7.6.2021   

ET

Euroopa Liidu Teataja

L 199/31


KOMISJONI RAKENDUSOTSUS (EL) 2021/914,

4. juuni 2021,

kolmandatesse riikidesse isikuandmete edastamise lepingu tüüptingimuste kohta vastavalt Euroopa Parlamendi ja nõukogu määrusele (EL) 2016/679

(EMPs kohaldatav tekst)

EUROOPA KOMISJON,

võttes arvesse Euroopa Liidu toimimise lepingut,

võttes arvesse Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrust (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus), (1) eriti selle artikli 28 lõiget 7 ja artikli 46 lõike 2 punkti c,

ning arvestades järgmist:

(1)

Tehnoloogia areng teeb võimalikuks piiriülesed andmevood, mis on vajalikud rahvusvahelise koostöö ja rahvusvahelise kaubanduse laiendamiseks. Samal ajal on isikuandmete edastamisel kolmandatesse riikidesse vaja tagada, et ei kahjustataks määrusega (EL) 2016/679 tagatud füüsiliste isikute kaitse taset, sealhulgas ka edasisaatmise juhtudel (2). Andmeedastust käsitlevad määruse (EL) 2016/679 V peatüki sätted on mõeldud selleks, et kindlustada isikuandmete kõrgetasemelise kaitse järjepidevus andmete edastamise korral kolmandasse riiki (3).

(2)

Määruse (EL) 2016/679 artikli 46 lõike 1 kohaselt võib vastutav töötleja või volitatud töötleja artikli 45 lõike 3 kohase kaitse piisavuse otsuse puudumise korral edastada isikuandmeid kolmandale riigile või rahvusvahelisele organisatsioonile üksnes juhul, kui ta on sätestanud asjakohased kaitsemeetmed, ning tingimusel, et andmesubjektide kohtulikult kaitstavad õigused ja tõhusad õiguskaitsevahendid on kättesaadavad. Need kaitsemeetmed võidakse näha ette artikli 46 lõike 2 punkti c kohaselt vastu võetud standardsete andmekaitseklauslitega.

(3)

Lepingu tüüptingimuste roll piirdub andmete rahvusvahelise edastamise korral asjakohaste andmekaitsemeetmete tagamisega. Seetõttu on isikuandmeid kolmandasse riiki edastaval vastutaval või volitatud töötlejal (edaspidi „andmeeksportija“) ja isikuandmeid vastu võtval vastutaval või volitatud töötlejal (edaspidi „andmeimportija“) õigus kaasata need lepingu tüüptingimused laiemasse lepingusse ja lisada muid tingimusi või täiendavaid kaitsemeetmeid, tingimusel et need ei lähe otseselt ega kaudselt vastuollu lepingu tüüptingimustega ega piira andmesubjektide põhiõigusi ega -vabadusi. Vastutavaid töötlejaid ja volitatud töötlejaid ergutatakse nägema ette täiendavaid kaitsemeetmeid lepinguliste kohustuste abil, mis täiendavad lepingu tüüptingimusi (4). Lepingu tüüptingimuste kasutamine ei piira andmeeksportija ja/või andmeimportija mis tahes lepingulisi kohustusi tagada kohaldatavate privileegide ja immuniteetide järgimine.

(4)

Lisaks lepingu tüüptingimuste kasutamisele, et näha määruse (EL) 2016/679 artikli 46 lõike 1 kohaste edastamiste puhul ette asjakohased kaitsemeetmed, peab andmeeksportija vastutava või volitatud töötlejana täitma oma üldisi määrusest (EL) 2016/679 tulenevaid kohustusi. Need kohustused hõlmavad vastutava töötleja kohustust anda määruse (EL) nr 2016/679 artikli 13 lõike 1 punkti f ja artikli 14 lõike 1 punkti f kohaselt andmesubjektidele teavet asjaolu kohta, et ta kavatseb edastada nende isikuandmed kolmandasse riiki. Määruse (EL) 2016/679 artikli 46 kohaste edastamiste puhul peab selline teave sisaldama viidet asjakohastele kaitsemeetmetele ja vastava teabe koopia saamise viisile või kohale, kus see on tehtud kättesaadavaks.

(5)

Komisjoni otsused 2001/497/EÜ (5) ja 2010/87/EL (6) sisaldavad lepingu tüüptingimusi, mille eesmärk on lihtsustada liidus asutatud vastutava töötleja jaoks isikuandmete edastamist vastutavale või volitatud töötlejale kolmandas riigis, kus pakutav kaitsetase ei ole piisav. Need otsused põhinesid Euroopa Parlamendi ja nõukogu direktiivil 95/46/EÜ (7).

(6)

Määruse (EL) 2016/679 artikli 46 lõike 5 kohaselt jäävad otsus 2001/497/EÜ ja otsus 2010/87/EL kehtima, kuni neid selle määruse artikli 46 lõike 2 kohaselt vastuvõetud otsusega vajaduse korral muudetakse, nad asendatakse või tunnistatakse kehtetuks. Otsustes sisalduvaid lepingu tüüptingimusi oli määruse (EL) 2016/679 kohaseid uusi nõudeid arvestades vaja ajakohastada. Lisaks on alates nende otsuste vastuvõtmisest toimunud digitaalmajanduses märkimisväärseid muutusi, mille käigus on järjest enam kasutusele võetud uusi ja keerukamaid töötlemistoiminguid, mis sageli hõlmavad mitut andmeimportijat ja -eksportijat, pikki ja keerulisi töötlemisahelaid ning muutuvaid ärisuhteid. See nõuab lepingu tüüptingimuste ajakohastamist, et need peegeldaksid paremini uut tegelikkust ehk hõlmaksid lisandunud töötlemis- ja edastamisolukordi ning võimaldaksid suuremat paindlikkust, näiteks seoses nende isikute arvuga, kellel on võimalik lepinguga liituda.

(7)

Vastutav või volitatud töötleja võib kasutada käesoleva otsuse lisas sätestatud lepingu tüüptingimusi, et näha ette määruse (EL) 2016/679 artikli 46 lõike 1 tähenduses asjakohased kaitsemeetmed isikuandmete edastamisel kolmandas riigis asuvale vastutavale või volitatud töötlejale, ilma et see piiraks määruse (EL) 2016/679 kohase rahvusvahelise edastamise mõiste tõlgendamist. Lepingu tüüptingimusi võib selliste edastamiste puhul kasutada üksnes niivõrd, kuivõrd importija teostatav töötlemine ei kuulu määruse (EL) 2016/679 kohaldamisalasse. See hõlmab ka isikuandmete edastamist vastutavalt või volitatud töötlejalt, kes ei asu liidus, kuivõrd selle töötlemise suhtes kohaldatakse määrust (EL) 2016/679 (selle artikli 3 lõike 2 kohaselt), sest see on seotud kaupade või teenuste pakkumisega liidus asuvatele andmesubjektidele või nende tegevuse jälgimisega, kui see tegevus toimub liidus.

(8)

Arvestades, et määrus (EL) 2016/679 ning Euroopa Parlamendi ja nõukogu määrus (EL) 2018/1725 (8) on üldiselt vastavusse viidud, peaks lepingu tüüptingimusi olema võimalik kasutada määruse (EL) 2018/1725 artikli 29 lõikes 4 osutatud viisil ka lepingus, millega kolmandas riigis asuvale alamtöötlejale edastab isikuandmeid volitatud töötleja, kes ei ole liidu institutsioon ega organ, aga kelle suhtes kohaldatakse määrust (EL) 2016/679 ja kes töötleb isikuandmeid liidu institutsiooni või organi nimel vastavalt määruse (EL) 2018/1725 artiklile 29. Kui selles lepingus kajastuvad samad andmekaitsekohustused kui vastutava töötleja ja volitatud töötleja vahelises määruse (EL) 2018/1725 artikli 29 lõike 3 kohases lepingus või muus õigusaktis, eeskätt kui tehniliste ja korralduslike meetmete kohta antakse piisavad tagatised, et tagada töötlemise vastavus selle määruse nõuetele, tagatakse sellega vastavus määruse (EL) 2018/1725 artikli 29 lõikele 4. Eelkõige kehtib see siis, kui vastutav töötleja ja volitatud töötleja kasutavad lepingu tüüptingimusi, mis sisalduvad komisjoni rakendusotsuses määruse (EL) 2016/679 artikli 28 lõike 7 ning määruse (EL) 2018/1725 artikli 29 lõike 7 kohaste vastutavate töötlejate ja volitatud töötlejate vaheliste lepingute tüüptingimuste kohta (9).

(9)

Kui töötlemine hõlmab andmete edastamist vastutavatelt töötlejatelt, kelle suhtes kohaldatakse määrust (EL) 2016/679, volitatud töötlejatele, kes ei kuulu selle territoriaalsesse kohaldamisalasse, või volitatud töötlejatelt, kelle suhtes kohaldatakse määrust (EL) 2016/679, alamtöötlejatele, kes ei kuulu selle territoriaalsesse kohaldamisalasse, peaksid need käesoleva otsuse lisas sätestatud lepingu tüüptingimused võimaldama täita ka määruse (EL) 2016/679 artikli 28 lõigete 3 ja 4 nõudeid.

(10)

Käesoleva otsuse lisas sätestatud lepingu tüüptingimustes ühendatakse üldtingimused moodulipõhise käsitlusviisiga, et võtta arvesse erinevaid edastamisstsenaariume ning tänapäevaste töötlemisahelate keerukust. Lisaks üldtingimustele peaksid vastutavad ja volitatud töötlejad valima nende olukorras kehtiva mooduli, et lähtuda lepingu tüüptingimustest neile tulenevates kohustustes sellest, milline on kõnealuse andmetöötluse puhul nende roll ja vastutus. Peaks olema võimalik, et lepingu tüüptingimusi järgib enam kui kaks poolt. Lisaks tuleks kogu aja jooksul, mil kehtib leping, mille osa need tüüptingimused moodustavad, lubada nende tingimustega ühineda ka täiendavatel vastutavatel ja volitatud töötlejatel andmeeksportijate või -importijatena.

(11)

Asjakohaste kaitsemeetmete pakkumiseks tuleks lepingu tüüptingimustega tagada, et sellel alusel edastatud isikuandmetele võimaldatud kaitsetase on sisuliselt samaväärne liidus tagatud kaitsetasemega (10). Töötlemise läbipaistvuse tagamiseks tuleks andmesubjektidele anda lepingu tüüptingimuste koopia ning neid tuleks teavitada eelkõige töödeldavate isikuandmete liikidest, õigusest saada lepingu tüüptingimuste koopia ning mis tahes edasisaatmisest. Andmeimportija teostatav edasisaatmine ühes muus kolmandas riigis asuvale kolmandale isikule peaks olema lubatud üksnes siis, kui see kolmas isik ühineb lepingu tüüptingimustega, kui kaitse jätkuvus tagatakse muul viisil, või eriolukordades, näiteks andmesubjekti sõnaselgel teavitatud nõusolekul.

(12)

Mõningate eranditega, eelkõige seoses teatavate kohustustega, mis puudutavad eranditult andmeeksportija ja andmeimportija vahelist suhet, peaksid andmesubjektid soodustatud kolmandate isikutena saama tugineda lepingu tüüptingimustele ja vajaduse korral nõuda nende täitmist. Seetõttu, kuigi pooltel peaks olema lubatud lepingu tüüptingimusi reguleeriva õigusena valida ühe liikmesriigi õigus, peavad selles õiguses olema ette nähtud soodustatud kolmandate isikute õigused. Individuaalse õiguskaitse hõlbustamiseks tuleks lepingu tüüptingimustes nõuda, et andmeimportija teeks andmesubjektidele teatavaks kontaktpunkti ning tegeleks viivitamata mis tahes kaebuste või päringutega. Andmeimportija ja oma õigustele soodustatud kolmanda isikuna tugineva andmesubjekti vahelise vaidluse korral peaks andmesubjekt saama esitada kaebuse pädevale järelevalveasutusele või pöörduda vaidlusega ELi pädevatesse kohtutesse.

(13)

Selleks et tagada tulemuslik täitmine, tuleks andmeimportijalt nõuda, et ta nõustub sellisele asutusele ja sellistele kohtutele alluma ning kohustub täitma liikmesriigis kohaldatava õiguse kohast mis tahes siduvat otsust. Eelkõige peaks andmeimportija nõustuma sellega, et ta vastab päringutele, võimaldab enda juures auditeid ning järgib järelevalveasutuse vastu võetud meetmeid, sealhulgas parandus- ja kompensatsioonimeetmeid. Lisaks peaks andmeimportijal olema võimalik pakkuda andmesubjektidele võimalust tasuta pöörduda õiguskaitse saamiseks sõltumatu vaidluste lahendamise organi poole. Kooskõlas määruse (EL) 2016/679 artikli 80 lõikega 1 peaks olema lubatud, et kui andmesubjektid seda soovivad, esindavad neid vaidlustes andmeimportijaga kas ühendused või muud organid.

(14)

Lepingu tüüptingimustega tuleks näha ette eeskirjad seoses vastutuse jagunemisega poolte vahel ja andmesubjektide suhtes ning eeskirjad kahjude hüvitamise kohta poolte vahel. Kui andmesubjekt kannab lepingu tüüptingimuste kohaste soodustatud kolmanda isiku õiguste rikkumise tagajärjel varalist või mittevaralist kahju, peaks tal olema õigus hüvitisele. See ei tohiks piirata määruse (EL) 2016/679 kohast mis tahes vastutust.

(15)

Kui andmed edastatakse volitatud töötlejana või alamtöötlejana tegutsevale andmeimportijale, tuleks kohaldada määruse (EL) 2016/679 artikli 28 lõikele 3 vastavaid konkreetseid nõudeid. Lepingu tüüptingimustega tuleks andmeimportijalt nõuda, et ta teeks kättesaadavaks kogu teabe, mis on vajalik käesolevates tingimustes ettenähtud kohustuste täitmise tõendamiseks, ning võimaldaks andmeeksportijal teha töötlemistoimingute auditeid ja aitaks neile kaasa. Juhul, kui andmeimportija kaasab kooskõlas määruse (EL) 2016/679 artikli 28 lõigetega 2 ja 4 mis tahes alamtöötleja, tuleks lepingu tüüptingimustes sätestada eeskätt andmeeksportija antava üldise või eriloa menetlus ning nõue sõlmida alamtöötlejaga kirjalik leping, et tagada tingimuste järgimisega antava kaitsetasemega samaväärne tase.

(16)

Asjakohane on esitada lepingu tüüptingimustes erinevad kaitsemeetmed, mis hõlmavad konkreetset olukorda, kui liidus asuv volitatud töötleja edastab isikuandmeid kolmandas riigis asuvale vastutavale töötlejale, ning kajastada määruse (EL) 2016/679 kohaseid volitatud töötlejate piiratud iseseisvaid kohustusi. Eelkõige tuleks lepingu tüüptingimustes nõuda, et volitatud töötleja teavitaks vastutavat töötlejat, kui ta ei suuda järgida viimase juhiseid, sealhulgas kui need juhised lähevad vastuollu liidu andmekaitsealaste õigusaktidega, ning nõuda, et vastutav töötleja hoiduks mis tahes tegevusest, mis takistab volitatud töötlejal täita talle määrusest (EL) 2016/679 tulenevaid kohustusi. Samuti tuleks nõuda, et pooled aitaksid üksteist, kui on vaja vastata andmeimportija suhtes kohaldatava kohaliku õiguse või ELis andmetöötluse puhul määruse (EL) 2016/679 kohastele andmesubjekti päringutele ja taotlustele. Lisanõudeid, mis käsitlevad kolmanda sihtriigi seaduste mis tahes mõjusid vastutava töötleja tingimustele vastavusele, eeskätt seda, kuidas toimida edastatud isikuandmete avalikustamiseks kolmanda riigi avaliku sektori asutuste esitatud siduvate taotlustega, tuleks kohaldada juhul, kui liidu volitatud töötleja ühendab kolmanda riigi vastutavalt töötlejalt saadud isikuandmeid liidus asuva vastutava töötleja kogutud isikuandmetega. Sellised nõuded ei ole aga õigustatud, kui tegevuse edasiandmine hõlmab pelgalt vastutavalt töötlejalt saadud isikuandmete töötlemist ja tagasisaatmist ning kui see igal juhul kuulus ja kuulub kõnealuse kolmanda riigi kohtualluvusse.

(17)

Pooled peaksid suutma tõendada, et nad järgivad lepingu tüüptingimusi. Eelkõige tuleks andmeimportijalt nõuda, et ta säilitaks asjakohaseid dokumente tema vastutusel tehtavate töötlemistoimingute kohta ning teavitaks andmeeksportijat viivitamata, kui ta mis tahes põhjusel ei suuda tingimusi järgida. Kui andmeimportija rikub lepingutingimusi või ei suuda neid täita, peaks andmeeksportija omakorda peatama edastamise ning eriti tõsistel juhtudel peaks tal olema õigus leping lõpetada, kuivõrd see puudutab isikuandmete töötlemist lepingu tüüptingimuste kohaselt. Juhul kui lepingutingimuste täitmist mõjutavad kohalikud seadused, peaksid kehtima erieeskirjad. Enne lepingu lõpetamist edastatud isikuandmed ja nende mis tahes koopiad tuleks andmeeksportija valikul kas andmeeksportijale tagastada või täielikult hävitada.

(18)

Lepingu tüüptingimustes tuleks eelkõige Euroopa Kohtu praktikat (11) silmas pidades ette näha konkreetsed kaitsemeetmed, et arvestada kolmanda sihtriigi õigusaktide igasugust mõju andmeimportija poolsele tingimuste täitmisele, eelkõige seda, kuidas toimida edastatud isikuandmete avalikustamiseks kolmanda riigi avaliku sektori asutuste esitatud siduvate taotlustega.

(19)

Lepingu tüüptingimuste kohast isikuandmete edastamist ja töötlemist ei tohiks toimuda, kui kolmanda riigi seadused ja tavad takistavad andmeimportijal neid tingimusi täitmast. Siinjuures ei peaks lepingu tüüptingimustega vastuolus olevaks pidama kohalikke seadusi ja tavasid, mis järgivad põhiõiguste ja -vabaduste olemust ega lähe kaugemale sellest, mis on demokraatlikus ühiskonnas vajalik ja proportsionaalne, et kaitsta mõnd määruse (EL) 2016/679 artikli 23 lõikes 1 loetletud eesmärkidest. Pooled peaksid garanteerima, et lepingu tüüptingimustes kokku leppimise ajal ei ole neil põhjust arvata, nagu ei oleks andmeimportija suhtes kohaldatavad seadused või tavad nende nõuetega kooskõlas.

(20)

Pooled peaksid eelkõige võtma arvesse edastamise konkreetseid asjaolusid (nagu lepingu sisu ja kestus, edastatavate andmete laad, saaja liik, töötlemise eesmärk), edastamise asjaolude suhtes asjakohaseid kolmanda sihtriigi seadusi ja tavasid ning lisaks lepingu tüüptingimustes sisalduvatele kehtestatud kaitsemeetmeid (sealhulgas isikuandmete edastamise ja sihtriigis töötlemise suhtes kohaldatavad asjakohased lepingulised, tehnilised ja korralduslikud meetmed). Mis puudutab nende seaduste ja tavade mõju lepingu tüüptingimuste täitmisele, siis võib üldhinnangu osana kaaluda eri elemente, sealhulgas usaldusväärset teavet seaduse praktilise kohaldamise kohta (näiteks kohtupraktika ja sõltumatute järelevalveorganite aruanded), taotluste olemasolu või puudumist samas tegevusvaldkonnas ja – rangetel tingimustel – andmeeksportija ja/või andmeimportija dokumenteeritud praktilist kogemust.

(21)

Andmeimportija peaks andmeeksportijat teavitama, kui tal on pärast lepingu tüüptingimustes kokku leppimist põhjust arvata, et ta ei suuda lepingu tüüptingimusi täita. Kui andmeeksportija saab sellise teate või saab muul viisil teada, et andmeimportija ei suuda enam lepingu tüüptingimusi täita, peaks ta olukorraga tegelemiseks selgitama välja asjakohased meetmed, konsulteerides vajaduse korral pädeva järelevalveasutusega. Need meetmed võivad hõlmata andmeeksportija ja/või andmeimportija võetud lisameetmeid, näiteks tehnilisi ja korralduslikke meetmeid turvalisuse ja konfidentsiaalsuse tagamiseks. Andmeeksportijalt tuleks nõuda edastamise peatamist, kui ta leiab, et asjakohaseid kaitsemeetmeid ei ole võimalik tagada või kui pädev järelevalveasutus annab sellise korralduse.

(22)

Võimaluse korral peaks andmeimportija teavitama andmeeksportijat ja andmesubjekti, kui ta saab avaliku sektori asutuselt (sealhulgas õigusasutuselt) sihtriigi seaduste kohaselt õiguslikult siduva taotluse avalikustada vastavalt lepingu tüüptingimustele edastatud isikuandmeid. Samamoodi peaks ta neid teavitama, kui ta saab teada, et avaliku sektori asutused on kolmanda sihtriigi seaduste kohaselt saanud nendele isikuandmetele otsejuurdepääsu. Kui andmeimportija ei suuda kõigile jõupingutustele vaatamata andmeeksportijat ja/või andmesubjekti teatavatest avalikustamistaotlustest teavitada, annab ta andmeeksportijale taotluste kohta võimalikult palju asjakohast teavet. Lisaks peaks andmeimportija andma andmeeksportijale korrapäraste ajavahemike järel koondteavet. Samuti tuleks andmeimportijalt nõuda, et ta dokumenteeriks laekunud avalikustamistaotlused ja antud vastuse ning teeks selle teabe vastava taotluse korral kättesaadavaks andmeeksportijale või pädevale järelevalveasutusele või mõlemale. Kui andmeimportija järeldab pärast nende taotluste seaduslikkuse läbivaatamist vastavalt sihtriigi seadustele, et kolmanda sihtriigi seaduste kohaselt esineb mõjuv põhjus pidada taotlust ebaseaduslikuks, peaks ta selle vaidlustama, sealhulgas asjakohasel juhul kõigi kättesaadavate kaebamisvõimaluste ärakasutamisega. Igal juhul peaks andmeimportija juhul, kui ta enam ei suuda lepingu tüüptingimusi täita, sellest teavitama andmeeksportijat, sealhulgas siis, kui see on juhtunud avalikustamistaotluse tagajärjel.

(23)

Kuna sidusrühmade vajadused, tehnoloogia ja töötlemistoimingud võivad muutuda, peaks komisjon määruse (EL) 2016/679 artiklis 97 osutatud korrapärase hindamise osana ja saadud kogemusi arvestades hindama lepingu tüüptingimuste toimimist.

(24)

Otsus 2001/497/EÜ ja otsus 2010/87/EL tuleks tunnistada kehtetuks kolm kuud pärast käesoleva otsuse jõustumist. Sellel ajavahemikul peaksid andmeeksportijad ja andmeimportijad saama määruse (EL) 2016/679 artikli 46 lõike 1 tähenduses ikka kasutada otsustes 2001/497/EÜ ja 2010/87/EL sätestatud lepingu tüüptingimusi. Andmeeksportijad ja andmeimportijad peaksid saama määruse (EL) 2016/679 artikli 46 lõike 1 tähenduses veel 15 kuu jooksul jätkata tuginemist otsustes 2001/497/EÜ ja 2010/87/EL sätestatud lepingu tüüptingimustele, et täita enne nende otsuste kehtetuks tunnistamise kuupäeva nende vahel sõlmitud lepingut, kui lepingu esemeks olevad töötlemistoimingud ei muutu ning tingimustele tuginemisega tagatakse, et isikuandmete edastamise suhtes kohaldatakse määruse (EL) 2016/679 artikli 46 lõike 1 tähenduses asjakohaseid kaitsemeetmeid. Kui lepingus tehakse sellesisulisi muudatusi, tuleks andmeeksportijalt nõuda tuginemist uuele lepingukohasele andmete edastamise alusele, eeskätt asendades olemasolevad lepingu tüüptingimused käesoleva otsuse lisas sätestatud lepingu tüüptingimustega. Sama peaks kehtima lepinguga hõlmatud töötlemistoimingute jaoks alltöövõtu korras volitatud töötleja (alamtöötleja) kasutamisel.

(25)

Määruse (EL) 2018/1725 artikli 42 lõike 1 ja 2 kohaselt konsulteeriti Euroopa Andmekaitseinspektori ja Euroopa Andmekaitsenõukoguga ning 14. jaanuaril 2021. aastal esitasid nad ühisarvamuse, (12) mida on käesoleva otsuse koostamisel arvesse võetud.

(26)

Käesoleva otsusega ette nähtud meetmed on kooskõlas määruse (EL) 2016/679 artikli 93 kohaselt loodud komitee arvamusega,

ON VASTU VÕTNUD KÄESOLEVA OTSUSE:

Artikkel 1

1.   Lisas sätestatud lepingu tüüptingimusi peetakse asjakohaseks kaitsemeetmeks määruse (EL) 2016/679 artikli 46 lõike 1 ja lõike 2 punkti c tähenduses, kui vastutav töötleja või volitatud töötleja, kelle suhtes kõnealust määrust (andmeeksportija), edastab isikuandmeid vastutavale töötlejale või volitatud töötlejale (alamtöötlejale), kelle tehtava andmetöötluse suhtes ei kohaldata seda määrust (andmeimportija).

2.   Samuti sätestatakse lepingu tüüptingimustes vastutavate töötlejate ja volitatud töötlejate õigused ja kohustused määruse (EL) 2016/679 artikli 28 lõigetes 3 ja 4 osutatud küsimustes seoses isikuandmete edastamisega vastutavalt töötlejalt volitatud töötlejale või volitatud töötlejalt alamtöötlejale.

Artikkel 2

Kui liikmesriigi pädevad asutused kasutavad määruse (EL) 2016/679 artikli 58 kohaseid parandusvolitusi vastusena olukorrale, kus andmeimportija suhtes kohaldatakse või hakatakse kohaldama kolmanda sihtriigi seadusi või tavasid, mis takistavad tal täita lisas sätestatud lepingu tüüptingimusi ning seetõttu peatatakse või keelustatakse andmete edastamine kolmandatesse riikidesse, teavitab asjaomane liikmesriik viivitamata komisjoni, kes edastab selle teabe teistele liikmesriikidele.

Artikkel 3

Osana määruse (EL) 2016/679 artiklis 97 nõutud korrapärasest hindamisest hindab komisjon lisas sätestatud lepingu tüüptingimuste praktilist kohaldamist kogu saadaoleva teabe põhjal.

Artikkel 4

1.   Käesolev otsus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

2.   Otsus 2001/497/EÜ tunnistatakse kehtetuks alates 27. septembrist 2021.

3.   Otsus 2010/87/EL tunnistatakse kehtetuks alates 27. septembrist 2021.

4.   Otsuse 2001/497/EÜ või otsuse 2010/87/EL alusel enne 27. septembrit 2021 sõlmitud lepinguid käsitatakse nii, et need pakuvad kuni 27. detsembrini 2022 asjakohaseid kaitsemeetmeid määruse (EL) 2016/679 artikli 46 lõike 1 tähenduses, tingimusel et lepingu esemeks olevad töötlemistoimingud ei muutu ning tingimustele tuginemisega tagatakse isikuandmete edastamise suhtes asjakohaste kaitsemeetmete kohaldamine.

Brüssel, 4. juuni 2021

Komisjoni nimel

president

Ursula VON DER LEYEN


(1)  ELT L 119, 4.5.2016, lk 1.

(2)  Määruse (EL) 2016/679 artikkel 44.

(3)  Vt ka Euroopa Kohtu 16. juuli 2020. aasta otsus kohtuasjas C-311/18, Data Protection Commissioner vs. Facebook Ireland Ltd ja Maximillian Schrems („Schrems II“), ECLI:EU:C:2020:559, punkt 93.

(4)  Määruse (EL) 2016/679 põhjendus 109.

(5)  Komisjoni 15. juuni 2001. aasta otsus 2001/497/EÜ kolmandatesse riikidesse isikuandmete edastamise lepingu tüüptingimuste kohta direktiivi 95/46/EÜ alusel (EÜT L 181, 4.7.2001, lk 19).

(6)  Komisjoni 5. veebruari 2010. aasta otsus 2010/87/EL kolmandates riikides asuvatele volitatud töötlejatele isikuandmete edastamise lepingu tüüptingimuste kohta nõukogu ja Euroopa Parlamendi direktiivi 95/46/EÜ alusel (ELT L 39, 12.2.2010, lk 5).

(7)  Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT L 281, 23.11.1995, lk 31).

(8)  Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määrus (EL) 2018/1725, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ (ELT L 295, 21.11.2018, lk 39). Vt põhjendus 5.

(9)  C(2021)3701.

(10)  Schrems II, punktid 96 ja 103. Vt ka määruse (EL) 2016/679 põhjendused 108 ja 114.

(11)  Schrems II.

(12)  Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektori ühisarvamus 2/2021, mis käsitleb Euroopa Komisjoni rakendusotsust kolmandatesse riikidesse isikuandmete edastamise lepingu tüüptingimuste kohta määruse (EL) 2016/679 artikli 46 lõike 2 punktis c osutatud küsimustes.


LISA

LEPINGU TÜÜPTINGIMUSED

I JAGU

1. tingimus

Eesmärk ja kohaldamisala

a)

Käesolevate lepingu tüüptingimuste eesmärk on tagada isikuandmete edastamisel kolmandasse riiki vastavus Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrusele (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (isikuandmete kaitse üldmäärus) (1).

b)

Pooled:

i)

I.A lisas loetletud andmeid edastav füüsiline või juriidiline isik, riigiasutus, amet või organ (edaspidi „üksus(ed)“) (edaspidi „andmeeksportija“), ja

ii)

kolmandas riigis asuv(ad) üksus(ed), kes võtab/võtavad andmeid andmeeksportijalt vastu kas otse või kaudselt sellise teise üksuse kaudu, kes järgib samuti neid tingimusi, nagu on loetletud I.A lisas (edaspidi „andmeimportija“)

on kokku leppinud järgmistes lepingu tüüptingimustes (edaspidi „tingimused“).

c)

Need tingimused kehtivad I.B lisas sätestatud isikuandmete edastamise kohta.

d)

Liide, mis sisaldab selles osutatud lisasid, moodustab käesolevate tingimuste lahutamatu osa.

2. tingimus

Tingimuse toime ja muutumatus

a)

Käesolevates tingimustes sätestatakse asjakohased kaitsemeetmed, sealhulgas kohtulikult kaitstavad andmesubjekti õigused ning tõhusad õiguskaitsevahendid vastavalt määruse (EL) 2016/679 artikli 46 lõikele 1 ja artikli 46 lõike 2 punktile c, ning seoses andmete edastamisega vastutavatelt töötlejatelt volitatud töötlejatele ja/või volitatud töötlejatelt volitatud töötlejatele määruse (EL) 2016/679 artikli 28 lõike 7 kohased lepingu tüüptingimused, tingimusel et neid ei ole muudetud, välja arvatud asjakohas(t)e mooduli(te) valimiseks või liites oleva teabe lisamiseks või ajakohastamiseks. See ei takista pooltel lisamast laiemasse lepingusse käesolevates tingimustes sätestatud lepingu tüüptingimusi ja/või lisamast muid tingimusi või täiendavaid kaitsemeetmeid, tingimusel et need ei lähe käesolevate tingimustega otseselt ega kaudselt vastuollu ega piira andmesubjektide põhiõigusi ega -vabadusi.

b)

Käesolevate tingimustega ei piirata kohustusi, mida andmeeksportija suhtes vastavalt määrusele (EL) 2016/679 kohaldatakse.

3. tingimus

Soodustatud kolmandad isikud

a)

Andmesubjektid võivad soodustatud kolmandate isikutena neid tingimusi andmeeksportija ja/või andmeimportija suhtes kasutada ja nende täitmist nõuda järgmiste eranditega:

i)

1. tingimus, 2. tingimus, 3. tingimus, 6. tingimus, 7. tingimus;

ii)

8. tingimus – esimene moodul: punkti 8.5 alapunkt e ja punkti 8.9 alapunkt b; teine moodul: punkti 8.1 alapunkt b, punkti 8.9 alapunktid a, c, d ja e; kolmas moodul: punkti 8.1 alapunktid a, c ja d ning punkti 8.9 alapunktid a, c, d, e, f ja g; neljas moodul: punkti 8.1 alapunkt b ja punkti 8.3 alapunkt b;

iii)

9. tingimus – teine moodul: 9. tingimuse punktid a, c, d ja e; kolmas moodul: 9. tingimuse punktid a, c, d ja e;

iv)

12. tingimus – esimene moodul: 12. tingimuse punktid a ja d; teine ja kolmas moodul: 12. tingimuse punktid a, d ja f;

v)

13. tingimus;

vi)

punkti 15.1 alapunktid c, d ja e;

vii)

16. tingimuse punkt e;

viii)

18. tingimus – esimene, teine ja kolmas moodul: 18. tingimuse punktid a ja b; neljas moodul: 18. tingimus.

b)

Punktiga a ei piirata määruse (EL) 2016/679 kohaseid andmesubjekti õigusi.

4. tingimus

Tõlgendamine

a)

Kui käesolevates tingimustes kasutatakse mõisteid, mis on määratletud määruses (EL) 2016/679, on nendel mõistetel sama tähendus kui selles määruses.

b)

Neid tingimusi loetakse ja tõlgendatakse määruse (EL) 2016/679 sätteid silmas pidades.

c)

Neid tingimusi ei tõlgendata viisil, mis läheb vastuollu määruses (EL) 2016/679 sätestatud õiguste ja kohustustega.

5. tingimus

Hierarhia

Käesolevate tingimuste ja nende kokkuleppimise ajal poolte vahel kehtinud või hiljem sõlmitud seotud lepingute sätete vastuolu korral kohaldatakse käesolevaid tingimusi.

6. tingimus

Edastamis(t)e kirjeldus

Edastamis(t)e üksikasjad, eelkõige edastatavate isikuandmete liigid ning eesmärgid, mille jaoks neid edastatakse, on täpsustatud I.B lisas.

7. tingimus – vabatahtlik

Ühinemistingimus

a)

Üksus, kes ei ole käesolevate tingimuste pool, võib kõigi poolte nõusolekul nende tingimustega igal ajal ühineda andmeeksportijana või andmeimportijana; selleks täidab ta liite ja allkirjastab I.A lisa.

b)

Kui ta on liite täitnud ja I.A lisa allkirjastanud, saab ühinev üksus käesolevate tingimuste pooleks ning tal on andmeeksportija või andmeimportija õigused ja kohustused vastavalt tema tähistusele I.A lisas.

c)

Ühinevale üksusele ei tulene pooleks saamise eelsel perioodil käesolevatest tingimustest õigusi ega kohustusi.

II JAGU. POOLTE KOHUSTUSED

8. tingimus

Andmekaitsemeetmed

Andmeeksportija garanteerib, et ta teeb mõistlikke jõupingutusi, veendumaks et andmeimportija suudab tänu asjakohaste tehniliste ja korralduslike meetmete rakendamisele täita käesolevate tingimuste kohaseid kohustusi.

ESIMENE MOODUL: edastamine vastutavalt töötlejalt vastutavale töötlejale

8.1.   Eesmärgikohasus

Andmeimportija töötleb isikuandmeid üksnes konkreetse(te)l edastamiseesmärgil (-eesmärkidel), nagu osutatud I.B lisas. Ta tohib töödelda isikuandmeid muul eesmärgil üksnes juhul, kui

i)

ta on hankinud andmesubjekti eelneva nõusoleku;

ii)

see on vajalik teatavates haldus-, regulatiiv- või kohtumenetlustes õigusnõuete koostamiseks, esitamiseks või kaitsmiseks; või

iii)

see on vajalik andmesubjekti või mõne muu füüsilise isiku eluliste huvide kaitsmiseks.

8.2.   Läbipaistvus

a)

Selleks et võimaldada andmesubjektidel oma õigusi vastavalt 10. tingimusele tõhusalt kasutada, teavitab andmeimportija neid otse või andmeeksportija kaudu järgmisest:

i)

töötleja nimi ja kontaktandmed;

ii)

töödeldavate isikuandmete liigid;

iii)

õigus saada endale nende tingimuste koopia;

iv)

kui ta kavatseb saata sellise vastuvõtja või vastuvõtjate kategooriate (nagu on asjakohane sisulise teabe andmiseks) isikuandmeid edasi mis tahes kolmanda(te)le isiku(te)le, sellise edasisaatmise eesmärk ja alus vastavalt punktile 8.7.

b)

Punkti a ei kohaldata juhul, kui andmesubjektil on see teave juba olemas, sealhulgas kui andmeeksportija on seda teavet juba andnud, või kui teabe andmine osutub võimatuks või nõuaks andmeimportijalt ebaproportsionaalseid jõupingutusi. Viimasel juhul teeb andmeimportija teabe suurimas võimalikus ulatuses avalikult kättesaadavaks.

c)

Taotluse korral teevad pooled käesolevate tingimuste, sealhulgas nende täidetud liite koopia andmesubjektile tasuta kättesaadavaks. Ulatuses, milles see on vajalik ärisaladuse või muu konfidentsiaalse teabe, sealhulgas isikuandmete kaitsmiseks, võivad pooled käesolevate tingimuste liite tekstiosi enne koopia jagamist redigeerida, kuid siis tuleb neil juhul, kui andmesubjekt ei saaks muidu sisust aru ja/või oma õigusi kasutada, esitada sisukas kokkuvõtte. Taotluse korral esitavad pooled andmesubjektile redigeerimise põhjendused, niivõrd kui see on redigeeritud teavet avaldamata võimalik.

d)

Punktid a–c ei piira määruse (EL) 2016/679 artikli 13 ja 14 kohaseid andmeeksportija kohustusi.

8.3.   Täpsus ja võimalikult väheste andmete kogumine

a)

Iga pool tagab, et isikuandmed on täpsed ja vajaduse korral ajakohastatud. Andmeimportija võtab kõik põhjendatud meetmed tagamaks, et töötlemise eesmärki (eesmärke) arvesse võttes kustutatakse või parandatakse ebatäpsed isikuandmed viivitamata.

b)

Kui üks pooltest saab teada, et edastatud või vastu võetud isikuandmed on ebatäpsed või aegunud, teavitab ta teist poolt põhjendamatu viivituseta.

c)

Andmeimportija tagab, et isikuandmed on piisavad ja asjakohased ning piiratud sellega, mis on töötlemise eesmärgil (eesmärkidel) vajalik.

8.4.   Säilitamise piirang

Andmeimportija säilitab isikuandmeid üksnes senikaua, kuni see on vajalik nende andmete töötlemise eesmärgil (eesmärkidel). Ta kehtestab asjakohased tehnilised või korralduslikud meetmed selle kohustuse täitmise tagamiseks, sealhulgas andmete ja kõigi varukoopiate kustutamise või anonüümimise (2) säilitusperioodi lõpus.

8.5.   Töötlemise turvalisus

a)

Andmeimportija ja edastamise ajal ka andmeeksportija võtab asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada isikuandmete turvalisus, sealhulgas kaitse sellise turvanõuete rikkumise eest, mis põhjustab andmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise, loata avalikustamise või neile loata juurdepääsu (edaspidi „isikuandmetega seotud rikkumine“). Vajaliku turvalisuse taseme hindamisel võtavad nad nõuetekohaselt arvesse tehnika taset, rakendamise kulusid, töötlemise laadi, ulatust, konteksti ja eesmärki (eesmärke) ning töötlemisega andmesubjektile kaasnevaid ohte. Pooled kaaluvad eelkõige krüpteerimist või pseudonüümimist, kui töötlemise eesmärki saab sel viisil täita.

b)

Pooled on leppinud kokku II lisas sätestatud tehniliste ja korralduslike meetmete kogumi. Andmeimportija teeb korrapäraseid kontrolle, kindlustamaks et nende meetmetega tagatakse jätkuvalt vajalik turvalisuse tase.

c)

Andmeimportija tagab, et isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane seadusjärgne konfidentsiaalsuskohustus.

d)

Kui nende isikuandmete puhul, mida andmeimportija käesolevate tingimuste alusel töötleb, ilmneb isikuandmetega seotud rikkumine, võtab andmeimportija asjakohaseid meetmeid selle isikuandmetega seotud rikkumise lahendamiseks, sealhulgas meetmeid selle võimaliku kahjuliku mõju leevendamiseks.

e)

Kui isikuandmetega seotud rikkumine kujutab endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele, teavitab andmeimportija põhjendamatu viivituseta andmeeksportijat ja vastavalt 13. tingimusele ka pädevat järelevalveasutust. Selline teade sisaldab i) rikkumise laadi kirjeldust (sealhulgas võimaluse korral asjaomaste andmesubjektide kategooriad ja ligikaudne arv ning isikuandmete asjaomaste kirjete liigid ja ligikaudne arv), ii) selle tõenäolisi tagajärgi, iii) rikkumise lahendamiseks võetud või kavandatud meetmeid ja iv) lisateavet andva kontaktpunkti andmeid. Kui andmeimportijal ei ole võimalik kogu teavet korraga esitada, võib ta teabe esitada järk-järgult ilma põhjendamatu viivituseta.

f)

Kui isikuandmetega seotud rikkumine kujutab endast tõenäoliselt suurt ohtu füüsiliste isikute õigustele ja vabadustele, teavitab andmeimportija põhjendamatu viivituseta ka asjaomaseid andmesubjekte isikuandmetega seotud rikkumisest ja selle laadist, vajaduse korral koostöös andmeeksportijaga, koos punkti e alapunktides ii–iv osutatud teabega, välja arvatud juhul, kui andmeimportija on võtnud meetmeid, et märkimisväärselt vähendada ohtu füüsiliste isikute õigustele või vabadustele või kui teatamine nõuaks ebaproportsionaalseid jõupingutusi. Viimasel juhul avaldab andmeimportija selle asemel avaliku teadaande või võtab muu sarnase meetme, millega teavitab üldsust isikuandmetega seotud rikkumisest.

g)

Andmeimportija dokumenteerib kõik asjaomased isikuandmetega seotud rikkumist puudutavad asjaolud, sealhulgas selle mõju ja mis tahes võetud parandusmeetmed, ning peab nende kohta registrit.

8.6.   Tundlikud andmed

Kui edastamine hõlmab isikuandmeid, mis paljastavad rassilise või etnilise päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumise, või geneetilisi andmeid või füüsilise isiku kordumatuks tuvastamiseks kasutatavaid biomeetrilisi andmeid, terviseandmeid või andmeid inimese seksuaalelu ja seksuaalse sättumuse kohta või süüdimõistvate kohtuotsuste ja süütegudega seotud andmeid (edaspidi „tundlikud andmed“), kohaldab andmeimportija eripiiranguid ja/või täiendavaid kaitsemeetmeid, mis on kohandatud andmete ja seonduvate ohtude konkreetsele laadile. See võib hõlmata isikuandmetele juurdepääsu saavate töötajate arvu piiramist, täiendavaid turvameetmeid (nagu pseudonüümimine) ja/või lisapiiranguid edasisel avalikustamisel.

8.7.   Edasisaatmine

Andmeimportija ei avalikusta isikuandmeid väljaspool Euroopa Liitu asuvale kolmandale isikule (3) (andmeimportijaga samas riigis või mõnes muus kolmandas riigis, edaspidi „edasisaatmine“), välja arvatud juhul, kui see kolmas isik on seotud või nõustub end siduma asjakohase mooduli kohaste tingimustega. Muul juhul võib andmeimportija saata andmeid edasi üksnes juhul, kui:

i)

need edastatakse riiki, mille kohta kehtib määruse (EL) 2016/679 artikli 45 kohane kaitse piisavuse otsus, mis hõlmab edasisaatmist;

ii)

kolmas isik tagab kõnealuse töötlemise puhul määruse (EL) 2016/679 artiklitele 46 või 47 vastavad asjakohased kaitsemeetmed muul viisil;

iii)

kolmas isik sõlmib andmeimportijaga siduva leppe, millega tagatakse käesolevate tingimustega samaväärne andmekaitsetase, ning andmeimportija esitab andmeeksportijale neid kaitsemeetmeid käsitleva dokumendi koopia;

iv)

see on vajalik teatavates haldus-, regulatiiv- või kohtumenetlustes õigusnõuete koostamiseks, esitamiseks või kaitsmiseks;

v)

see on vajalik andmesubjekti või mõne muu füüsilise isiku eluliste huvide kaitsmiseks või

vi)

kui neist ükski muu tingimus ei ole täidetud – andmeimportija on konkreetses olukorras andmete edasisaatmiseks saanud andmesubjektilt sõnaselge nõusoleku, pärast tema teavitamist edasisaatmise eesmärgist (eesmärkidest), vastuvõtja isikust ning sellise edastamise võimalikest ohtudest, mida talle põhjustab asjakohaste andmekaitsemeetmete puudumine. Sel juhul teavitab andmeimportija andmeeksportijat ning viimase taotlusel esitab talle koopia andmesubjektile esitatud teabest.

Mis tahes edasisaatmisel järgib andmeimportija kõiki käesolevate tingimuste kohaseid turvameetmeid, eelkõige eesmärgikohasust.

8.8.   Töötlemine andmeimportija volituste alusel

Andmeimportija tagab, et tema volituste alusel tegutsev mis tahes isik, sealhulgas volitatud töötleja, töötleb andmeid üksnes tema antud juhiste alusel.

8.9.   Dokumendid ja nõuetele vastavus

a)

Iga pool suudab tõendada käesolevatest tingimustest tulenevate kohustuste täitmist. Eelkõige peab andmeimportija säilitama asjakohaseid dokumente oma vastutusalas tehtud töötlemistoimingute kohta.

b)

Andmeimportija teeb sellised dokumendid vastava taotluse korral pädevale järelevalveasutusele kättesaadavaks.

TEINE MOODUL: edastamine vastutavalt töötlejalt volitatud töötlejale

8.1.   Juhised

a)

Andmeimportija töötleb isikuandmeid üksnes andmeeksportija dokumenteeritud juhiste alusel. Andmeeksportija võib selliseid juhiseid anda kogu lepingu kehtivuse aja jooksul.

b)

Andmeimportija teavitab andmeeksportijat viivitamata, kui ta ei saa neid juhiseid järgida.

8.2.   Eesmärgikohasus

Andmeimportija töötleb isikuandmeid üksnes konkreetse(te)l edastamiseesmärgil (-eesmärkidel), nagu on osutatud I.B lisas, välja arvatud juhul, kui andmeeksportija on andnud lisajuhiseid.

8.3.   Läbipaistvus

Taotluse korral teeb andmeeksportija käesolevate tingimuste, sealhulgas poolte täidetud liite koopia andmesubjektile tasuta kättesaadavaks. Ulatuses, milles see on vajalik ärisaladuse või muu konfidentsiaalse teabe, sealhulgas II lisas kirjeldatud meetmete ja isikuandmete kaitsmiseks, võib andmeeksportija käesolevate tingimuste liite tekstiosi enne koopia jagamist redigeerida, kuid siis tuleb tal juhul, kui andmesubjekt ei saaks muidu sisust aru ja/või oma õigusi kasutada, esitada sisukas kokkuvõtte. Taotluse korral esitavad pooled andmesubjektile redigeerimise põhjendused, niivõrd kui see on redigeeritud teavet avaldamata võimalik. See tingimus ei piira määruse (EL) 2016/679 artikli 13 ja 14 kohaseid andmeeksportija kohustusi.

8.4.   Täpsus

Kui andmeimportija saab teada, et laekunud isikuandmed on ebatäpsed või aegunud, teavitab ta sellest andmeeksportijat põhjendamatu viivituseta. Sel juhul teeb andmeimportija andmete kustutamiseks või parandamiseks koostööd andmeeksportijaga.

8.5.   Töötlemise kestus ja andmete kustutamine või tagastamine

Andmeimportija töötleb andmeid üksnes I.B lisas osutatud aja jooksul. Pärast töötlemisteenuste osutamise lõpetamist kustutab andmeimportija andmeeksportija valikul kas kõik andmeeksportija nimel töödeldud isikuandmed ja esitab andmeeksportijale kustutamise kohta tunnistuse või tagastab andmeeksportijale kõik tema nimel töödeldud isikuandmed ja kustutab olemasolevad koopiad. Andmeimportija jätkab nendele tingimustele vastavuse tagamist seni, kuni andmed kustutatakse või tagastatakse. Kui andmeimportija suhtes kohaldatavate kohalike seadustega keelatakse isikuandmete tagastamine või kustutamine, garanteerib andmeimportija, et ta jätkab nendele tingimustele vastavuse tagamist ning töötleb andmeid üksnes sellise kohaliku õigusega nõutavas ulatuses ja ajavahemikus. See ei piira 14. tingimuse, eelkõige andmeimportija kohta kehtiva 14. tingimuse punkti e nõuet teavitada andmeeksportijat viivitamata lepingu kogu kestuse ajal, kui tal on põhjust arvata, et tema suhtes kohaldatakse või on hakatud kohaldama seadusi või tavasid, mis ei ole kooskõlas 14. tingimuse punkti a nõuetega.

8.6.   Töötlemise turvalisus

a)

Andmeimportija ja edastamise ajal ka andmeeksportija võtab asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada andmete turvalisus, sealhulgas kaitse sellise turvanõuete rikkumise eest, mis põhjustab andmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise, loata avalikustamise või neile loata juurdepääsu (edaspidi „isikuandmetega seotud rikkumine“). Vajaliku turvalisuse taseme hindamisel võtavad pooled nõuetekohaselt arvesse praegust tehnika taset, rakendamise kulusid, töötlemise laadi, ulatust, konteksti ja eesmärki (eesmärke) ning töötlemisega andmesubjektidele kaasnevaid ohte. Pooled kaaluvad eelkõige krüpteerimist või pseudonüümimist, kui töötlemise eesmärki saab sel viisil täita. Pseudonüümimisel jääb isikuandmeid konkreetse andmesubjektiga seostada võimaldav lisateave võimaluse korral andmeeksportija ainukontrolli alla. Käesoleva lõigu kohaste kohustuse täitmiseks rakendab andmeimportija vähemalt II lisas osutatud tehnilised ja korralduslikud meetmed. Andmeimportija teeb korrapäraseid kontrolle, kindlustamaks et nende meetmetega tagatakse jätkuvalt vajalik turvalisuse tase.

b)

Andmeimportija annab oma töötajatele juurdepääsu isikuandmetele üksnes ulatuses, mis on rangelt vajalik lepingu täitmiseks, haldamiseks ja järelevalveks. See tagab, et isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane seadusjärgne konfidentsiaalsuskohustus.

c)

Kui nende isikuandmete puhul, mida andmeimportija käesolevate tingimuste alusel töötleb, ilmneb isikuandmetega seotud rikkumine, võtab andmeimportija asjakohaseid meetmeid selle rikkumise lahendamiseks, sealhulgas meetmeid selle kahjuliku mõju leevendamiseks. Pärast rikkumisest teada saamist teavitab andmeimportija põhjendamatu viivituseta ka andmeeksportijat. Selline teade sisaldab lisateavet andva kontaktpunkti andmeid, rikkumise laadi kirjeldust (sealhulgas võimaluse korral asjaomaste andmesubjektide kategooriad ja ligikaudne arv ning isikuandmete asjaomaste kirjete liigid ja ligikaudne arv), selle tõenäolisi tagajärgi, rikkumise lahendamiseks võetud või võtmiseks kavandatud meetmeid ja asjakohasel juhul meetmeid selle võimaliku kahjuliku mõju leevendamiseks. Juhul ja niivõrd, kui kogu teavet ei ole võimalik esitada korraga, sisaldab esialgne teade sel ajal kättesaadavat teavet ning täiendav teave esitatakse pärast selle saamist ja põhjendamatu viivituseta.

d)

Andmeimportija teeb andmeeksportijaga koostööd ja abistab teda, et võimaldada andmeeksportijal täita talle määrusest (EL) 2016/679 tulenevaid kohustusi, eelkõige teavitada pädevat järelevalveasutust ja mõjutatud andmesubjekte, võttes arvesse töötlemise laadi ja andmeimportijale kättesaadavat teavet.

8.7.   Tundlikud andmed

Kui edastamine hõlmab isikuandmeid, mis paljastavad rassilise või etnilise päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumise, või geneetilisi andmeid, füüsilise isiku kordumatuks tuvastamiseks kasutatavaid biomeetrilisi andmeid, terviseandmeid või andmeid inimese seksuaalelu ja seksuaalse sättumuse kohta või süüdimõistvate kohtuotsuste ja süütegudega seotud andmeid (edaspidi „tundlikud andmed“), kohaldab andmeimportija I.B lisas kirjeldatud eripiiranguid ja/või täiendavaid kaitsemeetmeid.

8.8.   Edasisaatmine

Andmeimportija avalikustab isikuandmeid kolmandale isikule üksnes andmeeksportija dokumenteeritud juhiste alusel. Lisaks võib isikuandmeid avalikustada väljaspool Euroopa Liitu asuvale kolmandale isikule (4) (andmeimportijaga samas riigis või mõnes muus kolmandas riigis, edaspidi „edasisaatmine“), kui see kolmas isik on seotud või nõustub end siduma asjakohase mooduli kohaste tingimustega või kui

i)

need saadetakse edasi riiki, mille kohta kehtib määruse (EL) 2016/679 artikli 45 kohane kaitse piisavuse otsus, mis hõlmab edasisaatmist;

ii)

kolmas isik tagab kõnealuse töötlemise puhul määruse (EL) 2016/679 artiklitele 46 või 47 vastavad asjakohased kaitsemeetmed muul viisil;

iii)

edasisaatmine on vajalik teatavates haldus-, regulatiiv- või kohtumenetlustes õigusnõuete koostamiseks, esitamiseks või kaitsmiseks või

iv)

edasisaatmine on vajalik andmesubjekti või mõne muu füüsilise isiku eluliste huvide kaitsmiseks.

Mis tahes edasisaatmisel järgib andmeimportija kõiki käesolevate tingimuste kohaseid turvameetmeid, eelkõige eesmärgikohasust.

8.9.   Dokumendid ja nõuetele vastavus

a)

Andmeimportija tegeleb viivitamata ja asjakohasel viisil andmeeksportija päringutega, mis on seotud käesolevate tingimuste kohase töötlemisega.

b)

Pooled peavad suutma tõendada käesolevate tingimuste täitmist. Eelkõige peab andmeimportija säilitama andmeeksportija nimel tehtud töötlemistoimingute kohta asjakohaseid dokumente.

c)

Andmeimportija teeb andmeeksportijale kättesaadavaks kogu teabe, mis on vajalik, et tõendada käesolevates tingimustes sätestatud kohustuste täitmist, ning andmeeksportija taotlusel võimaldab ta mõistlike ajavahemike järel või tingimustele mittevastavusele osutavate asjaolude ilmnemisel teha käesolevate tingimustega hõlmatud töötlemistoimingute auditeid ja aitab nende tegemisele kaasa. Läbivaatamise või auditi üle otsustamisel võib andmeeksportija võtta arvesse andmeimportija olemasolevaid asjakohaseid sertifikaate.

d)

Andmeeksportija võib otsustada, et teeb auditi ise, või volitada selleks sõltumatu audiitori. Auditid võivad hõlmata kontrollkäike andmeimportija ruumidesse või füüsilistesse rajatistesse ning vajaduse korral tehakse neid mõistliku etteteatamisega.

e)

Pooled teevad punktides b ja c osutatud teabe, sealhulgas mis tahes auditite tulemused, taotluse korral pädevale järelevalveasutusele kättesaadavaks.

KOLMAS MOODUL: edastamine volitatud töötlejalt volitatud töötlejale

8.1.   Juhised

a)

Andmeeksportija on andmeimportijat teavitanud, et ta tegutseb volitatud töötlejana vastavalt oma vastutava(te) töötleja(te) juhistele, mille andmeeksportija teeb volitatud töötlejale enne töötlemist kättesaadavaks.

b)

Andmeimportija töötleb isikuandmeid üksnes vastutava töötleja juhiste alusel, mille andmeeksportija on andmeimportijale teatavaks teinud, ning andmeeksportijalt saadud mis tahes dokumenteeritud lisajuhiste alusel. Sellised lisajuhised ei tohi olla vastuolus vastutava töötleja juhistega. Vastutav töötleja või andmeeksportija võib kogu lepingu kestel esitada andmetöötluse kohta täiendavaid dokumenteeritud juhiseid.

c)

Andmeimportija teavitab andmeeksportijat viivitamata, kui ta ei saa neid juhiseid järgida. Kui andmeimportija ei ole võimeline järgima vastutava töötleja juhiseid, teavitab andmeeksportija viivitamata vastutavat töötlejat.

d)

Andmeeksportija garanteerib, et ta on kehtestanud andmeimportijale samad andmekaitsekohustused, mis on vastutava töötleja ja andmeeksportija vahel sätestatud lepinguga või muu liidu või liikmesriigi õiguse kohase õigusaktiga (5).

8.2.   Eesmärgikohasus

Andmeimportija töötleb isikuandmeid üksnes teatava(te)l edastamiseesmärgil (-eesmärkidel), nagu osutatud I.B lisas, välja arvatud juhul, kui vastutav töötleja on andnud täiendavaid juhiseid, mille andmeeksportija on edastanud andmeimportijale, või kui andmeeksportija on andnud täiendavaid juhiseid.

8.3.   Läbipaistvus

Taotluse korral teeb andmeeksportija käesolevate tingimuste, sealhulgas poolte täidetud liite koopia andmesubjektile tasuta kättesaadavaks. Ulatuses, milles see on vajalik ärisaladuse või muu konfidentsiaalse teabe, sealhulgas isikuandmete kaitsmiseks, võib andmeeksportija käesolevate tingimuste liite tekstiosi enne koopia jagamist redigeerida, kuid siis tuleb tal juhul, kui andmesubjekt ei saaks muidu sisust aru ja/või oma õigusi kasutada, esitada sisukas kokkuvõtte. Taotluse korral esitavad pooled andmesubjektile redigeerimise põhjendused, niivõrd kui see on redigeeritud teavet avaldamata võimalik.

8.4.   Täpsus

Kui andmeimportija saab teada, et laekunud isikuandmed on ebatäpsed või aegunud, teavitab ta sellest andmeeksportijat põhjendamatu viivituseta. Sel juhul teeb andmeimportija andmete parandamiseks või kustutamiseks koostööd andmeeksportijaga.

8.5.   Töötlemise kestus ja andmete kustutamine või tagastamine

Andmeimportija töötleb andmeid üksnes I.B lisas osutatud aja jooksul. Pärast töötlemisteenuste osutamise lõpetamist kustutab andmeimportija andmeeksportija valikul kas kõik vastutava töötleja nimel töödeldud isikuandmed ja esitab andmeeksportijale kustutamise kohta tunnistuse või tagastab andmeeksportijale kõik tema nimel töödeldud isikuandmed ja kustutab olemasolevad koopiad. Andmeimportija jätkab nendele tingimustele vastavuse tagamist seni, kuni andmed kustutatakse või tagastatakse. Kui andmeimportija suhtes kohaldatavate kohalike seadustega keelatakse isikuandmete tagastamine või kustutamine, garanteerib andmeimportija, et ta jätkab nendele tingimustele vastavuse tagamist ning töötleb andmeid üksnes sellise kohaliku õigusega nõutavas ulatuses ja ajavahemikus. See ei piira 14. tingimuse, eelkõige andmeimportija kohta kehtiva 14. tingimuse punkti e nõuet teavitada andmeeksportijat viivitamata lepingu kogu kestuse ajal, kui tal on põhjust arvata, et tema suhtes kohaldatakse või on hakatud kohaldama seadusi või tavasid, mis ei ole kooskõlas 14. tingimuse punkti a nõuetega.

8.6.   Töötlemise turvalisus

a)

Andmeimportija ja edastamise ajal ka andmeeksportija võtab asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada andmete turvalisus, sealhulgas kaitse sellise turvanõuete rikkumise eest, mis põhjustab andmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise, loata avalikustamise või neile loata juurdepääsu (edaspidi „isikuandmetega seotud rikkumine“). Vajaliku turvalisuse taseme hindamisel võtavad nad nõuetekohaselt arvesse tehnika taset, rakendamise kulusid, töötlemise laadi, ulatust, konteksti ja eesmärki (eesmärke) ning töötlemisega andmesubjektile kaasnevaid ohte. Pooled kaaluvad eelkõige krüpteerimist või pseudonüümimist, kui töötlemise eesmärki saab sel viisil täita. Pseudonüümimisel jääb isikuandmeid konkreetse andmesubjektiga seostada võimaldav lisateave võimaluse korral andmeeksportija või vastutava töötleja ainukontrolli alla. Käesoleva lõigu kohaste kohustuse täitmiseks rakendab andmeimportija vähemalt II lisas osutatud tehnilised ja korralduslikud meetmed. Andmeimportija teeb korrapäraseid kontrolle, kindlustamaks et nende meetmetega tagatakse jätkuvalt vajalik turvalisuse tase.

b)

Andmeimportija annab oma töötajatele juurdepääsu andmetele üksnes ulatuses, mis on rangelt vajalik lepingu täitmiseks, haldamiseks ja järelevalveks. See tagab, et isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane seadusjärgne konfidentsiaalsuskohustus.

c)

Kui nende isikuandmete puhul, mida andmeimportija käesolevate tingimuste alusel töötleb, ilmneb isikuandmetega seotud rikkumine, võtab andmeimportija asjakohaseid meetmeid selle rikkumise lahendamiseks, sealhulgas meetmeid selle kahjuliku mõju leevendamiseks. Pärast sellisest rikkumisest teadasaamist teavitab andmeimportija põhjendamatu viivituseta ka andmeeksportijat, ning kui see on asjakohane ja teostatav, vastutavat töötlejat. Selline teade sisaldab lisateavet andva kontaktpunkti andmeid, rikkumise laadi kirjeldust (sealhulgas võimaluse korral asjaomaste andmesubjektide kategooriad ja ligikaudne arv ning isikuandmete asjaomaste kirjete liigid ja ligikaudne arv), selle tõenäolisi tagajärgi, andmetega seotud rikkumise lahendamiseks võetud või võtmiseks kavandatud meetmeid, sealhulgas meetmeid selle võimaliku kahjuliku mõju leevendamiseks. Juhul ja niivõrd, kui kogu teavet ei ole võimalik esitada korraga, sisaldab esialgne teade sel ajal kättesaadavat teavet ning täiendav teave esitatakse pärast selle saamist ja põhjendamatu viivituseta.

d)

Andmeimportija teeb andmeeksportijaga koostööd ja abistab teda, et võimaldada andmeeksportijal täita talle määrusest (EL) 2016/679 tulenevaid kohustusi, eelkõige teavitada oma vastutavat töötlejat, et see saaks omakorda teavitada pädevat järelevalveasutust ja mõjutatud andmesubjekte, võttes arvesse töötlemise laadi ja andmeimportijale saadaolevat teavet.

8.7.   Tundlikud andmed

Kui edastamine hõlmab isikuandmeid, mis paljastavad rassilise või etnilise päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumise, või geneetilisi andmeid, füüsilise isiku kordumatuks tuvastamiseks kasutatavaid biomeetrilisi andmeid, terviseandmeid või andmeid inimese seksuaalelu ja seksuaalse sättumuse kohta või süüdimõistvate kohtuotsuste ja süütegudega seotud andmeid (edaspidi „tundlikud andmed“), kohaldab andmeimportija I.B lisas sätestatud eripiiranguid ja/või täiendavaid kaitsemeetmeid.

8.8.   Edasisaatmine

Andmeimportija avalikustab isikuandmeid kolmandale isikule üksnes vastutava töötleja dokumenteeritud juhiste alusel, mille andmeeksportija on andmeimportijale andnud. Lisaks võib isikuandmeid avalikustada väljaspool Euroopa Liitu asuvale kolmandale isikule (6) (andmeimportijaga samas riigis või mõnes muus kolmandas riigis, edaspidi „edasisaatmine“), kui see kolmas isik on seotud või nõustub end siduma asjakohase mooduli kohaste tingimustega või kui

i)

need saadetakse edasi riiki, mille kohta kehtib määruse (EL) 2016/679 artikli 45 kohane kaitse piisavuse otsus, mis hõlmab edasisaatmist;

ii)

kolmas isik tagab määruse (EL) 2016/679 artiklitele 46 või 47 vastavad asjakohased kaitsemeetmed muul viisil;

iii)

edasisaatmine on vajalik teatavates haldus-, regulatiiv- või kohtumenetlustes õigusnõuete koostamiseks, esitamiseks või kaitsmiseks või

iv)

edasisaatmine on vajalik andmesubjekti või mõne muu füüsilise isiku eluliste huvide kaitsmiseks.

Mis tahes edasisaatmisel järgib andmeimportija kõiki käesolevate tingimuste kohaseid turvameetmeid, eelkõige eesmärgikohasust.

8.9.   Dokumendid ja nõuetele vastavus

a)

Andmeimportija tegeleb viivitamata ja asjakohasel viisil andmeeksportija või vastutava töötleja päringutega, mis on seotud käesolevate tingimuste kohase töötlemisega.

b)

Pooled peavad suutma tõendada käesolevate tingimuste täitmist. Eelkõige peab andmeimportija säilitama vastutava töötleja nimel tehtava töötlemistoimingute kohta asjakohaseid dokumente.

c)

Andmeimportija teeb andmeeksportijale kättesaadavaks kogu teabe, mis on vajalik, et tõendada käesolevates tingimustes sätestatud kohustuste täitmist, ning andmeeksportija esitab selle vastutavale töötlejale.

d)

Andmeimportija võimaldab andmeeksportijal mõistlike ajavahemike järel või tingimustele mittevastavusele osutavate asjaolude ilmnemisel teha käesolevate tingimuste alla kuuluvate töötlemistoimingute auditeid ja aitab nende tegemisele kaasa. Sama kehtib siis, kui andmeeksportija taotleb vastutava töötleja juhiste kohaselt auditit. Auditi üle otsustamisel võib andmeeksportija võtta arvesse andmeimportija olemasolevaid asjakohaseid sertifikaate.

e)

Kui audit tehakse vastutava töötleja juhiste kohaselt, teeb andmeeksportija tulemused vastutavale töötlejale kättesaadavaks.

f)

Andmeeksportija võib otsustada, et teeb auditi ise, või volitada selleks sõltumatu audiitori. Auditid võivad hõlmata kontrollkäike andmeimportija ruumidesse või füüsilistesse rajatistesse ning vajaduse korral tehakse neid mõistliku etteteatamisega.

g)

Pooled teevad punktides b ja c osutatud teabe, sealhulgas mis tahes auditite tulemused, taotluse korral pädevale järelevalveasutusele kättesaadavaks.

NELJAS MOODUL: edastamine volitatud töötlejalt vastutavale töötlejale

8.1.   Juhised

a)

Andmeeksportija töötleb isikuandmeid üksnes tema vastutava töötlejana tegutseva andmeimportija antud dokumenteeritud juhiste alusel.

b)

Andmeeksportija teavitab andmeimportijat viivitamata, kui ta ei ole võimeline neid juhiseid järgima, sealhulgas juhul, kui need juhised lähevad vastuollu määrusega (EL) 2016/679 või muude liidu või liikmesriigi andmekaitsealaste õigusaktidega.

c)

Andmeimportija hoidub mis tahes toimingust, mis takistaks andmeeksportijal täitmast määruse (EL) 2016/679 kohaseid kohustusi, sealhulgas alamtöötlemise puhul või pädevate järelevalveasutustega tehtava koostöö asjus.

d)

Pärast töötlemisteenuste osutamise lõpetamist kustutab andmeeksportija andmeimportija valikul kas kõik andmeimportija nimel töödeldud isikuandmed ja esitab andmeimportijale kustutamise kohta tunnistuse või tagastab andmeimportijale kõik tema nimel töödeldud isikuandmed ja kustutab olemasolevad koopiad.

8.2.   Töötlemise turvalisus

a)

Pooled võtavad asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada andmete turvalisus ka edastamise ajal, ning kaitse sellise turvanõuete rikkumise eest, mis põhjustab andmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise, loata avalikustamise või neile loata juurdepääsu (edaspidi „isikuandmetega seotud rikkumine“). Vajaliku turvalisuse taseme hindamisel võtavad nad nõuetekohaselt arvesse tehnika taset, rakenduskulusid, isikuandmete laadi, (7) töötlemise laadi, ulatust, konteksti ja eesmärki (eesmärke) ning töötlemisega andmesubjektidele kaasnevaid ohte, ja eelkõige kaaluvad krüpteerimist või pseudonüümimist, sealhulgas edastamise ajal, kui töötlemise eesmärki saab sel viisil täita.

b)

Andmeeksportija aitab andmeimportijal tagada andmete asjakohase turvalisuse kooskõlas punktiga a. Kui nende isikuandmete puhul, mida andmeeksportija käesolevate tingimuste alusel töötleb, ilmneb isikuandmetega seotud rikkumine, teavitab andmeeksportija sellest teada saades viivitamata andmeimportijat ning aitab andmeimportijal rikkumist lahendada.

c)

Andmeeksportija tagab, et isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane seadusjärgne konfidentsiaalsuskohustus.

8.3.   Dokumendid ja nõuetele vastavus

a)

Pooled peavad suutma tõendada käesolevate tingimuste täitmist.

b)

Andmeeksportija teeb andmeimportijale kättesaadavaks kogu teabe, mis on vajalik, et tõendada käesolevate tingimuste kohaste kohustuste täitmist, ning võimaldab teha auditeid ja aitab nende tegemisele kaasa.

9. tingimus

Alamtöötlejate kasutamine

TEINE MOODUL: edastamine vastutavalt töötlejalt volitatud töötlejale

a)

1. VARIANT: EELNEV ERILUBA – andmeimportija ei kasuta käesolevate tingimuste kohaste töötlemistoimingute andmeeksportija nimel tegemiseks alltöövõttu alamtöötlejat, kui andmeeksportija ei ole eelnevalt andnud kirjalikku luba. Andmeimportija esitab eriloa taotluse vähemalt [märkida ajavahemik] enne alamtöötleja kaasamist koos teabega, mis on vajalik, et andmeeksportija saaks loa kohta otsuse teha. Andmeeksportijalt juba loa saanud alamtöötlejate loetelu on esitatud III lisas. Pooled hoiavad III lisa ajakohasena.

2. VARIANT: ÜLDINE KIRJALIK LUBA – andmeimportijal on andmeeksportija üldine luba kaasata kokkulepitud loendisse kuuluv(ad) alamtöötleja(d). Andmeimportija teavitab andmeeksportijat eraldi kirjalikult selle loetelu mis tahes kavandatud muudatustest, st alamtöötlejate lisamisest või asendamisest vähemalt [märkida ajavahemik] ette, andes andmeeksportijale enne alamtöötleja(te) kaasamist seega piisavalt aega esitada sellistele muudatustele vastuväiteid. Andmeimportija annab andmeeksportijale teavet, mis on vajalik, et võimaldada andmeeksportijal kasutada õigust esitada vastuväiteid.

b)

Kui andmeimportija kaasab teatavate töötlemistoimingute tegemiseks (andmeeksportija nimel) alamtöötleja, teeb ta seda kirjaliku lepinguga, milles nähakse ette sisuliselt samad andmekaitsekohustused kui need, mis on andmeimportijale käesolevate tingimuste kohaselt siduvad, sealhulgas seoses andmesubjektide kui soodustatud kolmandate isikute õigustega (8). Pooled nõustuvad, et käesoleva tingimuse järgimisega täidab andmeimportija punkti 8.8 kohased kohustused. Andmeimportija tagab, et alamtöötleja täidab käesolevate tingimustega andmeimportijale kehtestatud kohustused.

c)

Andmeimportija esitab andmeeksportija taotlusel andmeeksportijale alamtöötlejaga sõlmitud lepingu koopia ja selle mis tahes edasised muudatused. Ulatuses, milles see on vajalik ärisaladuse või muu konfidentsiaalse teabe, sealhulgas isikuandmete kaitsmiseks, võib andmeimportija lepingu teksti enne koopia jagamist redigeerida.

d)

Andmeimportija jääb andmeeksportija ees täielikult vastutavaks andmeimportija ja alamtöötleja lepingu kohaste alamtöötleja kohustuste täitmise eest. Andmeimportija teavitab andmeeksportijat alamtöötleja mis tahes suutmatusest täita selle lepingu kohaseid kohustusi.

e)

Andmeimportija lepib alamtöötlejaga kokku soodustatud kolmanda isiku tingimuses, mille kohaselt on andmeeksportijal juhul, kui andmeimportija on teadaolevalt kadunud, oma seadusjärgse tegevuse lõpetanud või maksejõuetuks muutunud, õigus alamtöötleja leping lõpetada ning anda alamtöötlejale korraldus isikuandmed kustutada või tagastada.

KOLMAS MOODUL: edastamine volitatud töötlejalt volitatud töötlejale

a)

1. VARIANT: EELNEV ERILUBA – andmeimportija ei kasuta käesolevate tingimuste kohaste töötlemistoimingute andmeeksportija nimel tegemiseks alltöövõttu alamtöötlejat, kui vastutav töötleja ei ole eelnevalt andnud kirjalikku luba. Andmeimportija esitab eriloa saamiseks taotluse vähemalt [märkida ajavahemik] enne alamtöötleja kaasamist koos teabega, mis on vajalik, et vastutav töötleja saaks loa üle otsustada. Ta teavitab sellest kaasamisest andmeeksportijat. Vastutavalt töötlejalt juba loa saanud alamtöötlejate loetelu on esitatud III lisas. Pooled hoiavad III lisa ajakohasena.

2. VARIANT: ÜLDINE KIRJALIK LUBA – andmeimportijal on vastutava töötleja üldine luba kaasata kokkulepitud loendisse kuuluv(ad) alamtöötleja(d). Andmeimportija teavitab vastutavat töötlejat eraldi kirjalikult selle loetelu mis tahes kavandatud muudatustest, st alamtöötlejate lisamisest või asendamisest vähemalt [märkida ajavahemik] ette, andes vastutavale töötlejale enne alamtöötleja(te) kaasamist seega piisavalt aega esitada sellistele muudatustele vastuväiteid. Andmeimportija annab vastutavale töötlejale teavet, mis on vajalik, et võimaldada vastutaval töötlejal kasutada õigust esitada vastuväiteid. Andmeimportija teavitab alamtöötleja(te) kaasamisest andmeeksportijat.

b)

Kui andmeimportija kaasab teatavate töötlemistoimingute tegemiseks (vastutava töötleja nimel) alamtöötleja, teeb ta seda kirjaliku lepinguga, milles nähakse sisuliselt ette samad andmekaitsekohustused kui need, mis on andmeimportijale käesolevate tingimuste kohaselt siduvad, sealhulgas seoses andmesubjektide kui soodustatud kolmandate isikute õigustega (9). Pooled nõustuvad, et käesoleva tingimuse järgimisega täidab andmeimportija punkti 8.8 kohased kohustused. Andmeimportija tagab, et alamtöötleja täidab käesolevate tingimustega andmeimportijale kehtestatud kohustused.

c)

Andmeimportija esitab andmeeksportija või vastutava töötleja taotlusel alamtöötlejaga sõlmitud kõnealuse lepingu ja selle mis tahes edasised muudatused. Ulatuses, milles see on vajalik ärisaladuse või muu konfidentsiaalse teabe, sealhulgas isikuandmete kaitsmiseks, võib andmeimportija lepingu teksti enne koopia jagamist redigeerida.

d)

Andmeimportija jääb andmeeksportija ees täielikult vastutavaks andmeimportija ja alamtöötleja lepingu kohaste alamtöötleja kohustuste täitmise eest. Andmeimportija teavitab andmeeksportijat alamtöötleja mis tahes suutmatusest täita selle lepingu kohaseid kohustusi.

e)

Andmeimportija lepib alamtöötlejaga kokku soodustatud kolmanda isiku tingimuses, mille kohaselt on andmeeksportijal juhul, kui andmeimportija on teadaolevalt kadunud, oma seadusjärgse tegevuse lõpetanud või maksejõuetuks muutunud, õigus alamtöötleja leping lõpetada ning anda alamtöötlejale korraldus isikuandmed kustutada või tagastada.

10. tingimus

Andmesubjektide õigused

ESIMENE MOODUL: edastamine vastutavalt töötlejalt vastutavale töötlejale

a)

Andmeimportija tegeleb – asjakohasel juhul andmeeksportija abiga – mis tahes päringute ja taotlustega, mis talle andmesubjektilt saabuvad seoses andmesubjekti isikuandmete töötlemisega ja käesolevate tingimuste kohaste õiguste kasutamisega, viivitamata ja hiljemalt ühe kuu jooksul alates sellise päringu või taotluse saamisest (10). Andmeimportija võtab asjakohaseid meetmeid selliste päringute, taotluste ja andmesubjekti õiguste kasutamise hõlbustamiseks. Kogu andmesubjektile antav teave esitatakse arusaadavas ja kergesti juurdepääsetavas vormis ning selges ja lihtsas sõnastuses.

b)

Eelkõige teeb andmeimportija andmesubjekti taotlusel tasuta järgmist:

i)

annab andmesubjektile teavet selle kohta, kas tema isikuandmeid töödeldakse, ja kui see on nii, siis esitab temaga seotud andmete ning I lisas nimetatud teabe koopia; kui isikuandmeid on edasi saadetud või kavatsetakse edasi saata, annab teavet vastuvõtja või vastuvõtjate kategooriate kohta (olenevalt sellest, mis on sisulise teabe andmiseks asjakohane), kellele isikuandmeid on edasi saadetud või kavatsetakse edasi saata, selliste edasisaatmiste eesmärgi ja aluse kohta vastavalt punktile 8.7; ning annab teavet õiguse kohta esitada järelevalveasutusele 12. tingimuse punkti c alapunkti i kohaselt kaebus;

ii)

parandab andmesubjekti puudutavad ebatäpsed või ebatäielikud andmed;

iii)

kustutab andmesubjekti puudutavad andmed, kui neid andmeid töödeldi vastuolus mõne sellise käesoleva tingimusega, millega tagatakse soodustatud kolmandate isikute õigused, või kui andmesubjekt võtab tagasi töötlemise aluseks olnud nõusoleku.

c)

Kui andmeimportija töötleb isikuandmeid otseturunduse eesmärkidel, lõpetab ta neil eesmärkidel töötlemise, kui andmesubjekt esitab selle suhtes vastuväite.

d)

Andmeimportija ei tee otsust üksnes edastatud isikuandmete automaatse töötlemise põhjal (edaspidi „automaatne otsus“), mis põhjustaks andmesubjektile õiguslikke tagajärgi või mõjutaks teda sarnasel viisil märkimisväärselt, välja arvatud juhul, kui selleks on andmesubjekti sõnaselge nõusolek või kui selline teguviis on sihtriigi seadustega lubatud, tingimusel et selliste seadustega on sätestatud sobivad meetmed andmesubjekti õiguste ning õigustatud huvide kaitsmiseks. Sel juhul teeb andmeimportija vajaduse korral koostöös andmeeksportijaga järgmist:

i)

teavitab andmesubjekti kavandatavast automatiseeritud otsusest, ettenähtavatest tagajärgedest ja seonduvast arutluskäigust ning

ii)

rakendab sobivaid kaitsemeetmeid, vähemalt võimaldades andmesubjektil vaidlustada otsus, väljendada selle kohta oma arvamust ja lasta see inimesel läbi vaadata.

e)

Kui andmesubjekti taotlused on ülemäärased, eelkõige oma korduva iseloomu tõttu, võib andmeimportija nõuda taotluse rahuldamise halduskulusid arvesse võttes mõistlikku tasu või keelduda taotlust menetlemast.

f)

Andmeimportija võib keelduda andmesubjekti taotlusest, kui sihtriigi õiguses on selline keeldumine lubatud ning see on demokraatlikus ühiskonnas vajalik ja proportsionaalne mõne määruse (EL) 2016/679 artikli 23 lõikes 1 loetletud eesmärgi kaitsmiseks.

g)

Kui andmeimportija kavatseb andmesubjekti taotlusest keelduda, teavitab ta andmesubjekti keeldumise põhjustest ja võimalusest esitada pädevale järelevalveasutusele kaebus ja/või pöörduda kohtusse.

TEINE MOODUL: edastamine vastutavalt töötlejalt volitatud töötlejale

a)

Andmeimportija teavitab andmeeksportijat viivitamata mis tahes taotlusest, mille ta on andmesubjektilt saanud. Ta ei vasta sellele taotlusele ise, välja arvatud juhul, kui andmeeksportija on volitanud teda seda tegema.

b)

Andmeimportija aitab andmeeksportijal täita tolle kohustusi vastata andmesubjektide taotlustele kasutada määruse (EL) 2016/679 kohaseid õigusi. Sellega seoses sätestavad pooled II lisas asjakohased tehnilised ja korralduslikud meetmed, võttes arvesse, millist laadi töötlemisega abi antakse, ning ka vajaliku abi ulatust ja määra.

c)

Punktide a ja b kohaste kohustuste täitmisel järgib andmeimportija andmeeksportijalt saadud juhiseid.

KOLMAS MOODUL: edastamine volitatud töötlejalt volitatud töötlejale

a)

Andmeimportija teavitab andmeeksportijat ja asjakohasel juhul vastutavat töötlejat viivitamata mis tahes taotlusest, mille ta on andmesubjektilt saanud, vastamata sellele taotlusele, välja arvatud juhul, kui vastutav töötleja on volitanud teda seda tegema.

b)

Asjakohasel juhul aitab andmeimportija koostöös andmeeksportijaga vastutaval töötlejal täita tolle kohustust vastata andmesubjektide taotlustele kasutada vastavalt kas määruse (EL) 2016/679 või määruse (EL) 2018/1725 kohaseid õigusi. Sellega seoses sätestavad pooled II lisas asjakohased tehnilised ja korralduslikud meetmed, võttes arvesse, millist laadi töötlemisega abi antakse, ning ka vajaliku abi ulatust ja määra.

c)

Punktide a ja b kohaste kohustuste täitmisel järgib andmeimportija vastutava töötleja juhiseid, mille andmeeksportija on talle edastanud.

NELJAS MOODUL: edastamine volitatud töötlejalt vastutavale töötlejale

Pooled aitavad üksteist, kui on vaja vastata andmeimportija suhtes kohaldatava kohaliku õiguse või ELis andmeid töötleva andmeeksportija puhul määruse (EL) 2016/679 kohastele andmesubjekti päringutele ja taotlustele.

11. tingimus

Õiguskaitse

a)

Andmeimportija teeb andmesubjektidele arusaadavas ja hõlpsasti juurdepääsetavas vormis individuaalse teatisega või oma veebisaidi kaudu teatavaks kaebustega tegelemiseks volitatud kontaktpunkti. Ta võtab talle andmesubjektilt saabunud kaebused viivitamata töösse.

[VARIANT: andmeimportija nõustub, et andmesubjektid võivad kaebuse esitada ka sõltumatule vaidluste lahendamise organile (11) ning see on andmesubjektile tasuta. Ta teavitab andmesubjekte punktis a osutatud viisil sellest õiguskaitsemehhanismist ning sellest, et nad ei pea seda kasutama ega pea õiguskaitse saamiseks astuma samme kindlas järjekorras.]

ESIMENE MOODUL: edastamine vastutavalt töötlejalt vastutavale töötlejale

TEINE MOODUL: edastamine vastutavalt töötlejalt volitatud töötlejale

KOLMAS MOODUL: edastamine volitatud töötlejalt volitatud töötlejale

b)

Kui andmesubjekti ja ühe poole vahel tekib käesolevatele tingimustele vastavuse üle vaidlus, teeb see pool kõik endast oleneva, et probleem aegsasti kompromissiga lahendada. Pooled teavitavad pidevalt üksteist sellistest vaidlustest ning asjakohasel juhul teevad nende lahendamiseks koostööd.

c)

Kui andmesubjekt tugineb soodustatud kolmanda isiku õigustele vastavalt 3. tingimusele, aktsepteerib andmeimportija andmesubjekti otsust

i)

esitada kaebus oma elu- või töökohaliikmesriigi pädevale järelevalveasutusele või 13. tingimuse kohasele pädevale järelevalveasutusele;

ii)

pöörduda vaidlusega pädevatesse kohtutesse 18. tingimuse tähenduses.

d)

Pooled nõustuvad, et andmesubjekti võib vastavalt määruse (EL) 2016/679 artikli 80 lõikes 1 sätestatud tingimustele esindada mittetulunduslik asutus, organisatsioon või ühendus.

e)

Andmeimportija järgib otsust, mis on kohaldatava ELi või liikmesriigi õiguse kohaselt talle siduv.

f)

Andmeimportija nõustub, et andmesubjekti tehtud valik ei piira tema materiaal- ja menetlusõigusi kohaldatavate seaduste kohaselt kohtusse pöördumisel.

12. tingimus

Vastutus

ESIMENE MOODUL: edastamine vastutavalt töötlejalt vastutavale töötlejale

NELJAS MOODUL: edastamine volitatud töötlejalt vastutavale töötlejale

a)

Iga pool vastutab teis(t)e pool(t)e ees mis tahes kahjude eest, mida ta teis(t)ele pool(t)ele käesolevate tingimuste rikkumisega põhjustab.

b)

Iga pool vastutab andmesubjekti ees ning andmesubjektil on õigus saada hüvitist mis tahes varalise või mittevaralise kahju eest, mida pool on andmesubjektile põhjustanud käesolevate tingimuste kohaste soodustatud kolmandate isikute õiguste rikkumisega. See ei piira määruse (EL) 2016/679 artikli kohast andmeeksportija vastutust.

c)

Kui käesolevate tingimuste rikkumisega on andmesubjektile kahju põhjustanud rohkem kui üks pool, vastutavad kõik asjaomased pooled solidaarselt ning andmesubjektil on õigus pöörduda iga sellise poole vastu kohtusse.

d)

Pooled nõustuvad, et kui üks pool on punkti c kohaselt vastutav, on tal õigus nõuda teis(t)elt pool(t)elt tagasi see osa hüvitisest, mis vastab tema/nende vastutusele kahju eest.

e)

Andmeimportija ei tohi enda vastutuse vältimiseks tugineda volitatud töötleja või alamtöötleja tegevusele.

TEINE MOODUL: edastamine vastutavalt töötlejalt volitatud töötlejale

KOLMAS MOODUL: edastamine volitatud töötlejalt volitatud töötlejale

a)

Iga pool vastutab teis(t)e pool(t)e ees mis tahes kahjude eest, mida ta teis(t)ele pool(t)ele käesolevate tingimuste rikkumisega põhjustab.

b)

Andmeimportija vastutab andmesubjekti ees ning andmesubjektil on õigus saada hüvitist mis tahes varalise või mittevaralise kahju eest, mida andmeimportija või tema alamtöötleja on andmesubjektile põhjustanud käesolevate tingimuste kohaste soodustatud kolmandate isikute õiguste rikkumisega.

c)

Olenemata punktist b vastutab andmeeksportija andmesubjekti ees ning andmesubjektil on õigus saada hüvitist mis tahes varalise või mittevaralise kahju eest, mida andmeeksportija või andmeimportija (või tema alamtöötleja) on andmesubjektile põhjustanud käesolevate tingimuste kohaste soodustatud kolmandate isikute õiguste rikkumisega. See ei piira määruse (EL) 2016/679 või asjakohasel juhul määruse (EL) 2018/1725 kohast andmeeksportija vastutust, ja kui andmeeksportija on vastutava töötleja nimel tegutsev volitatud töötleja, siis selle määruse kohast vastutava töötleja vastutust.

d)

Pooled nõustuvad, et kui andmeeksportija on punkti c kohaselt vastutav andmeimportija (või tema alamtöötleja) põhjustatud kahju eest, on tal õigus nõuda andmeimportijalt tagasi see osa hüvitisest, mis vastab andmeimportija vastutusele kahju eest.

e)

Kui käesolevate tingimuste rikkumisega on andmesubjektile kahju põhjustanud rohkem kui üks pool, vastutavad kõik asjaomased pooled solidaarselt ning andmesubjektil on õigus pöörduda iga sellise poole vastu kohtusse.

f)

Pooled nõustuvad, et kui üks pool on punkti e kohaselt vastutav, on tal õigus nõuda teis(t)elt pool(t)elt tagasi see osa hüvitisest, mis vastab tema/nende vastutusele kahju eest.

g)

Andmeimportija ei tohi enda vastutuse vältimiseks tugineda alamtöötleja käitumisele.

13. tingimus

Järelevalve

ESIMENE MOODUL: edastamine vastutavalt töötlejalt vastutavale töötlejale

TEINE MOODUL: edastamine vastutavalt töötlejalt volitatud töötlejale

KOLMAS MOODUL: edastamine volitatud töötlejalt volitatud töötlejale

a)

[Kui andmeeksportija asub ELi liikmesriigis:] Järelevalveasutus, kes vastutab andmeeksportija vastavuse tagamise eest määruse (EL) 2016/679 kohaselt seoses andmete edastamisega, nagu on osutatud I.C lisas, tegutseb pädeva järelevalveasutusena.

[Kui andmeeksportija ei asu ELi liikmesriigis, kuid kuulub määruse (EL) 2016/679 artikli 3 lõike 2 kohaselt selle määruse territoriaalsesse kohaldamisalasse ja on määranud esindaja vastavalt määruse (EL) 2016/679 artikli 27 lõikele 1:] Selle liikmesriigi järelevalveasutus, kus esindaja – määruse (EL) 2016/679 artikli 27 lõike 1 tähenduses – asub, nagu on osutatud I.C lisas, tegutseb pädeva järelevalveasutusena.

[Kui andmeeksportija ei asu ELi liikmesriigis, kuid kuulub määruse (EL) 2016/679 artikli 3 lõike 2 kohaselt selle määruse territoriaalsesse kohaldamisalasse ja ei ole seejuures määranud esindajat vastavalt määruse (EL) 2016/679 artikli 27 lõikele 2:] Pädeva järelevalveasutusena tegutseb järelevalveasutus, mille asukoht on ühes liikmesriikidest, kus asuvad – nagu on osutatud I.C lisas – andmesubjektid, kelle isikuandmeid käesolevate tingimuste kohaselt neile kaupade või teenuste pakkumiseks edastatakse või kelle käitumist jälgitakse.

b)

Andmeimportija nõustub sellele pädevale järelevalveasutusele alluma ning tegema temaga koostööd mis tahes menetlustes, mille eesmärk on tagada vastavus käesolevatele tingimustele. Eelkõige nõustub andmeimportija vastama päringutele, võimaldama enda juures auditeid ning järgima järelevalveasutuse võetud meetmeid, sealhulgas parandus- ja hüvitusmeetmeid. Ta esitab järelevalveasutusele kirjaliku kinnituse, et vajalikud meetmed on võetud.

III JAGU. KOHALIKUD SEADUSED JA KOHUSTUSED AVALIKU SEKTORI ASUTUSTE JUURDEPÄÄSU KORRAL

14. tingimus

Tingimustele vastavust mõjutavad kohalikud seadused ja tavad

ESIMENE MOODUL: edastamine vastutavalt töötlejalt vastutavale töötlejale

TEINE MOODUL: edastamine vastutavalt töötlejalt volitatud töötlejale

KOLMAS MOODUL: edastamine volitatud töötlejalt volitatud töötlejale

NELJAS MOODUL: edastamine volitatud töötlejalt vastutavale töötlejale (kui ELi volitatud töötleja ühendab kolmanda riigi vastutavalt töötlejalt saadud isikuandmeid isikuandmetega, mida volitatud töötleja on kogunud ELis)

a)

Pooled garanteerivad, et neil ei ole põhjust arvata, nagu takistaksid andmeimportija poolse isikuandmete töötlemisele suhtes kohaldatavad kolmanda sihtriigi seadused ja tavad, sealhulgas mis tahes nõuded avalikustada isikuandmed, või meetmed, millega lubatakse avaliku sektori asutustele juurdepääs, andmeimportijal käesolevate tingimuste kohaste kohustuste täitmist. See põhineb arusaamisel, et kohalikud seadused ja tavad, mis järgivad põhiõiguste ja -vabaduste olemust ega lähe kaugemale sellest, mis on demokraatlikus ühiskonnas vajalik ja proportsionaalne, et kaitsta mõnd määruse (EL) 2016/679 artikli 23 lõikes 1 loetletud eesmärkidest, ei ole käesolevate tingimustega vastuolus.

b)

Pooled kinnitavad, et punktis a osutatud garantii andmisega on nad võtnud nõuetekohaselt arvesse eeskätt järgmisi elemente:

i)

teatavad edastamise asjaolud, sealhulgas töötlemisahela pikkus, kaasatud osalejate arv ning kasutatud edastamiskanalid; kavandatud edasisaatmised; vastuvõtja liik; töötlemise eesmärk; edastatavate isikuandmete liigid ja vorming; majandussektor, kus edastamine toimub; edastatud andmete säilitamise asukoht;

ii)

kolmanda sihtriigi seadused ja tavad – sealhulgas need, millega nõutakse andmete avalikustamist avaliku sektori asutustele või antakse avaliku sektori asutustele neile juurdepääs –, mis on teatavaid edastamise asjaolusid arvesse võttes olulised, ning kohaldatavad piirangud ja kaitsemeetmed; (12)

iii)

mis tahes lepingulised, tehnilised või korralduslikud kaitsemeetmed, mis on kehtestatud lisaks käesolevate tingimuste kohastele kaitsemeetmetele, sealhulgas meetmed, mida kohaldati isikuandmete edastamise ajal ning töötlemisel sihtriigis.

c)

Andmeimportija garanteerib, et ta on punkti b kohasel hindamisel teinud kõik endast oleneva, et anda andmeeksportijale asjakohast teavet, ning nõustub, et ta jätkab koostööd andmeeksportijaga käesolevate tingimuste täitmise tagamisel.

d)

Pooled nõustuvad punkti b kohast hindamist dokumenteerima ja tegema selle pädevale järelevalveasutusele taotluse korral kättesaadavaks.

e)

Andmeimportija nõustub andmeeksportijat viivitamata teavitama, kui tal on käesolevate tingimuste kokkuleppimise järel ja lepingu kestuse ajal põhjust arvata, et tema suhtes kohaldatakse või on hakatud kohaldama seadusi või tavasid, mis ei ole kooskõlas punkti a nõuetega, sealhulgas pärast kolmanda riigi seaduste või meetme (näiteks avalikustamisnõue) muutmist, mis osutab sellele, et nende seaduste praktiline kohaldamine ei vasta punkti a nõuetele. [Kolmanda mooduli puhul: andmeeksportija edastab teate vastutavale töötlejale.]

f)

Pärast punkti e kohast teavitamist või kui andmeeksportijal on muul põhjusel alust arvata, et andmeimportija ei suuda käesolevate tingimuste kohaseid kohustusi enam täita, selgitab andmeeksportija viivitamata välja asjakohased meetmed (näiteks tehnilised või korralduslikud meetmed turvalisuse ja konfidentsiaalsuse tagamiseks), mida andmeeksportija ja/või andmeimportija peab olukorra lahendamiseks võtma, [kolmanda mooduli puhul: asjakohasel juhul vastutava töötlejaga konsulteerides]. Andmeeksportija peatab andmete edastamise, kui ta arvab, et sellise edastamise puhul ei saa tagada asjakohaseid kaitsemeetmeid, või kui [kolmanda mooduli puhul: vastutav töötleja või] pädev järelevalveasutus on andnud juhise seda teha. Sel juhul on andmeeksportijal õigus leping lõpetada, kuivõrd see puudutab käesolevate tingimuste kohast isikuandmete töötlemist. Kui lepinguga on hõlmatud üle kahe poole, võib andmeeksportija kasutada seda lõpetamisõigust üksnes seoses asjaomase poolega, välja arvatud juhul, kui pooled on kokku leppinud teisiti. Kui leping lõpetatakse selle tingimuse kohaselt, kohaldatakse 16. tingimuse punkte d ja e.

15. tingimus

Andmeimportija kohustused avaliku sektori asutuste juurdepääsu korral

ESIMENE MOODUL: edastamine vastutavalt töötlejalt vastutavale töötlejale

TEINE MOODUL: edastamine vastutavalt töötlejalt volitatud töötlejale

KOLMAS MOODUL: edastamine volitatud töötlejalt volitatud töötlejale

NELJAS MOODUL: edastamine volitatud töötlejalt vastutavale töötlejale (kui ELi volitatud töötleja ühendab kolmanda riigi vastutavalt töötlejalt saadud isikuandmeid isikuandmetega, mida volitatud töötleja on kogunud ELis)

15.1.   Teavitamine

a)

Andmeimportija nõustub teavitama andmeeksportijat ja võimaluse korral andmesubjekti (kui vajalik, siis andmeeksportija abiga) viivitamata, kui:

i)

ta saab riigiasutuselt, sealhulgas õigusasutustelt, sihtriigi seaduste kohaselt õiguslikult siduva taotluse avalikustada käesolevate tingimuste kohaselt edastatud isikuandmeid; selline teade sisaldab teavet taotletud isikuandmete, taotleva asutuse, taotluse õigusliku aluse ning antud vastuse kohta või

ii)

ta saab teada avaliku sektori asutuste mis tahes otsesest juurdepääsust käesolevate tingimuste kohaselt edastatud isikuandmetele kooskõlas sihtriigi seadustega; selline teade sisaldab kogu teavet, mis on importijale kättesaadav.

[Kolmanda mooduli puhul: andmeeksportija edastab teate vastutavale töötlejale.]

b)

Kui andmeimportijal on sihtriigi seaduste kohaselt keelatud teavitada andmeeksportijat ja/või andmesubjekti, nõustub andmeimportija tegema kõik endast oleneva, et saavutada sellest keelust loobumine, eesmärgiga edastada võimalikult kiiresti võimalikult palju teavet. Andmeimportija nõustub dokumenteerima kõik ette võetud jõupingutused, et taotluse korral neid andmeeksportijale tõendada.

c)

Kui see on sihtriigi seadustega lubatud, nõustub andmeimportija esitama andmeeksportijale lepingu kestuse ajal korrapäraste ajavahemike järel võimalikult palju asjakohast teavet saadud taotluste kohta (eelkõige taotluste arv, taotletud andmete liik, taotlev(ad) asutus(ed), kas taotlusi on vaidlustatud ja selliste vaidlustuste tulemus jne). [Kolmanda mooduli puhul: andmeeksportija edastab teabe vastutavale töötlejale.]

d)

Andmeimportija nõustub säilitama teavet lepingu kestuse ajal vastavalt punktidele a–c ning tegema selle pädevale järelevalveasutusele taotluse korral kättesaadavaks.

e)

Punktid a–c ei piira 14. tingimuse punkti e ja 16. tingimuse kohast andmeimportija kohustust viivitamata teavitada andmeeksportijat oma suutmatusest käesolevaid tingimusi järgida.

15.2.   Seaduslikkuse ja võimalikult väheste andmete kogumise kontroll

a)

Andmeimportija nõustub vaatama läbi avalikustamistaotluse seaduslikkuse, eelkõige kas see kuulub taotlevale avaliku sektori asutusele antud volituste piiresse, ning seda vaidlustama, kui ta pärast hoolikat hindamist järeldab, et sihtriigi seaduste, rahvusvahelise õiguse kohaste kohustuste ning rahvusvahelise viisakuse põhimõtete kohaselt on põhjendatult alust pidada taotlust ebaseaduslikuks. Andmeimportija kasutab samadel tingimustel kaebuse esitamise võimalusi. Taotluse vaidlustamisel püüab andmeimportija võtta ajutisi meetmeid, eesmärgiga peatada taotluse mõju, kuni pädev järelevalveasutus on taotluse põhjendatuse kohta otsuse teinud. Ta ei avalikusta taotletud isikuandmeid enne, kui seda temalt nõutakse kohaldatavate menetlusnormide kohaselt. Need nõuded ei piira 14. tingimuse punkti e kohaseid andmeimportija kohustusi.

b)

Andmeimportija nõustub dokumenteerima oma õiguslikku hinnangut ning avalikustamistaotluse mis tahes vaidlustust ja tegema sellised dokumendid andmeeksportijale sihtriigi seadustega lubatavas ulatuses kättesaadavaks. Samuti teeb ta sellised dokumendid vastava taotluse korral kättesaadavaks pädevale järelevalveasutusele. [Kolmanda mooduli puhul: andmeeksportija teeb hinnangu vastutavale töötlejale kättesaadavaks.]

c)

Andmeimportija nõustub avalikustamistaotlusele vastates andma lubatud minimaalsel hulgal teavet, tuginedes taotluse põhjendatud tõlgendusele.

IV JAGU. LÕPPSÄTTED

16. tingimus

Mittevastavus tingimustele ja lepingu lõpetamine

a)

Andmeimportija teavitab andmeeksportijat viivitamata, kui ta ei saa mis tahes põhjusel neid tingimusi järgida.

b)

Juhul kui andmeimportija rikub käesolevaid tingimusi või ei suuda neid järgida, peatab andmeeksportija isikuandmete edastamise andmeimportijale, kuni vastavus on jälle tagatud või leping lõpetatud. See ei piira 14. tingimuse punkti f kohaldamist.

c)

Andmeeksportijal on õigus leping lõpetada, kuivõrd see puudutab käesolevate tingimuste kohast isikuandmete töötlemist, juhul kui:

i)

andmeeksportija on punkti b kohaselt peatanud isikuandmete edastamise andmeimportijale ning käesolevatele tingimustele vastavust ei ole taastatud mõistliku aja jooksul ning igal juhul ühe kuu jooksul pärast peatamist;

ii)

andmeimportija on käesolevaid tingimusi oluliselt või jätkuvalt rikkunud või

iii)

andmeimportija ei järgi pädeva kohtu või järelevalveasutuse siduvat otsust tema käesolevate tingimuste kohaste kohustuste kohta.

Sellistel juhtudel teavitab ta pädevat järelevalveasutust [kolmanda mooduli puhul: ja vastutavat töötlejat] sellisest mittevastavusest. Kui lepinguga on hõlmatud üle kahe poole, võib andmeeksportija kasutada seda lõpetamisõigust üksnes seoses asjaomase poolega, välja arvatud juhul, kui pooled on kokku leppinud teisiti.

d)

[Esimese, teise ja kolmanda mooduli puhul: isikuandmed, mis on vastavalt punktile c enne lepingu lõpetamist edastatud, kas tagastatakse andmeeksportija valikul viivitamata andmeeksportijale või kustutatakse täielikult. Sama kehtib andmete mis tahes koopiate kohta.] [Neljanda mooduli puhul: isikuandmed, mida andmeeksportija on ELis kogunud ja mis on edastatud enne punkti c kohast lepingu lõpetamist, kustutatakse viivitamata täielikult, sealhulgas ka nende andmete kõik koopiad.] Andmeimportija tõendab andmeeksportijale andmete kustutamist. Andmeimportija jätkab nendele tingimustele vastavuse tagamist seni, kuni andmed kustutatakse või tagastatakse. Kui andmeimportija suhtes kohaldatavate kohalike seadustega keelatakse edastatud isikuandmete tagastamine või kustutamine, garanteerib andmeimportija, et ta jätkab nendele tingimustele vastavuse tagamist ning töötleb andmeid üksnes selle kohaliku õigusega nõutavas ulatuses ja ajavahemikus.

e)

Kumbki pool võib tühistada kokkuleppe, et käesolevad tingimused on talle siduvad, kui i) Euroopa Komisjon võtab määruse (EL) 2016/679 artikli 45 lõike 3 kohaselt vastu otsuse, mis hõlmab selliste isikuandmete edastamist, mille suhtes kohaldatakse käesolevaid tingimusi; või ii) määrus (EL) 2016/679 muutub osaks selle riigi õigusraamistikust, kuhu isikuandmeid edastatakse. See ei piira muid kohustusi, mida kõnealuse töötlemise suhtes vastavalt määrusele (EL) 2016/679 kohaldatakse.

17. tingimus

Kohaldatav õigus

ESIMENE MOODUL: edastamine vastutavalt töötlejalt vastutavale töötlejale

TEINE MOODUL: edastamine vastutavalt töötlejalt volitatud töötlejale

KOLMAS MOODUL: edastamine volitatud töötlejalt volitatud töötlejale

[1. VARIANT: tingimuste suhtes kohaldatakse mõne ELi liikmesriigi õigust, tingimusel et selle õigusega nähakse ette soodustatud kolmandate isikute õigused. Pooled nõustuvad, et see on _______ (märkida liikmesriik) õigus.]

[2. VARIANT (teise ja kolmanda mooduli puhul): tingimuste suhtes kohaldatakse selle ELi liikmesriigi õigust, kus andmeeksportija asub. Kui selle õigusega ei nähta ette soodustatud kolmandate isikute õigusi, kohaldatakse nende suhtes mõne muu ELi liikmesriigi õigust, milles nähakse ette soodustatud kolmandate isikute õigused. Pooled nõustuvad, et see on _______ (märkida liikmesriik) õigus.]

NELJAS MOODUL: edastamine volitatud töötlejalt vastutavale töötlejale

Käesolevate tingimuste suhtes kohaldatakse selle riigi õigust, kus nähakse ette soodustatud kolmandate isikute õigused. Pooled nõustuvad, et see on _______ (märkida riik) õigus

18. tingimus

Vaidluste lahendamise organi ja kohtualluvuse valimine

ESIMENE MOODUL: edastamine vastutavalt töötlejalt vastutavale töötlejale

TEINE MOODUL: edastamine vastutavalt töötlejalt volitatud töötlejale

KOLMAS MOODUL: edastamine volitatud töötlejalt volitatud töötlejale

a)

Käesolevatest tingimustest tulenev mis tahes vaidlus lahendatakse ELi liikmesriigi kohtutes.

b)

Pooled nõustuvad, et need on _____ (märkida liikmesriik) kohtud.

c)

Andmesubjekt võib algatada ka kohtumenetluse andmeeksportija ja/või andmeimportija vastu selle liikmesriigi kohtutes, kus on andmesubjekti alaline elukoht.

d)

Pooled nõustuvad nendele kohtutele alluma.

NELJAS MOODUL: edastamine volitatud töötlejalt vastutavale töötlejale

 

Käesolevatest tingimustest tulenev mis tahes vaidlus lahendatakse _____ (märkida riik) kohtutes.


(1)  Kui andmeeksportija on volitatud töötleja, kelle suhtes kohaldatakse määrust (EL) 2016/679 ja kes tegutseb vastutava töötlejana liidu institutsiooni või organi nimel, võimaldab nende tingimuste kasutamine juhul, kui kaasatakse volitatud töötleja (alamtöötlemine), kelle suhtes ei kohaldata määrust (EL) 2016/679, tagada ka vastavuse Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määruse (EL) 2018/1725 (mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ (ELT L 295, 21.11.2018, lk 39)) artikli 29 lõikele 4, kuivõrd need tingimused ja määruse (EL) 2018/1725 artikli 29 lõike 3 kohases lepingus või muus õigusaktis vastutava töötleja ja volitatud töötleja vahel sätestatud andmekaitsekohustused on kooskõlas. See kehtib eelkõige siis, kui vastutav töötleja ja volitatud töötleja tuginevad otsuses 2021/915 sätestatud lepingu tüüptingimustele.

(2)  See nõuab andmete anonüümimist sellisel viisil, et isikut ei saaks kooskõlas määruse (EL) 2016/679 põhjendusega 26 enam mitte keegi tuvastada, ning et see protsess oleks pöördumatu.

(3)  Euroopa Majanduspiirkonna lepingus (edaspidi „EMP leping“) on ette nähtud Euroopa Liidu siseturu laiendamine kolmele EMP liikmesriigile – Islandile, Liechtensteinile ja Norrale. Andmekaitset käsitlevad liidu õigusaktid, sealhulgas määrus (EL) 2016/679, on hõlmatud EMP lepinguga ja inkorporeeritud selle XI lisasse. Seetõttu ei kvalifitseeru andmeimportija poolne andmete avalikustamine EMPs asuvale kolmandale isikule käesolevate tingimuste tähenduses edasisaatmiseks.

(4)  Euroopa Majanduspiirkonna lepingus (edaspidi „EMP leping“) on ette nähtud Euroopa Liidu siseturu laiendamine kolmele EMP liikmesriigile – Islandile, Liechtensteinile ja Norrale. Andmekaitset käsitlevad liidu õigusaktid, sealhulgas määrus (EL) 2016/679, on hõlmatud EMP lepinguga ja inkorporeeritud selle XI lisasse. Seetõttu ei kvalifitseeru andmeimportija poolne andmete avalikustamine EMPs asuvale kolmandale isikule käesolevate tingimuste tähenduses edasisaatmiseks.

(5)  Vt määruse (EL) 2016/679 artikli 28 lõige 4 ning kui vastutav töötleja on ELi asutus või organ, siis määruse (EL) 2018/1725 artikli 29 lõige 4.

(6)  Euroopa Majanduspiirkonna lepingus (edaspidi „EMP leping“) on ette nähtud Euroopa Liidu siseturu laiendamine kolmele EMP liikmesriigile – Islandile, Liechtensteinile ja Norrale. Andmekaitset käsitlevad liidu õigusaktid, sealhulgas määrus (EL) 2016/679, on hõlmatud EMP lepinguga ja inkorporeeritud selle XI lisasse. Seetõttu ei kvalifitseeru andmete andmeimportija poolne avalikustamine EMPs asuvale kolmandale isikule käesolevate tingimuste mõttes edasisaatmiseks.

(7)  Siia kuulub olukord, kui edastamine ja täiendav töötlemine hõlmab isikuandmeid, mis paljastavad rassilise või etnilise päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumise, või geneetilisi andmeid, füüsilise isiku kordumatuks tuvastamiseks kasutatavaid biomeetrilisi andmeid, terviseandmeid või andmeid inimese seksuaalelu ja seksuaalse sättumuse kohta või süüdimõistvate kohtuotsuste ja süütegudega seotud andmeid.

(8)  Selle nõude võib täita nii, et alamtöötleja ühineb nende tingimustega asjakohases moodulis vastavalt 7. tingimusele.

(9)  Selle nõude võib täita nii, et alamtöötleja ühineb nende tingimustega asjakohases moodulis vastavalt 7. tingimusele.

(10)  Seda ajavahemikku võib vajaduse korral pikendada kõige rohkem veel kahe kuu võrra, võttes arvesse taotluste keerukust ja hulka. Andmeimportija teavitab andmesubjekti sellisest pikendamisest nõuetekohaselt ja viivitamata.

(11)  Andmeimportija võib pakkuda sõltumatut vaidluste lahendamist vahekohtu kaudu üksnes juhul, kui see asub riigis, mis on ratifitseerinud New Yorgi konventsiooni vahekohtu otsuste täitmise kohta.

(12)  Mis puudutab nende seaduste ja tavade mõju käesolevate tingimuste järgimisele, siis üldhinnangu osana võib kaaluda erinevaid elemente. Need elemendid võivad hõlmata piisavalt representatiivse ajavahemiku kohta asjakohaseid ja dokumenteeritud praktilisi kogemusi avaliku sektori asutuste varasemate avalikustamistaotlustega või selliste taotluste puudumisega. See tähendab eeskätt ettevõttesiseseid registreid või muid dokumente, mis on koostatud järjepideval viisil nõuetekohase hoolsuse kohaselt ning kinnitatud tippjuhtkonna tasandil, eeldusel et seda teavet saab kolmandate isikutega seaduslikult jagada. Kui sellele praktilisele kogemusele tuginedes järeldatakse, et andmeimportijat ei takistata käesolevate tingimuste täitmisel, tuleb seda toetada muude asjakohaste objektiivsete elementidega ning pooled peavad hoolikalt kaaluma, kas need elemendid koos on usaldusväärsuse ja esindavuse poolest piisavalt kaalukad, et seda järeldust toetada. Eelkõige peavad pooled võtma arvesse, kas üldsusele kättesaadav või muul viisil juurdepääsetav usaldusväärne teave selliste taotluste olemasolu või puudumise kohta samas tegevusvaldkonnas ja/või seaduse praktiline kohaldamine, näiteks kohtupraktika või sõltumatute järelevalveorganite aruanded, näitavad sama, mis nende praktilised kogemused ega ei ole nendega vastuolus.


LIIDE

SELGITAV MÄRKUS

Peab olema võimalik selgelt eristada iga edastamise või edastamiste kategooria suhtes kohaldatavat teavet ning sellega seoses määrata kindlaks poolte roll(id) andmeeksportija(te)na ja/või andmeimportija(te)na. See ei nõua tingimata iga edastamise/edastamiste kategooria ja/või lepingulise suhte kohta eraldi liidete täitmist ja allkirjastamist, kui läbipaistvuse saab saavutada ühe liitega. Kui see aga on vajalik piisava selguse tagamiseks, tuleks kasutada eraldi liiteid.


I LISA

A.   POOLTE LOETELU

ESIMENE MOODUL: edastamine vastutavalt töötlejalt vastutavale töötlejale

TEINE MOODUL: edastamine vastutavalt töötlejalt volitatud töötlejale

KOLMAS MOODUL: edastamine volitatud töötlejalt volitatud töötlejale

NELJAS MOODUL: edastamine volitatud töötlejalt vastutavale töötlejale

Andmeeksportija(d): [Andmeeksportija(te) ning asjakohasel juhul tema/nende andmekaitseametniku ja/või Euroopa Liidu esindaja isik ja kontaktandmed]

1.

Nimi: …

Aadress: …

Kontaktisiku nimi, ametikoht ja kontaktandmed: …

Käesolevate tingimuste kohaselt edastatud andmete puhul olulised toimingud: …

Allkiri ja kuupäev: …

Roll (vastutav töötleja/volitatud töötleja): …

2.

Andmeimportija(d): [Andmeimportija(te) isik ja kontaktandmed, sealhulgas andmekaitsealane kontaktisik ja tema kontaktandmed]

1.

Nimi: …

Aadress: …

Kontaktisiku nimi, ametikoht ja kontaktandmed: …

Käesolevate tingimuste kohaselt edastatud andmete puhul olulised toimingud: …

Allkiri ja kuupäev: …

Roll (vastutav töötleja/volitatud töötleja): …

2.

B.   EDASTAMISE KIRJELDUS

ESIMENE MOODUL: edastamine vastutavalt töötlejalt vastutavale töötlejale

TEINE MOODUL: edastamine vastutavalt töötlejalt volitatud töötlejale

KOLMAS MOODUL: edastamine volitatud töötlejalt volitatud töötlejale

NELJAS MOODUL: edastamine volitatud töötlejalt vastutavale töötlejale

Nende andmesubjektide kategooriad, kelle isikuandmeid edastatakse

Edastatavate isikuandmete liigid

Edastatavad tundlikud andmed (asjakohasel juhul) ja kohaldatavad piirangud või kaitsemeetmed, milles võetakse täielikult arvesse andmete laadi ja kaasnevaid ohte, nagu näiteks range eesmärgikohasus, juurdepääsupiirangud (sealhulgas juurdepääs üksnes eriväljaõppega töötajatele), andmetele juurdepääsu registri pidamine, edasisaatmise piirangud või täiendavad turvameetmed.

Edastamise sagedus (nt kas andmeid edastatakse üks kord või pidevalt).

Töötlemise laad

Andmeedastuse eesmärk (eesmärgid) ja edasine töötlemine

Isikuandmete säilitamise ajavahemik, või kui see ei ole võimalik, siis sellise ajavahemiku määramise kriteeriumid

Volitatud töötlejatele (alamtöötlejatele) edastamise korral märkida ka töötlemise sisu, laad ja kestus

C.   PÄDEV JÄRELEVALVEASUTUS

ESIMENE MOODUL: edastamine vastutavalt töötlejalt vastutavale töötlejale

TEINE MOODUL: edastamine vastutavalt töötlejalt volitatud töötlejale

KOLMAS MOODUL: edastamine volitatud töötlejalt volitatud töötlejale

Määratlege pädev(ad) asutus(ed) vastavalt 13. tingimusele


II LISA.

TEHNILISED JA KORRALDUSLIKUD MEETMED, SEALHULGAS TEHNILISED JA KORRALDUSLIKUD MEETMED ANDMETE TURVALISUSE TAGAMISEKS

ESIMENE MOODUL: edastamine vastutavalt töötlejalt vastutavale töötlejale

TEINE MOODUL: edastamine vastutavalt töötlejalt volitatud töötlejale

KOLMAS MOODUL: edastamine volitatud töötlejalt volitatud töötlejale

SELGITAV MÄRKUS

Tehnilisi ja korralduslikke meetmeid tuleb kirjeldada konkreetselt (mitte üldjoontes). Vaadake ka üldist märkust liite esimesel lehel, eelkõige vajaduse kohta selgelt osutada, milliseid meetmeid iga edastamise/edastamiste kogumi suhtes kohaldatakse.

Andmeimportija(te) rakendatud tehniliste ja korralduslike meetmete kirjeldus (sealhulgas mis tahes asjakohased sertifikaadid), et tagada vajalik turvalisuse tase, võttes arvesse töötlemise laadi, ulatust, konteksti ja eesmärki ning ohte füüsiliste isikute õigustele ja vabadustele.

[Võimalike meetmete näited:

isikuandmete pseudonüümimise ja krüpteerimise meetmed;

meetmed, millega tagatakse isikuandmeid töötlevate süsteemide ja teenuste kestev konfidentsiaalsus, terviklus, kättesaadavus ja vastupidavus;

meetmed, millega tagatakse võime taastada õigeaegselt isikuandmete kättesaadavus ja neile juurdepääs füüsilise või tehnilise vahejuhtumi korral;

isikuandmete töötlemise turvalisuse tagamise tehniliste ja korralduslike meetmete toimivuse korrapärase kontrollimise ja hindamise kord;

kasutaja tuvastamise ja autoriseerimise meetmed;

meetmed andmete kaitsmiseks edastamise ajal;

meetmed andmete kaitsmiseks säilitamise ajal;

meetmed isikuandmete töötlemise kohtade füüsilise julgeoleku tagamiseks;

meetmed sündmuste logimise tagamiseks;

meetmed süsteemi konfiguratsiooni, sealhulgas vaikekonfiguratsiooni tagamiseks;

sisemise IT ning IT-turbe valitsemise ja haldamise meetmed;

protsesside ja toodete sertifitseerimise/tagamise meetmed;

meetmed, millega tagatakse võimalikult väheste andmete kogumine;

andmete kvaliteedi tagamise meetmed;

andmete piiratud säilitamise tagamise meetmed;

vastutuse tagamise meetmed;

meetmed andmete porditavuse võimaldamiseks ja kustutamise tagamiseks.]

Volitatud töötlejatele (alamtöötlejatele) edastamise korral kirjeldada ka konkreetseid tehnilisi ja korralduslikke meetmeid, mida volitatud töötleja (alamtöötleja) võtab, et ta saaks vastutavat töötlejat (ja volitatud töötlejalt alamtöötlejale edastamise korral andmeeksportijat) aidata.


III LISA.

ALAMTÖÖTLEJATE LOETELU

TEINE MOODUL: edastamine vastutavalt töötlejalt volitatud töötlejale

KOLMAS MOODUL: edastamine volitatud töötlejalt volitatud töötlejale

SELGITAV MÄRKUS

Alamtöötlejate eriloa puhul tuleb see lisa täita teises ja kolmandas moodulis (9. tingimuse punkt a, variant 1).

Vastutav töötleja on andnud loa kasutada järgmisi alamtöötlejaid:

1.

Nimi: …

Aadress: …

Kontaktisiku nimi, ametikoht ja kontaktandmed: …

Töötlemise kirjeldus (sealhulgas selgelt piiritletud kohustused, kui luba on antud mitmele alamtöötlejale): …

2.