7.6.2021   

GA

Iris Oifigiúil an Aontais Eorpaigh

L 199/31


CINNEADH CUR CHUN FEIDHME (AE) 2021/914 ÓN gCOIMISIÚN

an 4 Meitheamh 2021

maidir le clásail chonarthacha chaighdeánacha i ndáil le sonraí pearsanta a aistriú chuig tríú tíortha de bhun Rialachán (AE) 2016/679 ó Pharlaimint na hEorpa agus ón gComhairle

(Téacs atá ábhartha maidir le LEE)

TÁ AN COIMISIÚN EORPACH,

Ag féachaint don Chonradh ar Fheidhmiú an Aontais Eorpaigh,

Ag féachaint do Rialachán (AE) 2016/679 ó Pharlaimint na hEorpa agus ón gComhairle an 27 Aibreán 2016 maidir le daoine nádúrtha a chosaint i ndáil le sonraí pearsanta a phróiseáil agus maidir le saorghluaiseacht sonraí den sórt sin, agus lena n-aisghairtear Treoir 95/46/CE (an Rialachán Ginearálta maidir le Cosaint Sonraí) (1), agus go háirithe Airteagal 28(7) agus Airteagal 46(2)(c) de,

De bharr an mhéid seo a leanas:

(1)

An sreabhadh trasteorann sonraí is gá chun trádáil idirnáisiúnta agus comhar idirnáisiúnta a leathnú amach, tá sé sin á éascú de bharr forbairtí teicneolaíocha. An tráth céanna, is gá a áirithiú nach mbainfear an bonn den leibhéal cosanta do dhaoine nádúrtha a ráthaítear le Rialachán (AE) 2016/679 i gcás ina n-aistrítear sonraí pearsanta chuig tríú tíortha, lena n-áirítear sa chás ina ndéantar aistrithe ar aghaidh (2). Na forálacha maidir le haistriú sonraí i gCaibidil V de Rialachán (AE) 2016/679, ceapadh iad chun a áirithiú go leanfar den ardleibhéal cosanta sin nuair a aistreofar sonraí pearsanta chuig tríú tír (3).

(2)

De bhun Airteagal 46(1) de Rialachán (AE) 2016/679 agus in éagmais cinneadh leordhóthanachta ón gCoimisiún de bhun Airteagal 45(3), ní fhéadfaidh rialaitheoir ná próiseálaí sonraí pearsanta a aistriú chuig tríú tír ach amháin má tá coimircí iomchuí soláthraithe aige agus ar choinníoll go bhfuil cearta in-fhorfheidhmithe agus réitigh éifeachtacha dlí ar fáil d’ábhair sonraí. Féadfar foráil a dhéanamh maidir le coimircí den sórt sin ach an Coimisiún clásail chaighdeánacha a ghlacadh i ndáil le cosaint sonraí de bhun Airteagal 46(2)(c).

(3)

An ról atá ag clásail chonarthacha chaighdeánacha den sórt seo, tá sé teoranta do choimircí iomchuí cosanta sonraí a áirithiú i ndáil le haistrithe idirnáisiúnta sonraí. Dá bhrí sin, an rialaitheoir nó an próiseálaí a aistríonn na sonraí pearsanta chuig tríú tír (“an t-onnmhaireoir sonraí”) agus ag an rialaitheoir nó an próiseálaí a fhaigheann na sonraí pearsanta (“an t-allmhaireoir sonraí”), tá saoirse acu na clásail chonarthacha chaighdeánacha sin a chuimsiú i gconradh níos leithne agus clásail eile nó coimircí breise a chur isteach, ar choinníoll nach dtiocfaidh siad salach, go díreach nó go hindíreach, ar na clásail chonarthacha chaighdeánacha ná nach ndéanfaidh siad dochar do chearta ná do shaoirsí bunúsacha na n-ábhar sonraí. Moltar do rialaitheoirí agus próiseálaithe coimircí breise a chur ar fáil trí bhíthin gealltanais chonarthacha lena ndéanfaí na clásail chonarthacha chaighdeánacha a fhorlíonadh (4). Tá úsáid na gclásal conarthach caighdeánach gan dochar d’aon oibleagáid chonarthach atá ar an onnmhaireoir sonraí agus/nó ar an allmhaireoir sonraí a áirithiú go n-urramófar na pribhléidí agus na díolúintí is infheidhme.

(4)

Mar aon leis na clásail chonarthacha chaighdeánacha a úsáid chun coimircí iomchuí a chur ar fáil le haghaidh aistrithe de bhun Airteagal 46(1) de Rialachán (AE) 2016/679, freagrachtaí ginearálta an onnmhaireora sonraí mar rialaitheoir nó mar phróiseálaí faoi Rialachán (AE) 2016/679, ní mór dó iad a chomhlíonadh. Ar na freagrachtaí sin tá oibleagáid ó thaobh an rialaitheora de faisnéis a chur ar fáil d’ábhair sonraí faoi rún a bheith aige a gcuid sonraí pearsanta a aistriú chuig tríú tír de bhun Airteagal 13(1)(f) agus Airteagal 14(1)(f) de Rialachán (AE) 2016/679. I gcás aistrithe de bhun Airteagal 46 de Rialachán (AE) 2016/679, cuimsítear san fhaisnéis sin tagairt do na coimircí iomchuí agus do na bealaí chun cóip díobh a fháil nó faisnéis faoin áit inar cuireadh na coimircí sin ar fáil.

(5)

I gCinntí 2001/497/CE (5) agus 2010/87/AE (6) ón gCoimisiún tá clásail chonarthacha chaighdeánacha lena n-éascaítear aistriú sonraí pearsanta ó rialaitheoir sonraí atá bunaithe san Aontas chuig rialaitheoir nó próiseálaí atá bunaithe i dtríú tír nach gcuireann leibhéal leordhóthanach cosanta ar fáil. Is ar Threoir 95/46/CE ó Pharlaimint na hEorpa agus ón gComhairle (7) a bunaíodh na cinntí sin.

(6)

De bhun Airteagal 46(5) de Rialachán (AE) 2016/679, beidh feidhm ag Cinneadh 2001/497/CE agus ag Cinneadh 2010/87/AE go dtí go ndéanfar iad a leasú, a ionadú nó a aisghairm, más gá, le cinneadh ón gCoimisiún a ghlacfaí de bhun Airteagal 46(2) den Rialachán sin. I bhfianaise na gceanglas nua i Rialachán (AE) 2016/679, ba ghá na clásail chonarthacha chaighdeánacha atá sna cinntí a thabhairt cothrom le dáta. Thairis sin, san am atá caite ó glacadh na cinntí, tá forbairtí suntasacha tagtha ar an ngeilleagar digiteach, agus an úsáid fhorleathan a bhaintear as oibríochtaí próiseála atá nua agus níos casta, is minic a bhíonn allmhaireoirí sonraí agus onnmhaireoirí sonraí iomadúla páirteach inti, chomh maith le slabhraí próiseála fada casta, agus caidrimh ghnó a bhíonn ag síor-athrú. Is mithid dá bhrí sin í na clásail chonarthacha chaighdeánacha a nuachóiriú chun an méid sin a léiriú ar bhealach níos fearr trí chásanna breise próiseála agus aistrithe a chumhdach, agus chun cur chuige níos solúbtha a cheadú, mar shampla maidir leis an líon páirtithe a bheidh in ann dul isteach sa chonradh.

(7)

Na clásail chonarthacha chaighdeánacha a leagtar amach san Iarscríbhinn a ghabhann leis an gCinneadh seo, féadfaidh rialaitheoir nó próiseálaí iad a úsáid chun coimircí iomchuí a chur ar fáil de réir bhrí Airteagal 46(1) de Rialachán (AE) 2016/679 i ndáil le sonraí pearsanta a aistriú chuig próiseálaí nó rialaitheoir atá bunaithe i dtríú tír, gan dochar don léirmhíniú ar aistriú idirnáisiúnta atá i Rialachán (AE) 2016/679. Ní fhéadfar na clásail chonarthacha chaighdeánacha a úsáid le haghaidh aistrithe den sórt sin ach amháin a mhéid nach dtagann an phróiseáil a dhéanfaidh an t-allmhaireoir faoi raon feidhme Rialachán (AE) 2016/679. Cuimsíonn sé sin freisin aistriú sonraí pearsanta ag rialaitheoir nó próiseálaí nach bhfuil bunaithe san Aontas, a mhéid atá an phróiseáil faoi réir Rialachán (AE) 2016/679 (de bhun Airteagal 3(2) de) toisc go mbaineann sí le hearraí nó seirbhísí a thairiscint d’ábhair sonraí san Aontas nó le faireachán a dhéanamh ar iompar na ndaoine sin chomh fada agus is iompar é a dhéantar laistigh den Aontas.

(8)

I bhfianaise ailíniú ginearálta Rialachán (AE) 2016/679 agus Rialachán (AE) 2018/1725 ó Pharlaimint na hEorpa agus ón gComhairle (8), ba cheart é a bheith indéanta na clásail chonarthacha chaighdeánacha a úsáid freisin i gcomhthéacs conartha, rud dá dtagraítear in Airteagal 29(4) de Rialachán (AE) 2018/1725 i ndáil próiseálaí nach institiúid ná comhlacht de chuid an Aontais é a bheith ag aistriú sonraí pearsanta chuig fophróiseálaí i dtríú tír, ach atá faoi réir Rialachán (AE) 2016/679 agus a dhéanann próiseáil ar shonraí pearsanta thar ceann institiúid nó comhlacht de chuid an Aontais i gcomhréir le hAirteagal 29 de Rialachán (AE) 2018/1725. Ach na hoibleagáidí céanna maidir le cosaint sonraí a léiriú sa chonradh agus a leagtar amach sa chonradh nó sa ghníomh dlíthiúil eile idir an rialaitheoir agus an próiseálaí de bhun Airteagal 29(3) de Rialachán (AE) 2018/1725, go háirithe trí ráthaíochtaí leordhóthanacha a thabhairt maidir le bearta teicniúla agus eagraíochtúla chun a áirithiú go gcomhlíonfaidh an phróiseáil ceanglais an Rialacháin sin, áiritheofar go gcomhlíonfar Airteagal 29(4) de Rialachán (AE) 2018/1725. Go háirithe, sin é a bheidh i gceist i gcás ina n-úsáideann an rialaitheoir agus an próiseálaí na clásail chonarthacha chaighdeánacha sa Chinneadh Cur Chun Feidhme ón gCoimisiún maidir le clásail chonarthacha chaighdeánacha idir rialaitheoirí agus próiseálaithe faoi Airteagal 28(7) de Rialachán (AE) 2016/679 ó Pharlaimint na hEorpa agus ón gComhairle agus faoi Airteagal 29(7) de Rialachán (AE) 2018/1725 ó Pharlaimint na hEorpa agus ón gComhairle (9).

(9)

Aistrithe sonraí ó rialaitheoirí atá faoi réir Rialachán (AE) 2016/679 chuig próiseálaithe atá lasmuigh dá raon feidhme críochach, nó aistrithe sonraí ó phróiseálaithe atá faoi réir Rialachán (AE) 2016/679 chuig fophróiseálaithe atá lasmuigh dá raon feidhme críochach, i gcás ina mbainfidh an phróiseáil leis na nithe sin, ba cheart a cheadú go gcomhlíonfaí ceanglais Airteagal 28(3) agus (4) de Rialachán (AE) 2016/679 freisin leis na clásail chonarthacha chaighdeánacha a leagtar amach san Iarscríbhinn a ghabhann leis an gCinneadh seo.

(10)

Sna clásail chonarthacha chaighdeánacha a leagtar amach san Iarscríbhinn a ghabhann leis an gCinneadh seo, comhcheanglaítear clásail ghinearálta le cur chuige modúlach chun freastal ar chásanna aistrithe éagsúla agus ar chastacht na slabhraí próiseála nua-aimseartha. De bhreis ar na clásail ghinearálta, ba cheart do rialaitheoirí agus do phróiseálaithe an modúl is infheidhme maidir lena gcás féin a roghnú chun a gcuid oibleagáidí faoi na clásail chonarthacha chaighdeánacha a chur in oiriúint dá ról agus dá gcuid freagrachtaí i ndáil leis an bpróiseáil sonraí atá i gceist. Ba cheart do níos mó ná dhá pháirtí a bheith in ann cloí leis na clásail chonarthacha chaighdeánacha. Thairis sin, ba cheart cead a bheith ag rialaitheoirí agus próiseálaithe breise aontú do na clásail chonarthacha chaighdeánacha ina n-onnmhaireoirí sonraí nó ina n-allmhaireoirí sonraí ar feadh shaolré an chonartha ar cuid de atá sna páirtithe sin.

(11)

Chun coimircí iomchuí a chur ar fáil, an leibhéal cosanta a thabharfar do na sonraí pearsanta a aistreofar ar an mbonn sin, ba cheart a áirithiú leis na clásail chonarthacha chaighdeánacha go mbeidh sé coibhéiseach go bunúsach leis an leibhéal cosanta a ráthaítear laistigh den Aontas. (10). D’fhonn trédhearcacht na próiseála a áirithiú, ba cheart cóip de na clásail chonarthacha chaighdeánacha a chur ar fáil do na hábhair sonraí agus ba cheart iad a chur ar an eolas, go háirithe, faoi na catagóirí de shonraí pearsanta a phróiseáiltear, faoin gceart atá acu cóip de na clásail chonarthacha chaighdeánacha a fháil, agus faoi aon aistriú ar aghaidh a dhéanfar. Níor cheart cead a bheith ag an allmhaireoir sonraí aistrithe ar aghaidh a dhéanamh chuig tríú páirtí i dtríú tír eile ach amháin má aontaíonn an tríú páirtí do na clásail chonarthacha chaighdeánacha, más rud é go n-áirithítear leanúnachas na cosanta ar shlí eile, nó i gcásanna sonracha, amhail ar bhonn thoiliú feasach sainráite an ábhair sonraí.

(12)

Cé is moite de roinnt eisceachtaí, go háirithe a mhéid a bhaineann le hoibleagáidí áirithe a bhaineann go heisiach leis an gcaidreamh idir an t-onnmhaireoir sonraí agus an t-allmhaireoir sonraí, ba cheart do na hábhair sonraí a bheith in ann na clásail chonarthacha chaighdeánacha a agairt mar thairbhithe tríú páirtí agus, i gcás inar gá, iad a fhorfheidhmiú. Dá bhrí sin, cé gur cheart cead a bheith ag na páirtithe dlí ceann de na Ballstáit a roghnú mar dhlí lena rialófar na clásail chonarthacha chaighdeánacha, ní mór don dlí sin cearta tairbhí tríú páirtí a cheadú. Chun an sásamh aonair a éascú, ba cheart a chur de cheangal ar an allmhaireoir sonraí leis na clásail chonarthacha chaighdeánacha na hábhair sonraí a chur ar an eolas faoi phointe teagmhála agus déileáil go pras le haon ghearán nó le haon iarraidh. I gcás ina mbeidh díospóid ann idir an t-allmhaireoir sonraí agus ábhar sonraí a agraíonn a chearta mar thairbhí tríú páirtí, ba cheart don ábhar sonraí a bheith in ann gearán a thaisceadh leis an údarás inniúil maoirseachta nó an díospóid a chur faoi bhráid na gcúirteanna inniúla san Aontas.

(13)

Chun forfheidhmiú éifeachtach a áirithiú, ba cheart ceangal a chur ar an allmhaireoir sonraí géilleadh do dhlínse an údaráis nó na gcúirteanna sin, agus gealltanas a thabhairt cloí le haon chinneadh ceangailteach faoi dhlí an Bhallstáit is infheidhme. Go háirithe, ba cheart don allmhaireoir sonraí comhaontú freagairt d’fhiosrúcháin, géilleadh d’iniúchtaí agus na bearta a ghlacfaidh an t-údarás maoirseachta a chomhlíonadh, lena n-áirítear bearta ceartaitheacha agus cúitimh. Ina theannta sin, ba cheart é a bheith de rogha ag an allmhaireoir sonraí deis a thabhairt d’ábhair sonraí sásamh a lorg os comhair comhlacht neamhspleách um réiteach díospóide, gan aon chostas. I gcomhréir le hAirteagal 80(1) de Rialachán (AE) 2016/679, más mian leis na hábhair sonraí go ndéanfaí comhlachais nó comhlachtaí eile ionadaíocht thar a gceann i ndíospóidí i gcoinne an allmhaireora sonraí, ba cheart sin a cheadú dóibh.

(14)

Ba cheart foráil a dhéanamh sna clásail chonarthacha chaighdeánacha maidir le rialacha i dtaca le dliteanas idir na páirtithe agus i ndáil le hábhair sonraí, agus maidir le rialacha i dtaca le slánaíocht idir na páirtithe. I gcás ina ndéanfar damáiste ábhartha nó neamhábhartha don ábhar sonraí de dheasca aon sárú ar chearta an tairbhí tríú páirtí faoi na clásail chonarthacha chaighdeánacha, ba cheart é nó í a bheith i dteideal cúitimh. Ba cheart an méid sin a bheith gan dochar d’aon dliteanas faoi Rialachán (AE) 2016/679.

(15)

I gcás aistriú chuig allmhaireoir sonraí atá ag gníomhú ina phróiseálaí nó ina fhophróiseálaí, ba cheart feidhm a bheith ag ceanglais shonracha i gcomhréir le hAirteagal 28(3) de Rialachán (AE) 2016/679. Ba cheart a chur de cheangal ar an allmhaireoir sonraí leis na clásail chonarthacha chaighdeánacha an fhaisnéis uile is gá a chur ar fáil chun comhlíonadh na n-oibleagáidí a leagtar amach sna clásail a léiriú agus ionas go bhféadfaidh an t-onnmhaireoir sonraí iniúchtaí a dhéanamh ar ghníomhaíochtaí próiseála an allmhaireora agus rannchuidiú leis na hiniúchtaí sin. Le fostú aon fhophróiseálaí ag an allmhaireoir sonraí, i gcomhréir le hAirteagal 28(2) agus (4) de Rialachán (AE) 2016/679, ba cheart an dá ní seo a leanas go háirithe a leagan amach sna clásail chonarthacha chaighdeánacha – an nós imeachta maidir le húdarú ginearálta nó sonrach ón onnmhaireoir sonraí, agus an ceanglas maidir le conradh i scríbhinn leis an bhfophróiseálaí lena n-áirithítear an leibhéal céanna cosanta agus a áirithítear faoi na clásail.

(16)

Is iomchuí coimircí éagsúla a chur ar fáil sna clásail chonarthacha chaighdeánacha lena gcumhdaítear an cás sonrach atá i gceist le haistrithe sonraí pearsanta ag próiseálaí san Aontas chuig a rialaitheoir i dtríú tír agus lena léirítear na hoibleagáidí neamhspleácha teoranta atá ar phróiseálaithe faoi Rialachán (AE) 2016/679. Go háirithe, leis na clásail chonarthacha chaighdeánacha ba cheart a chur de cheangal ar an bpróiseálaí an rialaitheoir a chur ar an eolas mura bhfuil sé in ann treoracha an rialaitheora a chomhlíonadh, lena n-áirítear má sháraíonn na treoracha sin dlí an Aontais maidir le cosaint sonraí, agus ba cheart a chur de cheangal ar an rialaitheoir staonadh ó aon ghníomhaíocht a chuirfeadh cosc ar an bpróiseálaí a chuid oibleagáidí faoi Rialachán (AE) 2016/679 a chomhlíonadh. Ba cheart freisin a chur de cheangal ar na páirtithe cúnamh a thabhairt dá chéile chun freagairt d’fhiosrúcháin agus d’iarrataí ó ábhair sonraí faoin dlí áitiúil is infheidhme maidir leis an allmhaireoir sonraí nó, i gcás próiseáil sonraí san Aontas, faoi Rialachán (AE) 2016/679. Ceanglais bhreise chun aghaidh a thabhairt ar aon éifeacht atá ag dlíthe an tríú tír is ceann scríbe maidir leis na clásail a bheith á gcomhlíonadh ag an rialaitheoir, go háirithe riachtanais maidir le conas déileáil le hiarrataí ceangailteacha ó údaráis phoiblí sa tríú tír i ndáil leis na sonraí pearsanta a aistríodh a nochtadh, ba cheart feidhm a bheith acu i gcás ina ndéanfaidh próiseálaí an Aontais na sonraí pearsanta a fhaightear ón rialaitheoir sa tríú tír a chomhcheangal le sonraí pearsanta a bhailigh an próiseálaí san Aontas. Os a choinne sin, ní bheidh údar le ceanglais den sórt sin i gcás nach mbaineann an seachfhoinsiú ach le sonraí pearsanta a fuarthas ón rialaitheoir a phróiseáil agus a aistriú ar ais, agus inar faoi réir dhlínse an tríú tír atá i gceist a bhí an seachfhoinsiú roimhe seo agus a bheidh sé feasta pé scéal é.

(17)

Ba cheart do na páirtithe a bheith in ann a gcomhlíontacht leis na clásail chonarthacha chaighdeánacha a léiriú. Go háirithe, ba cheart ceangal a chur ar an allmhaireoir sonraí doiciméadacht iomchuí a choinneáil le haghaidh na ngníomhaíochtaí próiseála atá faoina chúram agus chun an t-onnmhaireoir sonraí a chur ar an eolas go pras mura bhfuil sé in ann na clásail a chomhlíonadh, ar chúis ar bith. Dá réir sin, ba cheart don onnmhaireoir sonraí an t-aistriú a chur ar fionraí agus, i gcásanna fíorthromchúiseacha, ba cheart an ceart a bheith aige an conradh a fhoirceannadh a mhéid a bhaineann sé le sonraí pearsanta a phróiseáil faoi chlásail chonarthacha chaighdeánacha, i gcás ina bhfuil na clásail á sárú ag an allmhaireoir sonraí nó nach bhfuil sé in ann iad a chomhlíonadh. Ba cheart feidhm a bheith ag rialacha sonracha i gcás ina ndéanfaidh dlíthe áitiúla difear do chomhlíontacht na gclásal. Sonraí pearsanta a aistríodh cheana féin roimh fhoirceannadh an chonartha, agus aon chóip díobh, ba cheart iad a thabhairt ar ais don onnmhaireoir sonraí nó sin iad scriosadh ina n-iomláine de réir rogha an onnmhaireora sonraí.

(18)

Ba cheart foráil a dhéanamh sna clásail chonarthacha chaighdeánacha maidir le coimircí sonracha, go háirithe i bhfianaise chásdlí na Cúirte Breithiúnais (11), chun aghaidh a thabhairt ar aon éifeacht atá ag dlíthe an tríú tír is ceann scríbe maidir leis na clásail a bheith á gcomhlíonadh ag an allmhaireoir sonraí, go háirithe coimircí maidir le conas déileáil le hiarrataí ceangailteacha ó údaráis phoiblí sa tír sin maidir leis na sonraí pearsanta a aistríodh a nochtadh.

(19)

Níor cheart aistriú ná próiseáil sonraí pearsanta faoi chlásail chonarthacha chaighdeánacha a dhéanamh más rud é go gcuireann dlíthe agus cleachtais an tríú tír is ceann scríbe cosc ar an allmhaireoir sonraí na clásail a chomhlíonadh. Sa chomhthéacs seo, dlíthe agus cleachtais lena n-urramaítear bunbhrí na gceart bunúsach agus na saoirsí bunúsacha agus nach dtéann thar a bhfuil riachtanach agus comhréireach i sochaí dhaonlathach chun ceann de na cuspóirí a liostaítear in Airteagal 23(1) de Rialachán (AE) 2016/679 a chosaint, níor cheart a mheas gur dlíthe agus cleachtais iad a thagann salach ar na clásail chonarthacha chaighdeánacha. Ba cheart do na páirtithe a bharántú, an tráth a aontaítear leis na clásail chonarthacha chaighdeánacha, nach bhfuil aon chúis acu a chreidiúint nach bhfuil na dlíthe ná na cleachtais is infheidhme maidir leis an allmhaireoir sonraí i gcomhréir leis na ceanglais sin.

(20)

Ba cheart do na páirtithe a chur san áireamh, go háirithe, imthosca sonracha an aistrithe (amhail ábhar agus fad an chonartha, an cineál sonraí atá le haistriú, an cineál faighteora, cuspóir na próiseála), dlíthe agus cleachtais an tríú tír is ceann scríbe atá ábhartha i bhfianaise imthosca an aistrithe agus aon choimirce a cuireadh i bhfeidhm chun na coimircí sin atá ann faoi na clásail chonarthacha chaighdeánacha a fhorlíonadh (lena n-áirítear bearta conarthacha, teicniúla agus eagraíochtúla ábhartha a bhfuil feidhm acu maidir le tarchur sonraí pearsanta agus próiseáil na sonraí sin sa tír is ceann scríbe). A mhéid a bhaineann leis an tionchar atá ag dlíthe agus cleachtais den sórt sin ar chomhlíontacht na gclásal conarthach caighdeánach, féadfar gnéithe éagsúla a mheas mar chuid de mheasúnú foriomlán, lena n-áirítear faisnéis iontaofa faoi chur i bhfeidhm an dlí iarbhír (amhail cásdlí agus tuarascálacha ó chomhlachtaí maoirseachta neamhspleácha), iarrataí a bheith ann nó gan a bheith ann san earnáil chéanna agus, faoi choinníollacha dochta, taithí phraiticiúil dhoiciméadaithe an onnmhaireora sonraí agus/nó an allmhaireora sonraí.

(21)

Ba cheart don allmhaireoir sonraí an t-onnmhaireoir sonraí a chur ar an eolas más rud é, tar éis dó comhaontú leis na clásail chonarthacha chaighdeánacha, go bhfuil cúis aige a chreidiúint nach mbeidh sé in ann na clásail chonarthacha chaighdeánacha a chomhlíonadh. Má fhaigheann an t-onnmhaireoir sonraí fógra den sórt sin nó má fhaigheann sé amach ar shlí eile nach bhfuil an t-allmhaireoir sonraí in ann na clásail chonarthacha chaighdeánacha a chomhlíonadh a thuilleadh, ba cheart dó bearta iomchuí a shainaithint chun aghaidh a thabhairt ar an gcás, i gcomhairle leis an údarás inniúil maoirseachta más gá. Féadfar a áireamh ar na bearta sin bearta forlíontacha arna nglacadh ag an onnmhaireoir sonraí agus/nó ag an allmhaireoir sonraí, amhail bearta teicniúla nó bearta eagraíochtúla chun slándáil agus rúndacht a áirithiú. Ba cheart ceangal a chur ar an onnmhaireoir sonraí an t-aistriú a chur ar fionraí má mheasann sé nach féidir aon choimirce iomchuí a áirithiú, nó má thugann an t-údarás inniúil maoirseachta treoir dó amhlaidh a dhéanamh.

(22)

I gcás inar féidir, ba cheart don allmhaireoir sonraí fógra a thabhairt don onnmhaireoir sonraí agus don ábhar sonraí má fhaigheann sé iarraidh atá ceangailteach ó thaobh dlí de ó údarás poiblí (lena n-áirítear údarás breithiúnach) faoi dhlí na tíre is ceann scríbe maidir le nochtadh sonraí pearsanta a aistríodh de bhun na gclásal conarthach caighdeánach. Ar an gcaoi chéanna, ba cheart dó fógra a thabhairt dóibh má fhaigheann sé amach go bhfuil rochtain dhíreach ag údaráis phoiblí ar shonraí pearsanta den sórt sin, i gcomhréir le dlí an tríú tír is ceann scríbe. Más rud é, in ainneoin a dhíchill, nach bhfuil an t-allmhaireoir sonraí in ann fógra a thabhairt don onnmhaireoir sonraí agus/nó don ábhar sonraí faoi iarrataí sonracha ar nochtadh, ba cheart dó an oiread faisnéise ábhartha agus is féidir a chur ar fáil don onnmhaireoir sonraí i dtaobh na n-iarrataí. Ina theannta sin, ba cheart don allmhaireoir sonraí faisnéis chomhiomlán a chur ar fáil don onnmhaireoir sonraí go tráthrialta. Ba cheart ceangal a chur ar an allmhaireoir sonraí freisin aon iarraidh ar nochtadh maille leis an bhfreagairt a tugadh ar an iarraidh sin a dhoiciméadú, agus an fhaisnéis sin a chur ar fáil don onnmhaireoir sonraí nó don údarás inniúil maoirseachta, nó do gach dream díobh, ach sin a iarraidh orthu. Más rud é, tar éis athbhreithniú a dhéanamh ar dhlíthiúlacht iarrata den sórt sin faoi dhlíthe na tíre is ceann scríbe, gurb é an chonclúid ar a dtagann an t-allmhaireoir sonraí go bhfuil foras réasúnach ann lena mheas go bhfuil an iarraidh neamhdhleathach faoi dhlíthe an tríú tír is ceann scríbe, ba cheart dó agóid a dhéanamh ina coinne, lena n-áirítear, i gcás inarb iomchuí, trí úsáid a bhaint as gach féidearthacht achomhairc atá ar fáil. I gcás ar bith, mura bhfuil an t-allmhaireoir sonraí in ann na clásail chonarthacha chaighdeánacha a chomhlíonadh a thuilleadh, ba cheart dó an t-onnmhaireoir sonraí a chur ar an eolas dá réir sin, lena n-áirítear nuair is de thoradh iarraidh ar nochtadh an méid sin.

(23)

Ós rud é go bhféadfadh athrú teacht ar riachtanais na bpáirtithe leasmhara, ar an teicneolaíocht agus ar oibríochtaí próiseála, ba cheart don Choimisiún meastóireacht a dhéanamh ar oibriú na gclásal conarthach caighdeánach i bhfianaise mar a thitfidh amach, i gcomhthéacs na meastóireachta tréimhsiúla ar Rialachán (AE) 2016/679 dá dtagraítear in Airteagal 97 den Rialachán sin.

(24)

Ba cheart Cinntí 2001/497/CE agus 2010/87/AE a aisghairm 3 mhí tar éis theacht i bhfeidhm an Chinnidh seo. Le linn na tréimhse sin, na clásail chonarthacha chaighdeánacha a leagtar amach i gCinntí 2001/497/CE agus 2010/87/AE, chun críoch Airteagal 46(1) de Rialachán (AE) 2016/679 ba cheart onnmhaireoirí sonraí agus d’allmhaireoirí sonraí a bheith fós in ann na clásail sin a úsáid. Ar feadh tréimhse bhreise 15 mhí, clásail chonarthacha chaighdeánacha a leagtar amach i gCinntí 2001/497/CE agus 2010/87/AE, chun críoch Airteagal 46(1) de Rialachán (AE) 2016/679 ba cheart onnmhaireoirí sonraí agus allmhaireoirí a bheith in ann leanúint de bheith ag brath ar na clásail sin i dtaobh fheidhmíocht na gconarthaí a tugadh i gcrích eatarthu roimh dháta aisghairme na gcinntí sin, ar choinníoll nach dtiocfaidh aon athrú ar na hoibríochtaí próiseála is ábhar don chonradh agus go n-áiritheofar le bheith i muinín na gclásal go mbeidh aistriú sonraí pearsanta faoi réir coimircí iomchuí de réir bhrí Airteagal 46(1) de Rialachán (AE) 2016/679. Sa chás go ndéanfar athruithe ábhartha ar an gconradh, ba cheart ceangal a chur ar an onnmhaireoir sonraí brath ar fhoras nua maidir le haistrithe sonraí faoin gconradh, go háirithe trí na clásail chonarthacha chaighdeánacha a leagtar amach san Iarscríbhinn a ghabhann leis an gCinneadh seo a chur in ionad na gclásal atá ann cheana. Ba cheart feidhm a bheith ag an méid sin freisin maidir le haon oibríocht phróiseála a chumhdaítear leis an gconradh a ligean ar fochonradh chuig (fo-)phróiseálaí.

(25)

Chuathas i gcomhairle leis an Maoirseoir Eorpach ar Chosaint Sonraí agus an Bord Eorpach um Chosaint Sonraí i gcomhréir le hAirteagal 42(1) agus (2) de Rialachán (AE) 2018/1725 agus thug siad tuairim chomhpháirteach uathu an 14 Eanáir 2021 (12), rud a cuireadh san áireamh agus Cinneadh seo á ullmhú.

(26)

Tá na bearta dá bhforáiltear sa Chinneadh seo i gcomhréir leis an tuairim ón gCoiste a bhunaítear faoi Airteagal 93 de Rialachán (AE) 2016/679.

TAR ÉIS AN CINNEADH SEO A GHLACADH:

Airteagal 1

1.   Na clásail chonarthacha chaighdeánacha a leagtar amach san Iarscríbhinn, meastar go gcuirtear coimircí iomchuí ar fáil iontu de réir bhrí Airteagal 46(1) agus Airteagal 46(2)(c) de Rialachán (AE) 2016/679 i ndáil le haistriú sonraí pearsanta ag rialaitheoir nó próiseálaí ar sonraí iad a próiseáladh faoi réir an Rialacháin sin (onnmhaireoir sonraí) chuig rialaitheoir nó chuig (fo-)phróiseálaí nach faoi réir an Rialacháin sin a phróiseálfaidh seisean na sonraí (allmhaireoir sonraí).

2.   Leagtar amach freisin sna clásail chonarthacha chaighdeánacha cearta agus oibleagáidí na rialaitheoirí agus na próiseálaithe i ndáil leis na hábhair dá dtagraítear in Airteagal 28(3) agus (4) de Rialachán (AE) 2016/679, a mhéid a bhaineann le haistriú sonraí pearsanta ó rialaitheoir chuig próiseálaí nó ó phróiseálaí chuig fophróiseálaí.

Airteagal 2

I gcás ina bhfeidhmíonn údaráis inniúla an Bhallstáit cumhachtaí ceartaitheacha de bhun Airteagal 58 de Rialachán (AE) 2016/679 mar fhreagairt ar an allmhaireoir a bheith faoi réir nó a theacht faoi réir dlíthe nó cleachtas sa tríú tír is ceann scríbe a chuireann cosc air na clásail chonarthacha chaighdeánacha a leagtar amach san Iarscríbhinn a chomhlíonadh, agus arbh fhéidir go n-eascródh fionraí nó toirmeasc ar aistrithe sonraí chuig tríú tíortha astu, cuirfidh an Ballstát lena mbaineann an Coimisiún ar an eolas gan mhoill, agus cuirfidh an Coimisiún an fhaisnéis ar aghaidh chuig na Ballstáit eile.

Airteagal 3

Déanfaidh an Coimisiún meastóireacht ar chur i bhfeidhm praiticiúil na gclásal conarthach caighdeánach a leagtar amach san Iarscríbhinn ar bhonn na faisnéise uile a bheidh ar fáil, mar chuid den mheastóireacht thréimhsiúil a cheanglaítear le hAirteagal 97 de Rialachán (AE) 2016/679.

Airteagal 4

1.   Tiocfaidh an Cinneadh seo i bhfeidhm an fichiú lá tar éis lá a fhoilsithe in Iris Oifigiúil an Aontais Eorpaigh.

2.   Aisghairtear Cinneadh 2001/497/CE le héifeacht ón 27 Meán Fómhair 2021.

3.   Aisghairtear Cinneadh 2010/87/AE le héifeacht ón 27 Meán Fómhair 2021.

4.   Maidir le conarthaí a tugadh i gcrích roimh an 27 Meán Fómhair 2021 ar bhonn Chinntí 2001/497/CE nó 2010/87/AE, measfar go dtugann siad coimircí iomchuí de réir bhrí Airteagal 46(1) de Rialachán (AE) 2016/679 go dtí an 27 Nollaig 2022, ar choinníoll nach dtiocfaidh aon athrú ar na hoibríochtaí próiseála is ábhar don chonradh agus go n-áiritheofar le bheith i muinín na gclásal go mbeidh aistriú sonraí pearsanta faoi réir coimircí iomchuí.

Arna dhéanamh sa Bhruiséil, 4 Meitheamh 2021.

Thar ceann an Choimisiúin

An tUachtarán

Ursula VON DER LEYEN


(1)  IO L 119, 4.5.2016, lch. 1.

(2)  Airteagal 44 de Rialachán (AE) 2016/679.

(3)  Féach freisin breithiúnas na Cúirte Breithiúnais an 16 Iúil 2020 i gCás C-311/18, Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems (“Schrems II”), ECLI:EU:C:2020:559, mír 93.

(4)  Aithris 109 de Rialachán (AE) 2016/679.

(5)  Cinneadh 2001/497/CE ón gCoimisiún an 15 Meitheamh 2001 maidir le clásail chonarthacha chaighdeánacha i ndáil le sonraí pearsanta a aistriú chuig tríú tíortha, faoi Threoir 95/46/CE (IO L 181, 4.7.2001, lch. 19).

(6)  Cinneadh 2010/87/AE ón gCoimisiún an 5 Feabhra 2010 maidir le clásail chonarthacha chaighdeánacha i ndáil le sonraí pearsanta a aistriú chuig próiseálaithe atá bunaithe i dtríú tíortha faoi Threoir 95/46/CE ó Pharlaimint na hEorpa agus ón gComhairle (IO L 39, 12.2.2010, lch. 5).

(7)  Treoir 95/46/CE ó Pharlaimint na hEorpa agus ón gComhairle an 24 Deireadh Fómhair 1995 maidir le daoine aonair a chosaint i ndáil le sonraí pearsanta a phróiseáil agus maidir le saorghluaiseacht sonraí den sórt sin (IO L 281, 23.11.1995, lch. 31).

(8)  Rialachán (AE) 2018/1725 ó Pharlaimint na hEorpa agus ón gComhairle an 23 Deireadh Fómhair 2018 maidir le daoine nádúrtha a chosaint i ndáil le sonraí pearsanta a phróiseáil ag institiúidí, comhlachtaí, oifigí agus gníomhaireachtaí an Aontais agus maidir le saorghluaiseacht sonraí den sórt sin, agus lena n-aisghairtear Rialachán (CE) Uimh. 45/2001 agus Cinneadh Uimh. 1247/2002/CE (IO L 295, 21.11.2018, lch. 39); féach aithris 5.

(9)  C(2021)3701.

(10)  Schrems II, míreanna 96 agus 103. Féach freisin Rialachán (AE) 2016/679, aithrisí 108 agus 114.

(11)  Schrems II.

(12)  EDPB EDPS Joint Opinion 2/2021 on the European Commission’s Implementing Decision on standard contractual clauses for the transfer of personal data to third countries for the matters referred to in Article 46(2)(c) of Regulation (EU) 2016/679 [Tuairim Chomhpháirteach 2/2021 ón mBord Eorpach um Chosaint Sonraí maidir leis an gCinneadh Cur Chun Feidhme ón gCoimisiún Eorpach maidir le clásail chonarthacha chaighdeánacha i ndáil le sonraí pearsanta a aistriú chuig tríú tíortha i ndáil leis na hábhair dá dtagraítear in Airteagal 46(2)(c) de Rialachán (AE) 2016/679].


IARSCRÍBHINN

CLÁSAIL CHONARTHACHA CHAIGHDEÁNACHA

ROINN I

Clásal 1

Cuspóir agus raon feidhme

(a)

Rialachán (AE) 2016/679 ó Pharlaimint na hEorpa agus ón gComhairle an 27 Aibreán 2016 maidir le daoine nádúrtha a chosaint i ndáil le sonraí pearsanta a phróiseáil agus maidir le saorghluaiseacht sonraí den sórt sin (an Rialachán Ginearálta maidir le Cosaint Sonraí) (1), is é is cuspóir do na clásail chonarthacha chaighdeánacha seo a áirithiú go gcomhlíonfar ceanglais an rialacháin sin maidir le sonraí pearsanta a aistriú chuig tríú tír.

(b)

Na Páirtithe:

(i)

an duine nádúrtha nó dlítheanach nó na daoine nádúrtha nó dlítheanacha, údarás poiblí nó údaráis phoiblí, gníomhaireacht nó comhlacht eile nó gníomhaireachtaí nó comhlachtaí eile (dá ngairfear “eintiteas nó eintitis” anseo feasta) a aistríonn na sonraí pearsanta agus a liostaítear in Iarscríbhinn I.A. (dá ngairfear “onnmhaireoir sonraí” anseo feasta), agus

(ii)

an t-eintiteas nó na heintitis i dtríú tír a fhaigheann na sonraí pearsanta ón onnmhaireoir sonraí, bíodh sin go díreach nó go hindíreach trí eintiteas eile ar Páirtí é sna Clásail seo freisin, agus a liostaítear in Iarscríbhinn I.A. (dá ngairfear “allmhaireoir sonraí” anseo feasta)

tá siad tar éis comhaontú leis na clásail chonarthacha chaighdeánacha seo (dá ngairfear anseo feasta: “Clásail”).

(c)

Tá feidhm ag na Clásail seo maidir le sonraí pearsanta a aistriú de réir mar atá sonraithe in Iarscríbhinn I.B.

(d)

Is cuid dhílis de na Clásail seo an Foscríbhinn a ghabhann leo, Foscríbhinn ina bhfuil na hIarscríbhinní dá dtagraítear sna Clásail.

Clásal 2

Éifeacht agus do-athraitheacht na gClásal

(a)

Leagtar amach leis na Clásail seo coimircí iomchuí, lena n-áirítear cearta in-fhorfheidhmithe le haghaidh ábhair sonraí agus leigheasanna éifeachtacha dlí de bhun Airteagal 46(1) agus Airteagal 46(2)(c) de Rialachán (AE) 2016/679, agus, i ndáil le haistrithe sonraí ó rialaitheoirí chuig próiseálaithe agus/nó ó phróiseálaithe chuig próiseálaithe, leagtar amach leo clásail chonarthacha chaighdeánacha de bhun Airteagal 28(7) de Rialachán (AE) 2016/679, ar choinníoll nach ndéantar iad a mhodhnú seachas chun an Modúl nó na Modúl iomchuí a roghnú nó chun faisnéis a chur leis an Iarscríbhinn, nó chun an fhaisnéis san Iarscríbhinn a thabhairt cothrom le dáta. Ní chuireann sé sin cosc ar na Páirtithe na clásail chonarthacha chaighdeánacha a leagtar síos sna Clásail seo a chuimsiú i gconradh níos leithne agus/nó clásail eile nó coimircí breise a chur isteach, ar choinníoll nach mbeidh siad contrártha, go díreach nó go hindíreach, do na Clásail seo agus go mbeidh siad gan dochar do chearta bunúsacha nó saoirsí bunúsacha na n-ábhar sonraí.

(b)

Tá na clásail sin gan dochar d’oibleagáidí a bhfuil an t-onnmhaireoir sonraí faoina réir de bhua Rialachán (AE) 2016/679.

Clásal 3

Tairbhithe tríú páirtí

(a)

Féadfaidh na hábhair sonraí na Clásail seo a agairt agus a fhorfheidhmiú, i gcáil tairbhí tríú páirtí, i gcoinne an onnmhaireora sonraí agus/nó i gcoinne an allmhaireora sonraí, cé is moite de na heisceachtaí seo a leanas:

(i)

Clásal 1, Clásal 2, Clásal 3, Clásal 6, Clásal 7;

(ii)

Clásal 8 - Modúl a hAon: Clásal 8.5 (e) agus Clásal 8.9(b); Modúl a Dó: Clásal 8.1(b), 8.9(a), (c), (d) agus (e); Modúl a Trí: Clásal 8.1(a), (c) agus (d) agus Clásal 8.9(a), (c), (d), (e), (f) agus (g); Modúl a Ceathair: Clásal 8.1 (b) agus Clásal 8.3(b);

(iii)

Clásal 9 - Modúl a Dó: Clásal 9(a), (c), (d) agus (e); Modúl a Trí: Clásal 9(a), (c), (d) agus (e);

(iv)

Clásal 12 - Modúl a hAon: Clásal 12(a) agus (d); Modúl a Dó agus a Trí: Clásal 12(a), (d) agus (f);

(v)

Clásal 13;

(vi)

Clásal 15.1(c), (d) agus (e);

(vii)

Clásal 16(e);

(viii)

Clásal 18 - Modúl a hAon, a Dó agus a Trí: Clásal 18(a) agus (b); Modúl a Ceathair: Clásal 18.

(b)

Tá mír (a) gan dochar do chearta na n-ábhar sonraí faoi Rialachán (AE) 2016/679.

Clásal 4

Léirmhíniú

(a)

I gcás ina mbaintear úsáid sna Clásail seo as téarmaí a shainmhínítear i Rialachán (AE) 2016/679, beidh an bhrí chéanna leis na téarmaí sin agus atá leo sa Rialachán sin.

(b)

Is i bhfianaise fhorálacha Rialachán (AE) 2016/679 a léifear agus a léireofar na Clásail sin.

(c)

Ní léireofar na clásail sin ar bhealach a bheidh ag teacht salach ar na cearta agus na hoibleagáidí dá bhforáiltear i Rialachán (AE) 2016/679.

Clásal 5

Ordlathas

I gcás ina mbeidh contrárthacht idir na Clásail seo agus forálacha comhaontuithe gaolmhara idir na Páirtithe atá ann tráth comhaontaithe na gClásal seo nó tráth a ndéanta ina dhiaidh sin, is ag na Clásail seo a bheidh tosaíocht.

Clásal 6

Tuairisc ar an aistriú nó ar na haistrithe

Sonraítear in Iarscríbhinn I.B sonraí an aistrithe nó na n-aistrithe, agus go háirithe na catagóirí sonraí pearsanta a aistrítear agus an cuspóir/na cuspóirí a bhíonn lena n-aistriú.

Clásal 7 - Roghnach

Clásal nasctha

(a)

Eintiteas nach Páirtí é sna Clásail seo, le comhaontú na bPáirtithe féadfaidh sé aontú do na Clásail seo tráth ar bith ina onnmhaireoir sonraí nó ina allmhaireoir sonraí ach an Fhoscríbhinn a líonadh isteach agus Iarscríbhinn I.A a shíniú.

(b)

A luaithe a bheidh an Fhoscríbhinn líonta isteach aige agus Iarscríbhinn I.A sínithe aige, déanfar Páirtí sna Clásail den eintiteas aontach agus beidh cearta agus oibleagáidí onnmhaireora sonraí nó allmhaireora sonraí aige i gcomhréir lena ainmniú in Iarscríbhinn I.A.

(c)

Ní bheidh aon cheart ná oibleagáid ag an eintiteas aontach faoi na Clásail seo maidir leis an tréimhse sula ndearnadh Páirtí de.

ROINN II – OIBLEAGÁIDÍ NA bPÁIRTITHE

Clásal 8

Coimircí cosanta sonraí

Na hoibleagáidí atá ar an allmhaireoir sonraí faoi na Clásail seo, barántaíonn an t-onnmhaireoir sonraí go ndearna sé iarrachtaí réasúnta chun a chinneadh go bhfuil an t-allmhaireoir in ann na hoibleagáidí sin a chomhlíonadh trí bhearta teicniúla agus eagraíochtúla iomchuí a chur chun feidhme.

MODÚL A hAON: Aistriú ó rialaitheoir chuig rialaitheoir

8.1.   Teorannú de réir cuspóra

Ní dhéanfaidh an t-allmhaireoir sonraí na sonraí pearsanta a phróiseáil ach amháin chun críche sonraí nó chun críoch sonrach an aistrithe, nithe a leagtar amach in Iarscríbhinn I.B.. Ní fhéadfaidh sé na sonraí pearsanta a phróiseáil chun críche eile ach:

(i)

i gcás ina bhfuair sé toiliú roimh ré ón ábhar sonraí;

(ii)

i gcás inar gá sin chun éilimh dhlíthiúla a bhunú, a fheidhmiú nó a chosaint i gcomhthéacs imeachtaí sonracha riaracháin, rialála nó breithiúnacha; nó

(iii)

i gcás inar gá sin chun leasanna ríthábhachtacha an ábhair sonraí nó duine nádúrtha eile a chosaint.

8.2.   Trédhearcacht

(a)

Ionas go mbeidh na hábhair sonraí in ann a gcearta a fheidhmiú go héifeachtach de bhun Chlásal 10, cuirfidh an t-allmhaireoir sonraí iad ar an eolas faoin méid seo a leanas, rud a dhéanfaidh sé go díreach nó tríd an onnmhaireoir sonraí:

(i)

a chéannacht agus a chuid sonraí teagmhála;

(ii)

na catagóirí sonraí pearsanta a phróiseáiltear;

(iii)

an ceart chun cóip de na Clásail seo a fháil;

(iv)

i gcás ina bhfuil sé beartaithe aige na sonraí pearsanta maidir leis an bhfaighteoir nó le catagóirí faighteoirí a aistriú ar aghaidh chuig tríú páirtí nó tríú páirtithe ar bith (de réir mar is iomchuí d’fhonn faisnéis fhóinteach a sholáthar), an cuspóir atá leis an aistriú ar aghaidh agus an foras atá leis de bhun Chlásal 8.7.

(b)

Ní bheidh feidhm ag mír (a) i gcás ina bhfuil an fhaisnéis ag an ábhar sonraí cheana, lena n-áirítear i gcás ina bhfuil an fhaisnéis sin curtha ar fáil ag an onnmhaireoir sonraí cheana, ná i gcás ina mbeadh sé dodhéanta an fhaisnéis sin a chur ar fáil nó ina mbeadh iarracht dhíréireach ó thaobh an allmhaireora sonraí ag teastáil chuige sin. Sa chás deireanach sin, cuirfidh an t-allmhaireoir sonraí an fhaisnéis ar fáil go poiblí a mhéid is féidir.

(c)

Na Clásail seo, lena n-áirítear an Fhoscríbhinn agus í líonta isteach ag na Páirtithe, déanfaidh na Páirtithe cóipeanna den ábhar sin a chur ar fáil don ábhar sonraí saor in aisce ach sin a iarraidh orthu. A mhéid is gá chun rúin ghnó nó faisnéis rúnda eile, lena n-áirítear sonraí pearsanta, a chosaint, féadfaidh na Páirtithe téacs na Foscríbhinne a fholú sula roinnfidh siad cóip, ach soláthróidh siad achoimre fhóinteach i gcás nach mbeadh an t-ábhar sonraí in ann ábhar na Foscríbhinne a thuiscint nó a chearta a fheidhmiú murach an achoimre sin. Ach sin a iarraidh orthu, na fáthanna atá leis an bhfolú, cuirfidh na Páirtithe in iúl don ábhar sonraí iad a mhéid is féidir gan an fhaisnéis a cuireadh in eagar a nochtadh.

(d)

Tá míreanna (a) go (c) gan dochar d’oibleagáidí an onnmhaireora sonraí faoi Airteagail 13 agus 14 de Rialachán (AE) 2016/679.

8.3.   Cruinneas agus íoslaghdú sonraí

(a)

Áiritheoidh gach Páirtí go mbeidh na sonraí pearsanta cruinn agus, i gcás inar gá, go gcoimeádfar cothrom le dáta iad. Sonraí pearsanta atá míchruinn maidir le cuspóir nó cuspóirí na próiseála, déanfaidh an t-allmhaireoir sonraí gach beart réasúnta chun a áirithiú go léirscriosfar nó go gceartófar na sonraí sin gan mhoill.

(b)

Má thagann ceann de na Páirtithe ar an eolas go bhfuil na sonraí pearsanta a d’aistrigh sé nó a fuair sé míchruinn, nó go bhfuil siad as dáta, cuirfidh sé an méid sin in iúl don Pháirtí eile gan moill mhíchuí.

(c)

Áiritheoidh an t-allmhaireoir sonraí go mbeidh na sonraí pearsanta leordhóthanach, ábhartha agus teoranta don mhéid is gá i ndáil le cuspóir nó cuspóirí na próiseála.

8.4.   Teorannú stórála

Coinneoidh an t-allmhaireoir sonraí na sonraí pearsanta go ceann tréimhse nach faide ná mar is gá chun na críche/na gcríoch ar chucu a dhéantar iad a phróiseáil. Cuirfidh sé bearta teicniúla nó eagraíochtúla iomchuí i bhfeidhm chun a áirithiú go gcomhlíonfar an oibleagáid sin, lena n-áirítear scriosadh nó anaithnidiú (2) na sonraí sin agus na gcúltacaí go léir ag deireadh na tréimhse coinneála.

8.5.   Slándáil na próiseála

(a)

An t-allmhaireoir sonraí, agus an t-onnmhaireoir sonraí freisin le linn an tarchuir, cuirfidh siad bearta teicniúla agus eagraíochtúla iomchuí chun feidhme chun slándáil na sonraí pearsanta a áirithiú, rud lena n-áirítear cosaint ar shárú slándála as a dtiocfadh scrios, cailleadh, nó athrú neamhdhleathach nó de thaisme, nó as a dtiocfadh nochtadh nó rochtain neamhúdaraithe (“sárú ar shonraí pearsanta” anseo feasta). Agus measúnú á dhéanamh acu ar an leibhéal iomchuí slándála, tabharfaidh siad aird chuí ar an úrscothacht, ar na costais a bhaineann le cur chun feidhme, ar chineál, raon feidhme, comhthéacs agus cuspóir nó cuspóirí na próiseála, agus ar na rioscaí a bhaineann leis an bpróiseáil ó thaobh an ábhair sonraí. Smaoineoidh na Páirtithe go háirithe ar dhul ar iontaoibh an chriptithe nó an bhréagainmnithe, lena n-áirítear le linn an tarchuir, i gcás inar féidir cuspóir na próiseála a chomhlíonadh ar an mbealach sin.

(b)

Tháinig na Páirtithe ar chomhaontú maidir leis na bearta teicniúla agus eagraíochtúla a leagtar amach in Iarscríbhinn II. Déanfaidh an t-allmhaireoir sonraí seiceálacha rialta chun a áirithiú go leanfaidh na bearta sin de leibhéal iomchuí slándála a chur ar fáil.

(c)

Áiritheoidh an t-allmhaireoir sonraí go bhfuil gealltanas rúndachta tugtha ag na daoine atá údaraithe chun na sonraí pearsanta a phróiseáil nó go bhfuil siad faoi oibleagáid rúndachta reachtúil iomchuí.

(d)

I gcás sárú ar shonraí pearsanta a bhaineann le sonraí pearsanta a phróiseáil an t-allmhaireoir sonraí faoi na Clásail sin, déanfaidh an t-allmhaireoir sonraí bearta iomchuí chun aghaidh a thabhairt ar an sárú ar shonraí pearsanta, rud lena n-áirítear bearta chun aon éifeacht dhíobhálach a d’fhéadfadh a bheith ag an sárú a mhaolú.

(e)

I gcás sárú ar shonraí pearsanta ar dócha go n-eascróidh riosca as ó thaobh cearta agus saoirsí daoine nádúrtha, déanfaidh an t-allmhaireoir sonraí fógra a thabhairt gan moill mhíchuí don onnmhaireoir sonraí agus don údarás maoirseachta inniúil de bhun Chlásal 13. San fhógra sin, beidh i) tuairisc ar chineál an tsáraithe (lena n-áirítear, nuair is féidir, catagóirí agus neas-líon na n-ábhar sonraí agus na dtaifead sonraí pearsanta lena mbaineann), ii) na hiarmhairtí is dócha a bheidh ag an sárú, iii) na bearta a rinneadh nó atá beartaithe chun aghaidh a thabhairt ar an sárú agus iv) mionsonraí pointe teagmhála óna bhféadfar tuilleadh faisnéise a fháil. A mhéid nach féidir leis an allmhaireoir sonraí an fhaisnéis go léir a chur ar fáil an tráth céanna, féadfaidh sé déanamh amhlaidh i gcéimeanna gan tuilleadh moille míchuí.

(f)

Ina theannta sin, i gcás sárú ar shonraí pearsanta ar dócha go n-eascróidh ardriosca as ó thaobh cearta agus saoirsí daoine nádúrtha, tabharfaidh an t-allmhaireoir sonraí fógra faoin sárú ar shonraí pearsanta don ábhar sonraí lena mbaineann gan moill mhíchuí, chomh maith le cineál an tsáraithe, rud a dhéanfaidh sé i gcomhar leis an onnmhaireoir sonraí más gá, agus tabharfaidh sé fógra in éineacht leis an méid sin faoin bhfaisnéis dá dtagraítear i mír (e), pointí ii) go iv), mura rud é go bhfuil bearta curtha chun feidhme ag an allmhaireoir sonraí chun an riosca ó thaobh cearta nó saoirsí daoine nádúrtha a laghdú go mór. Sa chás deireanach sin, eiseoidh an t-allmhaireoir sonraí teachtaireacht phoiblí nó déanfaidh sé beart is cosúil leis sin chun an pobal a chur ar an eolas faoin sárú ar shonraí pearsanta.

(g)

Déanfaidh an t-allmhaireoir sonraí na fíorais ábhartha uile a bhaineann leis an sárú ar shonraí pearsanta a dhoiciméadú, lena n-áirítear na héifeachtaí a bheidh aige agus aon ghníomhaíocht cheartaitheach a rinneadh, agus coinneoidh sé taifead de na fíorais sin.

8.6.   Sonraí íogaire

I gcás inar cuid dá bhfuil á aistriú sonraí pearsanta a nochtann tionscnamh ciníoch nó eitneach, tuairimí polaitiúla, creideamh reiligiúnach nó fealsúnach, nó ballraíocht i gceardchumann, nó inarbh é a bheidh á aistriú sonraí géiniteacha, sonraí bithmhéadracha chun duine nádúrtha a shainaithint go huathúil, sonraí a bhaineann le sláinte nó saol gnéis duine nó gnéaschlaonadh duine, nó sonraí a bhaineann le ciontuithe coiriúla nó cionta (dá ngairfear “sonraí íogaire” anseo feasta), cuirfidh an t-allmhaireoir sonraí srianta sonracha agus/nó coimircí breise i bhfeidhm a bheidh curtha in oiriúint do chineál sonrach na sonraí agus na rioscaí lena mbaineann. Ar na srianta agus na sonraí ab fhéidir a chur i bhfeidhm, tá srian a chur leis an bpearsanra a bhfuil cead acu rochtain a fháil ar shonraí pearsanta, bearta slándála breise (bréagainmniú, mar shampla) nó srianta breise maidir le nochtadh breise.

8.7.   Aistrithe ar aghaidh

Ní nochtfaidh an t-allmhaireoir sonraí na sonraí pearsanta do thríú páirtí atá lonnaithe lasmuigh den Aontas Eorpach (3) (sa tír chéanna ina bhfuil an t-allmhaireoir sonraí lonnaithe nó i dtríú tír eile, rud dá ngairfear “aistriú ar aghaidh” anseo feasta) mura rud é go bhfuil an tríú páirtí faoi cheangal ag na Clásail sin, nó go n-aontaíonn sé a bheith faoi cheangal acu, faoin Modúl iomchuí. Mura bhfuil sin i gceist, ní fhéadfaidh an t-allmhaireoir sonraí aistriú ar aghaidh a dhéanamh ach má bhíonn na nithe seo a leanas i gceist:

(i)

an tír chun a n-aistrítear, is tír í a thairbhíonn de chinneadh leordhóthanachta de bhun Airteagal 45 de Rialachán (AE) 2016/679 lena gcumhdaítear an t-aistriú ar aghaidh;

(ii)

déanann an tríú páirtí coimircí iomchuí a áirithiú ar bhealach eile de bhun Airteagal 46 nó Airteagal 47 de Rialachán (AE) 2016/679 i ndáil leis an bpróiseáil atá i gceist;

(iii)

déanann an tríú páirtí ionstraim cheangailteach leis an allmhaireoir sonraí, ionstraim lena n-áirithítear an leibhéal céanna cosanta sonraí agus a áirithítear faoi na Clásail seo, agus déanann an t-allmhaireoir sonraí cóip de na coimircí sin a chur ar fáil don onnmhaireoir sonraí;

(iv)

is gá sin chun éilimh dhlíthiúla a bhunú, a fheidhmiú nó a chosaint i gcomhthéacs imeachtaí sonracha riaracháin, rialála nó breithiúnacha;

(v)

is gá sin chun leasanna ríthábhachtacha an ábhair sonraí nó duine nádúrtha eile a chosaint; nó

(vi)

i gcás nach mbeidh feidhm ag aon cheann de na coinníollacha eile, toiliú sainráite a bheith faighte ag an allmhaireoir sonraí ón ábhar sonraí maidir le haistriú ar aghaidh i gcás ar leith, tar éis an duine sin a chur ar an eolas i ndáil le cuspóir nó cuspóirí an aistrithe, le céannacht an fhaighteora agus na leis rioscaí óna thaobh seisean a d’fhéadfadh eascairt as an aistriú sin d’uireasa coimircí iomchuí maidir le cosaint sonraí. Sa chás sin, cuirfidh an t-allmhaireoir sonraí an t-onnmhaireoir sonraí ar an eolas agus, arna iarraidh sin don onnmhaireoir sonraí, cuirfidh sé cóip den fhaisnéis a cuireadh ar fáil don ábhar sonraí chuig an onnmhaireoir sonraí.

Ní fhéadfar aon aistriú ar aghaidh a dhéanamh ach amháin má chomhlíonann an t-allmhaireoir sonraí gach coimirce eile faoi na Clásail sin, teorannú de réir cuspóra go háirithe.

8.8.   Próiseáil faoi údarás an allmhaireora sonraí

Áiritheoidh an t-allmhaireoir sonraí nach ndéanfaidh aon duine atá ag gníomhú faoina údarás, lena n-áirítear próiseálaí, na sonraí a phróiseáil ach amháin ar threoracha a fháil uaidhsean.

8.9.   Doiciméid agus comhlíontacht

(a)

Beidh gach Páirtí in ann comhlíonadh a chuid oibleagáidí faoi na Clásail seo a chruthú. Go háirithe, coinneoidh an t-allmhaireoir sonraí doiciméadacht iomchuí maidir leis na gníomhaíochtaí próiseála a dhéanfar faoina chúram.

(b)

Cuirfidh an t-allmhaireoir sonraí an doiciméadacht sin ar fáil don údarás maoirseachta inniúil ach sin a iarraidh air.

MODÚL A DÓ: Aistriú ó rialaitheoir chuig próiseálaí

8.1.   Treoracha

(a)

Ní dhéanfaidh an t-allmhaireoir sonraí na sonraí pearsanta a phróiseáil ach amháin ar threoracha doiciméadaithe a fháil ón onnmhaireoir sonraí. Féadfaidh an t-onnmhaireoir sonraí treoracha den sórt sin a thabhairt le linn thréimhse an chonartha.

(b)

Cuirfidh an t-allmhaireoir sonraí an t-onnmhaireoir sonraí ar an eolas láithreach mura bhfuil sé in ann na treoracha sin a leanúint.

8.2.   Teorannú de réir cuspóra

Ní dhéanfaidh an t-allmhaireoir sonraí na sonraí pearsanta a phróiseáil ach amháin chun críche sonraí nó chun críoch sonrach an aistrithe, nithe a leagtar amach in Iarscríbhinn I.B, seachas ar thuilleadh treoracha a fháil ón onnmhaireoir sonraí.

8.3.   Trédhearcacht

Déanfaidh an t-onnmhaireoir sonraí cóip de na Clásail seo, lena n-áirítear an Fhoscríbhinn agus í líonta isteach ag na Páirtithe, a chur ar fáil saor in aisce don ábhar sonraí. A mhéid is gá chun rúin ghnó nó faisnéis rúnda eile a chosaint, rud lena n-áirítear na bearta a bhfuil tuairisc orthu in Iarscríbhinn II agus sonraí pearsanta, féadfaidh an t-onnmhaireoir sonraí cuid de théacs na Foscríbhinne a ghabhann leis na Clásail seo a fholú sula roinnfidh sé cóip, ach cuirfidh sé achoimre fhóinteach ar fáil i gcás nach mbeadh an t-ábhar sonraí in ann ábhar na Foscríbhinne a thuiscint nó a chearta a fheidhmiú murach an achoimre sin. Ach sin a iarraidh orthu, na fáthanna atá leis an bhfolú, cuirfidh na Páirtithe in iúl don duine is ábhar do na sonraí iad a mhéid is féidir gan an fhaisnéis a cuireadh in eagar a nochtadh. Tá an Clásal sin gan dochar d’oibleagáidí an onnmhaireora sonraí faoi Airteagail 13 agus 14 de Rialachán (AE) 2016/679.

8.4.   Cruinneas

Má thagann an t-allmhaireoir sonraí ar an eolas go bhfuil na sonraí pearsanta a fuair sé míchruinn, nó go bhfuil siad as dáta, cuirfidh sé an t-onnmhaireoir sonraí ar an eolas faoin méid sin gan moill mhíchuí. Sa chás sin, oibreoidh an t-allmhaireoir sonraí i gcomhar leis an onnmhaireoir sonraí chun na sonraí a léirscriosadh nó a cheartú.

8.5.   Fad na próiseála agus sonraí a léirscriosadh nó a thabhairt ar ais

Ní dhéanfaidh an t-allmhaireoir sonraí an phróiseáil ach ar feadh na tréimhse a shonraítear in Iarscríbhinn I.B. Nuair a bheidh deireadh le soláthar na seirbhísí próiseála, déanfaidh an t-allmhaireoir sonraí ceann den dá ní seo a leanas de réir rogha an onnmhaireora sonraí – na sonraí pearsanta uile a próiseáladh thar ceann an onnmhaireora sonraí a scriosadh agus a dheimhniú don onnmhaireoir sonraí go ndearna sé amhlaidh, nó na sonraí sin a thabhairt ar ais don onnmhaireoir sonraí agus cóipeanna atá ann díobh a scriosadh. Go dtí go ndéanfar na sonraí a scriosadh nó a chur ar ais, áiritheoidh an t-allmhaireoir sonraí i gcónaí go gcomhlíonfar na Clásail sin. Más amhlaidh atá dlíthe áitiúla ann a bhfuil feidhm acu maidir leis an allmhaireoir sonraí agus a chuireann toirmeasc ar na sonraí pearsanta a thabhairt ar ais nó a scriosadh, barántaíonn an t-allmhaireoir sonraí go leanfaidh sé de chomhlíonadh na gClásal seo a áirithiú agus nach bpróiseálfaidh sé na sonraí pearsanta ach a mhéid agus a fhad is gá faoin dlí áitiúil sin. Tá an méid sin gan dochar do Chlásal 14, go háirithe an ceanglas faoi Chlásal 14(e) go dtabharfaidh an t-allmhaireoir sonraí fógra don onnmhaireoir sonraí le linn ré an chonartha má tá cúis aige lena chreidiúint go bhfuil sé faoi réir dlíthe nó cleachtais nach bhfuil i gcomhréir leis na ceanglais faoi Chlásal 14(a), nó go bhfuil sé tagtha i gceist go bhfuil sé faoi réir dlíthe nó cleachtais den sórt sin.

8.6.   Slándáil na próiseála

(a)

An t-allmhaireoir sonraí, agus an t-onnmhaireoir sonraí freisin le linn an tarchuir, cuirfidh siad bearta teicniúla agus eagraíochtúla iomchuí chun feidhme chun slándáil na sonraí a áirithiú, rud lena n-áirítear cosaint ar shárú slándála as a dtiocfadh scrios, cailleadh, nó athrú neamhdhleathach nó de thaisme, nó as a dtiocfadh nochtadh neamhúdaraithe na sonraí sin nó rochtain neamhúdaraithe orthu (“sárú ar shonraí pearsanta” anseo feasta). Agus measúnú á dhéanamh acu ar an leibhéal iomchuí slándála, tabharfaidh na Páirtithe aird chuí ar an úrscothacht, ar na costais a bhaineann le cur chun feidhme, ar chineál, raon feidhme, comhthéacs agus cuspóir nó cuspóirí na próiseála, agus ar na rioscaí a bhaineann leis an bpróiseáil ó thaobh na n-ábhar sonraí. Smaoineoidh na Páirtithe go háirithe ar dhul ar iontaoibh criptithe nó bréagainmnithe, lena n-áirítear le linn an tarchuir, i gcás inar féidir cuspóir na próiseála a chomhlíonadh ar an mbealach sin. I gcás ina mbeidh bréagainmniú i gceist, más féidir, is faoi rialú eisiach an onnmhaireora sonraí a bheidh an fhaisnéis bhreise a bhaineann leis na sonraí pearsanta a shannadh don ábhar sonraí sonrach go fóill. Agus a chuid oibleagáidí faoin mír seo á gcomhlíonadh aige, déanfaidh an t-allmhaireoir sonraí na bearta teicniúla agus eagraíochtúla a shonraítear in Iarscríbhinn II a chur chun feidhme ar a laghad. Déanfaidh an t-allmhaireoir sonraí seiceálacha rialta chun a áirithiú go leanfaidh na bearta sin de leibhéal iomchuí slándála a chur ar fáil.

(b)

Ní thabharfaidh an t-allmhaireoir sonraí rochtain ar na sonraí pearsanta do bhaill a phearsanra ach amháin a mhéid is fíorghá chun an conradh a chur chun feidhme, a bhainistiú agus chun faireachán a dhéanamh air. Áiritheoidh sé go bhfuil gealltanas rúndachta tugtha ag na daoine atá údaraithe chun na sonraí pearsanta a phróiseáil nó go bhfuil siad faoi oibleagáid rúndachta reachtúil iomchuí.

(c)

I gcás sárú ar shonraí pearsanta a bhaineann le sonraí pearsanta a phróiseáil an t-allmhaireoir sonraí faoi na Clásail sin, déanfaidh an t-allmhaireoir sonraí bearta iomchuí chun aghaidh a thabhairt ar an sárú, rud lena n-áireofar bearta chun éifeachtaí díobhálacha an tsáraithe a mhaolú. Ina theannta sin, tabharfaidh an t-allmhaireoir sonraí fógra don onnmhaireoir sonraí gan moill mhíchuí tar éis dó a fháil amach gur tharla an sárú. San fhógra sin beidh sonraí pointe teagmhála ónar féidir níos mó faisnéise a fháil, tuairisc ar chineál an tsáraithe (lena n-áirítear, i gcás inar féidir, catagóirí agus neas-líon na n-ábhar sonraí agus na dtaifead sonraí pearsanta lena mbaineann), na hiarmhairtí is dócha a bheidh aige agus na bearta a rinneadh nó atá beartaithe chun aghaidh a thabhairt ar an sárú, lena n-áirítear, i gcás inarb iomchuí, bearta chun na héifeachtaí díobhálacha a d’fhéadfadh a bheith aige a mhaolú. I gcás nach féidir, agus a mhéid nach féidir, an fhaisnéis go léir a chur ar fáil an tráth céanna, is éard a bheidh sa chéad fhógra an fhaisnéis a bheidh ar fáil ag an am, agus cuirfear tuilleadh faisnéise ar fáil ina dhiaidh sin gan moill mhíchuí de réir mar a bheidh sí ar fáil.

(d)

Oibreoidh an t-allmhaireoir sonraí i gcomhar leis an onnmhaireoir sonraí agus cuideoidh sé leis an onnmhaireoir sonraí ionas gur féidir leis an onnmhaireoir a chuid oibleagáidí faoi Rialachán (AE) 2016/679 a chomhlíonadh, go háirithe an oibleagáid fógra a thabhairt don údarás maoirseachta inniúil agus do na hábhair sonraí lena mbaineann, agus cineál na próiseála agus an fhaisnéis atá ar fáil don allmhaireoir sonraí á gcur san áireamh.

8.7.   Sonraí íogaire

I gcás inar cuid dá bhfuil á aistriú sonraí pearsana a nochtann tionscnamh ciníoch nó eitneach, tuairimí polaitiúla, creideamh reiligiúnach nó fealsúnach, nó ballraíocht i gceardchumann, nó inarbh é a bheidh á aistriú sonraí géiniteacha, sonraí bithmhéadracha chun duine nádúrtha a shainaithint go huathúil, sonraí a bhaineann le sláinte nó saol gnéis duine nó gnéaschlaonadh duine, nó sonraí a bhaineann le ciontuithe coiriúla nó cionta (dá ngairfear “sonraí íogaire” anseo feasta), cuirfidh an t-allmhaireoir sonraí i bhfeidhm na srianta sonracha agus/nó na coimircí breise a bhfuil tuairisc orthu in Iarscríbhinn I.B.

8.8.   Aistrithe ar aghaidh

Ní nochtfaidh an t-allmhaireoir sonraí na sonraí pearsanta do thríú páirtí ach ar threoracha doiciméadaithe a fháil ón onnmhaireoir sonraí. Ina theannta sin, ní fhéadfar na sonraí a nochtadh do thríú páirtí atá lonnaithe lasmuigh den Aontas Eorpach (4) (sa tír chéanna ina bhfuil an t-allmhaireoir sonraí lonnaithe nó i dtríú tír eile, rud dá ngairfear “aistriú ar aghaidh” anseo feasta) má bhíonn an tríú páirtí faoi cheangal ag na Clásail sin, nó má aontaíonn sé a bheith faoi cheangal acu, faoin Modúl iomchuí, nó má bhíonn na nithe seo a leanas i gceist:

(i)

an tír chun a n-aistrítear na sonraí ar aghaidh, is tír í a thairbhíonn de chinneadh leordhóthanachta de bhun Airteagal 45 de Rialachán (AE) 2016/679 lena gcumhdaítear an t-aistriú ar aghaidh;

(ii)

déanann an tríú páirtí coimircí iomchuí a áirithiú ar bhealach eile de bhun Airteagail 46 nó 47 de Rialachán (AE) 2016/679 i ndáil leis an bpróiseáil atá i gceist;

(iii)

tá gá leis an aistriú ar aghaidh chun éilimh dhlíthiúla a bhunú, a fheidhmiú nó a chosaint i gcomhthéacs imeachtaí sonracha riaracháin, rialála nó breithiúnacha; nó

(iv)

tá gá leis an aistriú ar aghaidh chun leasanna ríthábhachtacha an ábhair sonraí nó duine nádúrtha eile a chosaint.

Ní fhéadfar aon aistriú ar aghaidh a dhéanamh ach amháin má chomhlíonann an t-allmhaireoir sonraí gach coimirce eile faoi na Clásail sin, teorannú de réir cuspóra go háirithe.

8.9.   Doiciméid agus comhlíontacht

(a)

Déileálfaidh an t-allmhaireoir sonraí go pras agus go leordhóthanach le fiosrúcháin ón onnmhaireoir sonraí a bhaineann leis an bpróiseáil faoi na Clásail seo.

(b)

Beidh na Páirtithe in ann a chruthú go bhfuil na Clásail seo á gcomhlíonadh acu. Go háirithe, coinneoidh an t-allmhaireoir sonraí doiciméadacht iomchuí maidir leis na gníomhaíochtaí próiseála a dhéanfar thar ceann an onnmhaireora sonraí.

(c)

Cuirfidh an t-allmhaireoir sonraí an fhaisnéis uile is gá ar fáil don onnmhaireoir sonraí chun a chruthú go bhfuil na hoibleagáidí a leagtar amach sna Clásail seo á gcomhlíonadh, agus ar iarraidh a fháil ón onnmhaireoir sonraí, ceadóidh sé iniúchtaí ar na gníomhaíochtaí próiseála a chumhdaítear leis na Clásail seo ag eatraimh réasúnta nó má bhíonn comharthaí neamhchomhlíontachta ann, agus rannchuideoidh sé leis na hiniúchtaí céanna. Agus cinneadh á dhéanamh maidir le hathbhreithniú nó iniúchadh, féadfaidh an t-onnmhaireoir sonraí deimhnithe ábhartha atá i seilbh an allmhaireora sonraí a chur san áireamh.

(d)

Féadfaidh an t-onnmhaireoir sonraí togradh an t-iniúchadh a dhéanamh as féin nó sainordú a thabhairt d’iniúchóir neamhspleách. Féadfar cigireachtaí ag áitreabh nó ag saoráidí fisiciúla an allmhaireora sonraí a chuimsiú sna hiniúchtaí freisin agus, i gcás inarb iomchuí, déanfar iad le fógra réasúnta.

(e)

An fhaisnéis dá dtagraítear i míreanna (b) agus (c), lena n-áirítear torthaí aon iniúchta, cuirfidh na Páirtithe ar fáil í don údarás maoirseachta inniúil ach sin a iarraidh orthu.

MODÚL A TRÍ: Aistriú ó phróiseálaí chuig próiseálaí

8.1.   Treoracha

(a)

Chuir an t-onnmhaireoir sonraí in iúl don allmhaireoir sonraí go bhfuil sé ag gníomhú mar phróiseálaí faoi threoracha a rialaitheora nó a rialaitheoirí, agus cuirfidh an t-onnmhaireoir sonraí na sonraí ar fáil don allmhaireoir sonraí roimh an bpróiseáil.

(b)

Ní phróiseálfaidh an t-allmhaireoir sonraí na sonraí pearsanta ach de réir treoracha doiciméadaithe a fháil ón rialaitheoir, mar a chuirfidh an t-onnmhaireoir sonraí na treoracha sin in iúl don allmhaireoir sonraí, agus de réir aon treoir dhoiciméadaithe bhreise ón onnmhaireoir sonraí. Ní thiocfaidh na treoracha breise sin salach ar na treoracha ón rialaitheoir. Féadfaidh an rialaitheoir nó an t-onnmhaireoir sonraí treoracha doiciméadaithe breise a thabhairt maidir leis an bpróiseáil sonraí i rith fhad an chonartha.

(c)

Cuirfidh an t-allmhaireoir sonraí an t-onnmhaireoir sonraí ar an eolas láithreach mura bhfuil sé in ann na treoracha sin a leanúint. I gcás nach mbeidh an t-allmhaireoir sonraí in ann treoracha an rialaitheora a leanúint, cuirfidh an t-onnmhaireoir sonraí an rialaitheoir ar an eolas faoi sin láithreach.

(d)

Barántaíonn an t-onnmhaireoir sonraí go bhfuil na hoibleagáidí céanna maidir le cosaint sonraí forchurtha aige ar an allmhaireoir sonraí agus a leagtar amach sa chonradh idir an rialaitheoir agus an t-onnmhaireoir sonraí, nó i ngníomh dlíthiúil eile eatarthu faoi dhlí an Aontais nó faoi dhlí Ballstáit (5).

8.2.   Teorannú de réir cuspóra

Ní phróiseálfaidh an t-allmhaireoir sonraí na sonraí pearsanta ach amháin chun críche sonraí nó chun críoch sonrach an aistrithe, nithe a leagtar amach in Iarscríbhinn I.B, seachas ar thuilleadh treoracha a fháil ón rialaitheoir, faoi mar a chuirfidh an t-onnmhaireoir sonraí na treoracha sin in iúl don allmhaireoir sonraí, nó ar thuilleadh treoracha a fháil ón onnmhaireoir sonraí.

8.3.   Trédhearcacht

Déanfaidh an t-onnmhaireoir sonraí cóip de na Clásail seo, lena n-áirítear an Fhoscríbhinn agus í líonta isteach ag na Páirtithe, a chur ar fáil saor in aisce don ábhar sonraí. A mhéid is gá chun rúin ghnó nó faisnéis rúnda eile, lena n-áirítear sonraí pearsanta, a chosaint, féadfaidh an t-onnmhaireoir sonraí téacs na Foscríbhinne a fholú sula roinnfidh siad cóip, ach soláthróidh siad achoimre fhóinteach i gcás nach mbeadh an t-ábhar sonraí in ann ábhar na Foscríbhinne a thuiscint nó a chearta a fheidhmiú murach an achoimre sin. Ach sin a iarraidh orthu, na fáthanna atá leis an bhfolú, cuirfidh na Páirtithe in iúl don duine is ábhar do na sonraí iad a mhéid is féidir gan an fhaisnéis a cuireadh in eagar a nochtadh.

8.4.   Cruinneas

Má thagann an t-allmhaireoir sonraí ar an eolas go bhfuil na sonraí pearsanta a fuair sé míchruinn, nó go bhfuil siad as dáta, cuirfidh sé an t-onnmhaireoir sonraí ar an eolas faoin méid sin gan moill mhíchuí. Sa chás sin, oibreoidh an t-allmhaireoir sonraí i gcomhar leis an onnmhaireoir sonraí chun na sonraí a léirscriosadh nó a cheartú.

8.5.   Fad na próiseála agus sonraí a léirscriosadh nó a thabhairt ar ais

Ní dhéanfaidh an t-allmhaireoir sonraí an phróiseáil ach ar feadh na tréimhse a shonraítear in Iarscríbhinn I.B. Nuair a bheidh deireadh le soláthar na seirbhísí próiseála, déanfaidh an t-allmhaireoir sonraí ceann den dá ní seo a leanas de réir rogha an onnmhaireora sonraí – na sonraí pearsanta uile a próiseáladh thar ceann an phróiseálaí a scriosadh agus a dheimhniú don onnmhaireoir sonraí go ndearna sé amhlaidh, nó na sonraí sin a thabhairt ar ais don onnmhaireoir sonraí agus cóipeanna atá ann díobh a scriosadh. Go dtí go ndéanfar na sonraí a scriosadh nó a chur ar ais, áiritheoidh an t-allmhaireoir sonraí i gcónaí go gcomhlíonfar na Clásail sin. Más amhlaidh atá dlíthe áitiúla ann a bhfuil feidhm acu maidir leis an allmhaireoir sonraí agus a chuireann toirmeasc ar na sonraí pearsanta a thabhairt ar ais nó a scriosadh, barántaíonn an t-allmhaireoir sonraí go leanfaidh sé de chomhlíonadh na gClásal seo a áirithiú agus nach bpróiseálfaidh sé na sonraí pearsanta ach a mhéid agus a fhad is gá faoin dlí áitiúil sin. Tá an méid sin gan dochar do Chlásal 14, go háirithe an ceanglas faoi Chlásal 14(e) go dtabharfaidh an t-allmhaireoir sonraí fógra don onnmhaireoir sonraí le linn ré an chonartha má tá cúis aige lena chreidiúint go bhfuil sé faoi réir dlíthe nó cleachtais nach bhfuil i gcomhréir leis na ceanglais faoi Chlásal 14(a), nó go bhfuil sé tagtha i gceist go bhfuil sé faoi réir dlíthe nó cleachtais den sórt sin.

8.6.   Slándáil na próiseála

(a)

An t-allmhaireoir sonraí, agus an t-onnmhaireoir sonraí freisin le linn an tarchuir, cuirfidh siad bearta teicniúla agus eagraíochtúla iomchuí chun feidhme chun slándáil na sonraí a áirithiú, rud lena n-áirítear cosaint ar shárú slándála as a dtiocfadh scrios, cailleadh, nó athrú neamhdhleathach nó de thaisme, nó as a dtiocfadh nochtadh neamhúdaraithe na sonraí sin nó rochtain neamhúdaraithe orthu (“sárú ar shonraí pearsanta” anseo feasta). Agus measúnú á dhéanamh acu ar an leibhéal iomchuí slándála, tabharfaidh siad aird chuí ar an úrscothacht, ar na costais a bhaineann le cur chun feidhme, ar chineál, raon feidhme, comhthéacs agus cuspóir nó cuspóirí na próiseála, agus ar na rioscaí a bhaineann leis an bpróiseáil ó thaobh an ábhair sonraí. Smaoineoidh na Páirtithe go háirithe ar dhul ar iontaoibh criptithe nó bréagainmnithe, lena n-áirítear le linn an tarchuir, i gcás inar féidir cuspóir na próiseála a chomhlíonadh ar an mbealach sin. I gcás ina mbeidh bréagainmniú i gceist, más féidir, is faoi rialú eisiach an onnmhaireora sonraí nó an rialaitheora a bheidh an fhaisnéis bhreise a bhaineann leis na sonraí pearsanta a shannadh don ábhar sonraí go fóill. Agus a chuid oibleagáidí faoin mír seo á gcomhlíonadh aige, déanfaidh an t-allmhaireoir sonraí na bearta teicniúla agus eagraíochtúla a shonraítear in Iarscríbhinn II a chur chun feidhme ar a laghad. Déanfaidh an t-allmhaireoir sonraí seiceálacha rialta chun a áirithiú go leanfaidh na bearta sin de leibhéal iomchuí slándála a chur ar fáil.

(b)

Ní thabharfaidh an t-allmhaireoir sonraí rochtain ar na sonraí do bhaill a phearsanra ach amháin a mhéid is fíorghá chun an conradh a chur chun feidhme, a bhainistiú agus chun faireachán a dhéanamh air. Áiritheoidh sé go bhfuil gealltanas rúndachta tugtha ag na daoine atá údaraithe chun na sonraí pearsanta a phróiseáil nó go bhfuil siad faoi oibleagáid rúndachta reachtúil iomchuí.

(c)

I gcás sárú ar shonraí pearsanta a bhaineann le sonraí pearsanta a phróiseáil an t-allmhaireoir sonraí faoi na Clásail sin, déanfaidh an t-allmhaireoir sonraí bearta iomchuí chun aghaidh a thabhairt ar an sárú, rud lena n-áireofar bearta chun éifeachtaí díobhálacha an tsáraithe a mhaolú. Ina theannta sin, tabharfaidh an t-allmhaireoir sonraí fógra don onnmhaireoir sonraí gan moill mhíchuí, agus i gcás inarb iomchuí agus inar féidir, tabharfaidh sé fógra freisin don rialaitheoir tar éis dó a fháil amach gur tharla an sárú. San fhógra sin beidh sonraí pointe teagmhála ónar féidir níos mó faisnéise a fháil, tuairisc ar chineál an tsáraithe (lena n-áirítear, i gcás inar féidir, catagóirí agus neas-líon na n-ábhar sonraí agus na dtaifead sonraí pearsanta lena mbaineann), na hiarmhairtí is dócha a bheidh aige agus na bearta a rinneadh nó atá beartaithe chun aghaidh a thabhairt ar an sárú ar shonraí, lena n-áirítear bearta chun na héifeachtaí díobhálacha a d’fhéadfadh a bheith aige a mhaolú. I gcás nach féidir, agus a mhéid nach féidir, an fhaisnéis go léir a chur ar fáil an tráth céanna, is éard a bheidh sa chéad fhógra an fhaisnéis a bheidh ar fáil ag an am, agus cuirfear tuilleadh faisnéise ar fáil ina dhiaidh sin gan moill mhíchuí de réir mar a bheidh sí ar fáil.

(d)

Oibreoidh an t-allmhaireoir sonraí i gcomhar leis an onnmhaireoir sonraí agus cuideoidh sé leis an onnmhaireoir sonraí ionas gur féidir leis an onnmhaireoir a chuid oibleagáidí faoi Rialachán (AE) 2016/679 a chomhlíonadh, go háirithe chun fógra a thabhairt don rialaitheoir ionas gur féidir leis an rialaitheoir fógra a thabhairt ina dhiaidh sin don údarás maoirseachta inniúil agus do na hábhair sonraí lena mbaineann, agus cineál na próiseála agus an fhaisnéis atá ar fáil don allmhaireoir sonraí á gcur san áireamh.

8.7.   Sonraí íogaire

I gcás inar cuid dá bhfuil á aistriú sonraí pearsana a nochtann tionscnamh ciníoch nó eitneach, tuairimí polaitiúla, creideamh reiligiúnach nó fealsúnach, nó ballraíocht i gceardchumann, nó inarbh é a bheidh á aistriú sonraí géiniteacha, sonraí bithmhéadracha chun duine nádúrtha a shainaithint go huathúil, sonraí a bhaineann le sláinte nó saol gnéis duine nó gnéaschlaonadh duine, nó sonraí a bhaineann le ciontuithe coiriúla nó cionta (dá ngairfear “sonraí íogaire” anseo feasta), cuirfidh an t-allmhaireoir sonraí i bhfeidhm na srianta sonracha agus/nó na coimircí breise a bhfuil tuairisc orthu in Iarscríbhinn I.B.

8.8.   Aistrithe ar aghaidh

Ní nochtfaidh an t-allmhaireoir sonraí na sonraí pearsanta do thríú páirtí ach ar threoracha doiciméadaithe a fháil ón rialaitheoir, de réir mar a chuirfidh an t-onnmhaireoir sonraí na treoracha sin in iúl don allmhaireoir sonraí. Ina theannta sin, ní fhéadfar na sonraí a nochtadh do thríú páirtí atá lonnaithe lasmuigh den Aontas Eorpach (6) (sa tír chéanna ina bhfuil an t-allmhaireoir sonraí lonnaithe nó i dtríú tír eile, rud dá ngairfear “aistriú ar aghaidh” anseo feasta) má bhíonn an tríú páirtí faoi cheangal ag na Clásail sin, nó má aontaíonn sé a bheith faoi cheangal acu, faoin Modúl iomchuí, nó má bhíonn na nithe seo a leanas i gceist:

(i)

an tír chun a n-aistrítear na sonraí ar aghaidh, is tír í a thairbhíonn de chinneadh leordhóthanachta de bhun Airteagal 45 de Rialachán (AE) 2016/679 lena gcumhdaítear an t-aistriú ar aghaidh;

(ii)

déanann an tríú páirtí coimircí iomchuí a áirithiú ar bhealach eile de bhun Airteagal 46 nó Airteagal 47 de Rialachán (AE) 2016/679;

(iii)

tá gá leis an aistriú ar aghaidh chun éilimh dhlíthiúla a bhunú, a fheidhmiú nó a chosaint i gcomhthéacs imeachtaí sonracha riaracháin, rialála nó breithiúnacha; nó

(iv)

tá gá leis an aistriú ar aghaidh chun leasanna ríthábhachtacha an ábhair sonraí nó duine nádúrtha eile a chosaint.

Ní fhéadfar aon aistriú ar aghaidh a dhéanamh ach amháin má chomhlíonann an t-allmhaireoir sonraí gach coimirce eile faoi na Clásail sin, teorannú de réir cuspóra go háirithe.

8.9.   Doiciméid agus comhlíontacht

(a)

Fiosrúcháin ón onnmhaireoir sonraí nó ón rialaitheoir, ar fiosrúcháin iad a bhaineann leis an bpróiseáil faoi na Clásail seo, déileálfaidh an t-allmhaireoir sonraí go pras leordhóthanach leo.

(b)

Beidh na Páirtithe in ann a chruthú go bhfuil na Clásail seo á gcomhlíonadh acu. Go háirithe, coinneoidh an t-allmhaireoir sonraí doiciméadacht iomchuí maidir leis na gníomhaíochtaí próiseála a dhéanfar thar ceann an rialaitheora.

(c)

An fhaisnéis uile is gá chun a chruthú go bhfuil na hoibleagáidí a leagtar amach sna Clásail seo á gcomhlíonadh, cuirfidh an t-allmhaireoir sonraí an fhaisnéis sin ar fáil don onnmhaireoir sonraí, agus cuirfidh seisean ar fáil don rialaitheoir í.

(d)

An t-allmhaireoir sonraí iniúchtaí a dhéanamh ar na gníomhaíochtaí próiseála a chumhdaítear leis na Clásail seo ag eatraimh réasúnta nó má bhíonn comharthaí neamhchomhlíontachta ann, ceadóidh an t-allmhaireoir sonraí sin agus rannchuideoidh sé leis na hiniúchtaí céanna. Beidh feidhm ag an méid sin freisin i gcás ina n-iarrfaidh an t-onnmhaireoir sonraí iniúchadh ar threoracha a fháil ón rialaitheoir. Agus cinneadh á dhéanamh maidir le hiniúchadh, féadfaidh an t-onnmhaireoir sonraí deimhnithe ábhartha atá i seilbh an allmhaireora sonraí a chur san áireamh.

(e)

I gcás ina ndéantar an t-iniúchadh ar threoracha a fháil ón rialaitheoir, cuirfidh an t-onnmhaireoir sonraí na torthaí ar fáil don rialaitheoir.

(f)

Féadfaidh an t-onnmhaireoir sonraí togradh an t-iniúchadh a dhéanamh as féin nó sainordú a thabhairt d’iniúchóir neamhspleách. Féadfar cigireachtaí ag áitreabh nó ag saoráidí fisiciúla an allmhaireora sonraí a chuimsiú sna hiniúchtaí freisin agus, i gcás inarb iomchuí, déanfar iad le fógra réasúnta.

(g)

An fhaisnéis dá dtagraítear i míreanna (b) agus (c), lena n-áirítear torthaí aon iniúchta, cuirfidh na Páirtithe ar fáil í don údarás maoirseachta inniúil ach sin a iarraidh orthu.

MODÚL A CEATHAIR: Aistriú ó phróiseálaí chuig rialaitheoir

8.1.   Treoracha

(a)

Ní dhéanfaidh an t-onnmhaireoir sonraí na sonraí pearsanta a phróiseáil ach amháin ar threoracha doiciméadaithe a fháil ón allmhaireoir sonraí atá ag feidhmiú ina rialaitheoir aige.

(b)

Cuirfidh an t-onnmhaireoir sonraí an t-allmhaireoir sonraí ar an eolas láithreach mura bhfuil sé in ann na treoracha sin a leanúint, lena n-áirítear má sháraíonn na treoracha sin Rialachán (AE) 2016/679 nó dlí eile maidir le cosaint sonraí de chuid an Aontais nó de chuid Ballstáit.

(c)

Staonfaidh an t-allmhaireoir sonraí ó aon ghníomhaíocht a chuirfeadh cosc ar an onnmhaireoir sonraí a chuid oibleagáidí faoi Rialachán (AE) 2016/679 a chomhlíonadh, lena n-áirítear i gcomhthéacs na fophróiseála nó maidir le comhar le húdaráis mhaoirseachta inniúla.

(d)

Nuair a bheidh deireadh le soláthar na seirbhísí próiseála, déanfaidh an t-onnmhaireoir sonraí ceann den dá ní seo a leanas de réir rogha an allmhaireora sonraí – na sonraí pearsanta uile a próiseáladh thar ceann an allmhaireora sonraí a scriosadh agus a dheimhniú don allmhaireoir sonraí go ndearna sé amhlaidh, nó na sonraí sin a thabhairt ar ais don allmhaireoir sonraí agus cóipeanna atá ann díobh a scriosadh.

8.2.   Slándáil na próiseála

(a)

Déanfaidh na Páirtithe bearta teicniúla agus eagraíochtúla iomchuí a chur chun feidhme chun slándáil na sonraí a áirithiú, lena n-áirítear le linn a dtarchuir, agus chun a áirithiú go mbeifear cosanta ar shárú slándála as a n-eascróidh scrios, cailleadh, athrú, nochtadh neamhúdaraithe nó rochtain neamhúdaraithe (dá ngairfear “sárú ar shonraí pearsanta” anseo feasta). Agus measúnú á dhéanamh acu ar an leibhéal iomchuí slándála, tabharfaidh siad aird chuí ar an úrscothacht, ar na costais a bhaineann le cur chun feidhme, ar chineál na sonraí pearsanta (7), ar chineál, raon feidhme, comhthéacs agus cuspóir nó cuspóirí na próiseála, agus ar na rioscaí a bhaineann leis an bpróiseáil ó thaobh an ábhair sonraí, agus smaoineoidh siad ar dhul ar iontaoibh an chriptithe nó an bhréagainmnithe go háirithe, lena n-áirítear le linn an tarchuir, i gcás inar féidir cuspóir na próiseála a chomhlíonadh ar an mbealach sin.

(b)

Cuideoidh an t-onnmhaireoir sonraí leis an allmhaireoir sonraí slándáil iomchuí a áirithiú i leith na sonraí i gcomhréir le mír (a). I gcás sárú ar shonraí pearsanta a bhaineann leis na sonraí pearsanta a phróiseálann an t-onnmhaireoir sonraí faoi na Clásail seo, tabharfaidh an t-onnmhaireoir sonraí fógra don allmhaireoir sonraí gan moill mhíchuí tar éis dó a fháil amach gur tharla an sárú agus cabhróidh sé leis an allmhaireoir sonraí aghaidh a thabhairt ar an sárú.

(c)

Áiritheoidh an t-onnmhaireoir sonraí go bhfuil gealltanas rúndachta tugtha ag na daoine atá údaraithe chun na sonraí pearsanta a phróiseáil nó go bhfuil siad faoi oibleagáid rúndachta reachtúil iomchuí.

8.3.   Doiciméid agus comhlíontacht

(a)

Beidh na Páirtithe in ann a chruthú go bhfuil na Clásail seo á gcomhlíonadh acu.

(b)

Cuirfidh an t-onnmhaireoir sonraí gach faisnéis is gá ar fáil don allmhaireoir sonraí chun a chruthú go bhfuil a chuid oibleagáidí faoi na Clásail seo á gcomhlíonadh aige, ceadóidh sé iniúchtaí, agus rannchuideoidh sé leo.

Clásal 9

Fophróiseálaithe a úsáid

MODÚL A DÓ: Aistriú ó rialaitheoir chuig próiseálaí

(a)

ROGHA 1: RÉAMHÚDARÚ SONRACH Na gníomhaíochtaí próiseála a dhéantar thar ceann an onnmhaireora sonraí faoi na Clásail seo, ní dhéanfaidh an t-allmhaireoir sonraí aon cheann díobh a ligean ar fochonradh d’fhophróiseálaí gan údarú sonrach i scríbhinn a fháil roimh ré ón onnmhaireoir sonraí. Cuirfidh an t-allmhaireoir sonraí an iarraidh ar údarú sonrach isteach [Sonraítear tréimhse ama] ar a laghad sula bhfostófar an fophróiseálaí, agus cuirfidh sé isteach in éineacht leis an iarraidh an fhaisnéis is gá chun go mbeidh an t-onnmhaireoir sonraí in ann cinneadh a dhéanamh maidir leis an údarú. Is féidir liosta na bhfophróiseálaithe atá údaraithe cheana féin ag an onnmhaireoir sonraí a fháil in Iarscríbhinn III. Coimeádfaidh na Páirtithe Iarscríbhinn III cothrom le dáta.

ROGHA 2: ÚDARÚ GINEARÁLTA I SCRÍBHINN Údarú ginearálta an onnmhaireora sonraí chun fophróiseálaí nó fophróiseálaithe a fhostú ó liosta comhaontaithe, tá an t-údarú sin ag an allmhaireoir sonraí. Cuirfidh an t-allmhaireoir sonraí an t-onnmhaireoir sonraí ar an eolas go sonrach i scríbhinn faoi aon athrú a bheartaítear a dhéanamh ar an liosta sin trí fhophróiseálaithe a chur leis nó fophróiseálaí eile a chur in áit ceann atá ann [Sonraítear tréimhse ama] ar a laghad roimh ré, agus ar an gcaoi sin tabharfaidh sé a dhóthain ama don onnmhaireoir sonraí chun agóid a dhéanamh i gcoinne na n-athruithe sin sula bhfostófar an fhophróiseálaí nó na fophróiseálaithe. Cuirfidh an t-allmhaireoir sonraí an fhaisnéis is gá ar fáil don onnmhaireoir sonraí ionas go mbeidh an t-onnmhaireoir sonraí in ann a cheart chun agóid a dhéanamh a fheidhmiú.

(b)

I gcás ina bhfostóidh an t-allmhaireoir sonraí fophróiseálaí chun gníomhaíochtaí sonracha próiseála a dhéanamh (thar ceann an onnmhaireora sonraí), déanfaidh sé amhlaidh trí bhíthin conradh scríofa ina ndéanfar foráil maidir leis na hoibleagáidí cosanta sonraí céanna, ó thaobh substainte de, atá ina gceangal ar an allmhaireoir sonraí faoi na Clásail seo, lena n-áirítear ó thaobh cearta tairbhí tríú páirtí do na hábhair sonraí (8). Comhaontaíonn na Páirtithe go gcomhlíonann an t-allmhaireoir sonraí a chuid oibleagáidí faoi Chlásal 8.8 tríd an gClásal seo a chomhlíonadh. Áiritheoidh an t-allmhaireoir sonraí go gcomhlíonfaidh an fophróiseálaí na hoibleagáidí a bhfuil an t-allmhaireoir sonraí faoina réir de bhun na gClásal seo.

(c)

Ach an t-onnmhaireoir sonraí é a iarraidh air, déanfaidh an t-allmhaireoir sonraí cóip de chomhaontú den sórt sin le fophróiseálaí agus aon leasú a dhéanfar air ina dhiaidh sin a chur ar fáil don onnmhaireoir sonraí. A mhéid is gá chun rúin ghnó nó faisnéis rúnda eile, lena n-áirítear sonraí pearsanta, a chosaint, féadfaidh an t-allmhaireoir sonraí téacs an chomhaontaithe a fholú sula roinnfidh sé cóip de.

(d)

Oibleagáidí an fhophróiseálaí faoina chonradh leis an allmhaireoir sonraí, leanfaidh an t-allmhaireoir sonraí de bheith lánfhreagrach don onnmhaireoir sonraí as comhlíonadh na n-oibleagáidí sin. Tabharfaidh an t-allmhaireoir sonraí fógra don onnmhaireoir sonraí faoi aon mhainneachtain ag an bhfophróiseálaí a chuid oibleagáidí faoin gconradh sin a chomhlíonadh.

(e)

Déanfaidh an t-allmhaireoir sonraí clásal tairbhí tríú páirtí a chomhaontú leis an bhfophróiseálaí trína mbeidh sé de cheart ag an onnmhaireoir sonraí - i gcás inar imigh an t-allmhaireoir sonraí as ó thaobh fíricí de, inar scoir sé de bheith ann go dlíthiúil, nó inar éirigh sé dócmhainneach - an conradh leis an bhfophróiseálaí a fhoirceannadh agus treoir a thabhairt don fhophróiseálaí na sonraí pearsanta a léirscriosadh nó a thabhairt ar ais.

MODÚL A TRÍ: Aistriú ó phróiseálaí chuig próiseálaí

(a)

ROGHA 1: RÉAMHÚDARÚ SONRACH Na gníomhaíochtaí próiseála a dhéantar thar ceann an onnmhaireora sonraí faoi na Clásail seo, ní dhéanfaidh an t-allmhaireoir sonraí aon cheann díobh a ligean ar fochonradh d’fhophróiseálaí gan údarú sonrach i scríbhinn a fháil roimh ré ón rialaitheoir. Cuirfidh an t-allmhaireoir sonraí an iarraidh ar údarú sonrach isteach [Sonraítear tréimhse ama] ar a laghad sula bhfostófar an fophróiseálaí, agus cuirfidh sé isteach in éineacht leis an iarraidh an fhaisnéis is gá chun go mbeidh an rialaitheoir in ann cinneadh a dhéanamh maidir leis an údarú. Cuirfidh sé an t-onnmhaireoir sonraí ar an eolas faoin bhfostú sin. Is féidir liosta na bhfophróiseálaithe atá údaraithe cheana féin ag an rialaitheoir a fháil in Iarscríbhinn III. Coimeádfaidh na Páirtithe Iarscríbhinn III cothrom le dáta.

ROGHA 2: ÚDARÚ GINEARÁLTA I SCRÍHINN Údarú ginearálta an rialaitheora chun fophróiseálaí nó fophróiseálaithe a fhostú ó liosta comhaontaithe, tá an t-údarú sin ag an allmhaireoir sonraí. Cuirfidh an t-allmhaireoir sonraí an rialaitheoir ar an eolas go sonrach i scríbhinn faoi aon athrú a bheartaítear a dhéanamh ar an liosta sin trí fhophróiseálaithe a chur leis nó fophróiseálaí eile a chur in áit ceann atá ann [Sonraítear tréimhse ama] ar a laghad roimh ré, agus ar an gcaoi sin tabharfaidh sé a dhóthain ama don rialaitheoir chun agóid a dhéanamh i gcoinne na n-athruithe sin sula bhfostófar an fhophróiseálaí nó na fophróiseálaithe. Cuirfidh an t-allmhaireoir sonraí an fhaisnéis is gá ar fáil don rialaitheoir ionas go mbeidh an rialaitheoir in ann a cheart chun agóid a dhéanamh a fheidhmiú. Cuirfidh an t-allmhaireoir sonraí an t-onnmhaireoir sonraí ar an eolas faoi fhostú an fhophróiseálaí nó na bhfophróiseálaithe.

(b)

I gcás ina bhfostóidh an t-allmhaireoir sonraí fophróiseálaí chun gníomhaíochtaí sonracha próiseála a dhéanamh (thar ceann an rialaitheora), déanfaidh sé amhlaidh trí bhíthin conradh scríofa ina ndéanfar foráil maidir leis na hoibleagáidí cosanta sonraí céanna, ó thaobh substainte de, atá ina gceangal ar an allmhaireoir sonraí faoi na Clásail seo, lena n-áirítear ó thaobh cearta tairbhí tríú páirtí do na hábhair sonraí (9). Comhaontaíonn na Páirtithe go gcomhlíonann an t-allmhaireoir sonraí a chuid oibleagáidí faoi Chlásal 8.8 tríd an gClásal seo a chomhlíonadh. Áiritheoidh an t-allmhaireoir sonraí go gcomhlíonfaidh an fophróiseálaí na hoibleagáidí a bhfuil an t-allmhaireoir sonraí faoina réir de bhun na gClásal seo.

(c)

Ach an t-onnmhaireoir sonraí nó an rialaitheoir é a iarraidh air, déanfaidh an t-allmhaireoir sonraí cóip de chomhaontú den sórt sin le fophróiseálaí agus aon leasú a dhéanfar air ina dhiaidh sin a chur ar fáil. A mhéid is gá chun rúin ghnó nó faisnéis rúnda eile, lena n-áirítear sonraí pearsanta, a chosaint, féadfaidh an t-allmhaireoir sonraí téacs an chomhaontaithe a chur in eagar sula roinnfidh sé cóip de.

(d)

Oibleagáidí an fhophróiseálaí faoina chonradh leis an allmhaireoir sonraí, leanfaidh an t-allmhaireoir sonraí de bheith lánfhreagrach don onnmhaireoir sonraí as comhlíonadh na n-oibleagáidí sin. Tabharfaidh an t-allmhaireoir sonraí fógra don onnmhaireoir sonraí faoi aon mhainneachtain ag an bhfophróiseálaí a chuid oibleagáidí faoin gconradh sin a chomhlíonadh.

(e)

Déanfaidh an t-allmhaireoir sonraí clásal tairbhí tríú páirtí a chomhaontú leis an bhfophróiseálaí trína mbeidh sé de cheart ag an onnmhaireoir sonraí - i gcás inar imigh an t-allmhaireoir sonraí as ó thaobh fíricí de, inar scoir sé de bheith ann go dlíthiúil, nó inar éirigh sé dócmhainneach - an conradh leis an bhfophróiseálaí a fhoirceannadh agus treoir a thabhairt don fhophróiseálaí na sonraí pearsanta a léirscriosadh nó a thabhairt ar ais.

Clásal 10

Cearta an ábhair sonraí

MODÚL A hAON: Aistriú ó rialaitheoir chuig rialaitheoir

(a)

I gcás inarb ábhartha agus le cúnamh an onnmhaireora sonraí, aon fhiosrúchán agus aon iarraidh a gheobhaidh an t-allmhaireoir sonraí ó ábhar sonraí ar fiosrúchán nó iarraidh í a bhaineann le próiseáil sonraí pearsanta an duine sin agus le feidhmiú a cheart faoi na Clásail seo, déileálfaidh an t-allmhaireoir sonraí leis gan moill mhíchuí agus 1 mhí amháin ar a dhéanaí tar éis an fiosrúchán nó an iarraidh a fháil. (10) Na fiosrúcháin agus na hiarrataí sin agus feidhmiú chearta an ábhair sonraí, déanfaidh an t-allmhaireoir sonraí bearta iomchuí chun na nithe sin a éascú. Aon fhaisnéis a chuirfear ar fáil don ábhar sonraí, is i bhfoirm intuigthe is éasca a rochtain a bheidh sí, agus úsáidfear teanga shoiléir shimplí.

(b)

Ach an t-ábhar sonraí é a iarraidh, déanfaidh an t-allmhaireoir sonraí an méid seo a leanas saor in aisce go háirithe:

(i)

dearbhú a thabhairt don ábhar sonraí i dtaobh an bhfuil sonraí pearsanta a bhaineann leis á bpróiseáil agus, más amhlaidh atá, cóip de na sonraí a bhaineann leis a thabhairt dó maille leis an bhfaisnéis atá in Iarscríbhinn I; más rud é gur aistríodh sonraí pearsanta ar aghaidh nó go ndéanfar iad a aistriú ar aghaidh, faisnéis a sholáthar don ábhar sonraí faoi fhaighteoirí nó faoi chatagóirí faighteoirí (de réir mar is iomchuí d’fhonn faisnéis fhiúntach a sholáthar) a ndearnadh nó a ndéanfar na sonraí pearsanta a aistriú ar aghaidh, maille le cuspóir na n-aistrithe sin ar aghaidh agus a bhforas de bhun Chlásal 8.7; agus faisnéis a sholáthar don ábhar sonraí maidir leis an gceart gearán a thaisceadh le húdarás maoirseachta i gcomhréir le Clásal 12(c)(i);

(ii)

sonraí míchruinne nó neamhiomlána a bhaineann leis an ábhar sonraí a cheartú;

(iii)

sonraí pearsanta a bhaineann leis an ábhar sonraí a léirscriosadh más de shárú ar aon cheann de na Clásail seo lena n-áirithítear cearta tairbhí tríú páirt atá na sonraí sin á bpróiseáil nó a rinneadh iad a phróiseáil, nó i gcás ina ndéanann an t-ábhar sonraí an toiliú a bhfuil an phróiseáil bunaithe air a tharraingt siar.

(c)

I gcás ina bpróiseálann an t-allmhaireoir sonraí na sonraí pearsanta chun críoch margaíochta dírí, scoirfidh sé de bheith ag próiseáil chun na gcríoch sin má dhéanann an t-ábhar sonraí agóid ina choinne.

(d)

Cinneadh a mbeadh éifeachtaí dlíthiúla aige maidir leis an ábhar sonraí nó a mbeadh éifeacht chomh mór céanna aige air, ní dhéanfaidh an t-allmhaireoir sonraí cinneadh mar sin bunaithe go huile agus go hiomlán ar uathphróiseáil na sonraí pearsanta a aistríodh (dá ngairfear “cinneadh uathoibrithe” anseo feasta) mura rud é go mbeidh toiliú sainráite ann ón ábhar sonraí nó go n-údaraítear é sin a dhéanamh faoi dhlíthe na tíre is ceann scríbe, ar choinníoll gur dlíthe iad sin lena leagtar síos bearta oiriúnacha chun cearta agus leasanna dlisteanacha an ábhair sonraí a choimirciú. Sa chás sin, déanfaidh an t-allmhaireoir sonraí an méid seo a leanas más gá i gcomhar leis an onnmhaireoir sonraí:

(i)

an t-ábhar sonraí a chur ar an eolas faoin gcinneadh uathoibrithe atá beartaithe, faoi na hiarmhairtí atá beartaithe, agus faoin loighic a bheidh i gceist; agus

(ii)

cuirfidh sé coimircí oiriúnacha chun feidhme trí bhíthin na nithe seo a leanas ar a laghad – a chur ar chumas an ábhair sonraí an cinneadh uathoibrithe a chonspóid, a dhearcadh a chur in iúl agus athbhreithniú a fháil ó dhuine.

(e)

I gcás ina mbeidh iarrataí ó ábhar sonraí iomarcach, go háirithe toisc iad a bheith athráiteach, féadfaidh an t-allmhaireoir sonraí táille réasúnta a ghearradh agus na costais riaracháin a bhaineann leis an iarraidh a dheonú á gcur san áireamh, nó féadfaidh sé diúltú gníomhú de bhun na hiarrata.

(f)

Féadfaidh an t-allmhaireoir sonraí diúltú d’iarraidh ón ábhar sonraí má cheadaítear diúltú den sórt sin faoi dhlíthe na tíre is ceann scríbe agus má bhíonn an diúltú sin riachtanach agus comhréireach i sochaí dhaonlathach chun ceann de na cuspóirí a liostaítear in Airteagal 23(1) de Rialachán (AE) 2016/679 a chosaint.

(g)

Má tá sé i gceist ag an allmhaireoir sonraí diúltú d’iarraidh an ábhair sonraí, cuirfidh sé an t-ábhar sonraí ar an eolas maidir leis na cúiseanna atá leis an diúltú agus leis an deis gearán a thaisceadh leis an údarás maoirseachta inniúil agus/nó sásamh breithiúnach a lorg.

MODÚL A DÓ: Aistriú ó rialaitheoir chuig próiseálaí

(a)

Tabharfaidh an t-allmhaireoir sonraí fógra láithreach don onnmhaireoir sonraí faoi aon iarraidh a fuair sé ó ábhar sonraí. Ní thabharfaidh sé freagra ar an iarraidh sin é féin ach amháin má tá sé údaraithe ag an onnmhaireoir sonraí déanamh amhlaidh.

(b)

Cabhróidh an t-allmhaireoir sonraí leis an onnmhaireoir sonraí a chuid oibleagáidí a chomhlíonadh maidir le freagairt d’iarrataí na n-ábhar sonraí i ndáil lena gcearta a fheidhmiú faoi Rialachán (AE) 2016/679. I ndáil leis sin, leagfaidh na Páirtithe amach in Iarscríbhinn II, agus cineál na próiseála á chur san áireamh, na bearta teicniúla agus eagraíochtúla iomchuí lena gcuirfear an cúnamh ar fáil, chomh maith le raon feidhme agus méid an chúnaimh is gá.

(c)

Agus a chuid oibleagáidí faoi mhíreanna (a) agus (b) á gcomhlíonadh aige, comhlíonfaidh an t-allmhaireoir sonraí na treoracha ón onnmhaireoir sonraí.

MODÚL A TRÍ: Aistriú ó phróiseálaí chuig próiseálaí

(a)

Cuirfidh an t-allmhaireoir sonraí an t-onnmhaireoir sonraí agus, i gcás inarb iomchuí, an rialaitheoir ar an eolas gan mhoill faoi aon iarraidh a fuair sé ó ábhar sonraí, gan freagairt don iarraidh sin ach amháin má údaraíonn an rialaitheoir dó déanamh amhlaidh.

(b)

Na hoibleagáidí atá ar an rialaitheoir maidir le freagairt d’iarrataí ábhar sonraí a gcearta a fheidhmiú faoi Rialachán (AE) 2016/679 nó Rialachán (AE) 2018/1725, de réir mar is infheidhme, cabhróidh an t-allmhaireoir sonraí leis an rialaitheoir na hoibleagáidí sin a chomhlíonadh, rud a dhéanfaidh sé i gcomhar leis an onnmhaireoir sonraí i gcás inarb iomchuí. I ndáil leis sin, leagfaidh na Páirtithe amach in Iarscríbhinn II, agus cineál na próiseála á chur san áireamh, na bearta teicniúla agus eagraíochtúla iomchuí lena gcuirfear an cúnamh ar fáil, chomh maith le raon feidhme agus méid an chúnaimh is gá.

(c)

Agus a chuid oibleagáidí faoi mhíreanna (a) agus (b) á gcomhlíonadh aige, comhlíonfaidh an t-allmhaireoir sonraí na treoracha ón rialaitheoir, de réir mar a chuirfidh an t-onnmhaireoir sonraí in iúl iad.

MODÚL A CEATHAIR: Aistriú ó phróiseálaí chuig rialaitheoir

Tabharfaidh na Páirtithe cúnamh dá chéile freagairt d’fhiosrúcháin agus d’iarrataí a rinne ábhair sonraí faoin dlí áitiúil is infheidhme maidir leis an allmhaireoir sonraí nó, maidir le próiseáil sonraí ag an onnmhaireoir sonraí san Aontas, faoi Rialachán (AE) 2016/679.

Clásal 11

Sásamh

(a)

Cuirfidh an t-allmhaireoir sonraí na hábhair sonraí ar an eolas i bhformáid thrédhearcach is éasca a rochtain, rud a dhéanfaidh sé trí fhógra aonair nó ar a shuíomh gréasáin, maidir le pointe teagmhála atá údaraithe chun gearáin a láimhseáil. Déileálfaidh sé go pras le haon ghearán a gheobhaidh sé ó ábhar sonraí.

[ROGHA: Aontaíonn an t-allmhaireoir sonraí gur féidir le hábhair sonraí gearán a thaisceadh le comhlacht neamhspleách um réiteach díospóide (11) agus nach mbeidh costas ar an ábhar sonraí as sin a dhéanamh. Ar an mbealach a leagtar amach i mír (a), cuirfidh sé na hábhair sonraí ar an eolas faoin sásra sásaimh sin agus cuirfidh sé in iúl dóibh nach bhfuil sé de cheangal orthu é úsáid ná cloí le seicheamh ar leith agus sásamh á lorg acu.]

MODÚL A hAON: Aistriú ó rialaitheoir chuig rialaitheoir

MODÚL A DÓ: Aistriú ó rialaitheoir chuig próiseálaí

MODÚL A TRÍ: Aistriú ó phróiseálaí chuig próiseálaí

(b)

I gcás ina mbeidh díospóid ann idir ábhar sonraí agus ceann de na Páirtithe maidir le comhlíonadh na gClásal seo, déanfaidh an Páirtí sin a dhícheall an cheist a réiteach go cairdiúil ar bhealach tráthúil. Coinneoidh na Páirtithe a chéile ar an eolas maidir le díospóidí den sórt sin agus, más iomchuí, oibreoidh siad i gcomhar le chéile chun iad a réiteach.

(c)

I gcás ina ndéanfaidh an t-ábhar sonraí ceart tairbhí tríú páirtí a agairt de bhun Chlásal 3, glacfaidh an t-allmhaireoir sonraí le cinneadh an ábhair sonraí:

(i)

gearán a thaisceadh leis an údarás maoirseachta sa Bhallstát ina bhfuil gnáthchónaí air nó ina bhfuil an áit oibre atá aige, nó leis an údarás maoirseachta inniúil de bhun Chlásal 13;

(ii)

an díospóid a tharchur chuig na cúirteanna inniúla de réir bhrí Chlásal 18.

(d)

Glacann na Páirtithe leis go bhféadfaidh comhlacht, eagraíocht nó comhlachas neamhbhrabúis ionadaíocht a dhéanamh thar ceann an ábhair sonraí faoi na coinníollacha a leagtar amach in Airteagal 80(1) de Rialachán (AE) 2016/679.

(e)

Cloífidh an t-allmhaireoir sonraí le cinneadh atá ceangailteach faoi dhlí is infheidhme de chuid an Aontais nó de chuid Ballstáit.

(f)

Aontaíonn an t-allmhaireoir sonraí nach ndéanfaidh an rogha a dhéanfaidh an t-ábhar sonraí dochar dá chearta substainteacha agus dá chearta nós imeachta leigheasanna a lorg i gcomhréir leis na dlíthe is infheidhme.

Clásal 12

Dliteanas

MODÚL A hAON: Aistriú ó rialaitheoir chuig rialaitheoir

MODÚL A CEATHAIR: Aistriú ó phróiseálaí chuig rialaitheoir

(a)

Beidh gach Páirtí faoi dhliteanas ag an bPáirtí/na Páirtithe eile as aon damáiste a dhéanfaidh sé don Pháirtí/na Páirtithe trí aon sárú ar na Clásail seo.

(b)

Beidh gach Páirtí faoi dhliteanas ag an ábhar sonraí, agus beidh an t-ábhar sonraí i dteideal cúiteamh a fháil as aon damáiste ábhartha nó neamhábhartha a dhéanfaidh an Páirtí don ábhar sonraí trí na cearta tairbhí tríú páirtí faoi na Clásail seo a shárú. Tá an méid sin gan dochar do dhliteanas an onnmhaireora sonraí faoi Rialachán (AE) 2016/679.

(c)

I gcás ina mbeidh níos mó ná Páirtí amháin freagrach as aon damáiste a dhéanfar don ábhar sonraí de thoradh sárú ar na Clásail sin, beidh na Páirtithe freagracha uile faoi dhliteanas i gcomhpháirt agus go leithleach agus beidh an t-ábhar sonraí i dteideal caingean a thabhairt os comhair cúirte i gcoinne aon cheann de na Páirtithe sin.

(d)

Comhaontaíonn na Páirtithe, má chuirtear Páirtí amháin faoi dhliteanas faoi mhír (c), go mbeidh sé i dteideal an chuid sin den chúiteamh a fhreagraíonn dá fhreagracht i leith an damáiste a éileamh ar ais ón bPáirtí eile/na Páirtithe eile.

(e)

Ní fhéadfaidh an t-allmhaireoir sonraí iompar próiseálaí nó fophróiseálaí a agairt chun a dhliteanas féin a sheachaint.

MODÚL A DÓ: Aistriú ó rialaitheoir chuig próiseálaí

MODÚL A TRÍ: Aistriú ó phróiseálaí chuig próiseálaí

(a)

Beidh gach Páirtí faoi dhliteanas ag an bPáirtí/na Páirtithe eile as aon damáiste a dhéanfaidh sé don Pháirtí/na Páirtithe trí aon sárú ar na Clásail seo.

(b)

Beidh an t-allmhaireoir sonraí faoi dhliteanas ag an ábhar sonraí, agus beidh an t-ábhar sonraí i dteideal cúiteamh a fháil as aon damáiste ábhartha nó neamhábhartha a dhéanfaidh an t-allmhaireoir sonraí nó a fhophróiseálaí don ábhar sonraí trí na cearta tairbhí tríú páirtí faoi na Clásail seo a shárú.

(c)

D’ainneoin mhír (c), beidh an t-onnmhaireoir sonraí faoi dhliteanas ag an ábhar sonraí, agus beidh an t-ábhar sonraí i dteideal cúiteamh a fháil as aon damáiste ábhartha nó neamhábhartha a dhéanfaidh an t-onnmhaireoir sonraí nó an t-allmhaireoir sonraí (nó a fhophróiseálaí) don ábhar sonraí trí na cearta tairbhí tríú páirtí faoi na Clásail seo a shárú. Tá an méid sin gan dochar do dhliteanas an onnmhaireora sonraí agus, i gcás inarb é atá san onnmhaireoir sonraí próiseálaí atá ag feidhmiú thar ceann rialaitheora, tá sé gan dochar do dhliteanas an rialaitheora faoi Rialachán (AE) 2016/679 nó Rialachán (AE) 2018/1725, de réir mar is infheidhme.

(d)

Comhaontaíonn na Páirtithe, má tá an t-onnmhaireoir sonraí faoi dhliteanas faoi mhír (c) as damáistí arb é an t-allmhaireoir sonraí (nó a fhophróiseálaí) is cúis leo, go mbeidh sé i dteideal an chuid sin den chúiteamh a fhreagraíonn do fhreagracht an allmhaireora sonraí i leith an damáiste a éileamh ar ais ón allmhaireoir sonraí.

(e)

I gcás ina mbeidh níos mó ná Páirtí amháin freagrach as aon damáiste a dhéanfar don ábhar sonraí de thoradh sárú ar na Clásail sin, beidh na Páirtithe freagracha uile faoi dhliteanas i gcomhpháirt agus go leithleach agus beidh an t-ábhar sonraí i dteideal caingean a thabhairt os comhair cúirte i gcoinne aon cheann de na Páirtithe sin.

(f)

Comhaontaíonn na Páirtithe, má chuirtear Páirtí amháin faoi dhliteanas faoi mhír (e), go mbeidh sé i dteideal an chuid sin den chúiteamh a fhreagraíonn dá fhreagracht i leith an damáiste a éileamh ar ais ón bPáirtí eile/na Páirtithe eile.

(g)

Ní fhéadfaidh an t-allmhaireoir sonraí iompar próiseálaí nó fophróiseálaí a agairt chun a dhliteanas féin a sheachaint.

Clásal 13

Maoirseacht

MODÚL A hAON: Aistriú ó rialaitheoir chuig rialaitheoir

MODÚL A DÓ: Aistriú ó rialaitheoir chuig próiseálaí

MODÚL A TRÍ: Aistriú ó phróiseálaí chuig próiseálaí

(a)

[I gcás ina bhfuil an t-onnmhaireoir sonraí bunaithe i mBallstát de chuid an Aontais:] An t-údarás maoirseachta atá freagrach as a áirithiú go gcomhlíonfaidh an t-onnmhaireoir sonraí Rialachán (AE) 2016/679 maidir leis an aistriú sonraí, de réir mar a léirítear in Iarscríbhinn I.C, feidhmeoidh sé ina údarás maoirseachta inniúil.

[I gcás nach bhfuil an t-onnmhaireoir sonraí bunaithe i mBallstát de chuid an Aontais, ach ina dtagann sé faoi raon feidhme críochach chur i bhfeidhm Rialachán (AE) 2016/679 de réir Airteagal 3(2) de agus ina bhfuil ionadaí ceaptha aige de bhun Airteagal 27(1) de Rialachán (AE) 2016/679:] Údarás maoirseachta an Bhallstáit ina bhfuil an t-ionadaí de réir bhrí Airteagal 27(1) de Rialachán (AE) 2016/679 bunaithe, de réir mar a léirítear in Iarscríbhinn I.C, feidhmeoidh sé ina údarás maoirseachta inniúil.

[I gcás nach bhfuil an t-onnmhaireoir sonraí bunaithe i mBallstát de chuid an Aontais, ach ina dtagann sé faoi raon feidhme críochach chur i bhfeidhm Rialachán (AE) 2016/679 de réir Airteagal 3(2) de gan ionadaí a bheith le ceapadh aige mar sin féin de bhun Airteagal 27(2) de Rialachán (AE) 2016/679:] Na hábhair sonraí a n-aistrítear a gcuid sonraí pearsanta faoi na Clásail seo i ndáil le hearraí nó seirbhísí a thairiscint dóibh, nó a ndéantar faireachán ar a n-iompar, maidir le húdarás maoirseachta ceann de na Ballstáit ina bhfuil na daoine sin lonnaithe, de réir mar léirítear in Iarscríbhinn I.C, feidhmeoidh sé ina údarás maoirseachta inniúil.

(b)

Comhaontaíonn an t-allmhaireoir sonraí géilleadh do dhlínse an údaráis maoirseachta inniúil agus oibriú i gcomhar leis an dlínse sin in aon nós imeachta lena ndírítear ar chomhlíonadh na gClásal seo a áirithiú. Go háirithe, comhaontaíonn an t-allmhaireoir sonraí freagairt d’fhiosrúcháin, géilleadh d’iniúchtaí agus na bearta arna nglacadh ag an údarás maoirseachta a chomhlíonadh, lena n-áirítear bearta ceartaitheacha agus cúitimh. Tabharfaidh sé deimhniú i scríbhinn don údarás maoirseachta go ndearnadh na gníomhaíochtaí is gá.

ROINN III – DLÍTHE AGUS OIBLEAGÁIDÍ ÁITIÚLA I gCÁS INA mBEIDH ROCHTAIN AG ÚDARÁIS PHOIBLÍ

Clásal 14

Dlíthe agus cleachtais áitiúla a dhéanann difear do chomhlíonadh na gClásal

MODÚL A hAON: Aistriú ó rialaitheoir chuig rialaitheoir

MODÚL A DÓ: Aistriú ó rialaitheoir chuig próiseálaí

MODÚL A TRÍ: Aistriú ó phróiseálaí chuig próiseálaí

MODÚL A CEATHAIR: Aistriú ó phróiseálaí chuig rialaitheoir (i gcás ina ndéanfaidh próiseálaí an Aontais na sonraí pearsanta a fuarthas ón rialaitheoir tríú tír a chomhcheangal leis na sonraí pearsanta a bhailigh an próiseálaí san Aontas)

(a)

Na dlíthe agus na cleachtais sa tríú tír is ceann scríbe is infheidhme maidir le próiseáil na sonraí pearsanta ag an allmhaireoir sonraí, lena n-áirítear aon cheanglas sonraí pearsanta a nochtadh nó aon bheart lena n-údaraítear rochtain a bheith ag údaráis phoiblí, barántaíonn na Páirtithe nach bhfuil aon chúis acu a chreidiúint go gcuireann na dlíthe agus na cleachtais sin cosc ar an allmhaireoir sonraí a chuid oibleagáidí faoi na Clásail seo a chomhlíonadh. Is é an tuiscint ar an bhfuil sé sin bunaithe, dlíthe agus cleachtais lena n-urramaítear bunbhrí na gceart bunúsach agus na saoirsí bunúsacha agus nach dtéann thar a bhfuil riachtanach agus comhréireach i sochaí dhaonlathach chun ceann de na cuspóirí a liostaítear in Airteagal 23(1) de Rialachán (AE) 2016/679 a chosaint, níl siad ag teacht salach ar na Clásail seo.

(b)

Dearbhaíonn na Páirtithe gur thug siad aird chuí ar na heilimintí seo a leanas go háirithe le linn dóibh an barántas atá i mír (a) a sholáthar:

(i)

imthosca sonracha an aistrithe, lena n-áirítear fad an tslabhra próiseála, líon na ngníomhaithe atá rannpháirteach agus na bealaí tarchuir a úsáideadh; aistrithe ar aghaidh atá beartaithe a dhéanamh; an cineál faighteora; cuspóir na próiseála; catagóirí agus formáid na sonraí pearsanta a aistríodh; an earnáil eacnamaíoch ina bhfuil an t-aistriú á dhéanamh; suíomh stórála na sonraí a aistríodh;

(ii)

dlíthe agus cleachtais an tríú tír is ceann scríbe– lena n-áirítear iad sin a éilíonn sonraí a nochtadh d’údaráis phoiblí nó a údaraíonn rochtain a bheith ag na húdaráis sin – ar dlíthe agus cleachtais iad atá ábhartha i bhfianaise imthosca sonracha an aistrithe, chomh maith leis na teorainneacha agus na coimircí is infheidhme (12);

(iii)

aon choimirce conarthach, teicniúil nó eagraíochtúil ábhartha a cuireadh i bhfeidhm chun na coimircí atá ann faoi na Clásail seo a fhorlíonadh, lena n-áirítear bearta a cuireadh i bhfeidhm le linn tarchuir agus a cuireadh i bhfeidhm maidir le próiseáil na sonraí pearsanta sa tír is ceann scríbe.

(c)

Barántaíonn an t-allmhaireoir sonraí, agus an measúnú faoi mhír (b) á dhéanamh aige, go ndearna sé a dhícheall faisnéis ábhartha a sholáthar don onnmhaireoir sonraí agus aontaíonn sé go leanfaidh sé de bheith ag obair i gcomhar leis an onnmhaireoir sonraí chun a áirithiú go gcomhlíonfar na Clásail seo.

(d)

Comhaontaíonn na Páirtithe an measúnú faoi mhír (b) a dhoiciméadú agus a chur ar fáil don údarás maoirseachta inniúil ach sin a iarraidh orthu.

(e)

Aontaíonn an t-allmhaireoir sonraí an t-onnmhaireoir sonraí a chur ar an eolas go pras más rud é, tar éis dó comhaontú leis na Clásail seo agus le linn ré an chonartha, go bhfuil cúis aige lena chreidiúint go bhfuil sé faoi réir dlíthe nó cleachtais nach bhfuil i gcomhréir leis na ceanglais faoi mhír (a), nó go bhfuil sé tagtha i gceist go bhfuil sé faoi réir dlíthe nó cleachtais den sórt sin, lena n-áirítear tar éis athrú ar dhlíthe an tríú tír nó beart (amhail iarraidh ar nochtadh) a léiríonn cur i bhfeidhm praiticiúil dlíthe nach bhfuil i gcomhréir leis na ceanglais faoi mhír (a). [Le haghaidh Mhodúl a Trí: Cuirfidh an t-onnmhaireoir sonraí an fógra ar aghaidh chuig an rialaitheoir.]

(f)

Tar éis fógra a fháil de bhun mhír (e), nó má bhíonn cúis eile ag an onnmhaireoir sonraí lena chreidiúint nach bhfuil an t-allmhaireoir sonraí in ann a chuid oibleagáidí faoi na Clásail seo a chomhlíonadh a thuilleadh, sainaithneoidh an t-onnmhaireoir sonraí go pras bearta iomchuí (e.g. bearta teicniúla nó eagraíochtúla chun slándáil agus rúndacht a áirithiú) a bheidh le glacadh ag an onnmhaireoir sonraí agus/nó ag an allmhaireoir sonraí chun aghaidh a thabhairt ar an gcás [le haghaidh Mhodúl a Trí:, i gcomhairle leis an rialaitheoir más iomchuí]. Cuirfidh an t-onnmhaireoir sonraí an t-aistriú sonraí ar fionraí má mheasann sé nach féidir aon choimirce iomchuí a áirithiú maidir leis an aistriú sin, nó má thugann [le haghaidh Mhodúl a Trí: an rialaitheoir nó] an t-údarás maoirseachta inniúil treoir dóibh sin a dhéanamh. Sa chás sin, beidh an t-onnmhaireoir sonraí i dteideal an conradh a fhoirceannadh, a mhéid a bhaineann sé le sonraí pearsanta a phróiseáil faoi na Clásail seo. I gcás ina mbeidh níos mó ná dhá Pháirtí i gceist sa chonradh, ní fhéadfaidh an t-onnmhaireoir sonraí an ceart foirceanta sin a fheidhmiú ach amháin i ndáil leis an bPáirtí ábhartha, mura rud é gur chomhaontaigh na Páirtithe a mhalairt. I gcás ina ndéanfar an conradh a fhoirceannadh de bhun an Chlásail seo, beidh feidhm ag Clásal 16(d) agus (e).

Clásal 15

Oibleagáidí an allmhaireora sonraí i gcás ina mbeidh rochtain ag údaráis phoiblí

MODÚL A hAON: Aistriú ó rialaitheoir chuig rialaitheoir

MODÚL A DÓ: Aistriú ó rialaitheoir chuig próiseálaí

MODÚL A TRÍ: Aistriú ó phróiseálaí chuig próiseálaí

MODÚL A CEATHAIR: Aistriú ó phróiseálaí chuig rialaitheoir (i gcás ina ndéanfaidh próiseálaí an Aontais na sonraí pearsanta a fuarthas ón rialaitheoir tríú tír a chomhcheangal leis na sonraí pearsanta a bhailigh an próiseálaí san Aontas)

15.1.   Fógra

(a)

Comhaontaíonn an t-allmhaireoir sonraí fógra a thabhairt gan mhoill don onnmhaireoir sonraí agus, más féidir, don ábhar sonraí (le cabhair an onnmhaireora sonraí más gá) más rud é:

(i)

go bhfaigheann sé iarraidh atá ceangailteach ó thaobh dlí ó údarás poiblí, lena n-áirítear údaráis bhreithiúnacha, faoi dhlíthe na tíre is ceann scríbe maidir le nochtadh sonraí pearsanta a aistríodh de bhun na gClásal seo; go gcuimseofar san fhógra sin faisnéis faoi na sonraí pearsanta a iarradh, an t-údarás iarrthach, bunús dlí na hiarrata agus an freagra a tugadh; nó

(ii)

go dtagann sé ar an eolas faoi aon rochtain dhíreach a bheidh ag údaráis phoiblí ar shonraí pearsanta a aistríodh de bhun na gClásal seo i gcomhréir le dlíthe na tíre is ceann scríbe; cuimseofar san fhógra sin an fhaisnéis uile atá ar fáil don allmhaireoir.

[Le haghaidh Mhodúl a Trí: Cuirfidh an t-onnmhaireoir sonraí an fógra ar aghaidh chuig an rialaitheoir.]

(b)

I gcás ina mbeidh toirmeasc ar an allmhaireoir sonraí fógra a thabhairt don onnmhaireoir sonraí agus/nó don ábhar sonraí faoi dhlíthe na tíre is ceann scríbe, comhaontaíonn an t-allmhaireoir sonraí a dhícheall a dhéanamh chun an toirmeasc a tharscaoileadh, d’fhonn an méid faisnéise agus is féidir a chur in iúl a luaithe is féidir. Comhaontaíonn an t-allmhaireoir sonraí a dhícheall a dhoiciméadú ionas go mbeidh sé in ann iad a léiriú ach an t-onnmhaireoir sonraí sin a iarraidh air.

(c)

A mhéid atá incheadaithe faoi dhlíthe na tíre is ceann scríbe, comhaontaíonn an t-allmhaireoir sonraí go soláthróidh sé don onnmhaireoir sonraí, go tráthrialta ar feadh fhad an chonartha, a oiread faisnéise ábhartha is féidir maidir leis na hiarrataí a fuarthas (go háirithe líon na n-iarrataí, an cineál sonraí a iarradh, an t-údarás iarrthach nó na húdaráis iarrthacha, cé acu a rinneadh agóid in aghaidh iarrataí nó nach ndearnadh, agus toradh na n-agóidí sin, etc.). [Le haghaidh Mhodúl a Trí: Cuirfidh an t-onnmhaireoir sonraí an fhaisnéis ar aghaidh chuig an rialaitheoir.]

(d)

Comhaontaíonn an t-allmhaireoir sonraí an fhaisnéis a chaomhnú de bhun mhíreanna (a) go (c) ar feadh fhad an chonartha agus í a chur ar fáil don údarás maoirseachta inniúil ach sin a iarraidh air.

(e)

Tá míreanna (a) go (c) gan dochar d’oibleagáid an allmhaireora sonraí de bhun Chlásal 14(e) agus Chlásal 16 an t-onnmhaireoir sonraí a chur ar an eolas go pras i gcás nach mbeidh sé in ann na Clásail seo a chomhlíonadh.

15.2.   Athbhreithniú ar dhlíthiúlacht agus íoslaghdú sonraí

(a)

Comhaontaíonn an t-allmhaireoir sonraí athbhreithniú a dhéanamh ar dhlíthiúlacht na hiarrata ar nochtadh, go háirithe i dtaobh an bhfuil sí laistigh de na cumhachtaí a thugtar don údarás poiblí iarrthach, agus agóid a dhéanamh i gcoinne na hiarrata má thagann sé ar an tátal, tar éis measúnú cúramach a dhéanamh, go bhfuil forais réasúnacha ann lena mheas go bhfuil an iarraidh neamhdhleathach faoi dhlíthe na tíre is ceann scríbe, oibleagáidí is infheidhme faoin dlí idirnáisiúnta agus prionsabail na cúirtéise idirnáisiúnta. Saothróidh an t-allmhaireoir sonraí deiseanna achomhairc faoi na coinníollacha céanna. Agus agóid á déanamh aige i gcoinne iarrata, lorgóidh an t-allmhaireoir sonraí bearta eatramhacha d’fhonn éifeachtaí na hiarrata a chur ar fionraí go dtí go mbeidh cinneadh déanta ag an údarás breithiúnach inniúil maidir lena fiúntas. Ní nochtfaidh sé na sonraí pearsanta a iarradh go dtí go gceanglófar air sin a dhéanamh faoi na rialacha nós imeachta is infheidhme. Tá na ceanglais sin gan dochar d’oibleagáidí an allmhaireora sonraí faoi Chlásal 14(e).

(b)

Comhaontaíonn an t-allmhaireoir sonraí a mheasúnú dlíthiúil a dhoiciméadú mar aon le haon agóid i gcoinne na hiarrata ar nochtadh agus, a mhéid is incheadaithe faoi dhlíthe na tíre is ceann scríbe, an doiciméadacht a chur ar fáil don onnmhaireoir sonraí. Cuirfidh sé an doiciméadacht sin ar fáil don údarás maoirseachta inniúil freisin ach sin a iarraidh air. [Le haghaidh Mhodúl a Trí: Cuirfidh an t-onnmhaireoir sonraí an measúnú ar fáil don rialaitheoir.]

(c)

Comhaontaíonn an t-allmhaireoir sonraí an t-íosmhéid faisnéise is ceadmhach a chur ar fáil agus é ag freagairt d’iarraidh ar nochtadh, agus é sin bunaithe ar léirmhíniú réasúnach ar an iarraidh.

ROINN IV – FORÁLACHA CRÍOCHNAITHEACHA

Clásal 16

Neamhchomhlíonadh na gClásal agus foirceannadh

(a)

Cuirfidh an t-allmhaireoir sonraí an t-onnmhaireoir sonraí ar an eolas go pras mura bhfuil sé in ann na Clásail seo a chomhlíonadh ar aon chúis.

(b)

Sa chás go sáróidh an t-allmhaireoir sonraí na Clásail seo nó nach mbeidh sé in ann na Clásail sin a chomhlíonadh, cuirfidh an t-onnmhaireoir sonraí aistriú na sonraí pearsanta chuig an allmhaireoir sonraí ar fionraí go dtí go n-áiritheofar comhlíontacht arís nó go ndéanfar an conradh a fhoirceannadh. Tá sé sin gan dochar do Chlásal 14(f).

(c)

Beidh an t-onnmhaireoir sonraí i dteideal an conradh a fhoirceannadh, a mhéid a bhaineann sé le sonraí pearsanta a phróiseáil faoi na Clásail seo, i gcás:

(i)

ina gcuirfidh an t-onnmhaireoir sonraí an t-aistriú sonraí pearsanta chuig an allmhaireoir sonraí ar fionraí de bhun mhír (b) agus nach n-athbhunófar comhlíonadh na gClásal seo laistigh de thréimhse réasúnach ama, agus laistigh de mhí tar éis na fionraí i gcás ar bith;

(ii)

ina mbeidh sárú suntasach nó leanúnach á dhéanamh ag an allmhaireoir sonraí ar na Clásail seo; nó

(iii)

nach gcomhlíonfaidh an t-allmhaireoir sonraí cinneadh ceangailteach ó chúirt inniúil nó ó údarás maoirseachta inniúil maidir lena chuid oibleagáidí faoi na Clásail seo.

Sna cásanna sin, cuirfidh sé an t-údarás maoirseachta inniúil [le haghaidh Mhodúl a Trí: agus an rialaitheoir] ar an eolas maidir le neamhchomhlíonadh den sórt sin. I gcás ina mbeidh níos mó ná dhá Pháirtí i gceist sa chonradh, ní fhéadfaidh an t-onnmhaireoir sonraí an ceart foirceanta sin a fheidhmiú ach amháin i ndáil leis an bPáirtí ábhartha, mura rud é gur chomhaontaigh na Páirtithe a mhalairt.

(d)

[Le haghaidh Mhodúil a hAon, a Dó agus a Trí: Sonraí pearsanta a aistríodh cheana féin roimh fhoirceannadh an chonartha de bhun mhír (c), déanfar iad a thabhairt ar ais láithreach don onnmhaireoir sonraí nó iad a scriosadh ina n-iomláine de réir rogha an onnmhaireora sonraí. Beidh feidhm ag an méid sin maidir le haon chóip de na sonraí.] [Le haghaidh Mhodúl a Ceathair: Sonraí pearsanta a bhailigh an t-onnmhaireoir sonraí san Aontas agus a aistríodh roimh fhoirceannadh an chonartha de bhun mhír (c), scriosfar ina n-iomláine iad láithreach, aon chóip díobh san áireamh.] Cuirfidh an t-allmhaireoir sonraí scriosadh na sonraí in iúl don onnmhaireoir sonraí. Go dtí go ndéanfar na sonraí a scriosadh nó a chur ar ais, áiritheoidh an t-allmhaireoir sonraí i gcónaí go gcomhlíonfar na Clásail sin. Más amhlaidh atá dlíthe áitiúla ann a bhfuil feidhm acu maidir leis an allmhaireoir sonraí agus a chuireann toirmeasc ar na sonraí pearsanta a aistríodh a thabhairt ar ais nó a scriosadh, barántaíonn an t-allmhaireoir sonraí go leanfaidh sé de chomhlíonadh na gClásal seo a áirithiú agus nach bpróiseálfaidh sé na sonraí pearsanta ach a mhéid agus a fhad is gá faoin dlí áitiúil sin.

(e)

Féadfaidh ceachtar den dá Pháirtí a chomhaontú a bheith faoi cheangal ag na Clásail seo a chúlghairm i gcás (i) ina nglacfaidh an Coimisiún Eorpach cinneadh de bhun Airteagal 45(3) de Rialachán (AE) 2016/679 lena gcumhdaítear aistriú sonraí pearsanta a bhfuil feidhm ag na Clásail seo maidir leo; nó (ii) ina déanfar de Rialachán (AE) 2016/679 cuid de chreat dlíthiúil na tíre a mbeidh na sonraí pearsanta á n-aistriú chuici. Tá an méid sin gan dochar d’oibleagáidí eile a bhfuil feidhm acu maidir leis an bpróiseáil atá i gceist faoi Rialachán (AE) 2016/679.

Clásal 17

An dlí rialaithe

MODÚL A hAON: Aistriú ó rialaitheoir chuig rialaitheoir

MODÚL A DÓ: Aistriú ó rialaitheoir chuig próiseálaí

MODÚL A TRÍ: Aistriú ó phróiseálaí chuig próiseálaí

[ROGHA 1: Is le dlí ceann de Bhallstáit an Aontais Eorpaigh a rialófar na clásail seo, ar choinníoll go gceadófar cearta tairbhí tríú páirtí leis an dlí sin. Comhaontaíonn na Páirtithe gurb é sin dlí ___ (sonraítear an Ballstát).]

[ROGHA 2 (i gcás Mhodúil a Dó agus a Trí): Beidh na clásail seo faoi rialú dhlí an Bhallstáit den Aontas ina bhfuil an t-onnmhaireoir sonraí bunaithe. I gcás nach gceadófar cearta tairbhí tríú páirtí leis an dlí sin, déanfar iad a rialú le dlí Ballstáit eile den Aontas lena gceadaítear cearta tairbhí tríú páirtí. Comhaontaíonn na Páirtithe gurb é sin dlí ___ (sonraítear an Ballstát).]

MODÚL A CEATHAIR: Aistriú ó phróiseálaí chuig rialaitheoir

Is le dlí tíre a cheadaíonn cearta tairbhí tríú páirtí a rialófar na clásail seo. Comhaontaíonn na Páirtithe gurb é sin dlí ___ (sonraítear an tír).

Clásal 18

An fóram agus an dlínse a roghnú

MODÚL A hAON: Aistriú ó rialaitheoir chuig rialaitheoir

MODÚL A DÓ: Aistriú ó rialaitheoir chuig próiseálaí

MODÚL A TRÍ: Aistriú ó phróiseálaí chuig próiseálaí

(a)

Aon díospóid a eascróidh as na Clásail seo, is iad cúirteanna Ballstáit den Aontas a réiteoidh í.

(b)

Comhaontaíonn na Páirtithe gurb iad sin cúirteanna ___ (sonraítear an Ballstát).

(c)

Ina theannta sin féadfaidh ábhar sonraí imeachtaí dlíthiúla a thionscnamh i gcoinne an onnmhaireora sonraí agus/nó i gcoinne an allmhaireora sonraí os comhair chúirteanna an Bhallstáit ina bhfuil gnáthchónaí air.

(d)

Comhaontaíonn na Páirtithe géilleadh do dhlínse na gcúirteanna sin.

MODÚL A CEATHAIR: Aistriú ó phróiseálaí chuig rialaitheoir

 

Aon díospóid a eascróidh as na Clásail seo, is iad cúirteanna _____ (sonraítear an tír) a réiteoidh í.


(1)  I gcás inar próiseálaí é an t-onnmhaireoir sonraí, próiseálaí atá faoi réir Rialachán (AE) 2016/679 agus atá ag gníomhú ina rialaitheoir, thar ceann institiúid nó comhlacht de chuid an Aontais, má bhíonn sé ag brath ar na Clásail seo agus próiseálaí eile (fophróiseáil) á fhostú aige nach bhfuil faoi réir Rialachán (AE) 2016/679, áirithítear dá bharr sin go gcomhlíontar freisin Airteagal 29(4) de Rialachán (AE) 2018/1725 ó Pharlaimint na hEorpa agus ón gComhairle an 23 Deireadh Fómhair 2018 maidir le daoine nádúrtha a chosaint i ndáil le sonraí pearsanta a phróiseáil ag institiúidí, comhlachtaí, oifigí agus gníomhaireachtaí an Aontais agus maidir le saorghluaiseacht sonraí den sórt sin, agus lena n-aisghairtear Rialachán (CE) Uimh. 45/2001 agus Cinneadh Uimh. 1247/2002/CE (IO L 295, 21.11.2018, lch. 39), a mhéid atá na clásail seo agus na hoibleagáidí cosanta sonraí a leagtar amach sa chonradh nó i ngníomh dlí eile idir an rialaitheoir agus an próiseálaí de bhun Airteagal 29(3) de Rialachán (AE) 2018/1725, a mhéid atá siad ailínithe. Is amhlaidh a bheidh go háirithe i gcás ina mbraitheann an rialaitheoir agus an próiseálaí ar na clásail chonarthacha chaighdeánacha a chuimsítear i gCinneadh 2021/915.

(2)  Chuige sin, ní mór na sonraí a anaithnidiú sa chaoi nach féidir le haon duine an duine aonair sin a shainaithint a thuilleadh, i gcomhréir le haithris 26 de Rialachán (AE) 2016/679, agus nach féidir dul siar ar an bpróiseas sin.

(3)  Foráiltear leis an gComhaontú maidir leis an Limistéar Eorpach Eacnamaíoch (Comhaontú LEE) go ndéanfar margadh inmheánach an Aontais Eorpaigh a leathnú chun an Íoslainn, Lichtinstéin agus an Iorua a chumhdach, trí stát is cuid de LEE. Reachtaíocht an Aontais maidir le cosaint sonraí, lena n-áirítear Rialachán (AE) 2016/679, cumhdaítear le Comhaontú LEE í agus ionchorpraíodh í in Iarscríbhinn XI a ghabhann leis an gComhaontú sin. Dá bhrí sin, aon nochtadh a dhéanann an t-allmhaireoir sonraí do thríú páirtí atá lonnaithe in LEE, ní cháilíonn sé mar aistriú ar aghaidh chun críoch na gClásal seo.

(4)  Foráiltear leis an gComhaontú maidir leis an Limistéar Eorpach Eacnamaíoch (Comhaontú LEE) go ndéanfar margadh inmheánach an Aontais Eorpaigh a leathnú chun an Íoslainn, Lichtinstéin agus an Iorua a chumhdach, trí stát is cuid de LEE. Reachtaíocht an Aontais maidir le cosaint sonraí, lena n-áirítear Rialachán (AE) 2016/679, cumhdaítear le Comhaontú LEE í agus ionchorpraíodh í in Iarscríbhinn XI a ghabhann leis an gComhaontú sin. Dá bhrí sin, aon nochtadh a dhéanann an t-allmhaireoir sonraí do thríú páirtí atá lonnaithe in LEE, ní cháilíonn sé mar aistriú ar aghaidh chun críoch na gClásal seo.

(5)  Féach Airteagal 28(4) de Rialachán (AE) 2016/679 agus, i gcás inar institiúid nó comhlacht de chuid an Aontais é an rialaitheoir, Airteagal 29(4) de Rialachán (AE) 2018/1725.

(6)  Foráiltear leis an gComhaontú maidir leis an Limistéar Eorpach Eacnamaíoch (Comhaontú LEE) go ndéanfar margadh inmheánach an Aontais Eorpaigh a leathnú chun an Íoslainn, Lichtinstéin agus an Iorua a chumhdach, trí stát is cuid de LEE. Reachtaíocht an Aontais maidir le cosaint sonraí, lena n-áirítear Rialachán (AE) 2016/679, cumhdaítear le Comhaontú LEE í agus ionchorpraíodh í in Iarscríbhinn XI a ghabhann leis an gComhaontú sin. Dá bhrí sin, aon nochtadh a dhéanann an t-allmhaireoir sonraí do thríú páirtí atá lonnaithe in LEE, ní cháilíonn sé mar aistriú ar aghaidh chun críocha na gClásal seo.

(7)  Cuimsítear ansin cé acu is cuid dá bhfuil á aistriú na nithe seo a leanas nó nach ea – sonraí pearsana a nochtann tionscnamh ciníoch nó eitneach, tuairimí polaitiúla, creideamh reiligiúnach nó fealsúnach, nó ballraíocht i gceardchumann, sonraí géiniteacha nó bithmhéadracha chun duine nádúrtha a shainaithint go huathúil, sonraí a bhaineann le sláinte nó saol gnéis duine nó gnéaschlaonadh duine, nó sonraí a bhaineann le ciontuithe coiriúla nó cionta.

(8)  Féadfaidh an fophróiseálaí a aontaíonn do na Clásail sin an ceanglas sin a chomhlíonadh faoin Modúl iomchuí, de réir Chlásal 7.

(9)  Féadfaidh an fophróiseálaí a aontaíonn do na Clásail sin an ceanglas sin a chomhlíonadh faoin Modúl iomchuí, de réir Chlásal 7.

(10)  Féadfar an tréimhse sin a shíneadh 2 mhí eile ar a mhéad, a mhéid is gá, agus castacht agus líon na n-iarrataí á gcur san áireamh. Cuirfidh an t-allmhaireoir sonraí an t-ábhar sonraí ar an eolas go cuí agus go pras faoi aon síneadh den sórt sin.

(11)  Ní fhéadfaidh an t-allmhaireoir sonraí réiteach díospóide neamhspleách a thairiscint trí chomhlacht eadrána ach amháin más i dtír a bhfuil Coinbhinsiún Nua-Eabhrac maidir le Dámhachtainí Eadrána a Fhorghníomhú daingnithe aige atá sé bunaithe.

(12)  Maidir leis an tionchar atá ag dlíthe agus cleachtais den sórt sin ar chomhlíonadh na gClásal seo, féadfar eilimintí éagsúla a mheas mar chuid de mheasúnú foriomlán. Féadfar a áireamh ar na heilimintí sin taithí phraiticiúil ábhartha dhoiciméadaithe ar chásanna roimhe sin inar iarr údaráis phoiblí nochtadh, nó ar chásanna nár tharla iarrataí den sórt sin, ar cásanna iad a chumhdaíonn tréimhse ama atá ionadaíoch a dóthain. Is tagairt é sin go háirithe do thaifid inmheánacha nó do dhoiciméadacht eile a tarraingíodh suas go leanúnach i gcomhréir le dícheall cuí agus a deimhníodh ar leibhéal na bainistíochta sinsearaí, ar choinníoll gur féidir an fhaisnéis sin a roinnt go dleathach le tríú páirtithe. I gcás ina mbeifear ag brath ar an taithí phraiticiúil sin lena chinneadh nach gcuirfear cosc ar an allmhaireoir sonraí na Clásail seo a chomhlíonadh, ní mór tosca ábhartha oibiachtúla eile a bheith mar thaca aige, agus is faoi na Páirtithe atá sé a mheas go cúramach an bhfuil a ndóthain údaráis leis na heilimintí sin i dteannta a chéile, i dtéarmaí a iontaofa agus a ionadaíche atá siad, chun tacú leis an gconclúid sin. Go háirithe, faisnéis iontaofa atá ar fáil go poiblí nó atá inrochtana ar bhealach eile, ar faisnéis í a bhaineann le hiarrataí a bheith ann nó gan bheith ann laistigh den earnáil chéanna agus/nó le cur i bhfeidhm praiticiúil an dlí, amhail cásdlí agus tuarascálacha a rinne comhlachtaí neamhspleácha maoirseachta, ní mór do na Páirtithe a chur san áireamh cé acu a chomhthacaíonn an fhaisnéis sin lena dtaithí phraiticiúil nó nach gcomhthacaíonn, agus cé acu a thagann sí salach ar an taithí sin nó nach dtagann.


FOSCRÍBHINN

NÓTA MÍNIÚCHÁIN:

Ní mór a bheith in ann idirdhealú soiléir a dhéanamh idir an fhaisnéis is infheidhme maidir le gach aistriú nó gach catagóir aistrithe agus, i ndáil leis sin, ról nó róil na bPáirtithe faoi seach mar onnmhaireoir nó onnmhaireoirí sonraí agus/nó mar allmhaireoir nó allmhaireoirí sonraí a chinneadh. Ní gá go n-éileoidh sé sin foscríbhinní ar leith a líonadh isteach agus a shíniú le haghaidh gach aistrithe/catagóire aistrithe agus/nó gach caidrimh chonarthaigh, nuair is féidir an trédhearcacht sin a bhaint amach trí aon fhoscríbhinn amháin. Mar sin féin, ba cheart foscríbhinní ar leith a úsáid i gcás inar gá sin chun soiléireacht leordhóthanach a áirithiú.


IARSCRÍBHINN I

A.   LIOSTA NA bPÁIRTITHE

MODÚL A hAON: Aistriú ó rialaitheoir chuig rialaitheoir

MODÚL A DÓ: Aistriú ó rialaitheoir chuig próiseálaí

MODÚL A TRÍ: Aistriú ó phróiseálaí chuig próiseálaí

MODÚL A CEATHAIR: Aistriú ó phróiseálaí chuig rialaitheoir

Onnmhaireoir nó onnmhaireoirí sonraí: [Céannacht agus sonraí teagmhála an onnmhaireora sonraí nó na n-onnmhaireoirí sonraí agus, i gcás inarb infheidhme, céannacht agus sonraí teagmhála an oifigigh cosanta sonraí agus/nó an ionadaí atá aige/acu san Aontas Eorpach]

1.

Ainm: …

Seoladh: …

Ainm, post agus sonraí teagmhála an teagmhálaí: …

Gníomhaíochtaí a bhaineann leis na sonraí a aistrítear faoi na Clásail seo: …

Síniú agus dáta: …

Ról (rialaitheoir/próiseálaí): …

2.

Allmhaireoir nó allmhaireoirí sonraí: [Céannacht agus sonraí teagmhála an allmhaireora nó na n-allmhaireoirí sonraí, lena n-áirítear aon teagmhálaí atá freagrach as cosaint sonraí]

1.

Ainm: …

Seoladh: …

Ainm, post agus sonraí teagmhála an teagmhálaí: …

Gníomhaíochtaí a bhaineann leis na sonraí a aistrítear faoi na Clásail seo: …

Síniú agus dáta: …

Ról (rialaitheoir/próiseálaí): …

2.

B.   TUAIRISC AR AN AISTRIÚ

MODÚL A hAON: Aistriú ó rialaitheoir chuig rialaitheoir

MODÚL A DÓ: Aistriú ó rialaitheoir chuig próiseálaí

MODÚL A TRÍ: Aistriú ó phróiseálaí chuig próiseálaí

MODÚL A CEATHAIR: Aistriú ó phróiseálaí chuig rialaitheoir

Catagóirí ábhar sonraí ar aistríodh a gcuid sonraí pearsanta

Catagóirí sonraí pearsanta a aistríodh

Sonraí íogaire a aistríodh (más infheidhme) agus srianta nó coimircí a cuireadh i bhfeidhm lena gcuirtear san áireamh go hiomlán cineál na sonraí agus na rioscaí lena mbaineann, amhail, mar shampla, teorannú dian de réir cuspóra, srianta ar rochtain (lena n-áirítear gan rochtain a bheith ach ag baill foirne a bhfuil oiliúint speisialaithe faighte acu), taifead a choinneáil maidir le rochtain ar na sonraí, srianta ar aistrithe ar aghaidh nó bearta breise slándála.

Minicíocht an aistrithe (e.g. an ar bhonn aonuaire nó go leanúnach a dhéantar na sonraí a aistriú).

Cineál na próiseála

Cuspóir nó cuspóirí an aistrithe sonraí agus na próiseála breise

An tréimhse a stórálfar na sonraí pearsanta, nó murab indéanta sin, na critéir a úsáidtear chun an tréimhse sin a chinneadh

Le haghaidh aistrithe chuig próiseálaithe/fophróiseálaithe, sonraigh freisin ábhar, cineál agus fad na próiseála

C.   AN tÚDARÁS MAOIRSEACHTA INNIÚIL

MODÚL A hAON: Aistriú ó rialaitheoir chuig rialaitheoir

MODÚL A DÓ: Aistriú ó rialaitheoir chuig próiseálaí

MODÚL A TRÍ: Aistriú ó phróiseálaí chuig próiseálaí

An t-údarás maoirseachta inniúil/na húdaráis mhaoirseachta inniúla a shainaithint i gcomhréir le Clásal 13


IARSCRÍBHINN II

BEARTA TEICNIÚLA AGUS EAGRAÍOCHTÚLA LENA N-ÁIRÍTEAR BEARTA TEICNIÚLA AGUS EAGRAÍOCHTÚLA CHUN SLÁNDÁIL NA SONRAÍ A ÁIRITHIÚ

MODÚL A hAON: Aistriú ó rialaitheoir chuig rialaitheoir

MODÚL A DÓ: Aistriú ó rialaitheoir chuig próiseálaí

MODÚL A TRÍ: Aistriú ó phróiseálaí chuig próiseálaí

NÓTA MÍNIÚCHÁIN:

Ní mór tuairisc a thabhairt ar na bearta teicniúla agus eagraíochtúla i dtéarmaí sonracha (agus ní i dtéarmaí cineálacha). Féach freisin an trácht ginearálta ar an gcéad leathanach den Fhoscríbhinn, go háirithe maidir leis an ngá atá ann na bearta is infheidhme maidir le gach aistriú/gach tacar aistrithe a chur in iúl go soiléir.

Tuairisc ar na bearta teicniúla agus eagraíochtúla a chuir an t-allmhaireoir sonraí nó na hallmhaireoirí sonraí chun feidhme (lena n-áirítear aon deimhniúchán ábhartha) chun leibhéal iomchuí slándála a áirithiú, agus cineál, raon feidhme, comhthéacs agus cuspóir na próiseála á gcur san áireamh, mar aon leis na rioscaí ó thaobh cearta agus saoirsí daoine nádúrtha.

[Samplaí de bhearta féideartha:

Bearta maidir le sonraí pearsanta a chur faoi bhréagainm agus a chriptiú

Bearta chun rúndacht, sláine, infhaighteacht agus athléimneacht leanúnach córas agus seirbhísí próiseála a áirithiú

Bearta chun a áirithiú go mbeifear in ann infhaighteacht sonraí pearsanta agus rochtain orthu a athbhunú go tráthúil i gcás teagmhas fisiciúil nó teicniúil

Próisis chun tástáil, measúnú agus meastóireacht rialta a dhéanamh ar éifeachtacht na mbeart teicniúil agus eagraíochtúil chun slándáil na próiseála a áirithiú

Bearta chun úsáideoirí a aithint agus a údarú

Bearta chun sonraí a chosaint le linn a dtarchuir

Bearta chun sonraí a chosaint le linn a stórála

Suíomhanna ina ndéantar sonraí pearsanta a phróiseáil, bearta chun a slándáil fhisiciúil a áirithiú

Bearta chun logáil imeachtaí a áirithiú

Bearta chun cumraíocht córas, lena n-áirítear cumraíocht réamhshocraithe, a áirithiú

Bearta maidir le rialachas agus bainistiú TF inmheánaigh agus slándála TF

Bearta chun próisis agus táirgí a dheimhniú/a dhearbhú

Bearta chun íoslaghdú sonraí a áirithiú

Bearta chun cáilíocht sonraí a áirithiú

Bearta chun a áirithiú gur teoranta an choinneáil sonraí

Bearta chun cuntasacht a áirithiú

Bearta chun iniomparthacht sonraí a cheadú agus léirscriosadh a áirithiú]

I gcás aistrithe chuig próiseálaithe/fophróiseálaithe, tugtar tuairisc freisin ar na bearta teicniúla agus eagraíochtúla sonracha atá le déanamh ag an bpróiseálaí/bhfophróiseálaí chun bheith in ann cúnamh a thabhairt don rialaitheoir agus, i gcás aistrithe ón bpróiseálaí chuig fophróiseálaí, cúnamh a thabhairt don onnmhaireoir sonraí


Iarscríbhinn III

LIOSTA NA bhFOPHRÓISEÁLAITHE

MODÚL A DÓ: Aistriú ó rialaitheoir chuig próiseálaí

MODÚL A TRÍ: Aistriú ó phróiseálaí chuig próiseálaí

NÓTA MÍNIÚCHÁIN:

Is gá an Iarscríbhinn seo a líonadh isteach le haghaidh Mhodúil a Dó agus a Trí i gcás údarú sonrach na bhfophróiseálaithe (Clásal 9(a), Rogha 1).

Tá úsáid na bhfophróiseálaithe seo a leanas údaraithe ag an rialaitheoir:

1.

Ainm: …

Seoladh: …

Ainm, post agus sonraí teagmhála an teagmhálaí: …

Tuairisc ar an bpróiseáil (lena n-áirítear cur síos soiléir ar fhreagrachtaí ar eagla go n-údarófaí roinnt fophróiseálaithe): …

2.