7.6.2021

Euroopa Liidu Teataja

L 199/18

KOMISJONI RAKENDUSOTSUS (EL) 2021/915,

4. juuni 2021,

Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artikli 28 lõike 7 ning Euroopa Parlamendi ja nõukogu määruse (EL) 2018/1725 artikli 29 lõike 7 kohaste vastutavate töötlejate ja volitatud töötlejate vaheliste lepingute tüüptingimuste kohta

(EMPs kohaldatav tekst)

EUROOPA KOMISJON,

võttes arvesse Euroopa Liidu toimimise lepingut,

võttes arvesse Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrust (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus), (1) eriti selle artikli 28 lõiget 7,

võttes arvesse Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määrust (EL) 2018/1725, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ, (2) eriti selle artikli 29 lõiget 7,

ning arvestades järgmist:

(1)

Vastutava töötleja ja volitatud töötleja mõisted on määruse (EL) 2016/679 ja määruse (EL) 2018/1725 kohaldamisel määrava tähtsusega. Vastutav töötleja on füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes määrab üksi või koos teistega kindlaks isikuandmete töötlemise eesmärgid ja vahendid. Määruse (EL) 2018/1725 kohaldamisel käsitatakse vastutava töötlejana liidu institutsiooni või organit, peadirektoraati või muud organisatsioonilist üksust, kes määrab üksi või koos teistega kindlaks isikuandmete töötlemise eesmärgid ja vahendid. Kui sellise töötlemise eesmärgid ja vahendid on kindlaks määratud teatava liidu õigusaktiga, saab vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liit. Volitatud töötleja on füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel.

(2)

Vastutavate töötlejate ja volitatud töötlejate vahelistele suhetele tuleks kohaldada samu lepingu tüüptingimusi nii siis, kui nende suhtes kohaldatakse määrust (EL) 2016/679, kui ka siis, kui nende suhtes kohaldatakse määrust (EL) 2018/1725. See tuleneb asjaolust, et ühtse lähenemisviisi tagamiseks isikuandmete kaitsele kogu liidus ja isikuandmete vabale liikumisele liidus, on liikmesriikide avaliku sektori suhtes kohaldatavad andmekaitsenormid, mis on sätestatud määruses (EL) 2016/679, ning liidu institutsioonide, organite ja asutuste suhtes kohaldatavad andmekaitsenormid, mis on sätestatud määruses (EL) 2018/1725, omavahel võimalikult suures ulatuses vastavusse viidud.

(3)

Selleks et tagada määruste (EL) 2016/679 ja (EL) 2018/1725 nõuete täitmine, peaks vastutav töötleja volitatud töötlejale töötlemistoimingute usaldamisel kasutama ainult selliseid volitatud töötlejaid, kes annavad piisavad tagatised, eelkõige seoses erialaste teadmiste, usaldusväärsuse ja vahenditega, et nad suudavad rakendada tehnilisi ja korralduslikke meetmeid, mis vastavad määruse (EL) 2016/679 ja määruse (EL) 2018/1725 nõuetele, sealhulgas töötlemise turvalisusele kehtestatud nõuetele.

(4)

Volitatud töötleja töötleb andmeid volitatud töötlejat ja vastutavat töötlejat omavahel siduva lepingu või liidu või liikmesriigi õiguse kohase siduva õigusakti alusel, mis on volitatud töötleja suhtes siduv ning milles sätestatakse määruse (EL) 2016/679 artikli 28 lõigetes 3 ja 4 või määruse (EL) 2018/1725 artikli 29 lõigetes 3 ja 4 loetletud elemendid. See leping või muu õigusliku toimega dokument peab olema kirjalik, sealhulgas elektroonilisel kujul.

(5)

Kooskõlas määruse (EL) 2016/679 artikli 28 lõikega 6 ja määruse (EL) 2018/1725 artikli 29 lõikega 6 võivad vastutav töötleja ja volitatud töötleja otsustada pidada läbirääkimisi individuaalse lepingu üle, mis sisaldab vastavalt määruse (EL) 2016/679 artikli 28 lõigetes 3 ja 4 või määruse (EL) 2018/1725 artikli 29 lõigetes 3 ja 4 sätestatud kohustuslikke elemente, või kasutada täielikult või osaliselt lepingu tüüptingimusi, mille komisjon on vastu võtnud vastavalt määruse (EL) 2016/679 artikli 28 lõikele 7 ja määruse (EL) 2018/1725 artikli 29 lõikele 7.

(6)

Vastutaval töötlejal ja volitatud töötlejal peaks olema õigus lisada käesolevas otsuses sätestatud lepingu tüüptingimused laiemasse lepingusse ning lisada muid tingimusi või täiendavaid kaitsemeetmeid, tingimusel et need ei lähe otseselt ega kaudselt vastuollu lepingu tüüptingimustega ega piira andmesubjektide põhiõigusi või -vabadusi. Lepingu tüüptingimuste kasutamine ei piira vastutava töötleja ja/või volitatud töötleja lepingulisi kohustusi tagada kohaldatavate privileegide ja immuniteetide järgimine.

(7)

Lepingu tüüptingimused peaksid hõlmama nii materiaalõigus- kui ka menetlusnorme. Kooskõlas määruse (EL) 2016/679 artikli 28 lõikega 3 ja määruse (EL) 2018/1725 artikli 29 lõikega 3 tuleks lepingu tüüptingimustega nõuda ka seda, et vastutav töötleja ja volitatud töötleja sätestaksid töötlemise sisu ja kestuse, selle laadi ja eesmärgi, asjaomaste isikuandmete liigi, andmesubjektide kategooriad ning vastutava töötleja kohustused ja õigused.

(8)

Vastavalt määruse (EL) 2016/679 artikli 28 lõikele 3 ja määruse (EL) 2018/1725 artikli 29 lõikele 3 peab volitatud töötleja vastutavat töötlejat kohe teavitama, kui vastutava töötleja korraldus läheb tema arvates vastuollu määrusega (EL) 2016/679 või määrusega (EL) 2018/1725 või muude liidu või liikmesriigi andmekaitsealaste sätetega.

(9)

Kui volitatud töötleja kaasab konkreetseks toiminguteks teise volitatud töötleja, tuleks kohaldada määruse (EL) 2016/679 artikli 28 lõigetes 2 ja 4 või määruse (EL) 2018/1725 artikli 29 lõigetes 2 ja 4 osutatud erinõudeid. Eelkõige on nõutav eelnev eriluba või üldine kirjalik luba. Olenemata sellest, kas eelnev luba on eriluba või üldine luba, peaks esimene volitatud töötleja hoidma teiste volitatud töötlejate loetelu ajakohasena.

(10)

Komisjon võttis määruse (EL) 2016/679 artikli 46 lõike 1 nõuete täitmiseks vastavalt määruse (EL) 2016/679 artikli 46 lõike 2 punktile c vastu lepingu tüüptingimused. Need tingimused vastavad ka määruse (EL) 2016/679 artikli 28 lõigetes 3 ja 4 sätestatud nõuetele, mis käsitlevad andmete edastamist vastutavatelt töötlejatelt, kelle suhtes kohaldatakse määrust (EL) 2016/679, volitatud töötlejatele, kes ei kuulu kõnealuse määruse territoriaalsesse kohaldamisalasse, või volitatud töötlejatelt, kelle suhtes kohaldatakse määrust (EL) 2016/679, alamtöötlejatele, kes ei kuulu kõnealuse määruse territoriaalsesse kohaldamisalasse. Neid lepingu tüüptingimusi ei saa kasutada lepingu tüüptingimustena määruse (EL) 2016/679 V peatüki tähenduses.

(11)	Kolmandatel isikutel peaks olema võimalik saada lepingu tüüptingimuste pooleks kogu lepingu kehtivusaja jooksul.

(12)	Lepingu tüüptingimuste toimimist tuleks hinnata määruse (EL) 2016/679 artiklis 97 osutatud kõnealuse määruse korrapärase hindamise osana.

(13)	Määruse (EL) 2018/1725 artikli 42 lõigete 1 ja 2 kohaselt konsulteeriti Euroopa Andmekaitseinspektori ja Euroopa Andmekaitsenõukoguga, kes esitasid 14. jaanuaril 2021 ühisarvamuse, (3) mida on käesoleva otsuse koostamisel arvesse võetud.

(14)	Käesolevas otsuses sätestatud meetmed on kooskõlas määruse (EL) 2016/679 artikli 93 ja määruse (EL) 2018/1725 artikli 96 lõike 2 alusel loodud komitee arvamusega,

ON VASTU VÕTNUD KÄESOLEVA OTSUSE:

Artikkel 1

Lisas sätestatud lepingu tüüptingimused vastavad vastutavate töötlejate ja volitatud töötlejate vaheliste lepingute suhtes määruse (EL) 2016/679 artikli 28 lõigetes 3 ja 4 ning määruse (EL) 2018/1725 artikli 29 lõigetes 3 ja 4 kehtestatud nõuetele.

Artikkel 2

Lisas sätestatud lepingu tüüptingimusi võib kasutada vastutava töötleja ja tema nimel isikuandmeid töötleva volitatud töötleja vahelistes lepingutes.

Artikkel 3

Komisjon hindab lisas sätestatud lepingu tüüptingimuste praktilist kohaldamist kogu kättesaadava teabe põhjal määruse (EL) 2016/679 artikliga 97 ette nähtud korrapärase hindamise osana.

Artikkel 4

Käesolev otsus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

Brüssel, 4. juuni 2021

Komisjoni nimel

president

Ursula VON DER LEYEN

(1) ELT L 119, 4.5.2016, lk 1.

(2) ELT L 295, 21.11.2018, lk 39.

(3) Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektori ühisarvamus 1/2021, mis käsitleb komisjoni rakendusotsust vastutavate töötlejate ja volitatud töötlejate vaheliste lepingute tüüptingimuste kohta määruse (EL) 2016/679 artikli 28 lõikes 7 ja määruse (EL) 2018/1725 artikli 29 lõikes 7 osutatud küsimustes.

LISA

Lepingu tüüptingimused

I JAGU

1. tingimus

Eesmärk ja kohaldamisala

Käesolevate lepingu tüüptingimuste (edaspidi „tingimused“) eesmärk on tagada vastavus [valida sobiv variant: 1. VARIANT: Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 (füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus)) artikli 28 lõigetele 3 ja 4] / [2. VARIANT: Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määruse (EL) 2018/1725 (mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ) artikli 29 lõigetele 3 ja 4].

b)	I lisas loetletud vastutavad töötlejad ja volitatud töötlejad on kokku leppinud käesolevates tingimustes, et tagada vastavus määruse (EL) 2016/679 artikli 28 lõigetele 3 ja 4 ja/või määruse (EL) 2018/1725 artikli 29 lõigetele 3 ja 4.

c)	Neid tingimusi kohaldatakse II lisas täpsustatud isikuandmete töötlemise suhtes.

d)	I–IV lisa on tingimuste lahutamatu osa.

e)	Käesolevad tingimused ei piira nende kohustuste täitmist, mis kehtivad vastutava töötleja suhtes määruse (EL) 2016/679 ja/või määruse (EL) 2018/1725 alusel.

f)	Käesolevad tingimused ei taga iseenesest isikuandmete rahvusvahelise edastamisega seotud kohustuste täitmist kooskõlas määruse (EL) 2016/679 ja/või määruse (EL) 2018/1725 V peatükiga.

2. tingimus

Tingimuste muutumatus

a)	Lepingu tüüptingimuste pooled kohustuvad tingimusi mitte muutma, välja arvatud lisadesse teabe lisamiseks või neis sisalduva teabe ajakohastamiseks.

See ei takista pooli lisamast käesolevates tingimustes sätestatud lepingu tüüptingimusi laiemasse lepingusse või lisamast muid tingimusi või täiendavaid kaitsemeetmeid, tingimusel et need ei lähe käesolevate tingimustega otseselt ega kaudselt vastuollu ega piira andmesubjektide põhiõigusi või -vabadusi.

3. tingimus

Tõlgendamine

a)	Kui käesolevates tingimustes kasutatakse vastavalt kas määruses (EL) 2016/679 või määruses (EL) 2018/1725 määratletud mõisteid, on neil mõistetel sama tähendus kui nimetatud määruses.

b)	Käesolevaid tingimusi mõistetakse ja tõlgendatakse vastavalt kas määruse (EL) 2016/679 või määruse (EL) 2018/1725 sätteid silmas pidades.

c)	Käesolevaid tingimusi ei tõlgendata viisil, mis on vastuolus määruses (EL) 2016/679 või määruses (EL) 2018/1725 sätestatud õiguste ja kohustustega, ega viisil, mis piirab andmesubjektide põhiõigusi või -vabadusi.

4. tingimus

Hierarhia

Käesolevate tingimuste ja nende kokkuleppimise ajal poolte vahel kehtinud või hiljem sõlmitud seotud lepingute sätete vastuolu korral kohaldatakse käesolevaid tingimusi.

5. tingimus – vabatahtlik

Ühinemistingimus

a)	Üksus, kes ei ole käesolevate tingimuste pool, võib kõigi poolte nõusolekul käesolevate tingimustega igal ajal ühineda vastutava töötleja või volitatud töötlejana, selleks täidab ta lisad ja allkirjastab I lisa.

b)	Pärast punktis a nimetatud lisade täitmist ja allkirjastamist käsitatakse ühinevat üksust käesolevate tingimuste poolena ning tal on vastutava töötleja või volitatud töötleja õigused ja kohustused vastavalt tema tähistusele I lisas.

c)	Ühinevale üksusele ei tulene pooleks saamise eelsel perioodil käesolevatest tingimustest õigusi ega kohustusi.

II JAGU

POOLTE KOHUSTUSED

6. tingimus

Töötlemistoimingute kirjeldus

Töötlemistoimingute üksikasjad, eelkõige isikuandmete liigid ja töötlemise eesmärgid, milleks isikuandmeid vastutava töötleja nimel töödeldakse, on täpsustatud II lisas.

7. tingimus

Poolte kohustused

7.1. Juhised

Volitatud töötleja töötleb isikuandmeid ainult vastutava töötleja dokumenteeritud juhiste alusel, välja arvatud juhul, kui ta on kohustatud seda tegema tema suhtes kohaldatava liidu või liikmesriigi õigusega. Sellisel juhul teatab volitatud töötleja selle õigusliku nõude enne isikuandmete töötlemist vastutavale töötlejale, kui selline teatamine ei ole olulise avaliku huvi tõttu seadusega keelatud. Vastutav töötleja võib anda edasisi juhiseid ka isikuandmete töötlemise kestel. Need juhised tuleb alati dokumenteerida.

b)	Volitatud töötleja teavitab vastutavat töötlejat kohe, kui vastutava töötleja antud juhised lähevad volitatud töötleja arvates vastuollu määruse (EL) 2016/679 või määruse (EL) 2018/1725 või kohaldatavate liidu või liikmesriigi andmekaitsealaste sätetega.

7.2. Eesmärgikohasus

Volitatud töötleja töötleb isikuandmeid üksnes töötlemise konkreetsel eesmärgil (konkreetsetel eesmärkidel), nagu on sätestatud II lisas, välja arvatud juhul, kui ta saab vastutavalt töötlejalt täiendavaid juhiseid.

7.3. Isikuandmete töötlemise kestus

Volitatud töötleja töötleb isikuandmeid ainult II lisas kindlaksmääratud aja jooksul.

7.4. Töötlemise turvalisus

Volitatud töötleja rakendab isikuandmete turvalisuse tagamiseks vähemalt III lisas täpsustatud tehnilisi ja korralduslikke meetmeid. See hõlmab andmete kaitsmist sellise turvanõuete rikkumise eest, mis põhjustab andmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise, loata avalikustamise või neile loata juurdepääsu (isikuandmetega seotud rikkumine). Vajaliku turvalisuse taseme hindamisel võtavad pooled nõuetekohaselt arvesse tehnika taset, rakendamise kulusid, isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke ning andmesubjektidele kaasnevaid ohte.

Volitatud töötleja annab oma töötajatele töödeldavatele isikuandmetele juurdepääsu üksnes ulatuses, mis on rangelt vajalik lepingu täitmiseks, haldamiseks ja selle täitmise üle tehtavaks järelevalveks. Volitatud töötleja tagab, et isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane seadusjärgne konfidentsiaalsuskohustus.

7.5. Tundlikud andmed

Kui töödeldakse isikuandmeid, mis paljastavad rassilise või etnilise päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumise, geneetilisi andmeid või füüsilise isiku kordumatuks tuvastamiseks kasutatavaid biomeetrilisi andmeid, terviseandmeid või andmeid inimese seksuaalelu või seksuaalse sättumuse kohta või süüdimõistvate kohtuotsuste ja süütegudega seotud andmeid (edaspidi „tundlikud andmed“), kohaldab volitatud töötleja konkreetseid piiranguid ja/või täiendavaid kaitsemeetmeid.

7.6. Dokumendid ja nõuetele vastavus

a)	Pooled peavad suutma tõendada käesolevate tingimuste täitmist.

b)	Volitatud töötleja tegeleb viivitamata ja asjakohaselt vastutava töötleja päringutega andmete töötlemise kohta kooskõlas käesolevate tingimustega.

Volitatud töötleja teeb vastutavale töötlejale kättesaadavaks kogu teabe, mis on vajalik käesolevates tingimustes sätestatud ja otseselt määrusest (EL) 2016/679 ja/või määrusest (EL) 2018/1725 tulenevate kohustuste täitmise tõendamiseks. Volitatud töötleja lubab ja aitab vastutava töötleja taotluse korral mõistlike ajavahemike järel, või kui on tõendeid tingimustele mittevastavuse kohta, teha käesolevate tingimustega hõlmatud töötlemistoimingute auditeid. Vastutav töötleja võib läbivaatamise või auditi tegemise üle otsustamisel võtta arvesse volitatud töötleja asjakohaseid sertifikaate.

d)	Vastutav töötleja võib otsustada teha auditi ise või volitada selleks sõltumatu audiitori. Auditid võivad hõlmata kontrollkäike volitatud töötleja tööruumidesse või füüsilistesse rajatistesse ning vajaduse korral tehakse neid mõistliku etteteatamisega.

e)	Pooled teevad selles tingimuses osutatud teabe, sealhulgas auditite tulemused taotluse korral kättesaadavaks pädeva(te)le järelevalveasutus(t)ele.

7.7. Alamtöötlejate kasutamine

1. VARIANT: EELNEV ERILUBA. Volitatud töötleja ei telli käesolevate tingimuste kohaselt vastutava töötleja nimel tehtavate töötlemistoimingute tegemist alamtöötlejalt ilma vastutava töötleja eelneva kirjaliku eriloata. Volitatud töötleja esitab eriloa taotluse vähemalt [MÄRKIDA AJAVAHEMIK] enne kõnealuse alamtöötleja kaasamist koos teabega, mis on vajalik, et vastutav töötleja saaks loa kohta otsuse teha. Vastutava töötleja loa saanud alamtöötlejate loetelu on esitatud IV lisas. Pooled hoiavad IV lisa ajakohasena.

2. VARIANT: ÜLDINE KIRJALIK LUBA. Volitatud töötlejal on vastutava töötleja üldine luba kaasata kokkulepitud loetellu kuuluvad alamtöötlejad. Volitatud töötleja teavitab vastutavat töötlejat kindlasti igast kõnealuse loetelu kavandatud muudatusest, st alamtöötlejate lisamisest või asendamisest, kirjalikult vähemalt [MÄRKIDA AJAVAHEMIK] ette, andes vastutavale töötlejale enne asjaomas(t)e alamtöötleja(te) kaasamist seega piisavalt aega sellistele muudatustele vastuväiteid esitada. Volitatud töötleja esitab vastutavale töötlejale teabe, mis on vajalik, et vastutav töötleja saaks kasutada õigust esitada vastuväiteid.

Kui volitatud töötleja kaasab konkreetsete töötlemistoimingute tegemiseks (vastutava töötleja nimel) alamtöötleja, teeb ta seda lepinguga, millega kehtestatakse alamtöötlejale sisuliselt samad andmekaitsekohustused, mis on volitatud töötlejal käesolevate tingimuste kohaselt. Volitatud töötleja tagab, et alamtöötleja täidab volitatud töötleja suhtes käesolevate tingimuste ning määruse (EL) 2016/679 ja/või määruse (EL) 2018/1725 kohaselt kohaldatavaid kohustusi.

Volitatud töötleja esitab vastutava töötleja taotlusel vastutavale töötlejale sellise alamtöötluslepingu koopia ja kõik hilisemad muudatused. Ulatuses, milles see on vajalik ärisaladuse või muu konfidentsiaalse teabe, sealhulgas isikuandmete kaitsmiseks, võib volitatud töötleja asjaomase osa lepingu tekstist enne koopia edastamist välja jätta.

d)	Volitatud töötleja jääb vastutava töötleja ees täielikult vastutavaks alamtöötleja kohustuste täitmise eest vastavalt volitatud töötlejaga sõlmitud lepingule. Volitatud töötleja teavitab vastutavat töötlejat, kui alamtöötleja ei täida oma lepingulisi kohustusi.

Volitatud töötleja lepib alamtöötlejaga kokku soodustatud kolmandat isikut käsitlevas tingimuses, mille kohaselt on vastutaval töötlejal juhul, kui volitatud töötleja on teadaolevalt kadunud, oma seadusjärgse tegevuse lõpetanud või maksejõuetuks muutunud, õigus alamtöötleja leping lõpetada ja anda alamtöötlejale korraldus isikuandmed kustutada või tagastada.

7.8. Isikuandmete rahvusvaheline edastamine

Volitatud töötleja edastab andmeid kolmandale riigile või rahvusvahelisele organisatsioonile üksnes vastutava töötleja dokumenteeritud juhiste alusel või volitatud töötleja suhtes kohaldatavast liidu või liikmesriigi õigusest tuleneva konkreetse nõude täitmiseks ning edastamine toimub kooskõlas määruse (EL) 2016/679 või määruse (EL) 2018/1725 V peatükiga.

Vastutav töötleja nõustub, et kui volitatud töötleja kaasab konkreetsete töötlemistoimingute tegemiseks (vastutava töötleja nimel) tingimuse 7.7 kohaselt alamtöötleja ja need töötlemistoimingud hõlmavad isikuandmete edastamist määruse (EL) 2016/679 V peatüki tähenduses, saavad volitatud töötleja ja alamtöötleja kasutada määruse (EL) 2016/679 V peatüki järgimise tagamiseks komisjoni poolt määruse (EL) 2016/679 artikli 46 lõike 2 kohaselt vastu võetud lepingu tüüptingimusi, kui nende lepingu tüüptingimuste kasutamise tingimused on täidetud.

8. tingimus

Vastutava töötleja abistamine

a)	Volitatud töötleja teavitab vastutavat töötlejat viivitamata igast andmesubjektilt saadud taotlusest. Ta ei vasta taotlusele ise, välja arvatud juhul, kui vastutav töötleja on andnud selleks loa.

b)	Volitatud töötleja aitab vastutaval töötlejal täita kohustust vastata andmesubjektide taotlustele kasutada oma õigusi, võttes arvesse isikuandmete töötlemise laadi. Punktide a ja b kohaste kohustuste täitmisel järgib volitatud töötleja vastutava töötleja juhiseid.

Lisaks volitatud töötleja kohustusele abistada vastutavat töötlejat 8. tingimuse punkti b kohaselt aitab volitatud töötleja vastutavat töötlejat ka järgmiste kohustuste täitmise tagamisel, võttes arvesse andmetöötluse laadi ja volitatud töötlejale kättesaadavat teavet:

1)	kohustus hinnata kavandatavate töötlemistoimingute mõju isikuandmete kaitsele (edaspidi „andmekaitsealane mõjuhinnang“), kui teatava töötlemisviisiga kaasneb tõenäoliselt suur oht füüsiliste isikute õigustele ja vabadustele;

2)	kohustus konsulteerida enne isikuandmete töötlemist pädeva(te) järelevalveasutus(te)ega, kui andmekaitsealasest mõjuhinnangust nähtub, et töötlemise tulemusena tekiks suur oht, kui vastutav töötleja ei võta ohu leevendamiseks meetmeid;

3)	kohustus tagada isikuandmete õigsus ja ajakohasus, teavitades vastutavat töötlejat viivitamata, kui volitatud töötleja saab teada, et tema töödeldavad isikuandmed on ebaõiged või aegunud;

4)	kohustused, mis on sätestatud [1. VARIANT: määruse (EL) 2016/679 artiklis 32] / [2. VARIANT: määruse (EL) 2018/1725 artiklites 33 ja 36–38].

d)	Lepingu tüüptingimuste pooled sätestavad III lisas asjakohased tehnilised ja korralduslikud meetmed, mille abil volitatud töötleja peab vastutavat töötlejat käesoleva tingimuse kohaldamisel aitama, ning vajaliku abi ulatuse ja määra.

9. tingimus

Isikuandmetega seotud rikkumisest teatamine

Isikuandmetega seotud rikkumise korral teeb volitatud töötleja vastutava töötlejaga koostööd ja aitab tal täita kohustusi, mis tulenevad määruse (EL) 2016/679 artiklitest 33 ja 34 või asjakohasel juhul määruse (EL) 2018/1725 artiklitest 34 ja 35, võttes arvesse isikuandmete töötlemise laadi ja volitatud töötlejale kättesaadavat teavet.

9.1. Vastutava töötleja töödeldavate andmetega seotud rikkumine

Vastutava töötleja töödeldavate isikuandmetega seotud rikkumise korral aitab volitatud töötleja vastutaval töötlejal:

teavitada pädevat järelevalveasutust / pädevaid järelevalveasutusi isikuandmetega seotud rikkumisest põhjendamatu viivituseta pärast seda, kui vastutav töötleja on rikkumisest teada saanud, kui see on asjakohane / (välja arvatud juhul, kui isikuandmetega seotud rikkumine ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele);

saada järgmist teavet, mis esitatakse vastavalt [1. VARIANT: määruse (EL) 2016/679 artikli 33 lõikele 3] / [2. VARIANT: määruse (EL) 2018/1725 artikli 34 lõikele 3] vastutava töötleja teates ja peab sisaldama vähemalt järgmist:

1)	isikuandmete laad, sealhulgas võimaluse korral asjaomaste andmesubjektide kategooriad ja ligikaudne arv ning asjaomaste isikuandmekirjete liigid ja ligikaudne arv;

2)	isikuandmetega seotud rikkumise tõenäolised tagajärjed;

3)	vastutava töötleja võetud või võtmiseks kavandatud meetmed isikuandmetega seotud rikkumise lahendamiseks, sealhulgas vajaduse korral meetmed rikkumise võimaliku kahjuliku mõju leevendamiseks.

Juhul ja niivõrd, kui kogu seda teavet ei ole võimalik esitada korraga, peab esialgne teade sisaldama sel ajal kättesaadavat teavet ning täiendav teave esitatakse pärast selle saamist ja põhjendamatu viivituseta;

täita vastavalt [1. VARIANT: määruse (EL) 2016/679 artiklile 34] / [2. VARIANT: määruse (EL) 2018/1725 artiklile 35] kohustust teavitada andmesubjekti põhjendamatu viivituseta isikuandmetega seotud rikkumisest, kui isikuandmetega seotud rikkumine kujutab endast tõenäoliselt suurt ohtu füüsiliste isikute õigustele ja vabadustele.

9.2. Volitatud töötleja töödeldavate andmetega seotud rikkumine

Volitatud töötleja töödeldavate isikuandmetega seotud rikkumise korral teavitab volitatud töötleja vastutavat töötlejat põhjendamatu viivituseta pärast seda, kui volitatud töötleja on rikkumisest teada saanud. Selline teade peab sisaldama vähemalt järgmist:

a)	rikkumise laadi kirjeldus (sealhulgas võimaluse korral asjaomaste andmesubjektide kategooriad ja ligikaudne arv ning asjaomased andmekirjed);

b)	isikuandmetega seotud rikkumise kohta lisateavet andva kontaktpunkti andmed;

c)	rikkumise tõenäolised tagajärjed ning rikkumise lahendamiseks, sealhulgas rikkumise võimaliku kahjuliku mõju leevendamiseks võetud või võtmiseks kavandatud meetmed.

Lepingu tüüptingimuste pooled määravad III lisas kindlaks kõik muud elemendid, mille volitatud töötleja peab esitama, kui ta abistab vastutavat töötlejat [1. VARIANT: määruse (EL) 2016/679 artiklites 33 ja 34] / [2. VARIANT: määruse (EL) 2018/1725 artiklites 34 ja 35] sätestatud vastutava töötleja kohustuste täitmisel.

III JAGU

LÕPPSÄTTED

10. tingimus

Mittevastavus tingimustele ja lepingu lõpetamine

Ilma et see piiraks määruse (EL) 2016/679 ja/või määruse (EL) 2018/1725 sätete kohaldamist, võib vastutav töötleja juhul, kui volitatud töötleja ei täida käesolevatest tingimustest tulenevaid kohustusi, anda volitatud töötlejale korralduse peatada isikuandmete töötlemine seniks, kuni volitatud töötleja järgib käesolevaid tingimusi või leping lõpetatakse. Volitatud töötleja teavitab vastutavat töötlejat viivitamata, kui ta ei suuda käesolevaid tingimusi mis tahes põhjusel täita.

Vastutaval töötlejal on õigus lõpetada leping käesolevate tingimuste kohase isikuandmete töötlemise osas, kui:

1)	vastutav töötleja on volitatud töötleja poolse isikuandmete töötlemise punkti a kohaselt peatanud ja kui käesolevaid tingimusi ei hakata järgima mõistliku aja jooksul ja igal juhul ühe kuu jooksul pärast peatamist;

2)	volitatud töötleja rikub oluliselt või jätkuvalt käesolevaid tingimusi või määrusest (EL) 2016/679 ja/või määrusest (EL) 2018/1725 tulenevaid kohustusi;

3)	volitatud töötleja ei täida pädeva kohtu või pädeva(te) järelevalveasutus(t)e siduvat otsust seoses tema kohustustega, mis tulenevad käesolevatest tingimustest või määrusest (EL) 2016/679 ja/või määrusest (EL) 2018/1725.

Volitatud töötlejal on õigus lõpetada leping käesolevate tingimuste kohase isikuandmete töötlemise osas pärast seda, kui ta on vastutavat töötlejat tingimuse 7.1 punkti b kohaselt teavitatud, et tema juhised lähevad vastuollu kohaldatavate õigusnõuetega, kuid vastutav töötleja nõuab nende juhiste järgimist.

Pärast lepingu lõpetamist kustutab volitatud töötleja vastutava töötleja valikul kõik vastutava töötleja nimel töödeldud isikuandmed ja kinnitab vastutavale töötlejale, et ta on seda teinud, või tagastab kõik isikuandmed vastutavale töötlejale ja kustutab olemasolevad koopiad, välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt nõutakse isikuandmete säilitamist. Volitatud töötleja jätkab nendele tingimustele vastavuse tagamist seni, kuni andmed kustutatakse või tagastatakse.

I LISA

Poolte loetelu

Vastutav(ad) töötleja(d): [vastutava(te) töötleja(te) ja asjakohasel juhul vastutava töötleja andmekaitseametniku nimi ja kontaktandmed]

Nimi: …

Aadress: …

Kontaktisiku nimi, ametikoht ja kontaktandmed: …

Allkiri ja ühinemise kuupäev: …

…

Volitatud töötleja(d): [volitatud töötleja(te) ja asjakohasel juhul volitatud töötleja andmekaitseametniku nimi ja kontaktandmed]

Nimi: …

Aadress: …

Kontaktisiku nimi, ametikoht ja kontaktandmed: …

Allkiri ja ühinemise kuupäev: …

…

II LISA

Isikuandmete töötlemise kirjeldus

Nende andmesubjektide kategooriad, kelle isikuandmeid töödeldakse

…

Töödeldavate isikuandmete liigid

…

Töödeldavad tundlikud andmed (vajaduse korral) ja kohaldatavad piirangud või kaitsemeetmed, milles võetakse täielikult arvesse andmete laadi ja kaasnevaid ohte, näiteks range eesmärgikohasus, juurdepääsupiirangud (sealhulgas juurdepääs üksnes eriväljaõppega töötajatele), andmetele juurdepääsu registri pidamine, andmete edasisaatmise piirangud või täiendavad turvameetmed

…

Töötlemise laad

…

Eesmärk (eesmärgid), milleks isikuandmeid vastutava töötleja nimel töödeldakse

…

Töötlemise kestus

…

Volitatud töötlejate (alamtöötlejate) poolse töötlemise korral märkida ka töötlemise sisu, laad ja kestus

III LISA

Tehnilised ja korralduslikud meetmed, sealhulgas tehnilised ja korralduslikud meetmed andmete turvalisuse tagamiseks

SELGITAV MÄRKUS

Tehnilisi ja korralduslikke meetmeid tuleb kirjeldada konkreetselt, mitte üldiselt.

Volitatud töötleja(te) rakendatavate selliste tehniliste ja korralduslike turvameetmete (sealhulgas asjakohaste sertifikaatide) kirjeldus, millega tagatakse vajalik turvalisuse tase, võttes arvesse töötlemise laadi, ulatust, konteksti ja eesmärki ning ohtu füüsiliste isikute õigustele ja vabadustele. Võimalike meetmete näited:

isikuandmete pseudonüümimise ja krüpteerimise meetmed;

meetmed, millega tagatakse isikuandmeid töötlevate süsteemide ja teenuste kestev konfidentsiaalsus, terviklus, kättesaadavus ja vastupidavus;

meetmed, millega tagatakse võime taastada õigeaegselt isikuandmete kättesaadavus ja neile juurdepääs füüsilise või tehnilise vahejuhtumi korral;

isikuandmete töötlemise turvalisuse tagamise tehniliste ja korralduslike meetmete toimivuse korrapärase kontrollimise ja hindamise kord;

kasutaja tuvastamise ja autoriseerimise meetmed;

meetmed andmete kaitsmiseks edastamise ajal;

meetmed andmete kaitsmiseks säilitamise ajal;

meetmed isikuandmete töötlemise kohtade füüsilise julgeoleku tagamiseks;

meetmed sündmuste logimise tagamiseks;

meetmed süsteemi konfiguratsiooni, sealhulgas vaikekonfiguratsiooni tagamiseks;

sisemise IT ning IT-turbe valitsemise ja haldamise meetmed;

protsesside ja toodete sertifitseerimise/tagamise meetmed;

meetmed, millega tagatakse võimalikult väheste andmete kogumine;

andmete kvaliteedi tagamise meetmed;

andmete piiratud säilitamise tagamise meetmed;

vastutuse tagamise meetmed;

meetmed andmete porditavuse võimaldamiseks ja kustutamise tagamiseks.

Volitatud töötlejatele (alamtöötlejatele) edastamise korral kirjeldada ka konkreetseid tehnilisi ja korralduslikke meetmeid, mida volitatud töötleja (alamtöötleja) võtab, et olla võimeline vastutavat töötlejat aitama.

Nende konkreetsete tehniliste ja korralduslike meetmete kirjeldus, mida volitatud töötleja peab võtma, et olla võimeline vastutavat töötlejat aitama.

IV LISA

Alamtöötlejate loetelu

SELGITAV MÄRKUS

Käesolev lisa tuleb täita alamtöötlejate kaasamiseks eriloa saamise korral (tingimuse 7.7 punkti a 1. variant).

Vastutav töötleja on andnud loa kasutada järgmisi alamtöötlejaid:

Nimi: …

Aadress: …

Kontaktisiku nimi, ametikoht ja kontaktandmed: …

Töötlemise kirjeldus (sealhulgas selgelt piiritletud kohustused, kui luba on antud mitmele alamtöötlejale): …

…

7.6.2021

Euroopa Liidu Teataja

L 199/31

KOMISJONI RAKENDUSOTSUS (EL) 2021/914,

4. juuni 2021,

kolmandatesse riikidesse isikuandmete edastamise lepingu tüüptingimuste kohta vastavalt Euroopa Parlamendi ja nõukogu määrusele (EL) 2016/679

(EMPs kohaldatav tekst)

EUROOPA KOMISJON,

võttes arvesse Euroopa Liidu toimimise lepingut,

ning arvestades järgmist:

(1)

Tehnoloogia areng teeb võimalikuks piiriülesed andmevood, mis on vajalikud rahvusvahelise koostöö ja rahvusvahelise kaubanduse laiendamiseks. Samal ajal on isikuandmete edastamisel kolmandatesse riikidesse vaja tagada, et ei kahjustataks määrusega (EL) 2016/679 tagatud füüsiliste isikute kaitse taset, sealhulgas ka edasisaatmise juhtudel (2). Andmeedastust käsitlevad määruse (EL) 2016/679 V peatüki sätted on mõeldud selleks, et kindlustada isikuandmete kõrgetasemelise kaitse järjepidevus andmete edastamise korral kolmandasse riiki (3).

(2)

Määruse (EL) 2016/679 artikli 46 lõike 1 kohaselt võib vastutav töötleja või volitatud töötleja artikli 45 lõike 3 kohase kaitse piisavuse otsuse puudumise korral edastada isikuandmeid kolmandale riigile või rahvusvahelisele organisatsioonile üksnes juhul, kui ta on sätestanud asjakohased kaitsemeetmed, ning tingimusel, et andmesubjektide kohtulikult kaitstavad õigused ja tõhusad õiguskaitsevahendid on kättesaadavad. Need kaitsemeetmed võidakse näha ette artikli 46 lõike 2 punkti c kohaselt vastu võetud standardsete andmekaitseklauslitega.

(3)

Lepingu tüüptingimuste roll piirdub andmete rahvusvahelise edastamise korral asjakohaste andmekaitsemeetmete tagamisega. Seetõttu on isikuandmeid kolmandasse riiki edastaval vastutaval või volitatud töötlejal (edaspidi „andmeeksportija“) ja isikuandmeid vastu võtval vastutaval või volitatud töötlejal (edaspidi „andmeimportija“) õigus kaasata need lepingu tüüptingimused laiemasse lepingusse ja lisada muid tingimusi või täiendavaid kaitsemeetmeid, tingimusel et need ei lähe otseselt ega kaudselt vastuollu lepingu tüüptingimustega ega piira andmesubjektide põhiõigusi ega -vabadusi. Vastutavaid töötlejaid ja volitatud töötlejaid ergutatakse nägema ette täiendavaid kaitsemeetmeid lepinguliste kohustuste abil, mis täiendavad lepingu tüüptingimusi (4). Lepingu tüüptingimuste kasutamine ei piira andmeeksportija ja/või andmeimportija mis tahes lepingulisi kohustusi tagada kohaldatavate privileegide ja immuniteetide järgimine.

(4)

Lisaks lepingu tüüptingimuste kasutamisele, et näha määruse (EL) 2016/679 artikli 46 lõike 1 kohaste edastamiste puhul ette asjakohased kaitsemeetmed, peab andmeeksportija vastutava või volitatud töötlejana täitma oma üldisi määrusest (EL) 2016/679 tulenevaid kohustusi. Need kohustused hõlmavad vastutava töötleja kohustust anda määruse (EL) nr 2016/679 artikli 13 lõike 1 punkti f ja artikli 14 lõike 1 punkti f kohaselt andmesubjektidele teavet asjaolu kohta, et ta kavatseb edastada nende isikuandmed kolmandasse riiki. Määruse (EL) 2016/679 artikli 46 kohaste edastamiste puhul peab selline teave sisaldama viidet asjakohastele kaitsemeetmetele ja vastava teabe koopia saamise viisile või kohale, kus see on tehtud kättesaadavaks.

(5)

Komisjoni otsused 2001/497/EÜ (5) ja 2010/87/EL (6) sisaldavad lepingu tüüptingimusi, mille eesmärk on lihtsustada liidus asutatud vastutava töötleja jaoks isikuandmete edastamist vastutavale või volitatud töötlejale kolmandas riigis, kus pakutav kaitsetase ei ole piisav. Need otsused põhinesid Euroopa Parlamendi ja nõukogu direktiivil 95/46/EÜ (7).

(6)

Määruse (EL) 2016/679 artikli 46 lõike 5 kohaselt jäävad otsus 2001/497/EÜ ja otsus 2010/87/EL kehtima, kuni neid selle määruse artikli 46 lõike 2 kohaselt vastuvõetud otsusega vajaduse korral muudetakse, nad asendatakse või tunnistatakse kehtetuks. Otsustes sisalduvaid lepingu tüüptingimusi oli määruse (EL) 2016/679 kohaseid uusi nõudeid arvestades vaja ajakohastada. Lisaks on alates nende otsuste vastuvõtmisest toimunud digitaalmajanduses märkimisväärseid muutusi, mille käigus on järjest enam kasutusele võetud uusi ja keerukamaid töötlemistoiminguid, mis sageli hõlmavad mitut andmeimportijat ja -eksportijat, pikki ja keerulisi töötlemisahelaid ning muutuvaid ärisuhteid. See nõuab lepingu tüüptingimuste ajakohastamist, et need peegeldaksid paremini uut tegelikkust ehk hõlmaksid lisandunud töötlemis- ja edastamisolukordi ning võimaldaksid suuremat paindlikkust, näiteks seoses nende isikute arvuga, kellel on võimalik lepinguga liituda.

(7)

Vastutav või volitatud töötleja võib kasutada käesoleva otsuse lisas sätestatud lepingu tüüptingimusi, et näha ette määruse (EL) 2016/679 artikli 46 lõike 1 tähenduses asjakohased kaitsemeetmed isikuandmete edastamisel kolmandas riigis asuvale vastutavale või volitatud töötlejale, ilma et see piiraks määruse (EL) 2016/679 kohase rahvusvahelise edastamise mõiste tõlgendamist. Lepingu tüüptingimusi võib selliste edastamiste puhul kasutada üksnes niivõrd, kuivõrd importija teostatav töötlemine ei kuulu määruse (EL) 2016/679 kohaldamisalasse. See hõlmab ka isikuandmete edastamist vastutavalt või volitatud töötlejalt, kes ei asu liidus, kuivõrd selle töötlemise suhtes kohaldatakse määrust (EL) 2016/679 (selle artikli 3 lõike 2 kohaselt), sest see on seotud kaupade või teenuste pakkumisega liidus asuvatele andmesubjektidele või nende tegevuse jälgimisega, kui see tegevus toimub liidus.

(8)

Arvestades, et määrus (EL) 2016/679 ning Euroopa Parlamendi ja nõukogu määrus (EL) 2018/1725 (8) on üldiselt vastavusse viidud, peaks lepingu tüüptingimusi olema võimalik kasutada määruse (EL) 2018/1725 artikli 29 lõikes 4 osutatud viisil ka lepingus, millega kolmandas riigis asuvale alamtöötlejale edastab isikuandmeid volitatud töötleja, kes ei ole liidu institutsioon ega organ, aga kelle suhtes kohaldatakse määrust (EL) 2016/679 ja kes töötleb isikuandmeid liidu institutsiooni või organi nimel vastavalt määruse (EL) 2018/1725 artiklile 29. Kui selles lepingus kajastuvad samad andmekaitsekohustused kui vastutava töötleja ja volitatud töötleja vahelises määruse (EL) 2018/1725 artikli 29 lõike 3 kohases lepingus või muus õigusaktis, eeskätt kui tehniliste ja korralduslike meetmete kohta antakse piisavad tagatised, et tagada töötlemise vastavus selle määruse nõuetele, tagatakse sellega vastavus määruse (EL) 2018/1725 artikli 29 lõikele 4. Eelkõige kehtib see siis, kui vastutav töötleja ja volitatud töötleja kasutavad lepingu tüüptingimusi, mis sisalduvad komisjoni rakendusotsuses määruse (EL) 2016/679 artikli 28 lõike 7 ning määruse (EL) 2018/1725 artikli 29 lõike 7 kohaste vastutavate töötlejate ja volitatud töötlejate vaheliste lepingute tüüptingimuste kohta (9).

(9)

Kui töötlemine hõlmab andmete edastamist vastutavatelt töötlejatelt, kelle suhtes kohaldatakse määrust (EL) 2016/679, volitatud töötlejatele, kes ei kuulu selle territoriaalsesse kohaldamisalasse, või volitatud töötlejatelt, kelle suhtes kohaldatakse määrust (EL) 2016/679, alamtöötlejatele, kes ei kuulu selle territoriaalsesse kohaldamisalasse, peaksid need käesoleva otsuse lisas sätestatud lepingu tüüptingimused võimaldama täita ka määruse (EL) 2016/679 artikli 28 lõigete 3 ja 4 nõudeid.

(10)

Käesoleva otsuse lisas sätestatud lepingu tüüptingimustes ühendatakse üldtingimused moodulipõhise käsitlusviisiga, et võtta arvesse erinevaid edastamisstsenaariume ning tänapäevaste töötlemisahelate keerukust. Lisaks üldtingimustele peaksid vastutavad ja volitatud töötlejad valima nende olukorras kehtiva mooduli, et lähtuda lepingu tüüptingimustest neile tulenevates kohustustes sellest, milline on kõnealuse andmetöötluse puhul nende roll ja vastutus. Peaks olema võimalik, et lepingu tüüptingimusi järgib enam kui kaks poolt. Lisaks tuleks kogu aja jooksul, mil kehtib leping, mille osa need tüüptingimused moodustavad, lubada nende tingimustega ühineda ka täiendavatel vastutavatel ja volitatud töötlejatel andmeeksportijate või -importijatena.

(11)

Asjakohaste kaitsemeetmete pakkumiseks tuleks lepingu tüüptingimustega tagada, et sellel alusel edastatud isikuandmetele võimaldatud kaitsetase on sisuliselt samaväärne liidus tagatud kaitsetasemega (10). Töötlemise läbipaistvuse tagamiseks tuleks andmesubjektidele anda lepingu tüüptingimuste koopia ning neid tuleks teavitada eelkõige töödeldavate isikuandmete liikidest, õigusest saada lepingu tüüptingimuste koopia ning mis tahes edasisaatmisest. Andmeimportija teostatav edasisaatmine ühes muus kolmandas riigis asuvale kolmandale isikule peaks olema lubatud üksnes siis, kui see kolmas isik ühineb lepingu tüüptingimustega, kui kaitse jätkuvus tagatakse muul viisil, või eriolukordades, näiteks andmesubjekti sõnaselgel teavitatud nõusolekul.

(12)

Mõningate eranditega, eelkõige seoses teatavate kohustustega, mis puudutavad eranditult andmeeksportija ja andmeimportija vahelist suhet, peaksid andmesubjektid soodustatud kolmandate isikutena saama tugineda lepingu tüüptingimustele ja vajaduse korral nõuda nende täitmist. Seetõttu, kuigi pooltel peaks olema lubatud lepingu tüüptingimusi reguleeriva õigusena valida ühe liikmesriigi õigus, peavad selles õiguses olema ette nähtud soodustatud kolmandate isikute õigused. Individuaalse õiguskaitse hõlbustamiseks tuleks lepingu tüüptingimustes nõuda, et andmeimportija teeks andmesubjektidele teatavaks kontaktpunkti ning tegeleks viivitamata mis tahes kaebuste või päringutega. Andmeimportija ja oma õigustele soodustatud kolmanda isikuna tugineva andmesubjekti vahelise vaidluse korral peaks andmesubjekt saama esitada kaebuse pädevale järelevalveasutusele või pöörduda vaidlusega ELi pädevatesse kohtutesse.

(13)

Selleks et tagada tulemuslik täitmine, tuleks andmeimportijalt nõuda, et ta nõustub sellisele asutusele ja sellistele kohtutele alluma ning kohustub täitma liikmesriigis kohaldatava õiguse kohast mis tahes siduvat otsust. Eelkõige peaks andmeimportija nõustuma sellega, et ta vastab päringutele, võimaldab enda juures auditeid ning järgib järelevalveasutuse vastu võetud meetmeid, sealhulgas parandus- ja kompensatsioonimeetmeid. Lisaks peaks andmeimportijal olema võimalik pakkuda andmesubjektidele võimalust tasuta pöörduda õiguskaitse saamiseks sõltumatu vaidluste lahendamise organi poole. Kooskõlas määruse (EL) 2016/679 artikli 80 lõikega 1 peaks olema lubatud, et kui andmesubjektid seda soovivad, esindavad neid vaidlustes andmeimportijaga kas ühendused või muud organid.

(14)

Lepingu tüüptingimustega tuleks näha ette eeskirjad seoses vastutuse jagunemisega poolte vahel ja andmesubjektide suhtes ning eeskirjad kahjude hüvitamise kohta poolte vahel. Kui andmesubjekt kannab lepingu tüüptingimuste kohaste soodustatud kolmanda isiku õiguste rikkumise tagajärjel varalist või mittevaralist kahju, peaks tal olema õigus hüvitisele. See ei tohiks piirata määruse (EL) 2016/679 kohast mis tahes vastutust.

(15)

Kui andmed edastatakse volitatud töötlejana või alamtöötlejana tegutsevale andmeimportijale, tuleks kohaldada määruse (EL) 2016/679 artikli 28 lõikele 3 vastavaid konkreetseid nõudeid. Lepingu tüüptingimustega tuleks andmeimportijalt nõuda, et ta teeks kättesaadavaks kogu teabe, mis on vajalik käesolevates tingimustes ettenähtud kohustuste täitmise tõendamiseks, ning võimaldaks andmeeksportijal teha töötlemistoimingute auditeid ja aitaks neile kaasa. Juhul, kui andmeimportija kaasab kooskõlas määruse (EL) 2016/679 artikli 28 lõigetega 2 ja 4 mis tahes alamtöötleja, tuleks lepingu tüüptingimustes sätestada eeskätt andmeeksportija antava üldise või eriloa menetlus ning nõue sõlmida alamtöötlejaga kirjalik leping, et tagada tingimuste järgimisega antava kaitsetasemega samaväärne tase.

(16)

Asjakohane on esitada lepingu tüüptingimustes erinevad kaitsemeetmed, mis hõlmavad konkreetset olukorda, kui liidus asuv volitatud töötleja edastab isikuandmeid kolmandas riigis asuvale vastutavale töötlejale, ning kajastada määruse (EL) 2016/679 kohaseid volitatud töötlejate piiratud iseseisvaid kohustusi. Eelkõige tuleks lepingu tüüptingimustes nõuda, et volitatud töötleja teavitaks vastutavat töötlejat, kui ta ei suuda järgida viimase juhiseid, sealhulgas kui need juhised lähevad vastuollu liidu andmekaitsealaste õigusaktidega, ning nõuda, et vastutav töötleja hoiduks mis tahes tegevusest, mis takistab volitatud töötlejal täita talle määrusest (EL) 2016/679 tulenevaid kohustusi. Samuti tuleks nõuda, et pooled aitaksid üksteist, kui on vaja vastata andmeimportija suhtes kohaldatava kohaliku õiguse või ELis andmetöötluse puhul määruse (EL) 2016/679 kohastele andmesubjekti päringutele ja taotlustele. Lisanõudeid, mis käsitlevad kolmanda sihtriigi seaduste mis tahes mõjusid vastutava töötleja tingimustele vastavusele, eeskätt seda, kuidas toimida edastatud isikuandmete avalikustamiseks kolmanda riigi avaliku sektori asutuste esitatud siduvate taotlustega, tuleks kohaldada juhul, kui liidu volitatud töötleja ühendab kolmanda riigi vastutavalt töötlejalt saadud isikuandmeid liidus asuva vastutava töötleja kogutud isikuandmetega. Sellised nõuded ei ole aga õigustatud, kui tegevuse edasiandmine hõlmab pelgalt vastutavalt töötlejalt saadud isikuandmete töötlemist ja tagasisaatmist ning kui see igal juhul kuulus ja kuulub kõnealuse kolmanda riigi kohtualluvusse.

(17)

Pooled peaksid suutma tõendada, et nad järgivad lepingu tüüptingimusi. Eelkõige tuleks andmeimportijalt nõuda, et ta säilitaks asjakohaseid dokumente tema vastutusel tehtavate töötlemistoimingute kohta ning teavitaks andmeeksportijat viivitamata, kui ta mis tahes põhjusel ei suuda tingimusi järgida. Kui andmeimportija rikub lepingutingimusi või ei suuda neid täita, peaks andmeeksportija omakorda peatama edastamise ning eriti tõsistel juhtudel peaks tal olema õigus leping lõpetada, kuivõrd see puudutab isikuandmete töötlemist lepingu tüüptingimuste kohaselt. Juhul kui lepingutingimuste täitmist mõjutavad kohalikud seadused, peaksid kehtima erieeskirjad. Enne lepingu lõpetamist edastatud isikuandmed ja nende mis tahes koopiad tuleks andmeeksportija valikul kas andmeeksportijale tagastada või täielikult hävitada.

(18)

Lepingu tüüptingimustes tuleks eelkõige Euroopa Kohtu praktikat (11) silmas pidades ette näha konkreetsed kaitsemeetmed, et arvestada kolmanda sihtriigi õigusaktide igasugust mõju andmeimportija poolsele tingimuste täitmisele, eelkõige seda, kuidas toimida edastatud isikuandmete avalikustamiseks kolmanda riigi avaliku sektori asutuste esitatud siduvate taotlustega.

(19)

Lepingu tüüptingimuste kohast isikuandmete edastamist ja töötlemist ei tohiks toimuda, kui kolmanda riigi seadused ja tavad takistavad andmeimportijal neid tingimusi täitmast. Siinjuures ei peaks lepingu tüüptingimustega vastuolus olevaks pidama kohalikke seadusi ja tavasid, mis järgivad põhiõiguste ja -vabaduste olemust ega lähe kaugemale sellest, mis on demokraatlikus ühiskonnas vajalik ja proportsionaalne, et kaitsta mõnd määruse (EL) 2016/679 artikli 23 lõikes 1 loetletud eesmärkidest. Pooled peaksid garanteerima, et lepingu tüüptingimustes kokku leppimise ajal ei ole neil põhjust arvata, nagu ei oleks andmeimportija suhtes kohaldatavad seadused või tavad nende nõuetega kooskõlas.

(20)

Pooled peaksid eelkõige võtma arvesse edastamise konkreetseid asjaolusid (nagu lepingu sisu ja kestus, edastatavate andmete laad, saaja liik, töötlemise eesmärk), edastamise asjaolude suhtes asjakohaseid kolmanda sihtriigi seadusi ja tavasid ning lisaks lepingu tüüptingimustes sisalduvatele kehtestatud kaitsemeetmeid (sealhulgas isikuandmete edastamise ja sihtriigis töötlemise suhtes kohaldatavad asjakohased lepingulised, tehnilised ja korralduslikud meetmed). Mis puudutab nende seaduste ja tavade mõju lepingu tüüptingimuste täitmisele, siis võib üldhinnangu osana kaaluda eri elemente, sealhulgas usaldusväärset teavet seaduse praktilise kohaldamise kohta (näiteks kohtupraktika ja sõltumatute järelevalveorganite aruanded), taotluste olemasolu või puudumist samas tegevusvaldkonnas ja – rangetel tingimustel – andmeeksportija ja/või andmeimportija dokumenteeritud praktilist kogemust.

(21)

Andmeimportija peaks andmeeksportijat teavitama, kui tal on pärast lepingu tüüptingimustes kokku leppimist põhjust arvata, et ta ei suuda lepingu tüüptingimusi täita. Kui andmeeksportija saab sellise teate või saab muul viisil teada, et andmeimportija ei suuda enam lepingu tüüptingimusi täita, peaks ta olukorraga tegelemiseks selgitama välja asjakohased meetmed, konsulteerides vajaduse korral pädeva järelevalveasutusega. Need meetmed võivad hõlmata andmeeksportija ja/või andmeimportija võetud lisameetmeid, näiteks tehnilisi ja korralduslikke meetmeid turvalisuse ja konfidentsiaalsuse tagamiseks. Andmeeksportijalt tuleks nõuda edastamise peatamist, kui ta leiab, et asjakohaseid kaitsemeetmeid ei ole võimalik tagada või kui pädev järelevalveasutus annab sellise korralduse.

(22)

Võimaluse korral peaks andmeimportija teavitama andmeeksportijat ja andmesubjekti, kui ta saab avaliku sektori asutuselt (sealhulgas õigusasutuselt) sihtriigi seaduste kohaselt õiguslikult siduva taotluse avalikustada vastavalt lepingu tüüptingimustele edastatud isikuandmeid. Samamoodi peaks ta neid teavitama, kui ta saab teada, et avaliku sektori asutused on kolmanda sihtriigi seaduste kohaselt saanud nendele isikuandmetele otsejuurdepääsu. Kui andmeimportija ei suuda kõigile jõupingutustele vaatamata andmeeksportijat ja/või andmesubjekti teatavatest avalikustamistaotlustest teavitada, annab ta andmeeksportijale taotluste kohta võimalikult palju asjakohast teavet. Lisaks peaks andmeimportija andma andmeeksportijale korrapäraste ajavahemike järel koondteavet. Samuti tuleks andmeimportijalt nõuda, et ta dokumenteeriks laekunud avalikustamistaotlused ja antud vastuse ning teeks selle teabe vastava taotluse korral kättesaadavaks andmeeksportijale või pädevale järelevalveasutusele või mõlemale. Kui andmeimportija järeldab pärast nende taotluste seaduslikkuse läbivaatamist vastavalt sihtriigi seadustele, et kolmanda sihtriigi seaduste kohaselt esineb mõjuv põhjus pidada taotlust ebaseaduslikuks, peaks ta selle vaidlustama, sealhulgas asjakohasel juhul kõigi kättesaadavate kaebamisvõimaluste ärakasutamisega. Igal juhul peaks andmeimportija juhul, kui ta enam ei suuda lepingu tüüptingimusi täita, sellest teavitama andmeeksportijat, sealhulgas siis, kui see on juhtunud avalikustamistaotluse tagajärjel.

(23)	Kuna sidusrühmade vajadused, tehnoloogia ja töötlemistoimingud võivad muutuda, peaks komisjon määruse (EL) 2016/679 artiklis 97 osutatud korrapärase hindamise osana ja saadud kogemusi arvestades hindama lepingu tüüptingimuste toimimist.

(24)

Otsus 2001/497/EÜ ja otsus 2010/87/EL tuleks tunnistada kehtetuks kolm kuud pärast käesoleva otsuse jõustumist. Sellel ajavahemikul peaksid andmeeksportijad ja andmeimportijad saama määruse (EL) 2016/679 artikli 46 lõike 1 tähenduses ikka kasutada otsustes 2001/497/EÜ ja 2010/87/EL sätestatud lepingu tüüptingimusi. Andmeeksportijad ja andmeimportijad peaksid saama määruse (EL) 2016/679 artikli 46 lõike 1 tähenduses veel 15 kuu jooksul jätkata tuginemist otsustes 2001/497/EÜ ja 2010/87/EL sätestatud lepingu tüüptingimustele, et täita enne nende otsuste kehtetuks tunnistamise kuupäeva nende vahel sõlmitud lepingut, kui lepingu esemeks olevad töötlemistoimingud ei muutu ning tingimustele tuginemisega tagatakse, et isikuandmete edastamise suhtes kohaldatakse määruse (EL) 2016/679 artikli 46 lõike 1 tähenduses asjakohaseid kaitsemeetmeid. Kui lepingus tehakse sellesisulisi muudatusi, tuleks andmeeksportijalt nõuda tuginemist uuele lepingukohasele andmete edastamise alusele, eeskätt asendades olemasolevad lepingu tüüptingimused käesoleva otsuse lisas sätestatud lepingu tüüptingimustega. Sama peaks kehtima lepinguga hõlmatud töötlemistoimingute jaoks alltöövõtu korras volitatud töötleja (alamtöötleja) kasutamisel.

(25)	Määruse (EL) 2018/1725 artikli 42 lõike 1 ja 2 kohaselt konsulteeriti Euroopa Andmekaitseinspektori ja Euroopa Andmekaitsenõukoguga ning 14. jaanuaril 2021. aastal esitasid nad ühisarvamuse, (12) mida on käesoleva otsuse koostamisel arvesse võetud.

(26)	Käesoleva otsusega ette nähtud meetmed on kooskõlas määruse (EL) 2016/679 artikli 93 kohaselt loodud komitee arvamusega,

ON VASTU VÕTNUD KÄESOLEVA OTSUSE:

Artikkel 1

1. Lisas sätestatud lepingu tüüptingimusi peetakse asjakohaseks kaitsemeetmeks määruse (EL) 2016/679 artikli 46 lõike 1 ja lõike 2 punkti c tähenduses, kui vastutav töötleja või volitatud töötleja, kelle suhtes kõnealust määrust (andmeeksportija), edastab isikuandmeid vastutavale töötlejale või volitatud töötlejale (alamtöötlejale), kelle tehtava andmetöötluse suhtes ei kohaldata seda määrust (andmeimportija).

2. Samuti sätestatakse lepingu tüüptingimustes vastutavate töötlejate ja volitatud töötlejate õigused ja kohustused määruse (EL) 2016/679 artikli 28 lõigetes 3 ja 4 osutatud küsimustes seoses isikuandmete edastamisega vastutavalt töötlejalt volitatud töötlejale või volitatud töötlejalt alamtöötlejale.

Artikkel 2

Kui liikmesriigi pädevad asutused kasutavad määruse (EL) 2016/679 artikli 58 kohaseid parandusvolitusi vastusena olukorrale, kus andmeimportija suhtes kohaldatakse või hakatakse kohaldama kolmanda sihtriigi seadusi või tavasid, mis takistavad tal täita lisas sätestatud lepingu tüüptingimusi ning seetõttu peatatakse või keelustatakse andmete edastamine kolmandatesse riikidesse, teavitab asjaomane liikmesriik viivitamata komisjoni, kes edastab selle teabe teistele liikmesriikidele.

Artikkel 3

Osana määruse (EL) 2016/679 artiklis 97 nõutud korrapärasest hindamisest hindab komisjon lisas sätestatud lepingu tüüptingimuste praktilist kohaldamist kogu saadaoleva teabe põhjal.

Artikkel 4

1. Käesolev otsus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

2. Otsus 2001/497/EÜ tunnistatakse kehtetuks alates 27. septembrist 2021.

3. Otsus 2010/87/EL tunnistatakse kehtetuks alates 27. septembrist 2021.

4. Otsuse 2001/497/EÜ või otsuse 2010/87/EL alusel enne 27. septembrit 2021 sõlmitud lepinguid käsitatakse nii, et need pakuvad kuni 27. detsembrini 2022 asjakohaseid kaitsemeetmeid määruse (EL) 2016/679 artikli 46 lõike 1 tähenduses, tingimusel et lepingu esemeks olevad töötlemistoimingud ei muutu ning tingimustele tuginemisega tagatakse isikuandmete edastamise suhtes asjakohaste kaitsemeetmete kohaldamine.

Brüssel, 4. juuni 2021

Komisjoni nimel

president

Ursula VON DER LEYEN

(1) ELT L 119, 4.5.2016, lk 1.

(2) Määruse (EL) 2016/679 artikkel 44.

(3) Vt ka Euroopa Kohtu 16. juuli 2020. aasta otsus kohtuasjas C-311/18, Data Protection Commissioner vs. Facebook Ireland Ltd ja Maximillian Schrems („Schrems II“), ECLI:EU:C:2020:559, punkt 93.

(4) Määruse (EL) 2016/679 põhjendus 109.

(5) Komisjoni 15. juuni 2001. aasta otsus 2001/497/EÜ kolmandatesse riikidesse isikuandmete edastamise lepingu tüüptingimuste kohta direktiivi 95/46/EÜ alusel (EÜT L 181, 4.7.2001, lk 19).

(6) Komisjoni 5. veebruari 2010. aasta otsus 2010/87/EL kolmandates riikides asuvatele volitatud töötlejatele isikuandmete edastamise lepingu tüüptingimuste kohta nõukogu ja Euroopa Parlamendi direktiivi 95/46/EÜ alusel (ELT L 39, 12.2.2010, lk 5).

(7) Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT L 281, 23.11.1995, lk 31).

(8) Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määrus (EL) 2018/1725, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ (ELT L 295, 21.11.2018, lk 39). Vt põhjendus 5.

(9) C(2021)3701.

(10) Schrems II, punktid 96 ja 103. Vt ka määruse (EL) 2016/679 põhjendused 108 ja 114.

(11) Schrems II.

(12) Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektori ühisarvamus 2/2021, mis käsitleb Euroopa Komisjoni rakendusotsust kolmandatesse riikidesse isikuandmete edastamise lepingu tüüptingimuste kohta määruse (EL) 2016/679 artikli 46 lõike 2 punktis c osutatud küsimustes.

LISA

LEPINGU TÜÜPTINGIMUSED

I JAGU

1. tingimus

Eesmärk ja kohaldamisala

Käesolevate lepingu tüüptingimuste eesmärk on tagada isikuandmete edastamisel kolmandasse riiki vastavus Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrusele (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (isikuandmete kaitse üldmäärus) (1).

Pooled:

i)	I.A lisas loetletud andmeid edastav füüsiline või juriidiline isik, riigiasutus, amet või organ (edaspidi „üksus(ed)“) (edaspidi „andmeeksportija“), ja

ii)	kolmandas riigis asuv(ad) üksus(ed), kes võtab/võtavad andmeid andmeeksportijalt vastu kas otse või kaudselt sellise teise üksuse kaudu, kes järgib samuti neid tingimusi, nagu on loetletud I.A lisas (edaspidi „andmeimportija“)

on kokku leppinud järgmistes lepingu tüüptingimustes (edaspidi „tingimused“).

c)	Need tingimused kehtivad I.B lisas sätestatud isikuandmete edastamise kohta.

d)	Liide, mis sisaldab selles osutatud lisasid, moodustab käesolevate tingimuste lahutamatu osa.

2. tingimus

Tingimuse toime ja muutumatus

Käesolevates tingimustes sätestatakse asjakohased kaitsemeetmed, sealhulgas kohtulikult kaitstavad andmesubjekti õigused ning tõhusad õiguskaitsevahendid vastavalt määruse (EL) 2016/679 artikli 46 lõikele 1 ja artikli 46 lõike 2 punktile c, ning seoses andmete edastamisega vastutavatelt töötlejatelt volitatud töötlejatele ja/või volitatud töötlejatelt volitatud töötlejatele määruse (EL) 2016/679 artikli 28 lõike 7 kohased lepingu tüüptingimused, tingimusel et neid ei ole muudetud, välja arvatud asjakohas(t)e mooduli(te) valimiseks või liites oleva teabe lisamiseks või ajakohastamiseks. See ei takista pooltel lisamast laiemasse lepingusse käesolevates tingimustes sätestatud lepingu tüüptingimusi ja/või lisamast muid tingimusi või täiendavaid kaitsemeetmeid, tingimusel et need ei lähe käesolevate tingimustega otseselt ega kaudselt vastuollu ega piira andmesubjektide põhiõigusi ega -vabadusi.

b)	Käesolevate tingimustega ei piirata kohustusi, mida andmeeksportija suhtes vastavalt määrusele (EL) 2016/679 kohaldatakse.

3. tingimus

Soodustatud kolmandad isikud

Andmesubjektid võivad soodustatud kolmandate isikutena neid tingimusi andmeeksportija ja/või andmeimportija suhtes kasutada ja nende täitmist nõuda järgmiste eranditega:

i)	1. tingimus, 2. tingimus, 3. tingimus, 6. tingimus, 7. tingimus;

ii)

8. tingimus – esimene moodul: punkti 8.5 alapunkt e ja punkti 8.9 alapunkt b; teine moodul: punkti 8.1 alapunkt b, punkti 8.9 alapunktid a, c, d ja e; kolmas moodul: punkti 8.1 alapunktid a, c ja d ning punkti 8.9 alapunktid a, c, d, e, f ja g; neljas moodul: punkti 8.1 alapunkt b ja punkti 8.3 alapunkt b;

iii)	9. tingimus – teine moodul: 9. tingimuse punktid a, c, d ja e; kolmas moodul: 9. tingimuse punktid a, c, d ja e;

iv)	12. tingimus – esimene moodul: 12. tingimuse punktid a ja d; teine ja kolmas moodul: 12. tingimuse punktid a, d ja f;

v)	13. tingimus;

vi)	punkti 15.1 alapunktid c, d ja e;

vii)	16. tingimuse punkt e;

viii)

18. tingimus – esimene, teine ja kolmas moodul: 18. tingimuse punktid a ja b; neljas moodul: 18. tingimus.

b)	Punktiga a ei piirata määruse (EL) 2016/679 kohaseid andmesubjekti õigusi.

4. tingimus

Tõlgendamine

a)	Kui käesolevates tingimustes kasutatakse mõisteid, mis on määratletud määruses (EL) 2016/679, on nendel mõistetel sama tähendus kui selles määruses.

b)	Neid tingimusi loetakse ja tõlgendatakse määruse (EL) 2016/679 sätteid silmas pidades.

c)	Neid tingimusi ei tõlgendata viisil, mis läheb vastuollu määruses (EL) 2016/679 sätestatud õiguste ja kohustustega.

5. tingimus

Hierarhia

Käesolevate tingimuste ja nende kokkuleppimise ajal poolte vahel kehtinud või hiljem sõlmitud seotud lepingute sätete vastuolu korral kohaldatakse käesolevaid tingimusi.

6. tingimus

Edastamis(t)e kirjeldus

Edastamis(t)e üksikasjad, eelkõige edastatavate isikuandmete liigid ning eesmärgid, mille jaoks neid edastatakse, on täpsustatud I.B lisas.

7. tingimus – vabatahtlik

Ühinemistingimus

a)	Üksus, kes ei ole käesolevate tingimuste pool, võib kõigi poolte nõusolekul nende tingimustega igal ajal ühineda andmeeksportijana või andmeimportijana; selleks täidab ta liite ja allkirjastab I.A lisa.

b)	Kui ta on liite täitnud ja I.A lisa allkirjastanud, saab ühinev üksus käesolevate tingimuste pooleks ning tal on andmeeksportija või andmeimportija õigused ja kohustused vastavalt tema tähistusele I.A lisas.

c)	Ühinevale üksusele ei tulene pooleks saamise eelsel perioodil käesolevatest tingimustest õigusi ega kohustusi.

II JAGU. POOLTE KOHUSTUSED

8. tingimus

Andmekaitsemeetmed

Andmeeksportija garanteerib, et ta teeb mõistlikke jõupingutusi, veendumaks et andmeimportija suudab tänu asjakohaste tehniliste ja korralduslike meetmete rakendamisele täita käesolevate tingimuste kohaseid kohustusi.

ESIMENE MOODUL: edastamine vastutavalt töötlejalt vastutavale töötlejale

8.1. Eesmärgikohasus

Andmeimportija töötleb isikuandmeid üksnes konkreetse(te)l edastamiseesmärgil (-eesmärkidel), nagu osutatud I.B lisas. Ta tohib töödelda isikuandmeid muul eesmärgil üksnes juhul, kui

i)	ta on hankinud andmesubjekti eelneva nõusoleku;

ii)	see on vajalik teatavates haldus-, regulatiiv- või kohtumenetlustes õigusnõuete koostamiseks, esitamiseks või kaitsmiseks; või

iii)	see on vajalik andmesubjekti või mõne muu füüsilise isiku eluliste huvide kaitsmiseks.

8.2. Läbipaistvus

Selleks et võimaldada andmesubjektidel oma õigusi vastavalt 10. tingimusele tõhusalt kasutada, teavitab andmeimportija neid otse või andmeeksportija kaudu järgmisest:

i)	töötleja nimi ja kontaktandmed;

ii)	töödeldavate isikuandmete liigid;

iii)	õigus saada endale nende tingimuste koopia;

iv)	kui ta kavatseb saata sellise vastuvõtja või vastuvõtjate kategooriate (nagu on asjakohane sisulise teabe andmiseks) isikuandmeid edasi mis tahes kolmanda(te)le isiku(te)le, sellise edasisaatmise eesmärk ja alus vastavalt punktile 8.7.

Punkti a ei kohaldata juhul, kui andmesubjektil on see teave juba olemas, sealhulgas kui andmeeksportija on seda teavet juba andnud, või kui teabe andmine osutub võimatuks või nõuaks andmeimportijalt ebaproportsionaalseid jõupingutusi. Viimasel juhul teeb andmeimportija teabe suurimas võimalikus ulatuses avalikult kättesaadavaks.

Taotluse korral teevad pooled käesolevate tingimuste, sealhulgas nende täidetud liite koopia andmesubjektile tasuta kättesaadavaks. Ulatuses, milles see on vajalik ärisaladuse või muu konfidentsiaalse teabe, sealhulgas isikuandmete kaitsmiseks, võivad pooled käesolevate tingimuste liite tekstiosi enne koopia jagamist redigeerida, kuid siis tuleb neil juhul, kui andmesubjekt ei saaks muidu sisust aru ja/või oma õigusi kasutada, esitada sisukas kokkuvõtte. Taotluse korral esitavad pooled andmesubjektile redigeerimise põhjendused, niivõrd kui see on redigeeritud teavet avaldamata võimalik.

d)	Punktid a–c ei piira määruse (EL) 2016/679 artikli 13 ja 14 kohaseid andmeeksportija kohustusi.

8.3. Täpsus ja võimalikult väheste andmete kogumine

a)	Iga pool tagab, et isikuandmed on täpsed ja vajaduse korral ajakohastatud. Andmeimportija võtab kõik põhjendatud meetmed tagamaks, et töötlemise eesmärki (eesmärke) arvesse võttes kustutatakse või parandatakse ebatäpsed isikuandmed viivitamata.

b)	Kui üks pooltest saab teada, et edastatud või vastu võetud isikuandmed on ebatäpsed või aegunud, teavitab ta teist poolt põhjendamatu viivituseta.

c)	Andmeimportija tagab, et isikuandmed on piisavad ja asjakohased ning piiratud sellega, mis on töötlemise eesmärgil (eesmärkidel) vajalik.

8.4. Säilitamise piirang

Andmeimportija säilitab isikuandmeid üksnes senikaua, kuni see on vajalik nende andmete töötlemise eesmärgil (eesmärkidel). Ta kehtestab asjakohased tehnilised või korralduslikud meetmed selle kohustuse täitmise tagamiseks, sealhulgas andmete ja kõigi varukoopiate kustutamise või anonüümimise (2) säilitusperioodi lõpus.

8.5. Töötlemise turvalisus

Andmeimportija ja edastamise ajal ka andmeeksportija võtab asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada isikuandmete turvalisus, sealhulgas kaitse sellise turvanõuete rikkumise eest, mis põhjustab andmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise, loata avalikustamise või neile loata juurdepääsu (edaspidi „isikuandmetega seotud rikkumine“). Vajaliku turvalisuse taseme hindamisel võtavad nad nõuetekohaselt arvesse tehnika taset, rakendamise kulusid, töötlemise laadi, ulatust, konteksti ja eesmärki (eesmärke) ning töötlemisega andmesubjektile kaasnevaid ohte. Pooled kaaluvad eelkõige krüpteerimist või pseudonüümimist, kui töötlemise eesmärki saab sel viisil täita.

b)	Pooled on leppinud kokku II lisas sätestatud tehniliste ja korralduslike meetmete kogumi. Andmeimportija teeb korrapäraseid kontrolle, kindlustamaks et nende meetmetega tagatakse jätkuvalt vajalik turvalisuse tase.

c)	Andmeimportija tagab, et isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane seadusjärgne konfidentsiaalsuskohustus.

d)	Kui nende isikuandmete puhul, mida andmeimportija käesolevate tingimuste alusel töötleb, ilmneb isikuandmetega seotud rikkumine, võtab andmeimportija asjakohaseid meetmeid selle isikuandmetega seotud rikkumise lahendamiseks, sealhulgas meetmeid selle võimaliku kahjuliku mõju leevendamiseks.

Kui isikuandmetega seotud rikkumine kujutab endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele, teavitab andmeimportija põhjendamatu viivituseta andmeeksportijat ja vastavalt 13. tingimusele ka pädevat järelevalveasutust. Selline teade sisaldab i) rikkumise laadi kirjeldust (sealhulgas võimaluse korral asjaomaste andmesubjektide kategooriad ja ligikaudne arv ning isikuandmete asjaomaste kirjete liigid ja ligikaudne arv), ii) selle tõenäolisi tagajärgi, iii) rikkumise lahendamiseks võetud või kavandatud meetmeid ja iv) lisateavet andva kontaktpunkti andmeid. Kui andmeimportijal ei ole võimalik kogu teavet korraga esitada, võib ta teabe esitada järk-järgult ilma põhjendamatu viivituseta.

Kui isikuandmetega seotud rikkumine kujutab endast tõenäoliselt suurt ohtu füüsiliste isikute õigustele ja vabadustele, teavitab andmeimportija põhjendamatu viivituseta ka asjaomaseid andmesubjekte isikuandmetega seotud rikkumisest ja selle laadist, vajaduse korral koostöös andmeeksportijaga, koos punkti e alapunktides ii–iv osutatud teabega, välja arvatud juhul, kui andmeimportija on võtnud meetmeid, et märkimisväärselt vähendada ohtu füüsiliste isikute õigustele või vabadustele või kui teatamine nõuaks ebaproportsionaalseid jõupingutusi. Viimasel juhul avaldab andmeimportija selle asemel avaliku teadaande või võtab muu sarnase meetme, millega teavitab üldsust isikuandmetega seotud rikkumisest.

g)	Andmeimportija dokumenteerib kõik asjaomased isikuandmetega seotud rikkumist puudutavad asjaolud, sealhulgas selle mõju ja mis tahes võetud parandusmeetmed, ning peab nende kohta registrit.

8.6. Tundlikud andmed

Kui edastamine hõlmab isikuandmeid, mis paljastavad rassilise või etnilise päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumise, või geneetilisi andmeid või füüsilise isiku kordumatuks tuvastamiseks kasutatavaid biomeetrilisi andmeid, terviseandmeid või andmeid inimese seksuaalelu ja seksuaalse sättumuse kohta või süüdimõistvate kohtuotsuste ja süütegudega seotud andmeid (edaspidi „tundlikud andmed“), kohaldab andmeimportija eripiiranguid ja/või täiendavaid kaitsemeetmeid, mis on kohandatud andmete ja seonduvate ohtude konkreetsele laadile. See võib hõlmata isikuandmetele juurdepääsu saavate töötajate arvu piiramist, täiendavaid turvameetmeid (nagu pseudonüümimine) ja/või lisapiiranguid edasisel avalikustamisel.

8.7. Edasisaatmine

Andmeimportija ei avalikusta isikuandmeid väljaspool Euroopa Liitu asuvale kolmandale isikule (3) (andmeimportijaga samas riigis või mõnes muus kolmandas riigis, edaspidi „edasisaatmine“), välja arvatud juhul, kui see kolmas isik on seotud või nõustub end siduma asjakohase mooduli kohaste tingimustega. Muul juhul võib andmeimportija saata andmeid edasi üksnes juhul, kui:

i)	need edastatakse riiki, mille kohta kehtib määruse (EL) 2016/679 artikli 45 kohane kaitse piisavuse otsus, mis hõlmab edasisaatmist;

ii)	kolmas isik tagab kõnealuse töötlemise puhul määruse (EL) 2016/679 artiklitele 46 või 47 vastavad asjakohased kaitsemeetmed muul viisil;

iii)	kolmas isik sõlmib andmeimportijaga siduva leppe, millega tagatakse käesolevate tingimustega samaväärne andmekaitsetase, ning andmeimportija esitab andmeeksportijale neid kaitsemeetmeid käsitleva dokumendi koopia;

iv)	see on vajalik teatavates haldus-, regulatiiv- või kohtumenetlustes õigusnõuete koostamiseks, esitamiseks või kaitsmiseks;

v)	see on vajalik andmesubjekti või mõne muu füüsilise isiku eluliste huvide kaitsmiseks või

vi)

kui neist ükski muu tingimus ei ole täidetud – andmeimportija on konkreetses olukorras andmete edasisaatmiseks saanud andmesubjektilt sõnaselge nõusoleku, pärast tema teavitamist edasisaatmise eesmärgist (eesmärkidest), vastuvõtja isikust ning sellise edastamise võimalikest ohtudest, mida talle põhjustab asjakohaste andmekaitsemeetmete puudumine. Sel juhul teavitab andmeimportija andmeeksportijat ning viimase taotlusel esitab talle koopia andmesubjektile esitatud teabest.

Mis tahes edasisaatmisel järgib andmeimportija kõiki käesolevate tingimuste kohaseid turvameetmeid, eelkõige eesmärgikohasust.

8.8. Töötlemine andmeimportija volituste alusel

Andmeimportija tagab, et tema volituste alusel tegutsev mis tahes isik, sealhulgas volitatud töötleja, töötleb andmeid üksnes tema antud juhiste alusel.

8.9. Dokumendid ja nõuetele vastavus

a)	Iga pool suudab tõendada käesolevatest tingimustest tulenevate kohustuste täitmist. Eelkõige peab andmeimportija säilitama asjakohaseid dokumente oma vastutusalas tehtud töötlemistoimingute kohta.

b)	Andmeimportija teeb sellised dokumendid vastava taotluse korral pädevale järelevalveasutusele kättesaadavaks.

TEINE MOODUL: edastamine vastutavalt töötlejalt volitatud töötlejale

8.1. Juhised

a)	Andmeimportija töötleb isikuandmeid üksnes andmeeksportija dokumenteeritud juhiste alusel. Andmeeksportija võib selliseid juhiseid anda kogu lepingu kehtivuse aja jooksul.

b)	Andmeimportija teavitab andmeeksportijat viivitamata, kui ta ei saa neid juhiseid järgida.

8.2. Eesmärgikohasus

Andmeimportija töötleb isikuandmeid üksnes konkreetse(te)l edastamiseesmärgil (-eesmärkidel), nagu on osutatud I.B lisas, välja arvatud juhul, kui andmeeksportija on andnud lisajuhiseid.

8.3. Läbipaistvus

Taotluse korral teeb andmeeksportija käesolevate tingimuste, sealhulgas poolte täidetud liite koopia andmesubjektile tasuta kättesaadavaks. Ulatuses, milles see on vajalik ärisaladuse või muu konfidentsiaalse teabe, sealhulgas II lisas kirjeldatud meetmete ja isikuandmete kaitsmiseks, võib andmeeksportija käesolevate tingimuste liite tekstiosi enne koopia jagamist redigeerida, kuid siis tuleb tal juhul, kui andmesubjekt ei saaks muidu sisust aru ja/või oma õigusi kasutada, esitada sisukas kokkuvõtte. Taotluse korral esitavad pooled andmesubjektile redigeerimise põhjendused, niivõrd kui see on redigeeritud teavet avaldamata võimalik. See tingimus ei piira määruse (EL) 2016/679 artikli 13 ja 14 kohaseid andmeeksportija kohustusi.

8.4. Täpsus

Kui andmeimportija saab teada, et laekunud isikuandmed on ebatäpsed või aegunud, teavitab ta sellest andmeeksportijat põhjendamatu viivituseta. Sel juhul teeb andmeimportija andmete kustutamiseks või parandamiseks koostööd andmeeksportijaga.

8.5. Töötlemise kestus ja andmete kustutamine või tagastamine

Andmeimportija töötleb andmeid üksnes I.B lisas osutatud aja jooksul. Pärast töötlemisteenuste osutamise lõpetamist kustutab andmeimportija andmeeksportija valikul kas kõik andmeeksportija nimel töödeldud isikuandmed ja esitab andmeeksportijale kustutamise kohta tunnistuse või tagastab andmeeksportijale kõik tema nimel töödeldud isikuandmed ja kustutab olemasolevad koopiad. Andmeimportija jätkab nendele tingimustele vastavuse tagamist seni, kuni andmed kustutatakse või tagastatakse. Kui andmeimportija suhtes kohaldatavate kohalike seadustega keelatakse isikuandmete tagastamine või kustutamine, garanteerib andmeimportija, et ta jätkab nendele tingimustele vastavuse tagamist ning töötleb andmeid üksnes sellise kohaliku õigusega nõutavas ulatuses ja ajavahemikus. See ei piira 14. tingimuse, eelkõige andmeimportija kohta kehtiva 14. tingimuse punkti e nõuet teavitada andmeeksportijat viivitamata lepingu kogu kestuse ajal, kui tal on põhjust arvata, et tema suhtes kohaldatakse või on hakatud kohaldama seadusi või tavasid, mis ei ole kooskõlas 14. tingimuse punkti a nõuetega.

8.6. Töötlemise turvalisus

Andmeimportija ja edastamise ajal ka andmeeksportija võtab asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada andmete turvalisus, sealhulgas kaitse sellise turvanõuete rikkumise eest, mis põhjustab andmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise, loata avalikustamise või neile loata juurdepääsu (edaspidi „isikuandmetega seotud rikkumine“). Vajaliku turvalisuse taseme hindamisel võtavad pooled nõuetekohaselt arvesse praegust tehnika taset, rakendamise kulusid, töötlemise laadi, ulatust, konteksti ja eesmärki (eesmärke) ning töötlemisega andmesubjektidele kaasnevaid ohte. Pooled kaaluvad eelkõige krüpteerimist või pseudonüümimist, kui töötlemise eesmärki saab sel viisil täita. Pseudonüümimisel jääb isikuandmeid konkreetse andmesubjektiga seostada võimaldav lisateave võimaluse korral andmeeksportija ainukontrolli alla. Käesoleva lõigu kohaste kohustuse täitmiseks rakendab andmeimportija vähemalt II lisas osutatud tehnilised ja korralduslikud meetmed. Andmeimportija teeb korrapäraseid kontrolle, kindlustamaks et nende meetmetega tagatakse jätkuvalt vajalik turvalisuse tase.

Andmeimportija annab oma töötajatele juurdepääsu isikuandmetele üksnes ulatuses, mis on rangelt vajalik lepingu täitmiseks, haldamiseks ja järelevalveks. See tagab, et isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane seadusjärgne konfidentsiaalsuskohustus.

Kui nende isikuandmete puhul, mida andmeimportija käesolevate tingimuste alusel töötleb, ilmneb isikuandmetega seotud rikkumine, võtab andmeimportija asjakohaseid meetmeid selle rikkumise lahendamiseks, sealhulgas meetmeid selle kahjuliku mõju leevendamiseks. Pärast rikkumisest teada saamist teavitab andmeimportija põhjendamatu viivituseta ka andmeeksportijat. Selline teade sisaldab lisateavet andva kontaktpunkti andmeid, rikkumise laadi kirjeldust (sealhulgas võimaluse korral asjaomaste andmesubjektide kategooriad ja ligikaudne arv ning isikuandmete asjaomaste kirjete liigid ja ligikaudne arv), selle tõenäolisi tagajärgi, rikkumise lahendamiseks võetud või võtmiseks kavandatud meetmeid ja asjakohasel juhul meetmeid selle võimaliku kahjuliku mõju leevendamiseks. Juhul ja niivõrd, kui kogu teavet ei ole võimalik esitada korraga, sisaldab esialgne teade sel ajal kättesaadavat teavet ning täiendav teave esitatakse pärast selle saamist ja põhjendamatu viivituseta.

Andmeimportija teeb andmeeksportijaga koostööd ja abistab teda, et võimaldada andmeeksportijal täita talle määrusest (EL) 2016/679 tulenevaid kohustusi, eelkõige teavitada pädevat järelevalveasutust ja mõjutatud andmesubjekte, võttes arvesse töötlemise laadi ja andmeimportijale kättesaadavat teavet.

8.7. Tundlikud andmed

Kui edastamine hõlmab isikuandmeid, mis paljastavad rassilise või etnilise päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumise, või geneetilisi andmeid, füüsilise isiku kordumatuks tuvastamiseks kasutatavaid biomeetrilisi andmeid, terviseandmeid või andmeid inimese seksuaalelu ja seksuaalse sättumuse kohta või süüdimõistvate kohtuotsuste ja süütegudega seotud andmeid (edaspidi „tundlikud andmed“), kohaldab andmeimportija I.B lisas kirjeldatud eripiiranguid ja/või täiendavaid kaitsemeetmeid.

8.8. Edasisaatmine

Andmeimportija avalikustab isikuandmeid kolmandale isikule üksnes andmeeksportija dokumenteeritud juhiste alusel. Lisaks võib isikuandmeid avalikustada väljaspool Euroopa Liitu asuvale kolmandale isikule (4) (andmeimportijaga samas riigis või mõnes muus kolmandas riigis, edaspidi „edasisaatmine“), kui see kolmas isik on seotud või nõustub end siduma asjakohase mooduli kohaste tingimustega või kui

i)	need saadetakse edasi riiki, mille kohta kehtib määruse (EL) 2016/679 artikli 45 kohane kaitse piisavuse otsus, mis hõlmab edasisaatmist;

ii)	kolmas isik tagab kõnealuse töötlemise puhul määruse (EL) 2016/679 artiklitele 46 või 47 vastavad asjakohased kaitsemeetmed muul viisil;

iii)	edasisaatmine on vajalik teatavates haldus-, regulatiiv- või kohtumenetlustes õigusnõuete koostamiseks, esitamiseks või kaitsmiseks või

iv)	edasisaatmine on vajalik andmesubjekti või mõne muu füüsilise isiku eluliste huvide kaitsmiseks.

Mis tahes edasisaatmisel järgib andmeimportija kõiki käesolevate tingimuste kohaseid turvameetmeid, eelkõige eesmärgikohasust.

8.9. Dokumendid ja nõuetele vastavus

a)	Andmeimportija tegeleb viivitamata ja asjakohasel viisil andmeeksportija päringutega, mis on seotud käesolevate tingimuste kohase töötlemisega.

b)	Pooled peavad suutma tõendada käesolevate tingimuste täitmist. Eelkõige peab andmeimportija säilitama andmeeksportija nimel tehtud töötlemistoimingute kohta asjakohaseid dokumente.

Andmeimportija teeb andmeeksportijale kättesaadavaks kogu teabe, mis on vajalik, et tõendada käesolevates tingimustes sätestatud kohustuste täitmist, ning andmeeksportija taotlusel võimaldab ta mõistlike ajavahemike järel või tingimustele mittevastavusele osutavate asjaolude ilmnemisel teha käesolevate tingimustega hõlmatud töötlemistoimingute auditeid ja aitab nende tegemisele kaasa. Läbivaatamise või auditi üle otsustamisel võib andmeeksportija võtta arvesse andmeimportija olemasolevaid asjakohaseid sertifikaate.

d)	Andmeeksportija võib otsustada, et teeb auditi ise, või volitada selleks sõltumatu audiitori. Auditid võivad hõlmata kontrollkäike andmeimportija ruumidesse või füüsilistesse rajatistesse ning vajaduse korral tehakse neid mõistliku etteteatamisega.

e)	Pooled teevad punktides b ja c osutatud teabe, sealhulgas mis tahes auditite tulemused, taotluse korral pädevale järelevalveasutusele kättesaadavaks.

KOLMAS MOODUL: edastamine volitatud töötlejalt volitatud töötlejale

8.1. Juhised

a)	Andmeeksportija on andmeimportijat teavitanud, et ta tegutseb volitatud töötlejana vastavalt oma vastutava(te) töötleja(te) juhistele, mille andmeeksportija teeb volitatud töötlejale enne töötlemist kättesaadavaks.

Andmeimportija töötleb isikuandmeid üksnes vastutava töötleja juhiste alusel, mille andmeeksportija on andmeimportijale teatavaks teinud, ning andmeeksportijalt saadud mis tahes dokumenteeritud lisajuhiste alusel. Sellised lisajuhised ei tohi olla vastuolus vastutava töötleja juhistega. Vastutav töötleja või andmeeksportija võib kogu lepingu kestel esitada andmetöötluse kohta täiendavaid dokumenteeritud juhiseid.

c)	Andmeimportija teavitab andmeeksportijat viivitamata, kui ta ei saa neid juhiseid järgida. Kui andmeimportija ei ole võimeline järgima vastutava töötleja juhiseid, teavitab andmeeksportija viivitamata vastutavat töötlejat.

d)	Andmeeksportija garanteerib, et ta on kehtestanud andmeimportijale samad andmekaitsekohustused, mis on vastutava töötleja ja andmeeksportija vahel sätestatud lepinguga või muu liidu või liikmesriigi õiguse kohase õigusaktiga (5).

8.2. Eesmärgikohasus

Andmeimportija töötleb isikuandmeid üksnes teatava(te)l edastamiseesmärgil (-eesmärkidel), nagu osutatud I.B lisas, välja arvatud juhul, kui vastutav töötleja on andnud täiendavaid juhiseid, mille andmeeksportija on edastanud andmeimportijale, või kui andmeeksportija on andnud täiendavaid juhiseid.

8.3. Läbipaistvus

Taotluse korral teeb andmeeksportija käesolevate tingimuste, sealhulgas poolte täidetud liite koopia andmesubjektile tasuta kättesaadavaks. Ulatuses, milles see on vajalik ärisaladuse või muu konfidentsiaalse teabe, sealhulgas isikuandmete kaitsmiseks, võib andmeeksportija käesolevate tingimuste liite tekstiosi enne koopia jagamist redigeerida, kuid siis tuleb tal juhul, kui andmesubjekt ei saaks muidu sisust aru ja/või oma õigusi kasutada, esitada sisukas kokkuvõtte. Taotluse korral esitavad pooled andmesubjektile redigeerimise põhjendused, niivõrd kui see on redigeeritud teavet avaldamata võimalik.

8.4. Täpsus

Kui andmeimportija saab teada, et laekunud isikuandmed on ebatäpsed või aegunud, teavitab ta sellest andmeeksportijat põhjendamatu viivituseta. Sel juhul teeb andmeimportija andmete parandamiseks või kustutamiseks koostööd andmeeksportijaga.

8.5. Töötlemise kestus ja andmete kustutamine või tagastamine

Andmeimportija töötleb andmeid üksnes I.B lisas osutatud aja jooksul. Pärast töötlemisteenuste osutamise lõpetamist kustutab andmeimportija andmeeksportija valikul kas kõik vastutava töötleja nimel töödeldud isikuandmed ja esitab andmeeksportijale kustutamise kohta tunnistuse või tagastab andmeeksportijale kõik tema nimel töödeldud isikuandmed ja kustutab olemasolevad koopiad. Andmeimportija jätkab nendele tingimustele vastavuse tagamist seni, kuni andmed kustutatakse või tagastatakse. Kui andmeimportija suhtes kohaldatavate kohalike seadustega keelatakse isikuandmete tagastamine või kustutamine, garanteerib andmeimportija, et ta jätkab nendele tingimustele vastavuse tagamist ning töötleb andmeid üksnes sellise kohaliku õigusega nõutavas ulatuses ja ajavahemikus. See ei piira 14. tingimuse, eelkõige andmeimportija kohta kehtiva 14. tingimuse punkti e nõuet teavitada andmeeksportijat viivitamata lepingu kogu kestuse ajal, kui tal on põhjust arvata, et tema suhtes kohaldatakse või on hakatud kohaldama seadusi või tavasid, mis ei ole kooskõlas 14. tingimuse punkti a nõuetega.

8.6. Töötlemise turvalisus

Andmeimportija ja edastamise ajal ka andmeeksportija võtab asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada andmete turvalisus, sealhulgas kaitse sellise turvanõuete rikkumise eest, mis põhjustab andmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise, loata avalikustamise või neile loata juurdepääsu (edaspidi „isikuandmetega seotud rikkumine“). Vajaliku turvalisuse taseme hindamisel võtavad nad nõuetekohaselt arvesse tehnika taset, rakendamise kulusid, töötlemise laadi, ulatust, konteksti ja eesmärki (eesmärke) ning töötlemisega andmesubjektile kaasnevaid ohte. Pooled kaaluvad eelkõige krüpteerimist või pseudonüümimist, kui töötlemise eesmärki saab sel viisil täita. Pseudonüümimisel jääb isikuandmeid konkreetse andmesubjektiga seostada võimaldav lisateave võimaluse korral andmeeksportija või vastutava töötleja ainukontrolli alla. Käesoleva lõigu kohaste kohustuse täitmiseks rakendab andmeimportija vähemalt II lisas osutatud tehnilised ja korralduslikud meetmed. Andmeimportija teeb korrapäraseid kontrolle, kindlustamaks et nende meetmetega tagatakse jätkuvalt vajalik turvalisuse tase.

Andmeimportija annab oma töötajatele juurdepääsu andmetele üksnes ulatuses, mis on rangelt vajalik lepingu täitmiseks, haldamiseks ja järelevalveks. See tagab, et isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane seadusjärgne konfidentsiaalsuskohustus.

Kui nende isikuandmete puhul, mida andmeimportija käesolevate tingimuste alusel töötleb, ilmneb isikuandmetega seotud rikkumine, võtab andmeimportija asjakohaseid meetmeid selle rikkumise lahendamiseks, sealhulgas meetmeid selle kahjuliku mõju leevendamiseks. Pärast sellisest rikkumisest teadasaamist teavitab andmeimportija põhjendamatu viivituseta ka andmeeksportijat, ning kui see on asjakohane ja teostatav, vastutavat töötlejat. Selline teade sisaldab lisateavet andva kontaktpunkti andmeid, rikkumise laadi kirjeldust (sealhulgas võimaluse korral asjaomaste andmesubjektide kategooriad ja ligikaudne arv ning isikuandmete asjaomaste kirjete liigid ja ligikaudne arv), selle tõenäolisi tagajärgi, andmetega seotud rikkumise lahendamiseks võetud või võtmiseks kavandatud meetmeid, sealhulgas meetmeid selle võimaliku kahjuliku mõju leevendamiseks. Juhul ja niivõrd, kui kogu teavet ei ole võimalik esitada korraga, sisaldab esialgne teade sel ajal kättesaadavat teavet ning täiendav teave esitatakse pärast selle saamist ja põhjendamatu viivituseta.

Andmeimportija teeb andmeeksportijaga koostööd ja abistab teda, et võimaldada andmeeksportijal täita talle määrusest (EL) 2016/679 tulenevaid kohustusi, eelkõige teavitada oma vastutavat töötlejat, et see saaks omakorda teavitada pädevat järelevalveasutust ja mõjutatud andmesubjekte, võttes arvesse töötlemise laadi ja andmeimportijale saadaolevat teavet.

8.7. Tundlikud andmed

Kui edastamine hõlmab isikuandmeid, mis paljastavad rassilise või etnilise päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumise, või geneetilisi andmeid, füüsilise isiku kordumatuks tuvastamiseks kasutatavaid biomeetrilisi andmeid, terviseandmeid või andmeid inimese seksuaalelu ja seksuaalse sättumuse kohta või süüdimõistvate kohtuotsuste ja süütegudega seotud andmeid (edaspidi „tundlikud andmed“), kohaldab andmeimportija I.B lisas sätestatud eripiiranguid ja/või täiendavaid kaitsemeetmeid.

8.8. Edasisaatmine

Andmeimportija avalikustab isikuandmeid kolmandale isikule üksnes vastutava töötleja dokumenteeritud juhiste alusel, mille andmeeksportija on andmeimportijale andnud. Lisaks võib isikuandmeid avalikustada väljaspool Euroopa Liitu asuvale kolmandale isikule (6) (andmeimportijaga samas riigis või mõnes muus kolmandas riigis, edaspidi „edasisaatmine“), kui see kolmas isik on seotud või nõustub end siduma asjakohase mooduli kohaste tingimustega või kui

i)	need saadetakse edasi riiki, mille kohta kehtib määruse (EL) 2016/679 artikli 45 kohane kaitse piisavuse otsus, mis hõlmab edasisaatmist;

ii)	kolmas isik tagab määruse (EL) 2016/679 artiklitele 46 või 47 vastavad asjakohased kaitsemeetmed muul viisil;

iii)	edasisaatmine on vajalik teatavates haldus-, regulatiiv- või kohtumenetlustes õigusnõuete koostamiseks, esitamiseks või kaitsmiseks või

iv)	edasisaatmine on vajalik andmesubjekti või mõne muu füüsilise isiku eluliste huvide kaitsmiseks.

Mis tahes edasisaatmisel järgib andmeimportija kõiki käesolevate tingimuste kohaseid turvameetmeid, eelkõige eesmärgikohasust.

8.9. Dokumendid ja nõuetele vastavus

a)	Andmeimportija tegeleb viivitamata ja asjakohasel viisil andmeeksportija või vastutava töötleja päringutega, mis on seotud käesolevate tingimuste kohase töötlemisega.

b)	Pooled peavad suutma tõendada käesolevate tingimuste täitmist. Eelkõige peab andmeimportija säilitama vastutava töötleja nimel tehtava töötlemistoimingute kohta asjakohaseid dokumente.

c)	Andmeimportija teeb andmeeksportijale kättesaadavaks kogu teabe, mis on vajalik, et tõendada käesolevates tingimustes sätestatud kohustuste täitmist, ning andmeeksportija esitab selle vastutavale töötlejale.

Andmeimportija võimaldab andmeeksportijal mõistlike ajavahemike järel või tingimustele mittevastavusele osutavate asjaolude ilmnemisel teha käesolevate tingimuste alla kuuluvate töötlemistoimingute auditeid ja aitab nende tegemisele kaasa. Sama kehtib siis, kui andmeeksportija taotleb vastutava töötleja juhiste kohaselt auditit. Auditi üle otsustamisel võib andmeeksportija võtta arvesse andmeimportija olemasolevaid asjakohaseid sertifikaate.

e)	Kui audit tehakse vastutava töötleja juhiste kohaselt, teeb andmeeksportija tulemused vastutavale töötlejale kättesaadavaks.

f)	Andmeeksportija võib otsustada, et teeb auditi ise, või volitada selleks sõltumatu audiitori. Auditid võivad hõlmata kontrollkäike andmeimportija ruumidesse või füüsilistesse rajatistesse ning vajaduse korral tehakse neid mõistliku etteteatamisega.

g)	Pooled teevad punktides b ja c osutatud teabe, sealhulgas mis tahes auditite tulemused, taotluse korral pädevale järelevalveasutusele kättesaadavaks.

NELJAS MOODUL: edastamine volitatud töötlejalt vastutavale töötlejale

8.1. Juhised

a)	Andmeeksportija töötleb isikuandmeid üksnes tema vastutava töötlejana tegutseva andmeimportija antud dokumenteeritud juhiste alusel.

b)	Andmeeksportija teavitab andmeimportijat viivitamata, kui ta ei ole võimeline neid juhiseid järgima, sealhulgas juhul, kui need juhised lähevad vastuollu määrusega (EL) 2016/679 või muude liidu või liikmesriigi andmekaitsealaste õigusaktidega.

c)	Andmeimportija hoidub mis tahes toimingust, mis takistaks andmeeksportijal täitmast määruse (EL) 2016/679 kohaseid kohustusi, sealhulgas alamtöötlemise puhul või pädevate järelevalveasutustega tehtava koostöö asjus.

Pärast töötlemisteenuste osutamise lõpetamist kustutab andmeeksportija andmeimportija valikul kas kõik andmeimportija nimel töödeldud isikuandmed ja esitab andmeimportijale kustutamise kohta tunnistuse või tagastab andmeimportijale kõik tema nimel töödeldud isikuandmed ja kustutab olemasolevad koopiad.

8.2. Töötlemise turvalisus

Pooled võtavad asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada andmete turvalisus ka edastamise ajal, ning kaitse sellise turvanõuete rikkumise eest, mis põhjustab andmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise, loata avalikustamise või neile loata juurdepääsu (edaspidi „isikuandmetega seotud rikkumine“). Vajaliku turvalisuse taseme hindamisel võtavad nad nõuetekohaselt arvesse tehnika taset, rakenduskulusid, isikuandmete laadi, (7) töötlemise laadi, ulatust, konteksti ja eesmärki (eesmärke) ning töötlemisega andmesubjektidele kaasnevaid ohte, ja eelkõige kaaluvad krüpteerimist või pseudonüümimist, sealhulgas edastamise ajal, kui töötlemise eesmärki saab sel viisil täita.

Andmeeksportija aitab andmeimportijal tagada andmete asjakohase turvalisuse kooskõlas punktiga a. Kui nende isikuandmete puhul, mida andmeeksportija käesolevate tingimuste alusel töötleb, ilmneb isikuandmetega seotud rikkumine, teavitab andmeeksportija sellest teada saades viivitamata andmeimportijat ning aitab andmeimportijal rikkumist lahendada.

c)	Andmeeksportija tagab, et isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane seadusjärgne konfidentsiaalsuskohustus.

8.3. Dokumendid ja nõuetele vastavus

a)	Pooled peavad suutma tõendada käesolevate tingimuste täitmist.

b)	Andmeeksportija teeb andmeimportijale kättesaadavaks kogu teabe, mis on vajalik, et tõendada käesolevate tingimuste kohaste kohustuste täitmist, ning võimaldab teha auditeid ja aitab nende tegemisele kaasa.

9. tingimus

Alamtöötlejate kasutamine

TEINE MOODUL: edastamine vastutavalt töötlejalt volitatud töötlejale

1. VARIANT: EELNEV ERILUBA – andmeimportija ei kasuta käesolevate tingimuste kohaste töötlemistoimingute andmeeksportija nimel tegemiseks alltöövõttu alamtöötlejat, kui andmeeksportija ei ole eelnevalt andnud kirjalikku luba. Andmeimportija esitab eriloa taotluse vähemalt [märkida ajavahemik] enne alamtöötleja kaasamist koos teabega, mis on vajalik, et andmeeksportija saaks loa kohta otsuse teha. Andmeeksportijalt juba loa saanud alamtöötlejate loetelu on esitatud III lisas. Pooled hoiavad III lisa ajakohasena.

2. VARIANT: ÜLDINE KIRJALIK LUBA – andmeimportijal on andmeeksportija üldine luba kaasata kokkulepitud loendisse kuuluv(ad) alamtöötleja(d). Andmeimportija teavitab andmeeksportijat eraldi kirjalikult selle loetelu mis tahes kavandatud muudatustest, st alamtöötlejate lisamisest või asendamisest vähemalt [märkida ajavahemik] ette, andes andmeeksportijale enne alamtöötleja(te) kaasamist seega piisavalt aega esitada sellistele muudatustele vastuväiteid. Andmeimportija annab andmeeksportijale teavet, mis on vajalik, et võimaldada andmeeksportijal kasutada õigust esitada vastuväiteid.

Kui andmeimportija kaasab teatavate töötlemistoimingute tegemiseks (andmeeksportija nimel) alamtöötleja, teeb ta seda kirjaliku lepinguga, milles nähakse ette sisuliselt samad andmekaitsekohustused kui need, mis on andmeimportijale käesolevate tingimuste kohaselt siduvad, sealhulgas seoses andmesubjektide kui soodustatud kolmandate isikute õigustega (8). Pooled nõustuvad, et käesoleva tingimuse järgimisega täidab andmeimportija punkti 8.8 kohased kohustused. Andmeimportija tagab, et alamtöötleja täidab käesolevate tingimustega andmeimportijale kehtestatud kohustused.

Andmeimportija esitab andmeeksportija taotlusel andmeeksportijale alamtöötlejaga sõlmitud lepingu koopia ja selle mis tahes edasised muudatused. Ulatuses, milles see on vajalik ärisaladuse või muu konfidentsiaalse teabe, sealhulgas isikuandmete kaitsmiseks, võib andmeimportija lepingu teksti enne koopia jagamist redigeerida.

d)	Andmeimportija jääb andmeeksportija ees täielikult vastutavaks andmeimportija ja alamtöötleja lepingu kohaste alamtöötleja kohustuste täitmise eest. Andmeimportija teavitab andmeeksportijat alamtöötleja mis tahes suutmatusest täita selle lepingu kohaseid kohustusi.

Andmeimportija lepib alamtöötlejaga kokku soodustatud kolmanda isiku tingimuses, mille kohaselt on andmeeksportijal juhul, kui andmeimportija on teadaolevalt kadunud, oma seadusjärgse tegevuse lõpetanud või maksejõuetuks muutunud, õigus alamtöötleja leping lõpetada ning anda alamtöötlejale korraldus isikuandmed kustutada või tagastada.

KOLMAS MOODUL: edastamine volitatud töötlejalt volitatud töötlejale

1. VARIANT: EELNEV ERILUBA – andmeimportija ei kasuta käesolevate tingimuste kohaste töötlemistoimingute andmeeksportija nimel tegemiseks alltöövõttu alamtöötlejat, kui vastutav töötleja ei ole eelnevalt andnud kirjalikku luba. Andmeimportija esitab eriloa saamiseks taotluse vähemalt [märkida ajavahemik] enne alamtöötleja kaasamist koos teabega, mis on vajalik, et vastutav töötleja saaks loa üle otsustada. Ta teavitab sellest kaasamisest andmeeksportijat. Vastutavalt töötlejalt juba loa saanud alamtöötlejate loetelu on esitatud III lisas. Pooled hoiavad III lisa ajakohasena.

2. VARIANT: ÜLDINE KIRJALIK LUBA – andmeimportijal on vastutava töötleja üldine luba kaasata kokkulepitud loendisse kuuluv(ad) alamtöötleja(d). Andmeimportija teavitab vastutavat töötlejat eraldi kirjalikult selle loetelu mis tahes kavandatud muudatustest, st alamtöötlejate lisamisest või asendamisest vähemalt [märkida ajavahemik] ette, andes vastutavale töötlejale enne alamtöötleja(te) kaasamist seega piisavalt aega esitada sellistele muudatustele vastuväiteid. Andmeimportija annab vastutavale töötlejale teavet, mis on vajalik, et võimaldada vastutaval töötlejal kasutada õigust esitada vastuväiteid. Andmeimportija teavitab alamtöötleja(te) kaasamisest andmeeksportijat.

Kui andmeimportija kaasab teatavate töötlemistoimingute tegemiseks (vastutava töötleja nimel) alamtöötleja, teeb ta seda kirjaliku lepinguga, milles nähakse sisuliselt ette samad andmekaitsekohustused kui need, mis on andmeimportijale käesolevate tingimuste kohaselt siduvad, sealhulgas seoses andmesubjektide kui soodustatud kolmandate isikute õigustega (9). Pooled nõustuvad, et käesoleva tingimuse järgimisega täidab andmeimportija punkti 8.8 kohased kohustused. Andmeimportija tagab, et alamtöötleja täidab käesolevate tingimustega andmeimportijale kehtestatud kohustused.

Andmeimportija esitab andmeeksportija või vastutava töötleja taotlusel alamtöötlejaga sõlmitud kõnealuse lepingu ja selle mis tahes edasised muudatused. Ulatuses, milles see on vajalik ärisaladuse või muu konfidentsiaalse teabe, sealhulgas isikuandmete kaitsmiseks, võib andmeimportija lepingu teksti enne koopia jagamist redigeerida.

d)	Andmeimportija jääb andmeeksportija ees täielikult vastutavaks andmeimportija ja alamtöötleja lepingu kohaste alamtöötleja kohustuste täitmise eest. Andmeimportija teavitab andmeeksportijat alamtöötleja mis tahes suutmatusest täita selle lepingu kohaseid kohustusi.

10. tingimus

Andmesubjektide õigused

ESIMENE MOODUL: edastamine vastutavalt töötlejalt vastutavale töötlejale

Andmeimportija tegeleb – asjakohasel juhul andmeeksportija abiga – mis tahes päringute ja taotlustega, mis talle andmesubjektilt saabuvad seoses andmesubjekti isikuandmete töötlemisega ja käesolevate tingimuste kohaste õiguste kasutamisega, viivitamata ja hiljemalt ühe kuu jooksul alates sellise päringu või taotluse saamisest (10). Andmeimportija võtab asjakohaseid meetmeid selliste päringute, taotluste ja andmesubjekti õiguste kasutamise hõlbustamiseks. Kogu andmesubjektile antav teave esitatakse arusaadavas ja kergesti juurdepääsetavas vormis ning selges ja lihtsas sõnastuses.

Eelkõige teeb andmeimportija andmesubjekti taotlusel tasuta järgmist:

annab andmesubjektile teavet selle kohta, kas tema isikuandmeid töödeldakse, ja kui see on nii, siis esitab temaga seotud andmete ning I lisas nimetatud teabe koopia; kui isikuandmeid on edasi saadetud või kavatsetakse edasi saata, annab teavet vastuvõtja või vastuvõtjate kategooriate kohta (olenevalt sellest, mis on sisulise teabe andmiseks asjakohane), kellele isikuandmeid on edasi saadetud või kavatsetakse edasi saata, selliste edasisaatmiste eesmärgi ja aluse kohta vastavalt punktile 8.7; ning annab teavet õiguse kohta esitada järelevalveasutusele 12. tingimuse punkti c alapunkti i kohaselt kaebus;

ii)	parandab andmesubjekti puudutavad ebatäpsed või ebatäielikud andmed;

iii)	kustutab andmesubjekti puudutavad andmed, kui neid andmeid töödeldi vastuolus mõne sellise käesoleva tingimusega, millega tagatakse soodustatud kolmandate isikute õigused, või kui andmesubjekt võtab tagasi töötlemise aluseks olnud nõusoleku.

c)	Kui andmeimportija töötleb isikuandmeid otseturunduse eesmärkidel, lõpetab ta neil eesmärkidel töötlemise, kui andmesubjekt esitab selle suhtes vastuväite.

Andmeimportija ei tee otsust üksnes edastatud isikuandmete automaatse töötlemise põhjal (edaspidi „automaatne otsus“), mis põhjustaks andmesubjektile õiguslikke tagajärgi või mõjutaks teda sarnasel viisil märkimisväärselt, välja arvatud juhul, kui selleks on andmesubjekti sõnaselge nõusolek või kui selline teguviis on sihtriigi seadustega lubatud, tingimusel et selliste seadustega on sätestatud sobivad meetmed andmesubjekti õiguste ning õigustatud huvide kaitsmiseks. Sel juhul teeb andmeimportija vajaduse korral koostöös andmeeksportijaga järgmist:

i)	teavitab andmesubjekti kavandatavast automatiseeritud otsusest, ettenähtavatest tagajärgedest ja seonduvast arutluskäigust ning

ii)	rakendab sobivaid kaitsemeetmeid, vähemalt võimaldades andmesubjektil vaidlustada otsus, väljendada selle kohta oma arvamust ja lasta see inimesel läbi vaadata.

e)	Kui andmesubjekti taotlused on ülemäärased, eelkõige oma korduva iseloomu tõttu, võib andmeimportija nõuda taotluse rahuldamise halduskulusid arvesse võttes mõistlikku tasu või keelduda taotlust menetlemast.

f)	Andmeimportija võib keelduda andmesubjekti taotlusest, kui sihtriigi õiguses on selline keeldumine lubatud ning see on demokraatlikus ühiskonnas vajalik ja proportsionaalne mõne määruse (EL) 2016/679 artikli 23 lõikes 1 loetletud eesmärgi kaitsmiseks.

g)	Kui andmeimportija kavatseb andmesubjekti taotlusest keelduda, teavitab ta andmesubjekti keeldumise põhjustest ja võimalusest esitada pädevale järelevalveasutusele kaebus ja/või pöörduda kohtusse.

TEINE MOODUL: edastamine vastutavalt töötlejalt volitatud töötlejale

a)	Andmeimportija teavitab andmeeksportijat viivitamata mis tahes taotlusest, mille ta on andmesubjektilt saanud. Ta ei vasta sellele taotlusele ise, välja arvatud juhul, kui andmeeksportija on volitanud teda seda tegema.

Andmeimportija aitab andmeeksportijal täita tolle kohustusi vastata andmesubjektide taotlustele kasutada määruse (EL) 2016/679 kohaseid õigusi. Sellega seoses sätestavad pooled II lisas asjakohased tehnilised ja korralduslikud meetmed, võttes arvesse, millist laadi töötlemisega abi antakse, ning ka vajaliku abi ulatust ja määra.

c)	Punktide a ja b kohaste kohustuste täitmisel järgib andmeimportija andmeeksportijalt saadud juhiseid.

KOLMAS MOODUL: edastamine volitatud töötlejalt volitatud töötlejale

a)	Andmeimportija teavitab andmeeksportijat ja asjakohasel juhul vastutavat töötlejat viivitamata mis tahes taotlusest, mille ta on andmesubjektilt saanud, vastamata sellele taotlusele, välja arvatud juhul, kui vastutav töötleja on volitanud teda seda tegema.

Asjakohasel juhul aitab andmeimportija koostöös andmeeksportijaga vastutaval töötlejal täita tolle kohustust vastata andmesubjektide taotlustele kasutada vastavalt kas määruse (EL) 2016/679 või määruse (EL) 2018/1725 kohaseid õigusi. Sellega seoses sätestavad pooled II lisas asjakohased tehnilised ja korralduslikud meetmed, võttes arvesse, millist laadi töötlemisega abi antakse, ning ka vajaliku abi ulatust ja määra.

c)	Punktide a ja b kohaste kohustuste täitmisel järgib andmeimportija vastutava töötleja juhiseid, mille andmeeksportija on talle edastanud.

NELJAS MOODUL: edastamine volitatud töötlejalt vastutavale töötlejale

Pooled aitavad üksteist, kui on vaja vastata andmeimportija suhtes kohaldatava kohaliku õiguse või ELis andmeid töötleva andmeeksportija puhul määruse (EL) 2016/679 kohastele andmesubjekti päringutele ja taotlustele.

11. tingimus

Õiguskaitse

Andmeimportija teeb andmesubjektidele arusaadavas ja hõlpsasti juurdepääsetavas vormis individuaalse teatisega või oma veebisaidi kaudu teatavaks kaebustega tegelemiseks volitatud kontaktpunkti. Ta võtab talle andmesubjektilt saabunud kaebused viivitamata töösse.

[VARIANT: andmeimportija nõustub, et andmesubjektid võivad kaebuse esitada ka sõltumatule vaidluste lahendamise organile (11) ning see on andmesubjektile tasuta. Ta teavitab andmesubjekte punktis a osutatud viisil sellest õiguskaitsemehhanismist ning sellest, et nad ei pea seda kasutama ega pea õiguskaitse saamiseks astuma samme kindlas järjekorras.]

ESIMENE MOODUL: edastamine vastutavalt töötlejalt vastutavale töötlejale

TEINE MOODUL: edastamine vastutavalt töötlejalt volitatud töötlejale

KOLMAS MOODUL: edastamine volitatud töötlejalt volitatud töötlejale

b)	Kui andmesubjekti ja ühe poole vahel tekib käesolevatele tingimustele vastavuse üle vaidlus, teeb see pool kõik endast oleneva, et probleem aegsasti kompromissiga lahendada. Pooled teavitavad pidevalt üksteist sellistest vaidlustest ning asjakohasel juhul teevad nende lahendamiseks koostööd.

Kui andmesubjekt tugineb soodustatud kolmanda isiku õigustele vastavalt 3. tingimusele, aktsepteerib andmeimportija andmesubjekti otsust

i)	esitada kaebus oma elu- või töökohaliikmesriigi pädevale järelevalveasutusele või 13. tingimuse kohasele pädevale järelevalveasutusele;

ii)	pöörduda vaidlusega pädevatesse kohtutesse 18. tingimuse tähenduses.

d)	Pooled nõustuvad, et andmesubjekti võib vastavalt määruse (EL) 2016/679 artikli 80 lõikes 1 sätestatud tingimustele esindada mittetulunduslik asutus, organisatsioon või ühendus.

e)	Andmeimportija järgib otsust, mis on kohaldatava ELi või liikmesriigi õiguse kohaselt talle siduv.

f)	Andmeimportija nõustub, et andmesubjekti tehtud valik ei piira tema materiaal- ja menetlusõigusi kohaldatavate seaduste kohaselt kohtusse pöördumisel.

12. tingimus

Vastutus

ESIMENE MOODUL: edastamine vastutavalt töötlejalt vastutavale töötlejale

NELJAS MOODUL: edastamine volitatud töötlejalt vastutavale töötlejale

a)	Iga pool vastutab teis(t)e pool(t)e ees mis tahes kahjude eest, mida ta teis(t)ele pool(t)ele käesolevate tingimuste rikkumisega põhjustab.

Iga pool vastutab andmesubjekti ees ning andmesubjektil on õigus saada hüvitist mis tahes varalise või mittevaralise kahju eest, mida pool on andmesubjektile põhjustanud käesolevate tingimuste kohaste soodustatud kolmandate isikute õiguste rikkumisega. See ei piira määruse (EL) 2016/679 artikli kohast andmeeksportija vastutust.

c)	Kui käesolevate tingimuste rikkumisega on andmesubjektile kahju põhjustanud rohkem kui üks pool, vastutavad kõik asjaomased pooled solidaarselt ning andmesubjektil on õigus pöörduda iga sellise poole vastu kohtusse.

d)	Pooled nõustuvad, et kui üks pool on punkti c kohaselt vastutav, on tal õigus nõuda teis(t)elt pool(t)elt tagasi see osa hüvitisest, mis vastab tema/nende vastutusele kahju eest.

e)	Andmeimportija ei tohi enda vastutuse vältimiseks tugineda volitatud töötleja või alamtöötleja tegevusele.

TEINE MOODUL: edastamine vastutavalt töötlejalt volitatud töötlejale

KOLMAS MOODUL: edastamine volitatud töötlejalt volitatud töötlejale

a)	Iga pool vastutab teis(t)e pool(t)e ees mis tahes kahjude eest, mida ta teis(t)ele pool(t)ele käesolevate tingimuste rikkumisega põhjustab.

b)	Andmeimportija vastutab andmesubjekti ees ning andmesubjektil on õigus saada hüvitist mis tahes varalise või mittevaralise kahju eest, mida andmeimportija või tema alamtöötleja on andmesubjektile põhjustanud käesolevate tingimuste kohaste soodustatud kolmandate isikute õiguste rikkumisega.

Olenemata punktist b vastutab andmeeksportija andmesubjekti ees ning andmesubjektil on õigus saada hüvitist mis tahes varalise või mittevaralise kahju eest, mida andmeeksportija või andmeimportija (või tema alamtöötleja) on andmesubjektile põhjustanud käesolevate tingimuste kohaste soodustatud kolmandate isikute õiguste rikkumisega. See ei piira määruse (EL) 2016/679 või asjakohasel juhul määruse (EL) 2018/1725 kohast andmeeksportija vastutust, ja kui andmeeksportija on vastutava töötleja nimel tegutsev volitatud töötleja, siis selle määruse kohast vastutava töötleja vastutust.

d)	Pooled nõustuvad, et kui andmeeksportija on punkti c kohaselt vastutav andmeimportija (või tema alamtöötleja) põhjustatud kahju eest, on tal õigus nõuda andmeimportijalt tagasi see osa hüvitisest, mis vastab andmeimportija vastutusele kahju eest.

e)	Kui käesolevate tingimuste rikkumisega on andmesubjektile kahju põhjustanud rohkem kui üks pool, vastutavad kõik asjaomased pooled solidaarselt ning andmesubjektil on õigus pöörduda iga sellise poole vastu kohtusse.

f)	Pooled nõustuvad, et kui üks pool on punkti e kohaselt vastutav, on tal õigus nõuda teis(t)elt pool(t)elt tagasi see osa hüvitisest, mis vastab tema/nende vastutusele kahju eest.

g)	Andmeimportija ei tohi enda vastutuse vältimiseks tugineda alamtöötleja käitumisele.

13. tingimus

Järelevalve

ESIMENE MOODUL: edastamine vastutavalt töötlejalt vastutavale töötlejale

TEINE MOODUL: edastamine vastutavalt töötlejalt volitatud töötlejale

KOLMAS MOODUL: edastamine volitatud töötlejalt volitatud töötlejale

[Kui andmeeksportija asub ELi liikmesriigis:] Järelevalveasutus, kes vastutab andmeeksportija vastavuse tagamise eest määruse (EL) 2016/679 kohaselt seoses andmete edastamisega, nagu on osutatud I.C lisas, tegutseb pädeva järelevalveasutusena.

[Kui andmeeksportija ei asu ELi liikmesriigis, kuid kuulub määruse (EL) 2016/679 artikli 3 lõike 2 kohaselt selle määruse territoriaalsesse kohaldamisalasse ja on määranud esindaja vastavalt määruse (EL) 2016/679 artikli 27 lõikele 1:] Selle liikmesriigi järelevalveasutus, kus esindaja – määruse (EL) 2016/679 artikli 27 lõike 1 tähenduses – asub, nagu on osutatud I.C lisas, tegutseb pädeva järelevalveasutusena.

[Kui andmeeksportija ei asu ELi liikmesriigis, kuid kuulub määruse (EL) 2016/679 artikli 3 lõike 2 kohaselt selle määruse territoriaalsesse kohaldamisalasse ja ei ole seejuures määranud esindajat vastavalt määruse (EL) 2016/679 artikli 27 lõikele 2:] Pädeva järelevalveasutusena tegutseb järelevalveasutus, mille asukoht on ühes liikmesriikidest, kus asuvad – nagu on osutatud I.C lisas – andmesubjektid, kelle isikuandmeid käesolevate tingimuste kohaselt neile kaupade või teenuste pakkumiseks edastatakse või kelle käitumist jälgitakse.

Andmeimportija nõustub sellele pädevale järelevalveasutusele alluma ning tegema temaga koostööd mis tahes menetlustes, mille eesmärk on tagada vastavus käesolevatele tingimustele. Eelkõige nõustub andmeimportija vastama päringutele, võimaldama enda juures auditeid ning järgima järelevalveasutuse võetud meetmeid, sealhulgas parandus- ja hüvitusmeetmeid. Ta esitab järelevalveasutusele kirjaliku kinnituse, et vajalikud meetmed on võetud.

III JAGU. KOHALIKUD SEADUSED JA KOHUSTUSED AVALIKU SEKTORI ASUTUSTE JUURDEPÄÄSU KORRAL

14. tingimus

Tingimustele vastavust mõjutavad kohalikud seadused ja tavad

ESIMENE MOODUL: edastamine vastutavalt töötlejalt vastutavale töötlejale

TEINE MOODUL: edastamine vastutavalt töötlejalt volitatud töötlejale

KOLMAS MOODUL: edastamine volitatud töötlejalt volitatud töötlejale

NELJAS MOODUL: edastamine volitatud töötlejalt vastutavale töötlejale (kui ELi volitatud töötleja ühendab kolmanda riigi vastutavalt töötlejalt saadud isikuandmeid isikuandmetega, mida volitatud töötleja on kogunud ELis)

Pooled garanteerivad, et neil ei ole põhjust arvata, nagu takistaksid andmeimportija poolse isikuandmete töötlemisele suhtes kohaldatavad kolmanda sihtriigi seadused ja tavad, sealhulgas mis tahes nõuded avalikustada isikuandmed, või meetmed, millega lubatakse avaliku sektori asutustele juurdepääs, andmeimportijal käesolevate tingimuste kohaste kohustuste täitmist. See põhineb arusaamisel, et kohalikud seadused ja tavad, mis järgivad põhiõiguste ja -vabaduste olemust ega lähe kaugemale sellest, mis on demokraatlikus ühiskonnas vajalik ja proportsionaalne, et kaitsta mõnd määruse (EL) 2016/679 artikli 23 lõikes 1 loetletud eesmärkidest, ei ole käesolevate tingimustega vastuolus.

Pooled kinnitavad, et punktis a osutatud garantii andmisega on nad võtnud nõuetekohaselt arvesse eeskätt järgmisi elemente:

teatavad edastamise asjaolud, sealhulgas töötlemisahela pikkus, kaasatud osalejate arv ning kasutatud edastamiskanalid; kavandatud edasisaatmised; vastuvõtja liik; töötlemise eesmärk; edastatavate isikuandmete liigid ja vorming; majandussektor, kus edastamine toimub; edastatud andmete säilitamise asukoht;

ii)	kolmanda sihtriigi seadused ja tavad – sealhulgas need, millega nõutakse andmete avalikustamist avaliku sektori asutustele või antakse avaliku sektori asutustele neile juurdepääs –, mis on teatavaid edastamise asjaolusid arvesse võttes olulised, ning kohaldatavad piirangud ja kaitsemeetmed; (12)

iii)	mis tahes lepingulised, tehnilised või korralduslikud kaitsemeetmed, mis on kehtestatud lisaks käesolevate tingimuste kohastele kaitsemeetmetele, sealhulgas meetmed, mida kohaldati isikuandmete edastamise ajal ning töötlemisel sihtriigis.

c)	Andmeimportija garanteerib, et ta on punkti b kohasel hindamisel teinud kõik endast oleneva, et anda andmeeksportijale asjakohast teavet, ning nõustub, et ta jätkab koostööd andmeeksportijaga käesolevate tingimuste täitmise tagamisel.

d)	Pooled nõustuvad punkti b kohast hindamist dokumenteerima ja tegema selle pädevale järelevalveasutusele taotluse korral kättesaadavaks.

Andmeimportija nõustub andmeeksportijat viivitamata teavitama, kui tal on käesolevate tingimuste kokkuleppimise järel ja lepingu kestuse ajal põhjust arvata, et tema suhtes kohaldatakse või on hakatud kohaldama seadusi või tavasid, mis ei ole kooskõlas punkti a nõuetega, sealhulgas pärast kolmanda riigi seaduste või meetme (näiteks avalikustamisnõue) muutmist, mis osutab sellele, et nende seaduste praktiline kohaldamine ei vasta punkti a nõuetele. [Kolmanda mooduli puhul: andmeeksportija edastab teate vastutavale töötlejale.]

Pärast punkti e kohast teavitamist või kui andmeeksportijal on muul põhjusel alust arvata, et andmeimportija ei suuda käesolevate tingimuste kohaseid kohustusi enam täita, selgitab andmeeksportija viivitamata välja asjakohased meetmed (näiteks tehnilised või korralduslikud meetmed turvalisuse ja konfidentsiaalsuse tagamiseks), mida andmeeksportija ja/või andmeimportija peab olukorra lahendamiseks võtma, [kolmanda mooduli puhul: asjakohasel juhul vastutava töötlejaga konsulteerides]. Andmeeksportija peatab andmete edastamise, kui ta arvab, et sellise edastamise puhul ei saa tagada asjakohaseid kaitsemeetmeid, või kui [kolmanda mooduli puhul: vastutav töötleja või] pädev järelevalveasutus on andnud juhise seda teha. Sel juhul on andmeeksportijal õigus leping lõpetada, kuivõrd see puudutab käesolevate tingimuste kohast isikuandmete töötlemist. Kui lepinguga on hõlmatud üle kahe poole, võib andmeeksportija kasutada seda lõpetamisõigust üksnes seoses asjaomase poolega, välja arvatud juhul, kui pooled on kokku leppinud teisiti. Kui leping lõpetatakse selle tingimuse kohaselt, kohaldatakse 16. tingimuse punkte d ja e.

15. tingimus

Andmeimportija kohustused avaliku sektori asutuste juurdepääsu korral

ESIMENE MOODUL: edastamine vastutavalt töötlejalt vastutavale töötlejale

TEINE MOODUL: edastamine vastutavalt töötlejalt volitatud töötlejale

KOLMAS MOODUL: edastamine volitatud töötlejalt volitatud töötlejale

15.1. Teavitamine

Andmeimportija nõustub teavitama andmeeksportijat ja võimaluse korral andmesubjekti (kui vajalik, siis andmeeksportija abiga) viivitamata, kui:

ta saab riigiasutuselt, sealhulgas õigusasutustelt, sihtriigi seaduste kohaselt õiguslikult siduva taotluse avalikustada käesolevate tingimuste kohaselt edastatud isikuandmeid; selline teade sisaldab teavet taotletud isikuandmete, taotleva asutuse, taotluse õigusliku aluse ning antud vastuse kohta või

ii)	ta saab teada avaliku sektori asutuste mis tahes otsesest juurdepääsust käesolevate tingimuste kohaselt edastatud isikuandmetele kooskõlas sihtriigi seadustega; selline teade sisaldab kogu teavet, mis on importijale kättesaadav.

[Kolmanda mooduli puhul: andmeeksportija edastab teate vastutavale töötlejale.]

Kui andmeimportijal on sihtriigi seaduste kohaselt keelatud teavitada andmeeksportijat ja/või andmesubjekti, nõustub andmeimportija tegema kõik endast oleneva, et saavutada sellest keelust loobumine, eesmärgiga edastada võimalikult kiiresti võimalikult palju teavet. Andmeimportija nõustub dokumenteerima kõik ette võetud jõupingutused, et taotluse korral neid andmeeksportijale tõendada.

Kui see on sihtriigi seadustega lubatud, nõustub andmeimportija esitama andmeeksportijale lepingu kestuse ajal korrapäraste ajavahemike järel võimalikult palju asjakohast teavet saadud taotluste kohta (eelkõige taotluste arv, taotletud andmete liik, taotlev(ad) asutus(ed), kas taotlusi on vaidlustatud ja selliste vaidlustuste tulemus jne). [Kolmanda mooduli puhul: andmeeksportija edastab teabe vastutavale töötlejale.]

d)	Andmeimportija nõustub säilitama teavet lepingu kestuse ajal vastavalt punktidele a–c ning tegema selle pädevale järelevalveasutusele taotluse korral kättesaadavaks.

e)	Punktid a–c ei piira 14. tingimuse punkti e ja 16. tingimuse kohast andmeimportija kohustust viivitamata teavitada andmeeksportijat oma suutmatusest käesolevaid tingimusi järgida.

15.2. Seaduslikkuse ja võimalikult väheste andmete kogumise kontroll

Andmeimportija nõustub vaatama läbi avalikustamistaotluse seaduslikkuse, eelkõige kas see kuulub taotlevale avaliku sektori asutusele antud volituste piiresse, ning seda vaidlustama, kui ta pärast hoolikat hindamist järeldab, et sihtriigi seaduste, rahvusvahelise õiguse kohaste kohustuste ning rahvusvahelise viisakuse põhimõtete kohaselt on põhjendatult alust pidada taotlust ebaseaduslikuks. Andmeimportija kasutab samadel tingimustel kaebuse esitamise võimalusi. Taotluse vaidlustamisel püüab andmeimportija võtta ajutisi meetmeid, eesmärgiga peatada taotluse mõju, kuni pädev järelevalveasutus on taotluse põhjendatuse kohta otsuse teinud. Ta ei avalikusta taotletud isikuandmeid enne, kui seda temalt nõutakse kohaldatavate menetlusnormide kohaselt. Need nõuded ei piira 14. tingimuse punkti e kohaseid andmeimportija kohustusi.

Andmeimportija nõustub dokumenteerima oma õiguslikku hinnangut ning avalikustamistaotluse mis tahes vaidlustust ja tegema sellised dokumendid andmeeksportijale sihtriigi seadustega lubatavas ulatuses kättesaadavaks. Samuti teeb ta sellised dokumendid vastava taotluse korral kättesaadavaks pädevale järelevalveasutusele. [Kolmanda mooduli puhul: andmeeksportija teeb hinnangu vastutavale töötlejale kättesaadavaks.]

c)	Andmeimportija nõustub avalikustamistaotlusele vastates andma lubatud minimaalsel hulgal teavet, tuginedes taotluse põhjendatud tõlgendusele.

IV JAGU. LÕPPSÄTTED

16. tingimus

Mittevastavus tingimustele ja lepingu lõpetamine

a)	Andmeimportija teavitab andmeeksportijat viivitamata, kui ta ei saa mis tahes põhjusel neid tingimusi järgida.

b)	Juhul kui andmeimportija rikub käesolevaid tingimusi või ei suuda neid järgida, peatab andmeeksportija isikuandmete edastamise andmeimportijale, kuni vastavus on jälle tagatud või leping lõpetatud. See ei piira 14. tingimuse punkti f kohaldamist.

Andmeeksportijal on õigus leping lõpetada, kuivõrd see puudutab käesolevate tingimuste kohast isikuandmete töötlemist, juhul kui:

i)	andmeeksportija on punkti b kohaselt peatanud isikuandmete edastamise andmeimportijale ning käesolevatele tingimustele vastavust ei ole taastatud mõistliku aja jooksul ning igal juhul ühe kuu jooksul pärast peatamist;

ii)	andmeimportija on käesolevaid tingimusi oluliselt või jätkuvalt rikkunud või

iii)	andmeimportija ei järgi pädeva kohtu või järelevalveasutuse siduvat otsust tema käesolevate tingimuste kohaste kohustuste kohta.

Sellistel juhtudel teavitab ta pädevat järelevalveasutust [kolmanda mooduli puhul: ja vastutavat töötlejat] sellisest mittevastavusest. Kui lepinguga on hõlmatud üle kahe poole, võib andmeeksportija kasutada seda lõpetamisõigust üksnes seoses asjaomase poolega, välja arvatud juhul, kui pooled on kokku leppinud teisiti.

[Esimese, teise ja kolmanda mooduli puhul: isikuandmed, mis on vastavalt punktile c enne lepingu lõpetamist edastatud, kas tagastatakse andmeeksportija valikul viivitamata andmeeksportijale või kustutatakse täielikult. Sama kehtib andmete mis tahes koopiate kohta.] [Neljanda mooduli puhul: isikuandmed, mida andmeeksportija on ELis kogunud ja mis on edastatud enne punkti c kohast lepingu lõpetamist, kustutatakse viivitamata täielikult, sealhulgas ka nende andmete kõik koopiad.] Andmeimportija tõendab andmeeksportijale andmete kustutamist. Andmeimportija jätkab nendele tingimustele vastavuse tagamist seni, kuni andmed kustutatakse või tagastatakse. Kui andmeimportija suhtes kohaldatavate kohalike seadustega keelatakse edastatud isikuandmete tagastamine või kustutamine, garanteerib andmeimportija, et ta jätkab nendele tingimustele vastavuse tagamist ning töötleb andmeid üksnes selle kohaliku õigusega nõutavas ulatuses ja ajavahemikus.

Kumbki pool võib tühistada kokkuleppe, et käesolevad tingimused on talle siduvad, kui i) Euroopa Komisjon võtab määruse (EL) 2016/679 artikli 45 lõike 3 kohaselt vastu otsuse, mis hõlmab selliste isikuandmete edastamist, mille suhtes kohaldatakse käesolevaid tingimusi; või ii) määrus (EL) 2016/679 muutub osaks selle riigi õigusraamistikust, kuhu isikuandmeid edastatakse. See ei piira muid kohustusi, mida kõnealuse töötlemise suhtes vastavalt määrusele (EL) 2016/679 kohaldatakse.

17. tingimus

Kohaldatav õigus

ESIMENE MOODUL: edastamine vastutavalt töötlejalt vastutavale töötlejale

TEINE MOODUL: edastamine vastutavalt töötlejalt volitatud töötlejale

KOLMAS MOODUL: edastamine volitatud töötlejalt volitatud töötlejale

[1. VARIANT: tingimuste suhtes kohaldatakse mõne ELi liikmesriigi õigust, tingimusel et selle õigusega nähakse ette soodustatud kolmandate isikute õigused. Pooled nõustuvad, et see on _______ (märkida liikmesriik) õigus.]

[2. VARIANT (teise ja kolmanda mooduli puhul): tingimuste suhtes kohaldatakse selle ELi liikmesriigi õigust, kus andmeeksportija asub. Kui selle õigusega ei nähta ette soodustatud kolmandate isikute õigusi, kohaldatakse nende suhtes mõne muu ELi liikmesriigi õigust, milles nähakse ette soodustatud kolmandate isikute õigused. Pooled nõustuvad, et see on _______ (märkida liikmesriik) õigus.]

NELJAS MOODUL: edastamine volitatud töötlejalt vastutavale töötlejale

Käesolevate tingimuste suhtes kohaldatakse selle riigi õigust, kus nähakse ette soodustatud kolmandate isikute õigused. Pooled nõustuvad, et see on _______ (märkida riik) õigus

18. tingimus

Vaidluste lahendamise organi ja kohtualluvuse valimine

ESIMENE MOODUL: edastamine vastutavalt töötlejalt vastutavale töötlejale

TEINE MOODUL: edastamine vastutavalt töötlejalt volitatud töötlejale

KOLMAS MOODUL: edastamine volitatud töötlejalt volitatud töötlejale

a)	Käesolevatest tingimustest tulenev mis tahes vaidlus lahendatakse ELi liikmesriigi kohtutes.

b)	Pooled nõustuvad, et need on _____ (märkida liikmesriik) kohtud.

c)	Andmesubjekt võib algatada ka kohtumenetluse andmeeksportija ja/või andmeimportija vastu selle liikmesriigi kohtutes, kus on andmesubjekti alaline elukoht.

d)	Pooled nõustuvad nendele kohtutele alluma.

NELJAS MOODUL: edastamine volitatud töötlejalt vastutavale töötlejale

Käesolevatest tingimustest tulenev mis tahes vaidlus lahendatakse _____ (märkida riik) kohtutes.

(1) Kui andmeeksportija on volitatud töötleja, kelle suhtes kohaldatakse määrust (EL) 2016/679 ja kes tegutseb vastutava töötlejana liidu institutsiooni või organi nimel, võimaldab nende tingimuste kasutamine juhul, kui kaasatakse volitatud töötleja (alamtöötlemine), kelle suhtes ei kohaldata määrust (EL) 2016/679, tagada ka vastavuse Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määruse (EL) 2018/1725 (mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ (ELT L 295, 21.11.2018, lk 39)) artikli 29 lõikele 4, kuivõrd need tingimused ja määruse (EL) 2018/1725 artikli 29 lõike 3 kohases lepingus või muus õigusaktis vastutava töötleja ja volitatud töötleja vahel sätestatud andmekaitsekohustused on kooskõlas. See kehtib eelkõige siis, kui vastutav töötleja ja volitatud töötleja tuginevad otsuses 2021/915 sätestatud lepingu tüüptingimustele.

(2) See nõuab andmete anonüümimist sellisel viisil, et isikut ei saaks kooskõlas määruse (EL) 2016/679 põhjendusega 26 enam mitte keegi tuvastada, ning et see protsess oleks pöördumatu.

(3) Euroopa Majanduspiirkonna lepingus (edaspidi „EMP leping“) on ette nähtud Euroopa Liidu siseturu laiendamine kolmele EMP liikmesriigile – Islandile, Liechtensteinile ja Norrale. Andmekaitset käsitlevad liidu õigusaktid, sealhulgas määrus (EL) 2016/679, on hõlmatud EMP lepinguga ja inkorporeeritud selle XI lisasse. Seetõttu ei kvalifitseeru andmeimportija poolne andmete avalikustamine EMPs asuvale kolmandale isikule käesolevate tingimuste tähenduses edasisaatmiseks.

(4) Euroopa Majanduspiirkonna lepingus (edaspidi „EMP leping“) on ette nähtud Euroopa Liidu siseturu laiendamine kolmele EMP liikmesriigile – Islandile, Liechtensteinile ja Norrale. Andmekaitset käsitlevad liidu õigusaktid, sealhulgas määrus (EL) 2016/679, on hõlmatud EMP lepinguga ja inkorporeeritud selle XI lisasse. Seetõttu ei kvalifitseeru andmeimportija poolne andmete avalikustamine EMPs asuvale kolmandale isikule käesolevate tingimuste tähenduses edasisaatmiseks.

(5) Vt määruse (EL) 2016/679 artikli 28 lõige 4 ning kui vastutav töötleja on ELi asutus või organ, siis määruse (EL) 2018/1725 artikli 29 lõige 4.

(6) Euroopa Majanduspiirkonna lepingus (edaspidi „EMP leping“) on ette nähtud Euroopa Liidu siseturu laiendamine kolmele EMP liikmesriigile – Islandile, Liechtensteinile ja Norrale. Andmekaitset käsitlevad liidu õigusaktid, sealhulgas määrus (EL) 2016/679, on hõlmatud EMP lepinguga ja inkorporeeritud selle XI lisasse. Seetõttu ei kvalifitseeru andmete andmeimportija poolne avalikustamine EMPs asuvale kolmandale isikule käesolevate tingimuste mõttes edasisaatmiseks.

(7) Siia kuulub olukord, kui edastamine ja täiendav töötlemine hõlmab isikuandmeid, mis paljastavad rassilise või etnilise päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumise, või geneetilisi andmeid, füüsilise isiku kordumatuks tuvastamiseks kasutatavaid biomeetrilisi andmeid, terviseandmeid või andmeid inimese seksuaalelu ja seksuaalse sättumuse kohta või süüdimõistvate kohtuotsuste ja süütegudega seotud andmeid.

(8) Selle nõude võib täita nii, et alamtöötleja ühineb nende tingimustega asjakohases moodulis vastavalt 7. tingimusele.

(9) Selle nõude võib täita nii, et alamtöötleja ühineb nende tingimustega asjakohases moodulis vastavalt 7. tingimusele.

(10) Seda ajavahemikku võib vajaduse korral pikendada kõige rohkem veel kahe kuu võrra, võttes arvesse taotluste keerukust ja hulka. Andmeimportija teavitab andmesubjekti sellisest pikendamisest nõuetekohaselt ja viivitamata.

(11) Andmeimportija võib pakkuda sõltumatut vaidluste lahendamist vahekohtu kaudu üksnes juhul, kui see asub riigis, mis on ratifitseerinud New Yorgi konventsiooni vahekohtu otsuste täitmise kohta.

(12) Mis puudutab nende seaduste ja tavade mõju käesolevate tingimuste järgimisele, siis üldhinnangu osana võib kaaluda erinevaid elemente. Need elemendid võivad hõlmata piisavalt representatiivse ajavahemiku kohta asjakohaseid ja dokumenteeritud praktilisi kogemusi avaliku sektori asutuste varasemate avalikustamistaotlustega või selliste taotluste puudumisega. See tähendab eeskätt ettevõttesiseseid registreid või muid dokumente, mis on koostatud järjepideval viisil nõuetekohase hoolsuse kohaselt ning kinnitatud tippjuhtkonna tasandil, eeldusel et seda teavet saab kolmandate isikutega seaduslikult jagada. Kui sellele praktilisele kogemusele tuginedes järeldatakse, et andmeimportijat ei takistata käesolevate tingimuste täitmisel, tuleb seda toetada muude asjakohaste objektiivsete elementidega ning pooled peavad hoolikalt kaaluma, kas need elemendid koos on usaldusväärsuse ja esindavuse poolest piisavalt kaalukad, et seda järeldust toetada. Eelkõige peavad pooled võtma arvesse, kas üldsusele kättesaadav või muul viisil juurdepääsetav usaldusväärne teave selliste taotluste olemasolu või puudumise kohta samas tegevusvaldkonnas ja/või seaduse praktiline kohaldamine, näiteks kohtupraktika või sõltumatute järelevalveorganite aruanded, näitavad sama, mis nende praktilised kogemused ega ei ole nendega vastuolus.

LIIDE

SELGITAV MÄRKUS

Peab olema võimalik selgelt eristada iga edastamise või edastamiste kategooria suhtes kohaldatavat teavet ning sellega seoses määrata kindlaks poolte roll(id) andmeeksportija(te)na ja/või andmeimportija(te)na. See ei nõua tingimata iga edastamise/edastamiste kategooria ja/või lepingulise suhte kohta eraldi liidete täitmist ja allkirjastamist, kui läbipaistvuse saab saavutada ühe liitega. Kui see aga on vajalik piisava selguse tagamiseks, tuleks kasutada eraldi liiteid.

I LISA

A. POOLTE LOETELU

ESIMENE MOODUL: edastamine vastutavalt töötlejalt vastutavale töötlejale

TEINE MOODUL: edastamine vastutavalt töötlejalt volitatud töötlejale

KOLMAS MOODUL: edastamine volitatud töötlejalt volitatud töötlejale

NELJAS MOODUL: edastamine volitatud töötlejalt vastutavale töötlejale

Andmeeksportija(d): [Andmeeksportija(te) ning asjakohasel juhul tema/nende andmekaitseametniku ja/või Euroopa Liidu esindaja isik ja kontaktandmed]

Nimi: …

Aadress: …

Kontaktisiku nimi, ametikoht ja kontaktandmed: …

Käesolevate tingimuste kohaselt edastatud andmete puhul olulised toimingud: …

Allkiri ja kuupäev: …

Roll (vastutav töötleja/volitatud töötleja): …

…

Andmeimportija(d): [Andmeimportija(te) isik ja kontaktandmed, sealhulgas andmekaitsealane kontaktisik ja tema kontaktandmed]

Nimi: …

Aadress: …

Kontaktisiku nimi, ametikoht ja kontaktandmed: …

Käesolevate tingimuste kohaselt edastatud andmete puhul olulised toimingud: …

Allkiri ja kuupäev: …

Roll (vastutav töötleja/volitatud töötleja): …

…

B. EDASTAMISE KIRJELDUS

ESIMENE MOODUL: edastamine vastutavalt töötlejalt vastutavale töötlejale

TEINE MOODUL: edastamine vastutavalt töötlejalt volitatud töötlejale

KOLMAS MOODUL: edastamine volitatud töötlejalt volitatud töötlejale

NELJAS MOODUL: edastamine volitatud töötlejalt vastutavale töötlejale

Nende andmesubjektide kategooriad, kelle isikuandmeid edastatakse

…

Edastatavate isikuandmete liigid

…

Edastatavad tundlikud andmed (asjakohasel juhul) ja kohaldatavad piirangud või kaitsemeetmed, milles võetakse täielikult arvesse andmete laadi ja kaasnevaid ohte, nagu näiteks range eesmärgikohasus, juurdepääsupiirangud (sealhulgas juurdepääs üksnes eriväljaõppega töötajatele), andmetele juurdepääsu registri pidamine, edasisaatmise piirangud või täiendavad turvameetmed.

…

Edastamise sagedus (nt kas andmeid edastatakse üks kord või pidevalt).

…

Töötlemise laad

…

Andmeedastuse eesmärk (eesmärgid) ja edasine töötlemine

…

Isikuandmete säilitamise ajavahemik, või kui see ei ole võimalik, siis sellise ajavahemiku määramise kriteeriumid

…

Volitatud töötlejatele (alamtöötlejatele) edastamise korral märkida ka töötlemise sisu, laad ja kestus

…

C. PÄDEV JÄRELEVALVEASUTUS

ESIMENE MOODUL: edastamine vastutavalt töötlejalt vastutavale töötlejale

TEINE MOODUL: edastamine vastutavalt töötlejalt volitatud töötlejale

KOLMAS MOODUL: edastamine volitatud töötlejalt volitatud töötlejale

Määratlege pädev(ad) asutus(ed) vastavalt 13. tingimusele

…

II LISA.

TEHNILISED JA KORRALDUSLIKUD MEETMED, SEALHULGAS TEHNILISED JA KORRALDUSLIKUD MEETMED ANDMETE TURVALISUSE TAGAMISEKS

ESIMENE MOODUL: edastamine vastutavalt töötlejalt vastutavale töötlejale

TEINE MOODUL: edastamine vastutavalt töötlejalt volitatud töötlejale

KOLMAS MOODUL: edastamine volitatud töötlejalt volitatud töötlejale

SELGITAV MÄRKUS

Tehnilisi ja korralduslikke meetmeid tuleb kirjeldada konkreetselt (mitte üldjoontes). Vaadake ka üldist märkust liite esimesel lehel, eelkõige vajaduse kohta selgelt osutada, milliseid meetmeid iga edastamise/edastamiste kogumi suhtes kohaldatakse.

Andmeimportija(te) rakendatud tehniliste ja korralduslike meetmete kirjeldus (sealhulgas mis tahes asjakohased sertifikaadid), et tagada vajalik turvalisuse tase, võttes arvesse töötlemise laadi, ulatust, konteksti ja eesmärki ning ohte füüsiliste isikute õigustele ja vabadustele.

[Võimalike meetmete näited:

isikuandmete pseudonüümimise ja krüpteerimise meetmed;

meetmed, millega tagatakse isikuandmeid töötlevate süsteemide ja teenuste kestev konfidentsiaalsus, terviklus, kättesaadavus ja vastupidavus;

meetmed, millega tagatakse võime taastada õigeaegselt isikuandmete kättesaadavus ja neile juurdepääs füüsilise või tehnilise vahejuhtumi korral;

isikuandmete töötlemise turvalisuse tagamise tehniliste ja korralduslike meetmete toimivuse korrapärase kontrollimise ja hindamise kord;

kasutaja tuvastamise ja autoriseerimise meetmed;

meetmed andmete kaitsmiseks edastamise ajal;

meetmed andmete kaitsmiseks säilitamise ajal;

meetmed isikuandmete töötlemise kohtade füüsilise julgeoleku tagamiseks;

meetmed sündmuste logimise tagamiseks;

meetmed süsteemi konfiguratsiooni, sealhulgas vaikekonfiguratsiooni tagamiseks;

sisemise IT ning IT-turbe valitsemise ja haldamise meetmed;

protsesside ja toodete sertifitseerimise/tagamise meetmed;

meetmed, millega tagatakse võimalikult väheste andmete kogumine;

andmete kvaliteedi tagamise meetmed;

andmete piiratud säilitamise tagamise meetmed;

vastutuse tagamise meetmed;

meetmed andmete porditavuse võimaldamiseks ja kustutamise tagamiseks.]

III LISA.

ALAMTÖÖTLEJATE LOETELU

TEINE MOODUL: edastamine vastutavalt töötlejalt volitatud töötlejale

KOLMAS MOODUL: edastamine volitatud töötlejalt volitatud töötlejale

SELGITAV MÄRKUS

Alamtöötlejate eriloa puhul tuleb see lisa täita teises ja kolmandas moodulis (9. tingimuse punkt a, variant 1).

Vastutav töötleja on andnud loa kasutada järgmisi alamtöötlejaid:

Nimi: …

Aadress: …

Kontaktisiku nimi, ametikoht ja kontaktandmed: …

Töötlemise kirjeldus (sealhulgas selgelt piiritletud kohustused, kui luba on antud mitmele alamtöötlejale): …

…

		ISSN 1977-0650
Euroopa Liidu Teataja		L 199

Eestikeelne väljaanne	Õigusaktid	64. aastakäik 7. juuni 2021

Sisukord		II Muud kui seadusandlikud aktid	Lehekülg
		MÄÄRUSED
	*	Komisjoni rakendusmäärus (EL) 2021/909, 31. mai 2021, teatavate kaupade klassifitseerimise kohta kombineeritud nomenklatuuris	1
	*	Komisjoni rakendusmäärus (EL) 2021/910, 31. mai 2021, teatavate kaupade klassifitseerimise kohta kombineeritud nomenklatuuris	4
	*	Komisjoni rakendusmäärus (EL) 2021/911, 31. mai 2021, teatavate kaupade klassifitseerimise kohta kombineeritud nomenklatuuris	7
	*	Komisjoni rakendusmäärus (EL) 2021/912, 4. juuni 2021, millega lubatakse muuta mikroorganismidest saadud uuendtoidu lakto-N-neotetraoosi spetsifikatsioone ja muudetakse rakendusmäärust (EL) 2017/2470 ( 1 )	10
		OTSUSED
	*	Komisjoni rakendusotsus (EL) 2021/913, 3. juuni 2021, määruse (EL) 2019/2022 ja delegeeritud määruse (EL) 2019/2017 toetuseks koostatud kodumajapidamises kasutatavaid nõudepesumasinaid käsitlevate harmoneeritud standardite kohta	13
	*	Komisjoni rakendusotsus (EL) 2021/915, 4. juuni 2021, Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artikli 28 lõike 7 ning Euroopa Parlamendi ja nõukogu määruse (EL) 2018/1725 artikli 29 lõike 7 kohaste vastutavate töötlejate ja volitatud töötlejate vaheliste lepingute tüüptingimuste kohta ( 1 )	18
	*	Komisjoni rakendusotsus (EL) 2021/914, 4. juuni 2021, kolmandatesse riikidesse isikuandmete edastamise lepingu tüüptingimuste kohta vastavalt Euroopa Parlamendi ja nõukogu määrusele (EL) 2016/679 ( 1 )	31