ISSN 1977-0812

Euroopan unionin

virallinen lehti

L 199

European flag  

Suomenkielinen laitos

Lainsäädäntö

64. vuosikerta
7. kesäkuu 2021


Sisältö

 

II   Muut kuin lainsäätämisjärjestyksessä hyväksyttävät säädökset

Sivu

 

 

ASETUKSET

 

*

Komission täytäntöönpanoasetus (EU) 2021/909, annettu 31 päivänä toukokuuta 2021, tiettyjen tavaroiden luokittelusta yhdistettyyn nimikkeistöön

1

 

*

Komission täytäntöönpanoasetus (EU) 2021/910, annettu 31 päivänä toukokuuta 2021, tiettyjen tavaroiden luokittelusta yhdistettyyn nimikkeistöön

4

 

*

Komission täytäntöönpanoasetus (EU) 2021/911, annettu 31 päivänä toukokuuta 2021, tiettyjen tavaroiden luokittelusta yhdistettyyn nimikkeistöön

7

 

*

Komission täytäntöönpanoasetus (EU) 2021/912, annettu 4 päivänä kesäkuuta 2021, luvan antamisesta uuselintarvikkeen lakto-N-neotetraoosin (mikrobiaalinen) eritelmän muuttamiseksi ja täytäntöönpanoasetuksen (EU) 2017/2470 muuttamisesta ( 1 )

10

 

 

PÄÄTÖKSET

 

*

Komission täytäntöönpanopäätös (EU) 2021/913, annettu 3 päivänä kesäkuuta 2021, asetuksen (EU) 2019/2022 ja delegoidun asetuksen (EU) 2019/2017 tueksi laadituista kotitalouksien astianpesukoneita koskevista yhdenmukaistetuista standardeista

13

 

*

Komission täytäntöönpanopäätös (EU) 2021/915, annettu 4 päivänä kesäkuuta 2021, Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 28 artiklan 7 kohdan ja Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 29 artiklan 7 kohdan mukaisista rekisterinpitäjien ja henkilötietojen käsittelijöiden välisistä vakiosopimuslausekkeista ( 1 )

18

 

*

Komission täytäntöönpanopäätös (EU) 2021/914, annettu 4 päivänä kesäkuuta 2021, vakiosopimuslausekkeista, jotka koskevat henkilötietojen siirtämistä kolmansiin maihin Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 mukaisesti ( 1 )

31

 


 

(1)   ETA:n kannalta merkityksellinen teksti.

FI

Säädökset, joiden otsikot on painettu laihalla kirjasintyypillä, ovat maatalouspolitiikan alaan kuuluvia juoksevien asioiden hoitoon liityviä säädöksiä, joiden voimassaoloaika on yleensä rajoitettu.

Kaikkien muiden säädösten otsikot on painettu lihavalla kirjasintyypillä ja merkitty tähdellä.


II Muut kuin lainsäätämisjärjestyksessä hyväksyttävät säädökset

ASETUKSET

7.6.2021   

FI

Euroopan unionin virallinen lehti

L 199/1


KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) 2021/909,

annettu 31 päivänä toukokuuta 2021,

tiettyjen tavaroiden luokittelusta yhdistettyyn nimikkeistöön

EUROOPAN KOMISSIO, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,

ottaa huomioon unionin tullikoodeksista 9 päivänä lokakuuta 2013 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 952/2013 (1) ja erityisesti sen 57 artiklan 4 kohdan ja 58 artiklan 2 kohdan,

sekä katsoo seuraavaa:

(1)

Neuvoston asetuksen (ETY) N:o 2658/87 (2) liitteenä olevan yhdistetyn nimikkeistön yhdenmukaisen soveltamisen varmistamiseksi on tarpeen antaa tämän asetuksen liitteessä esitetyn tavaran luokittelua koskevia säännöksiä.

(2)

Asetuksessa (ETY) N:o 2658/87 vahvistetaan yhdistetyn nimikkeistön yleiset tulkintasäännöt. Näitä sääntöjä sovelletaan myös kaikkiin muihin nimikkeistöihin, jotka perustuvat kokonaan tai osittain yhdistettyyn nimikkeistöön taikka joissa siihen mahdollisesti lisätään alajakoja ja jotka vahvistetaan unionin erityissäännöksillä tavaroiden kauppaa koskevien tariffimääräysten tai muiden toimenpiteiden soveltamiseksi.

(3)

Mainittujen yleisten tulkintasääntöjen mukaan on tämän asetuksen liitteen taulukossa olevassa sarakkeessa 1 esitetty tavara luokiteltava sarakkeen 2 CN-koodiin sarakkeesta 3 ilmenevin perustein.

(4)

On aiheellista säätää, että sitovien tariffitietojen haltija voi asetuksen (EU) N:o 952/2013 34 artiklan 9 kohdan mukaisesti vielä tietyn ajan käyttää sellaisia sitovia tariffitietoja, jotka on annettu tässä asetuksessa tarkoitetusta tavarasta mutta jotka eivät ole tämän asetuksen säännösten mukaisia. Mainitun ajan olisi oltava kolme kuukautta.

(5)

Tässä asetuksessa säädetyt toimenpiteet ovat tullikoodeksikomitean lausunnon mukaiset,

ON HYVÄKSYNYT TÄMÄN ASETUKSEN:

1 artikla

Liitteenä olevan taulukon sarakkeessa 1 esitetty tavara luokitellaan yhdistetyssä nimikkeistössä mainitun taulukon sarakkeen 2 CN-koodiin.

2 artikla

Sitovia tariffitietoja, jotka eivät ole tämän asetuksen säännösten mukaisia, voidaan käyttää asetuksen (EU) N:o 952/2013 34 artiklan 9 kohdan mukaisesti vielä kolmen kuukauden ajan tämän asetuksen voimaantulosta.

3 artikla

Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Brysselissä 31 päivänä toukokuuta 2021.

Komission puolesta,

puheenjohtajan nimissä

Gerassimos THOMAS

Pääjohtaja

Verotuksen ja tulliliiton pääosasto


(1)  EUVL L 269, 10.10.2013, s. 1.

(2)  Neuvoston asetus (ETY) N:o 2658/87, annettu 23 päivänä heinäkuuta 1987, tariffi- ja tilastonimikkeistöstä ja yhteisestä tullitariffista (EYVL L 256, 7.9.1987, s. 1).


LIITE

Tavaran kuvaus

Luokittelu (CN-koodi)

Perusteet

(1)

(2)

(3)

Huokoisesta muovista (vaahtomuovista) valmistettu onton putken muotoinen taipuisa tavara (ns. uimapatukka), jonka pituus on noin 1 m ja läpimitta noin 8 cm. Tavara kelluu vedessä, ja se esitetään tullille käytettäväksi kelluntavälineenä, joka on uimaopetuksessa käytettäviä kelluntavarusteita koskevan eurooppalaisen standardin (EN 13138–2:2014) mukainen. Tavara on myös iskunvaimentava ja lämpöeristävä.

Katso kuvat  (*1)

3926 90 97

Luokittelu määräytyy yhdistetyn nimikkeistön 1 ja 6 yleisen tulkintasäännön sekä CN-koodien 3926 , 3926 90 ja 3926 90 97 nimiketekstien mukaisesti.

Luokittelu nimikkeeseen 9506 liikuntaan, voimisteluun, voimailuun, muuhun urheiluun tai ulkoilmapeleihin tai -leikkeihin tarkoitetuiksi välineiksi ja varusteiksi ei tule kyseeseen, koska tavaraa ei voida sen yksinkertaisen, tavanomaisen muodon vuoksi tunnistaa nimikkeen 9506 liikunta- tai urheilukäyttöön suunnitelluksi välineeksi, vaikka tavara on kelluntaominaisuuksiensa vuoksi uimaopetuksessa käytettäviä kelluntavarusteita koskevan standardin mukainen. Lisäksi tavaraa voidaan sen yksinkertaisen muodon ja tavanomaisen materiaalin vuoksi käyttää erilaisiin tarkoituksiin (esimerkiksi pylväiden ympärille käärittävinä iskunvaimentavina suojaimina, putkien ympärille käärittävinä lämmöneristeinä ja lasten ajanvietteeksi tarkoitettuina tuotteina).

Luokittelu nimikkeen 9503 muuksi leluksi ei myöskään tule kyseeseen, koska tavaraa ei sen rakenteen vuoksi voida selvästi tunnistaa lasten tai aikuisten ajanvietteeksi tarkoitetuksi tavaraksi.

Näin ollen tavara on luokiteltava perusaineosansa (muovi) mukaisesti.

Sen vuoksi tavara luokitellaan CN-koodiin 3926 90 97 muuksi muovitavaraksi.


(*1)  Kuvat ovat ainoastaan ohjeellisia.

Image 1


7.6.2021   

FI

Euroopan unionin virallinen lehti

L 199/4


KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) 2021/910,

annettu 31 päivänä toukokuuta 2021,

tiettyjen tavaroiden luokittelusta yhdistettyyn nimikkeistöön

EUROOPAN KOMISSIO, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,

ottaa huomioon unionin tullikoodeksista 9 päivänä lokakuuta 2013 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 952/2013 (1) ja erityisesti sen 57 artiklan 4 kohdan ja 58 artiklan 2 kohdan,

sekä katsoo seuraavaa:

(1)

Neuvoston asetuksen (ETY) N:o 2658/87 (2) liitteenä olevan yhdistetyn nimikkeistön yhdenmukaisen soveltamisen varmistamiseksi on tarpeen antaa tämän asetuksen liitteessä esitetyn tavaran luokittelua koskevia säännöksiä.

(2)

Asetuksessa (ETY) N:o 2658/87 vahvistetaan yhdistetyn nimikkeistön yleiset tulkintasäännöt. Näitä sääntöjä sovelletaan myös kaikkiin muihin nimikkeistöihin, jotka perustuvat kokonaan tai osittain yhdistettyyn nimikkeistöön taikka joissa siihen mahdollisesti lisätään alajakoja ja jotka vahvistetaan unionin erityissäännöksillä tavaroiden kauppaa koskevien tariffimääräysten tai muiden toimenpiteiden soveltamiseksi.

(3)

Mainittujen yleisten tulkintasääntöjen mukaan on tämän asetuksen liitteen taulukossa olevassa sarakkeessa 1 esitetty tavara luokiteltava sarakkeen 2 CN-koodiin sarakkeesta 3 ilmenevin perustein.

(4)

On aiheellista säätää, että sitovien tariffitietojen haltija voi asetuksen (EU) N:o 952/2013 34 artiklan 9 kohdan mukaisesti vielä tietyn ajan käyttää sellaisia sitovia tariffitietoja, jotka on annettu tässä asetuksessa tarkoitetusta tavarasta mutta jotka eivät ole tämän asetuksen säännösten mukaisia. Mainitun ajan olisi oltava kolme kuukautta.

(5)

Tässä asetuksessa säädetyt toimenpiteet ovat tullikoodeksikomitean lausunnon mukaiset,

ON HYVÄKSYNYT TÄMÄN ASETUKSEN:

1 artikla

Liitteenä olevan taulukon sarakkeessa 1 esitetty tavara luokitellaan yhdistetyssä nimikkeistössä mainitun taulukon sarakkeen 2 CN-koodiin.

2 artikla

Sitovia tariffitietoja, jotka eivät ole tämän asetuksen säännösten mukaisia, voidaan käyttää asetuksen (EU) N:o 952/2013 34 artiklan 9 kohdan mukaisesti vielä kolmen kuukauden ajan tämän asetuksen voimaantulosta.

3 artikla

Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Brysselissä 31 päivänä toukokuuta 2021.

Komission puolesta,

puheenjohtajan nimissä

Gerassimos THOMAS

Pääjohtaja

Verotuksen ja tulliliiton pääosasto


(1)  EUVL L 269, 10.10.2013, s. 1.

(2)  Neuvoston asetus (ETY) N:o 2658/87, annettu 23 päivänä heinäkuuta 1987, tariffi- ja tilastonimikkeistöstä ja yhteisestä tullitariffista (EYVL L 256, 7.9.1987, s. 1).


LIITE

Tavaran kuvaus

Luokittelu

(CN-koodi)

Perusteet

(1)

(2)

(3)

Kermettisauvat, joiden poikkileikkaus on yhtenäinen pyöreä. Pituudeltaan ja läpimitaltaan vaihtelevat tavarat voivat olla poikkileikkaukseltaan täyteisiä tai rei’itettyjä ja niissä voi olla jäähdytyskanavia. Niiden päät ovat tylpät. Jotkin näistä tavaroista voivat olla viistottuja.

Tavarat on valmistettu kermetistä eli sintratusta metallikarbidista, jonka pohjana on käytetty volframikarbidia ja sideaineena kobolttia.

Koska tavaroiden jalostusaste on alhainen ja niiden muoto on yksinkertainen, niitä voidaan käyttää monenlaisiin käyttötarkoituksiin, kuten vahvistusosina. Jos tavaroita jalostetaan enemmän, niitä voidaan käyttää työkaluihin ja työkaluina.

8113 00 90

Luokittelu määräytyy yhdistetyn nimikkeistön 1 ja 6 yleisen tulkintasäännön, XV jakson 4 huomautuksen sekä CN-koodien 8113 00 ja 8113 00 90 nimiketekstien mukaisesti.

Luokittelu CN-koodiin 8209 00 80 kermetistä valmistetuiksi työkaluja varten tarkoitetuiksi sauvoiksi ja niiden kaltaisiksi asentamattomiksi kappaleiksi ei tule kyseeseen, koska tavaroita voidaan käyttää työkaluihin ja työkaluina ainoastaan, jos niitä jalostetaan enemmän, ja koska ne soveltuvat myös muihin käyttötarkoituksiin.

Tavarat on luokiteltava nimikkeeseen 8113 , johon kuuluvat kermetit sekä muokkaamattomina että muualle yhdistettyyn nimikkeistöön kuulumattomina tavaroina (ks. myös harmonoidun järjestelmän selitykset, nimike 8113 , kuudes kappale).

Sen vuoksi tavara on luokiteltava CN-koodiin 8113 00 90 muuksi kermetiksi ja siitä valmistetuksi tavaraksi.


7.6.2021   

FI

Euroopan unionin virallinen lehti

L 199/7


KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) 2021/911,

annettu 31 päivänä toukokuuta 2021,

tiettyjen tavaroiden luokittelusta yhdistettyyn nimikkeistöön

EUROOPAN KOMISSIO, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,

ottaa huomioon unionin tullikoodeksista 9 päivänä lokakuuta 2013 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 952/2013 (1) ja erityisesti sen 57 artiklan 4 kohdan ja 58 artiklan 2 kohdan,

sekä katsoo seuraavaa:

(1)

Neuvoston asetuksen (ETY) N:o 2658/87 (2) liitteenä olevan yhdistetyn nimikkeistön yhdenmukaisen soveltamisen varmistamiseksi on tarpeen antaa tämän asetuksen liitteessä esitetyn tavaran luokittelua koskevia säännöksiä.

(2)

Asetuksessa (ETY) N:o 2658/87 vahvistetaan yhdistetyn nimikkeistön yleiset tulkintasäännöt. Näitä sääntöjä sovelletaan myös kaikkiin muihin nimikkeistöihin, jotka perustuvat kokonaan tai osittain yhdistettyyn nimikkeistöön taikka joissa siihen mahdollisesti lisätään alajakoja ja jotka vahvistetaan unionin erityissäännöksillä tavaroiden kauppaa koskevien tariffimääräysten tai muiden toimenpiteiden soveltamiseksi.

(3)

Mainittujen yleisten tulkintasääntöjen mukaan on tämän asetuksen liitteen taulukossa olevassa sarakkeessa 1 esitetyt tavarat luokiteltava sarakkeen 2 CN-koodeihin sarakkeesta 3 ilmenevin perustein.

(4)

On aiheellista säätää, että sitovien tariffitietojen haltija voi asetuksen (EU) N:o 952/2013 34 artiklan 9 kohdan mukaisesti vielä tietyn ajan käyttää sellaisia sitovia tariffitietoja, jotka on annettu tässä asetuksessa tarkoitetusta tavarasta mutta jotka eivät ole tämän asetuksen säännösten mukaisia. Mainitun ajan olisi oltava kolme kuukautta.

(5)

Tässä asetuksessa säädetyt toimenpiteet ovat tullikoodeksikomitean lausunnon mukaiset,

ON HYVÄKSYNYT TÄMÄN ASETUKSEN:

1 artikla

Liitteenä olevan taulukon sarakkeessa 1 esitetyt tavarat luokitellaan yhdistetyssä nimikkeistössä mainitun taulukon sarakkeen 2 CN-koodeihin.

2 artikla

Sitovia tariffitietoja, jotka eivät ole tämän asetuksen säännösten mukaisia, voidaan käyttää asetuksen (EU) N:o 952/2013 34 artiklan 9 kohdan mukaisesti vielä kolmen kuukauden ajan tämän asetuksen voimaantulosta.

3 artikla

Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Brysselissä 31 päivänä toukokuuta 2021.

Komission puolesta

puheenjohtajan nimissä

Gerassimos THOMAS

Pääjohtaja

Verotuksen ja tulliliiton pääosasto


(1)  EUVL L 269, 10.10.2013, s. 1.

(2)  Neuvoston asetus (ETY) N:o 2658/87, annettu 23 päivänä heinäkuuta 1987, tariffi- ja tilastonimikkeistöstä ja yhteisestä tullitariffista (EYVL L 256, 7.9.1987, s. 1).


LIITE

Tavaran kuvaus

Luokittelu

(CN-koodi)

Perusteet

(1)

(2)

(3)

Siirtoalusta, jossa on

puupohjainen levy (kuitulevy, jonka kulmat ja reunat on pyöristetty),

muoviset liukuesteet levyn yläpinnassa,

muovipyörät,

metallikiinnikkeet muovipyörien kiinnittämiseksi levyn alapinnalle.

Tavarassa on kädensija, jotta sitä voidaan kantaa esimerkiksi käsin tai se voidaan ripustaa seinälle.

Tavara on tarkoitettu käytettäväksi erilaisten esineiden, erityisesti huonekalujen ja muiden raskaiden esineiden, siirtämiseen.

(Katso kuva) (*1)

4421 99 10

Luokittelu määräytyy yhdistetyn nimikkeistön 1 yleisen tulkintasäännön, 3 yleisen tulkintasäännön b alakohdan ja 6 yleisen tulkintasäännön, 44 ryhmän 3 huomautuksen sekä CN-koodien 4421 , 4421 99 ja 4421 99 10 nimiketekstien mukaisesti.

Luokittelu CN-koodiin 8716 80 00 muuksi kuljetusvälineeksi, ilman mekaanista kuljetuskoneistoa, ei tule kyseeseen, koska tavaran objektiivisesti todettavat ominaispiirteet ja ominaisuudet eivät täysin vastaa nimikkeen 8716 ja CN-koodin 8716 80 00 sanamuotoja.

Kun otetaan huomioon tavaran objektiiviset ominaispiirteet ja ominaisuudet, mukaan luettuna kädensija, jota ei käytetä tavaran työntämiseen jaloin tai käsin, ja sen rakenne raskaiden esineiden, kuten huonekalujen, siirtämiseen esineitä työntämällä, tavaraa ei ole suunniteltu hinattavaksi muilla kulkuneuvoilla, työnnettäväksi tai vedettäväksi käsin, työnnettäväksi jaloin tai eläinten vedettäväksi (ks. myös harmonoidun järjestelmän selitykset, nimike 8716 , toinen kappale).

Tavaraa ei voida pitää kuljetusvälineenä, koska sillä ei ole joitakin nimikkeen 8716 käsin tai jaloin liikutettavan kuljetusvälineen ominaispiirteitä ja ominaisuuksia, koska se ei ole rattaat, kärryt tai vaunu tai koska se ei koostu kuljetusvälineen tietystä osasta, kuten alustasta.

Näin ollen tavara on luokiteltava perusaineosansa mukaisesti.

Tavara on eri materiaaleista (puusta, muovista ja metallista) koostuva yhdistelmätuote. Aineosa, joka antaa tavaralle sen olennaisen luonteen, on puu, koska puulevy muodostaa pääosan yhdistelmätuotteesta ja koska puulevyllä on suurin merkitys tavaran käyttötarkoituksen kannalta.

Tavara on sen vuoksi luokiteltava CN-koodiin 4421 99 10 muuksi kuitulevystä valmistetuksi tavaraksi.

Image 2


(*1)  Kuva on ainoastaan ohjeellinen.


7.6.2021   

FI

Euroopan unionin virallinen lehti

L 199/10


KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) 2021/912,

annettu 4 päivänä kesäkuuta 2021,

luvan antamisesta uuselintarvikkeen lakto-N-neotetraoosin (mikrobiaalinen) eritelmän muuttamiseksi ja täytäntöönpanoasetuksen (EU) 2017/2470 muuttamisesta

(ETA:n kannalta merkityksellinen teksti)

EUROOPAN KOMISSIO, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,

ottaa huomioon uuselintarvikkeista, Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1169/2011 muuttamisesta sekä Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 258/97 ja komission asetuksen (EY) N:o 1852/2001 kumoamisesta 25 päivänä marraskuuta 2015 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2015/2283 (1) ja erityisesti sen 12 artiklan,

sekä katsoo seuraavaa:

(1)

Asetuksessa (EU) 2015/2283 säädetään, että unionin markkinoille voidaan saattaa vain sellaisia uuselintarvikkeita, jotka on hyväksytty ja jotka mainitaan unionin luettelossa.

(2)

Asetuksen (EU) 2015/2283 8 artiklan nojalla annettiin komission täytäntöönpanoasetus (EU) 2017/2470 (2), jossa vahvistetaan unionin luettelo hyväksytyistä uuselintarvikkeista.

(3)

Asetuksen (EU) 2015/2283 12 artiklan mukaisesti komissio toimittaa luonnoksen täytäntöönpanosäädökseksi, jolla hyväksytään uuselintarvikkeen saattaminen unionin markkinoille ja saatetaan unionin luettelo ajan tasalle.

(4)

Komission täytäntöönpanopäätöksellä (EU) 2016/375 (3) hyväksyttiin kemiallisesti syntetisoidun lakto-N-neotetraoosin saattaminen markkinoille elintarvikkeiden uutena ainesosana Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 258/97 (4) mukaisesti.

(5)

Yritys Glycom A/S ilmoitti 1 päivänä syyskuuta 2016 komissiolle asetuksen (EY) N:o 258/97 5 artiklan mukaisesti aikomuksestaan saattaa markkinoille Escherichia coli -kannan K-12 avulla tuotettua mikrobiaalista lakto-N-neotetraoosia elintarvikkeiden uutena ainesosana.

(6)

Ilmoituksen yhteydessä Glycom A/S toimitti asetuksen (EY) N:o 258/97 3 artiklan 4 kohdan mukaisesti komissiolle myös Irlannin toimivaltaisen viranomaisen laatiman lausunnon, jossa todettiin kyseisen yrityksen toimittaman tieteellisen näytön perusteella, että Escherichia coli -kannan K-12 avulla tuotettu lakto-N-neotetraoosi vastaa olennaisesti täytäntöönpanopäätöksellä (EU) 2016/375 hyväksyttyä synteettistä lakto-N-neotetraoosia. Näin ollen mikrobiaalinen lakto-N-neotetraoosi sisällytettiin unionin uuselintarvikeluetteloon.

(7)

Yritys Chr. Hansen A/S, jäljempänä ’hakija’, esitti 23 päivänä kesäkuuta 2019 komissiolle asetuksen (EU) 2015/2283 10 artiklan 1 kohdan mukaisesti hakemuksen Escherichia coli -kannan BL21(DE3) johdettujen kantojen PS-LNnT-JBT ja DS-LNnT-JBT yhdistelmän avulla tuotetun mikrobiaalisen lakto-N-neotetraoosin hyväksymisestä uuselintarvikkeena samoilla käyttöedellytyksillä, jotka on jo hyväksytty synteettisen ja mikrobiaalisen lakto-N-neotetraoosin osalta. Hakija pyysi unionin luettelon päivittämistä kyseisen uuselintarvikkeen uuden lähteen osalta.

(8)

Lisäksi hakija ehdotti joidenkin tästä uudesta lähteestä saadun lakto-N-neotetraoosin (mikrobiaalinen) eritelmien päivittämistä, koska ne eroavat luvan saaneen Escherichia coli -kannan K-12 avulla tuotetun mikrobiaalisen lakto-N-neotetraoosin eritelmästä: tuhkapitoisuus nostetaan ≤ 0,4 prosentista ≤ 1,0 prosenttiin ja hiivan ja homeiden pitoisuus nykyisestä ≤ 10 pesäkkeen muodostavasta yksiköstä, jäljempänä ’PMY’, grammaa uuselintarviketta kohti molempien mikro-organismityyppien osalta ≤ 50 PMY:hyn/g näiden kahden yhdistelmän osalta eikä metanolia (verrattuna nykyiseen ≤ 100 mg/kg) ja lakto-N-neotetraoosifruktoosin isomeerejä (verrattuna nykyiseen ≤ 1,0 %) saa esiintyä.

(9)

Komissio pyysi 17 päivänä tammikuuta 2020 Euroopan elintarviketurvallisuusviranomaista, jäljempänä ’elintarviketurvallisuusviranomainen’, arvioimaan Escherichia coli -kannan BL21(DE3) johdettujen kantojen PS-LNnT-JBT ja DS-LNnT-JBT yhdistelmän avulla tuotettua lakto-N-neotetraoosia asetuksen (EU) 2015/2283 11 artiklan vaatimusten mukaisesti.

(10)

Elintarviketurvallisuusviranomainen antoi 22 päivänä lokakuuta 2020 tieteellisen lausunnon ”Safety of lacto-N-neotetraose (LNnT) produced by derivative strains of E. coli BL21 as a novel food pursuant to Regulation (EU) 2015/2283” (5) lakto-N-neotetraoosin turvallisuudesta.

(11)

Tieteellisessä lausunnossaan elintarviketurvallisuusviranomainen totesi, että Escherichia coli -kannan BL21(DE3) johdettujen kantojen PS-LNnT-JBT ja DS-LNnT-JBT yhdistelmän avulla tuotettu lakto-N-neotetraoosi asetuksen (EU) 2015/2283 mukaisena uuselintarvikkeena on turvallinen tällä hetkellä hyväksytyillä käyttöedellytyksillä. Sen vuoksi kyseinen tieteellinen lausunto antaa riittävät perusteet vahvistaa, että Escherichia coli -kannan BL21(DE3) johdettujen kantojen PS-LNnT-JBT ja DS-LNnT-JBT yhdistelmän avulla tuotettu lakto-N-neotetraoosi on asetuksen (EU) 2015/2283 12 artiklan 1 kohdan vaatimusten mukainen.

(12)

Sen vuoksi on aiheellista muuttaa mikrobiologisesti tuotetun lakto-N-neotetraoosin eritelmää Escherichia coli -kannan BL21(DE3) johdettujen kantojen PS-LNnT-JBT ja DS-LNnT-JBT sisällyttämiseksi kyseisen uuselintarvikkeen lähteenä jo hyväksytyn Escherichia coli -kannan K12 lisäksi ja ehdotettujen tuhkan sekä hiivan ja homeiden esiintymispitoisuuksien muuttamiseksi.

(13)

Asetuksen (EU) 2017/2470 liitettä olisi sen vuoksi muutettava.

(14)

Tässä asetuksessa säädetyt toimenpiteet ovat pysyvän kasvi-, eläin-, elintarvike- ja rehukomitean lausunnon mukaiset,

ON HYVÄKSYNYT TÄMÄN ASETUKSEN:

1 artikla

Muutetaan asetuksen (EU) 2015/2283 6 artiklassa tarkoitetussa hyväksyttyjen uuselintarvikkeiden luettelossa oleva lakto-N-neotetraoosia koskeva kohta tämän asetuksen liitteen mukaisesti.

2 artikla

Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Brysselissä 4 päivänä kesäkuuta 2021.

Komission puolesta

Puheenjohtaja

Ursula VON DER LEYEN


(1)  EUVL L 327, 11.12.2015, s. 1.

(2)  Komission täytäntöönpanoasetus (EU) 2017/2470, annettu 20 päivänä joulukuuta 2017, unionin uuselintarvikeluettelon laatimisesta uuselintarvikkeista annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2015/2283 mukaisesti (EUVL L 351, 30.12.2017, s. 72).

(3)  Komission täytäntöönpanopäätös (EU) 2016/375, annettu 11 päivänä maaliskuuta 2016, luvan antamisesta lakto-N-neotetraoosin saattamiseksi markkinoille elintarvikkeiden uutena ainesosana Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 258/97 mukaisesti (EUVL L 70, 16.3.2016, s. 22).

(4)  Euroopan parlamentin ja neuvoston asetus (EY) N:o 258/97, annettu 27 päivänä tammikuuta 1997, uuselintarvikkeista ja elintarvikkeiden uusista ainesosista (EYVL L 43, 14.2.1997, s. 1).

(5)  EFSA Journal 2020;18(11):6305.


LIITE

Korvataan täytäntöönpanoasetuksen (EU) 2017/2470 liitteen taulukossa 2 (Eritelmät) oleva kohta ”lakto-N-neotetraoosi (mikrobiaalinen)” seuraavasti:

Lakto-N-neotetraoosi

(mikrobiaalinen)

Määritelmä:

Kemiallinen nimi: β-D-Galaktopyranosyyli-(1→4)-2-asetamido-2-deoksi-β-D-glukopyranosyyli-(1→3)-β-D-galaktopyranosyyli-(1→4)-D-glukopyranoosi

Kemiallinen kaava: C26H45NO21

CAS-numero: 13007-32-4

Molekyylipaino: 707,63 g/mol

Lähde:

Muuntogeeninen Escherichia coli K-12 -kanta tai

muuntogeenisten Escherichia coli BL21(DE3) -kantojen PS-LNnT-JBT ja DS-LNnT-JBT yhdistelmä

Kuvaus:

Lakto-N-neotetraoosi on valkoinen tai lähes valkoinen jauhe, jota tuotetaan mikrobiologisella prosessilla.

Puhtaus:

Määritys (vedettömänä): ≥ 80 %

D-Laktoosi: ≤ 10,0 %

Lakto-N-trioosi II: ≤ 3,0 %

para-Lakto-N-neoheksaoosi: ≤ 5,0 %

Lakto-N-neotetraoosifruktoosin isomeeri: ≤ 1,0 %

Sakkaridien summa (lakto-N-neotetraoosi, D-laktoosi, lakto-N-trioosi II, para-lakto-N-neoheksaoosi ja lakto-N-neotetraoosifruktoosin isomeeri): ≥ 92 % (painoprosenttia kuiva-aineesta)

pH (20 °C, 5-prosenttinen liuos): 4,0–7,0

Vesi: ≤ 9,0 %

Sulfatoitu tuhka: ≤ 1,0 %

Liuotinjäämät (metanoli): ≤ 100 mg/kg

Proteiinijäämät: ≤ 0,01 %

Mikrobiologiset vaatimukset:

Aerobisten mesofiilisten bakteerien kokonaismäärä: ≤ 500 PMY/g

Hiivat ja homeet: ≤ 50 PMY/g

Endotoksiinijäämät: ≤ 10 EU/mg

PMY: pesäkkeen muodostavat yksiköt; EU: endotoksiiniyksiköt”


PÄÄTÖKSET

7.6.2021   

FI

Euroopan unionin virallinen lehti

L 199/13


KOMISSION TÄYTÄNTÖÖNPANOPÄÄTÖS (EU) 2021/913,

annettu 3 päivänä kesäkuuta 2021,

asetuksen (EU) 2019/2022 ja delegoidun asetuksen (EU) 2019/2017 tueksi laadituista kotitalouksien astianpesukoneita koskevista yhdenmukaistetuista standardeista

EUROOPAN KOMISSIO, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,

ottaa huomioon eurooppalaisesta standardoinnista, neuvoston direktiivien 89/686/ETY ja 93/15/ETY sekä Euroopan parlamentin ja neuvoston direktiivien 94/9/EY, 94/25/EY, 95/16/EY, 97/23/EY, 98/34/EY, 2004/22/EY, 2007/23/EY, 2009/23/EY ja 2009/105/EY muuttamisesta ja neuvoston päätöksen 87/95/ETY ja Euroopan parlamentin ja neuvoston päätöksen N:o 1673/2006/EY kumoamisesta 25 päivänä lokakuuta 2012 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1025/2012 (1) ja erityisesti sen 10 artiklan 6 kohdan,

sekä katsoo seuraavaa:

(1)

Euroopan parlamentin ja neuvoston direktiivin 2009/125/EY (2) 9 artiklan 2 kohdan mukaisesti jäsenvaltioiden on pidettävä tuotetta sovellettavan täytäntöönpanotoimenpiteen kaikkien vaatimusten mukaisena, jos siihen on sovellettu kyseiseen täytäntöönpanotoimenpiteeseen liittyviä yhdenmukaistettuja standardeja, joiden viitenumerot on julkaistu Euroopan unionin virallisessa lehdessä. Komission asetuksen (EU) 2019/2022 (3) 4 artiklassa ja sen liitteessä III vahvistetaan asiaankuuluvat mittaus- ja laskelmavaatimukset kotitalouksien astianpesukoneita varten.

(2)

Euroopan parlamentin ja neuvoston asetuksen (EU) 2017/1369 (4) 13 artiklan mukaisesti sen jälkeen kun kyseisen asetuksen 16 artiklan nojalla on annettu delegoitu säädös, jossa vahvistetaan erityiset merkintävaatimukset, komissio julkaisee Euroopan unionin virallisessa lehdessä sellaisten yhdenmukaistettujen standardien viitetiedot, jotka täyttävät delegoidun säädöksen asiaankuuluvat mittaus- ja laskentavaatimukset. Kun tällaisia yhdenmukaistettuja standardeja sovelletaan tuotteen vaatimustenmukaisuuden arvioinnin aikana, mallin oletetaan olevan delegoidun säädöksen asiaankuuluvien mittaus- ja laskentavaatimusten mukainen. Komission delegoidun asetuksen (EU) 2019/2017 (5) 3 artiklassa ja sen liitteessä IV vahvistetaan mittaus- ja laskelmavaatimukset kotitalouksien astianpesukoneita varten.

(3)

Komissio esitti täytäntöönpanopäätöksessä C(2020)4329 (6) Euroopan standardointikomitealle (CEN), Euroopan sähkötekniikan standardointikomitealle (Cenelec) ja Euroopan telealan standardointilaitokselle (ETSI) pyynnön tarkistaa voimassa olevia, asetusten (EU) 2019/2022 ja (EU) 2019/2023 sekä delegoitujen asetusten (EU) 2019/2017 ja (EU) 2019/2014 tueksi laadittuja yhdenmukaistettuja standardeja, jotka koskevat kotitalouksien astianpesukoneita, kotitalouksien pyykinpesukoneita ja kotitalouksien kuivaavia pyykinpesukoneita.

(4)

Täytäntöönpanopäätöksessä C(2020)4329 esitetyn pyynnön perusteella Cenelec laati yhdenmukaistetun standardin EN 60436:2020 tekniikan ja tieteen kehityksen huomioon ottamiseksi. Cenelec hyväksyi myös muutoksen EN 60436:2020/A11:2020 ja oikaisun EN 60436:2020/AC:2020–6 kyseiseen standardiin.

(5)

Komissio on yhdessä Cenelecin kanssa arvioinut, täyttääkö yhdenmukaistettu standardi EN 60436:2020, sellaisena kuin se on muutettuna standardilla EN 60436:2020/A11:2020 ja oikaistuna standardilla EN 60436:2020/AC:2020–6, täytäntöönpanopäätöksessä C(2020)4329 esitetyn pyynnön.

(6)

Yhdenmukaistettu standardi EN 60436:2020, sellaisena kuin se on muutettuna standardilla EN 60436:2020/A11:2020 ja oikaistuna standardilla EN 60436:2020/AC:2020–6, täyttää vaatimukset, jotka sen on tarkoitus kattaa ja jotka vahvistetaan asetuksessa (EU) 2019/2022 ja delegoidussa asetuksessa (EU) 2019/2017.

(7)

On tarpeen selventää, mitä standardin EN 60436:2020 lausekkeessa ”3 Modification of Clause (Lausekkeen muuttaminen) 2 ’Normative references’” (Velvoittavat viittaukset) mainittuja standardiversioita on sovellettava vaatimustenmukaisuusolettaman tarkoituksissa.

(8)

Julkaisusta olisi jätettävä pois standardin EN 60436:2020 taulukon ZZA.1 sarake ”Remarks / Notes*” (Huomiot/Huomautukset) delegoidun asetuksen (EU) 2019/2017 soveltamiseksi sekä standardin EN 60436:2020 taulukon ZZB.1 sarake ”Remarks / Notes*” (Huomiot/Huomautukset) asetuksen (EU) 2019/2022 soveltamiseksi, koska kyseiset sarakkeet eivät ole linjassa standardin pääasiallisen velvoittavan tekstin vaatimusten kanssa ja koska kyseisten sarakkeiden alaviitteeseen sisällytetyn vaatimustenmukaisuusolettaman oikeudellisen vaikutuksen tulkinta johtaa oikeudelliseen epävarmuuteen.

(9)

Sen vuoksi on aiheellista julkaista yhdenmukaistetun standardin EN 60436:2020, sellaisena kuin se on muutettuna standardilla EN 60436:2020/A11:2020 ja oikaistuna standardilla EN 60436:2020/AC:2020–6, viitetiedot Euroopan unionin virallisessa lehdessä varauksin.

(10)

Yhdenmukaistettu standardi EN 60436:2020 korvaa komission tiedonannolla 2016/C 416/05 (7) julkaistun yhdenmukaistetun standardin EN 50242:2016. Sen vuoksi on asianmukaista kumota kyseinen tiedonanto.

(11)

Yhdenmukaistetun standardin noudattaminen luo olettamuksen vastaavien unionin yhdenmukaistamislainsäädännössä asetettujen vaatimusten täyttymisestä siitä päivästä alkaen, jona tällaisen standardin viitetiedot on julkaistu Euroopan unionin virallisessa lehdessä. Sen vuoksi tämän päätöksen olisi tultava voimaan päivänä, jona se julkaistaan,

ON HYVÄKSYNYT TÄMÄN PÄÄTÖKSEN:

1 artikla

Julkaistaan delegoidun asetuksen (EU) 2019/2017 tueksi laaditun kotitalouksien astianpesukoneiden energiamerkintää koskevan yhdenmukaistetun standardin viitetiedot, jotka luetellaan tämän päätöksen liitteessä I, Euroopan unionin virallisessa lehdessä varauksin.

Julkaistaan asetuksen (EU) 2019/2022 tueksi laaditun kotitalouksien astianpesukoneiden ekologista suunnittelua koskevan yhdenmukaistetun standardin viitetiedot, jotka luetellaan tämän päätöksen liitteessä II, Euroopan unionin virallisessa lehdessä varauksin.

2 artikla

Kumotaan tiedonanto 2016/C 416/05.

3 artikla

Tämä päätös tulee voimaan sinä päivänä, jona se julkaistaan Euroopan unionin virallisessa lehdessä.

Tehty Brysselissä 3 päivänä kesäkuuta 2021.

Komission puolesta

Puheenjohtaja

Ursula VON DER LEYEN


(1)  EUVL L 316, 14.11.2012, s. 12.

(2)  Euroopan parlamentin ja neuvoston direktiivi 2009/125/EY, annettu 21 päivänä lokakuuta 2009, energiaan liittyvien tuotteiden ekologiselle suunnittelulle asetettavien vaatimusten puitteista (EUVL L 285, 31.10.2009, s. 10).

(3)  Komission asetus (EU) 2019/2022, annettu 1 päivänä lokakuuta 2019, kotitalouksien astianpesukoneiden ekologista suunnittelua koskevista vaatimuksista Euroopan parlamentin ja neuvoston direktiivin 2009/125/EY nojalla sekä komission asetuksen (EY) N:o 1275/2008 muuttamisesta ja komission asetuksen (EU) N:o 1016/2010 kumoamisesta (EUVL L 315, 5.12.2019, s. 267).

(4)  Euroopan parlamentin ja neuvoston asetus (EU) 2017/1369, annettu 4 päivänä heinäkuuta 2017, energiamerkintää koskevien puitteiden vahvistamisesta ja direktiivin 2010/30/EU kumoamisesta (EUVL L 198, 28.7.2017, s. 1).

(5)  Komission delegoitu asetus (EU) 2019/2017, annettu 11 päivänä maaliskuuta 2019, Euroopan parlamentin ja neuvoston asetuksen (EU) 2017/1369 täydentämisestä kotitalouksien astianpesukoneiden energiamerkinnän osalta ja komission delegoidun asetuksen (EU) N:o 1059/2010 kumoamisesta (EUVL L 315, 5.12.2019, s. 134).

(6)  Commission Implementing Decision C(2020)4329 of 1 July 2020 on a standardisation request to the European Committee for Standardisation, the European Committee for Electrotechnical Standardisation and the European Telecommunications Standards Institute as regards ecodesign and energy labelling requirements for household dishwashers, household washing machines and household washer-dryers in support of Commission Regulations (EU) 2019/2022 and (EU) 2019/2023 and Commission Delegated Regulations (EU) 2019/2017 and (EU) 2019/2014.

(7)  Euroopan parlamentin ja neuvoston direktiivin 2009/125/EY täytäntöönpanemisesta kotitalouksien pyykinpesukoneiden ekologista suunnittelua koskevien vaatimusten osalta annetun komission asetuksen (EU) N:o 1016/2010 ja Euroopan parlamentin ja neuvoston direktiivin 2010/30/EU täydentämisestä kotitalouksien astianpesukoneiden energiamerkinnän osalta annetun komission delegoidun asetuksen (EU) N:o 1059/2010 täytäntöönpanoon liittyvä komission tiedonanto (Unionin yhdenmukaistamislainsäädännön soveltamisalaan kuuluvien yhdenmukaistettujen standardien otsikot ja viitenumerot) (EUVL C 416, 11.11.2016, s. 14).


LIITE I

Delegoidun asetuksen (EU) 2019/2017 tueksi laaditun yhdenmukaistetun standardin viitetiedot

EN 60436:2020

Electric dishwashers for household use – Methods for measuring the performance

EN 60436:2020/A11:2020

EN 60436:2020/AC:2020–6

Rajoitukset:

a)

Lauseketta ”2 Normative references” (Velvoittavat viittaukset) sovellettaessa sovelletaan seuraavia yhdenmukaistettuja standardiversioita:

i)

EN 50564:2011;

ii)

EN 50643:2018, sellaisena kuin se on muutettuna standardilla EN 50643:2018/A1:2020;

iii)

EN 60704–2-3:2019;

iv)

EN 60704–2-3:2019, sellaisena kuin se on muutettuna standardilla EN 60704–2-3:2019/A11:2019;

v)

EN 60705:2015, sellaisena kuin se on muutettuna standardilla EN 60705:2015/A2:2018;

vi)

EN 60734:2012;

vii)

ISO 607:1980.

b)

Tämä julkaiseminen ei kata taulukon ZZA.1. saraketta ”Remarks / Notes*” (Huomiot/Huomautukset).


LIITE II

Asetuksen (EU) 2019/2022 tueksi laaditun yhdenmukaistetun standardin viitetiedot

EN 60436:2020

Electric dishwashers for household use – Methods for measuring the performance

EN 60436:2020/A11:2020

EN 60436:2020/AC:2020–6

Rajoitukset:

a)

Lauseketta ”2 Normative references” (Velvoittavat viittaukset) sovellettaessa sovelletaan seuraavia yhdenmukaistettuja standardiversioita:

i)

EN 50564:2011;

ii)

EN 50643:2018, sellaisena kuin se on muutettuna standardilla EN 50643:2018/A1:2020;

iii)

EN 60704–2-3:2019;

iv)

EN 60704–2-3:2019, sellaisena kuin se on muutettuna standardilla EN 60704–2-3:2019/A11:2019;

v)

EN 60705:2015, sellaisena kuin se on muutettuna standardilla EN 60705:2015/A2:2018;

vi)

EN 60734:2012;

vii)

ISO 607:1980.

b)

Tämä julkaiseminen ei kata taulukon ZZB.1. saraketta ”Remarks / Notes*” (Huomiot/Huomautukset).


7.6.2021   

FI

Euroopan unionin virallinen lehti

L 199/18


KOMISSION TÄYTÄNTÖÖNPANOPÄÄTÖS (EU) 2021/915,

annettu 4 päivänä kesäkuuta 2021,

Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 28 artiklan 7 kohdan ja Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 29 artiklan 7 kohdan mukaisista rekisterinpitäjien ja henkilötietojen käsittelijöiden välisistä vakiosopimuslausekkeista

(ETA:n kannalta merkityksellinen teksti)

EUROOPAN KOMISSIO, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,

ottaa huomioon luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27 päivänä huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (1) (yleinen tietosuoja-asetus), ja erityisesti sen 28 artiklan 7 kohdan,

ottaa huomioon luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta 23 päivänä lokakuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (2) (EU:n tietosuoja-asetus), ja erityisesti sen 29 artiklan 7 kohdan,

sekä katsoo seuraavaa:

(1)

Rekisterinpitäjän ja henkilötietojen käsittelijän käsitteillä on keskeinen rooli asetuksen (EU) 2016/679 ja asetuksen (EU) 2018/1725 soveltamisessa. Rekisterinpitäjä on luonnollinen tai oikeushenkilö, viranomainen, virasto tai muu elin, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Asetuksen (EU) 2018/1725 soveltamiseksi rekisterinpitäjällä tarkoitetaan unionin toimielintä tai elintä, pääosastoa tai muuta organisaatioyksikköä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Jos käsittelyn tarkoitukset ja keinot määritellään erityisellä unionin säädöksellä, rekisterinpitäjästä tai tämän nimittämistä koskevista erityisistä perusteista voidaan säätää unionin lainsäädännössä. Henkilötietojen käsittelijä on luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.

(2)

Samoja vakiosopimuslausekkeita olisi sovellettava asetuksen (EU) 2016/679 soveltamisalaan kuuluvien rekisterinpitäjien ja henkilötietojen käsittelijöiden väliseen suhteeseen ja myös silloin, kun niihin sovelletaan asetusta (EU) 2018/1725. Tämä johtuu siitä, että jotta henkilötietojen suojaan koko unionissa ja henkilötietojen vapaaseen liikkuvuuteen unionissa sovellettaisiin johdonmukaista lähestymistapaa, jäsenvaltioiden julkiseen sektoriin sovellettavat asetuksen (EU) 2016/679 tietosuojasäännöt ja unionin toimielimiin, elimiin ja virastoihin sovellettavat asetuksen (EU) 2018/1725 tietosuojasäännöt on mahdollisuuksien mukaan sovitettu yhteen.

(3)

Asetusten (EU) 2016/679 ja (EU) 2018/1725 vaatimusten noudattamisen varmistamiseksi rekisterinpitäjän olisi antaessaan käsittelytoimia henkilötietojen käsittelijän tehtäväksi käytettävä ainoastaan henkilötietojen käsittelijöitä, jotka antavat riittävät takeet, erityisesti asiantuntemuksen, luotettavuuden ja resurssien osalta, kun toteutetaan sellaisia teknisiä ja organisatorisia toimenpiteitä, jotka täyttävät asetuksen (EU) 2016/679 ja asetuksen (EU) 2018/1725 vaatimukset, mukaan lukien käsittelyn turvallisuus.

(4)

Henkilötietojen käsittelijän suorittamaan tietojen käsittelyyn sovelletaan sopimusta tai muuta unionin oikeuden tai jäsenvaltion lainsäädännön mukaista oikeudellista asiakirjaa, joka sitoo henkilötietojen käsittelijää rekisterinpitäjään nähden ja jossa vahvistetaan asetuksen (EU) 2016/679 28 artiklan 3 ja 4 kohdassa tai asetuksen (EU) 2018/1725 29 artiklan 3 ja 4 kohdassa luetellut seikat. Sopimuksen tai asiakirjan on oltava kirjallinen, myös sähköisessä muodossa.

(5)

Asetuksen (EU) 2016/679 28 artiklan 6 kohdan ja asetuksen (EU) 2018/1725 29 artiklan 6 kohdan mukaisesti rekisterinpitäjä ja henkilötietojen käsittelijä voivat päättää neuvotella yksittäisen sopimuksen, joka sisältää asetuksen (EU) 2016/679 28 artiklan 3 ja 4 kohdassa tai asetuksen (EU) 2018/1725 29 artiklan 3 ja 4 kohdassa säädetyt pakolliset osat, tai käyttää kokonaan tai osittain komission asetuksen (EU) 2016/679 28 artiklan 7 kohdan ja asetuksen (EU) 2018/1725 29 artiklan 7 kohdan nojalla hyväksymiä vakiosopimuslausekkeita.

(6)

Rekisterinpitäjän ja henkilötietojen käsittelijän olisi voitava vapaasti sisällyttää tässä päätöksessä säädetyt vakiosopimuslausekkeet laajempaan sopimukseen ja lisätä muita lausekkeita tai lisätakeita edellyttäen, että ne eivät ole suoraan tai välillisesti ristiriidassa vakiosopimuslausekkeiden kanssa eivätkä rajoita rekisteröityjen perusoikeuksia tai -vapauksia. Vakiosopimuslausekkeiden käyttö ei vaikuta rekisterinpitäjän ja/tai henkilötietojen käsittelijän sopimusvelvoitteisiin, jotka koskevat sovellettavien erioikeuksien ja vapauksien kunnioittamisen varmistamista.

(7)

Vakiosopimuslausekkeiden olisi sisällettävä sekä aineellisia että menettelysääntöjä. Asetuksen (EU) 2016/679 28 artiklan 3 kohdan ja asetuksen (EU) 2018/1725 29 artiklan 3 kohdan mukaisesti vakiosopimuslausekkeissa olisi myös edellytettävä, että rekisterinpitäjä ja henkilötietojen käsittelijä vahvistavat käsittelyn kohteen ja keston, sen luonteen ja tarkoituksen, kyseessä olevien henkilötietojen tyypin, rekisteröityjen ryhmät sekä rekisterinpitäjän velvollisuudet ja oikeudet.

(8)

Asetuksen (EU) 2016/679 28 artiklan 3 kohdan ja asetuksen (EU) 2018/1725 29 artiklan 3 kohdan mukaan henkilötietojen käsittelijän on ilmoitettava rekisterinpitäjälle välittömästi, jos sen mielestä rekisterinpitäjän ohjeella rikotaan asetusta (EU) 2016/679 tai asetusta (EU) 2018/1725 taikka muita unionin tai jäsenvaltion tietosuojasäännöksiä.

(9)

Jos henkilötietojen käsittelijä kutsuu toisen henkilötietojen käsittelijän suorittamaan tiettyjä toimintoja, olisi sovellettava asetuksen (EU) 2016/679 28 artiklan 2 ja 4 kohdassa tai asetuksen (EU) 2018/1725 29 artiklan 2 ja 4 kohdassa tarkoitettuja erityisiä vaatimuksia. Erityisesti vaaditaan erityinen tai yleinen kirjallinen ennakkolupa. Riippumatta siitä, onko tämä ennakkolupa erityinen vai yleinen, ensimmäisen henkilötietojen käsittelijän olisi pidettävä ajan tasalla luettelo muista henkilötietojen käsittelijöistä.

(10)

Täyttääkseen asetuksen (EU) 2016/679 46 artiklan 1 kohdan vaatimukset komissio hyväksyi vakiosopimuslausekkeita asetuksen (EU) 2016/679 46 artiklan 2 kohdan c alakohdan nojalla. Kyseiset lausekkeet täyttävät myös asetuksen (EU) 2016/679 28 artiklan 3 ja 4 kohdan vaatimukset, jotka koskevat tiedonsiirtoja asetuksen (EU) 2016/679 soveltamisalaan kuuluvilta rekisterinpitäjiltä kyseisen asetuksen alueellisen soveltamisalan ulkopuolisille henkilötietojen käsittelijöille tai asetuksen (EU) 2016/679 soveltamisalaan kuuluvilta henkilötietojen käsittelijöiltä kyseisen asetuksen alueellisen soveltamisalan ulkopuolisille henkilötietojen alikäsittelijöille. Näitä vakiosopimuslausekkeita ei voida käyttää vakiosopimuslausekkeina asetuksen (EU) 2016/679 V luvun soveltamiseksi.

(11)

Kolmansien osapuolten olisi voitava tulla vakiosopimuslausekkeiden osapuoleksi sopimuksen koko elinkaaren ajan.

(12)

Vakiosopimuslausekkeiden toimivuutta olisi arvioitava osana asetuksen (EU) 2016/679 97 artiklassa tarkoitettua määräaikaisarviointia.

(13)

Euroopan tietosuojavaltuutettua ja Euroopan tietosuojaneuvostoa on kuultu asetuksen (EU) 2018/1725 42 artiklan 1 ja 2 kohdan mukaisesti, ja ne antoivat 14 päivänä tammikuuta 2021 yhteisen lausunnon (3), joka on otettu huomioon tämän päätöksen valmistelussa.

(14)

Tässä päätöksessä säädetyt toimenpiteet ovat asetuksen (EU) 2016/679 93 artiklalla ja asetuksen (EU) 2018/1725 96 artiklan 2 kohdalla perustetun komitean lausunnon mukaiset,

ON HYVÄKSYNYT TÄMÄN PÄÄTÖKSEN:

1 artikla

Liitteessä esitetyt vakiosopimuslausekkeet täyttävät asetuksen (EU) 2016/679 28 artiklan 3 ja 4 kohdassa sekä asetuksen (EU) 2018/1725 29 artiklan 3 ja 4 kohdassa säädetyt rekisterinpitäjien ja henkilötietojen käsittelijöiden välisiä sopimuksia koskevat vaatimukset.

2 artikla

Liitteessä esitettyjä vakiosopimuslausekkeita voidaan käyttää rekisterinpitäjän ja rekisterinpitäjän puolesta henkilötietoja käsittelevän henkilötietojen käsittelijän välisissä sopimuksissa.

3 artikla

Komissio arvioi liitteessä esitettyjen vakiosopimuslausekkeiden käytännön soveltamista kaikkien saatavilla olevien tietojen perusteella osana asetuksen (EU) 2016/679 97 artiklassa säädettyä määräaikaisarviointia.

4 artikla

Tämä päätös tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

Tehty Brysselissä 4 päivänä kesäkuuta 2021.

Komission puolesta

Puheenjohtaja

Ursula VON DER LEYEN


(1)  EUVL L 119, 4.5.2016, s. 1.

(2)  EUVL L 295, 21.11.2018, s. 39.

(3)  Euroopan tietosuojaneuvoston ja Euroopan tietosuojavaltuutetun yhteinen lausunto 1/2021 asetuksen (EU) 2016/679 28 artiklan 7 kohdassa ja asetuksen (EU) 2018/1725 29 artiklan 7 kohdassa tarkoitettuja seikkoja koskevista rekisterinpitäjien ja henkilötietojen käsittelijöiden välisistä vakiosopimuslausekkeista annetusta komission täytäntöönpanopäätöksestä.


LIITE

Vakiosopimuslausekkeet

I JAKSO

Lauseke 1

Tarkoitus ja soveltamisala

a)

Näiden vakiosopimuslausekkeiden (jäljempänä ’lausekkeet’) tarkoituksena on varmistaa [valitse asiaankuuluva vaihtoehto: VAIHTOEHTO 1: luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) 27 päivänä huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 28 artiklan 3 ja 4 kohdan noudattaminen] / [VAIHTOEHTO 2: luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta 23 päivänä lokakuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 29 artiklan 3 ja 4 kohdan noudattaminen].

b)

Liitteessä I luetellut rekisterinpitäjät ja henkilötietojen käsittelijät ovat hyväksyneet nämä lausekkeet varmistaakseen, että asetuksen (EU) 2016/679 28 artiklan 3 ja 4 kohtaa ja/tai asetuksen (EU) 2018/1725 29 artiklan 3 ja 4 kohtaa noudatetaan.

c)

Näitä lausekkeita sovelletaan liitteessä II täsmennettyyn henkilötietojen käsittelyyn.

d)

Liitteet I–IV ovat erottamaton osa lausekkeita.

e)

Nämä lausekkeet eivät vaikuta velvoitteisiin, joita rekisterinpitäjään sovelletaan asetuksen (EU) 2016/679 ja/tai asetuksen (EU) 2018/1725 nojalla.

f)

Näillä lausekkeilla ei yksinään varmisteta asetuksen (EU) 2016/679 V luvun ja/tai asetuksen (EU) 2018/1725 V luvun mukaisten kansainvälisiin siirtoihin liittyvien velvoitteiden noudattamista.

Lauseke 2

Lausekkeiden muuttumattomuus

a)

Osapuolet sitoutuvat olemaan muuttamatta lausekkeita, lukuun ottamatta tietojen lisäämistä liitteisiin tai niissä olevien tietojen päivittämistä.

b)

Tämä ei estä osapuolia sisällyttämässä tässä päätöksessä säädettyjä vakiosopimuslausekkeita laajempaan sopimukseen ja lisäämästä muita lausekkeita tai täydentäviä suojatoimia edellyttäen, että ne eivät ole suoraan tai välillisesti ristiriidassa vakiosopimuslausekkeiden kanssa eivätkä rajoita rekisteröityjen perusoikeuksia tai -vapauksia.

Lauseke 3

Tulkinta

a)

Jos näissä lausekkeissa käytetään asetuksessa (EU) 2016/679 tai asetuksessa (EU) 2018/1725 määriteltyjä termejä, näillä termeillä on sama merkitys kuin kyseisessä asetuksessa.

b)

Näitä lausekkeita on luettava ja tulkittava asetuksen (EU) 2016/679 tai asetuksen (EU) 2018/1725 säännösten valossa.

c)

Näitä lausekkeita ei saa tulkita tavalla, joka on ristiriidassa asetuksessa (EU) 2016/679 tai asetuksessa (EU) 2018/1725 säädettyjen oikeuksien ja velvoitteiden kanssa tai tavalla, joka loukkaa rekisteröityjen perusoikeuksia tai -vapauksia.

Lauseke 4

Hierarkia

Jos nämä lausekkeet ovat ristiriidassa osapuolten välisten asiaa koskevien sopimusten määräysten kanssa, jotka ovat olemassa silloin kun näistä lausekkeista sovitaan tai tulevat voimaan sen jälkeen, nämä lausekkeet ovat ensisijaisia.

Lauseke 5 – Vapaaehtoinen

Liittymistä koskeva lauseke

a)

Yhteisö, joka ei ole näiden lausekkeiden osapuoli, voi kaikkien osapuolten suostumuksella liittyä näihin lausekkeisiin milloin tahansa joko rekisterinpitäjänä tai henkilötietojen käsittelijänä täyttämällä liitteet ja allekirjoittamalla liitteen I.

b)

Kun a kohdassa tarkoitetut liitteet on täytetty ja allekirjoitettu, liittyvä yhteisö katsotaan näiden lausekkeiden osapuoleksi, ja sillä on rekisterinpitäjän tai henkilötietojen käsittelijän oikeudet ja velvoitteet liitteessä I olevan nimeämisen mukaisesti.

c)

Liittyvällä yhteisöllä ei ole näistä lausekkeista johtuvia oikeuksia tai velvoitteita sopimuspuoleksi liittymistä edeltävältä ajalta.

II JAKSO

OSAPUOLTEN VELVOITTEET

Lauseke 6

Käsittelyn/käsittelyjen kuvaus

Yksityiskohtaiset tiedot henkilötietojen käsittelytoimista ja erityisesti henkilötietojen ryhmistä ja tarkoituksista, joita varten henkilötietoja käsitellään rekisterinpitäjän puolesta, esitetään liitteessä II.

Lauseke 7

Osapuolten velvoitteet

7.1   Ohjeet

a)

Henkilötietojen käsittelijän on käsiteltävä henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti, paitsi jos henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaaditaan. Tässä tapauksessa henkilötietojen käsittelijä tiedottaa rekisterinpitäjälle kyseisestä oikeudellisesta vaatimuksesta ennen käsittelyä, paitsi jos se kielletään lainsäädännössä yleistä etua koskevien tärkeiden syiden vuoksi. Rekisterinpitäjä voi myös antaa myöhemmin ohjeita koko henkilötietojen käsittelyn ajan. Nämä ohjeet on aina dokumentoitava.

b)

Henkilötietojen käsittelijän on välittömästi ilmoitettava rekisterinpitäjälle, jos henkilötietojen käsittelijä katsoo, että rekisterinpitäjän antamat ohjeet ovat asetuksen (EU) 2016/679 tai asetuksen (EU) 2018/1725 taikka sovellettavien unionin tai jäsenvaltioiden tietosuojasäännösten vastaisia.

7.2   Käyttötarkoituksen rajaaminen

Henkilötietojen käsittelijä saa käsitellä henkilötietoja ainoastaan liitteessä II esitettyjä käsittelyn erityistarkoituksia varten, ellei rekisterinpitäjä anna lisäohjeita.

7.3   Henkilötietojen käsittelyn kesto

Henkilötietojen käsittelijän suorittama käsittely saa kestää ainoastaan liitteessä II täsmennetyn ajan.

7.4   Käsittelyn turvallisuus

a)

Henkilötietojen käsittelijän on toteutettava ainakin liitteessä III eritellyt tekniset ja organisatoriset toimenpiteet henkilötietojen turvallisuuden varmistamiseksi. Tähän sisältyy tietojen suojaaminen tietoturvaloukkauksilta, jotka johtavat vahingossa tapahtuvaan tai laittomaan tietojen tuhoamiseen, häviämiseen, muuttamiseen, luvattomaan luovuttamiseen tai käyttöön (henkilötietojen tietoturvaloukkaus). Asianmukaista turvallisuustasoa arvioidessaan osapuolten on otettava asianmukaisesti huomioon uusin tekniikka, täytäntöönpanokustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä rekisteröidyille aiheutuvat riskit.

b)

Henkilötietojen käsittelijä antaa käsiteltävät henkilötiedot henkilöstönsä jäsenille vain siinä määrin kuin se on ehdottoman välttämätöntä sopimuksen täytäntöönpanoa, hallinnointia ja seurantaa varten. Henkilötietojen käsittelijä varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.

7.5   Arkaluonteiset tiedot

Jos käsittelyyn liittyy henkilötietoja, joista käy ilmi rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, geneettisiä tietoja tai biometrisiä tietoja luonnollisen henkilön yksiselitteistä tunnistamista varten, terveyttä tai henkilön seksuaalista käyttäytymistä tai seksuaalista suuntautumista koskevia tietoja taikka rikostuomioihin ja rikoksiin liittyviä tietoja, jäljempänä ’arkaluonteiset tiedot’, henkilötietojen käsittelijän on sovellettava erityisiä rajoituksia ja/tai täydentäviä suojatoimia.

7.6   Dokumentointi ja vaatimustenmukaisuus

a)

Osapuolten on voitava osoittaa noudattavansa näitä lausekkeita.

b)

Henkilötietojen käsittelijän on käsiteltävä nopeasti ja asianmukaisesti rekisterinpitäjän kyselyt, jotka koskevat tietojen käsittelyä näiden lausekkeiden mukaisesti.

c)

Henkilötietojen käsittelijän on asetettava rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen sen osoittamiseksi, että näissä lausekkeissa vahvistettuja velvoitteita on noudatettu ja jotka johtuvat suoraan asetuksesta (EU) 2016/679 ja/tai asetuksesta (EU) 2018/1725. Henkilötietojen käsittelijän on rekisterinpitäjän pyynnöstä myös sallittava näiden lausekkeiden kattamien käsittelytoimien tarkastukset ja osallistuttava niihin kohtuullisin väliajoin tai kun on viitteitä vaatimusten noudattamatta jättämisestä. Päättäessään uudelleentarkastelusta tai tarkastuksesta rekisterinpitäjä voi ottaa huomioon henkilötietojen käsittelijällä olevat asiaankuuluvat sertifioinnit.

d)

Rekisterinpitäjä voi päättää suorittaa tarkastuksen itse tai valtuuttaa riippumattoman tarkastajan. Tarkastuksiin voi sisältyä myös käyntejä henkilötietojen käsittelijän toimitiloissa tai muissa fyysisissä tiloissa, ja niistä on tarvittaessa ilmoitettava riittävän ajoissa.

e)

Osapuolten on asetettava tässä lausekkeessa tarkoitetut tiedot, mukaan lukien tarkastusten tulokset, pyynnöstä toimivaltais(t)en valvontaviranomais(t)en saataville.

7.7   Henkilötietojen alikäsittelijöiden käyttö

a)

VAIHTOEHTO 1: ERILLINEN ENNAKKOLUPA: Henkilötietojen käsittelijä ei saa antaa mitään rekisterinpitäjän puolesta näiden lausekkeiden nojalla suorittamistaan käsittelytoimista alihankintana henkilötietojen alikäsittelijälle ilman rekisterinpitäjän erillistä kirjallista ennakkolupaa. Henkilötietojen käsittelijän on toimitettava erillistä lupaa koskeva pyyntö vähintään [MÄÄRITÄ AJANJAKSO] ennen asianomaisen henkilötietojen alikäsittelijän palkkaamista sekä tarvittavat tiedot, jotta rekisterinpitäjä voi päättää luvasta. Luettelo rekisterinpitäjän valtuuttamista henkilötietojen alikäsittelijöistä on liitteessä IV. Osapuolten on pidettävä liite IV ajan tasalla.

VAIHTOEHTO 2: YLEINEN KIRJALLINEN LUPA: Henkilötietojen käsittelijällä on rekisterinpitäjän yleinen lupa, joka koskee henkilötietojen alikäsittelijöiden palkkaamista sovitusta luettelosta. Henkilötietojen käsittelijän on ilmoitettava kirjallisesti rekisterinpitäjälle kaikista kyseiseen luetteloon suunnitelluista muutoksista lisäämällä tai vaihtamalla henkilötietojen alikäsittelijöitä vähintään [MÄÄRITÄ AJANJAKSO] aiemmin ja annettava näin rekisterinpitäjälle riittävästi aikaa vastustaa tällaisia muutoksia ennen asianomaisen henkilötietojen alikäsittelijän (alakäsittelijöiden) palkkaamista. Henkilötietojen käsittelijän on annettava rekisterinpitäjälle tiedot, jotka ovat tarpeen, jotta rekisterinpitäjä voi käyttää vastustamisoikeuttaan.

b)

Jos henkilötietojen käsittelijä käyttää henkilötietojen alikäsittelijää suorittamaan tiettyjä käsittelytoimia (rekisterinpitäjän puolesta), sen on tehtävä sopimus, jossa henkilötietojen alikäsittelijälle asetetaan näiden lausekkeiden nojalla olennaisilta osin samat tietosuojavelvoitteet kuin henkilötietojen käsittelijälle. Henkilötietojen käsittelijän on varmistettava, että henkilötietojen alikäsittelijä noudattaa velvoitteita, joita henkilötietojen käsittelijään sovelletaan näiden lausekkeiden ja asetuksen (EU) 2016/679 ja/tai asetuksen (EU) 2018/1725 nojalla.

c)

Henkilötietojen käsittelijän on rekisterinpitäjän pyynnöstä toimitettava jäljennös tällaisesta henkilötietojen alikäsittelijän sopimuksesta ja mahdollisista myöhemmistä muutoksista rekisterinpitäjälle. Jos se on tarpeen liikesalaisuuksien tai muiden luottamuksellisten tietojen (mukaan lukien henkilötiedot) suojaamiseksi, henkilötietojen käsittelijä voi poistaa sopimuksesta tekstiä ennen jäljennöksen toimittamista.

d)

Henkilötietojen käsittelijä on edelleen täysin vastuussa rekisterinpitäjälle henkilötietojen alikäsittelijän velvoitteiden täyttämisestä alikäsittelijän kanssa tekemänsä sopimuksen mukaisesti. Henkilötietojen käsittelijän on ilmoitettava rekisterinpitäjälle, jos henkilötietojen alikäsittelijä ei täytä sopimusvelvoitteitaan.

e)

Henkilötietojen käsittelijän on sovittava henkilötietojen alikäsittelijän kanssa kolmatta osapuolta suojaavasta edunsaajalausekkeesta, jonka mukaan jos henkilötietojen käsittelijä on tosiasiallisesti kadonnut, lakannut olemasta oikeudellisesti tai tullut maksukyvyttömäksi, rekisterinpitäjällä on oikeus purkaa henkilötietojen alikäsittelijän sopimus ja ohjeistaa alikäsittelijää poistamaan tai palauttamaan henkilötiedot.

7.8   Kansainväliset tiedonsiirrot

a)

Henkilötietojen käsittelijä voi siirtää tietoja kolmanteen maahan tai kansainväliselle järjestölle ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden perusteella tai henkilötietojen käsittelijään sovellettavan unionin tai jäsenvaltion lainsäädännön mukaisen erityisen vaatimuksen täyttämiseksi, ja siirron on tapahduttava asetuksen (EU) 2016/679 V luvun tai asetuksen (EU) 2018/1725 V luvun mukaisesti.

b)

Rekisterinpitäjä hyväksyy sen, että jos henkilötietojen käsittelijä käyttää lausekkeen 7.7 mukaisesti henkilötietojen alikäsittelijää suorittamaan tiettyjä käsittelytoimia (rekisterinpitäjän puolesta) ja kyseisiin käsittelytoimiin liittyy asetuksen (EU) 2016/679 V luvussa tarkoitettu henkilötietojen siirto, henkilötietojen käsittelijä ja henkilötietojen alikäsittelijä voivat varmistaa asetuksen (EU) 2016/679 V luvun säännösten noudattamisen käyttämällä komission asetuksen (EU) 2016/679 46 artiklan 2 kohdan nojalla hyväksymiä vakiosopimuslausekkeita edellyttäen, että kyseisten vakiosopimuslausekkeiden käytön edellytykset täyttyvät.

Lauseke 8

Rekisterinpitäjän avustaminen

a)

Henkilötietojen käsittelijän on viipymättä ilmoitettava rekisterinpitäjälle kaikista rekisteröidyltä saamistaan pyynnöistä. Henkilötietojen käsittelijä ei saa itse vastata pyyntöön, paitsi jos rekisterinpitäjä on antanut siihen luvan.

b)

Henkilötietojen käsittelijän on avustettava rekisterinpitäjää sen velvollisuuksien täyttämisessä, jotka koskevat rekisteröityjen oikeuksien käyttämistä koskeviin pyyntöihin vastaamista, ottaen huomioon käsittelyn luonne. Henkilötietojen käsittelijän on a ja b kohdan mukaisia velvollisuuksia täyttäessään noudatettava rekisterinpitäjän ohjeita.

c)

Sen lisäksi, että henkilötietojen käsittelijä on lausekkeen 8 b kohdan nojalla velvoitettu avustamaan rekisterinpitäjää, henkilötietojen käsittelijän on lisäksi avustettava rekisterinpitäjää seuraavien velvoitteiden noudattamisessa ottaen huomioon käsittelyn luonne ja henkilötietojen käsittelijän käytettävissä olevat tiedot:

1)

velvoite arvioida suunniteltujen käsittelytoimien vaikutusta henkilötietojen suojaan, jäljempänä ’tietosuojaa koskeva vaikutustenarviointi’, jos tietyntyyppinen käsittely todennäköisesti aiheuttaa suuren riskin luonnollisten henkilöiden oikeuksille ja vapauksille;

2)

velvoite kuulla ennen käsittelyä toimivaltaista valvontaviranomaista / toimivaltaisia valvontaviranomaisia, jos tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittely aiheuttaisi korkean riskin, jos rekisterinpitäjä ei ole toteuttanut toimenpiteitä riskin pienentämiseksi;

3)

velvollisuus varmistaa henkilötietojen oikeellisuus ja ajantasaisuus ilmoittamalla rekisterinpitäjälle viipymättä, jos henkilötietojen käsittelijä havaitsee, että sen käsittelemät henkilötiedot ovat virheellisiä tai vanhentuneita;

4)

asetuksen (EU) 2016/679 32 artiklassa [VAIHTOEHTO 1] / asetuksen (EU) 2018/1725 33 ja 36–38 artiklassa [VAIHTOEHTO 2] säädetyt velvoitteet.

d)

Osapuolet vahvistavat liitteessä III asianmukaiset tekniset ja organisatoriset toimenpiteet, joita henkilötietojen käsittelijän on noudatettava avustaessaan rekisterinpitäjää tämän lausekkeen soveltamisessa, sekä tarvittavan avun soveltamisalan ja laajuuden.

Lauseke 9

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen

Henkilötietojen tietoturvaloukkauksen tapauksessa henkilötietojen käsittelijän on tehtävä yhteistyötä rekisterinpitäjän kanssa ja avustettava rekisterinpitäjää, jotta tämä voi täyttää tapauksen mukaan asetuksen (EU) 2016/679 33 ja 34 artiklan tai asetuksen (EU) 2018/1725 34 ja 35 artiklan mukaiset velvoitteensa, ottaen huomioon käsittelyn luonne ja henkilötietojen käsittelijän käytettävissä olevat tiedot.

9.1   Tietojen tietoturvaloukkaus rekisterinpitäjän käsittelemien tietojen osalta

Jos henkilötietojen tietoturvaloukkaus koskee rekisterinpitäjän käsittelemiä tietoja, henkilötietojen käsittelijän on avustettava rekisterinpitäjää

a)

ilmoitettaessa tapauksen mukaan henkilötietojen tietoturvaloukkauksesta toimivaltaiselle valvontaviranomaiselle / toimivaltaisille valvontaviranomaisille ilman aiheetonta viivytystä sen jälkeen, kun rekisterinpitäjä on saanut sen tietoonsa /, (paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä);

b)

hankittaessa seuraavat tiedot, jotka on [VAIHTOEHTO 1] asetuksen (EU) 2016/679 33 artiklan 3 kohdan / [VAIHTOEHTO 2] asetuksen (EU) 2018/1725 34 artiklan 3 kohdan mukaisesti mainittava rekisterinpitäjän ilmoituksessa, ja joihin on sisällytettävä vähintään seuraavat:

1)

henkilötietojen luonne, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotietueiden ryhmät ja arvioidut lukumäärät;

2)

henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;

3)

toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

Jos ja siltä osin kuin kaikkia tietoja ei ole mahdollista toimittaa samaan aikaan, alkuperäisen ilmoituksen on sisällettävä saatavilla olevat tiedot, ja lisätiedot on sen jälkeen toimitettava ilman aiheetonta viivytystä, kun ne tulevat saataville;

c)

noudatettaessa [VAIHTOEHTO 1] asetuksen (EU) 2016/679 34 artiklan / [VAIHTOEHTO 2] asetuksen (EU) 2018/1725 35 artiklan mukaisesti velvoitetta ilmoittaa henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivytystä rekisteröidylle, kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa suuren riskin luonnollisten henkilöiden oikeuksille ja vapauksille.

9.2   Tietojen tietoturvaloukkaus henkilötietojen käsittelemien tietojen osalta

Kun kyseessä on henkilötietojen käsittelijän käsittelemiin tietoihin liittyvä henkilötietojen tietoturvaloukkaus, henkilötietojen käsittelijän on ilmoitettava siitä rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan tietoturvaloukkauksen tietoonsa. Kyseisen ilmoituksen on sisällettävä vähintään seuraavat:

a)

kuvaus tietoturvaloukkauksen luonteesta (mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ja henkilötietotietueiden ryhmät ja arvioitu lukumäärä);

b)

tiedot yhteyspisteestä, josta saa lisätietoja henkilötietojen tietoturvaloukkauksesta;

c)

tietoturvaloukkauksen todennäköiset seuraukset ja toimenpiteet, jotka on toteutettu tai joita ehdotetaan toteutettavaksi tietoturvaloukkauksen korjaamiseksi, mukaan lukien sen mahdollisten haitallisten vaikutusten lieventämiseksi.

Jos ja siltä osin kuin kaikkia tietoja ei ole mahdollista toimittaa samaan aikaan, alkuperäisen ilmoituksen on sisällettävä saatavilla olevat tiedot, ja lisätiedot on sen jälkeen toimitettava ilman aiheetonta viivytystä, kun ne tulevat saataville.

Osapuolet esittävät liitteessä III kaikki muut tiedot, jotka henkilötietojen käsittelijän on toimitettava avustaessaan rekisterinpitäjää [VAIHTOEHTO 1] asetuksen (EU) 2016/679 33 ja 34 artiklan / [VAIHTOEHTO 2] asetuksen (EU) 2018/1725 34 artiklan 35 kohdan mukaisten rekisterinpitäjän velvoitteiden noudattamisessa.

III JAKSO

LOPPUMÄÄRÄYKSET

Lauseke 10

Lausekkeiden noudattamatta jättäminen ja sopimuksen purkaminen

a)

Jos henkilötietojen käsittelijä rikkoo näiden lausekkeiden mukaisia velvoitteitaan, rekisterinpitäjä voi määrätä henkilötietojen käsittelijän keskeyttämään henkilötietojen käsittelyn, kunnes henkilötietojen käsittelijä noudattaa näitä lausekkeita tai sopimus puretaan, sanotun kuitenkaan rajoittamatta asetuksen (EU) 2016/679 ja/tai asetuksen (EU) 2018/1725 säännösten soveltamista. Henkilötietojen käsittelijän on viipymättä ilmoitettava rekisterinpitäjälle, jos se ei mistä tahansa syystä pysty noudattamaan näitä lausekkeita.

b)

Rekisterinpitäjällä on oikeus purkaa sopimus siltä osin kuin on kyse henkilötietojen käsittelystä näiden lausekkeiden mukaisesti, jos

1)

rekisterinpitäjä on keskeyttänyt henkilötietojen käsittelijän suorittaman henkilötietojen käsittelyn a kohdan mukaisesti eikä näiden lausekkeiden noudattamista palauteta kohtuullisessa ajassa ja joka tapauksessa kuukauden kuluessa keskeyttämisestä;

2)

henkilötietojen käsittelijä rikkoo olennaisesti tai jatkuvasti näitä lausekkeita tai asetuksen (EU) 2016/679 ja/tai asetuksen (EU) 2018/1725 mukaisia velvoitteitaan;

3)

henkilötietojen käsittelijä ei noudata toimivaltaisen tuomioistuimen tai toimivaltais(t)en valvontaviranomais(t)en sitovaa päätöstä näiden lausekkeiden tai asetuksen (EU) 2016/679 ja/tai asetuksen (EU) 2018/1725 mukaisista velvoitteistaan.

c)

Henkilötietojen käsittelijällä on oikeus purkaa sopimus siltä osin kuin se koskee henkilötietojen käsittelyä näiden lausekkeiden nojalla, jos rekisterinpitäjä vaatii ohjeiden noudattamista sen jälkeen, kun käsittelijä on lausekkeen 7.1 b kohdan mukaisesti ilmoittanut rekisterinpitäjälle, että sen ohjeet ovat sovellettavien oikeudellisten vaatimusten vastaisia.

d)

Kun sopimus on purettu, henkilötietojen käsittelijän on rekisterinpitäjän valinnan mukaan poistettava kaikki rekisterinpitäjän puolesta käsitellyt henkilötiedot ja todistettava rekisterinpitäjälle, että se on tehnyt niin, tai palautettava kaikki henkilötiedot rekisterinpitäjälle ja poistettava olemassa olevat jäljennökset, jollei unionin tai jäsenvaltion lainsäädännössä edellytetä henkilötietojen säilyttämistä. Henkilötietojen käsittelijän on varmistettava, että näitä lausekkeita noudatetaan, kunnes tiedot poistetaan tai palautetaan.


LIITE I

Luettelo osapuolista

Rekisterinpitäjä(t): [Rekisterinpitäjän (rekisterinpitäjien) ja tarvittaessa rekisterinpitäjän tietosuojavastaavan tunnistetiedot ja yhteystiedot]

1.

Nimi: …

 

Osoite: …

 

Yhteyshenkilön nimi, asema ja yhteystiedot: …

 

Allekirjoitus ja liittymispäivä: …

2.

 

Henkilötietojen käsittelijä(t): [Henkilötietojen käsittelijän/käsittelijöiden ja tarvittaessa henkilötietojen käsittelijän tietosuojavastaavan tunnistetiedot ja yhteystiedot]

1.

Nimi: …

 

Osoite: …

 

Yhteyshenkilön nimi, asema ja yhteystiedot: …

 

Allekirjoitus ja liittymispäivä: …

2.

 


LIITE II

Henkilötietojen käsittelyn kuvaus

Niiden rekisteröityjen ryhmät, joiden henkilötietoja käsitellään

Käsiteltävät henkilötietoryhmät

Käsiteltävät arkaluonteiset tiedot (jos sellaisia on) ja sovelletut rajoitukset tai suojatoimet, joissa otetaan täysimääräisesti huomioon tietojen luonne ja niihin liittyvät riskit, kuten tiukat käyttötarkoituksen rajoitukset, pääsyrajoitukset (mukaan lukien pääsy vain erikoiskoulutusta saaneelle henkilöstölle), tietojen saantia koskevan rekisterin pitäminen, tietojen edelleen siirtämisen rajoitukset tai lisäturvatoimenpiteet.

Henkilötietojen käsittelyn luonne

Tarkoitus/tarkoitukset, jota/joita varten henkilötietoja käsitellään rekisterinpitäjän puolesta

Henkilötietojen käsittelyn kesto

Henkilötietojen käsittelijöiden tai alikäsittelijöiden suorittamasta käsittelystä on ilmoitettava myös käsittelyn kohde, luonne ja kesto


LIITE III

Tekniset ja organisatoriset toimenpiteet, mukaan lukien tekniset ja organisatoriset toimenpiteet tietoturvan varmistamiseksi

SELITTÄVÄ HUOMAUTUS:

Tekniset ja organisatoriset toimenpiteet on kuvattava konkreettisesti eikä yleisellä tasolla.

Kuvaus henkilötietojen käsittelijän/käsittelijöiden toteuttamista teknisistä ja organisatorisista turvatoimenpiteistä (mukaan lukien asiaankuuluvat sertifioinnit) asianmukaisen turvallisuustason varmistamiseksi ja ottaen huomioon käsittelyn luonne, soveltamisala, asiayhteys ja tarkoitus sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat riskit. Esimerkkejä mahdollisista toimenpiteistä:

 

Henkilötietojen pseudonymisointi ja salaus

 

Henkilötietojen käsittelyjärjestelmien ja palveluiden jatkuvan luottamuksellisuuden, eheyden, käytettävyyden ja vikasietoisuuden varmistaminen

 

Henkilötietojen saatavuuden ja henkilötietoihin pääsyn nopean palauttamisen varmistaminen fyysisen tai teknisen vian sattuessa

 

Teknisten ja organisatoristen toimenpiteiden tehokkuuden säännöllisen testauksen, tutkinnan ja arvioinnin prosessit, joilla varmistetaan tietojen käsittelyn turvallisuus

 

Käyttäjän tunnistaminen ja luvan myöntäminen

 

Tietojen suojaaminen siirron aikana

 

Tietojen suojaaminen tallentamisen aikana

 

Henkilötietojen käsittelypaikkojen fyysisen turvallisuuden varmistaminen

 

Tapahtumien kirjaamisen varmistaminen

 

Järjestelmän konfiguraation varmistaminen (ml. oletuskokoonpano)

 

Sisäistä tietotekniikka- ja tietoturvahallintoa ja koskevat toimenpiteet

 

Prosessien ja tuotteiden sertifiointi/varmistus

 

Tietojen minimoinnin varmistaminen

 

Tietojen laadun varmistaminen

 

Tietojen rajoitetun säilyttämisen varmistaminen

 

Vastuuvelvollisuuden varmistaminen

 

Tietojen siirrettävyyden mahdollistaminen ja niiden poistamisen varmistaminen.

Jos kyseessä on siirto henkilötietojen (ali)käsittelijöille, kuvaile myös teknisiä ja organisatorisia toimenpiteitä, jotka (ali)käsittelijän on toteutettava voidakseen avustaa rekisterinpitäjää

Kuvaus teknisistä ja organisatorisista toimenpiteistä, jotka henkilötietojen käsittelijän on toteutettava voidakseen avustaa rekisterinpitäjää.


LIITE IV

Henkilötietojen alikäsittelijöiden luettelo

SELITTÄVÄ HUOMAUTUS:

Tämä liite on täytettävä, jos henkilötietojen alikäsittelijälle on myönnetty erillinen lupa (lausekkeen 7.7 a kohta, vaihtoehto 1).

Rekisterinpitäjä on antanut luvan seuraavien henkilötietojen alikäsittelijöiden käyttöön:

1.

Nimi: …

 

Osoite: …

 

Yhteyshenkilön nimi, asema ja yhteystiedot: …

 

Kuvaus henkilötietojen käsittelystä (mukaan lukien selkeä vastuunjako, jos lupa on myönnetty useammalle henkilötietojen alikäsittelijälle): …

2.


7.6.2021   

FI

Euroopan unionin virallinen lehti

L 199/31


KOMISSION TÄYTÄNTÖÖNPANOPÄÄTÖS (EU) 2021/914,

annettu 4 päivänä kesäkuuta 2021,

vakiosopimuslausekkeista, jotka koskevat henkilötietojen siirtämistä kolmansiin maihin Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 mukaisesti

(ETA:n kannalta merkityksellinen teksti)

EUROOPAN KOMISSIO, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,

ottaa huomioon luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27 päivänä huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (1) (yleinen tietosuoja-asetus) ja erityisesti sen 28 artiklan 7 kohdan ja 46 artiklan 2 kohdan c alakohdan,

sekä katsoo seuraavaa:

(1)

Teknologian kehitys helpottaa rajat ylittävää tiedonsiirtoa, joka on välttämätöntä kansainvälisen yhteistyön ja kansainvälisen kaupan laajentumista varten. Samalla on tarpeen varmistaa, että asetuksessa (EU) 2016/679 taattua luonnollisten henkilöiden suojelun tasoa ei heikennetä, kun henkilötietoja siirretään kolmansiin maihin, ei myöskään silloin, kun on kyseessä tietojen edelleen siirtäminen (2). Asetuksen (EU) 2016/679 V luvussa olevien, tietojen siirtoa koskevien säännösten tarkoituksena on varmistaa, että suojelun taso pysyy korkeana, kun henkilötietoja siirretään kolmanteen maahan (3).

(2)

Jos komissio ei ole tehnyt asetuksen (EU) 2016/679 45 artiklan 3 kohdan mukaista tietosuojan riittävyyttä koskevaa päätöstä, rekisterinpitäjä tai henkilötietojen käsittelijä voi mainitun asetuksen 46 artiklan 1 kohdan nojalla siirtää henkilötietoja kolmanteen maahan vain, jos kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on toteuttanut asianmukaiset suojatoimet ja jos rekisteröidyn saatavilla on täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja. Kyseisistä suojatoimista voidaan määrätä komission 46 artiklan 2 kohdan c alakohdan nojalla antamissa tietosuojaa koskevissa vakiolausekkeissa.

(3)

Vakiosopimuslausekkeiden rooli rajoittuu asianmukaisten tietosuojaa koskevien suojatoimien varmistamiseen kansainvälisten tiedonsiirtojen osalta. Henkilötietoja kolmanteen maahan siirtävä rekisterinpitäjä tai henkilötietojen käsittelijä, jäljempänä ’tietojen viejä’, ja henkilötietoja vastaanottava rekisterinpitäjä tai henkilötietojen käsittelijä, jäljempänä ’tietojen tuoja’, voivat vapaasti sisällyttää kyseiset vakiosopimuslausekkeet laajempaan sopimukseen tai lisätä muita lausekkeita tai suojatoimia edellyttäen, että ne eivät ole suoraan tai välillisesti ristiriidassa vakiosopimuslausekkeiden kanssa eivätkä vaikuta rekisteröityjen perusoikeuksiin ja -vapauksiin. Rekisterinpitäjiä ja henkilötietojen käsittelijöitä kannustetaan tarjoamaan lisäsuojaa sopimusperusteisilla velvoitteilla, joilla täydennetään vakiosopimuslausekkeita (4). Vakiosopimuslausekkeiden käyttö ei vaikuta tietojen viejän ja/tai tietojen tuojan sopimusvelvoitteisiin, joilla varmistetaan erioikeuksien ja vapauksien kunnioittaminen.

(4)

Sen lisäksi, että asetuksen (EU) 2016/679 46 artiklan 1 kohdassa tarkoitettujen siirtoja koskevien asianmukaisten suojatoimien varmistamiseksi käytetään vakiosopimuslausekkeita, tiedon viejän on täytettävä asetuksen (EU) 2016/679 mukaiset yleiset velvollisuutensa rekisterinpitäjänä tai henkilötietojen käsittelijänä. Velvollisuuksiin kuuluu asetuksen (EU) 2016/679 13 artiklan 1 kohdan f alakohdan ja 14 artiklan 1 kohdan f alakohdan mukainen rekisterinpitäjän velvoite ilmoittaa rekisteröidyille, jos se aikoo siirtää rekisteröityjen henkilötietoja kolmanteen maahan. Jos tietoja siirretään asetuksen (EU) 2016/679 46 artiklan nojalla, rekisterinpitäjän on mainittava ilmoituksessa asianmukaiset suojatoimet sekä keinot, joilla niistä voi saada jäljennöksen, tai tiedon siitä, missä niihin voi tutustua.

(5)

Komission päätökset 2001/497/EY (5) ja 2010/87/EU (6) sisältävät vakiosopimuslausekkeita, joilla helpotetaan henkilötietojen siirtämistä unioniin sijoittautuneelta rekisterinpitäjältä sellaiseen kolmanteen maahan sijoittautuneelle rekisterinpitäjälle tai henkilötietojen käsittelijälle, joka ei tarjoa riittävää tietosuojan tasoa. Kyseiset päätökset perustuivat Euroopan parlamentin ja neuvoston direktiiviin 95/46/EY (7).

(6)

Asetuksen (EU) 2016/679 46 artiklan 5 kohdan mukaisesti päätös 2001/497/EY ja päätös 2010/87/EU pysyvät voimassa, kunnes niitä tarpeen vaatiessa muutetaan, ne korvataan tai ne kumotaan kyseisen asetuksen 46 artiklan 2 kohdan nojalla annetulla komission päätöksellä. Päätöksissä olevia vakiosopimuslausekkeita oli päivitettävä ottaen huomioon asetuksen (EU) 2016/679 uudet vaatimukset. Päätösten antamisen jälkeen digitaalitalous on lisäksi kehittynyt huomattavasti. Käyttöön on otettu laajasti uusia ja monimutkaisempia käsittelytoimia, joihin osallistuu monesti useita tietojen tuojia ja viejiä ja joihin liittyy pitkiä ja monimutkaisia käsittelyketjuja sekä kehittyviä liikesuhteita. Tämä edellyttää vakiosopimuslausekkeiden nykyaikaistamista niin, että uudet käsittely- ja siirtotilanteet otetaan huomioon, jotta vakiosopimuslausekkeet vastaisivat paremmin näitä realiteetteja ja sallisivat joustavamman lähestymistavan esimerkiksi sen suhteen, kuinka monta osapuolta voi liittyä sopimukseen.

(7)

Rekisterinpitäjä tai henkilötietojen käsittelijä voi käyttää tämän päätöksen liitteessä vahvistettuja vakiosopimuslausekkeita asetuksen (EU) 2016/679 46 artiklan 1 kohdassa tarkoitettujen asianmukaisten suojatoimien toteuttamiseksi siirrettäessä henkilötietoja kolmanteen maahan sijoittautuneelle henkilötietojen käsittelijälle tai rekisterinpitäjälle, sanotun kuitenkaan rajoittamatta asetukseen (EU) 2016/679 sisältyvän kansainvälisen siirron käsitteen tulkintaa. Vakiosopimuslausekkeita voidaan käyttää tällaisissa siirroissa vain siltä osin kuin tuojan suorittama käsittely ei kuulu asetuksen (EU) 2016/679 soveltamisalaan. Tähän sisältyy myös unioniin sijoittautumattoman rekisterinpitäjän tai henkilötietojen käsittelijän suorittama henkilötietojen siirto siltä osin kuin käsittelyyn sovelletaan asetusta (EU) 2016/679 (sen 3 artiklan 2 kohdan nojalla) sen vuoksi, että käsittely liittyy tavaroiden tai palvelujen tarjoamiseen rekisteröidyille unionissa tai rekisteröityjen käyttäytymisen seurantaan siltä osin kuin käyttäytyminen tapahtuu unionissa.

(8)

Koska asetus (EU) 2016/679 ja Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725 (8) ovat yleisesti ottaen yhdenmukaisia, vakiosopimuslausekkeita olisi voitava käyttää asetuksen (EU) 2018/1725 29 artiklan 4 kohdassa tarkoitetulla tavalla sopimuksen yhteydessä myös silloin, kun henkilötietoja siirtää kolmannessa maassa olevalle alihankkijana toimivalle henkilötietojen käsittelijälle sellainen henkilötietojen käsittelijä, joka ei ole unionin toimielin tai elin, mutta johon sovelletaan asetusta (EU) 2016/679 ja joka käsittelee henkilötietoja unionin toimielimen tai elimen lukuun asetuksen (EU) 2018/1725 29 artiklan mukaisesti. Asetuksen (EU) 2018/1725 29 artiklan 4 kohdan noudattaminen varmistetaan siten, että sopimuksessa on samat tietosuojavelvoitteet kuin rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa tai muussa oikeudellisessa asiakirjassa, kuten asetuksen (EU) 2018/1725 29 artiklan 3 kohdassa säädetään, erityisesti riittävät takeet teknisistä ja organisatorisista toimenpiteistä sen varmistamiseksi, että käsittely täyttää kyseisen asetuksen vaatimukset. Näin on erityisesti silloin, kun rekisterinpitäjä ja henkilötietojen käsittelijä käyttävät rekisterinpitäjien ja henkilötietojen käsittelijöiden välisiä vakiosopimuslausekkeita koskevaan komission täytäntöönpanopäätökseen sisältyviä vakiosopimuslausekkeita Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 28 artiklan 7 kohdan ja Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (9) 29 artiklan 7 kohdan mukaisesti.

(9)

Kun käsittelyyn liittyy tietojen siirtoa asetuksen (EU) 2016/679 soveltamisalaan kuuluvilta rekisterinpitäjiltä sen maantieteellisen soveltamisalan ulkopuolisille henkilötietojen käsittelijöille tai asetuksen (EU) 2016/679 soveltamisalaan kuuluvilta henkilötietojen käsittelijöiltä sen maantieteellisen soveltamisalan ulkopuolisille alihankkijana toimiville käsittelijöille, tämän päätöksen liitteessä vahvistetut vakiosopimuslausekkeet mahdollistavat myös asetuksen (EU) 2016/679 28 artiklan 3 ja 4 kohdan vaatimusten täyttämisen.

(10)

Tämän päätöksen liitteessä olevissa vakiosopimuslausekkeissa yhdistetään yleislausekkeet modulaariseen lähestymistapaan, jotta erilaiset siirtoskenaariot ja nykyaikaisten käsittelyketjujen monitahoisuus voidaan ottaa huomioon. Yleislausekkeiden lisäksi rekisterinpitäjien ja henkilötietojen käsittelijöiden olisi valittava tilanteeseensa sovellettava moduuli, jotta ne voivat sovittaa vakiosopimuslausekkeiden mukaiset velvoitteensa vastaamaan rooliaan ja velvollisuuksiaan kyseessä olevan henkilötietojen käsittelyn yhteydessä. Useamman kuin kahden osapuolen olisi voitava liittyä vakiosopimuslausekkeiden soveltajiin. Lisäksi uusien rekisterinpitäjien ja henkilötietojen käsittelijöiden olisi voitava liittyä vakiosopimuslausekkeiden soveltajiin tietojen viejinä tai tietojen tuojina koko sen sopimuksen elinkaaren ajan, jonka osapuolia ne ovat.

(11)

Asianmukaisten suojatoimien toteuttamiseksi vakiosopimuslausekkeissa olisi varmistettava, että tältä pohjalta siirretyille henkilötiedoille tarjotaan olennaisilta osin unionissa taattua tasoa vastaava suoja (10). Käsittelyn läpinäkyvyyden varmistamiseksi rekisteröidyille olisi annettava jäljennös vakiosopimuslausekkeista, ja heille olisi ilmoitettava erityisesti käsiteltävien henkilötietojen ryhmistä, oikeudesta saada jäljennös vakiosopimuslausekkeista ja kaikista edelleen siirtämisistä. Tietojen tuojan suorittama tietojen edelleen siirtäminen toisessa kolmannessa maassa olevalle kolmannelle osapuolelle olisi sallittava ainoastaan, jos kolmas osapuoli liittyy vakiosopimuslausekkeiden soveltajiin tai jos suojan jatkuvuus varmistetaan muulla tavoin taikka erityistilanteissa, kuten rekisteröidyn nimenomaisen ja tietoon perustuvan suostumuksen perusteella.

(12)

Tiettyjä poikkeuksia lukuun ottamatta, erityisesti kun on kyse tietyistä velvoitteista, jotka koskevat yksinomaan tietojen viejän ja tietojen tuojan välistä suhdetta, rekisteröityjen olisi voitava vedota vakiosopimuslausekkeisiin ja tarvittaessa panna ne täytäntöön edunsaajina olevina kolmansina osapuolina. Osapuolten olisi sen vuoksi voitava valita, minkä jäsenvaltion lakia vakiosopimuslausekkeisiin sovelletaan, kunhan kyseisessä laissa otetaan huomioon edunsaajina olevien kolmansien osapuolten oikeudet. Yksilöllisten oikeussuojakeinojen käytön helpottamiseksi vakiosopimuslausekkeissa olisi edellytettävä, että tietojen tuoja ilmoittaa rekisteröidyille yhteyspisteestä ja käsittelee kantelut tai pyynnöt viipymättä. Jos tietojen tuojan ja rekisteröidyn, joka vetoaa oikeuksiinsa edunsaajana olevana kolmantena osapuolena, välille syntyy riita, rekisteröidyn olisi voitava tehdä kantelu toimivaltaiselle valvontaviranomaiselle tai siirtää riita EU:n toimivaltaisten tuomioistuinten ratkaistavaksi.

(13)

Tehokkaan täytäntöönpanon varmistamiseksi olisi edellytettävä, että tietojen tuoja hyväksyy tällaisen viranomaisen ja tuomioistuinten lainkäyttövallan ja sitoutuu noudattamaan kaikkia sovellettavan jäsenvaltion lainsäädännön mukaisia sitovia päätöksiä. Tietojen tuojan olisi erityisesti luvattava vastata tiedusteluihin, suostua auditointeihin ja noudattaa valvontaviranomaisen hyväksymiä toimenpiteitä, korjaavat ja korvaavat toimenpiteet mukaan lukien. Lisäksi tietojen tuojalla olisi oltava mahdollisuus tarjota rekisteröidyille mahdollisuus hakea muutosta riippumattomalta riidanratkaisuelimeltä maksutta. Rekisteröityjen olisi halutessaan voitava asetuksen (EU) 2016/679 80 artiklan 1 kohdan nojalla valtuuttaa yhdistyksiä tai muita elimiä edustamaan itseään tietojen tuojaa vastaan käytävissä riidoissa.

(14)

Vakiosopimuslausekkeissa olisi vahvistettava osapuolten väliset ja rekisteröityjä koskevat vastuusäännöt sekä säännöt osapuolten välisestä korvausvelvollisuudesta. Jos rekisteröidylle aiheutuu aineellista tai aineetonta vahinkoa vakiosopimuslausekkeissa vahvistettujen, edunsaajana olevan kolmannen osapuolen oikeuksien rikkomisesta, rekisteröidyllä olisi oltava oikeus korvaukseen. Tällä ei saisi olla vaikutusta asetuksen (EU) 2016/679 mukaiseen vastuuseen.

(15)

Kun tietoja siirretään tietojen tuojalle, joka toimii henkilötietojen käsittelijänä tai alihankkijana toimivana henkilötietojen käsittelijänä, olisi sovellettava asetuksen (EU) 2016/679 28 artiklan 3 kohdan mukaisia erityisvaatimuksia. Vakiosopimuslausekkeissa olisi edellytettävä, että tietojen tuoja asettaa saataville kaikki tarvittavat tiedot, joilla osoitetaan lausekkeiden velvoitteiden noudattaminen, ja sallii, että tietojen viejä suorittaa tietojen tuojan käsittelytoimien auditointeja ja osallistuu niihin. Kun tiedon tuoja käyttää alihankkijana toimivan henkilötietojen käsittelijän palveluksia asetuksen (EU) 2016/679 28 artiklan 2 ja 4 kohdan mukaisesti, vakiosopimuslausekkeissa olisi vahvistettava erityisesti tietojen viejän antamaa yleistä tai erityistä lupaa koskeva menettely sekä vaatimus, että alihankkijana toimivan henkilötietojen käsittelijän kanssa tehdään kirjallinen sopimus, jolla varmistetaan sama suojan taso kuin kyseisissä lausekkeissa.

(16)

Erityistilanteessa, jossa unionissa toimiva henkilötietojen käsittelijä siirtää henkilötietoja kolmannessa maassa sijaitsevalle rekisterinpitäjälleen, on asianmukaista toteuttaa vakiosopimuslausekkeissa erilaisia suojatoimia ja ottaa huomioon asetuksen (EU) 2016/679 mukaiset henkilötietojen käsittelijöiden rajoitetut erilliset velvoitteet. Vakiosopimuslausekkeissa olisi erityisesti edellytettävä, että henkilötietojen käsittelijä ilmoittaa rekisterinpitäjälle, jos se ei pysty noudattamaan sen ohjeita, myös jos tällaiset ohjeet ovat ristiriidassa unionin tietosuojalainsäädännön kanssa, ja että rekisterinpitäjä pidättyy kaikista toimista, jotka estäisivät henkilötietojen käsittelijää täyttämästä asetuksen (EU) 2016/679 mukaisia velvoitteitaan. Vakiosopimuslausekkeissa olisi myös edellytettävä, että osapuolet avustavat toisiaan vastatessaan rekisteröityjen tiedusteluihin ja pyyntöihin tietojen tuojaan sovellettavan paikallisen lainsäädännön mukaisesti tai kun on kyse tietojen käsittelystä unionissa, asetuksen (EU) 2016/679 mukaisesti. Silloin, kun unionin henkilötietojen käsittelijä yhdistää kolmannen maan rekisterinpitäjältä saamiaan henkilötietoja unionin henkilötietojen käsittelijän keräämiin henkilötietoihin, olisi sovellettava lisävaatimuksia, jotka liittyvät määrämaana olevan kolmannen maan lainsäädännön vaikutuksiin sen osalta, miten rekisterinpitäjä noudattaa lausekkeita ja erityisesti siihen, miten suhtaudutaan kolmannen maan viranomaisten sitoviin pyyntöihin luovuttaa siirrettyjä henkilötietoja. Tällaiset vaatimukset eivät sitä vastoin ole perusteltuja, jos ulkoistamiseen sisältyy ainoastaan rekisterinpitäjältä saatujen henkilötietojen käsittely ja palauttaminen ja jos henkilötiedot joka tapauksessa kuuluvat ja tulevat kuulumaan kyseisen maan lainkäyttövaltaan.

(17)

Osapuolten olisi voitava osoittaa, että vakiosopimuslausekkeita noudatetaan. Tietojen tuojalta olisi erityisesti edellytettävä, että se säilyttää asianmukaisen dokumentaation vastuullaan olevista käsittelytoimista ja ilmoittaa viipymättä tietojen viejälle, jos se ei jostain syystä pysty noudattamaan lausekkeita. Jos taas tietojen tuoja rikkoo lausekkeita tai ei pysty noudattamaan niitä, tietojen viejän olisi puolestaan keskeytettävä siirto ja sillä olisi erityisen vakavissa tapauksissa oltava oikeus irtisanoa sopimus siltä osin, kuin se koskee vakiosopimuslausekkeiden mukaista henkilötietojen käsittelyä. Silloin, kun paikallinen lainsäädäntö vaikuttaa lausekkeiden noudattamiseen, olisi sovellettava erityissääntöjä. Ennen sopimuksen irtisanomista siirretyt henkilötiedot ja niiden jäljennökset olisi tietojen viejän valinnan mukaan joko palautettava tietojen viejälle tai tuhottava kokonaan.

(18)

Vakiosopimuslausekkeissa olisi unionin tuomioistuimen oikeuskäytäntö (11) huomioon ottaen määrättävä erityisistä suojatoimista, jotka liittyvät määrämaana olevan kolmannen maan lainsäädännön vaikutuksiin sen osalta, miten tietojen tuoja noudattaa lausekkeita, ja erityisesti siihen, miten suhtaudutaan kyseisen maan viranomaisten sitoviin pyyntöihin luovuttaa siirrettyjä henkilötietoja.

(19)

Vakiosopimuslausekkeiden mukaista henkilötietojen siirtoa ja käsittelyä ei pitäisi toteuttaa, jos määrämaana olevan kolmannen maan lainsäädäntö estää tietojen tuojaa noudattamasta lausekkeita. Tässä suhteessa sellaisten lakien ja käytäntöjen, joissa kunnioitetaan perusoikeuksien ja -vapauksien keskeistä sisältöä ja jotka eivät ylitä sitä, mikä on demokraattisessa yhteiskunnassa välttämätöntä ja oikeasuhteista jonkin asetuksen (EU) 2016/679 23 artiklan 1 kohdassa mainitun tavoitteen turvaamiseksi, ei katsota olevan ristiriidassa vakiosopimuslausekkeiden kanssa. Osapuolten olisi vakuutettava, että niillä ei ole vakiosopimuslausekkeista sopiessaan syytä uskoa, että tietojen tuojaan sovellettavat lait ja käytännöt eivät olisi näiden vaatimusten mukaisia.

(20)

Osapuolten olisi otettava huomioon erityisesti siirtoon liittyvät erityisolosuhteet (kuten sopimuksen sisältö ja kesto, siirrettävien tietojen luonne, vastaanottajatyyppi, käsittelyn tarkoitus), määrämaana olevan kolmannen maan lait ja käytännöt, jotka ovat siirron olosuhteiden kannalta merkityksellisiä, sekä mahdolliset suojatoimet, joilla täydennetään vakiosopimuslausekkeiden mukaisia suojatoimia (mukaan lukien henkilötietojen siirtoon ja käsittelyyn määrämaassa sovellettavat asiaankuuluvat sopimusoikeudelliset, tekniset ja organisatoriset toimenpiteet). Kun tarkastellaan kyseisten lakien ja käytäntöjen vaikutuksia vakiosopimuslausekkeiden noudattamisen kannalta, osana kokonaisarviointia voidaan ottaa huomioon erilaisia tekijöitä, kuten luotettavat tiedot lainsäädännön soveltamisesta käytännössä (esim. oikeuskäytäntö ja riippumattomien valvontaelinten raportit), pyyntöjen olemassaolo tai puuttuminen samalla toimialalla ja tiukkojen edellytysten täyttyessä tietojen viejän ja/tai tietojen tuojan dokumentoitu käytännön kokemus.

(21)

Tietojen tuojan olisi ilmoitettava tietojen viejälle, jos sillä on vakiosopimuslausekkeista sopimisen jälkeen syytä uskoa, että se ei pysty noudattamaan vakiosopimuslausekkeita. Jos tietojen viejä saa tällaisen ilmoituksen tai saa muutoin tiedon siitä, että tietojen tuoja ei enää pysty noudattamaan vakiosopimuslausekkeita, sen olisi yksilöitävä asianmukaiset toimenpiteet tilanteen korjaamiseksi tarvittaessa toimivaltaista valvontaviranomaista kuullen. Kyseisiin toimenpiteisiin voi sisältyä tietojen viejän ja/tai tietojen tuojan käyttöön ottamia lisätoimenpiteitä, kuten teknisiä tai organisatorisia toimenpiteitä turvallisuuden ja luottamuksellisuuden varmistamiseksi. Tietojen viejää olisi vaadittava keskeyttämään siirto, jos se katsoo, ettei asianmukaisia suojatoimia voida varmistaa, tai jos toimivaltainen valvontaviranomainen on antanut tätä koskevan ohjeen.

(22)

Tietojen tuojan olisi mahdollisuuksien mukaan ilmoitettava tietojen viejälle ja rekisteröidylle, jos se saa määrämaan lainsäädännön nojalla viranomaiselta (oikeusviranomaiset mukaan lukien) oikeudellisesti sitovan pyynnön luovuttaa vakiosopimuslausekkeiden mukaisesti siirrettyjä henkilötietoja. Sen olisi ilmoitettava niille myös, jos se saa tietoonsa, että viranomaisilla on määrämaana olevan kolmannen maan lainsäädännön nojalla suora pääsy tällaisiin henkilötietoihin. Jos tietojen tuoja ei parhaista pyrkimyksistään huolimatta pysty ilmoittamaan tietojen viejälle ja/tai rekisteröidylle erityisistä tietojen luovuttamista koskevista pyynnöistä, sen olisi annettava tietojen viejälle mahdollisimman paljon merkityksellisiä tietoja pyynnöistä. Tietojen tuojan olisi lisäksi toimitettava tietojen viejälle kootut tiedot säännöllisin väliajoin. Tietojen tuojaa olisi myös vaadittava dokumentoimaan kaikki saadut henkilötietojen luovuttamista koskevat pyynnöt ja niihin annetut vastaukset ja antamaan kyseiset tiedot pyynnöstä tietojen viejän, toimivaltaisen valvontaviranomaisen tai molempien saataville. Jos sen jälkeen, kun kyseisen pyynnön laillisuutta on tarkasteltu määrämaan lainsäädännön mukaisesti, tietojen tuoja toteaa, että on perusteltua syytä katsoa, että pyyntö on määrämaana olevan kolmannen maan lainsäädännön mukaan laiton, sen olisi riitautettava pyyntö tarvittaessa myös käyttämällä kaikki muutoksenhakukeinot. Jos tietojen tuoja ei enää pysty noudattamaan vakiosopimuslausekkeita, sen olisi ilmoitettava asiasta tietojen viejälle, myös siinä tapauksessa, että tämä on seurausta tietojen luovuttamista koskevasta pyynnöstä.

(23)

Koska sidosryhmien tarpeet, teknologia ja käsittelytoimet voivat muuttua, komission olisi arvioitava vakiosopimuslausekkeiden toimintaa saatavan kokemuksen perusteella osana asetuksen (EU) 2016/679 97 artiklassa tarkoitettua kyseisen asetuksen määräaikaista arviointia.

(24)

Päätös 2001/497/EY ja päätös 2010/87/EU olisi kumottava kolmen kuukauden kuluttua tämän päätöksen voimaantulosta. Sinä aikana tietojen viejien ja tietojen tuojien olisi asetuksen (EU) 2016/679 46 artiklan 1 kohtaa sovellettaessa voitava edelleen käyttää päätöksissä 2001/497/EY ja 2010/87/EU vahvistettuja vakiosopimuslausekkeita. Tietojen viejien ja tietojen tuojien olisi asetuksen (EU) 2016/679 46 artiklan 1 kohtaa sovellettaessa voitava tukeutua niiden välillä ennen päätösten 2001/497/EY ja 2010/87/EU kumoamispäivää tehtyjen sopimusten täytäntöönpanossa kyseisissä päätöksissä vahvistettuihin vakiosopimuslausekkeisiin 15 kuukauden ajan edellyttäen, että sopimuksen kohteena olevat käsittelytoimet pysyvät muuttumattomina ja että lausekkeisiin tukeutumisella varmistetaan, että henkilötietojen siirtoon sovelletaan asetuksen (EU) 2016/679 46 artiklan 1 kohdassa tarkoitettuja suojatoimia. Jos sopimukseen tehdään olennaisia muutoksia, tietojen viejää olisi vaadittava tukeutumaan sopimuksen mukaisissa tiedonsiirroissa uusiin perusteisiin, erityisesti korvaamaan olemassa olevat vakiosopimuslausekkeet tämän päätöksen liitteessä esitetyillä vakiosopimuslausekkeilla. Samaa olisi sovellettava kaikkiin alihankintasopimuksiin, joita tehdään henkilötietojen käsittelytoimia suorittavien henkilötietojen käsittelijöiden kanssa.

(25)

Euroopan tietosuojavaltuutettua ja Euroopan tietosuojaneuvostoa on kuultu asetuksen (EU) 2018/1725 42 artiklan 1 ja 2 kohdan mukaisesti, ja ne antoivat 14 päivänä tammikuuta 2021 yhteisen lausunnon (12), joka on otettu huomioon tämän päätöksen valmistelussa.

(26)

Tässä päätöksessä säädetyt toimenpiteet ovat asetuksen (EU) 2016/679 93 artiklalla perustetun komitean lausunnon mukaiset,

ON HYVÄKSYNYT TÄMÄN PÄÄTÖKSEN:

1 artikla

1.   Liitteessä esitettyjen vakiosopimuslausekkeiden katsotaan muodostavan asetuksen (EU) 2016/679 46 artiklan 1 kohdassa ja 2 kohdan c alakohdassa tarkoitetut asianmukaiset suojatoimet, kun rekisterinpitäjä tai henkilötietojen käsittelijä, jäljempänä ’tietojen viejä’, siirtää kyseisen asetuksen soveltamisalaan kuuluvia henkilötietoja rekisterinpitäjälle tai (alihankkijana toimivalle) henkilötietojen käsittelijälle, jäljempänä ’tietojen tuoja’, jonka suorittama henkilötietojen käsittely jää kyseisen asetuksen soveltamisalan ulkopuolelle.

2.   Vakiosopimuslausekkeissa määrätään myös rekisterinpitäjien ja henkilötietojen käsittelijöiden oikeuksista ja velvollisuuksista asetuksen (EU) 2016/679 28 artiklan 3 ja 4 kohdassa tarkoitetuissa asioissa, siltä osin kuin on kyse henkilötietojen siirtämisestä rekisterinpitäjältä henkilötietojen käsittelijälle tai henkilötietojen käsittelijältä alihankkijana toimivalle henkilötietojen käsittelijälle.

2 artikla

Kun jäsenvaltion toimivaltaiset viranomaiset käyttävät asetuksen (EU) 2016/679 58 artiklan mukaisia korjaavia toimivaltuuksia vastatakseen tilanteeseen, jossa tietojen tuojaan sovelletaan tai aletaan soveltaa määrämaana olevan kolmannen maan lakeja tai käytäntöjä, jotka estävät sitä noudattamasta liitteessä esitettyjä vakiosopimuslausekkeita ja johtavat kolmanteen maahan suuntautuvien tiedonsiirtojen keskeyttämiseen tai kieltämiseen, kyseisen jäsenvaltion on viipymättä ilmoitettava asiasta komissiolle, joka välittää tiedon edelleen muille jäsenvaltioille.

3 artikla

Komissio arvioi liitteessä esitettyjen vakiosopimuslausekkeiden käytännön soveltamista kaikkien saatavilla olevien tietojen perusteella osana asetuksen (EU) 2016/679 97 artiklassa edellytettyä määräaikaisarviointia.

4 artikla

1.   Tämä päätös tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

2.   Päätös 2001/497/EY kumotaan 27 päivästä syyskuuta 2021.

3.   Päätös 2010/87/EU kumotaan 27 päivästä syyskuuta 2021.

4.   Päätöksen 2001/497/EY tai päätöksen 2010/87/EU perusteella ennen 27 päivää syyskuuta 2021 tehtyjen sopimusten katsotaan tarjoavan asetuksen (EU) 2016/679 46 artiklan 1 kohdassa tarkoitetut asianmukaiset suojatoimet 27 päivään joulukuuta 2022 saakka edellyttäen, että sopimuksen kohteena olevat käsittelytoimet pysyvät muuttumattomina ja että kyseisiin lausekkeisiin tukeutumalla varmistetaan, että henkilötietojen siirtoon sovelletaan asianmukaisia suojatoimia.

Tehty Brysselissä 4 päivänä kesäkuuta 2021.

Komission puolesta

Puheenjohtaja

Ursula VON DER LEYEN


(1)  EUVL L 119, 4.5.2016, s. 1.

(2)  Asetuksen (EU) 2016/679 44 artikla.

(3)  Ks. myös unionin tuomioistuimen tuomio 16. heinäkuuta 2020, C-311/18, Data Protection Commissioner v. Facebook Ireland Ltd ja Maximillian Schrems (Schrems II), ECLI:EU:C:2020:559, 93 kohta.

(4)  Asetuksen (EU) 2016/679 johdanto-osan 109 kappale.

(5)  Komission päätös 2001/497/EY, annettu 15 päivänä kesäkuuta 2001, direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen kolmansiin maihin siirtoa varten (EYVL L 181, 4.7.2001, s. 19).

(6)  Komission päätös 2010/87/EU, annettu 5 päivänä helmikuuta 2010, Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille (EUVL L 39, 12.2.2010, s. 5).

(7)  Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 281, 23.11.1995, s. 31).

(8)  Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (EUVL L 295, 21.11.2018, s. 39), ks. johdanto-osan 5 kappale.

(9)  C(2021) 3701.

(10)  Schrems II, 96 ja 103 kohta. Ks. myös asetus (EU) 2016/679, johdanto-osan 108 ja 114 kappale.

(11)  Schrems II.

(12)  Euroopan tietosuojaneuvoston ja Euroopan tietosuojavaltuutetun yhteinen lausunto 2/2021 Euroopan komission täytäntöönpanopäätöksestä vakiosopimuslausekkeista, jotka koskevat henkilötietojen siirtämistä kolmansiin maihin asetuksen (EU) 2016/679 46 artiklan 2 kohdan c alakohdassa tarkoitettujen seikkojen osalta.


LIITE

VAKIOSOPIMUSLAUSEKKEET

I JAKSO

1 lauseke

Tarkoitus ja soveltamisala

a)

Näillä vakiosopimuslausekkeilla on tarkoitus varmistaa, että siirrettäessä henkilötietoja kolmanteen maahan noudatetaan luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta 27 päivänä huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) (1) vaatimuksia.

b)

Osapuolet

i)

yksi tai useampi liitteessä I.A mainittu luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, jäljempänä ’yksikkö’, joka siirtää henkilötietoja, kukin jäljempänä ’tietojen viejä’, ja

ii)

yksi tai useampi liitteessä I.A mainittu kolmannessa maassa oleva yksikkö, joka vastaanottaa henkilötietoja tietojen viejältä suoraan tai välillisesti sellaisen toisen yksikön kautta, joka myös on näiden lausekkeiden osapuoli, kukin jäljempänä ’tietojen tuoja’,

ovat hyväksyneet nämä vakiosopimuslausekkeet, jäljempänä ’lausekkeet’.

c)

Näitä lausekkeita sovelletaan liitteessä I.B tarkoitettuun henkilötietojen siirtoon.

d)

Näiden lausekkeiden lisäys, joka sisältää mainitut liitteet, on erottamaton osa näitä lausekkeita.

2 lauseke

Lausekkeiden vaikutus ja muuttumattomuus

a)

Näissä lausekkeissa vahvistetaan asianmukaiset suojatoimet, mukaan lukien asetuksen (EU) 2016/679 46 artiklan 1 kohdassa ja 2 kohdan c alakohdassa tarkoitetut täytäntöönpanokelpoiset rekisteröityjen oikeudet ja tehokkaat oikeussuojakeinot, ja rekisterinpitäjiltä henkilötietojen käsittelijöille ja/tai henkilötietojen käsittelijöiltä henkilötietojen käsittelijöille tehtävien siirtojen osalta asetuksen (EU) 2016/679 28 artiklan 7 kohdassa tarkoitetut vakiosopimuslausekkeet edellyttäen, että niitä ei muuteta muutoin kuin valitsemalla asianmukainen moduuli tai moduulit tai lisäämällä tai päivittämällä lisäykseen tietoja. Tämä ei estä osapuolia sisällyttämästä näissä lausekkeissa vahvistettuja vakiosopimuslausekkeita laajempaan sopimukseen ja/tai lisäämästä muita lausekkeita tai suojatoimia edellyttäen, että ne eivät ole suoraan tai välillisesti ristiriidassa näiden lausekkeiden kanssa eivätkä rajoita rekisteröityjen perusoikeuksia tai -vapauksia.

b)

Nämä lausekkeet eivät vaikuta velvoitteisiin, joita tietojen viejään sovelletaan asetuksen (EU) 2016/679 nojalla.

3 lauseke

Edunsaajina olevat kolmannet osapuolet

a)

Rekisteröidyt voivat edunsaajina olevina kolmansina osapuolina vedota näihin lausekkeisiin ja panna ne täytäntöön tietojen viejää ja/tai tietojen tuojaa vastaan seuraavin poikkeuksin:

i)

1 lauseke, 2 lauseke, 3 lauseke, 6 lauseke ja 7 lauseke;

ii)

8 lauseke – Moduuli 1: 8.5 lausekkeen e alakohta ja 8.9 lausekkeen b alakohta; Moduuli 2: 8.1 lausekkeen b alakohta, 8.9 lausekkeen a, c, d ja e alakohta; Moduuli 3: 8.1 lausekkeen a, c ja d alakohta ja 8.9 lausekkeen a, c, d, e, f ja g alakohta; Moduuli 4: 8.1 lausekkeen b alakohta ja 8.3 lausekkeen b alakohta;

iii)

9 lauseke – Moduuli 2: 9 lausekkeen a, c, d ja e alakohta; Moduuli 3: 9 lausekkeen a, c, d ja e alakohta;

iv)

12 lauseke – Moduuli 1: 12 lausekkeen a ja d alakohta; Moduulit 2 ja 3: 12 lausekkeen a, d ja f alakohta;

v)

13 lauseke;

vi)

15.1 lausekkeen c, d ja e alakohta;

vii)

16 lausekkeen e alakohta;

viii)

18 lauseke – Moduulit 1, 2 ja 3: 18 lausekkeen a ja b alakohta; Moduuli 4: 18 lauseke.

b)

Edellä oleva a alakohta ei vaikuta oikeuksiin, joita rekisteröidyillä on asetuksen (EU) 2016/679 nojalla.

4 lauseke

Tulkinta

a)

Jos näissä lausekkeissa käytetään asetuksessa (EU) 2016/679 määriteltyjä termejä, näillä termeillä tarkoitetaan samaa kuin kyseisessä asetuksessa.

b)

Lausekkeita on luettava ja tulkittava asetuksen (EU) 2016/679 säännökset huomioon ottaen.

c)

Lausekkeita ei saa tulkita tavalla, joka on ristiriidassa asetuksessa (EU) 2016/679 säädettyjen oikeuksien ja velvollisuuksien kanssa.

5 lauseke

Hierarkia

Jos nämä lausekkeet ja osapuolten välisten asiaan liittyvien sopimusten määräykset ovat ristiriidassa silloin, kun näistä lausekkeista sovitaan tai sen jälkeen, nämä lausekkeet ovat ensisijaisia.

6 lauseke

Siirron tai siirtojen kuvaus

Siirron tai siirtojen yksityiskohdat ja erityisesti siirrettävät henkilötietoryhmät sekä tarkoitus tai tarkoitukset, joita varten ne siirretään, esitetään liitteessä I.B.

7 lauseke – Vapaaehtoinen

Liittymistä koskeva lauseke

a)

Yksikkö, joka ei ole näiden lausekkeiden osapuoli, voi osapuolten suostumuksella liittyä näihin lausekkeisiin milloin tahansa joko tietojen viejänä tai tietojen tuojana täyttämällä lisäyksen ja allekirjoittamalla liitteen I.A.

b)

Kun liittyvä yksikkö on täyttänyt lisäyksen ja allekirjoittanut liitteen I.A, siitä tulee näiden lausekkeiden osapuoli ja sillä on tietojen viejän tai tietojen tuojan oikeudet ja velvollisuudet sen mukaan kuin se on liitteessä I.A ilmoittanut.

c)

Liittyvällä yksiköllä ei ole näistä lausekkeista johtuvia oikeuksia tai velvollisuuksia ajalta ennen osapuoleksi liittymistä.

JAKSO II – OSAPUOLTEN VELVOLLISUUDET

8 lauseke

Tietosuojaa koskevat suojatoimet

Tietojen viejä vakuuttaa, että se on toteuttanut kohtuullisia toimenpiteitä selvittääkseen, pystyykö tietojen tuoja asianmukaisia teknisiä ja organisatorisia toimenpiteitä toteuttamalla täyttämään näiden lausekkeiden mukaiset velvollisuutensa.

MODUULI 1: Siirto rekisterinpitäjältä rekisterinpitäjälle

8.1   Käyttötarkoituksen rajaaminen

Tietojen tuoja saa käsitellä henkilötietoja ainoastaan liitteessä I.B esitettyä siirtotarkoitusta tai -tarkoituksia varten. Se voi käsitellä henkilötietoja muuta tarkoitusta varten ainoastaan

i)

jos se on saanut rekisteröidyltä ennakkosuostumuksen;

ii)

jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi hallinto-, sääntely- tai oikeudenkäyntimenettelyn yhteydessä; tai

iii)

jos se on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi.

8.2   Läpinäkyvyys

a)

Jotta rekisteröidyt voivat tosiasiallisesti käyttää lausekkeesta 10 johtuvia oikeuksiaan, tietojen tuojan on ilmoitettava heille joko suoraan tai tietojen viejän välityksellä

i)

henkilöllisyytensä ja yhteystietonsa;

ii)

käsiteltävät henkilötietoryhmät;

iii)

oikeudesta saada jäljennös näistä lausekkeista;

iv)

aikoessaan siirtää henkilötiedot edelleen yhdelle tai useammalle kolmannelle osapuolelle vastaanottaja tai vastaanottajaryhmät (niin, että annettava tieto on merkityksellinen), tällaisen edelleen siirtämisen tarkoitus ja 8.7 lausekkeessa tarkoitettu siirtämisperuste.

b)

Edellä olevaa a kohtaa ei sovelleta, jos rekisteröidyllä on jo kyseiset tiedot, myös siinä tapauksessa, että tietojen viejä on jo toimittanut tällaiset tiedot, tai jos kyseisten tietojen antaminen osoittautuu mahdottomaksi tai vaatisi tietojen tuojalta kohtuutonta vaivannäköä. Jälkimmäisessä tapauksessa tietojen tuojan on mahdollisuuksien mukaan asetettava tiedot julkisesti saataville.

c)

Osapuolet antavat maksutta rekisteröidyn saataville tämän pyynnöstä jäljennöksen näistä lausekkeista ja täyttämästään lisäyksestä. Sikäli kuin se on tarpeen liikesalaisuuksien tai muiden luottamuksellisten tietojen, kuten henkilötietojen, suojaamiseksi, osapuolet voivat poistaa osan lisäyksen tekstistä ennen jäljennöksen antamista. Niiden on kuitenkin toimitettava tarkoituksenmukainen yhteenveto tekstistä, jos rekisteröity ei muutoin pystyisi ymmärtämään sen sisältöä tai käyttämään oikeuksiaan. Osapuolten on pyynnöstä ilmoitettava rekisteröidylle tekstin poistamisen syyt siinä määrin kuin se on mahdollista paljastamatta poistettavia tietoja.

d)

Edellä olevat a–c kohta eivät rajoita tietojen viejälle asetuksen (EU) 2016/679 13 ja 14 artiklan nojalla kuuluvia velvoitteita.

8.3   Tietojen paikkansapitävyys ja minimointi

a)

Kummankin osapuolen on varmistettava, että henkilötiedot ovat paikkansapitäviä ja että ne saatetaan tarvittaessa ajan tasalle. Tietojen tuojan on toteutettava kaikki kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä.

b)

Jos osapuoli havaitsee, että sen siirtämät tai vastaanottamat henkilötiedot ovat virheellisiä tai vanhentuneita, sen on ilmoitettava asiasta toiselle osapuolelle ilman aiheetonta viivytystä.

c)

Tietojen tuojan on varmistettava, että henkilötiedot ovat asianmukaisia ja olennaisia ja että ne rajoittuvat siihen, mikä on tarpeen käsittelyn tarkoituksen kannalta.

8.4   Säilytyksen rajoittaminen

Tietojen tuoja saa säilyttää henkilötietoja ainoastaan niin kauan kuin sen on tietojen käsittelyn tarkoituksia varten tarpeen. Sen on otettava käyttöön asianmukaiset tekniset tai organisatoriset toimenpiteet, joilla varmistetaan tämän velvoitteen noudattaminen, mukaan lukien tietojen ja kaikkien varmuuskopioiden poistaminen tai anonymisointi (2) säilytysajan päättyessä.

8.5   Käsittelyn turvallisuus

a)

Tietojen tuojan ja siirron aikana myös tietojen viejän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen turvallisuuden varmistamiseksi, mukaan lukien suojaaminen tietoturvaloukkaukselta, jonka seurauksena on vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin, jäljempänä ’henkilötietojen tietoturvaloukkaus’. Arvioidessaan asianmukaista turvallisuustasoa niiden on otettava asianmukaisesti huomioon uusin teknologia, toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä rekisteröidylle käsittelystä aiheutuvat riskit. Osapuolten on harkittava erityisesti turvautumista salaamiseen tai pseudonymisointiin, myös siirron aikana, jos käsittelyn tarkoitus voidaan täyttää tällä tavoin.

b)

Osapuolet ovat sopineet liitteessä II esitetyistä teknisistä ja organisatorisista toimenpiteistä. Tietojen tuojan on tehtävä säännöllisiä tarkastuksia varmistaakseen, että nämä toimenpiteet tarjoavat edelleen asianmukaisen turvallisuustason.

c)

Tietojen tuojan on varmistettava, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.

d)

Jos henkilötietojen tietoturvaloukkaus koskee tietojen tuojan näiden lausekkeiden nojalla käsittelemiä henkilötietoja, tietojen tuojan on toteutettava asianmukaisia toimenpiteitä henkilötietojen tietoturvaloukkauksen johdosta, mukaan lukien toimenpiteet sen mahdollisten haittavaikutusten lieventämiseksi.

e)

Jos henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa riskin luonnollisten henkilöiden oikeuksille ja vapauksille, tietojen tuojan on ilman aiheetonta viivytystä ilmoitettava asiasta sekä tietojen viejälle että lausekkeessa 13 tarkoitetulle toimivaltaiselle valvontaviranomaiselle. Ilmoituksessa on oltava i) kuvaus tietoturvaloukkauksen luonteesta (mahdollisuuksien mukaan myös asianomaiset rekisteröityjen ryhmät ja arvioitu rekisteröityjen ja henkilötietotietueiden lukumäärä), ii) tietoturvaloukkauksen todennäköiset seuraukset, iii) tietoturvaloukkauksen johdosta toteutetut tai ehdotetut toimenpiteet ja iv) tiedot yhteyspisteestä, josta voi saada lisätietoa. Jos tietojen tuoja ei pysty toimittamaan kaikkia tietoja samanaikaisesti, se voi toimittaa ne vaiheittain ilman aiheetonta viivytystä.

f)

Jos kyseessä on henkilötietojen tietoturvaloukkaus, joka todennäköisesti aiheuttaa luonnollisten henkilöiden oikeuksien ja vapauksien kannalta korkean riskin, tietojen tuojan on ilman aiheetonta viivytystä ilmoitettava henkilötietojen tietoturvaloukkauksesta ja sen luonteesta myös asianomaisille rekisteröidyille, tarvittaessa yhteistyössä tietojen viejän kanssa, ja ilmoitettava samalla e kohdan ii–iv alakohdassa tarkoitetut tiedot, paitsi jos tietojen tuoja on toteuttanut toimenpiteitä, joilla luonnollisten henkilöiden oikeuksiin tai vapauksiin kohdistuvaa riskiä pienennetään merkittävästi, tai jos ilmoittaminen vaatisi kohtuutonta vaivannäköä. Jälkimmäisessä tapauksessa tietojen tuojan on sen sijaan annettava julkinen tiedote tai toteutettava vastaava toimenpide, jolla henkilötietojen tietoturvaloukkauksesta tiedotetaan yleisölle.

g)

Tietojen tuojan on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukseen liittyvät merkitykselliset tosiseikat, mukaan lukien sen vaikutukset ja toteutetut korjaavat toimet, ja pidettävä niistä kirjaa.

8.6   Arkaluonteiset tiedot

Jos siirtoon sisältyy henkilötietoja, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys, geneettistä tietoa, biometristä tietoa henkilön yksiselitteistä tunnistamista varten, terveyttä koskevia tietoja, luonnollisen henkilön seksuaalista käyttäytymistä tai suuntautumista koskevia tietoja taikka rikostuomioihin tai rikoksiin liittyviä tietoja, jäljempänä ’arkaluonteiset tiedot’, tietojen tuojan on sovellettava erityisiä rajoituksia ja/tai ylimääräisiä suojatoimia, jotka on mukautettu tietojen erityisluonteeseen ja riskeihin. Tähän voi sisältyä henkilötietoihin pääsevän henkilöstön rajoittaminen, ylimääräisiä turvallisuustoimia (kuten pseudonymisointi) ja/tai lisärajoituksia, jotka koskevat tietojen luovuttamista edelleen.

8.7   Tietojen siirtäminen edelleen

Tietojen tuoja ei saa luovuttaa henkilötietoja (tietojen tuojan kanssa samassa maassa tai muussa kolmannessa maassa) Euroopan unionin ulkopuolella (3) olevalle kolmannelle osapuolelle, jäljempänä ’edelleen siirtäminen’, paitsi jos nämä lausekkeet sitovat kyseistä kolmatta osapuolta tai se lupaa sitoutua niihin asianmukaisen moduulin mukaisesti. Muussa tapauksessa tietojen tuoja voi siirtää tietoja edelleen ainoastaan, jos

i)

ne siirretään maahan, jonka hyväksi on tehty asetuksen (EU) 2016/679 45 artiklan nojalla tehty tietosuojan riittävyyttä koskeva päätös, joka kattaa edelleen siirtämisen;

ii)

kolmas osapuoli muutoin varmistaa asetuksen (EU) 2016/679 46 tai 47 artiklassa tarkoitetut asianmukaiset suojatoimet kyseisen käsittelyn osalta;

iii)

kolmas osapuoli sopii tietojen tuojan kanssa sitovasta välineestä, jolla varmistetaan sama tietosuojan taso kuin näissä lausekkeissa, ja tietojen tuoja toimittaa tietojen viejälle jäljennöksen näistä suojatoimista;

iv)

se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi hallinto-, sääntely- tai oikeudenkäyntimenettelyn yhteydessä;

v)

se on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi; tai

vi)

siinä tapauksessa, että mitään muuta edellytystä ei sovelleta, tietojen tuoja on saanut rekisteröidyn nimenomaisen suostumuksen tietojen edelleen siirtämiseen tietyssä tilanteessa ilmoitettuaan hänelle siirtämisen tarkoitukset, vastaanottajan henkilöllisyyden ja mahdolliset riskit, joita rekisteröidylle aiheutuu tällaisesta tietojen siirtämisestä asianmukaisten tietosuojaa koskevien suojatoimien puuttumisen vuoksi. Tässä tapauksessa tietojen tuojan on ilmoitettava asiasta tietojen viejälle ja tämän pyynnöstä toimitettava sille jäljennös rekisteröidylle annetuista tiedoista.

Tietojen edelleen siirtäminen edellyttää, että tietojen tuoja noudattaa myös kaikkia muita näiden lausekkeiden mukaisia suojatoimia ja erityisesti käyttötarkoituksen rajaamista.

8.8   Tietojenkäsittely tietojen tuojan alaisuudessa

Tietojen tuojan on varmistettava, että sen alaisuudessa toimivat henkilöt, kuten henkilötietojen käsittelijä, käsittelevät tietoa ainoastaan sen ohjeiden mukaisesti.

8.9   Dokumentointi ja noudattaminen

a)

Kunkin osapuolen on pystyttävä osoittamaan, että se on noudattanut näiden lausekkeiden mukaisia velvoitteitaan. Tietojen tuojan on muun muassa säilytettävä asianmukainen dokumentaatio vastuullaan suoritetuista käsittelytoimista.

b)

Tietojen tuojan on pyynnöstä asetettava tällainen dokumentaatio toimivaltaisen valvontaviranomaisen saataville.

MODUULI 2: Siirto rekisterinpitäjältä käsittelijälle

8.1   Ohjeet

a)

Tietojen tuoja saa käsitellä henkilötietoja ainoastaan tietojen viejän antamien dokumentoitujen ohjeiden mukaisesti. Tietojen viejä voi antaa tällaisia ohjeita koko sopimuksen voimassaolon ajan.

b)

Tietojen tuojan on välittömästi ilmoitettava tietojen viejälle, jos se ei pysty noudattamaan näitä ohjeita.

8.2   Käyttötarkoituksen rajaaminen

Tietojen tuoja saa käsitellä henkilötietoja ainoastaan liitteessä I.B esitettyä siirtotarkoitusta tai -tarkoituksia varten, ellei tietojen viejä ole antanut lisäohjeita.

8.3   Läpinäkyvyys

Tietojen viejän on annettava maksutta rekisteröidyn saataville tämän pyynnöstä jäljennös näistä lausekkeista ja osapuolten täyttämästä lisäyksestä. Sikäli kuin se on tarpeen liikesalaisuuksien tai muiden luottamuksellisten tietojen, kuten liitteessä II kuvattujen toimenpiteiden ja henkilötietojen, suojaamiseksi, tietojen viejä voi poistaa osan näiden lausekkeiden lisäyksen tekstistä ennen jäljennöksen antamista. Sen on kuitenkin toimitettava tarkoituksenmukainen yhteenveto tekstistä, jos rekisteröity ei muutoin pystyisi ymmärtämään sen sisältöä tai käyttämään oikeuksiaan. Osapuolten on pyynnöstä ilmoitettava rekisteröidylle tekstin poistamisen syyt siinä määrin kuin se on mahdollista paljastamatta poistettavia tietoja. Tämä lauseke ei rajoita tietojen viejälle asetuksen (EU) 2016/679 13 ja 14 artiklan nojalla kuuluvia velvoitteita.

8.4   Paikkansapitävyys

Jos tietojen tuoja havaitsee, että sen vastaanottamat henkilötiedot ovat virheellisiä tai vanhentuneita, sen on ilmoitettava asiasta tietojen viejälle ilman aiheetonta viivytystä. Tällöin tietojen tuojan on toimittava yhteistyössä tietojen viejän kanssa tietojen poistamiseksi tai oikaisemiseksi.

8.5   Tietojen käsittelyn kesto ja tietojen poistaminen tai palauttaminen

Tietojen tuoja saa käsitellä tietoja ainoastaan liitteessä I.B määritetyn ajan. Kun henkilötietojen käsittelypalvelujen tarjoaminen on päättynyt, tietojen tuojan on tietojen viejän valinnan mukaan poistettava kaikki tietojen viejän puolesta käsitellyt henkilötiedot ja todistettava tietojen viejälle, että se on tehnyt niin, tai palautettava tietojen viejälle kaikki sen puolesta käsitellyt henkilötiedot ja poistettava olemassa olevat kopiot. Tietojen tuojan on varmistettava, että näitä lausekkeita noudatetaan, kunnes tiedot poistetaan tai palautetaan. Jos tietojen tuojaan sovelletaan paikallista lainsäädäntöä, jossa kielletään henkilötietojen palauttaminen tai poistaminen, tietojen tuoja vakuuttaa varmistavansa edelleen näiden lausekkeiden noudattamisen ja käsittelevänsä niitä vain siinä määrin ja niin kauan kuin kyseisessä paikallisessa lainsäädännössä edellytetään. Tämä ei vaikuta lausekkeeseen 14 eikä etenkään siihen, että tietojen tuojan on lausekkeen 14 e kohdan mukaan ilmoitettava tietojen viejälle koko sopimuksen voimassaolon ajan, jos sillä on syytä uskoa, että siihen sovelletaan tai on alettu soveltaa lakeja tai käytäntöjä, jotka eivät ole 14 lausekkeen a kohdan vaatimusten mukaisia.

8.6   Käsittelyn turvallisuus

a)

Tietojen tuojan ja siirron aikana myös tietojen viejän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet tietojen turvallisuuden varmistamiseksi, mukaan lukien suojaaminen tietoturvaloukkaukselta, jonka seurauksena on vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy kyseisiin tietoihin, jäljempänä ’henkilötietojen tietoturvaloukkaus’. Arvioidessaan asianmukaista turvallisuustasoa osapuolten on otettava asianmukaisesti huomioon uusin teknologia, toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä rekisteröidyille käsittelystä aiheutuvat riskit. Osapuolten on harkittava erityisesti turvautumista salaamiseen tai pseudonymisointiin, myös siirron aikana, jos käsittelyn tarkoitus voidaan täyttää tällä tavoin. Jos kyseessä on pseudonymisointi, lisätiedot, joiden perusteella henkilötiedot voidaan yhdistää tiettyyn rekisteröityyn, on mahdollisuuksien mukaan pidettävä tietojen viejän yksinomaisessa valvonnassa. Täyttäessään tämän kohdan mukaisia velvoitteitaan tietojen tuojan on toteutettava ainakin liitteessä II mainitut tekniset ja organisatoriset toimenpiteet. Tietojen tuojan on tehtävä säännöllisiä tarkastuksia varmistaakseen, että nämä toimenpiteet tarjoavat edelleen asianmukaisen turvallisuustason.

b)

Tietojen tuoja saa antaa henkilöstönsä jäsenille pääsyn henkilötietoihin vain siinä laajuudessa kuin se on ehdottoman välttämätöntä sopimuksen täytäntöönpanoa, hallinnointia ja seurantaa varten. Sen on varmistettava, että henkilötietojen käsittelyluvan saaneet henkilöt ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä sitoo asianmukainen lakisääteinen salassapitovelvollisuus.

c)

Jos henkilötietojen tietoturvaloukkaus koskee tietojen tuojan näiden lausekkeiden nojalla käsittelemiä henkilötietoja, tietojen tuojan on toteutettava asianmukaisia toimenpiteitä tietoturvaloukkauksen johdosta, mukaan lukien toimenpiteet sen haittavaikutusten lieventämiseksi. Saatuaan tietoturvaloukkauksesta tiedon tietojen tuojan on ilman aiheetonta viivytystä ilmoitettava siitä myös tietojen viejälle. Ilmoituksessa on oltava tiedot yhteyspisteestä, josta voi saada lisätietoja, kuvaus tietoturvaloukkauksen luonteesta (mahdollisuuksien mukaan myös asianomaiset rekisteröityjen ryhmät ja arvioitu rekisteröityjen ja henkilötietotietueiden lukumäärä), tietoturvaloukkauksen todennäköisistä seurauksista ja sen johdosta toteutetuista tai ehdotetuista toimenpiteistä, ja tarvittaessa myös toimenpiteistä sen mahdollisten haittavaikutusten lieventämiseksi. Jos kaikkia tietoja ei ole mahdollista toimittaa samanaikaisesti, alkuperäisessä ilmoituksessa on oltava sillä hetkellä saatavilla olevat tiedot, ja lisätiedot on toimitettava myöhemmin ilman aiheetonta viivytystä, kun ne tulevat saataville.

d)

Tietojen tuojan on tehtävä yhteistyötä tietojen viejän kanssa ja autettava sitä, jotta tietojen viejä voi täyttää asetuksen (EU) 2016/679 mukaiset velvoitteensa ja erityisesti ilmoittaa asiasta toimivaltaiselle valvontaviranomaiselle ja asianomaisille rekisteröidyille ottaen huomioon käsittelyn luonteen ja tietojen tuojan saatavilla olevat tiedot.

8.7   Arkaluonteiset tiedot

Jos siirtoon sisältyy henkilötietoja, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys, geneettistä tietoa tai tietoa henkilön yksiselitteistä tunnistamista varten käytettävää biometristä tietoa, terveyttä koskevia tietoja, luonnollisen henkilön seksuaalista käyttäytymistä tai suuntautumista koskevia tietoja taikka rikostuomioihin ja rikoksiin liittyviä tietoja, jäljempänä ’arkaluonteiset tiedot’, tietojen tuojan on sovellettava liitteessä I.B kuvattuja erityisiä rajoituksia ja/tai ylimääräisiä suojatoimia.

8.8   Tietojen siirtäminen edelleen

Tietojen tuoja saa luovuttaa henkilötietoja kolmannelle osapuolelle ainoastaan tietojen viejän antamia dokumentoituja ohjeita noudattaen. Tietoja saa luovuttaa (tietojen tuojan kanssa samassa maassa tai muussa kolmannessa maassa) Euroopan unionin ulkopuolella (4) olevalle kolmannelle osapuolelle, jäljempänä ’edelleen siirtäminen’, ainoastaan jos nämä lausekkeet sitovat kyseistä kolmatta osapuolta tai se lupaa sitoutua niihin asianmukaisen moduulin mukaisesti.

i)

tietoja siirretään edelleen maahan, jonka hyväksi on tehty asetuksen (EU) 2016/679 45 artiklan nojalla tietosuojan riittävyyttä koskeva päätös, joka kattaa edelleen siirtämisen;

ii)

kolmas osapuoli muutoin varmistaa asetuksen (EU) 2016/679 46 tai 47 artiklassa tarkoitetut asianmukaiset suojatoimet kyseisen käsittelyn osalta;

iii)

edelleen siirtäminen on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi hallinto-, sääntely- tai oikeudenkäyntimenettelyn yhteydessä; tai

iv)

edelleen siirtäminen on tarpeen rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi.

Tietojen edelleen siirtäminen edellyttää, että tietojen tuoja noudattaa myös kaikkia muita näiden lausekkeiden mukaisia suojatoimia ja erityisesti käyttötarkoituksen rajaamista.

8.9   Dokumentointi ja noudattaminen

a)

Tietojen tuojan on käsiteltävä nopeasti ja asianmukaisesti tietojen viejän tiedustelut, jotka liittyvät näiden lausekkeiden mukaiseen henkilötietojen käsittelyyn.

b)

Osapuolten on pystyttävä osoittamaan, että näitä lausekkeita on noudatettu. Tietojen tuojan on muun muassa säilytettävä asianmukainen dokumentaatio tietojen viejän puolesta suoritetuista käsittelytoimista.

c)

Tietojen tuojan on asetettava tietojen viejän saataville kaikki tarvittavat tiedot, joilla voidaan osoittaa, että näissä lausekkeissa asetettuja velvoitteita on noudatettu, ja sallittava tietojen viejän pyynnöstä kohtuullisin väliajoin tai tilanteessa, jossa on viitteitä siitä, että vaatimuksia ei ole noudatettu, näiden lausekkeiden piiriin kuuluvien käsittelytoimien auditointeja ja osallistuttava niihin. Päättäessään tarkastelusta tai auditoinnista tietojen viejä voi ottaa huomioon tietojen tuojalle myönnetyt asiaankuuluvat sertifioinnit.

d)

Tietojen viejä voi päättää suorittaa auditoinnin itse tai valtuuttaa riippumattoman auditoijan. Auditoinnit voivat sisältää tietojen tuojan tiloihin tai fyysisiin rakenteisiin kohdistuvia tarkastuksia, jotka on tehtävä kohtuullisen ajan kuluessa.

e)

Osapuolten on annettava b ja c kohdassa tarkoitetut tiedot, mukaan lukien mahdollisten auditointien tulokset, toimivaltaisen valvontaviranomaisen saataville tämän pyynnöstä.

MODUULI 3: Siirto käsittelijältä käsittelijälle

8.1   Ohjeet

a)

Tietojen viejä on ilmoittanut tietojen tuojalle toimivansa henkilötietojen käsittelijänä noudattaen rekisterinpitäjänsä tai rekisterinpitäjiensä ohjeita, jotka tietojen viejän on asetettava tietojen tuojan saataville ennen tietojen käsittelyä.

b)

Tietojen tuoja saa käsitellä henkilötietoja ainoastaan noudattaen rekisterinpitäjän antamia dokumentoituja ohjeita, jotka tietojen viejä on toimittanut tietojen tuojalle, ja mahdollisia tietojen viejän antamia dokumentoituja lisäohjeita. Tällaiset lisäohjeet eivät saa olla ristiriidassa rekisterinpitäjän antamien ohjeiden kanssa. Rekisterinpitäjä tai tietojen viejä voi antaa dokumentoituja lisäohjeita tietojen käsittelystä koko sopimuksen voimassaolon ajan.

c)

Tietojen tuojan on välittömästi ilmoitettava tietojen viejälle, jos se ei pysty noudattamaan näitä ohjeita. Jos tietojen tuoja ei pysty noudattamaan rekisterinpitäjän antamia ohjeita, tietojen viejän on ilmoitettava siitä välittömästi rekisterinpitäjälle.

d)

Tietojen viejä vakuuttaa, että se on asettanut tietojen tuojalle samat tietosuojavelvoitteet kuin rekisterinpitäjän ja tietojen viejän välisessä sopimuksessa tai unionin oikeuden tai jäsenvaltion lainsäädännön mukaisessa muussa oikeudellisessa asiakirjassa (5).

8.2   Käyttötarkoituksen rajaaminen

Tietojen tuoja saa käsitellä henkilötietoja ainoastaan liitteessä I.B esitettyä siirtotarkoitusta tai -tarkoituksia varten, paitsi jos se on saanut rekisterinpitäjältä lisäohjeita, jotka tietojen viejä on toimittanut tietojen tuojalle, tai jos tietojen viejä on antanut lisäohjeita.

8.3   Läpinäkyvyys

Tietojen viejän on annettava rekisteröidyn pyynnöstä tämän saataville maksutta jäljennös näistä lausekkeista ja osapuolten täyttämästä lisäyksestä. Sikäli kuin se on tarpeen liikesalaisuuksien tai muiden luottamuksellisten tietojen, kuten henkilötietojen, suojaamiseksi, tietojen viejä voi poistaa osan lisäyksen tekstistä ennen jäljennöksen antamista. Sen on kuitenkin toimitettava tarkoituksenmukainen yhteenveto tekstistä, jos rekisteröity ei muutoin pystyisi ymmärtämään sen sisältöä tai käyttämään oikeuksiaan. Osapuolten on pyynnöstä ilmoitettava rekisteröidylle tekstin poistamisen syyt siinä määrin kuin se on mahdollista paljastamatta poistettavia tietoja.

8.4   Paikkansapitävyys

Jos tietojen tuoja havaitsee, että sen vastaanottamat henkilötiedot ovat virheellisiä tai vanhentuneita, sen on ilmoitettava asiasta tietojen viejälle ilman aiheetonta viivytystä. Tällöin tietojen tuojan on toimittava yhteistyössä tietojen viejän kanssa tietojen oikaisemiseksi tai poistamiseksi.

8.5   Tietojen käsittelyn kesto ja tietojen poistaminen tai palauttaminen

Tietojen tuoja saa käsitellä tietoja ainoastaan liitteessä I.B määritetyn ajan. Kun henkilötietojen käsittelypalvelujen tarjoaminen on päättynyt, tietojen tuojan on tietojen viejän valinnan mukaan poistettava kaikki rekisterinpitäjän puolesta käsitellyt henkilötiedot ja todistettava tietojen viejälle, että se on tehnyt niin, tai palautettava tietojen viejälle kaikki sen puolesta käsitellyt henkilötiedot ja poistettava olemassa olevat kopiot. Tietojen tuojan on varmistettava, että näitä lausekkeita noudatetaan, kunnes tiedot poistetaan tai palautetaan. Jos tietojen tuojaan sovelletaan paikallista lainsäädäntöä, jossa kielletään henkilötietojen palauttaminen tai poistaminen, tietojen tuoja vakuuttaa varmistavansa edelleen näiden lausekkeiden noudattamisen ja käsittelevänsä niitä vain siinä määrin ja niin kauan kuin kyseisessä paikallisessa lainsäädännössä edellytetään. Tämä ei vaikuta lausekkeeseen 14 eikä etenkään siihen, että tietojen tuojan on lausekkeen 14 e kohdan mukaan ilmoitettava tietojen viejälle koko sopimuksen voimassaolon ajan, jos sillä on syytä uskoa, että siihen sovelletaan tai on alettu soveltaa lakeja tai käytäntöjä, jotka eivät ole 14 lausekkeen a kohdan vaatimusten mukaisia.

8.6   Käsittelyn turvallisuus

a)

Tietojen tuojan ja siirron aikana myös tietojen viejän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet tietojen turvallisuuden varmistamiseksi, mukaan lukien suojaaminen tietoturvaloukkaukselta, jonka seurauksena on vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy kyseisiin tietoihin, jäljempänä ’henkilötietojen tietoturvaloukkaus’. Arvioidessaan asianmukaista turvallisuustasoa niiden on otettava asianmukaisesti huomioon uusin teknologia, toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä rekisteröidylle käsittelystä aiheutuvat riskit. Osapuolten on harkittava erityisesti turvautumista salaamiseen tai pseudonymisointiin, myös siirron aikana, jos käsittelyn tarkoitus voidaan täyttää tällä tavoin. Jos kyseessä on pseudonymisointi, lisätiedot, joiden perusteella henkilötiedot voidaan yhdistää tiettyyn rekisteröityyn, on mahdollisuuksien mukaan pidettävä tietojen viejän tai rekisterinpitäjän yksinomaisessa valvonnassa. Täyttäessään tämän kohdan mukaisia velvoitteitaan tietojen tuojan on toteutettava ainakin liitteessä II mainitut tekniset ja organisatoriset toimenpiteet. Tietojen tuojan on tehtävä säännöllisiä tarkastuksia varmistaakseen, että nämä toimenpiteet tarjoavat edelleen asianmukaisen turvallisuustason.

b)

Tietojen tuoja saa antaa henkilöstönsä jäsenille pääsyn tietoihin vain siinä laajuudessa kuin se on ehdottoman välttämätöntä sopimuksen täytäntöönpanoa, hallinnointia ja seurantaa varten. Sen on varmistettava, että henkilötietojen käsittelyluvan saaneet henkilöt ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä sitoo asianmukainen lakisääteinen salassapitovelvollisuus.

c)

Jos henkilötietojen tietoturvaloukkaus koskee tietojen tuojan näiden lausekkeiden nojalla käsittelemiä henkilötietoja, tietojen tuojan on toteutettava asianmukaisia toimenpiteitä tietoturvaloukkauksen johdosta, mukaan lukien toimenpiteet sen haittavaikutusten lieventämiseksi. Saatuaan tietoturvaloukkauksesta tiedon tietojen tuojan on ilman aiheetonta viivytystä ilmoitettava siitä myös tietojen viejälle ja, jos se on tarkoituksenmukaista ja mahdollista, rekisterinpitäjälle. Ilmoituksessa on oltava tiedot yhteyspisteestä, josta voi saada lisätietoja, kuvaus tietoturvaloukkauksen luonteesta (mahdollisuuksien mukaan myös asianomaiset rekisteröityjen ryhmät ja arvioitu rekisteröityjen ja henkilötietotietueiden lukumäärä), tietoturvaloukkauksen todennäköisistä seurauksista ja sen johdosta toteutetuista tai ehdotetuista toimenpiteistä sekä toimenpiteistä sen mahdollisten haittavaikutusten lieventämiseksi. Jos kaikkia tietoja ei ole mahdollista toimittaa samanaikaisesti, alkuperäisessä ilmoituksessa on oltava sillä hetkellä saatavilla olevat tiedot, ja lisätiedot on toimitettava myöhemmin ilman aiheetonta viivytystä, kun ne tulevat saataville.

d)

Tietojen tuojan on tehtävä yhteistyötä tietojen viejän kanssa ja autettava sitä, jotta tietojen viejä voi täyttää asetuksen (EU) 2016/679 mukaiset velvoitteensa ja erityisesti ilmoittaa asiasta rekisterinpitäjälleen, jotta tämä voi puolestaan ilmoittaa asiasta toimivaltaiselle valvontaviranomaiselle ja asianomaisille rekisteröidyille ottaen huomioon käsittelyn luonteen ja tietojen tuojan saatavilla olevat tiedot.

8.7   Arkaluonteiset tiedot

Jos siirtoon sisältyy henkilötietoja, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys, geneettistä tietoa tai henkilön yksiselitteistä tunnistamista varten käytettävää biometristä tietoa, terveyttä koskevia tietoja, luonnollisen henkilön seksuaalista käyttäytymistä tai suuntautumista koskevia tietoja taikka rikostuomioihin ja rikoksiin liittyviä tietoja, jäljempänä ’arkaluonteiset tiedot’, tietojen tuojan on sovellettava liitteessä I.B kuvattuja erityisiä rajoituksia ja/tai ylimääräisiä suojatoimia.

8.8   Tietojen siirtäminen edelleen

Tietojen tuoja saa luovuttaa henkilötietoja kolmannelle osapuolelle ainoastaan noudattaen rekisterinpitäjän dokumentoituja ohjeita, jotka tietojen viejä on toimittanut tietojen tuojalle. Tietoja saa luovuttaa (tietojen tuojan kanssa samassa maassa tai muussa kolmannessa maassa) Euroopan unionin ulkopuolella (6) olevalle kolmannelle osapuolelle, jäljempänä ’edelleen siirtäminen’, ainoastaan jos nämä lausekkeet sitovat kyseistä kolmatta osapuolta tai se lupaa sitoutua niihin asianmukaisen moduulin mukaisesti.

i)

tietoja siirretään edelleen maahan, jonka hyväksi on tehty asetuksen (EU) 2016/679 45 artiklan nojalla tietosuojan riittävyyttä koskeva päätös, joka kattaa edelleen siirtämisen;

ii)

kolmas osapuoli muutoin varmistaa asetuksen (EU) 2016/679 46 tai 47 artiklassa tarkoitetut asianmukaiset suojatoimet;

iii)

edelleen siirtäminen on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi hallinto-, sääntely- tai oikeudenkäyntimenettelyn yhteydessä; tai

iv)

edelleen siirtäminen on tarpeen rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi.

Tietojen edelleen siirtäminen edellyttää, että tietojen tuoja noudattaa myös kaikkia muita näiden lausekkeiden mukaisia suojatoimia ja erityisesti käyttötarkoituksen rajaamista.

8.9   Dokumentointi ja noudattaminen

a)

Tietojen tuojan on käsiteltävä nopeasti ja asianmukaisesti tietojen viejän tai rekisterinpitäjän tiedustelut, jotka liittyvät näiden lausekkeiden mukaiseen henkilötietojen käsittelyyn.

b)

Osapuolten on pystyttävä osoittamaan, että näitä lausekkeita on noudatettu. Tietojen tuojan on muun muassa säilytettävä asianmukainen dokumentaatio rekisterinpitäjän puolesta suoritetuista käsittelytoimista.

c)

Tietojen tuojan on asetettava tietojen viejän saataville kaikki tarvittavat tiedot, joilla voidaan osoittaa, että näissä lausekkeissa asetettuja velvoitteita on noudatettu. Tietojen viejän on toimitettava ne rekisterinpitäjälle.

d)

Tietojen tuojan on annettava tietojen viejän auditoida näiden lausekkeiden piiriin kuuluvat käsittelytoimet kohtuullisin väliajoin tai tilanteessa, jossa on viitteitä siitä, että vaatimuksia ei ole noudatettu, ja osallistuttava auditointeihin. Sama pätee silloin, kun tietojen viejä pyytää auditointia rekisterinpitäjän ohjeistamana. Päättäessään auditoinnista tietojen viejä voi ottaa huomioon tietojen tuojalle myönnetyt asiaankuuluvat sertifioinnit.

e)

Jos auditointi tehdään rekisterinpitäjän ohjeistamana, tietojen viejän on asetettava tulokset rekisterinpitäjän saataville.

f)

Tietojen viejä voi päättää suorittaa auditoinnin itse tai valtuuttaa riippumattoman auditoijan. Auditoinnit voivat sisältää tietojen tuojan tiloihin tai fyysisiin rakenteisiin kohdistuvia tarkastuksia, jotka on tehtävä kohtuullisen ajan kuluessa.

g)

Osapuolten on annettava b ja c kohdassa tarkoitetut tiedot, mukaan lukien mahdollisten auditointien tulokset, toimivaltaisen valvontaviranomaisen saataville tämän pyynnöstä.

MODUULI 4: Siirto käsittelijältä rekisterinpitäjälle.

8.1   Ohjeet

a)

Tietojen viejä saa käsitellä henkilötietoja ainoastaan rekisterinpitäjänä toimivan tietojen tuojan antamien dokumentoitujen ohjeiden mukaisesti.

b)

Tietojen viejän on välittömästi ilmoitettava tietojen tuojalle, jos se ei pysty noudattamaan kyseisiä ohjeita, myös siinä tapauksessa, että ohjeet rikkovat asetusta (EU) 2016/679 tai muuta unionin tai jäsenvaltion tietosuojalainsäädäntöä.

c)

Tietojen tuojan on pidättäydyttävä kaikista toimista, jotka estäisivät tietojen viejää täyttämästä asetuksen (EU) 2016/679 mukaisia velvoitteitaan, myös siinä tapauksessa, että henkilötietoja käsitellään alihankintana, tai toimivaltaisten valvontaviranomaisten kanssa tehtävän yhteistyön osalta.

d)

Kun käsittelypalvelujen tarjoaminen on päättynyt, tietojen viejän on tietojen tuojan valinnan mukaan poistettava kaikki tietojen tuojan puolesta käsitellyt henkilötiedot ja todistettava tietojen tuojalle, että se on tehnyt niin, tai palautettava tietojen tuojalle kaikki sen puolesta käsitellyt henkilötiedot ja poistettava olemassa olevat kopiot.

8.2   Käsittelyn turvallisuus

a)

Osapuolten on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet tietojen turvallisuuden varmistamiseksi, myös siirron aikana, ja niiden suojaamiseksi tietoturvaloukkaukselta, jonka seurauksena on vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin, jäljempänä ’henkilötietojen tietoturvaloukkaus’. Arvioidessaan asianmukaista turvallisuustasoa niiden on otettava asianmukaisesti huomioon uusin teknologia, toteuttamiskustannukset, henkilötietojen luonne (7), käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä rekisteröidyille käsittelystä aiheutuvat riskit ja harkittava erityisesti turvautumista salaamiseen tai pseudonymisointiin, myös siirron aikana, jos käsittelyn tarkoitus voidaan täyttää tällä tavoin.

b)

Tietojen viejän on avustettava tietojen tuojaa a kohdassa tarkoitetussa tietojen asianmukaisen turvallisuuden varmistamisessa. Jos tapahtuu henkilötietojen tietoturvaloukkaus, joka koskee tietojen viejän näiden lausekkeiden nojalla käsittelemiä henkilötietoja, tietojen viejän on ilmoitettava asiasta tietojen tuojalle ilman aiheetonta viivytystä saatuaan siitä tiedon ja avustettava tietojen tuojaa toteuttamaan toimenpiteitä tietoturvaloukkauksen johdosta.

c)

Tietojen viejän on varmistettava, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.

8.3   Dokumentointi ja noudattaminen

a)

Osapuolten on pystyttävä osoittamaan, että näitä lausekkeita on noudatettu.

b)

Tietojen viejän on asetettava tietojen tuojan saataville kaikki tarvittavat tiedot, joilla voidaan osoittaa, että se on noudattanut näissä lausekkeissa asetettuja velvoitteitaan, sekä sallittava auditoinnit ja osallistuttava niihin.

9 lauseke

Henkilötietojen käsittely alihankintana

MODUULI 2: Siirto rekisterinpitäjältä käsittelijälle

a)

VAIHTOEHTO 1: ERITYINEN ENNAKKOLUPA Tietojen tuoja ei saa antaa tietojen viejän puolesta näiden lausekkeiden mukaisesti suorittamiaan henkilötietojen käsittelytoimia alihankkijalle ilman tietojen viejän etukäteen antamaa erityistä kirjallista lupaa. Tietojen tuojan on pyydettävä lupaa vähintään [mainitaan aika] ennen alihankkijan palvelusten käyttämistä ja toimitettava siinä yhteydessä tiedot, jotka tietojen viejä tarvitsee voidakseen päättää luvasta. Luettelo tietojen tuojan jo valtuuttamista henkilötietojen alikäsittelijöistä on liitteessä III. Osapuolten on pidettävä liite III ajan tasalla.

VAIHTOEHTO 2: YLEINEN KIRJALLINEN ENNAKKOLUPA Tietojen tuojalla on tietojen viejän yleinen lupa, joka koskee yhden tai useamman sovitussa luettelossa olevan henkilötietojen käsittelijän käyttämistä alihankkijana. Jos tietojen tuoja aikoo muuttaa kyseistä luetteloa lisäämällä tai korvaamalla alihankkijana toimivia henkilötietojen käsittelijöitä, sen on ilmoitettava tästä tietojen viejälle erikseen kirjallisesti vähintään [mainitaan aika] etukäteen, jotta tietojen viejällä on riittävästi aikaa vastustaa muutoksia ennen kyseisten alihankkijoiden palvelusten käyttöä. Tietojen tuojan on toimitettava tietojen viejälle tiedot, jotka tämä tarvitsee voidakseen käyttää oikeuttaan vastustaa luettelon muuttamista.

b)

Jos tietojen tuoja käyttää alihankkijaa tiettyjen käsittelytoimien suorittamiseen (tietojen viejän puolesta), sen on tehtävä asiasta kirjallinen sopimus, jossa määrätään olennaisilta osiltaan samoista tietosuojavelvoitteista, jotka näiden lausekkeiden nojalla sitovat tietojen tuojaa, mukaan lukien rekisteröityjen oikeudet edunsaajina olevina kolmansina osapuolina (8). Osapuolet sopivat, että noudattamalla tätä lauseketta tietojen tuoja täyttää 8.8 lausekkeen mukaiset velvoitteensa. Tietojen tuojan on varmistettava, että alihankkijana toimiva henkilötietojen käsittelijä noudattaa velvoitteita, joita tietojen tuojaan näiden lausekkeiden nojalla sovelletaan.

c)

Tietojen tuojan on toimitettava tietojen viejälle tämän pyynnöstä jäljennös tällaisesta alihankkijan kanssa tehdystä sopimuksesta ja sen mahdollisista myöhemmistä muutoksista. Sikäli kuin se on tarpeen liikesalaisuuksien tai muiden luottamuksellisten tietojen, kuten henkilötietojen, suojaamiseksi, tietojen tuoja voi poistaa osan sopimuksen tekstistä ennen jäljennöksen antamista.

d)

Tietojen tuojalla on edelleen tietojen viejään nähden täysi vastuu siitä, että alihankkijana toimiva henkilötietojen käsittelijä täyttää velvoitteensa tietojen tuojan kanssa tekemänsä sopimuksen nojalla. Tietojen tuojan on ilmoitettava tietojen viejälle, jos alihankkijana toimiva henkilötietojen käsittelijä ei täytä kyseisen sopimuksen mukaisia velvoitteitaan.

e)

Tietojen tuojan on sovittava alihankkijana toimivan henkilötietojen käsittelijän kanssa edunsaajina olevia kolmansia osapuolia koskevasta lausekkeesta, jonka mukaan tietojen viejällä on oikeus irtisanoa alihankkijana toimivan henkilötietojen käsittelijän sopimus ja ohjeistaa tätä poistamaan tai palauttamaan henkilötiedot, jos tietojen tuoja on tosiasiallisesti lakkautettu tai lakannut oikeudellisesti olemasta tai siitä on tullut maksukyvytön.

MODUULI 3: Siirto käsittelijältä käsittelijälle

a)

VAIHTOEHTO 1: ERITYINEN ENNAKKOLUPA Tietojen tuoja ei saa antaa tietojen viejän puolesta näiden lausekkeiden mukaisesti suorittamiaan henkilötietojen käsittelytoimia alihankkijalle ilman rekisterinpitäjän etukäteen antamaa erityistä kirjallista lupaa. Tietojen tuojan on pyydettävä lupaa vähintään [mainitaan aika] ennen alihankkijan palvelusten käyttämistä ja toimitettava siinä yhteydessä tiedot, jotka rekisterinpitäjä tarvitsee voidakseen päättää luvasta. Sen on ilmoitettava tietojen viejälle tällaisesta palvelusten käyttämisestä. Luettelo rekisterinpitäjän jo valtuuttamista henkilötietojen alikäsittelijöistä on liitteessä III. Osapuolten on pidettävä liite III ajan tasalla.

VAIHTOEHTO 2: YLEINEN KIRJALLINEN ENNAKKOLUPA Tietojen tuojalla on rekisterinpitäjän yleinen lupa, joka koskee yhden tai useamman sovitussa luettelossa olevan henkilötietojen käsittelijän käyttämistä alihankkijana. Jos tietojen tuoja aikoo muuttaa kyseistä luetteloa lisäämällä tai korvaamalla alihankkijana toimivia henkilötietojen käsittelijöitä, sen on ilmoitettava tästä rekisterinpitäjälle erikseen kirjallisesti vähintään [mainitaan aika] etukäteen, jotta rekisterinpitäjällä on riittävästi aikaa vastustaa muutoksia ennen kyseisten alihankkijoiden palvelusten käyttöä. Tietojen tuojan on toimitettava rekisterinpitäjälle tiedot, jotka tämä tarvitsee voidakseen käyttää oikeuttaan vastustaa luettelon muuttamista. Tietojen tuojan on ilmoitettava tietojen viejälle asianomaisten alihankkijana toimivien henkilötietojen käsittelijöiden palvelusten käyttämisestä.

b)

Jos tietojen tuoja käyttää alihankkijaa tiettyjen käsittelytoimien suorittamiseen (rekisterinpitäjän puolesta), sen on tehtävä asiasta kirjallinen sopimus, jossa määrätään olennaisilta osiltaan samoista tietosuojavelvoitteista, jotka näiden lausekkeiden nojalla sitovat tietojen tuojaa, mukaan lukien rekisteröityjen oikeudet edunsaajina olevina kolmansina osapuolina (9). Osapuolet sopivat, että noudattamalla tätä lauseketta tietojen tuoja täyttää 8.8 lausekkeen mukaiset velvoitteensa. Tietojen tuojan on varmistettava, että alihankkijana toimiva henkilötietojen käsittelijä noudattaa velvoitteita, joita tietojen tuojaan näiden lausekkeiden nojalla sovelletaan.

c)

Tietojen tuojan on toimitettava tietojen viejän tai rekisterinpitäjän pyynnöstä jäljennös tällaisesta alihankkijan kanssa tehdystä sopimuksesta ja sen mahdollisista myöhemmistä muutoksista. Sikäli kuin se on tarpeen liikesalaisuuksien tai muiden luottamuksellisten tietojen, kuten henkilötietojen, suojaamiseksi, tietojen tuoja voi poistaa osan sopimuksen tekstistä ennen jäljennöksen antamista.

d)

Tietojen tuojalla on edelleen tietojen viejään nähden täysi vastuu siitä, että alihankkijana toimiva henkilötietojen käsittelijä täyttää velvoitteensa tietojen tuojan kanssa tekemänsä sopimuksen nojalla. Tietojen tuojan on ilmoitettava tietojen viejälle, jos alihankkijana toimiva henkilötietojen käsittelijä ei täytä kyseisen sopimuksen mukaisia velvoitteitaan.

e)

Tietojen tuojan on sovittava alihankkijana toimivan henkilötietojen käsittelijän kanssa edunsaajina olevia kolmansia osapuolia koskevasta lausekkeesta, jonka mukaan tietojen viejällä on oikeus irtisanoa alihankkijana toimivan henkilötietojen käsittelijän sopimus ja ohjeistaa tätä poistamaan tai palauttamaan henkilötiedot, jos tietojen tuoja on tosiasiallisesti lakkautettu tai lakannut oikeudellisesti olemasta tai siitä on tullut maksukyvytön.

10 lauseke

Rekisteröityjen oikeudet

MODUULI 1: Siirto rekisterinpitäjältä rekisterinpitäjälle

a)

Tietojen tuojan on, tarvittaessa tietojen viejän avustuksella, käsiteltävä kaikki rekisteröidyltä saamansa tiedustelut ja pyynnöt, jotka koskevat rekisteröidyn henkilötietojen käsittelyä ja näiden lausekkeiden mukaisten oikeuksien käyttämistä, ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa tiedustelun tai pyynnön vastaanottamisesta (10). Tietojen tuojan on toteutettava asianmukaiset toimenpiteet tällaisten tiedustelujen, pyyntöjen ja rekisteröidyn oikeuksien käyttämisen helpottamiseksi. Rekisteröidylle annettavien tietojen on oltava helposti ymmärrettävässä ja helposti saatavilla olevassa muodossa ja ne on esitettävä selkeällä ja yksinkertaisella kielellä.

b)

Tietojen tuojan on rekisteröidyn pyynnöstä maksua veloittamatta

i)

annettava rekisteröidylle vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja, ja jos niitä käsitellään, jäljennös rekisteröityä koskevista tiedoista ja liitteessä I olevat tiedot; jos henkilötietoja on siirretty tai tullaan siirtämään edelleen, toimitettava tiedot vastaanottajista tai vastaanottajaryhmistä (niin, että annettava tieto on merkityksellinen), joille henkilötietoja on edelleen siirretty tai aiotaan edelleen siirtää, tällaisen edelleen siirtämisen tarkoitus ja 8.7 lausekkeessa tarkoitettu siirtämisperuste; ja toimitettava tiedot oikeudesta tehdä 12 lausekkeen c kohdan i alakohdassa tarkoitettu kantelu valvontaviranomaiselle;

ii)

oikaistava rekisteröityä koskevat virheelliset tai puutteelliset tiedot;

iii)

poistettava rekisteröityä koskevat henkilötiedot, jos niitä käsitellään tai on käsitelty näiden, edunsaajina olevien kolmansien osapuolien oikeudet varmistavien lausekkeiden vastaisesti tai jos rekisteröity peruuttaa suostumuksen, johon käsittely perustuu.

c)

Jos tietojen tuoja käsittelee henkilötietoja suoramarkkinointia varten, sen on lopetettava käsittely tällaisiin tarkoituksiin, jos rekisteröity vastustaa sitä.

d)

Tietojen tuoja ei saa pelkästään siirrettyjen henkilötietojen automaattisen käsittelyn perusteella tehdä päätöstä, jäljempänä ’automaattinen päätös’, jolla olisi rekisteröityä koskevia oikeusvaikutuksia tai joka vaikuttaisi rekisteröityyn vastaavalla tavalla merkittävästi, paitsi jos rekisteröity on antanut nimenomaisen suostumuksensa tai jos se on määrämaan lainsäädännön nojalla sallittua, edellyttäen että kyseisessä lainsäädännössä vahvistetaan asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja oikeutettujen etujen suojaamiseksi. Tällöin tietojen tuojan on tarvittaessa yhteistyössä tietojen viejän kanssa

i)

ilmoitettava rekisteröidylle suunnitellusta automaattisesta päätöksestä, sen mahdollisista seurauksista ja asiaan liittyvästä logiikasta; ja

ii)

toteutettava asianmukaiset suojatoimet vähintäänkin antamalla rekisteröidylle mahdollisuus riitauttaa automaattinen päätös, esittää kantansa ja vaatia ihmisen tekemää uudelleentarkastelua.

e)

Jos rekisteröidyn pyynnöt ovat kohtuuttomia, erityisesti siitä syystä, että niitä esitetään toistuvasti, tietojen tuoja voi joko periä niistä pyynnön täyttämisestä aiheutuvat hallinnolliset kustannukset huomioon ottaen kohtuullisen maksun tai kieltäytyä täyttämästä pyyntöä.

f)

Tietojen tuoja voi evätä rekisteröidyn pyynnön, jos se on sallittua määrämaan lainsäädännön nojalla sekä tarpeen ja oikeasuhteista demokraattisessa yhteiskunnassa jonkin asetuksen (EU) 2016/679 23 artiklan 1 kohdassa luetellun tavoitteen turvaamiseksi.

g)

Jos tietojen tuoja aikoo evätä rekisteröidyn pyynnön, sen on ilmoitettava rekisteröidylle epäämisen syyt ja kerrottava mahdollisuudesta tehdä kantelu valvontaviranomaiselle ja/tai käyttää muita oikeussuojakeinoja.

MODUULI 2: Siirto rekisterinpitäjältä käsittelijälle

a)

Tietojen tuojan on nopeasti ilmoitettava tietojen viejälle rekisteröidyltä saamastaan pyynnöstä. Tietojen tuoja ei saa itse vastata tähän pyyntöön, paitsi jos tietojen viejä on antanut siihen luvan.

b)

Tietojen tuojan on autettava tietojen viejää täyttämään velvollisuutensa vastata rekisteröityjen pyyntöihin, jotka koskevat rekisteröityjen oikeuksien käyttämistä asetuksen (EU) 2016/679 nojalla. Tältä osin osapuolten on liitteessä II vahvistettava asianmukaiset tekniset ja organisatoriset toimenpiteet ottaen huomioon, millaista se käsittely, jonka avulla apua annetaan, on luonteeltaan, sekä tarvittavan avun soveltamisala ja laajuus.

c)

Täyttäessään a ja b kohdassa tarkoitettuja velvoitteitaan tietojen tuojan on noudatettava tietojen viejän antamia ohjeita.

MODUULI 3: Siirto käsittelijältä käsittelijälle

a)

Tietojen tuojan on nopeasti ilmoitettava tietojen viejälle ja tarvittaessa rekisterinpitäjälle rekisteröidyltä saamastaan pyynnöstä. Se ei saa vastata tähän pyyntöön, paitsi jos rekisterinpitäjä on antanut siihen luvan.

b)

Tietojen tuojan on tarvittaessa yhteistyössä tietojen viejän kanssa autettava rekisterinpitäjää täyttämään velvollisuutensa vastata rekisteröityjen pyyntöihin, jotka koskevat rekisteröityjen oikeuksien käyttämistä asetuksen (EU) 2016/679 tai asetuksen (EU) 2018/1725 nojalla. Tältä osin osapuolten on liitteessä II vahvistettava asianmukaiset tekniset ja organisatoriset toimenpiteet ottaen huomioon, millaista se käsittely, jonka avulla apua annetaan, on luonteeltaan, sekä tarvittavan avun soveltamisala ja laajuus.

c)

Täyttäessään a ja b kohdassa tarkoitettuja velvoitteitaan tietojen tuojan on noudatettava rekisterinpitäjän antamia ohjeita, jotka tietojen viejä on toimittanut.

MODUULI 4: Siirto käsittelijältä rekisterinpitäjälle.

Osapuolten on autettava toisiaan vastaamaan rekisteröityjen tiedusteluihin ja pyyntöihin tietojen tuojaan sovellettavaa paikallista lainsäädäntöä tai, jos on kyse henkilötietojen käsittelystä EU:ssa, asetusta (EU) 2016/679 noudattaen.

11 lauseke

Oikeussuojakeinot

a)

Tietojen tuojan on ilmoitettava rekisteröidyille selkeässä ja helposti saatavilla olevassa muodossa, yksilöllisellä ilmoituksella tai verkkosivustollaan, yhteyspisteestä, jolla on valtuudet käsitellä kanteluja. Sen on käsiteltävä rekisteröidyiltä saamansa kantelut nopeasti.

[VAIHTOEHTO: Tietojen tuoja hyväksyy sen, että rekisteröidyt voivat tehdä kantelun myös riippumattomalle riidanratkaisuelimelle (11) ilman rekisteröidylle aiheutuvia kustannuksia. Sen on ilmoitettava rekisteröidyille a kohdassa säädetyllä tavalla tällaisesta oikeussuojamekanismista ja siitä, että rekisteröityjen ei ole pakko käyttää sitä tai noudattaa oikeussuojakeinojen käytössä tiettyä järjestystä.]

MODUULI 1: Siirto rekisterinpitäjältä rekisterinpitäjälle

MODUULI 2: Siirto rekisterinpitäjältä käsittelijälle

MODUULI 3: Siirto käsittelijältä käsittelijälle

b)

Jos rekisteröidyn ja osapuolen välillä syntyy riita näiden lausekkeiden noudattamisesta, osapuolen on parhaansa mukaan pyrittävä ratkaisemaan asia sopimalla ja hyvissä ajoin. Osapuolten on ilmoitettava toisilleen tällaisista riidoista ja tehtävä tarvittaessa yhteistyötä niiden ratkaisemiseksi.

c)

Jos rekisteröity vetoaa 3 lausekkeen nojalla edunsaajana olevan kolmannen osapuolen oikeuteen, tietojen tuojan on hyväksyttävä rekisteröidyn päätös

i)

tehdä kantelu valvontaviranomaiselle siinä jäsenvaltiossa, jossa rekisteröidyn vakinainen asuinpaikka tai työpaikka on, tai valvontaviranomaiselle, joka on toimivaltainen 13 lausekkeen nojalla;

ii)

siirtää riita-asia 18 lausekkeessa tarkoitettujen toimivaltaisten tuomioistuinten ratkaistavaksi.

d)

Osapuolet hyväksyvät, että rekisteröityä voi edustaa voittoa tavoittelematon elin, järjestö tai yhdistys asetuksen (EU) 2016/679 80 artiklan 1 kohdassa säädetyin edellytyksin.

e)

Tietojen tuojan on noudatettava päätöstä, joka on sovellettavan EU:n tai jäsenvaltion lainsäädännön nojalla sitova.

f)

Tietojen tuoja hyväksyy sen, että rekisteröidyn tekemä valinta ei vaikuta rekisteröidyn aineellisiin ja menettelyllisiin oikeuksiin käyttää sovellettavan lainsäädännön mukaisia oikeussuojakeinoja.

12 lauseke

Vastuu vahingoista

MODUULI 1: Siirto rekisterinpitäjältä rekisterinpitäjälle

MODUULI 4: Siirto käsittelijältä rekisterinpitäjälle.

a)

Kukin osapuoli on vastuussa toiselle osapuolelle tai toisille osapuolille vahingoista, joita se aiheuttaa toiselle osapuolelle tai toisille osapuolille rikkomalla näitä lausekkeita.

b)

Kukin osapuoli on vastuussa rekisteröidylle, ja rekisteröidyllä on oikeus saada korvausta kaikista aineellisista tai aineettomista vahingoista, joita osapuoli aiheuttaa rekisteröidylle rikkomalla näiden lausekkeiden mukaisia edunsaajana olevan kolmannen osapuolen oikeuksia. Tämä ei rajoita tietojen viejälle asetuksen (EU) 2016/679 nojalla kuuluvaa vastuuta.

c)

Jos useampi kuin yksi osapuoli aiheuttaa rekisteröidylle näitä lausekkeita rikkomalla vahinkoa, kaikki vahinkoa aiheuttaneet osapuolet ovat yhteisvastuussa, ja rekisteröidyllä on oikeus nostaa kanne mitä tahansa näistä osapuolista vastaan.

d)

Osapuolet sopivat, että jos yksi osapuoli vedetään c kohdan nojalla vastuuseen, sillä on oikeus vaatia toista osapuolta tai toisia osapuolia maksamaan takaisin se osa korvauksesta, joka vastaa sen/niiden vastuuta vahingosta.

e)

Tietojen tuoja ei voi vedota henkilötietojen käsittelijän tai alihankkijana toimivan henkilötietojen käsittelijän toimintaan oman vastuunsa välttämiseksi.

MODUULI 2: Siirto rekisterinpitäjältä käsittelijälle

MODUULI 3: Siirto käsittelijältä käsittelijälle

a)

Kukin osapuoli on vastuussa toiselle osapuolelle tai toisille osapuolille vahingoista, joita se aiheuttaa toiselle osapuolelle tai toisille osapuolille rikkomalla näitä lausekkeita.

b)

Tietojen tuoja on vastuussa rekisteröidylle, ja rekisteröidyllä on oikeus saada korvausta kaikista aineellisista tai aineettomista vahingoista, joita tietojen tuoja tai sen alihankkijana toimiva henkilötietojen käsittelijä aiheuttaa rekisteröidylle rikkomalla näiden lausekkeiden mukaisia edunsaajana olevan kolmannen osapuolen oikeuksia.

c)

Tietojen viejä on vastuussa rekisteröidylle, ja rekisteröidyllä on oikeus saada korvausta kaikista aineellisista tai aineettomista vahingoista, joita tietojen viejä tai tietojen tuoja (tai sen alihankkijana toimiva henkilötietojen käsittelijä) aiheuttaa rekisteröidylle rikkomalla näiden lausekkeiden mukaisia edunsaajana olevan kolmannen osapuolen oikeuksia, sanotun kuitenkaan rajoittamatta b kohdan soveltamista. Tämä ei rajoita tietojen viejälle ja, jos tietojen viejä on rekisterinpitäjän puolesta toimiva henkilötietojen käsittelijä, rekisterinpitäjälle asetuksen (EU) 2016/679 tai asetuksen (EU) 2018/1725 nojalla kuuluvaa vastuuta.

d)

Osapuolet sopivat, että jos tietojen viejä vedetään c kohdan nojalla vastuuseen tietojen tuojan (tai sen alihankkijana toimivan henkilötietojen käsittelijän) aiheuttamista vahingoista, sillä on oikeus vaatia tietojen tuojaa maksamaan takaisin se osa korvauksesta, joka vastaa tietojen tuojan vastuuta vahingosta.

e)

Jos useampi kuin yksi osapuoli aiheuttaa rekisteröidylle näitä lausekkeita rikkomalla vahinkoa, kaikki vahinkoa aiheuttaneet osapuolet ovat yhteisvastuussa, ja rekisteröidyllä on oikeus nostaa kanne mitä tahansa näistä osapuolista vastaan.

f)

Osapuolet sopivat, että jos yksi osapuoli vedetään e kohdan nojalla vastuuseen, sillä on oikeus vaatia toista osapuolta tai toisia osapuolia maksamaan takaisin se osa korvauksesta, joka vastaa sen/niiden vastuuta vahingosta.

g)

Tietojen tuoja ei voi vedota alihankkijana toimivan henkilötietojen käsittelijän toimintaan oman vastuunsa välttämiseksi.

13 lauseke

Valvonta

MODUULI 1: Siirto rekisterinpitäjältä rekisterinpitäjälle

MODUULI 2: Siirto rekisterinpitäjältä käsittelijälle

MODUULI 3: Siirto käsittelijältä käsittelijälle

a)

[Jos tietojen viejä on sijoittautunut EU:n jäsenvaltioon:] Toimivaltainen valvontaviranomainen on liitteessä I.C mainittu valvontaviranomainen, jonka tehtävänä on varmistaa, että tietojen viejä noudattaa asetusta (EU) 2016/679 tietojen siirtämisessä.

[Jos tietojen viejä ei ole sijoittautunut EU:n jäsenvaltioon mutta se kuuluu asetuksen (EU) 2016/679 alueelliseen soveltamisalaan asetuksen 3 artiklan 2 kohdan nojalla ja se on nimennyt edustajan asetuksen (EU) 2016/679 27 artiklan 1 kohdan nojalla:] Toimivaltainen valvontaviranomainen on liitteessä I.C mainittu sen jäsenvaltion valvontaviranomainen, johon asetuksen (EU) 2016/679 27 artiklan 1 kohdassa tarkoitettu edustaja on sijoittautunut.

[Jos tietojen viejä ei ole sijoittautunut EU:n jäsenvaltioon mutta se kuuluu asetuksen (EU) 2016/679 alueelliseen soveltamisalaan asetuksen 3 artiklan 2 kohdan nojalla ilman, että sen pitäisi nimetä edustaja asetuksen (EU) 2016/679 27 artiklan 2 kohdan nojalla:] Toimivaltainen valvontaviranomainen on liitteessä I.C mainittu jonkin sellaisen jäsenvaltion valvontaviranomainen, jossa rekisteröidyt, joiden henkilötietoja siirretään näiden lausekkeiden nojalla tavaroiden tai palvelujen tarjoamisen yhteydessä tai joiden toimintaa seurataan, ovat.

b)

Tietojen tuoja hyväksyy toimivaltaisen valvontaviranomaisen lainkäyttövallan ja tekee sen kanssa yhteistyötä kaikissa menettelyissä, joilla pyritään varmistamaan näiden lausekkeiden noudattaminen. Tietojen tuoja lupaa vastata tiedusteluihin, hyväksyä auditointeja ja noudattaa valvontaviranomaisen hyväksymiä toimenpiteitä, korjaavat ja korvaavat toimenpiteet mukaan lukien. Sen on annettava valvontaviranomaiselle kirjallinen vahvistus siitä, että tarvittavat toimet on toteutettu.

III JAKSO – PAIKALLISET LAIT JA VELVOITTEET, JOS VIRANOMAISILLA ON PÄÄSY TIETOIHIN

14 lauseke

Lausekkeiden noudattamiseen vaikuttavat paikalliset lait ja käytännöt

MODUULI 1: Siirto rekisterinpitäjältä rekisterinpitäjälle

MODUULI 2: Siirto rekisterinpitäjältä käsittelijälle

MODUULI 3: Siirto käsittelijältä käsittelijälle

MODUULI 4: Siirto käsittelijältä rekisterinpitäjälle (jos EU:n henkilötietojen käsittelijä yhdistää kolmannen maan rekisterinpitäjältä saamansa henkilötiedot EU:ssa olevan henkilötietojen käsittelijän keräämiin henkilötietoihin)

a)

Osapuolet vakuuttavat, ettei niillä ole syytä uskoa, että määrämaana olevan kolmannen maan lainsäädäntö ja käytännöt, joita sovelletaan tietojen tuojan suorittamaan henkilötietojen käsittelyyn, mukaan lukien henkilötietojen luovuttamista koskevat vaatimukset tai viranomaisten pääsyn sallivat toimenpiteet, estäisivät tietojen tuojaa täyttämästä näiden lausekkeiden mukaisia velvoitteitaan. Tämä perustuu siihen käsitykseen, että sellaiset lait ja käytännöt, joissa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia eikä ylitetä sitä, mikä on demokraattisessa yhteiskunnassa välttämätöntä ja oikeasuhteista jonkin asetuksen (EU) 2016/679 23 artiklan 1 kohdassa mainitun tavoitteen turvaamiseksi, eivät ole ristiriidassa vakiosopimuslausekkeiden kanssa.

b)

Osapuolet ilmoittavat ottaneensa a kohdassa tarkoitettua vakuutusta antaessaan asianmukaisesti huomioon erityisesti seuraavat seikat:

i)

siirron erityisolosuhteet, mukaan lukien käsittelyketjun pituus, mukana olevien toimijoiden määrä ja käytetyt siirtokanavat; suunnitellut edelleen siirtämiset; vastaanottajatyyppi; käsittelyn tarkoitus; siirrettävien henkilötietojen luokat ja muoto; toimiala, jolla siirto tapahtuu; siirrettävien tietojen säilytyspaikka;

ii)

määrämaana olevan kolmannen maan lait ja käytännöt, joilla on merkitystä siirron erityisolosuhteet huomioon ottaen – mukaan lukien lait ja käytännöt, joissa edellytetään tietojen luovuttamista viranomaisille tai annetaan niille pääsy tietoihin – sekä sovellettavat rajoitukset ja suojatoimet (12);

iii)

asiaankuuluvat sopimusperusteiset, tekniset tai organisatoriset suojatoimet, jotka on otettu käyttöön näiden lausekkeiden mukaisten suojatoimien täydentämiseksi, mukaan lukien toimenpiteet, joita sovelletaan henkilötietojen siirron aikana ja niitä käsiteltäessä määrämaassa.

c)

Tietojen tuoja vakuuttaa, että suorittaessaan b kohdassa tarkoitettua arviointia se on parhaansa mukaan pyrkinyt toimittamaan tietojen viejälle asiaankuuluvat tiedot, ja lupaa jatkaa yhteistyötä tietojen viejän kanssa varmistaakseen, että näitä lausekkeita noudatetaan.

d)

Osapuolet lupaavat dokumentoida b kohdassa tarkoitetun arvioinnin ja asettaa sen toimivaltaisen valvontaviranomaisen saataville tämän pyynnöstä.

e)

Tietojen tuoja lupaa ilmoittaa tietojen viejälle nopeasti koko sopimuksen voimassaolon ajan, jos sillä on sen jälkeen, kun se on sopinut näistä lausekkeista, syytä uskoa, että siihen sovelletaan tai on alettu soveltaa lakeja tai käytäntöjä, jotka eivät ole a kohdan vaatimusten mukaisia, esimerkiksi kolmannen maan lainsäädännön muututtua tai sellaisen toimenpiteen (kuten henkilötietojen luovutuspyynnön) seurauksena, joka osoittaa, että lainsäädännön käytännön soveltaminen ei ole a kohdan vaatimusten mukaista. [Moduulissa 3: Tietojen viejän on toimitettava ilmoitus rekisterinpitäjälle.]

f)

Edellä e kohdassa tarkoitetun ilmoituksen jälkeen tai jos tietojen viejällä muutoin on syytä uskoa, että tietojen tuoja ei voi enää täyttää näiden lausekkeiden mukaisia velvoitteitaan, tietojen viejän on nopeasti yksilöitävä asianmukaiset toimenpiteet (kuten tekniset tai organisatoriset toimenpiteet turvallisuuden ja luottamuksellisuuden varmistamiseksi), joita tietojen viejän ja/tai tietojen tuojan on toteutettava tilanteen korjaamiseksi [Moduulissa 3:, tarvittaessa rekisterinpitäjää kuullen]. Tietojen viejän on keskeytettävä tietojen siirtäminen, jos se katsoo, että siirtoa koskevia asianmukaisia suojatoimia ei voida varmistaa, tai jos [Moduulissa 3: rekisterinpitäjä tai] toimivaltainen valvontaviranomainen näin ohjeistaa. Tällöin tietojen viejällä on oikeus irtisanoa sopimus siltä osin kuin se koskee näiden lausekkeiden mukaista henkilötietojen käsittelyä. Jos sopimuksen osapuolia on useampi kuin kaksi, tietojen viejä voi käyttää tätä oikeutta irtisanomiseen ainoastaan asianomaisen osapuolen osalta, elleivät osapuolet ole toisin sopineet. Kun sopimus irtisanotaan tämän lausekkeen nojalla, sovelletaan 16 artiklan d ja e kohtaa.

15 lauseke

Tietojen tuojan velvollisuudet, jos viranomaisilla on pääsy tietoihin

MODUULI 1: Siirto rekisterinpitäjältä rekisterinpitäjälle

MODUULI 2: Siirto rekisterinpitäjältä käsittelijälle

MODUULI 3: Siirto käsittelijältä käsittelijälle

MODUULI 4: Siirto käsittelijältä rekisterinpitäjälle (jos EU:n henkilötietojen käsittelijä yhdistää kolmannen maan rekisterinpitäjältä saamansa henkilötiedot EU:ssa olevan henkilötietojen käsittelijän keräämiin henkilötietoihin)

15.1   Ilmoittaminen

a)

Tietojen tuoja lupaa nopeasti ilmoittaa tietojen viejälle ja mahdollisuuksien mukaan rekisteröidylle (tarvittaessa tietojen viejän avulla), jos se

i)

vastaanottaa määrämaan lainsäädännön mukaisesti viranomaiselta, oikeusviranomaiset mukaan lukien, oikeudellisesti sitovan pyynnön luovuttaa näitä lausekkeita noudattaen siirrettyjä henkilötietoja; ilmoituksessa on oltava tiedot pyydetyistä henkilötiedoista, pyynnön esittävästä viranomaisesta, pyynnön oikeusperustasta ja annetusta vastauksesta; tai

ii)

saa tiedon viranomaisten suorasta pääsystä näitä lausekkeita noudattaen siirrettyihin henkilötietoihin määrämaan lainsäädännön nojalla; ilmoituksessa on oltava kaikki tietojen tuojan saatavilla olevat tiedot.

[Moduulissa 3: Tietojen viejän on toimitettava ilmoitus rekisterinpitäjälle.]

b)

Jos tietojen tuojaa määrämaan lainsäädännön nojalla kielletään ilmoittamasta asiasta tietojen viejälle ja/tai rekisteröidylle, tietojen tuoja lupaa tehdä parhaansa saadakseen vapautuksen kiellosta voidakseen toimittaa mahdollisimman paljon tietoa mahdollisimman pian. Tietojen tuoja lupaa dokumentoida toteuttamansa toimet voidakseen tietojen viejän pyynnöstä osoittaa ne.

c)

Jos se on sallittua määrämaan lainsäädännön nojalla, tietojen tuoja lupaa toimittaa tietojen viejälle säännöllisin väliajoin sopimuksen voimassaolon ajan mahdollisimman paljon merkityksellisiä tietoja vastaanotetuista pyynnöistä (erityisesti pyyntöjen määrä, pyydettyjen tietojen tyyppi, pyyntöjä esittäneet viranomaiset, tietopyyntöjen mahdollinen riitauttaminen ja sen tulokset jne.). [Moduulissa 3: Tietojen viejän on toimitettava tiedot rekisterinpitäjälle.]

d)

Tietojen tuoja lupaa säilyttää a–c kohdassa tarkoitetut tiedot sopimuksen voimassaolon ajan ja asettaa ne pyynnöstä toimivaltaisen valvontaviranomaisen saataville.

e)

Edellä olevat a–c kohta eivät rajoita 14 lausekkeen e kohdan ja 16 lausekkeen mukaista tietojen tuojan velvollisuutta ilmoittaa nopeasti tietojen viejälle, jos se ei pysty noudattamaan näitä lausekkeita.

15.2   Laillisuuden tarkastelu ja tietojen minimointi

a)

Tietojen tuoja lupaa tutkia tietojen luovuttamista koskevan pyynnön laillisuuden ja erityisesti sen, pysyykö se pyynnön esittäneen viranomaisen toimivallan rajoissa, ja riitauttaa pyynnön, jos se huolellisen arvioinnin jälkeen toteaa, että on perusteltua katsoa, että pyyntö on määrämaan lainsäädännön, sovellettavien kansainvälisen oikeuden mukaisten velvoitteiden ja kansainvälisen kohteliaisuuden periaatteiden nojalla laiton. Tietojen tuojan on samoin edellytyksin käytettävä muutoksenhakukeinoja. Riitauttaessaan pyynnön tietojen tuojan on pyydettävä välitoimia pyynnön vaikutusten lykkäämiseksi siihen saakka, kunnes toimivaltainen oikeusviranomainen on ratkaissut asiakysymyksen. Se ei saa luovuttaa pyydettyjä henkilötietoja ennen kuin sovellettavien menettelysääntöjen nojalla niin vaaditaan. Nämä vaatimukset eivät rajoita 14 lausekkeen e kohdan mukaisia tietojen tuojan velvoitteita.

b)

Tietojen tuoja lupaa dokumentoida oikeudellisen arviointinsa ja tietojen luovuttamista koskevan pyynnön mahdollisen riitauttamisen sekä asettaa dokumentaation tietojen viejän saataville määrämaan lainsäädännön sallimissa rajoissa. Sen on pyynnöstä asetettava dokumentaatio myös toimivaltaisen valvontaviranomaisen saataville. [Moduulissa 3: Tietojen viejän on asetettava arviointi rekisterinpitäjän saataville.]

c)

Tietojen tuoja lupaa vastatessaan tietojen luovuttamista koskevaan pyyntöön toimittaa kohtuullisen tulkinnan perusteella vähimmäismäärän sallittuja tietoja.

IV JAKSO – LOPPUMÄÄRÄYKSET

16 lauseke

Lausekkeiden noudattamatta jättäminen ja irtisanominen

a)

Tietojen tuojan on nopeasti ilmoitettava tietojen viejälle, jos se ei jostain syystä pysty noudattamaan näitä lausekkeita.

b)

Jos tietojen tuoja rikkoo lausekkeita tai ei pysty noudattamaan niitä, tietojen viejän on keskeytettävä henkilötietojen siirtäminen tietojen tuojalle, kunnes noudattaminen jälleen varmistetaan, tai sopimus irtisanotaan. Tämä ei rajoita 14 lausekkeen f kohdan soveltamista.

c)

Tietojen viejällä on oikeus irtisanoa sopimus siltä osin kuin se koskee näiden lausekkeiden mukaista henkilötietojen käsittelyä, jos

i)

tietojen viejä on b kohdan nojalla keskeyttänyt henkilötietojen siirtämisen tietojen tuojalle eikä näitä lausekkeita ole alettu noudattaa uudelleen kohtuullisen ajan kuluessa ja joka tapauksessa kuukauden kuluessa tietojen siirtämisen keskeyttämisestä;

ii)

tietojen tuoja rikkoo näitä lausekkeita merkittävästi tai jatkuvasti; tai

iii)

tietojen tuoja ei noudata toimivaltaisen tuomioistuimen tai valvontaviranomaisen sitovaa päätöstä, joka koskee sen näiden lausekkeiden mukaisia velvoitteita.

Tällöin sen on ilmoitettava noudattamatta jättämisestä toimivaltaiselle valvontaviranomaiselle [Moduulissa 3: ja rekisterinpitäjälle]. Jos sopimuksen osapuolia on useampi kuin kaksi, tietojen viejä voi käyttää tätä oikeutta irtisanomiseen ainoastaan asianomaisen osapuolen osalta, elleivät osapuolet ole toisin sopineet.

d)

[Moduuleissa 1, 2 ja 3: Henkilötiedot, jotka on siirretty, ennen kuin sopimus c kohdan nojalla irtisanotaan, on tietojen viejän valinnan mukaan joko välittömästi palautettava tietojen viejälle tai tuhottava kokonaan. Sama koskee tietojen jäljennöksiä.] [Moduulissa 4: Henkilötiedot, jotka tietojen viejä on kerännyt EU:ssa ennen kuin sopimus c kohdan nojalla irtisanotaan, ja niiden kopiot on välittömästi poistettava kokonaan.] Tietojen tuojan on todistettava tietojen poistaminen tietojen viejälle. Tietojen tuojan on varmistettava, että näitä lausekkeita noudatetaan, kunnes tiedot poistetaan tai palautetaan. Jos tietojen tuojaan sovelletaan paikallista lainsäädäntöä, jossa kielletään siirrettyjen henkilötietojen palauttaminen tai poistaminen, tietojen tuoja vakuuttaa varmistavansa edelleen näiden lausekkeiden noudattamisen ja käsittelevänsä tietoja vain siinä määrin ja niin kauan, kuin kyseisessä paikallisessa lainsäädännössä edellytetään.

e)

Kumpikin osapuoli voi peruuttaa hyväksyntänsä sille, että nämä lausekkeet sitovat sitä, jos i) Euroopan komissio tekee asetuksen (EU) 2016/679 45 artiklan 3 kohdan nojalla päätöksen, joka koskee sellaisten henkilötietojen siirtoa, joihin näitä lausekkeita sovelletaan; tai ii) asetuksesta (EU) 2016/679 tulee osa sen maan oikeudellista kehystä, johon henkilötiedot siirretään. Tämä ei rajoita muita kyseiseen henkilötietojen käsittelyyn asetuksen (EU) 2016/679 nojalla sovellettavia velvoitteita.

17 lauseke

Sovellettava lainsäädäntö

MODUULI 1: Siirto rekisterinpitäjältä rekisterinpitäjälle

MODUULI 2: Siirto rekisterinpitäjältä käsittelijälle

MODUULI 3: Siirto käsittelijältä käsittelijälle

[VAIHTOEHTO 1: Näihin lausekkeisiin sovelletaan jonkin EU:n jäsenvaltion lainsäädäntöä edellyttäen, että kyseisessä lainsäädännössä sallitaan edunsaajana olevan kolmannen osapuolen oikeudet. Osapuolet sopivat, että tämä on ___:n (ilmoitetaan jäsenvaltio) lainsäädäntö.]

[VAIHTOEHTO 2 (moduuleissa 2 ja 3): Näihin lausekkeisiin sovelletaan sen EU:n jäsenvaltion lainsäädäntöä, johon tietojen viejä on sijoittautunut. Jos kyseisessä lainsäädännössä ei sallita edunsaajana olevan kolmannen osapuolen oikeuksia, lausekkeisiin sovelletaan jonkin toisen EU:n jäsenvaltion lainsäädäntöä, jossa sallitaan edunsaajana olevan kolmannen osapuolen oikeudet. Osapuolet sopivat, että tämä on ___:n (ilmoitetaan jäsenvaltio) lainsäädäntö.]

MODUULI 4: Siirto käsittelijältä rekisterinpitäjälle

Näihin lausekkeisiin sovelletaan sellaisen maan lainsäädäntöä, joka sallii edunsaajana olevan kolmannen osapuolen oikeudet. Osapuolet sopivat, että tämä on ___:n (ilmoitetaan maa) lainsäädäntö.

18 lauseke

Oikeuspaikan ja tuomioistuimen valinta

MODUULI 1: Siirto rekisterinpitäjältä rekisterinpitäjälle

MODUULI 2: Siirto rekisterinpitäjältä käsittelijälle

MODUULI 3: Siirto käsittelijältä käsittelijälle

a)

Näistä lausekkeista johtuvat riidat ratkaistaan EU:n jäsenvaltion tuomioistuimissa.

b)

Osapuolet sopivat, että käytetään ___:n (ilmoitetaan jäsenvaltio) tuomioistuimia.]

c)

Myös rekisteröity voi nostaa kanteen tietojen viejää ja/tai tietojen tuojaa vastaan sen jäsenvaltion tuomioistuimissa, jossa hänen asuinpaikkansa on.

d)

Osapuolet sopivat olevansa tällaisten tuomioistuinten toimivallan alaisia.

MODUULI 4: Siirto käsittelijältä rekisterinpitäjälle

 

Näistä lausekkeista johtuvat riidat ratkaistaan _____:n (ilmoitetaan maa) tuomioistuimissa.


(1)  Jos tietojen viejä on unionin toimielimen tai elimen puolesta rekisterinpitäjänä toimiva henkilötietojen käsittelijä, johon sovelletaan asetusta (EU) 2016/679, näihin lausekkeisiin turvautumalla varmistetaan myös luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta 23 päivänä lokakuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (EUVL L 295, 21.11.2018, s. 39) 29 artiklan 4 kohdan noudattaminen silloin, kun käytetään toista henkilötietojen käsittelijää (alihankintana suoritettava tietojen käsittely), johon ei sovelleta asetusta (EU) 2016/679, sikäli kuin nämä lausekkeet ja asetuksen (EU) 2018/1725 29 artiklan 3 kohdassa tarkoitetussa rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa tai muussa oikeudellisessa asiakirjassa asetetut tietosuojavelvoitteet ovat toisiaan vastaavia. Näin on erityisesti tilanteessa, jossa rekisterinpitäjä ja henkilötietojen käsittelijä käyttävät päätökseen 2021/915 sisältyviä vakiosopimuslausekkeita.

(2)  Tämä edellyttää asetuksen (EU) 2016/679 johdanto-osan 26 kappaleessa tarkoitettua tietojen anonymisointia siten, että kukaan ei enää voi tunnistaa kyseistä henkilöä. Prosessin on oltava peruuttamaton.

(3)  Euroopan talousalueesta tehdyn sopimuksen (ETA-sopimus) mukaan Euroopan unionin sisämarkkinat ulottuvat kolmeen ETA-valtioon (Islanti, Liechtenstein ja Norja). Tietosuojaa koskeva unionin lainsäädäntö, mukaan lukien asetus (EU) 2016/679, kuuluu ETA-sopimuksen soveltamisalaan ja on sisällytetty sen liitteeseen XI. Näin ollen, jos tietojen tuoja luovuttaa tietoja Euroopan talousalueella olevalle kolmannelle osapuolelle, sitä ei voida pitää näissä lausekkeissa tarkoitettuna edelleen siirtämisenä.

(4)  Euroopan talousalueesta tehdyn sopimuksen (ETA-sopimus) mukaan Euroopan unionin sisämarkkinat ulottuvat kolmeen ETA-valtioon (Islanti, Liechtenstein ja Norja). Tietosuojaa koskeva unionin lainsäädäntö, mukaan lukien asetus (EU) 2016/679, kuuluu ETA-sopimuksen soveltamisalaan ja on sisällytetty sen liitteeseen XI. Näin ollen, jos tietojen tuoja luovuttaa tietoja Euroopan talousalueella olevalle kolmannelle osapuolelle, sitä ei voida pitää näissä lausekkeissa tarkoitettuna edelleen siirtämisenä.

(5)  Ks. asetuksen (EU) 2016/679 28 artiklan 4 kohta ja, jos rekisterinpitäjä on EU:n toimielin tai elin, asetuksen (EU) 2018/1725 29 artiklan 4 kohta.

(6)  Euroopan talousalueesta tehdyn sopimuksen (ETA-sopimus) mukaan Euroopan unionin sisämarkkinat ulottuvat kolmeen ETA-valtioon (Islanti, Liechtenstein ja Norja). Tietosuojaa koskeva unionin lainsäädäntö, mukaan lukien asetus (EU) 2016/679, kuuluu ETA-sopimuksen soveltamisalaan ja on sisällytetty sen liitteeseen XI. Näin ollen, jos tietojen tuoja luovuttaa tietoja Euroopan talousalueella olevalle kolmannelle osapuolelle, sitä ei voida pitää näissä lausekkeissa tarkoitettuna edelleen siirtämisenä.

(7)  Kyse on siitä, koskevatko siirto ja jatkokäsittely henkilötietoja, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys, geneettistä tietoa, biometristä tietoa henkilön yksiselitteistä tunnistamista varten, terveyttä koskevia tietoja, luonnollisen henkilön seksuaalista käyttäytymistä tai suuntautumista koskevia tietoja taikka rikostuomioihin ja rikoksiin liittyviä tietoja.

(8)  Tämän vaatimuksen voi täyttää siten, että alihankkijana toimiva henkilötietojen käsittelijä liittyy 7 lausekkeen nojalla näihin lausekkeisiin asianmukaisen moduulin mukaisesti.

(9)  Tämän vaatimuksen voi täyttää siten, että alihankkijana toimiva henkilötietojen käsittelijä liittyy 7 lausekkeen nojalla näihin lausekkeisiin asianmukaisen moduulin mukaisesti.

(10)  Määräaikaa voidaan jatkaa enintään kahdella kuukaudella, sikäli kuin se on välttämätöntä ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Tietojen tuojan on asianmukaisesti ja nopeasti ilmoitettava rekisteröidylle määräajan jatkamisesta.

(11)  Tietojen tuoja voi tarjota riippumatonta riitojenratkaisua sovitteluelimen kautta ainoastaan, jos se on sijoittautunut maahan, joka on ratifioinut välitystuomioiden täytäntöönpanosta tehdyn New Yorkin yleissopimuksen.

(12)  Tällaisten lakien ja käytäntöjen vaikutuksista näiden lausekkeiden noudattamiseen voidaan todeta, että kokonaisarvioinnissa voidaan ottaa huomioon erilaisia osatekijöitä. Tällaisia voivat olla relevantti ja dokumentoitu käytännön kokemus riittävän edustavalta ajalta aiemmista tapauksista, joissa viranomaiset ovat pyytäneet luovuttamaan tietoja, tai siitä, että tällaisia pyyntöjä ei ole ollut. Tässä on kyse erityisesti asianmukaista huolellisuutta koskevien menettelyjen mukaisesti jatkuvalla periaatteella laadittavista, ylemmän johdon tasolla varmennetuista sisäisistä rekistereistä tai muusta dokumentaatiosta, edellyttäen, että niiden tiedot voidaan laillisesti jakaa kolmansien osapuolten kanssa. Jos päätelmä tämän käytännön kokemuksen perusteella on, että tietojen tuojaa ei estetä noudattamasta näitä lausekkeita, päätelmän tukena olisi oltava myös muita asiaankuuluvia objektiivisia tekijöitä. Osapuolten on harkittava huolellisesti, ovatko nämä tekijät yhdessä luotettavuudeltaan ja edustavuudeltaan riittävän painavia tukemaan tätä päätelmää. Osapuolten on erityisesti otettava huomioon, saako niiden käytännön kokemus vahvistusta julkisesti tai muuten saatavilla olevasta luotettavasta tiedosta, joka koskee pyyntöjen esittämistä tai niiden puuttumista samalla alalla, ja/tai lainsäädännön käytännön soveltamisesta, kuten oikeuskäytännöstä ja riippumattomien valvontaelinten raporteista.


LISÄYS

SELITTÄVÄ HUOMAUTUS:

On oltava mahdollista erottaa selkeästi kuhunkin siirtoon tai siirtoluokkaan sovellettavat tiedot ja määrittää tältä osin osapuolten rooli(t) tietojen viejinä ja/tai tietojen tuojina. Tämä ei välttämättä edellytä erillisten lisäysten täyttämistä ja allekirjoittamista kunkin siirron/siirtoluokan ja/tai sopimussuhteen osalta, jos tällainen läpinäkyvyys toteutuu yhdellä lisäyksellä. Jos riittävän selkeyden varmistaminen sitä edellyttää, olisi kuitenkin käytettävä erillisiä lisäyksiä.


LIITE I

A.   OSAPUOLTEN LUETTELO

MODUULI 1: Siirto rekisterinpitäjältä rekisterinpitäjälle

MODUULI 2: Siirto rekisterinpitäjältä käsittelijälle

MODUULI 3: Siirto käsittelijältä käsittelijälle

MODUULI 4: Siirto käsittelijältä rekisterinpitäjälle

Tietojen viejä(t): [Tietojen viejän (viejien) ja sen/niiden mahdollisen tietosuojavastaavan ja/tai Euroopan unionissa olevan edustajan henkilöllisyys ja yhteystiedot]

1.

Nimi: …

Osoite: …

Yhteyshenkilön nimi, asema ja yhteystiedot: …

Näitä lausekkeita noudattaen siirrettäviin tietoihin liittyvät toimet: …

Allekirjoitus ja päiväys: …

Rooli (rekisterinpitäjä / henkilötietojen käsittelijä): …

2.

Tietojen tuoja(t): [Tietojen tuojan (tuojien) henkilöllisyys ja yhteystiedot, mukaan lukien mahdolliset tietosuojasta vastaavat yhteyshenkilöt]

1.

Nimi: …

Osoite: …

Yhteyshenkilön nimi, asema ja yhteystiedot: …

Näitä lausekkeita noudattaen siirrettäviin tietoihin liittyvät toimet: …

Allekirjoitus ja päiväys: …

Rooli (rekisterinpitäjä / henkilötietojen käsittelijä): …

2.

B.   SIIRRON KUVAUS

MODUULI 1: Siirto rekisterinpitäjältä rekisterinpitäjälle

MODUULI 2: Siirto rekisterinpitäjältä käsittelijälle

MODUULI 3: Siirto käsittelijältä käsittelijälle

MODUULI 4: Siirto käsittelijältä rekisterinpitäjälle

Rekisteröityjen ryhmät, joiden henkilötietoja siirretään

Siirrettävät henkilötietoryhmät

Siirrettävät arkaluonteiset tiedot (jos sellaisia siirretään) ja tietojen luonteen ja siirtämiseen liittyvät riskit täysimääräisesti huomioon ottavat rajoitukset tai suojatoimet, kuten tiukat käyttötarkoituksen rajoitukset, pääsyrajoitukset (esim. vain erityiskoulutuksen saaneen henkilöstön pääsy tietoihin), pääsyrekisterin pitäminen, edelleen siirtämisen rajoitukset tai ylimääräiset turvallisuustoimet.

Siirron toistuvuus (esim. siirretäänkö tietoja kertaluonteisesti vai jatkuvasti).

Henkilötietojen käsittelyn luonne

Tietojen siirron ja jatkokäsittelyn tarkoitus (tarkoitukset)

Henkilötietojen säilytysaika tai, jos sitä ei ole mahdollista ilmoittaa, säilytysajan määrittämiskriteerit

Kun on kyse siirroista alihankkijana toimiville henkilötietojen käsittelijöille, ilmoitetaan myös käsittelyn aihe, luonne ja kesto.

C.   TOIMIVALTAINEN VALVONTAVIRANOMAINEN

MODUULI 1: Siirto rekisterinpitäjältä rekisterinpitäjälle

MODUULI 2: Siirto rekisterinpitäjältä käsittelijälle

MODUULI 3: Siirto käsittelijältä käsittelijälle

Ilmoitetaan lausekkeessa 13 tarkoitettu toimivaltainen valvontaviranomainen / toimivaltaiset valvontaviranomaiset


LIITE II

TEKNISET JA ORGANISATORISET TOIMENPITEET, MUKAAN LUKIEN TEKNISET JA ORGANISATORISET TOIMENPITEET TIETOTURVAN VARMISTAMISEKSI

MODUULI 1: Siirto rekisterinpitäjältä rekisterinpitäjälle

MODUULI 2: Siirto rekisterinpitäjältä käsittelijälle

MODUULI 3: Siirto käsittelijältä käsittelijälle

SELITTÄVÄ HUOMAUTUS:

Tekniset ja organisatoriset toimenpiteet on kuvattava yksityiskohtaisesti (ei yleisellä tasolla). Ks. myös lisäyksen ensimmäisellä sivulla oleva yleinen huomautus, jossa mainitaan erityisesti, että on tarpeen ilmoittaa selvästi, mitä toimenpiteitä kuhunkin siirtoon/siirtokokonaisuuteen sovelletaan.

Kuvaus tietojen tuojan (tuojien) toteuttamista teknisistä ja organisatorisista toimenpiteistä (mukaan lukien mahdolliset sertifioinnit), joilla varmistetaan asianmukainen turvallisuustaso ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitus sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat riskit.

[Esimerkkejä mahdollisista toimenpiteistä:

Toimenpiteet henkilötietojen pseudonymisoimiseksi ja salaamiseksi

Toimenpiteet, joilla varmistetaan käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus

Toimenpiteet, joilla varmistetaan kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa

Prosessit, joilla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi

Toimenpiteet käyttäjän tunnistamiseksi ja käyttövaltuutuksen antamiseksi

Toimenpiteet tietojen suojaamiseksi siirron aikana

Toimenpiteet tietojen suojaamiseksi säilytyksen aikana

Toimenpiteet henkilötietojen käsittelypaikkojen fyysisen turvallisuuden varmistamiseksi

Toimenpiteet tapahtumien kirjaamisen varmistamiseksi

Toimenpiteet, joilla varmistetaan järjestelmän konfiguraatio, oletuskonfiguraatio mukaan lukien

Toimenpiteet, jotka koskevat sisäistä tietotekniikka- ja tietoturvahallintoa ja johtamista

Toimenpiteet prosessien ja tuotteiden sertifioimiseksi/varmentamiseksi

Toimenpiteet tietojen minimoimiseksi

Toimenpiteet tietojen laadun varmistamiseksi

Toimenpiteet tietojen säilyttämisen rajoittamiseksi

Toimenpiteet vastuuvelvollisuuden varmistamiseksi

Toimenpiteet tietojen siirrettävyyden mahdollistamiseksi ja poistamisen varmistamiseksi]

Jos kyseessä on siirto alihankkijana toimiville henkilötietojen käsittelijöille, kuvaillaan myös tekniset ja organisatoriset toimenpiteet, jotka tämän on toteutettava voidakseen avustaa rekisterinpitäjää ja – jos kyseessä on siirto henkilötietojen käsittelijältä alihankkijana toimivalle henkilötietojen käsittelijälle – voidakseen avustaa rekisterinpitäjää


LIITE III

LUETTELO ALIHANKKIJANA TOIMIVISTA HENKILÖTIETOJEN KÄSITTELIJÖISTÄ

MODUULI 2: Siirto rekisterinpitäjältä käsittelijälle

MODUULI 3: Siirto käsittelijältä käsittelijälle

SELITTÄVÄ HUOMAUTUS:

Tämä liite on täytettävä moduulien 2 ja 3 osalta, kun on kyse alihankkijana toimivien henkilötietojen käsittelijöiden erityisestä ennakkoluvasta (lauseke 9 a, vaihtoehto 1).

Rekisterinpitäjä on antanut luvan käyttää seuraavia alihankkijana toimivia henkilötietojen käsittelijöitä:

1.

Nimi: …

Osoite: …

Yhteyshenkilön nimi, asema ja yhteystiedot: …

Kuvaus henkilötietojen käsittelystä (mukaan lukien selkeä vastuunjako, jos alihankkijana toimivia henkilötietojen käsittelijöitä on useampi): …

2.