 2022, za předpokladu, že operace zpracování, které jsou předmětem smlouvy, zůstávají beze změny a že spoléhání se na tyto doložky zajistí, že se na předávání osobních údajů budou vztahovat vhodné záruky.
V Bruselu dne 4. června 2021.
Za Komisi
předsedkyně
Ursula VON DER LEYEN
(1) Úř. věst. L 119, 4.5.2016, s. 1.
(2) Článek 44 nařízení (EU) 2016/679.
(3) Viz rovněž rozsudek Soudního dvora ze dne 16. července 2020, Data Protection Commissioner v. Facebook Ireland Ltd a Maximillian Schrems („Schrems II“), C-311/18, ECLI:EU:C:2020:559, bod 93.
(4) 109. bod odůvodnění nařízení (EU) 2016/679.
(5) Rozhodnutí Komise 2001/497/ES ze dne 15. června 2001 o standardních smluvních doložkách pro předávání osobních údajů do třetích zemí podle směrnice 95/46/ES (Úř. věst. L 181, 4.7.2001, s. 19).
(6) Rozhodnutí Komise 2010/87/EU ze dne 5. února 2010 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle směrnice Evropského parlamentu a Rady 95/46/ES (Úř. věst. L 39, 12.2.2010, s. 5).
(7) Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. L 281, 23.11.1995, s. 31).
(8) Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39). Viz 5. bod odůvodnění.
(9) C(2021)3701.
(10) Schrems II, body 96 a 103. Viz rovněž nařízení (EU) 2016/679, 108. a 114. bod odůvodnění.
(11) Schrems II.
(12) Společné stanovisko evropského inspektora ochrany údajů a Evropského sboru pro ochranu údajů č. 2/2021 k prováděcímu rozhodnutí Evropské komise o standardních smluvních doložkách pro předávání osobních údajů do třetích zemí v záležitostech uvedených v čl. 46 odst. 2 písm. c) nařízení (EU) 2016/679.
PŘÍLOHA
STANDARDNÍ SMLUVNÍ DOLOŽKY
ODDÍL I
Doložka 1
Účel a oblast působnosti
a) |
Účelem těchto standardních smluvních doložek je zajistit dodržování požadavků uvedených v nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně údajů) (1), pokud jde o předávání osobních údajů do třetí země. |
b) |
Strany:
se dohodly na těchto standardních smluvních doložkách (dále jen „doložky“). |
c) |
Tyto doložky se použijí s ohledem na předávání osobních údajů podle přílohy I části B. |
d) |
Dodatek k těmto doložkám obsahující přílohy, na něž se v těchto doložkách odkazuje, tvoří nedílnou součást těchto doložek. |
Doložka 2
Účinek a neměnnost doložek
a) |
Tyto doložky stanoví vhodné záruky, včetně vymahatelných práv subjektu údajů a účinné právní ochrany, podle čl. 46 odst. 1 a čl. 46 odst. 2 písm. c) nařízení (EU) 2016/679 a s ohledem na předávání údajů od správců zpracovatelům a/nebo od zpracovatelů zpracovatelům, standardní smluvní doložky podle čl. 28 odst. 7 nařízení (EU) 2016/679, pokud nebudou změněny, s výjimkou výběru vhodného modulu (vhodných modulů) nebo za účelem přidání nebo aktualizace informací v dodatku. To smluvním stranám nebrání v tom, aby zahrnuly standardní smluvní doložky stanovené v těchto doložkách do širší smlouvy a/nebo přidaly další doložky nebo dodatečné záruky, pokud nebudou přímo nebo nepřímo v rozporu s těmito doložkami nebo nebudou dotčena základní práva nebo svobody subjektů údajů. |
b) |
Těmito doložkami nejsou dotčeny povinnosti, které se vztahují na vývozce údajů na základě nařízení (EU) 2016/679. |
Doložka 3
Oprávněné třetí strany
a) |
Subjekty údajů se mohou jako oprávněné třetí strany ve vztahu k vývozci a/nebo dovozci údajů dovolávat těchto doložek a vymáhat je, a to s následujícími výjimkami:
|
b) |
Písmenem a) nejsou dotčena práva subjektů údajů podle nařízení (EU) 2016/679. |
Doložka 4
Výklad
a) |
Pokud tyto doložky používají pojmy, které jsou vymezeny v nařízení (EU) 2016/679, mají tyto pojmy stejný význam jako v uvedeném nařízení. |
b) |
Tyto doložky je třeba číst a vykládat s ohledem na ustanovení nařízení (EU) 2016/679. |
c) |
Tyto doložky nebudou vykládány žádným způsobem, který by byl v rozporu s právy a povinnostmi stanovenými v nařízení (EU) 2016/679. |
Doložka 5
Hierarchie
V případě rozporu mezi těmito doložkami a ustanoveními souvisejících dohod mezi stranami, které existovaly v době sjednání těchto doložek, nebo které byly uzavřeny až po jejich sjednání, mají tyto doložky přednost.
Doložka 6
Popis předávání
Podrobnosti týkající se předávání, zejména kategorie osobních údajů, které jsou předávány, a účel nebo účely, pro které jsou předávány, jsou uvedeny v příloze I části B.
Doložka 7 – volitelná
Doložka o přistoupení
a) |
Subjekt, který není stranou těchto doložek, může se souhlasem stran k těmto doložkám kdykoli přistoupit, buď jako vývozce údajů, nebo jako dovozce údajů, a to vyplněním dodatku a podepsáním přílohy I části A. |
b) |
Poté, co přistupující subjekt vyplní dodatek a podepíše přílohu I část A, stane se stranou těchto doložek a má práva a povinnosti vývozce údajů nebo dovozce údajů v souladu se svým určením v příloze I části A. |
c) |
Přistupující subjekt nemá žádná práva ani povinnosti na základě těchto doložek plynoucí z období před tím, než se stal stranou. |
ODDÍL II – POVINNOSTI STRAN
Doložka 8
Záruky ochrany údajů
Vývozce údajů zaručuje, že vynaložil přiměřené úsilí, aby mohl stanovit, zda je dovozce údajů schopen – zavedením vhodných technických a organizačních opatření – plnit své povinnosti podle těchto doložek.
MODUL 1: Předání od správce správci
8.1. Účelové omezení
Dovozce údajů zpracovává osobní údaje pouze pro konkrétní účel nebo účely předání v souladu s přílohou I částí B. Osobní údaje může zpracovávat pro jiný účel pouze tehdy, pokud:
i) |
získal předchozí souhlas subjektu údajů; |
ii) |
je to nezbytné pro určení, výkon nebo obhajobu právních nároků v rámci zvláštních správních, regulačních nebo soudních řízení, nebo |
iii) |
je to nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby. |
8.2. Transparentnost
a) |
Aby subjekty údajů mohly účinně vykonávat svá práva podle doložky 10, dovozce údajů je informuje přímo nebo prostřednictvím vývozce údajů:
|
b) |
Písmeno a) se nepoužije, pokud subjekt údajů již tyto informace má, a to i v případě, že tyto informace již poskytl vývozce údajů, nebo pokud je poskytnutí těchto informací nemožné nebo by to pro dovozce údajů znamenalo nepřiměřené úsilí. V druhém případě dovozce údajů informace v maximální možné míře zveřejní. |
c) |
Strany poskytnou subjektu údajů na požádání a bezplatně kopii těchto doložek, včetně dodatku, který tyto strany vyplnily. V rozsahu nezbytném k ochraně obchodního tajemství nebo jiných důvěrných informací, včetně osobních údajů, mohou strany před sdílením kopie upravit část znění dodatku, ale poskytnou smysluplné shrnutí, pokud by jinak subjekt údajů nebyl schopen porozumět jeho obsahu nebo uplatnit svá práva. Strany poskytnou subjektu údajů na požádání důvody uvedených úprav, a to v co největší možné míře, aniž by byly upravené informace odhaleny. |
d) |
Písmeny a) až c) nejsou dotčeny povinnosti vývozce údajů podle článků 13 a 14 nařízení (EU) 2016/679. |
8.3. Přesnost a minimalizace údajů
a) |
Každá strana zajistí, aby osobní údaje byly přesné a v případě potřeby aktualizovány. Dovozce údajů přijme veškerá smysluplná opatření, aby zajistil, že osobní údaje, které jsou nepřesné, budou s ohledem na účel nebo účely zpracování bezodkladně vymazány nebo opraveny. |
b) |
Pokud se jedna ze stran dozví, že osobní údaje, které předala nebo přijala, jsou nepřesné nebo zastaralé, bez zbytečného odkladu o tom informuje druhou stranu. |
c) |
Dovozce údajů zajistí, aby osobní údaje byly přiměřené, relevantní a omezené na to, co je nezbytné z hlediska účelu nebo účelů, pro které jsou zpracovávány. |
8.4. Omezení uložení
Dovozce údajů uchová osobní údaje pouze po dobu nezbytnou pro účel nebo účely, pro který (které) jsou zpracovávány. Přijme vhodná technická nebo organizační opatření k zajištění dodržování této povinnosti, včetně vymazání nebo anonymizace údajů (2) a všech záloh na konci doby uchovávání.
8.5. Zabezpečení zpracování
a) |
Dovozce údajů a během předávání také vývozce údajů přijmou vhodná technická a organizační opatření k zajištění zabezpečení osobních údajů, včetně ochrany před porušením zabezpečení vedoucím k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění (dále jen „porušení zabezpečení osobních údajů“). Při posuzování vhodné úrovně zabezpečení řádně zohlední aktuální stav techniky, náklady na provedení, povahu, rozsah, kontext a účel nebo účely zpracování a rizika pro subjekt údajů spojená se zpracováním. Strany zejména zváží použití šifrování nebo pseudonymizace, a to i během předávání, pokud lze tímto způsobem splnit účel zpracování. |
b) |
Strany se dohodly na technických a organizačních opatřeních stanovených v příloze II. Dovozce údajů provádí pravidelné kontroly, aby zajistil, že tato opatření stále poskytují odpovídající úroveň zabezpečení. |
c) |
Dovozce údajů zajistí, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti, nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti. |
d) |
V případě porušení zabezpečení osobních údajů týkajících se osobních údajů zpracovávaných dovozcem údajů podle těchto doložek přijme dovozce údajů vhodná opatření k řešení porušení zabezpečení osobních údajů, včetně opatření ke zmírnění jeho možných nepříznivých účinků. |
e) |
V případě porušení zabezpečení osobních údajů, které by mohlo vést k ohrožení práv a svobod fyzických osob, dovozce údajů bez zbytečného odkladu informuje vývozce údajů i příslušný dozorový úřad v souladu s doložkou 13. Toto ohlášení obsahuje i) popis povahy daného případu porušení zabezpečení osobních údajů (včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů), ii) jeho pravděpodobných důsledků, iii) popis opatření, která byla přijata nebo byla navržena s cílem vyřešit dané porušení zabezpečení, a iv) údaje kontaktního místa, kde lze získat více informací. Není-li možné, aby dovozce údajů veškeré informace poskytl současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu. |
f) |
V případě porušení zabezpečení osobních údajů, které pravděpodobně bude představovat vysoké riziko pro práva a svobody fyzických osob, dovozce údajů rovněž bez zbytečného odkladu podá hlášení dotčeným subjektům údajů o porušení zabezpečení osobních údajů a jeho povaze – v případě potřeby ve spolupráci s vývozcem údajů – a sdělí jim také informace uvedené v písm. e) bodu ii) až iv), pokud dovozce údajů nezavedl opatření za účelem značného snížení rizika pro práva a svobody fyzických osob nebo pokud dané hlášení nevyžaduje nepřiměřené úsilí. V posledně uvedeném případě dovozce údajů místo toho vydá veřejné oznámení nebo zajistí obdobné opatření, kterým veřejnost o porušení zabezpečení osobních údajů informuje. |
g) |
Dovozce údajů dokumentuje veškeré relevantní skutečnosti týkající se porušení zabezpečení osobních údajů, včetně jeho účinků a přijatých nápravných opatření, a vede si o tom záznamy. |
8.6. Citlivé údaje
Jestliže předávání zahrnuje osobní údaje vypovídající o rasovém nebo etnickém původu, politických názorech, náboženském vyznání nebo filozofickém přesvědčení nebo členství v odborech, genetické údaje nebo biometrické údaje za účelem jedinečné identifikace fyzické osoby, údaje o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby nebo údaje týkající se rozsudků v trestních věcech nebo trestných činů (dále jen „citlivé údaje“), dovozce údajů uplatní zvláštní omezení a/nebo dodatečné záruky přizpůsobené zvláštní povaze údajů a souvisejícím rizikům. To může zahrnovat omezení personálu, který má povolen přístup k osobním údajům, dodatečná bezpečnostní opatření (jako je pseudonymizace) a/nebo dodatečná omezení s ohledem na další zpřístupnění.
8.7. Další předávání
Dovozce údajů nezpřístupní osobní údaje třetí straně se sídlem mimo Evropskou unii (3) (ve stejné zemi jako dovozce údajů nebo v jiné třetí zemi, dále jen „další předávání“), ledaže by tato třetí strana byla podle příslušného modulu těmito doložkami vázána nebo by souhlasila s tím, že jimi bude vázána. K dalšímu předání dovozcem údajů jinak může dojít pouze tehdy, pokud:
i) |
se provádí do země, která využívá rozhodnutí o odpovídající ochraně podle článku 45 nařízení (EU) 2016/679, jenž upravuje další předávání; |
ii) |
třetí strana jinak zajišťuje vhodné záruky podle článků 46 nebo 47 nařízení (EU) 2016/679 s ohledem na dotčené zpracování; |
iii) |
třetí strana uzavře s dovozcem údajů závazný instrument zajišťující stejnou úroveň ochrany údajů jako podle těchto doložek a dovozce údajů poskytne kopii těchto záruk vývozci údajů; |
iv) |
je to nezbytné pro určení, výkon nebo obhajobu právních nároků v rámci zvláštních správních, regulačních nebo soudních řízení; |
v) |
je to nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby, nebo |
vi) |
pokud neplatí žádná z dalších podmínek, dovozce údajů získal výslovný souhlas subjektu údajů s dalším předáváním v konkrétní situaci poté, co jej informoval o jeho účelu nebo účelech, totožnosti příjemce a možných rizicích, která pro něj vyplývají z takového předávání vzhledem k nedostatku vhodných záruk ochrany údajů. V takovém případě dovozce údajů informuje vývozce údajů a na žádost vývozce údajů mu předá kopii informací poskytnutých subjektu údajů. |
Na jakékoli další předávání se vztahuje podmínka, že dovozce údajů dodrží všechny ostatní záruky podle těchto doložek, zejména účelové omezení.
8.8. Zpracování z pověření dovozce údajů
Dovozce údajů zajistí, aby jakákoli osoba, která jedná z jeho pověření, včetně zpracovatele, zpracovávala údaje pouze na základě jeho pokynů.
8.9. Dokumentace a plnění povinností
a) |
Každá strana musí být schopna prokázat plnění svých povinností podle těchto doložek. Dovozce údajů zejména vede příslušnou dokumentaci o činnostech zpracování, za jejichž provádění odpovídá. |
b) |
Dovozce údajů tuto dokumentaci na požádání zpřístupní příslušnému dozorovému úřadu. |
MODUL 2: Předání od správce zpracovateli
8.1. Pokyny
a) |
Dovozce údajů zpracovává osobní údaje pouze na základě doložených pokynů od vývozce údajů. Vývozce údajů může takové pokyny vydávat po celou dobu trvání smlouvy. |
b) |
Dovozce údajů okamžitě informuje vývozce údajů, pokud není schopen tyto pokyny dodržet. |
8.2. Účelové omezení
Dovozce údajů zpracovává osobní údaje pouze pro konkrétní účel nebo účely předání uvedené v příloze I části B, ledaže vývozce údajů vydá další pokyny.
8.3. Transparentnost
Na požádání poskytne vývozce údajů subjektu údajů bezplatně kopii těchto doložek, včetně dodatku, který tyto strany vyplnily. V rozsahu nezbytném k ochraně obchodního tajemství nebo jiných důvěrných informací, včetně opatření popsaných v příloze II a osobních údajů, může vývozce údajů před sdílením kopie upravit část znění dodatku k těmto doložkám, ale poskytne smysluplné shrnutí, pokud by jinak subjekt údajů nebyl schopen porozumět jeho obsahu nebo uplatnit svá práva. Strany poskytnou subjektu údajů na požádání důvody uvedených úprav, a to v co největší možné míře, aniž by byly upravené informace odhaleny. Touto doložkou nejsou dotčeny povinnosti vývozce údajů podle článků 13 a 14 nařízení (EU) 2016/679.
8.4. Přesnost
Pokud se dovozce údajů dozví, že osobní údaje, které přijal, jsou nepřesné nebo zastaralé, bez zbytečného odkladu o tom informuje vývozce údajů. V takovém případě dovozce údajů spolupracuje s vývozcem údajů na jejich vymazání nebo opravě.
8.5. Doba zpracování a vymazání nebo vrácení údajů
Dovozce údajů zpracovává údaje pouze po dobu uvedenou v příloze I části B. Po skončení poskytování zpracovatelských služeb dovozce údajů v souladu s volbou vývozce údajů vymaže všechny osobní údaje zpracovávané jménem vývozce údajů a potvrdí vývozci údajů, že tak učinil, nebo vývozci údajů vrátí všechny osobní údaje zpracovávané jeho jménem a vymaže existující kopie. Dokud nejsou údaje vymazány nebo vráceny, dovozce údajů nadále zajišťuje soulad s těmito doložkami. V případě, že se na dovozce údajů vztahují místní právní předpisy, které mu zakazují osobní údaje vrátit nebo vymazat, dovozce údajů zaručuje, že bude i nadále zajišťovat dodržování těchto doložek a že bude údaje zpracovávat pouze v takovém rozsahu a tak dlouho, jak to místní právo vyžaduje. Tím není dotčena doložka 14, zejména požadavek, aby dovozce údajů podle doložky 14 písm. e) informoval vývozce údajů po celou dobu trvání smlouvy, pokud má důvod se domnívat, že se na něj vztahují nebo se na něj začaly vztahovat právní předpisy nebo postupy, jež nejsou v souladu s požadavky podle doložky 14 písm. a).
8.6. Zabezpečení zpracování
a) |
Dovozce údajů a během předávání také vývozce údajů přijmou vhodná technická a organizační opatření k zajištění zabezpečení údajů, včetně ochrany před porušením zabezpečení vedoucím k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění uvedených údajů (dále jen „porušení zabezpečení osobních údajů“). Při posuzování vhodné úrovně zabezpečení strany řádně zohlední aktuální stav techniky, náklady na provedení, povahu, rozsah, kontext a účel nebo účely zpracování a rizika pro subjekty údajů spojená se zpracováním. Strany zejména zváží použití šifrování nebo pseudonymizace, a to i během předávání, pokud lze tímto způsobem splnit účel zpracování. V případě pseudonymizace zůstanou dodatečné informace pro přiřazení osobních údajů konkrétnímu subjektu údajů, pokud je to možné, pod výlučnou kontrolou vývozce údajů. Za účelem dodržení svých povinností podle tohoto odstavce musí dovozce údajů přinejmenším zavést technická a organizační opatření uvedená v příloze II. Dovozce údajů provádí pravidelné kontroly, aby zajistil, že tato opatření stále poskytují odpovídající úroveň zabezpečení. |
b) |
Dovozce údajů poskytne přístup k osobním údajům svým zaměstnancům pouze v rozsahu nezbytně nutném pro provádění, správu a monitorování smlouvy. Zajistí, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti, nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti. |
c) |
V případě porušení zabezpečení osobních údajů týkajících se osobních údajů zpracovávaných dovozcem údajů podle těchto doložek přijme dovozce údajů vhodná opatření k řešení porušení zabezpečení, včetně opatření ke zmírnění jeho nepříznivých účinků. Dovozce údajů rovněž bez zbytečného odkladu poté, co se o porušení dozvěděl, podá hlášení vývozci údajů. Takové hlášení obsahuje podrobnosti o kontaktním místě, které může poskytnout bližší informace, popis povahy daného případu porušení zabezpečení (včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a přibližného množství záznamů osobních údajů), jeho pravděpodobných důsledků a opatření přijatých nebo navržených s cílem vyřešit dané porušení zabezpečení, včetně případných opatření ke zmírnění jeho možných nepříznivých dopadů. Není-li možné poskytnout všechny informace současně, původní hlášení obsahuje informace, které byly v danou dobu k dispozici, a další informace, jakmile budou k dispozici, budou následně poskytovány bez zbytečného odkladu. |
d) |
Dovozce údajů spolupracuje s vývozcem údajů a pomáhá mu tak, aby mu umožnil plnit jeho povinnosti podle nařízení (EU) 2016/679, zejména povinnost podávat hlášení příslušnému dozorovému úřadu a dotčeným subjektům údajů, s přihlédnutím k povaze zpracování a informacím, které jsou dovozci údajů dostupné. |
8.7. Citlivé údaje
Pokud předávání zahrnuje osobní údaje vypovídající o rasovém nebo etnickém původu, politických názorech, náboženském vyznání nebo filozofickém přesvědčení nebo členství v odborech, genetické údaje nebo biometrické údaje za účelem jedinečné identifikace fyzické osoby, údaje o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby nebo údaje týkající se rozsudků v trestních věcech a trestných činů (dále jen „citlivé údaje“), dovozce údajů uplatní zvláštní omezení a/nebo dodatečné záruky popsané v příloze I části B.
8.8. Další předávání
Dovozce údajů zpřístupní osobní údaje třetí straně pouze na základě doložených pokynů od vývozce údajů. Údaje mohou být navíc zpřístupněny třetí straně se sídlem mimo Evropskou unii (4) (ve stejné zemi jako dovozce údajů nebo v jiné třetí zemi, dále jen „další předávání“), pokud je tato třetí strana podle příslušného modulu vázána těmito doložkami nebo souhlasí s tím, že jimi bude vázána, nebo pokud:
i) |
se další předávání provádí do země, která využívá rozhodnutí o odpovídající ochraně podle článku 45 nařízení (EU) 2016/679, jenž upravuje další předávání; |
ii) |
třetí strana jinak zajišťuje vhodné záruky podle článků 46 nebo 47 nařízení (EU) 2016/679 s ohledem na dotčené zpracování; |
iii) |
je další předávání nezbytné pro určení, výkon nebo obhajobu právních nároků v rámci zvláštních správních, regulačních nebo soudních řízení, nebo |
iv) |
je další předávání nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby. |
Na jakékoli další předávání se vztahuje podmínka, že dovozce údajů dodrží všechny ostatní záruky podle těchto doložek, zejména účelové omezení.
8.9. Dokumentace a plnění povinností
a) |
Dovozce údajů neprodleně a odpovídajícím způsobem vyřídí dotazy vývozce údajů, které se týkají zpracování podle těchto doložek. |
b) |
Strany musí být schopny prokázat dodržování těchto doložek. Dovozce údajů zejména vede příslušnou dokumentaci o činnostech zpracování prováděných za vývozce údajů. |
c) |
Dovozce údajů poskytne vývozci údajů veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v těchto doložkách, a na žádost vývozce údajů umožní audity činností zpracování, na které se tyto doložky vztahují, a bude k nim přispívat, a to v přiměřených intervalech, nebo pokud existují okolnosti nasvědčující tomu, že doložky nejsou dodržovány. Při rozhodování o přezkumu nebo auditu může vývozce údajů vzít v úvahu příslušná osvědčení, kterými disponuje dovozce údajů. |
d) |
Vývozce údajů se může rozhodnout provést audit sám nebo pověřit nezávislého auditora. Audity mohou zahrnovat inspekce v prostorách nebo ve fyzických zařízeních dovozce údajů a v příslušných případech se provádějí na základě přiměřeně včasného oznámení. |
e) |
Strany na požádání příslušnému dozorovému úřadu poskytnou informace uvedené v písmenech b) a c), včetně výsledků jakýchkoli auditů. |
MODUL 3: Předání od zpracovatele zpracovateli
8.1. Pokyny
a) |
Vývozce údajů informoval dovozce údajů, že jedná jako zpracovatel na základě pokynů svého správce nebo správců, a tyto pokyny vývozce údajů před zpracováním zpřístupní dovozci údajů. |
b) |
Dovozce údajů zpracovává osobní údaje pouze na základě dokumentovaných pokynů správce, které byly vývozcem údajů sděleny dovozci údajů, a na základě jakýchkoli dodatečných dokumentovaných pokynů od vývozce údajů. Tyto dodatečné pokyny nesmí být v rozporu s pokyny správce. Správce nebo vývozce údajů může po dobu trvání smlouvy vydat další dokumentované pokyny týkající se zpracování údajů. |
c) |
Dovozce údajů okamžitě informuje vývozce údajů, pokud není schopen tyto pokyny dodržet. Jestliže dovozce údajů není schopen postupovat podle pokynů správce, vývozce údajů o tom správce neprodleně uvědomí. |
d) |
Vývozce údajů zaručuje, že uložil dovozci údajů stejné povinnosti v oblasti ochrany údajů, jaké stanoví smlouva nebo jiný právní akt podle práva Unie nebo členského státu mezi správcem a vývozcem údajů (5). |
8.2. Účelové omezení
Dovozce údajů zpracovává osobní údaje pouze pro konkrétní účel nebo účely předání v souladu s přílohou I částí B, pokud neexistují další pokyny ze strany správce, které dovozci údajů sdělil vývozce údajů, ani další pokyny ze strany vývozce údajů.
8.3. Transparentnost
Na požádání poskytne vývozce údajů subjektu údajů bezplatně kopii těchto doložek, včetně dodatku, který tyto strany vyplnily. V rozsahu nezbytném k ochraně obchodního tajemství nebo jiných důvěrných informací, včetně osobních údajů, může vývozce údajů před sdílením kopie upravit část znění dodatku, ale poskytne smysluplné shrnutí, pokud by jinak subjekt údajů nebyl schopen porozumět jeho obsahu nebo uplatnit svá práva. Strany poskytnou subjektu údajů na požádání důvody uvedených úprav, a to v co největší možné míře, aniž by byly upravené informace odhaleny.
8.4. Přesnost
Pokud se dovozce údajů dozví, že osobní údaje, které přijal, jsou nepřesné nebo zastaralé, bez zbytečného odkladu o tom informuje vývozce údajů. V takovém případě dovozce údajů spolupracuje s vývozcem údajů na jejich opravě nebo vymazání.
8.5. Doba zpracování a vymazání nebo vrácení údajů
Dovozce údajů zpracovává údaje pouze po dobu uvedenou v příloze I části B. Po skončení poskytování zpracovatelských služeb dovozce údajů v souladu s volbou vývozce údajů vymaže všechny osobní údaje zpracovávané jménem správce a potvrdí vývozci údajů, že tak učinil, nebo vývozci údajů vrátí všechny osobní údaje zpracovávané jeho jménem a vymaže všechny existující kopie. Dokud nejsou údaje vymazány nebo vráceny, dovozce údajů nadále zajišťuje soulad s těmito doložkami. V případě, že se na dovozce údajů vztahují místní právní předpisy, které mu zakazují osobní údaje vrátit nebo vymazat, dovozce údajů zaručuje, že bude i nadále zajišťovat dodržování těchto doložek a že bude údaje zpracovávat pouze v takovém rozsahu a tak dlouho, jak to místní právo vyžaduje. Tím není dotčena doložka 14, zejména požadavek, aby dovozce údajů podle doložky 14 písm. e) informoval vývozce údajů po celou dobu trvání smlouvy, pokud má důvod se domnívat, že se na něj vztahují nebo se na něj začaly vztahovat právní předpisy nebo postupy, jež nejsou v souladu s požadavky podle doložky 14 písm. a).
8.6. Zabezpečení zpracování
a) |
Dovozce údajů a během předávání také vývozce údajů přijmou vhodná technická a organizační opatření k zajištění zabezpečení údajů, včetně ochrany před porušením zabezpečení vedoucím k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění uvedených údajů (dále jen „porušení zabezpečení osobních údajů“). Při posuzování vhodné úrovně zabezpečení se řádně zohlední aktuální stav techniky, náklady na provedení, povaha, rozsah, kontext a účel nebo účely zpracování a rizika pro subjekt údajů spojená se zpracováním. Strany zejména zváží použití šifrování nebo pseudonymizace, a to i během předávání, pokud lze tímto způsobem splnit účel zpracování. V případě pseudonymizace zůstanou dodatečné informace pro přiřazení osobních údajů konkrétnímu subjektu údajů, pokud je to možné, pod výlučnou kontrolou vývozce údajů nebo správce. Za účelem dodržení svých povinností podle tohoto odstavce musí dovozce údajů přinejmenším zavést technická a organizační opatření uvedená v příloze II. Dovozce údajů provádí pravidelné kontroly, aby zajistil, že tato opatření stále poskytují odpovídající úroveň zabezpečení. |
b) |
Dovozce údajů poskytne přístup k údajům svým zaměstnancům pouze v rozsahu nezbytně nutném pro provádění, správu a monitorování smlouvy. Zajistí, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti, nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti. |
c) |
V případě porušení zabezpečení osobních údajů týkajících se osobních údajů zpracovávaných dovozcem údajů podle těchto doložek přijme dovozce údajů vhodná opatření k řešení porušení zabezpečení, včetně opatření ke zmírnění jeho nepříznivých dopadů. Dovozce údajů rovněž bez zbytečného odkladu poté, co se o porušení zabezpečení dozvěděl, podá hlášení vývozci údajů, a je-li to vhodné a proveditelné, také správci. Takové hlášení obsahuje podrobnosti o kontaktním místě, které může poskytnout bližší informace, popis povahy daného případu porušení zabezpečení (včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a přibližného množství záznamů osobních údajů), jeho pravděpodobných důsledků a opatření přijatých nebo navržených s cílem vyřešit dané porušení zabezpečení údajů, včetně opatření ke zmírnění jeho možných nepříznivých dopadů. Není-li možné poskytnout všechny informace současně, původní hlášení obsahuje informace, které byly v danou dobu k dispozici, a další informace, jakmile budou k dispozici, budou následně poskytovány bez zbytečného odkladu. |
d) |
Dovozce údajů spolupracuje s vývozcem údajů a pomáhá mu tak, aby mu umožnil plnit jeho povinnosti podle nařízení (EU) 2016/679, zejména povinnost podávat hlášení svému správci, aby tento správce mohl informovat příslušný dozorový úřad a dotčené subjekty údajů, s přihlédnutím k povaze zpracování a informacím, které jsou dovozci údajů dostupné. |
8.7. Citlivé údaje
Pokud předávání zahrnuje osobní údaje vypovídající o rasovém nebo etnickém původu, politických názorech, náboženském vyznání nebo filozofickém přesvědčení nebo členství v odborech, genetické údaje nebo biometrické údaje za účelem jedinečné identifikace fyzické osoby, údaje o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby nebo údaje týkající se rozsudků v trestních věcech a trestných činů (dále jen „citlivé údaje“), dovozce údajů uplatní zvláštní omezení a/nebo dodatečné záruky stanovené v příloze I části B.
8.8. Další předávání
Dovozce údajů zpřístupní osobní údaje třetí straně pouze na základě doložených pokynů od správce, které dovozci údajů sdělil vývozce údajů. Údaje mohou být navíc zpřístupněny třetí straně se sídlem mimo Evropskou unii (6) (ve stejné zemi jako dovozce údajů nebo v jiné třetí zemi, dále jen „další předávání“), pokud je tato třetí strana podle příslušného modulu vázána těmito doložkami nebo souhlasí s tím, že jimi bude vázána, nebo pokud:
i) |
se další předávání provádí do země, která využívá rozhodnutí o odpovídající ochraně podle článku 45 nařízení (EU) 2016/679, jenž upravuje další předávání; |
ii) |
třetí strana jinak zajišťuje vhodné záruky podle článků 46 nebo 47 nařízení (EU) 2016/679; |
iii) |
je další předávání nezbytné pro určení, výkon nebo obhajobu právních nároků v rámci zvláštních správních, regulačních nebo soudních řízení, nebo |
iv) |
je další předávání nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby. |
Na jakékoli další předávání se vztahuje podmínka, že dovozce údajů dodrží všechny ostatní záruky podle těchto doložek, zejména účelové omezení.
8.9. Dokumentace a plnění povinností
a) |
Dovozce údajů neprodleně a odpovídajícím způsobem vyřídí dotazy vývozce údajů nebo správce, které se týkají zpracování podle těchto doložek. |
b) |
Strany musí být schopny prokázat dodržování těchto doložek. Dovozce údajů zejména vede příslušnou dokumentaci o činnostech zpracování prováděných za správce. |
c) |
Dovozce údajů poskytne vývozci údajů veškeré informace nezbytné k prokázání dodržování povinností stanovených v těchto doložkách, přičemž vývozce údajů je pak poskytne správci. |
d) |
Dovozce údajů umožní audity ze strany vývozce údajů, které se týkají činností zpracování, na něž se tyto doložky vztahují, a k těmto auditům přispívá, a to v přiměřených intervalech, nebo pokud existují okolnosti nasvědčující tomu, že doložky nejsou dodržovány. Totéž platí, pokud vývozce údajů požaduje audit na základě pokynů správce. Při rozhodování o auditu může vývozce údajů zohlednit příslušná osvědčení, kterými disponuje dovozce údajů. |
e) |
Pokud je audit prováděn na základě pokynů od správce, bude správce o jeho výsledcích informován vývozcem údajů. |
f) |
Vývozce údajů se může rozhodnout provést audit sám nebo pověřit nezávislého auditora. Audity mohou zahrnovat inspekce v prostorách nebo ve fyzických zařízeních dovozce údajů a v příslušných případech se provádějí na základě přiměřeně včasného oznámení. |
g) |
Strany na požádání příslušnému dozorovému úřadu poskytnou informace uvedené v písmenech b) a c), včetně výsledků jakýchkoli auditů. |
MODUL 4: Předání od zpracovatele správci
8.1. Pokyny
a) |
Vývozce údajů zpracovává osobní údaje pouze na základě doložených pokynů od dovozce údajů, který jedná jako jeho správce. |
b) |
Vývozce údajů neprodleně informuje dovozce údajů, pokud není schopen tyto pokyny dodržovat, včetně případů, kdy tyto pokyny porušují nařízení (EU) 2016/679 nebo jiné právní předpisy Unie nebo členského státu v oblasti ochrany údajů. |
c) |
Dovozce údajů se zdrží přijímání jakýchkoli opatření, která by vývozci údajů bránila v plnění jeho povinností podle nařízení (EU) 2016/679, mimo jiné v kontextu dílčího zpracování, nebo pokud se jedná o spolupráci s příslušnými dozorovými úřady. |
d) |
Po skončení poskytování zpracovatelských služeb vývozce údajů v souladu s volbou dovozce údajů vymaže všechny osobní údaje zpracovávané jménem dovozce údajů a potvrdí dovozci údajů, že tak učinil, nebo dovozci údajů vrátí všechny osobní údaje zpracovávané jeho jménem a vymaže všechny existující kopie. |
8.2. Zabezpečení zpracování
a) |
Strany zavedou vhodná technická a organizační opatření k zajištění zabezpečení údajů, a to i během předávání, a zajistí ochranu před porušením zabezpečení vedoucím k náhodnému nebo protiprávnímu zničení, ztrátě, změně, neoprávněnému poskytnutí nebo zpřístupnění (dále jen „porušení zabezpečení osobních údajů“). Při posuzování vhodné úrovně zabezpečení strany náležitě zohlední aktuální stav techniky, náklady na provedení, povahu osobních údajů (7), povahu, rozsah, kontext a účel nebo účely zpracování a rizika pro subjekty údajů spojená se zpracováním, a zejména zváží použití šifrování nebo pseudonymizace, a to i během předávání, pokud lze tímto způsobem splnit účel zpracování. |
b) |
Vývozce údajů pomáhá dovozci údajů při zajišťování odpovídajícího zabezpečení údajů v souladu s písmenem a). V případě porušení zabezpečení osobních údajů týkajícího se osobních údajů zpracovávaných vývozcem údajů podle těchto doložek vývozce údajů podá hlášení dovozci údajů bez zbytečného odkladu poté, co se o něm dozvěděl, a dovozci údajů bude při řešení uvedeného porušení nápomocen. |
c) |
Vývozce údajů zajistí, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti, nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti. |
8.3. Dokumentace a plnění povinností
a) |
Strany musí být schopny prokázat dodržování těchto doložek. |
b) |
Vývozce údajů poskytne dovozci údajů veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v těchto doložkách, umožní provedení auditů a bude k nim přispívat. |
Doložka 9
Využití dílčích zpracovatelů
MODUL 2: Předání od správce zpracovateli
a) |
MOŽNOST 1: ZVLÁŠTNÍ PŘEDCHOZÍ POVOLENÍ Dovozce údajů nezadá dílčímu zpracovateli v rámci subdodávky žádnou ze svých činností zpracování, kterou na základě těchto doložek vykonává jménem vývozce údajů, bez předchozího zvláštního písemného povolení vývozce údajů. Dovozce údajů předloží žádost o zvláštní povolení nejméně [uveďte časové období] před zapojením dílčího zpracovatele spolu s informacemi nezbytnými k tomu, aby vývozce údajů mohl o povolení rozhodnout. Seznam dílčích zpracovatelů, kteří již povolení vývozce údajů získali, je uveden v příloze III. Strany přílohu III průběžně aktualizují. MOŽNOST 2: OBECNÉ PÍSEMNÉ POVOLENÍ Dovozce údajů má obecné povolení vývozce údajů pro zapojení dílčího zpracovatele nebo dílčích zpracovatelů ze schváleného seznamu. Dovozce údajů výslovně písemně informuje vývozce údajů o veškerých zamýšlených změnách uvedeného seznamu, které spočívají v přidání nebo nahrazení dílčích zpracovatelů nejméně [uveďte časové období] předem, čímž poskytne vývozci údajů dostatek času, aby mohl proti takovým změnám vznést námitky před zapojením dílčího zpracovatele nebo zpracovatelů. Dovozce údajů poskytne vývozci údajů informace nezbytné k tomu, aby vývozce údajů mohl uplatnit své právo vznést námitku. |
b) |
Pokud dovozce údajů pro výkon konkrétních činností zpracování zapojí dílčího zpracovatele (jménem vývozce údajů), učiní tak prostřednictvím písemné smlouvy, která v zásadě stanoví stejné povinnosti v oblasti ochrany údajů jako ty, které jsou závazné pro dovozce údajů na základě těchto doložek, a to i pokud jde o práva náležející oprávněné třetí straně v případě subjektů údajů. (8) Strany se dohodly, že dodržováním této doložky dovozce údajů plní své povinnosti podle doložky 8.8. Dovozce údajů zajistí, aby dílčí zpracovatel dodržoval povinnosti, které se v souladu s těmito doložkami vztahují na dovozce údajů. |
c) |
Dovozce údajů poskytne vývozci údajů na jeho žádost kopii takové dohody s dílčím zpracovatelem a veškeré její následné změny. V rozsahu nezbytném k ochraně obchodních tajemství nebo jiných důvěrných informací, včetně osobních údajů, může dovozce údajů před sdílením kopie znění této dohody upravit. |
d) |
Dovozce údajů je i nadále vývozci údajů plně odpovědný za plnění povinností dílčího zpracovatele na základě smlouvy, kterou s dovozcem údajů uzavřel. Dovozce údajů informuje vývozce údajů o každém případu, kdy dílčí zpracovatel nesplnil svou povinnost, jež z uvedené smlouvy vyplývá. |
e) |
Dovozce údajů sjedná s dílčím zpracovatelem doložku ve prospěch oprávněné třetí strany, přičemž – v případě, že dovozce údajů fakticky zmizel, z právního hlediska zanikl nebo se dostal do platební neschopnosti – má vývozce údajů právo smlouvu s dílčím zpracovatelem vypovědět a dát dílčímu zpracovateli pokyn, aby osobní údaje vymazal nebo vrátil. |
MODUL 3: Předání od zpracovatele zpracovateli
a) |
MOŽNOST 1: ZVLÁŠTNÍ PŘEDCHOZÍ POVOLENÍ Dovozce údajů nezadá dílčímu zpracovateli v rámci subdodávky žádnou ze svých činností zpracování, kterou na základě těchto doložek vykonává jménem vývozce údajů, bez předchozího zvláštního písemného povolení správce. Dovozce údajů předloží žádost o zvláštní povolení nejméně [uveďte časové období] před zapojením dílčího zpracovatele spolu s informacemi nezbytnými k tomu, aby správce mohl o povolení rozhodnout. O takovém zapojení informuje vývozce údajů. Seznam dílčích zpracovatelů, kteří již povolení správce získali, je uveden v příloze III. Strany přílohu III průběžně aktualizují. MOŽNOST 2: OBECNÉ PÍSEMNÉ POVOLENÍ Dovozce údajů má obecné povolení správce pro zapojení dílčího zpracovatele nebo dílčích zpracovatelů ze schváleného seznamu. Dovozce údajů výslovně písemně informuje správce o veškerých zamýšlených změnách uvedeného seznamu, které spočívají v přidání nebo nahrazení dílčích zpracovatelů nejméně [uveďte časové období] předem, čímž poskytne správci dostatek času, aby mohl proti takovým změnám vznést námitky před zapojením dílčího zpracovatele nebo zpracovatelů. Dovozce údajů poskytne správci informace nezbytné k tomu, aby správce mohl uplatnit své právo vznést námitku. Dovozce údajů o zapojení dílčího zpracovatele nebo dílčích zpracovatelů informuje vývozce údajů. |
b) |
Pokud dovozce údajů pro výkon konkrétních činností zpracování zapojí dílčího zpracovatele (jménem správce), učiní tak prostřednictvím písemné smlouvy, která v zásadě stanoví stejné povinnosti v oblasti ochrany údajů jako ty, které jsou závazné pro dovozce údajů na základě těchto doložek, a to i pokud jde o práva náležející oprávněné třetí straně v případě subjektů údajů (9). Strany se dohodly, že dodržováním této doložky dovozce údajů plní své povinnosti podle doložky 8.8. Dovozce údajů zajistí, aby dílčí zpracovatel dodržoval povinnosti, které se v souladu s těmito doložkami vztahují na dovozce údajů. |
c) |
Dovozce údajů poskytne na žádost vývozce údajů nebo správce kopii takové dohody s dílčím zpracovatelem a veškeré její následné změny. V rozsahu nezbytném k ochraně obchodních tajemství nebo jiných důvěrných informací, včetně osobních údajů, může dovozce údajů před sdílením kopie znění této dohody upravit. |
d) |
Dovozce údajů je i nadále vývozci údajů plně odpovědný za plnění povinností dílčího zpracovatele na základě smlouvy, kterou s dovozcem údajů uzavřel. Dovozce údajů informuje vývozce údajů o každém případu, kdy dílčí zpracovatel nesplnil svou povinnost, jež z uvedené smlouvy vyplývá. |
e) |
Dovozce údajů sjedná s dílčím zpracovatelem doložku ve prospěch oprávněné třetí strany, přičemž – v případě, že dovozce údajů fakticky zmizel, z právního hlediska zanikl nebo se dostal do platební neschopnosti – má vývozce údajů právo smlouvu s dílčím zpracovatelem vypovědět a dát dílčímu zpracovateli pokyn, aby osobní údaje vymazal nebo vrátil. |
Doložka 10
Práva subjektů údajů
MODUL 1: Předání od správce správci
a) |
Dovozce údajů, případně za pomoci vývozce údajů, vyřizuje veškeré dotazy a žádosti, které obdrží od subjektu údajů, týkající se zpracování jeho osobních údajů a výkonu jeho práv podle těchto doložek, a to bez zbytečného odkladu a nejpozději do jednoho měsíce od obdržení dotazu nebo žádosti. (10) Dovozce údajů přijme vhodná opatření k usnadnění vyřizování těchto dotazů, žádostí a výkonu práv subjektu údajů. Veškeré informace poskytované subjektu údajů musí být ve srozumitelném a snadno přístupném znění za použití jasných a jednoduchých jazykových prostředků. |
b) |
Na žádost subjektu údajů dovozce údajů zejména bezplatně:
|
c) |
Pokud dovozce údajů zpracovává osobní údaje pro účely přímého marketingu, přestane je pro tyto účely zpracovávat, vznese-li proti tomu subjekt údajů námitky. |
d) |
Dovozce údajů nepřijme rozhodnutí založené výhradně na automatizovaném zpracování předávaných osobních údajů (dále jen „automatizované rozhodnutí“), které by mělo právní účinky týkající se subjektu údajů nebo by ho obdobně významně ovlivnilo, ledaže by k tomu subjekt údajů dal výslovný souhlas, nebo pokud by mu to bylo na základě právních předpisů země určení povoleno, za předpokladu, že takové právní předpisy stanoví vhodná opatření na ochranu práv a oprávněných zájmů subjektu údajů. V tomto případě dovozce údajů, v případě potřeby ve spolupráci s vývozcem údajů:
|
e) |
Jestliže jsou žádosti subjektu údajů nepřiměřené, zejména proto, že se opakují, může dovozce údajů buď uložit přiměřený poplatek, v němž budou zohledněny administrativní náklady související s vyhověním dané žádosti, nebo může odmítnout žádosti vyhovět. |
f) |
Dovozce údajů může žádost subjektu údajů odmítnout, pokud je takové odmítnutí umožněno podle práva země určení a je v demokratické společnosti nezbytné a přiměřené za účelem ochrany jednoho z cílů uvedených v čl. 23 odst. 1 nařízení (EU) 2016/679. |
g) |
Pokud má dovozce údajů v úmyslu žádost subjektu údajů odmítnout, informuje subjekt údajů o důvodech odmítnutí a možnosti podat stížnost u příslušného dozorového úřadu a/nebo požádat o soudní ochranu. |
MODUL 2: Předání od správce zpracovateli
a) |
Dovozce údajů neprodleně informuje vývozce údajů o každé žádosti, kterou od subjektu údajů přijal. Na tuto žádost sám neodpoví, pokud k tomu nedostal povolení od vývozce údajů. |
b) |
Dovozce údajů vývozci údajů pomáhá při plnění jeho povinností reagovat na žádosti subjektů údajů týkající se výkonu jejich práv podle nařízení (EU) 2016/679. V tomto ohledu stanoví strany v příloze II příslušná technická a organizační opatření s přihlédnutím k povaze zpracování, prostřednictvím něhož bude pomoc poskytována, a stanoví i rozsah a dosah požadované pomoci. |
c) |
Při plnění svých povinností podle písmen a) a b) musí dovozce údajů dodržovat pokyny vývozce údajů. |
MODUL 3: Předání od zpracovatele zpracovateli
a) |
Dovozce údajů neprodleně informuje vývozce údajů a v příslušném případě i správce o každé žádosti, kterou od subjektu údajů přijal, aniž by na tuto žádost reagoval, ledaže by k tomu dostal od správce povolení. |
b) |
Dovozce údajů, případně ve spolupráci s vývozcem údajů, pomáhá správci při plnění jeho povinností reagovat na žádosti subjektů údajů týkající se výkonu jejich práv podle nařízení (EU) 2016/679 nebo v příslušném případě nařízení (EU) 2018/1725. V tomto ohledu stanoví strany v příloze II příslušná technická a organizační opatření s přihlédnutím k povaze zpracování, prostřednictvím něhož bude pomoc poskytována, a stanoví i rozsah a dosah požadované pomoci. |
c) |
Při plnění svých povinností podle písmen a) a b) musí dovozce údajů dodržovat pokyny správce, které mu jsou sděleny vývozcem údajů. |
MODUL 4: Předání od zpracovatele správci
Strany si vzájemně pomáhají při odpovídání na dotazy a žádosti subjektů údajů podle místního práva použitelného na dovozce údajů nebo v případě zpracování údajů dovozcem údajů v EU podle nařízení (EU) 2016/679.
Doložka 11
Náprava
a) |
Dovozce údajů transparentně a ve snadno přístupném formátu informuje subjekty údajů prostřednictvím individuálního oznámení nebo na svých internetových stránkách o kontaktním místě oprávněném vyřizovat stížnosti. Takové místo neprodleně vyřídí jakékoli stížnosti, které od subjektu údajů přijme. [VARIANTA: Dovozce údajů souhlasí s tím, že subjekty údajů mohou rovněž bezplatně podat stížnost u nezávislého orgánu pro řešení sporů (11). O tomto mechanismu nápravy a o tom, že subjekty údajů nejsou povinny jej využívat nebo postupovat podle konkrétního postupu při hledání nápravy, dovozce údajů informuje subjekty údajů způsobem uvedeným v písmenu a).] |
MODUL 1: Předání od správce správci
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
b) |
V případě sporu mezi subjektem údajů a jednou ze smluvních stran týkajícího se dodržování těchto doložek vyvine tato strana veškeré úsilí k tomu, aby takovou záležitost vyřešila smírně a včas. Strany se o těchto sporech navzájem informují a v příslušných případech při jejich řešení spolupracují. |
c) |
Pokud se subjekt údajů dovolává práva ve prospěch oprávněné třetí strany podle doložky 3, dovozce údajů akceptuje rozhodnutí subjektu údajů:
|
d) |
Strany jsou srozuměny, že subjekt údajů může být zastoupen neziskovým subjektem, organizací nebo sdružením za podmínek stanovených v čl. 80 odst. 1 nařízení (EU) 2016/679. |
e) |
Dovozce údajů dodržuje rozhodnutí závazné podle platného práva EU nebo členského státu. |
f) |
Dovozce údajů souhlasí s tím, že výběr provedený subjektem údajů nebude mít vliv na jeho hmotná a procesní práva požadovat nápravu v souladu s platnými právními předpisy. |
Doložka 12
Odpovědnost
MODUL 1: Předání od správce správci
MODUL 4: Předání od zpracovatele správci
a) |
Každá strana je vůči druhé straně/ostatním stranám odpovědná za jakoukoli újmu, kterou druhé straně/ostatním stranám při porušení těchto doložek způsobí. |
b) |
Každá strana je odpovědná vůči subjektu údajů a subjekt údajů má nárok na náhradu jakékoli hmotné nebo nehmotné újmy, kterou strana způsobí subjektu údajů porušením práv náležejících oprávněné třetí straně na základě těchto doložek. Tím není dotčena odpovědnost vývozce údajů podle nařízení (EU) 2016/679. |
c) |
Pokud je za újmu způsobenou subjektu údajů v důsledku porušení těchto doložek odpovědná více než jedna strana, nesou společnou a nerozdílnou odpovědnost všechny odpovědné strany a subjekt údajů je oprávněn proti kterékoli z těchto stran podat žalobu u soudu. |
d) |
Smluvní strany se dohodly, že pokud je jedna ze smluvních stran odpovědná podle písmene c), je oprávněna požadovat od druhé smluvní strany/ostatních smluvních stran zpět část náhrady újmy odpovídající její odpovědnosti za újmu. |
e) |
Dovozce údajů se nemůže dovolávat jednání zpracovatele nebo dílčího zpracovatele, aby se vyhnul své vlastní odpovědnosti. |
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
a) |
Každá strana je vůči druhé straně/ostatním stranám odpovědná za jakoukoli újmu, kterou druhé straně/ostatním stranám při porušení těchto doložek způsobí. |
b) |
Dovozce údajů je odpovědný vůči subjektu údajů a subjekt údajů má nárok na náhradu jakékoli hmotné nebo nehmotné újmy, kterou dovozce údajů nebo jeho dílčí zpracovatel způsobí subjektu údajů porušením práv náležejících oprávněné třetí straně na základě těchto doložek. |
c) |
Aniž by bylo dotčeno písmeno b), vývozce údajů je odpovědný vůči subjektu údajů a subjekt údajů má nárok na náhradu jakékoli hmotné nebo nehmotné újmy, kterou vývozce údajů nebo dovozce údajů (nebo jeho dílčí zpracovatel) způsobí subjektu údajů porušením práv náležejících oprávněné třetí straně na základě těchto doložek. Tím není dotčena odpovědnost vývozce údajů, a pokud je vývozcem údajů zpracovatel jednající jménem správce, odpovědnost správce podle nařízení (EU) 2016/679 nebo nařízení (EU) 2018/1725. |
d) |
Strany se dohodly, že pokud je vývozce údajů odpovědný podle písmene c) za újmu způsobenou dovozcem údajů (nebo jeho dílčím zpracovatelem), je oprávněn požadovat od dovozce údajů část náhrady újmy odpovídající odpovědnosti dovozce údajů za újmu. |
e) |
Pokud je za újmu způsobenou subjektu údajů v důsledku porušení těchto doložek odpovědná více než jedna strana, jsou všechny odpovědné strany společně a nerozdílně odpovědné a subjekt údajů je oprávněn proti kterékoli z těchto stran podat žalobu u soudu. |
f) |
Smluvní strany se dohodly, že pokud je jedna ze smluvních stran odpovědná podle písmene e), je oprávněna požadovat od druhé smluvní strany/ostatních smluvních stran zpět část náhrady újmy odpovídající její odpovědnosti za újmu. |
g) |
Dovozce údajů se nemůže dovolávat jednání dílčího zpracovatele, aby se vyhnul své vlastní odpovědnosti. |
Doložka 13
Dohled
MODUL 1: Předání od správce správci
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
a) |
[Pokud je vývozce údajů usazen v členském státě EU:] Dozorový úřad uvedený v příloze I části C, který je odpovědný za zajištění, že vývozce údajů dodržuje nařízení (EU) 2016/679, pokud jde o předávání údajů, jedná jako příslušný dozorový úřad. [Pokud vývozce údajů není usazen v členském státě EU, ale spadá do územní působnosti nařízení (EU) 2016/679 v souladu s jeho čl. 3 odst. 2 a jmenoval zástupce podle čl. 27 odst. 1 nařízení (EU) 2016/679:] Dozorový úřad členského státu – uvedený v příloze I části C–, v němž je usazen zástupce ve smyslu čl. 27 odst. 1 nařízení (EU) 2016/679, jedná jako příslušný dozorový úřad. [Pokud vývozce údajů není usazen v členském státě EU, ale spadá do územní působnosti nařízení (EU) 2016/679 v souladu s jeho čl. 3 odst. 2, aniž by však musel jmenovat zástupce podle čl. 27 odst. 2 nařízení (EU) 2016/679:] Dozorový úřad jednoho z členských států, v nichž se nacházejí subjekty údajů, jejichž osobní údaje jsou předávány podle těchto doložek v souvislosti se zbožím nebo službami jim nabízenými, nebo jejichž chování je monitorováno, uvedený v příloze I části C, jedná jako příslušný dozorový úřad. |
b) |
Dovozce údajů souhlasí, že se podřídí pravomoci příslušného dozorového úřadu a bude s ním spolupracovat v rámci všech postupů zaměřených na zajištění dodržování těchto doložek. Dovozce údajů zejména souhlasí, že bude reagovat na dotazy, podrobovat se auditům a dodržovat opatření přijatá dozorovým úřadem, včetně nápravných a kompenzačních opatření. Dozorovému úřadu poskytne písemné potvrzení, že byla přijata nezbytná opatření. |
ODDÍL III – MÍSTNÍ PRÁVNÍ PŘEDPISY A POVINNOSTI V PŘÍPADĚ PŘÍSTUPU ORGÁNŮ VEŘEJNÉ MOCI
Doložka 14
Místní právní předpisy a postupy mající dopad na dodržování doložek
MODUL 1: Předání od správce správci
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
MODUL 4: Předání od zpracovatele správci (pokud zpracovatel z EU kombinuje osobní údaje přijaté od správce ve třetí zemi s osobními údaji shromážděnými zpracovatelem v EU)
a) |
Strany zaručují, že nemají důvod se domnívat, že právní předpisy a postupy ve třetí zemi určení, které se vztahují na zpracování osobních údajů dovozcem údajů, včetně jakýchkoli požadavků na zpřístupnění osobních údajů nebo opatření, kterými se povoluje přístup orgánům veřejné moci, brání dovozci údajů při plnění svých povinností podle těchto doložek. To je založeno na předpokladu, že právní předpisy a postupy, které respektují podstatu základních práv a svobod a nepřekračují to, co je v demokratické společnosti nezbytné a přiměřené k zajištění jednoho z cílů uvedených v čl. 23 odst. 1 nařízení (EU) 2016/679, nejsou v rozporu s těmito doložkami. |
b) |
Smluvní strany prohlašují, že při poskytování záruky uvedené v písmenu a) náležitě zohlednily zejména následující prvky:
|
c) |
Dovozce údajů zaručuje, že při provádění posouzení podle písmene b) vynaložil maximální úsilí, aby poskytl vývozci údajů relevantní informace, a souhlasí s tím, že bude při zajišťování dodržování těchto doložek s vývozcem údajů i nadále spolupracovat. |
d) |
Strany souhlasí, že posouzení podle písmene b) zdokumentují a na požádání zpřístupní příslušnému dozorovému úřadu. |
e) |
Dovozce údajů souhlasí s tím, že neprodleně uvědomí vývozce údajů, pokud má po vyjádření souhlasu s těmito ustanoveními a po dobu trvání smlouvy důvod se domnívat, že se na něj vztahují, nebo se začaly vztahovat právní předpisy nebo postupy, které nejsou v souladu s požadavky podle písmene a), a to i po změně v právních předpisech třetí země nebo opatření (jako je například žádost o poskytnutí údajů), jež svědčí o tom, že uplatňování těchto právních předpisů v praxi není v souladu s požadavky uvedenými v písmeni a). [Pokud jde o modul 3: Vývozce údajů předá oznámení správci.] |
f) |
Po oznámení podle písmene e), nebo pokud má vývozce údajů jinak důvod se domnívat, že dovozce údajů již nemůže plnit své povinnosti na základě těchto doložek, vývozce údajů neprodleně určí vhodná opatření (např. technická nebo organizační opatření k zajištění bezpečnosti a důvěrnosti), která má přijmout vývozce údajů a/nebo dovozce údajů k řešení situace [pokud jde o modul 3: případně po konzultaci se správcem]. Vývozce údajů pozastaví předávání údajů, pokud se domnívá, že pro toto předávání nemohou být zajištěny žádné vhodné záruky, nebo pokud mu dá pokyn [pokud jde o modul 3: správce nebo] příslušný dozorový úřad. V tomto případě je vývozce údajů oprávněn vypovědět smlouvu, pokud jde o zpracování osobních údajů podle těchto doložek. Jestliže smlouva zahrnuje více než dvě smluvní strany, může vývozce údajů toto právo na vypovězení uplatnit pouze ve vztahu k příslušné straně, pokud se strany nedohodly jinak. Jestliže je smlouva vypovězena podle této doložky, použije se doložka 16 písm. d) a e). |
Doložka 15
Povinnost dovozce údajů v případě přístupu orgánů veřejné moci
MODUL 1: Předání od správce správci
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
MODUL 4: Předání od zpracovatele správci (pokud zpracovatel z EU kombinuje osobní údaje přijaté od správce ve třetí zemi s osobními údaji shromážděnými zpracovatelem v EU)
15.1. Oznámení
a) |
Dovozce údajů souhlasí s tím, že neprodleně uvědomí vývozce údajů, a je-li to možné, subjekt údajů (v případě potřeby s pomocí vývozce údajů), pokud:
[Pokud jde o modul 3: Vývozce údajů předá oznámení správci.] |
b) |
Pokud je podle právních předpisů země určení dovozci údajů zakázáno informovat vývozce údajů a/nebo subjekt údajů, souhlasí dovozce údajů s tím, že za účelem co nejrychlejšího sdělení co největšího množství informací vynaloží maximální úsilí, aby od tohoto zákazu bylo upuštěno. Dovozce údajů souhlasí, že zdokumentuje své maximální úsilí, aby je mohl na žádost vývozce údajů prokázat. |
c) |
Je-li to povoleno právními předpisy země určení, dovozce údajů souhlasí, že bude poskytovat vývozci údajů v pravidelných intervalech po dobu trvání smlouvy co nejrelevantnější informace o přijatých žádostech (zejména informace o počtu žádostí, druhu požadovaných údajů, dožadujícím orgánu nebo orgánech, zda byly tyto žádosti napadeny a výsledek takového napadení atd.). [Pokud jde o modul 3: Vývozce údajů předá informace správci.] |
d) |
Dovozce údajů souhlasí s tím, že po dobu trvání smlouvy bude informace podle písmene a) až c) uchovávat a na vyžádání je poskytne příslušnému dozorovému úřadu. |
e) |
Písmeny a) až c) není dotčena povinnost dovozce údajů podle doložky 14 písm. e) a doložky 16 neprodleně informovat vývozce údajů, pokud není schopen tyto doložky dodržovat. |
15.2. Přezkum zákonnosti a minimalizace údajů
a) |
Dovozce údajů souhlasí s tím, že přezkoumá zákonnost žádosti o poskytnutí údajů, zejména zda nepřekročila meze pravomocí udělených dožadujícímu orgánu veřejné moci, a že žádost napadne, pokud po pečlivém posouzení dojde k závěru, že existují opodstatněné důvody se domnívat, že žádost je podle právních předpisů země určení, platných závazků podle mezinárodního práva a zásad mezinárodní zdvořilosti protiprávní. Dovozce údajů za stejných podmínek využívá možností odvolání. Při napadení žádosti dovozce údajů přijme předběžná opatření s cílem pozastavit účinky žádosti, dokud příslušný soudní orgán nerozhodne o její opodstatněnosti. Nezpřístupní požadované osobní údaje, dokud mu taková povinnost nebude stanovena na základě platných procesních pravidel. Těmito požadavky nejsou dotčeny povinnosti dovozce údajů podle doložky 14 písm. e). |
b) |
Dovozce údajů souhlasí, že zdokumentuje své právní posouzení i jakékoli napadení žádosti o poskytnutí údajů a v rozsahu povoleném právními předpisy země určení zpřístupní dokumentaci vývozci údajů. Na požádání ji rovněž zpřístupní příslušnému dozorovému úřadu. [Pokud jde o modul 3: Vývozce údajů posouzení zpřístupní správci.] |
c) |
Dovozce údajů souhlasí s poskytnutím minimálního přípustného množství informací při odpovědi na žádost o zpřístupnění, a to na základě přiměřeného výkladu žádosti. |
ODDÍL IV – ZÁVĚREČNÁ USTANOVENÍ
Doložka 16
Nedodržení doložek a vypovězení
a) |
Dovozce údajů neprodleně informuje vývozce údajů, pokud není z jakéhokoli důvodu schopen tyto doložky dodržet. |
b) |
Pokud dovozce údajů poruší tyto doložky nebo není schopen tyto doložky dodržet, vývozce údajů pozastaví předávání osobních údajů dovozci údajů, dokud není dodržování opět zajištěno nebo smlouva vypovězena. Tímto není dotčena doložka 14 písm. f). |
c) |
Vývozce údajů je oprávněn vypovědět smlouvu v rozsahu, v němž se jedná o zpracování osobních údajů podle těchto doložek, pokud:
V takových případech o nedodržení informuje příslušný dozorový úřad [pokud jde o modul 3: a správce]. Pokud smlouva zahrnuje více než dvě smluvní strany, může vývozce údajů toto právo na vypovězení uplatnit pouze ve vztahu k příslušné straně, pokud se strany nedohodly jinak. |
d) |
[V případě modulu 1, 2 a 3: Osobní údaje, které byly předány před vypovězením smlouvy podle písmene c), musí být podle volby vývozce údajů neprodleně vráceny vývozci údajů nebo vymazány v celém rozsahu. To samé se uplatní ve vztahu k veškerým kopiím údajů.] [Pokud jde o modul 4: Osobní údaje shromážděné vývozcem údajů v EU, které byly předány před vypovězením smlouvy podle písmene c), musí být neprodleně vymazány v celém rozsahu, včetně veškerých jejich kopií.] Dovozce údajů potvrdí vývozci údajů, že byly údaje vymazány. Dokud nejsou údaje vymazány nebo vráceny, dovozce údajů nadále zajišťuje soulad s těmito doložkami. V případě, že se na dovozce údajů vztahují místní právní předpisy, které mu zakazují předané osobní údaje vrátit nebo vymazat, dovozce údajů zaručuje, že bude i nadále zajišťovat dodržování těchto doložek a bude údaje zpracovávat pouze v takovém rozsahu a tak dlouho, jak to uvedené místní právo vyžaduje. |
e) |
Kterákoli ze stran může odvolat svůj souhlas s tím, že bude vázána těmito doložkami, pokud i) Evropská komise přijme rozhodnutí podle čl. 45 odst. 3 nařízení (EU) 2016/679 týkající se předávání osobních údajů, na které se tyto doložky vztahují, nebo ii) se nařízení (EU) 2016/679 stane součástí právního rámce země, do které jsou osobní údaje předávány. Tím nejsou dotčeny další povinnosti vztahující se na dotčené zpracování podle nařízení (EU) 2016/679. |
Doložka 17
Rozhodné právo
MODUL 1: Předání od správce správci
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
[VARIANTA 1: Tyto doložky se řídí právem jednoho z členských států EU, pokud takové právo umožňuje uplatňovat práva náležející oprávněné třetí straně. Strany se dohodly, že se budou řídit právem _______ (uveďte členský stát).]
[VARIANTA 2 (pokud jde o moduly 2 a 3): Tyto doložky se řídí právem členského státu EU, ve kterém je usazen vývozce údajů. Pokud takové právo neumožňuje uplatňovat práva náležející oprávněné třetí straně, řídí se právem jiného členského státu EU, jež uplatňování uvedených práv umožňuje. Strany se dohodly, že se budou řídit právem _______ (uveďte členský stát).]
MODUL 4: Předání od zpracovatele správci
Tyto doložky se řídí právem země, jež umožňuje uplatňovat práva náležející oprávněné třetí straně. Strany se dohodly, že se budou řídit právem _______ (uveďte zemi).]
Doložka 18
Volba soudu a příslušnost
MODUL 1: Předání od správce správci
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
a) |
Veškeré spory vyplývající z těchto doložek budou řešeny soudy členského státu EU. |
b) |
Strany se dohodly, že se budou řídit soudy _______ (uveďte členský stát). |
c) |
Subjekt údajů může rovněž zahájit soudní řízení proti vývozci údajů a/nebo dovozci údajů před soudy členského státu, v němž má subjekt údajů své obvyklé bydliště. |
d) |
Smluvní strany se dohodly, že se příslušnosti těchto soudů podřídí. |
MODUL 4: Předání od zpracovatele správci
|
Veškeré spory vyplývající z těchto doložek budou řešeny soudy _______ (uveďte zemi). |
(1) Pokud je vývozcem údajů zpracovatel, na nějž se vztahuje nařízení (EU) 2016/679 a který jedná jménem orgánu nebo subjektu Unie jako správce, spoléhání se na tyto doložky při zapojení jiného zpracovatele (dílčí zpracování), na kterého se nařízení (EU) 2016/679 nevztahuje, rovněž zajišťuje soulad s čl. 29 odst. 4 nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie, a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí 1247/2002/ES (Úř. věst. L 295 ze dne 21.11.2018, s. 39), v rozsahu, v němž jsou tyto doložky a povinnosti týkající se ochrany údajů stanovené ve smlouvě nebo jiném právním aktu mezi správcem a zpracovatelem podle čl. 29 odst. 3 nařízení (EU) 2018/1725 sladěny. To bude zejména případ, kdy se správce a zpracovatel spoléhají na standardní smluvní doložky obsažené v rozhodnutí 2021/915.
(2) To vyžaduje anonymizaci údajů takovým způsobem, aby již nikdo nemohl být nikým identifikovatelný, v souladu s 26. bodem odůvodnění nařízení (EU) 2016/679, a aby byl tento proces nevratný.
(3) Dohoda o Evropském hospodářském prostoru (Dohoda o EHP) stanoví rozšíření vnitřního trhu Evropské unie o tři státy EHP, a to Island, Lichtenštejnsko a Norsko. Dohoda o EHP zahrnuje právní předpisy Unie o ochraně údajů, včetně nařízení (EU) 2016/679, které jsou začleněny do přílohy XI uvedené dohody. Jakékoli zpřístupnění dovozcem údajů třetí straně se sídlem v EHP se proto pro účely těchto doložek nepovažuje za další předávání.
(4) Dohoda o Evropském hospodářském prostoru (Dohoda o EHP) stanoví rozšíření vnitřního trhu Evropské unie o tři státy EHP, a to Island, Lichtenštejnsko a Norsko. Dohoda o EHP zahrnuje právní předpisy Unie o ochraně údajů, včetně nařízení (EU) 2016/679, které jsou začleněny do přílohy XI uvedené dohody. Jakékoli zpřístupnění dovozcem údajů třetí straně se sídlem v EHP se proto pro účely těchto doložek nepovažuje za další předávání.
(5) Viz čl. 28 odst. 4 nařízení (EU) 2016/679, a pokud je správcem orgán nebo jiný subjekt EU, čl. 29 odst. 4 nařízení (EU) 2018/1725.
(6) Dohoda o Evropském hospodářském prostoru (Dohoda o EHP) stanoví rozšíření vnitřního trhu Evropské unie o tři státy EHP, a to Island, Lichtenštejnsko a Norsko. Dohoda o EHP zahrnuje právní předpisy Unie o ochraně údajů, včetně nařízení (EU) 2016/679, které jsou začleněny v příloze XI uvedené dohody. Jakékoli zpřístupnění dovozcem údajů třetí straně se sídlem v EHP se proto pro účely těchto doložek nepovažuje za další předávání.
(7) Mimo jiné se jedná o to, zda se předávání a další zpracování týká i osobních údajů vypovídajících o rasovém nebo etnickém původu, politických názorech, náboženském vyznání nebo filozofickém přesvědčení nebo členství v odborech, genetických údajů nebo biometrických údajů za účelem jedinečné identifikace fyzické osoby, údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby nebo údajů týkajících se rozsudků v trestních věcech nebo trestných činů.
(8) Tento požadavek může být splněn dílčím zpracovatelem přistupujícím k těmto doložkám v rámci příslušného modulu v souladu s doložkou 7.
(9) Tento požadavek může být splněn dílčím zpracovatelem přistupujícím k těmto doložkám v rámci příslušného modulu v souladu s doložkou 7.
(10) Tuto lhůtu lze v nezbytném rozsahu s přihlédnutím ke složitosti a počtu žádostí prodloužit nejvýše o další dva měsíce. Dovozce údajů o takovém prodloužení řádně a neprodleně informuje subjekt údajů.
(11) Dovozce údajů může nabídnout nezávislé řešení sporů prostřednictvím rozhodčího orgánu pouze v případě, že je usazen v zemi, která ratifikovala Newyorskou úmluvu o výkonu rozhodčích nálezů.
(12) Pokud jde o dopad takových právních předpisů a postupů na dodržování těchto doložek, za součást celkového posouzení lze považovat různé prvky. Mezi tyto prvky mohou patřit relevantní a zdokumentované praktické zkušenosti s předchozími případy žádostí o zpřístupnění od orgánů veřejné moci nebo neexistence takových žádostí, které pokrývají dostatečně reprezentativní časový rámec. Týká se to zejména interních záznamů nebo jiné dokumentace, vypracovávané průběžně v souladu s náležitou péčí a certifikované na úrovni vrcholového vedení, za předpokladu, že tyto informace lze v souladu s právními předpisy sdílet se třetími stranami. Pokud se na základě této praktické zkušenosti dospěje k závěru, že dovozci údajů nebude bráněno v dodržování těchto doložek, je třeba to podpořit dalšími relevantními, objektivními prvky a je na smluvních stranách, aby pečlivě zvážily, zda tyto prvky mají společně dostatečnou váhu na podporu tohoto závěru, pokud jde o jejich spolehlivost a reprezentativnost. Smluvní strany musí zejména zohlednit, zda jsou jejich praktické zkušenosti potvrzeny veřejně dostupnými nebo jinak přístupnými spolehlivými informacemi o existenci či neexistenci žádostí ve stejném odvětví a/nebo o uplatňování práva v praxi, jako je například judikatura a zprávy nezávislých orgánů dohledu, a nejsou s nimi v rozporu.
DODATEK
VYSVĚTLIVKY:
Musí být možné jasně rozlišit informace, které se vztahují na každé předání nebo každou kategorii předání, a v tomto ohledu určit příslušnou úlohu/příslušné úlohy stran v postavení vývozce/vývozců údajů a/nebo dovozce/dovozců údajů. To nemusí nutně vyžadovat vyplnění a podepsání samostatných dodatků pro každé předání/kategorii předání a/nebo smluvní vztah, pokud lze této transparentnosti dosáhnout prostřednictvím jednoho dodatku. Pokud je to však nutné k zajištění dostatečné srozumitelnosti, měly by se použít samostatné dodatky.
PŘÍLOHA I
A. SEZNAM SMLUVNÍCH STRAN
MODUL 1: Předání od správce správci
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
MODUL 4: Předání od zpracovatele správci
Vývozce (vývozci) údajů: [Totožnost a kontaktní údaje vývozce/vývozců údajů a v příslušném případě jeho/jejich pověřence pro ochranu osobních údajů a/nebo zástupce v Evropské unii]
1. |
Jméno/název: …
Adresa: … Jméno, funkce a kontaktní údaje kontaktní osoby: … Činnosti relevantní pro předávání údajů na základě těchto doložek: … Podpis a datum: … Úloha (správce/zpracovatel): … |
2. |
… |
Dovozce nebo dovozci údajů: [Totožnost a kontaktní údaje dovozce/dovozců údajů, včetně jakékoli kontaktní osoby, která je odpovědná za ochranu údajů]
1. |
Jméno/název: …
Adresa: … Jméno, funkce a kontaktní údaje kontaktní osoby: … Činnosti relevantní pro předávání údajů na základě těchto doložek: … Podpis a datum: … Úloha (správce/zpracovatel): … |
2. |
… |
B. POPIS PŘEDÁNÍ
MODUL 1: Předání od správce správci
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
MODUL 4: Předání od zpracovatele správci
Kategorie subjektů údajů, jejichž osobní údaje se předávají
…
Kategorie předávaných osobních údajů
…
Citlivé údaje, které se předávají (v příslušných případech), a uplatněná omezení nebo záruky, jež plně zohledňují povahu údajů a související rizika, například přísné účelové omezení, omezení přístupu (včetně přístupu pouze pro zaměstnance, kteří absolvovali specializované školení), vedení záznamu o přístupu k údajům, omezení pro další předávání nebo dodatečná bezpečnostní opatření.
…
Četnost předávání (např. zda jsou údaje předávány jednorázově nebo průběžně).
…
Povaha zpracování
…
Účel nebo účely předání údajů a další zpracování
…
Doba, po kterou budou osobní údaje uchovávány, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby
…
Pokud jde o předávání (dílčím) zpracovatelům, rovněž uveďte předmět, povahu a trvání zpracování
…
C. PŘÍSLUŠNÝ DOZOROVÝ ÚŘAD
MODUL 1: Předání od správce správci
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
V souladu s doložkou 13 určete příslušný dozorový úřad nebo příslušné dozorové úřady.
…
PŘÍLOHA II
TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ VČETNĚ TECHNICKÝCH A ORGANIZAČNÍCH OPATŘENÍ K ZAJIŠTĚNÍ ZABEZPEČENÍ ÚDAJŮ
MODUL 1: Předání od správce správci
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
VYSVĚTLIVKY:
Technická a organizační opatření musí být popsána konkrétně (nikoli obecně). Viz také obecnou poznámku na první stránce dodatku, týkající se zejména potřeby jasně uvést, která opatření se vztahují na každé jednorázové nebo souborné předání.
Popis technických a organizačních opatření zavedených dovozcem nebo dovozci údajů (včetně veškerých příslušných certifikací) za účelem zajištění vhodné úrovně zabezpečení s přihlédnutím k povaze, rozsahu, kontextu a účelu zpracování a rizikům pro práva a svobody fyzických osob.
[Příklady možných opatření:
Opatření týkající se pseudonymizace a šifrování osobních údajů
Opatření za účelem zajištění neustálé důvěrnosti, integrity, dostupnosti a odolnosti systémů a služeb zpracování
Opatření za účelem zajištění schopnosti obnovit včas dostupnost osobních údajů a přístup k nim v případě fyzických či technických incidentů
Procesy pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření za účelem zabezpečení zpracování
Opatření za účelem určení totožnosti uživatele a udělení povolení
Opatření na ochranu údajů během předávání
Opatření na ochranu údajů během uchovávání
Opatření za účelem zajištění fyzické bezpečnosti míst, kde se zpracovávají osobní údaje
Opatření za účelem zajištění protokolování událostí
Opatření za účelem zajištění konfigurace systému, včetně výchozí konfigurace
Opatření za účelem správy a řízení interní IT a bezpečnosti IT
Opatření za účelem certifikace/zajištění procesů a produktů
Opatření za účelem zajištění minimalizace údajů
Opatření za účelem zajištění kvality údajů
Opatření za účelem zajištění omezeného uchovávání údajů
Opatření za účelem zajištění odpovědnosti
Opatření umožňující přenositelnost údajů a zajišťující vymazání]
Pokud jde o předávání údajů (dílčím) zpracovatelům, popište také konkrétní technická a organizační opatření, která má (dílčí) zpracovatel přijmout, aby mohl poskytnout pomoc správci; a – v případě předávání od zpracovatele dílčímu zpracovateli – vývozci údajů.
PŘÍLOHA III
SEZNAM DÍLČÍCH ZPRACOVATELŮ
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
VYSVĚTLIVKY:
Tuto přílohu je třeba vyplnit pro moduly 2 a 3 pro případ zvláštního povolení dílčích zpracovatelů (doložka 9 písm. a), varianta 1).
Správce udělil povolení pro zapojení následujících dílčích zpracovatelů:
1. |
Jméno/název: …
Adresa: … Jméno, funkce a kontaktní údaje kontaktní osoby: … Popis zpracování (včetně jasného vymezení odpovědností v případě, že je povolení uděleno pro několik dílčích zpracovatelů): … |
2. |
… |