2021 6 7   

LT

Europos Sąjungos oficialusis leidinys

L 199/18


KOMISIJOS ĮGYVENDINIMO SPRENDIMAS (ES) 2021/915

2021 m. birželio 4 d.

dėl duomenų valdytojų ir duomenų tvarkytojų standartinių sutarčių sąlygų pagal Europos Parlamento ir Tarybos reglamento (ES) 2016/679 28 straipsnio 7 dalį ir Europos Parlamento ir Tarybos reglamento (ES) 2018/1725 29 straipsnio 7 dalį

(Tekstas svarbus EEE)

EUROPOS KOMISIJA,

atsižvelgdama į Sutartį dėl Europos Sąjungos veikimo,

atsižvelgdama į 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (BDAR) (1), ypač į jo 28 straipsnio 7 dalį,

atsižvelgdama į 2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamentą (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB (ESDAR) (2), ypač į jo 29 straipsnio 7 dalį,

kadangi:

(1)

duomenų valdytojo ir duomenų tvarkytojo sąvokos yra labai svarbios taikant Reglamentą (ES) 2016/679 ir Reglamentą (ES) 2018/1725. Duomenų valdytojas yra fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones. Taikant Reglamentą (ES) 2018/1725, duomenų valdytojas yra Sąjungos institucija ar organas arba generalinis direktoratas, arba bet kuris kitas organizacinis vienetas, kuris vienas ar drauge su kitais nustato asmens duomenų tvarkymo tikslus ir priemones. Kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti konkretaus Sąjungos teisės akto, duomenų valdytojas arba konkretūs jo skyrimo kriterijai gali būti nustatyti Sąjungos. Duomenų tvarkytojas yra fizinis ar juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis;

(2)

duomenų valdytojų ir duomenų tvarkytojų, kuriems taikomas Reglamentas (ES) 2016/679 ir Reglamentas (ES) 2018/1725, santykiams turėtų būti taikomas tas pats standartinių sutarčių sąlygų rinkinys. Taip yra todėl, kad siekiant nuoseklaus požiūrio į asmens duomenų apsaugą visoje Sąjungoje ir laisvo asmens duomenų judėjimo Sąjungoje, Reglamente (ES) 2016/679 nustatytos valstybių narių viešajam sektoriui taikomos duomenų apsaugos taisyklės ir Reglamente (ES) 2018/1725 nustatytos Sąjungos institucijoms, organams, tarnyboms ir agentūroms taikomos duomenų apsaugos taisyklės kiek įmanoma suderintos;

(3)

siekdamas užtikrinti, kad būtų laikomasi reglamentų (ES) 2016/679 ir (ES) 2018/1725 reikalavimų, duomenų valdytojas, patikėdamas duomenų tvarkytojui duomenų tvarkymo veiklą, turėtų pasitelkti tik tokius duomenų tvarkytojus, kurie suteikia pakankamas garantijas, susijusias, visų pirma, su ekspertinėmis žiniomis, patikimumu ir ištekliais, kad būtų įgyvendintos techninės ir organizacinės priemonės, kurios atitinka Reglamento (ES) 2016/679 ir Reglamento (ES) 2018/1725 reikalavimus, įskaitant dėl duomenų tvarkymo saugumo;

(4)

duomenų tvarkytojo atliekamas duomenų tvarkymas turi būti reglamentuojamas sutartimi arba kitu teisės aktu pagal Sąjungos arba valstybės narės teisę, kuris yra privalomas duomenų tvarkytojui duomenų valdytojo atžvilgiu ir kuriame nustatyta Reglamento (ES) 2016/679 28 straipsnio 3 ir 4 dalyse arba Reglamento (ES) 2018/1725 29 straipsnio 3 ir 4 dalyse išvardyta informacija. Tokia sutartis arba aktas yra parengiami raštu, įskaitant elektroninę formą;

(5)

pagal Reglamento (ES) 2016/679 28 straipsnio 6 dalį ir Reglamento (ES) 2018/1725 29 straipsnio 6 dalį duomenų valdytojas ir duomenų tvarkytojas gali pasirinkti, ar derėtis dėl atskiros sutarties, kurioje būtų pateikta atitinkamai Reglamento (ES) 2016/679 28 straipsnio 3 ir 4 dalyse arba Reglamento (ES) 2018/1725 29 straipsnio 3 ir 4 dalyse nustatyta privaloma informacija, ar visiškai arba iš dalies naudoti standartines sutarčių sąlygas, kurias Komisija priėmė pagal Reglamento (ES) 2016/679 28 straipsnio 7 dalį ir Reglamento (ES) 2018/1725 29 straipsnio 7 dalį;

(6)

duomenų valdytojas ir duomenų tvarkytojas turėtų turėti galimybę įtraukti šiame sprendime nustatytas standartines sutarčių sąlygas į platesnę sutartį ir įtraukti kitas sąlygas ar papildomas apsaugos priemones su sąlyga, kad jos tiesiogiai ar netiesiogiai neprieštarauja standartinėms sutarčių sąlygoms ir nepažeidžia duomenų subjektų pagrindinių teisių ar laisvių. Standartinės sutarčių sąlygos taikomos neatsižvelgiant į duomenų valdytojo ir (arba) duomenų tvarkytojo sutartinius įsipareigojimus užtikrinti taikytinų privilegijų ir imunitetų laikymąsi;

(7)

standartinės sutarčių sąlygos turėtų apimti ir materialines, ir procesines taisykles. Pagal Reglamento (ES) 2016/679 28 straipsnio 3 dalį ir Reglamento (ES) 2018/1725 29 straipsnio 3 dalį standartinėse sutarčių sąlygose taip pat turėtų būti reikalaujama, kad duomenų valdytojas ir duomenų tvarkytojas nustatytų duomenų tvarkymo dalyką ir trukmę, jo pobūdį ir tikslą, atitinkamų asmens duomenų rūšį, duomenų subjektų kategorijas ir duomenų valdytojo prievoles bei teises;

(8)

pagal Reglamento (ES) 2016/679 28 straipsnio 3 dalį ir Reglamento (ES) 2018/1725 29 straipsnio 3 dalį duomenų tvarkytojas turi nedelsdamas informuoti duomenų valdytoją, jei, jo nuomone, duomenų valdytojo nurodymas pažeidžia Reglamentą (ES) 2016/679 arba Reglamentą (ES) 2018/1725 ar kitas Sąjungos ar valstybės narės duomenų apsaugos nuostatas;

(9)

jei duomenų tvarkytojas pasitelkia kitą duomenų tvarkytoją konkrečiai veiklai vykdyti, turėtų būti taikomi Reglamento (ES) 2016/679 28 straipsnio 2 ir 4 dalyse arba Reglamento (ES) 2018/1725 29 straipsnio 2 ir 4 dalyse nurodyti konkretūs reikalavimai. Visų pirma reikia gauti konkretų ar bendrą išankstinį rašytinį leidimą. Neatsižvelgiant į tai, ar šis išankstinis leidimas yra konkretus, ar bendras, pirmasis duomenų tvarkytojas turėtų nuolat atnaujinti kitų duomenų tvarkytojų sąrašą;

(10)

siekdama vykdyti Reglamento (ES) 2016/679 46 straipsnio 1 dalies reikalavimus, Komisija pagal Reglamento (ES) 2016/679 46 straipsnio 2 dalies c punktą priėmė standartines sutarčių sąlygas. Tos sąlygos taip pat atitinka Reglamento (ES) 2016/679 28 straipsnio 3 ir 4 dalių reikalavimus dėl duomenų perdavimo iš duomenų valdytojų, kuriems taikomas Reglamentas (ES) 2016/679, duomenų tvarkytojams, kurie nepatenka į to reglamento teritorinę taikymo sritį, arba iš duomenų tvarkytojų, kuriems taikomas Reglamentas (ES) 2016/679, pagalbiniams duomenų tvarkytojams, kurie nepatenka į to reglamento teritorinę taikymo sritį. Šios standartinės sutarčių sąlygos negali būti naudojamos kaip standartinės sutarčių sąlygos taikant Reglamento (ES) 2016/679 V skyrių;

(11)

trečiosios šalys turėtų turėti galimybę tapti standartinių sutarčių sąlygų šalimi per visą sutarties galiojimo laikotarpį;

(12)

standartinių sutarčių sąlygų taikymas turėtų būti įvertintas atliekant periodinį Reglamento (ES) 2016/679 vertinimą pagal to reglamento 97 straipsnį;

(13)

pagal Reglamento (ES) 2018/1725 42 straipsnio 1 ir 2 dalis buvo konsultuojamasi su Europos duomenų apsaugos priežiūros pareigūnu ir Europos duomenų apsaugos valdyba, kurie 2021 m. sausio 14 d. (3) pateikė bendrą nuomonę, į kurią buvo atsižvelgta rengiant šį sprendimą;

(14)

šiame sprendime numatytos priemonės atitinka pagal Reglamento (ES) 2016/679 93 straipsnį ir Reglamento (ES) 2018/1725 96 straipsnio 2 dalį įsteigto komiteto nuomonę,

PRIĖMĖ ŠĮ SPRENDIMĄ:

1 straipsnis

Priede nustatytos standartinės sutarčių sąlygos atitinka Reglamento (ES) 2016/679 28 straipsnio 3 ir 4 dalyse ir Reglamento (ES) 2018/1725 29 straipsnio 3 ir 4 dalyse nustatytus duomenų valdytojų ir duomenų tvarkytojų sutarčių reikalavimus.

2 straipsnis

Priede nustatytos standartinės sutarčių sąlygos gali būti naudojamos duomenų valdytojo ir duomenų tvarkytojo, kuris jo vardu tvarko asmens duomenis, sutartyse.

3 straipsnis

Komisija, remdamasi visa turima informacija, įvertina priede išdėstytų standartinių sutarčių sąlygų praktinį taikymą, atlikdama Reglamento (ES) 2016/679 97 straipsnyje numatytą periodinį vertinimą.

4 straipsnis

Šis sprendimas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.

Priimta Briuselyje 2021 m. birželio 4 d.

Komisijos vardu

Pirmininkė

Ursula VON DER LEYEN


(1)  OL L 119, 2016 5 4, p. 1.

(2)  OL L 295, 2018 11 21, p. 39.

(3)  EDAV ir EDAPP bendra nuomonė Nr. 1/2021 dėl Europos Komisijos įgyvendinimo sprendimo dėl duomenų valdytojų ir duomenų tvarkytojų standartinių sutarčių sąlygų, apimančių klausimus, nurodytus Reglamento (ES) 2016/679 28 straipsnio 7 dalyje ir Reglamento (ES) 2018/1725 29 straipsnio 7 dalyje.


PRIEDAS

Standartinės sutarčių sąlygos

I SKIRSNIS

1 sąlyga

Tikslas ir taikymo sritis

(a)

Šiomis standartinėmis sutarčių sąlygomis (toliau – sąlygos) siekiama užtikrinti, kad būtų laikomasi [pasirinkite tinkamą variantą: 1 VARIANTAS. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), 28 straipsnio 3 ir 4 dalių] / [2 VARIANTAS. 2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamento (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB, 29 straipsnio 3 ir 4 dalių].

(b)

I priede išvardyti duomenų valdytojai ir duomenų tvarkytojai sutiko su šiomis sąlygomis, kad būtų užtikrintas Reglamento (ES) 2016/679 28 straipsnio 3 ir 4 dalių ir Reglamento (ES) 2018/1725 29 straipsnio 3 ir 4 dalių laikymasis.

(c)

Šios sąlygos taikomos, kai asmens duomenys tvarkomi kaip nurodyta II priede.

(d)

I–IV priedai yra neatskiriama šių sąlygų dalis.

(e)

Šios sąlygos nedaro poveikio prievolėms, kurios duomenų valdytojui taikomos pagal Reglamentą (ES) 2016/679 ir (arba) Reglamentą (ES) 2018/1725.

(f)

Šiomis sąlygomis savaime neužtikrinamas prievolių, susijusių su tarptautiniu duomenų perdavimu pagal Reglamento (ES) 2016/679 ir (arba) Reglamento (ES) 2018/1725 V skyrių, vykdymas.

2 sąlyga

Sąlygų nekintamumas

(a)

Šalys įsipareigoja nekeisti sąlygų, išskyrus priedų informacijos papildymą arba atnaujinimą.

(b)

Tai neužkerta kelio šalims įtraukti šiose sąlygose nustatytas standartines sutarčių sąlygas į platesnę sutartį arba įtraukti kitas sąlygas ar papildomas apsaugos priemones su sąlyga, kad jos tiesiogiai ar netiesiogiai neprieštarauja šioms sąlygoms ir nepažeidžia duomenų subjektų pagrindinių teisių ar laisvių.

3 sąlyga

Aiškinimas

(a)

Kai šiose sąlygose vartojamos atitinkamai Reglamente (ES) 2016/679 arba Reglamente (ES) 2018/1725 apibrėžtos sąvokos, tos sąvokos turi tokią pat reikšmę, kaip ir atitinkamame reglamente.

(b)

Šios sąlygos suprantamos ir aiškinamos atsižvelgiant į atitinkamai Reglamento (ES) 2016/679 arba Reglamento (ES) 2018/1725 nuostatas.

(c)

Šios sąlygos negali būti aiškinamos taip, kad prieštarautų atitinkamai Reglamente (ES) 2016/679 / Reglamente (ES) 2018/1725 numatytoms teisėms ir pareigomis arba pažeistų pagrindines duomenų subjektų teises ar laisves.

4 sąlyga

Hierarchija

Esant prieštaravimui tarp šių sąlygų ir susijusių šalių susitarimų, galiojančių tuo metu, kai susitariama dėl šių sąlygų arba sudaromų vėliau, nuostatų, pirmenybė teikiama šioms sąlygoms.

5 sąlyga – pasirinktinai

Prisijungimo sąlyga

(a)

Bet kuris subjektas, kuris nėra šių sąlygų šalis, visų šalių susitarimu gali bet kada prisijungti prie šių sąlygų kaip duomenų valdytojas arba duomenų tvarkytojas, užpildydamas priedus ir pasirašydamas I priedą.

(b)

Užpildžius ir pasirašius a punkte nurodytus priedus, prisijungiantis subjektas laikomas šių sąlygų šalimi ir turi duomenų valdytojo arba duomenų tvarkytojo teises ir pareigas pagal tai, kuriai grupei jis priskiriamas I priede.

(c)

Prisijungiantis subjektas neturi jokių teisių ar pareigų, kylančių pagal šias sąlygas tuo laikotarpiu, kuriuo jis nebuvo šalimi.

II SKIRSNIS

ŠALIŲ PRIEVOLĖS

6 sąlyga

Duomenų tvarkymo aprašymas

Išsami informacija apie duomenų tvarkymo operacijas, visų pirma apie asmens duomenų kategorijas ir duomenų tvarkymo tikslus, dėl kurių asmens duomenys tvarkomi duomenų valdytojo vardu, yra nurodyta II priede.

7 sąlyga

Šalių prievolės

7.1.   Nurodymai

(a)

Duomenų tvarkytojas tvarko asmens duomenis tik pagal duomenų valdytojo dokumentais įformintus nurodymus, nebent turi tai daryti pagal Sąjungos arba valstybės narės teisę, kuri yra taikoma duomenų tvarkytojui. Tokiu atveju duomenų tvarkytojas prieš pradėdamas tvarkyti duomenis praneša apie tokį teisinį reikalavimą duomenų valdytojui, nebent pagal tą teisę tai draudžiama dėl svarbių viešojo intereso priežasčių. Vėlesnius nurodymus duomenų valdytojas taip pat gali teikti per visą asmens duomenų tvarkymo laikotarpį. Šie nurodymai visada įforminami dokumentais.

(b)

Duomenų tvarkytojas nedelsdamas informuoja duomenų valdytoją, jei, duomenų tvarkytojo nuomone, duomenų valdytojo duoti nurodymai pažeidžia Reglamentą (ES) 2016/679 / Reglamentą (ES) 2018/1725 arba taikytinas Sąjungos ar valstybės narės duomenų apsaugos nuostatas.

7.2.   Tikslo apribojimas

Duomenų tvarkytojas tvarko asmens duomenis tik konkrečiu (-iais) duomenų tvarkymo tikslu (-ais), kaip nurodyta II priede, nebent gauna papildomus duomenų valdytojo nurodymus.

7.3.   Asmens duomenų tvarkymo trukmė

Duomenų tvarkytojas duomenis tvarko tik II priede nurodytą laikotarpį.

7.4.   Duomenų tvarkymo saugumas

(a)

Duomenų tvarkytojas įgyvendina bent III priede nurodytas technines ir organizacines priemones, kad užtikrintų asmens duomenų saugumą. Be kita ko, užtikrinama apsauga nuo saugumo pažeidimo, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami duomenys arba prie jų be leidimo gaunama prieiga (asmens duomenų saugumo pažeidimas). Vertindamos tinkamą saugumo lygį, šalys tinkamai atsižvelgia į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas, duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų subjektams kylančius pavojus.

(b)

Duomenų tvarkytojas suteikia prieigą prie tvarkomų asmens duomenų savo darbuotojams tik tiek, kiek tai būtina sutarčiai įgyvendinti, valdyti ir stebėti. Duomenų tvarkytojas užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama teisės aktais nustatyta konfidencialumo prievolė.

7.5.   Neskelbtini duomenys

Kai tvarkomi asmens duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, genetiniai duomenys ar biometriniai duomenys, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenys arba duomenys apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją ar duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas (neskelbtini duomenys), duomenų tvarkytojas taiko konkrečius apribojimus ir (arba) papildomas apsaugos priemones.

7.6.   Dokumentai ir sąlygų laikymasis

(a)

Šalys gali įrodyti, kad laikosi šių sąlygų.

(b)

Duomenų tvarkytojas nedelsdamas ir tinkamai atsako į duomenų valdytojo užklausas, susijusias su duomenų tvarkymu pagal šias sąlygas.

(c)

Duomenų tvarkytojas pateikia duomenų valdytojui visą informaciją, būtiną siekiant įrodyti, kad vykdomos šiose sąlygose nustatytos ir tiesiogiai iš Reglamento (ES) 2016/679 ir (arba) Reglamento (ES) 2018/1725 kylančios prievolės. Duomenų valdytojo prašymu duomenų tvarkytojas taip pat leidžia bei padeda atlikti duomenų tvarkymo veiklos, kuriai taikomos šios sąlygos, auditą pagrįstais laiko tarpais arba jei yra nevykdymo požymių. Priimdamas sprendimą dėl peržiūros ar audito, duomenų valdytojas gali atsižvelgti į atitinkamus duomenų tvarkytojo turimus sertifikatus.

(d)

Duomenų valdytojas gali pats atlikti auditą arba įgalioti nepriklausomą auditorių. Auditas taip pat gali apimti patikrinimus duomenų tvarkytojo patalpose ar fiziniuose objektuose ir, jei tinkama, turi būti atliekamas iš anksto apie jį pranešus.

(e)

Kompetentingos priežiūros institucijos (-ų) prašymu šalys pateikia šiose sąlygose nurodytą informaciją, įskaitant bet kokio audito rezultatus.

7.7.   Pagalbinių duomenų tvarkytojų pasitelkimas

(a)

1 VARIANTAS: KONKRETUS IŠANKSTINIS LEIDIMAS. Be išankstinio konkretaus duomenų valdytojo rašytinio leidimo duomenų tvarkytojas neperduoda jokios duomenų valdytojo vardu pagal šias sąlygas vykdomos duomenų tvarkymo veiklos pagalbiniam duomenų tvarkytojui. Duomenų tvarkytojas pateikia prašymą konkrečiam leidimui likus ne mažiau kaip [NURODYTI LAIKOTARPĮ] iki atitinkamo pagalbinio duomenų tvarkytojo pasitelkimo kartu su informacija, kuri būtina duomenų valdytojui, kad jis galėtų priimti sprendimą dėl leidimo. Duomenų valdytojo įgaliotų pagalbinių duomenų tvarkytojų sąrašas pateiktas IV priede. Šalys nuolat atnaujina IV priedą.

2 VARIANTAS: BENDRAS RAŠYTINIS LEIDIMAS. Duomenų tvarkytojas turi bendrą duomenų valdytojo leidimą pasitelkti pagalbinius duomenų tvarkytojus iš suderinto sąrašo. Duomenų tvarkytojas konkrečiai raštu informuoja duomenų valdytoją apie bet kokius numatomus to sąrašo pakeitimus įtraukiant ar pakeičiant pagalbinius duomenų tvarkytojus ne mažiau kaip prieš [NURODYTI LAIKOTARPĮ], taip suteikdamas duomenų valdytojui pakankamai laiko, kad jis galėtų prieštarauti tokiems pakeitimams iki atitinkamo (-ų) pagalbinio (-ių) duomenų tvarkytojo (-ų) pasitelkimo. Duomenų tvarkytojas pateikia duomenų valdytojui informaciją, būtiną tam, kad duomenų valdytojas galėtų pasinaudoti savo teise prieštarauti.

(b)

Kai duomenų tvarkytojas pasitelkia pagalbinį duomenų tvarkytoją konkrečiai duomenų tvarkymo veiklai vykdyti (duomenų valdytojo vardu), jis tai daro sudarydamas sutartį, kurioje numatomos iš esmės tokios pačios pagalbinio duomenų tvarkytojo duomenų apsaugos prievolės, kurių duomenų tvarkytojui privaloma laikytis pagal šias sąlygas. Duomenų tvarkytojas užtikrina, kad pagalbinis duomenų tvarkytojas laikytųsi įsipareigojimų, kurie duomenų tvarkytojui taikomi pagal šias sąlygas ir Reglamentą (ES) 2016/679 ir (arba) Reglamentą (ES) 2018/1725.

(c)

Duomenų valdytojo prašymu duomenų tvarkytojas pateikia duomenų valdytojui tokio susitarimo su pagalbiniu duomenų tvarkytoju ir visų vėlesnių jo pakeitimų kopiją. Tiek, kiek būtina verslo paslapčiai ar kitai konfidencialiai informacijai, įskaitant asmens duomenis, apsaugoti, duomenų tvarkytojas gali kupiūruoti susitarimo tekstą prieš pateikdamas jo kopiją.

(d)

Duomenų tvarkytojas lieka visiškai atsakingas duomenų valdytojui už pagalbinio duomenų tvarkytojo įsipareigojimų, nustatytų jo sutartyje su duomenų tvarkytoju, vykdymą. Duomenų tvarkytojas praneša duomenų valdytojui apie bet kokį pagalbinio duomenų tvarkytojo sutartinių įsipareigojimų nevykdymą.

(e)

Duomenų tvarkytojas suderina su pagalbiniu duomenų tvarkytoju trečiosios šalies naudos gavėjos sąlygą, pagal kurią tuo atveju, jei duomenų tvarkytojas faktiškai dingo arba nustojo teisiškai egzistuoti, arba tapo nemokus, duomenų valdytojas turi teisę nutraukti sutartį su pagalbiniu duomenų tvarkytoju ir nurodyti pagalbiniam duomenų tvarkytojui ištrinti arba grąžinti asmens duomenis.

7.8.   Tarptautinis duomenų perdavimas

(a)

Duomenų tvarkytojas bet kokį duomenų perdavimą į trečiąją valstybę ar tarptautinei organizacijai vykdo tik pagal duomenų valdytojo dokumentais įformintus nurodymus arba vykdydamas konkretų reikalavimą pagal Sąjungos ar valstybės narės teisę, kuri taikoma duomenų tvarkytojui, ir laikydamasis Reglamento (ES) 2016/679 arba Reglamento (ES) 2018/1725) V skyriaus.

(b)

Duomenų valdytojas sutinka, kad tais atvejais, kai duomenų tvarkytojas pagal 7.7 sąlygą pasitelkia pagalbinį duomenų tvarkytoją konkrečiai duomenų tvarkymo veiklai vykdyti (duomenų valdytojo vardu) ir ta duomenų tvarkymo veikla yra susijusi su asmens duomenų perdavimu pagal Reglamento (ES) 2016/679 V skyrių, duomenų tvarkytojas ir pagalbinis duomenų tvarkytojas gali užtikrinti Reglamento (ES) 2016/679 V skyriaus reikalavimų laikymąsi naudodami standartines sutarčių sąlygas, kurias Komisija priėmė pagal Reglamento (ES) 2016/679 46 straipsnio 2 dalį, jei vykdomos tų standartinių sutarčių sąlygų naudojimo sąlygos.

8 sąlyga

Pagalba duomenų valdytojui

(a)

Duomenų tvarkytojas nedelsdamas praneša duomenų valdytojui apie bet kokį iš duomenų subjekto gautą prašymą. Jis pats į tokį prašymą neatsako, nebent duomenų valdytojas jam leido tai daryti.

(b)

Duomenų tvarkytojas padeda duomenų valdytojui vykdyti jo prievoles atsakyti į duomenų subjektų prašymus pasinaudoti savo teisėmis, atsižvelgdamas į duomenų tvarkymo pobūdį. Duomenų tvarkytojas, vykdydamas a ir b punktuose nustatytas prievoles, laikosi duomenų valdytojo nurodymų.

(c)

Be duomenų tvarkytojo pareigos padėti duomenų valdytojui pagal 8 sąlygos b punktą, duomenų tvarkytojas taip pat padeda duomenų valdytojui užtikrinti, kad būtų vykdomos toliau nurodytos prievolės, atsižvelgiant į duomenų tvarkymo pobūdį ir duomenų tvarkytojo turimą informaciją:

1)

prievolė atlikti numatomų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą (poveikio duomenų apsaugai vertinimas), kai dėl duomenų tvarkymo rūšies gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms;

2)

prievolė konsultuotis su kompetentinga priežiūros institucija (-omis) prieš pradedant tvarkyti duomenis, jeigu poveikio duomenų apsaugai vertinime nurodyta, kad tvarkant duomenis kiltų didelis pavojus, jei duomenų valdytojas nesiimtų priemonių pavojui sumažinti;

3)

prievolė užtikrinti, kad asmens duomenys būtų tikslūs ir naujausi, nedelsiant informuojant duomenų valdytoją, jei duomenų tvarkytojas sužino, kad jo tvarkomi asmens duomenys yra netikslūs arba tapo pasenę;

4)

prievolės pagal [1 VARIANTAS] Reglamento (ES) 2016/679 32 straipsnį / [2 VARIANTAS] Reglamento (ES) 2018/1725 33, 36–38 straipsnius.

(d)

Šalys III priede nustato tinkamas technines ir organizacines priemones, kuriomis duomenų tvarkytojas privalo padėti duomenų valdytojui taikyti šią sąlygą, taip pat reikalingos pagalbos apimtį ir mastą.

9 sąlyga

Pranešimas apie asmens duomenų saugumo pažeidimą

Asmens duomenų saugumo pažeidimo atveju duomenų tvarkytojas bendradarbiauja su duomenų valdytoju ir padeda jam vykdyti jo prievoles pagal Reglamento (ES) 2016/679 33 ir 34 straipsnius arba Reglamento (ES) 2018/1725 34 ir 35 straipsnius, kai taikoma, atsižvelgdamas į duomenų tvarkymo pobūdį ir duomenų tvarkytojo turimą informaciją.

9.1.   Duomenų saugumo pažeidimas, susijęs su duomenų valdytojo tvarkomais duomenimis

Asmens duomenų saugumo pažeidimo, susijusio su duomenų valdytojo tvarkomais duomenimis, atveju duomenų tvarkytojas padeda duomenų valdytojui:

(a)

nepagrįstai nedelsdamas po to, kai duomenų valdytojas sužino apie asmens duomenų saugumo pažeidimą, atitinkamais atvejais pranešti apie jį kompetentingai priežiūros institucijai (-oms) (išskyrus atvejus, kai asmens duomenų saugumo pažeidimas greičiausiai nekels pavojaus fizinių asmenų teisėms ir laisvėms);

(b)

gaudamas toliau nurodytą informaciją, kuri pagal [1 VARIANTAS] Reglamento (ES) 2016/679 33 straipsnio 3 dalį / [2 VARIANTAS] Reglamento (ES) 2018/1725 34 straipsnio 3 dalį nurodoma duomenų valdytojo pranešime ir turi apimti bent:

1)

asmens duomenų pobūdį, įskaitant, jeigu įmanoma, atitinkamų duomenų subjektų kategorijas ir apytikslį skaičių, taip pat atitinkamų asmens duomenų įrašų kategorijas ir apytikslį skaičių;

2)

tikėtinas asmens duomenų saugumo pažeidimo pasekmes;

3)

priemones, kurių ėmėsi arba pasiūlė imtis duomenų valdytojas, kad būtų pašalintas asmens duomenų saugumo pažeidimas, įskaitant, kai tinkama, priemones galimoms neigiamoms jo pasekmėms sumažinti.

Kai ir jei visos informacijos neįmanoma pateikti tuo pačiu metu, pradiniame pranešime pateikiama tuo metu turima informacija, o papildoma informacija, kai ji sužinoma, vėliau pateikiama nepagrįstai nedelsiant;

(c)

vykdydamas prievolę pagal [1 VARIANTAS] Reglamento (ES) 2016/679 34 straipsnį / [2 VARIANTAS] Reglamento (ES) 2018/1725 35 straipsnį nepagrįstai nedelsiant pranešti apie asmens duomenų saugumo pažeidimą duomenų subjektui, kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms.

9.2.   Duomenų saugumo pažeidimas, susijęs su duomenų tvarkytojo tvarkomais duomenimis

Asmens duomenų saugumo pažeidimo, susijusio su duomenų tvarkytojo tvarkomais duomenimis, atveju duomenų tvarkytojas nepagrįstai nedelsdamas po to, kai sužino apie pažeidimą, apie tai praneša duomenų valdytojui. Tokiame pranešime nurodoma bent ši informacija:

(a)

pažeidimo pobūdžio aprašymas (jei įmanoma, nurodant atitinkamų duomenų subjektų ir duomenų įrašų kategorijas ir apytikslį skaičių);

(b)

kontaktinio asmens, kuris gali suteikti daugiau informacijos apie asmens duomenų saugumo pažeidimą, duomenys;

(c)

tikėtinos jo pasekmės ir priemonės, kurių imtasi arba siūloma imtis pažeidimui pašalinti, įskaitant galimo neigiamo jo poveikio mažinimą.

Kai ir jei visos informacijos neįmanoma pateikti tuo pačiu metu, pradiniame pranešime pateikiama tuo metu turima informacija, o papildoma informacija, kai ji sužinoma, vėliau pateikiama nepagrįstai nedelsiant.

Šalys III priede nustato visą informaciją, kurią turi pateikti duomenų tvarkytojas, padėdamas duomenų valdytojui vykdyti duomenų valdytojo prievoles pagal [1 VARIANTAS] Reglamento (ES) 2016/679 33 ir 34 straipsnius / [2 VARIANTAS] Reglamento (ES) 2018/1725 34 ir 35 straipsnius.

III SKIRSNIS

BAIGIAMOSIOS NUOSTATOS

10 sąlyga

Sąlygų nesilaikymas ir sutarties nutraukimas

(a)

Nedarant poveikio jokioms Reglamento (ES) 2016/679 ir (arba) Reglamento (ES) 2018/1725 nuostatoms, tuo atveju, jei duomenų tvarkytojas pažeidžia savo įsipareigojimus pagal šias sąlygas, duomenų valdytojas gali nurodyti duomenų tvarkytojui sustabdyti asmens duomenų tvarkymą, kol pastarasis vėl laikysis šių sąlygų arba bus nutraukta sutartis. Duomenų tvarkytojas nedelsdamas informuoja duomenų valdytoją tuo atveju, jei dėl kokių nors priežasčių negali laikytis šių sąlygų.

(b)

Duomenų valdytojas turi teisę nutraukti sutartį tiek, kiek ji susijusi su asmens duomenų tvarkymu pagal šias sąlygas, jei:

1)

duomenų valdytojas sustabdė duomenų tvarkytojo atliekamą asmens duomenų tvarkymą pagal a punktą ir per pagrįstą laiką, o bet kuriuo atveju per vieną mėnesį nuo sustabdymo, neatkuriamas šių sąlygų laikymasis;

2)

duomenų tvarkytojas iš esmės arba nuolat pažeidžia šias sąlygas arba savo prievoles pagal Reglamentą (ES) 2016/679 ir (arba) Reglamentą (ES) 2018/1725;

3)

duomenų tvarkytojas nevykdo kompetentingo teismo arba kompetentingos priežiūros institucijos (-ų) privalomo sprendimo dėl jo prievolių pagal šias sąlygas arba Reglamentą (ES) 2016/679 ir (arba) Reglamentą (ES) 2018/1725.

(c)

Duomenų tvarkytojas turi teisę nutraukti sutartį tiek, kiek ji susijusi su asmens duomenų tvarkymu pagal šias sąlygas, jei informavus duomenų valdytoją, kad jo nurodymai pažeidžia taikytinus teisinius reikalavimus pagal 7.1 sąlygos b punktą, duomenų valdytojas toliau reikalauja laikytis nurodymų.

(d)

Nutraukus sutartį, duomenų tvarkytojas, remdamasis duomenų valdytojo pasirinkimu, ištrina visus duomenų valdytojo vardu tvarkomus asmens duomenis ir patvirtina duomenų valdytojui, kad tai padarė, arba grąžina visus asmens duomenis duomenų valdytojui ir ištrina esamas kopijas, nebent pagal Sąjungos arba valstybės narės teisę asmens duomenis reikalaujama saugoti. Kol duomenys neištrinami ar negrąžinami, duomenų tvarkytojas toliau užtikrina, kad būtų laikomasi šių sąlygų.


I PRIEDAS

Šalių sąrašas

Duomenų valdytojas (-ai) [Duomenų valdytojo (-ų) ir, kai taikoma, duomenų valdytojo duomenų apsaugos pareigūno tapatybė ir kontaktiniai duomenys]

1.

Pavadinimas: …

 

Adresas: …

 

Kontaktinio asmens vardas ir pavardė, pareigos ir kontaktiniai duomenys: …

 

Parašas ir prisijungimo data: …

2.

 

Duomenų tvarkytojas (-ai) [Duomenų tvarkytojo (-ų) ir, kai taikoma, duomenų tvarkytojo duomenų apsaugos pareigūno tapatybė ir kontaktiniai duomenys]

1.

Pavadinimas: …

 

Adresas: …

 

Kontaktinio asmens vardas ir pavardė, pareigos ir kontaktiniai duomenys: …

 

Parašas ir prisijungimo data: …

2.

 


II PRIEDAS

Duomenų tvarkymo aprašymas

Duomenų subjektų, kurių asmens duomenys tvarkomi, kategorijos

Tvarkomų asmens duomenų kategorijos

Tvarkomi neskelbtini duomenys (jei taikoma) ir taikomi apribojimai arba apsaugos priemonės, kuriais visapusiškai atsižvelgiama į duomenų pobūdį ir susijusius pavojus, pavyzdžiui, griežtas tikslo apribojimas, prieigos apribojimai (įskaitant prieigą tik specialius mokymus baigusiems darbuotojams), prieigos prie duomenų registravimas, tolesnio perdavimo apribojimai arba papildomos apsaugos priemonės

Tvarkymo pobūdis

Tikslas (-ai), kuriuo (-iais) asmens duomenys tvarkomi duomenų valdytojo vardu

Duomenų tvarkymo trukmė

Jeigu duomenis tvarko (pagalbiniai) duomenų tvarkytojai, taip pat nurodyti tvarkymo dalyką, pobūdį ir trukmę


III PRIEDAS

Techninės ir organizacinės priemonės, įskaitant technines ir organizacines priemones duomenų saugumui užtikrinti

PAAIŠKINIMAS

Techninės ir organizacinės priemonės turi būti aprašytos konkrečiai, o ne bendrai.

Duomenų tvarkytojo (-ų) įgyvendintų techninių ir organizacinių saugumo priemonių (įskaitant atitinkamą sertifikavimą), kuriomis užtikrinamas tinkamas saugumo lygis, atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslą, taip pat pavojų fizinių asmenų teisėms ir laisvėms, aprašymas. Galimų priemonių pavyzdžiai:

 

Pseudonimų suteikimo asmens duomenims ir jų šifravimo priemonės

 

Nuolatinio duomenų tvarkymo sistemų ir paslaugų konfidencialumo, vientisumo, prieinamumo ir atsparumo užtikrinimo priemonės

 

Priemonės, užtikrinančios gebėjimą laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju

 

Reguliaraus techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesai

 

Naudotojo tapatybės nustatymo ir leidimo suteikimo priemonės

 

Duomenų apsaugos priemonės, taikomos perduodant duomenis

 

Duomenų apsaugos priemonės, taikomos saugant duomenis

 

Vietų, kuriose tvarkomi asmens duomenys, fizinio saugumo užtikrinimo priemonės

 

Priemonės, užtikrinančios įvykių registravimą

 

Sistemos konfigūracijos, įskaitant numatytąją konfigūraciją, užtikrinimo priemonės

 

IT ir IT saugumo vidaus valdymo ir administravimo priemonės

 

Procesų ir produktų sertifikavimo / užtikrinimo priemonės

 

Duomenų kiekio mažinimo užtikrinimo priemonės

 

Duomenų kokybės užtikrinimo priemonės

 

Riboto duomenų saugojimo užtikrinimo priemonės

 

Atskaitomybės užtikrinimo priemonės

 

Duomenų perkeliamumo ir ištrynimo užtikrinimo priemonės

Jei duomenys perduodami (pagalbiniams) duomenų tvarkytojams, taip pat aprašykite konkrečias technines ir organizacines priemones, kurių turi imtis (pagalbinis) duomenų tvarkytojas, kad galėtų teikti pagalbą duomenų valdytojui

Konkrečių techninių ir organizacinių priemonių, kurių turi imtis duomenų tvarkytojas, kad galėtų teikti pagalbą duomenų valdytojui, aprašymas


IV PRIEDAS

Pagalbinių duomenų tvarkytojų sąrašas

PAAIŠKINIMAS

Šis priedas turi būti pildomas, kai pagalbiniams duomenų tvarkytojams suteikiamas konkretus leidimas (7.7 sąlygos a punktas, 1 variantas).

Duomenų valdytojas suteikė leidimą pasitelkti šiuos pagalbinius duomenų tvarkytojus:

1.

Pavadinimas: …

 

Adresas: …

 

Kontaktinio asmens vardas ir pavardė, pareigos ir kontaktiniai duomenys: …

 

Duomenų tvarkymo aprašymas (įskaitant aiškų atsakomybės atskyrimą, jei leidimas suteiktas keliems pagalbiniams duomenų tvarkytojams): …

2.