2021 6 7

Europos Sąjungos oficialusis leidinys

L 199/18

KOMISIJOS ĮGYVENDINIMO SPRENDIMAS (ES) 2021/915

2021 m. birželio 4 d.

dėl duomenų valdytojų ir duomenų tvarkytojų standartinių sutarčių sąlygų pagal Europos Parlamento ir Tarybos reglamento (ES) 2016/679 28 straipsnio 7 dalį ir Europos Parlamento ir Tarybos reglamento (ES) 2018/1725 29 straipsnio 7 dalį

(Tekstas svarbus EEE)

EUROPOS KOMISIJA,

atsižvelgdama į Sutartį dėl Europos Sąjungos veikimo,

atsižvelgdama į 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (BDAR) (1), ypač į jo 28 straipsnio 7 dalį,

atsižvelgdama į 2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamentą (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB (ESDAR) (2), ypač į jo 29 straipsnio 7 dalį,

kadangi:

(1)

duomenų valdytojo ir duomenų tvarkytojo sąvokos yra labai svarbios taikant Reglamentą (ES) 2016/679 ir Reglamentą (ES) 2018/1725. Duomenų valdytojas yra fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones. Taikant Reglamentą (ES) 2018/1725, duomenų valdytojas yra Sąjungos institucija ar organas arba generalinis direktoratas, arba bet kuris kitas organizacinis vienetas, kuris vienas ar drauge su kitais nustato asmens duomenų tvarkymo tikslus ir priemones. Kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti konkretaus Sąjungos teisės akto, duomenų valdytojas arba konkretūs jo skyrimo kriterijai gali būti nustatyti Sąjungos. Duomenų tvarkytojas yra fizinis ar juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis;

(2)

duomenų valdytojų ir duomenų tvarkytojų, kuriems taikomas Reglamentas (ES) 2016/679 ir Reglamentas (ES) 2018/1725, santykiams turėtų būti taikomas tas pats standartinių sutarčių sąlygų rinkinys. Taip yra todėl, kad siekiant nuoseklaus požiūrio į asmens duomenų apsaugą visoje Sąjungoje ir laisvo asmens duomenų judėjimo Sąjungoje, Reglamente (ES) 2016/679 nustatytos valstybių narių viešajam sektoriui taikomos duomenų apsaugos taisyklės ir Reglamente (ES) 2018/1725 nustatytos Sąjungos institucijoms, organams, tarnyboms ir agentūroms taikomos duomenų apsaugos taisyklės kiek įmanoma suderintos;

(3)

siekdamas užtikrinti, kad būtų laikomasi reglamentų (ES) 2016/679 ir (ES) 2018/1725 reikalavimų, duomenų valdytojas, patikėdamas duomenų tvarkytojui duomenų tvarkymo veiklą, turėtų pasitelkti tik tokius duomenų tvarkytojus, kurie suteikia pakankamas garantijas, susijusias, visų pirma, su ekspertinėmis žiniomis, patikimumu ir ištekliais, kad būtų įgyvendintos techninės ir organizacinės priemonės, kurios atitinka Reglamento (ES) 2016/679 ir Reglamento (ES) 2018/1725 reikalavimus, įskaitant dėl duomenų tvarkymo saugumo;

(4)

duomenų tvarkytojo atliekamas duomenų tvarkymas turi būti reglamentuojamas sutartimi arba kitu teisės aktu pagal Sąjungos arba valstybės narės teisę, kuris yra privalomas duomenų tvarkytojui duomenų valdytojo atžvilgiu ir kuriame nustatyta Reglamento (ES) 2016/679 28 straipsnio 3 ir 4 dalyse arba Reglamento (ES) 2018/1725 29 straipsnio 3 ir 4 dalyse išvardyta informacija. Tokia sutartis arba aktas yra parengiami raštu, įskaitant elektroninę formą;

(5)

pagal Reglamento (ES) 2016/679 28 straipsnio 6 dalį ir Reglamento (ES) 2018/1725 29 straipsnio 6 dalį duomenų valdytojas ir duomenų tvarkytojas gali pasirinkti, ar derėtis dėl atskiros sutarties, kurioje būtų pateikta atitinkamai Reglamento (ES) 2016/679 28 straipsnio 3 ir 4 dalyse arba Reglamento (ES) 2018/1725 29 straipsnio 3 ir 4 dalyse nustatyta privaloma informacija, ar visiškai arba iš dalies naudoti standartines sutarčių sąlygas, kurias Komisija priėmė pagal Reglamento (ES) 2016/679 28 straipsnio 7 dalį ir Reglamento (ES) 2018/1725 29 straipsnio 7 dalį;

(6)

duomenų valdytojas ir duomenų tvarkytojas turėtų turėti galimybę įtraukti šiame sprendime nustatytas standartines sutarčių sąlygas į platesnę sutartį ir įtraukti kitas sąlygas ar papildomas apsaugos priemones su sąlyga, kad jos tiesiogiai ar netiesiogiai neprieštarauja standartinėms sutarčių sąlygoms ir nepažeidžia duomenų subjektų pagrindinių teisių ar laisvių. Standartinės sutarčių sąlygos taikomos neatsižvelgiant į duomenų valdytojo ir (arba) duomenų tvarkytojo sutartinius įsipareigojimus užtikrinti taikytinų privilegijų ir imunitetų laikymąsi;

(7)

standartinės sutarčių sąlygos turėtų apimti ir materialines, ir procesines taisykles. Pagal Reglamento (ES) 2016/679 28 straipsnio 3 dalį ir Reglamento (ES) 2018/1725 29 straipsnio 3 dalį standartinėse sutarčių sąlygose taip pat turėtų būti reikalaujama, kad duomenų valdytojas ir duomenų tvarkytojas nustatytų duomenų tvarkymo dalyką ir trukmę, jo pobūdį ir tikslą, atitinkamų asmens duomenų rūšį, duomenų subjektų kategorijas ir duomenų valdytojo prievoles bei teises;

(8)

pagal Reglamento (ES) 2016/679 28 straipsnio 3 dalį ir Reglamento (ES) 2018/1725 29 straipsnio 3 dalį duomenų tvarkytojas turi nedelsdamas informuoti duomenų valdytoją, jei, jo nuomone, duomenų valdytojo nurodymas pažeidžia Reglamentą (ES) 2016/679 arba Reglamentą (ES) 2018/1725 ar kitas Sąjungos ar valstybės narės duomenų apsaugos nuostatas;

(9)

jei duomenų tvarkytojas pasitelkia kitą duomenų tvarkytoją konkrečiai veiklai vykdyti, turėtų būti taikomi Reglamento (ES) 2016/679 28 straipsnio 2 ir 4 dalyse arba Reglamento (ES) 2018/1725 29 straipsnio 2 ir 4 dalyse nurodyti konkretūs reikalavimai. Visų pirma reikia gauti konkretų ar bendrą išankstinį rašytinį leidimą. Neatsižvelgiant į tai, ar šis išankstinis leidimas yra konkretus, ar bendras, pirmasis duomenų tvarkytojas turėtų nuolat atnaujinti kitų duomenų tvarkytojų sąrašą;

(10)

siekdama vykdyti Reglamento (ES) 2016/679 46 straipsnio 1 dalies reikalavimus, Komisija pagal Reglamento (ES) 2016/679 46 straipsnio 2 dalies c punktą priėmė standartines sutarčių sąlygas. Tos sąlygos taip pat atitinka Reglamento (ES) 2016/679 28 straipsnio 3 ir 4 dalių reikalavimus dėl duomenų perdavimo iš duomenų valdytojų, kuriems taikomas Reglamentas (ES) 2016/679, duomenų tvarkytojams, kurie nepatenka į to reglamento teritorinę taikymo sritį, arba iš duomenų tvarkytojų, kuriems taikomas Reglamentas (ES) 2016/679, pagalbiniams duomenų tvarkytojams, kurie nepatenka į to reglamento teritorinę taikymo sritį. Šios standartinės sutarčių sąlygos negali būti naudojamos kaip standartinės sutarčių sąlygos taikant Reglamento (ES) 2016/679 V skyrių;

(11)	trečiosios šalys turėtų turėti galimybę tapti standartinių sutarčių sąlygų šalimi per visą sutarties galiojimo laikotarpį;

(12)	standartinių sutarčių sąlygų taikymas turėtų būti įvertintas atliekant periodinį Reglamento (ES) 2016/679 vertinimą pagal to reglamento 97 straipsnį;

(13)	pagal Reglamento (ES) 2018/1725 42 straipsnio 1 ir 2 dalis buvo konsultuojamasi su Europos duomenų apsaugos priežiūros pareigūnu ir Europos duomenų apsaugos valdyba, kurie 2021 m. sausio 14 d. (3) pateikė bendrą nuomonę, į kurią buvo atsižvelgta rengiant šį sprendimą;

(14)	šiame sprendime numatytos priemonės atitinka pagal Reglamento (ES) 2016/679 93 straipsnį ir Reglamento (ES) 2018/1725 96 straipsnio 2 dalį įsteigto komiteto nuomonę,

PRIĖMĖ ŠĮ SPRENDIMĄ:

1 straipsnis

Priede nustatytos standartinės sutarčių sąlygos atitinka Reglamento (ES) 2016/679 28 straipsnio 3 ir 4 dalyse ir Reglamento (ES) 2018/1725 29 straipsnio 3 ir 4 dalyse nustatytus duomenų valdytojų ir duomenų tvarkytojų sutarčių reikalavimus.

2 straipsnis

Priede nustatytos standartinės sutarčių sąlygos gali būti naudojamos duomenų valdytojo ir duomenų tvarkytojo, kuris jo vardu tvarko asmens duomenis, sutartyse.

3 straipsnis

Komisija, remdamasi visa turima informacija, įvertina priede išdėstytų standartinių sutarčių sąlygų praktinį taikymą, atlikdama Reglamento (ES) 2016/679 97 straipsnyje numatytą periodinį vertinimą.

4 straipsnis

Šis sprendimas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.

Priimta Briuselyje 2021 m. birželio 4 d.

Komisijos vardu

Pirmininkė

Ursula VON DER LEYEN

(1) OL L 119, 2016 5 4, p. 1.

(2) OL L 295, 2018 11 21, p. 39.

(3) EDAV ir EDAPP bendra nuomonė Nr. 1/2021 dėl Europos Komisijos įgyvendinimo sprendimo dėl duomenų valdytojų ir duomenų tvarkytojų standartinių sutarčių sąlygų, apimančių klausimus, nurodytus Reglamento (ES) 2016/679 28 straipsnio 7 dalyje ir Reglamento (ES) 2018/1725 29 straipsnio 7 dalyje.

PRIEDAS

Standartinės sutarčių sąlygos

I SKIRSNIS

1 sąlyga

Tikslas ir taikymo sritis

(a)

Šiomis standartinėmis sutarčių sąlygomis (toliau – sąlygos) siekiama užtikrinti, kad būtų laikomasi [pasirinkite tinkamą variantą: 1 VARIANTAS. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), 28 straipsnio 3 ir 4 dalių] / [2 VARIANTAS. 2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamento (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB, 29 straipsnio 3 ir 4 dalių].

(b)	I priede išvardyti duomenų valdytojai ir duomenų tvarkytojai sutiko su šiomis sąlygomis, kad būtų užtikrintas Reglamento (ES) 2016/679 28 straipsnio 3 ir 4 dalių ir Reglamento (ES) 2018/1725 29 straipsnio 3 ir 4 dalių laikymasis.

(c)	Šios sąlygos taikomos, kai asmens duomenys tvarkomi kaip nurodyta II priede.

(d)	I–IV priedai yra neatskiriama šių sąlygų dalis.

(e)	Šios sąlygos nedaro poveikio prievolėms, kurios duomenų valdytojui taikomos pagal Reglamentą (ES) 2016/679 ir (arba) Reglamentą (ES) 2018/1725.

(f)	Šiomis sąlygomis savaime neužtikrinamas prievolių, susijusių su tarptautiniu duomenų perdavimu pagal Reglamento (ES) 2016/679 ir (arba) Reglamento (ES) 2018/1725 V skyrių, vykdymas.

2 sąlyga

Sąlygų nekintamumas

(a)	Šalys įsipareigoja nekeisti sąlygų, išskyrus priedų informacijos papildymą arba atnaujinimą.

(b)

Tai neužkerta kelio šalims įtraukti šiose sąlygose nustatytas standartines sutarčių sąlygas į platesnę sutartį arba įtraukti kitas sąlygas ar papildomas apsaugos priemones su sąlyga, kad jos tiesiogiai ar netiesiogiai neprieštarauja šioms sąlygoms ir nepažeidžia duomenų subjektų pagrindinių teisių ar laisvių.

3 sąlyga

Aiškinimas

(a)	Kai šiose sąlygose vartojamos atitinkamai Reglamente (ES) 2016/679 arba Reglamente (ES) 2018/1725 apibrėžtos sąvokos, tos sąvokos turi tokią pat reikšmę, kaip ir atitinkamame reglamente.

(b)	Šios sąlygos suprantamos ir aiškinamos atsižvelgiant į atitinkamai Reglamento (ES) 2016/679 arba Reglamento (ES) 2018/1725 nuostatas.

(c)	Šios sąlygos negali būti aiškinamos taip, kad prieštarautų atitinkamai Reglamente (ES) 2016/679 / Reglamente (ES) 2018/1725 numatytoms teisėms ir pareigomis arba pažeistų pagrindines duomenų subjektų teises ar laisves.

4 sąlyga

Hierarchija

Esant prieštaravimui tarp šių sąlygų ir susijusių šalių susitarimų, galiojančių tuo metu, kai susitariama dėl šių sąlygų arba sudaromų vėliau, nuostatų, pirmenybė teikiama šioms sąlygoms.

5 sąlyga – pasirinktinai

Prisijungimo sąlyga

(a)	Bet kuris subjektas, kuris nėra šių sąlygų šalis, visų šalių susitarimu gali bet kada prisijungti prie šių sąlygų kaip duomenų valdytojas arba duomenų tvarkytojas, užpildydamas priedus ir pasirašydamas I priedą.

(b)	Užpildžius ir pasirašius a punkte nurodytus priedus, prisijungiantis subjektas laikomas šių sąlygų šalimi ir turi duomenų valdytojo arba duomenų tvarkytojo teises ir pareigas pagal tai, kuriai grupei jis priskiriamas I priede.

(c)	Prisijungiantis subjektas neturi jokių teisių ar pareigų, kylančių pagal šias sąlygas tuo laikotarpiu, kuriuo jis nebuvo šalimi.

II SKIRSNIS

ŠALIŲ PRIEVOLĖS

6 sąlyga

Duomenų tvarkymo aprašymas

Išsami informacija apie duomenų tvarkymo operacijas, visų pirma apie asmens duomenų kategorijas ir duomenų tvarkymo tikslus, dėl kurių asmens duomenys tvarkomi duomenų valdytojo vardu, yra nurodyta II priede.

7 sąlyga

Šalių prievolės

7.1. Nurodymai

(a)

Duomenų tvarkytojas tvarko asmens duomenis tik pagal duomenų valdytojo dokumentais įformintus nurodymus, nebent turi tai daryti pagal Sąjungos arba valstybės narės teisę, kuri yra taikoma duomenų tvarkytojui. Tokiu atveju duomenų tvarkytojas prieš pradėdamas tvarkyti duomenis praneša apie tokį teisinį reikalavimą duomenų valdytojui, nebent pagal tą teisę tai draudžiama dėl svarbių viešojo intereso priežasčių. Vėlesnius nurodymus duomenų valdytojas taip pat gali teikti per visą asmens duomenų tvarkymo laikotarpį. Šie nurodymai visada įforminami dokumentais.

(b)	Duomenų tvarkytojas nedelsdamas informuoja duomenų valdytoją, jei, duomenų tvarkytojo nuomone, duomenų valdytojo duoti nurodymai pažeidžia Reglamentą (ES) 2016/679 / Reglamentą (ES) 2018/1725 arba taikytinas Sąjungos ar valstybės narės duomenų apsaugos nuostatas.

7.2. Tikslo apribojimas

Duomenų tvarkytojas tvarko asmens duomenis tik konkrečiu (-iais) duomenų tvarkymo tikslu (-ais), kaip nurodyta II priede, nebent gauna papildomus duomenų valdytojo nurodymus.

7.3. Asmens duomenų tvarkymo trukmė

Duomenų tvarkytojas duomenis tvarko tik II priede nurodytą laikotarpį.

7.4. Duomenų tvarkymo saugumas

(a)

Duomenų tvarkytojas įgyvendina bent III priede nurodytas technines ir organizacines priemones, kad užtikrintų asmens duomenų saugumą. Be kita ko, užtikrinama apsauga nuo saugumo pažeidimo, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami duomenys arba prie jų be leidimo gaunama prieiga (asmens duomenų saugumo pažeidimas). Vertindamos tinkamą saugumo lygį, šalys tinkamai atsižvelgia į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas, duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų subjektams kylančius pavojus.

(b)

Duomenų tvarkytojas suteikia prieigą prie tvarkomų asmens duomenų savo darbuotojams tik tiek, kiek tai būtina sutarčiai įgyvendinti, valdyti ir stebėti. Duomenų tvarkytojas užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama teisės aktais nustatyta konfidencialumo prievolė.

7.5. Neskelbtini duomenys

Kai tvarkomi asmens duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, genetiniai duomenys ar biometriniai duomenys, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenys arba duomenys apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją ar duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas (neskelbtini duomenys), duomenų tvarkytojas taiko konkrečius apribojimus ir (arba) papildomas apsaugos priemones.

7.6. Dokumentai ir sąlygų laikymasis

(a)	Šalys gali įrodyti, kad laikosi šių sąlygų.

(b)	Duomenų tvarkytojas nedelsdamas ir tinkamai atsako į duomenų valdytojo užklausas, susijusias su duomenų tvarkymu pagal šias sąlygas.

(c)

Duomenų tvarkytojas pateikia duomenų valdytojui visą informaciją, būtiną siekiant įrodyti, kad vykdomos šiose sąlygose nustatytos ir tiesiogiai iš Reglamento (ES) 2016/679 ir (arba) Reglamento (ES) 2018/1725 kylančios prievolės. Duomenų valdytojo prašymu duomenų tvarkytojas taip pat leidžia bei padeda atlikti duomenų tvarkymo veiklos, kuriai taikomos šios sąlygos, auditą pagrįstais laiko tarpais arba jei yra nevykdymo požymių. Priimdamas sprendimą dėl peržiūros ar audito, duomenų valdytojas gali atsižvelgti į atitinkamus duomenų tvarkytojo turimus sertifikatus.

(d)	Duomenų valdytojas gali pats atlikti auditą arba įgalioti nepriklausomą auditorių. Auditas taip pat gali apimti patikrinimus duomenų tvarkytojo patalpose ar fiziniuose objektuose ir, jei tinkama, turi būti atliekamas iš anksto apie jį pranešus.

(e)	Kompetentingos priežiūros institucijos (-ų) prašymu šalys pateikia šiose sąlygose nurodytą informaciją, įskaitant bet kokio audito rezultatus.

7.7. Pagalbinių duomenų tvarkytojų pasitelkimas

(a)

1 VARIANTAS: KONKRETUS IŠANKSTINIS LEIDIMAS. Be išankstinio konkretaus duomenų valdytojo rašytinio leidimo duomenų tvarkytojas neperduoda jokios duomenų valdytojo vardu pagal šias sąlygas vykdomos duomenų tvarkymo veiklos pagalbiniam duomenų tvarkytojui. Duomenų tvarkytojas pateikia prašymą konkrečiam leidimui likus ne mažiau kaip [NURODYTI LAIKOTARPĮ] iki atitinkamo pagalbinio duomenų tvarkytojo pasitelkimo kartu su informacija, kuri būtina duomenų valdytojui, kad jis galėtų priimti sprendimą dėl leidimo. Duomenų valdytojo įgaliotų pagalbinių duomenų tvarkytojų sąrašas pateiktas IV priede. Šalys nuolat atnaujina IV priedą.

2 VARIANTAS: BENDRAS RAŠYTINIS LEIDIMAS. Duomenų tvarkytojas turi bendrą duomenų valdytojo leidimą pasitelkti pagalbinius duomenų tvarkytojus iš suderinto sąrašo. Duomenų tvarkytojas konkrečiai raštu informuoja duomenų valdytoją apie bet kokius numatomus to sąrašo pakeitimus įtraukiant ar pakeičiant pagalbinius duomenų tvarkytojus ne mažiau kaip prieš [NURODYTI LAIKOTARPĮ], taip suteikdamas duomenų valdytojui pakankamai laiko, kad jis galėtų prieštarauti tokiems pakeitimams iki atitinkamo (-ų) pagalbinio (-ių) duomenų tvarkytojo (-ų) pasitelkimo. Duomenų tvarkytojas pateikia duomenų valdytojui informaciją, būtiną tam, kad duomenų valdytojas galėtų pasinaudoti savo teise prieštarauti.

(b)

Kai duomenų tvarkytojas pasitelkia pagalbinį duomenų tvarkytoją konkrečiai duomenų tvarkymo veiklai vykdyti (duomenų valdytojo vardu), jis tai daro sudarydamas sutartį, kurioje numatomos iš esmės tokios pačios pagalbinio duomenų tvarkytojo duomenų apsaugos prievolės, kurių duomenų tvarkytojui privaloma laikytis pagal šias sąlygas. Duomenų tvarkytojas užtikrina, kad pagalbinis duomenų tvarkytojas laikytųsi įsipareigojimų, kurie duomenų tvarkytojui taikomi pagal šias sąlygas ir Reglamentą (ES) 2016/679 ir (arba) Reglamentą (ES) 2018/1725.

(c)

Duomenų valdytojo prašymu duomenų tvarkytojas pateikia duomenų valdytojui tokio susitarimo su pagalbiniu duomenų tvarkytoju ir visų vėlesnių jo pakeitimų kopiją. Tiek, kiek būtina verslo paslapčiai ar kitai konfidencialiai informacijai, įskaitant asmens duomenis, apsaugoti, duomenų tvarkytojas gali kupiūruoti susitarimo tekstą prieš pateikdamas jo kopiją.

(d)	Duomenų tvarkytojas lieka visiškai atsakingas duomenų valdytojui už pagalbinio duomenų tvarkytojo įsipareigojimų, nustatytų jo sutartyje su duomenų tvarkytoju, vykdymą. Duomenų tvarkytojas praneša duomenų valdytojui apie bet kokį pagalbinio duomenų tvarkytojo sutartinių įsipareigojimų nevykdymą.

(e)

Duomenų tvarkytojas suderina su pagalbiniu duomenų tvarkytoju trečiosios šalies naudos gavėjos sąlygą, pagal kurią tuo atveju, jei duomenų tvarkytojas faktiškai dingo arba nustojo teisiškai egzistuoti, arba tapo nemokus, duomenų valdytojas turi teisę nutraukti sutartį su pagalbiniu duomenų tvarkytoju ir nurodyti pagalbiniam duomenų tvarkytojui ištrinti arba grąžinti asmens duomenis.

7.8. Tarptautinis duomenų perdavimas

(a)

Duomenų tvarkytojas bet kokį duomenų perdavimą į trečiąją valstybę ar tarptautinei organizacijai vykdo tik pagal duomenų valdytojo dokumentais įformintus nurodymus arba vykdydamas konkretų reikalavimą pagal Sąjungos ar valstybės narės teisę, kuri taikoma duomenų tvarkytojui, ir laikydamasis Reglamento (ES) 2016/679 arba Reglamento (ES) 2018/1725) V skyriaus.

(b)

Duomenų valdytojas sutinka, kad tais atvejais, kai duomenų tvarkytojas pagal 7.7 sąlygą pasitelkia pagalbinį duomenų tvarkytoją konkrečiai duomenų tvarkymo veiklai vykdyti (duomenų valdytojo vardu) ir ta duomenų tvarkymo veikla yra susijusi su asmens duomenų perdavimu pagal Reglamento (ES) 2016/679 V skyrių, duomenų tvarkytojas ir pagalbinis duomenų tvarkytojas gali užtikrinti Reglamento (ES) 2016/679 V skyriaus reikalavimų laikymąsi naudodami standartines sutarčių sąlygas, kurias Komisija priėmė pagal Reglamento (ES) 2016/679 46 straipsnio 2 dalį, jei vykdomos tų standartinių sutarčių sąlygų naudojimo sąlygos.

8 sąlyga

Pagalba duomenų valdytojui

(a)	Duomenų tvarkytojas nedelsdamas praneša duomenų valdytojui apie bet kokį iš duomenų subjekto gautą prašymą. Jis pats į tokį prašymą neatsako, nebent duomenų valdytojas jam leido tai daryti.

(b)	Duomenų tvarkytojas padeda duomenų valdytojui vykdyti jo prievoles atsakyti į duomenų subjektų prašymus pasinaudoti savo teisėmis, atsižvelgdamas į duomenų tvarkymo pobūdį. Duomenų tvarkytojas, vykdydamas a ir b punktuose nustatytas prievoles, laikosi duomenų valdytojo nurodymų.

(c)

Be duomenų tvarkytojo pareigos padėti duomenų valdytojui pagal 8 sąlygos b punktą, duomenų tvarkytojas taip pat padeda duomenų valdytojui užtikrinti, kad būtų vykdomos toliau nurodytos prievolės, atsižvelgiant į duomenų tvarkymo pobūdį ir duomenų tvarkytojo turimą informaciją:

1)	prievolė atlikti numatomų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą (poveikio duomenų apsaugai vertinimas), kai dėl duomenų tvarkymo rūšies gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms;

2)	prievolė konsultuotis su kompetentinga priežiūros institucija (-omis) prieš pradedant tvarkyti duomenis, jeigu poveikio duomenų apsaugai vertinime nurodyta, kad tvarkant duomenis kiltų didelis pavojus, jei duomenų valdytojas nesiimtų priemonių pavojui sumažinti;

3)	prievolė užtikrinti, kad asmens duomenys būtų tikslūs ir naujausi, nedelsiant informuojant duomenų valdytoją, jei duomenų tvarkytojas sužino, kad jo tvarkomi asmens duomenys yra netikslūs arba tapo pasenę;

4)	prievolės pagal [1 VARIANTAS] Reglamento (ES) 2016/679 32 straipsnį / [2 VARIANTAS] Reglamento (ES) 2018/1725 33, 36–38 straipsnius.

(d)	Šalys III priede nustato tinkamas technines ir organizacines priemones, kuriomis duomenų tvarkytojas privalo padėti duomenų valdytojui taikyti šią sąlygą, taip pat reikalingos pagalbos apimtį ir mastą.

9 sąlyga

Pranešimas apie asmens duomenų saugumo pažeidimą

Asmens duomenų saugumo pažeidimo atveju duomenų tvarkytojas bendradarbiauja su duomenų valdytoju ir padeda jam vykdyti jo prievoles pagal Reglamento (ES) 2016/679 33 ir 34 straipsnius arba Reglamento (ES) 2018/1725 34 ir 35 straipsnius, kai taikoma, atsižvelgdamas į duomenų tvarkymo pobūdį ir duomenų tvarkytojo turimą informaciją.

9.1. Duomenų saugumo pažeidimas, susijęs su duomenų valdytojo tvarkomais duomenimis

Asmens duomenų saugumo pažeidimo, susijusio su duomenų valdytojo tvarkomais duomenimis, atveju duomenų tvarkytojas padeda duomenų valdytojui:

(a)

nepagrįstai nedelsdamas po to, kai duomenų valdytojas sužino apie asmens duomenų saugumo pažeidimą, atitinkamais atvejais pranešti apie jį kompetentingai priežiūros institucijai (-oms) (išskyrus atvejus, kai asmens duomenų saugumo pažeidimas greičiausiai nekels pavojaus fizinių asmenų teisėms ir laisvėms);

(b)

gaudamas toliau nurodytą informaciją, kuri pagal [1 VARIANTAS] Reglamento (ES) 2016/679 33 straipsnio 3 dalį / [2 VARIANTAS] Reglamento (ES) 2018/1725 34 straipsnio 3 dalį nurodoma duomenų valdytojo pranešime ir turi apimti bent:

1)	asmens duomenų pobūdį, įskaitant, jeigu įmanoma, atitinkamų duomenų subjektų kategorijas ir apytikslį skaičių, taip pat atitinkamų asmens duomenų įrašų kategorijas ir apytikslį skaičių;

2)	tikėtinas asmens duomenų saugumo pažeidimo pasekmes;

3)	priemones, kurių ėmėsi arba pasiūlė imtis duomenų valdytojas, kad būtų pašalintas asmens duomenų saugumo pažeidimas, įskaitant, kai tinkama, priemones galimoms neigiamoms jo pasekmėms sumažinti.

Kai ir jei visos informacijos neįmanoma pateikti tuo pačiu metu, pradiniame pranešime pateikiama tuo metu turima informacija, o papildoma informacija, kai ji sužinoma, vėliau pateikiama nepagrįstai nedelsiant;

(c)

vykdydamas prievolę pagal [1 VARIANTAS] Reglamento (ES) 2016/679 34 straipsnį / [2 VARIANTAS] Reglamento (ES) 2018/1725 35 straipsnį nepagrįstai nedelsiant pranešti apie asmens duomenų saugumo pažeidimą duomenų subjektui, kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms.

9.2. Duomenų saugumo pažeidimas, susijęs su duomenų tvarkytojo tvarkomais duomenimis

Asmens duomenų saugumo pažeidimo, susijusio su duomenų tvarkytojo tvarkomais duomenimis, atveju duomenų tvarkytojas nepagrįstai nedelsdamas po to, kai sužino apie pažeidimą, apie tai praneša duomenų valdytojui. Tokiame pranešime nurodoma bent ši informacija:

(a)	pažeidimo pobūdžio aprašymas (jei įmanoma, nurodant atitinkamų duomenų subjektų ir duomenų įrašų kategorijas ir apytikslį skaičių);

(b)	kontaktinio asmens, kuris gali suteikti daugiau informacijos apie asmens duomenų saugumo pažeidimą, duomenys;

(c)	tikėtinos jo pasekmės ir priemonės, kurių imtasi arba siūloma imtis pažeidimui pašalinti, įskaitant galimo neigiamo jo poveikio mažinimą.

Šalys III priede nustato visą informaciją, kurią turi pateikti duomenų tvarkytojas, padėdamas duomenų valdytojui vykdyti duomenų valdytojo prievoles pagal [1 VARIANTAS] Reglamento (ES) 2016/679 33 ir 34 straipsnius / [2 VARIANTAS] Reglamento (ES) 2018/1725 34 ir 35 straipsnius.

III SKIRSNIS

BAIGIAMOSIOS NUOSTATOS

10 sąlyga

Sąlygų nesilaikymas ir sutarties nutraukimas

(a)

Nedarant poveikio jokioms Reglamento (ES) 2016/679 ir (arba) Reglamento (ES) 2018/1725 nuostatoms, tuo atveju, jei duomenų tvarkytojas pažeidžia savo įsipareigojimus pagal šias sąlygas, duomenų valdytojas gali nurodyti duomenų tvarkytojui sustabdyti asmens duomenų tvarkymą, kol pastarasis vėl laikysis šių sąlygų arba bus nutraukta sutartis. Duomenų tvarkytojas nedelsdamas informuoja duomenų valdytoją tuo atveju, jei dėl kokių nors priežasčių negali laikytis šių sąlygų.

(b)

Duomenų valdytojas turi teisę nutraukti sutartį tiek, kiek ji susijusi su asmens duomenų tvarkymu pagal šias sąlygas, jei:

1)	duomenų valdytojas sustabdė duomenų tvarkytojo atliekamą asmens duomenų tvarkymą pagal a punktą ir per pagrįstą laiką, o bet kuriuo atveju per vieną mėnesį nuo sustabdymo, neatkuriamas šių sąlygų laikymasis;

2)	duomenų tvarkytojas iš esmės arba nuolat pažeidžia šias sąlygas arba savo prievoles pagal Reglamentą (ES) 2016/679 ir (arba) Reglamentą (ES) 2018/1725;

3)	duomenų tvarkytojas nevykdo kompetentingo teismo arba kompetentingos priežiūros institucijos (-ų) privalomo sprendimo dėl jo prievolių pagal šias sąlygas arba Reglamentą (ES) 2016/679 ir (arba) Reglamentą (ES) 2018/1725.

(c)	Duomenų tvarkytojas turi teisę nutraukti sutartį tiek, kiek ji susijusi su asmens duomenų tvarkymu pagal šias sąlygas, jei informavus duomenų valdytoją, kad jo nurodymai pažeidžia taikytinus teisinius reikalavimus pagal 7.1 sąlygos b punktą, duomenų valdytojas toliau reikalauja laikytis nurodymų.

(d)

Nutraukus sutartį, duomenų tvarkytojas, remdamasis duomenų valdytojo pasirinkimu, ištrina visus duomenų valdytojo vardu tvarkomus asmens duomenis ir patvirtina duomenų valdytojui, kad tai padarė, arba grąžina visus asmens duomenis duomenų valdytojui ir ištrina esamas kopijas, nebent pagal Sąjungos arba valstybės narės teisę asmens duomenis reikalaujama saugoti. Kol duomenys neištrinami ar negrąžinami, duomenų tvarkytojas toliau užtikrina, kad būtų laikomasi šių sąlygų.

I PRIEDAS

Šalių sąrašas

Duomenų valdytojas (-ai) [Duomenų valdytojo (-ų) ir, kai taikoma, duomenų valdytojo duomenų apsaugos pareigūno tapatybė ir kontaktiniai duomenys]

1.	Pavadinimas: …

Adresas: …

Kontaktinio asmens vardas ir pavardė, pareigos ir kontaktiniai duomenys: …

Parašas ir prisijungimo data: …

…

Duomenų tvarkytojas (-ai) [Duomenų tvarkytojo (-ų) ir, kai taikoma, duomenų tvarkytojo duomenų apsaugos pareigūno tapatybė ir kontaktiniai duomenys]

1.	Pavadinimas: …

Adresas: …

Kontaktinio asmens vardas ir pavardė, pareigos ir kontaktiniai duomenys: …

Parašas ir prisijungimo data: …

…

II PRIEDAS

Duomenų tvarkymo aprašymas

Duomenų subjektų, kurių asmens duomenys tvarkomi, kategorijos

…

Tvarkomų asmens duomenų kategorijos

…

Tvarkomi neskelbtini duomenys (jei taikoma) ir taikomi apribojimai arba apsaugos priemonės, kuriais visapusiškai atsižvelgiama į duomenų pobūdį ir susijusius pavojus, pavyzdžiui, griežtas tikslo apribojimas, prieigos apribojimai (įskaitant prieigą tik specialius mokymus baigusiems darbuotojams), prieigos prie duomenų registravimas, tolesnio perdavimo apribojimai arba papildomos apsaugos priemonės

…

Tvarkymo pobūdis

…

Tikslas (-ai), kuriuo (-iais) asmens duomenys tvarkomi duomenų valdytojo vardu

…

Duomenų tvarkymo trukmė

…

Jeigu duomenis tvarko (pagalbiniai) duomenų tvarkytojai, taip pat nurodyti tvarkymo dalyką, pobūdį ir trukmę

III PRIEDAS

Techninės ir organizacinės priemonės, įskaitant technines ir organizacines priemones duomenų saugumui užtikrinti

PAAIŠKINIMAS

Techninės ir organizacinės priemonės turi būti aprašytos konkrečiai, o ne bendrai.

Duomenų tvarkytojo (-ų) įgyvendintų techninių ir organizacinių saugumo priemonių (įskaitant atitinkamą sertifikavimą), kuriomis užtikrinamas tinkamas saugumo lygis, atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslą, taip pat pavojų fizinių asmenų teisėms ir laisvėms, aprašymas. Galimų priemonių pavyzdžiai:

Pseudonimų suteikimo asmens duomenims ir jų šifravimo priemonės

Nuolatinio duomenų tvarkymo sistemų ir paslaugų konfidencialumo, vientisumo, prieinamumo ir atsparumo užtikrinimo priemonės

Priemonės, užtikrinančios gebėjimą laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju

Reguliaraus techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesai

Naudotojo tapatybės nustatymo ir leidimo suteikimo priemonės

Duomenų apsaugos priemonės, taikomos perduodant duomenis

Duomenų apsaugos priemonės, taikomos saugant duomenis

Vietų, kuriose tvarkomi asmens duomenys, fizinio saugumo užtikrinimo priemonės

Priemonės, užtikrinančios įvykių registravimą

Sistemos konfigūracijos, įskaitant numatytąją konfigūraciją, užtikrinimo priemonės

IT ir IT saugumo vidaus valdymo ir administravimo priemonės

Procesų ir produktų sertifikavimo / užtikrinimo priemonės

Duomenų kiekio mažinimo užtikrinimo priemonės

Duomenų kokybės užtikrinimo priemonės

Riboto duomenų saugojimo užtikrinimo priemonės

Atskaitomybės užtikrinimo priemonės

Duomenų perkeliamumo ir ištrynimo užtikrinimo priemonės

Jei duomenys perduodami (pagalbiniams) duomenų tvarkytojams, taip pat aprašykite konkrečias technines ir organizacines priemones, kurių turi imtis (pagalbinis) duomenų tvarkytojas, kad galėtų teikti pagalbą duomenų valdytojui

Konkrečių techninių ir organizacinių priemonių, kurių turi imtis duomenų tvarkytojas, kad galėtų teikti pagalbą duomenų valdytojui, aprašymas

IV PRIEDAS

Pagalbinių duomenų tvarkytojų sąrašas

PAAIŠKINIMAS

Šis priedas turi būti pildomas, kai pagalbiniams duomenų tvarkytojams suteikiamas konkretus leidimas (7.7 sąlygos a punktas, 1 variantas).

Duomenų valdytojas suteikė leidimą pasitelkti šiuos pagalbinius duomenų tvarkytojus:

1.	Pavadinimas: …

Adresas: …

Kontaktinio asmens vardas ir pavardė, pareigos ir kontaktiniai duomenys: …

Duomenų tvarkymo aprašymas (įskaitant aiškų atsakomybės atskyrimą, jei leidimas suteiktas keliems pagalbiniams duomenų tvarkytojams): …

…

2021 6 7

Europos Sąjungos oficialusis leidinys

L 199/31

KOMISIJOS ĮGYVENDINIMO SPRENDIMAS (ES) 2021/914

2021 m. birželio 4 d.

dėl standartinių sutarčių sąlygų, kuriomis asmens duomenys perduodami į trečiąsias valstybes pagal Europos Parlamento ir Tarybos reglamentą (ES) 2016/679

(Tekstas svarbus EEE)

EUROPOS KOMISIJA,

atsižvelgdama į Sutartį dėl Europos Sąjungos veikimo,

kadangi:

(1)

technologiniai pokyčiai sudaro palankesnes sąlygas tarpvalstybiniams duomenų srautams, kurie būtini tarptautiniam bendradarbiavimui ir tarptautinei prekybai plėsti. Tuo pat metu reikia užtikrinti, kad nebūtų sumažintas Reglamentu (ES) 2016/679 užtikrinamas fizinių asmenų apsaugos lygis, kai asmens duomenys perduodami į trečiąsias valstybes, įskaitant tolesnio duomenų perdavimo atvejais (2). Reglamento (ES) 2016/679 V skyriaus nuostatomis dėl duomenų perdavimo siekiama užtikrinti šio aukšto apsaugos lygio tęstinumą, kai asmens duomenys perduodami į trečiąją valstybę (3);

(2)

pagal Reglamento (ES) 2016/679 46 straipsnio 1 dalį, jei nėra Komisijos sprendimo dėl tinkamumo pagal 45 straipsnio 3 dalį, duomenų valdytojas arba duomenų tvarkytojas gali perduoti asmens duomenis į trečiąją valstybę tik tuo atveju, jei jis yra nustatęs tinkamas apsaugos priemones, su sąlyga, kad suteikiama galimybė naudotis vykdytinomis duomenų subjektų teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis. Tokios apsaugos priemonės gali būti nustatytos standartinėse duomenų apsaugos sąlygose, kurias Komisija priima pagal 46 straipsnio 2 dalies c punktą;

(3)

standartinėmis sutarčių sąlygomis tik užtikrinamos tinkamos tarptautinio duomenų perdavimo duomenų apsaugos priemonės. Todėl duomenų valdytojas arba duomenų tvarkytojas, perduodantis asmens duomenis į trečiąją valstybę (toliau – duomenų eksportuotojas), ir duomenų valdytojas arba duomenų tvarkytojas, gaunantis asmens duomenis (toliau – duomenų importuotojas), gali nevaržomai įtraukti tas standartines sutarčių sąlygas į platesnę sutartį ir įtraukti kitas sąlygas arba papildomas apsaugos priemones, jei jos tiesiogiai ar netiesiogiai neprieštarauja standartinėms sutarčių sąlygoms arba nepažeidžia duomenų subjektų pagrindinių teisių ar laisvių. Duomenų valdytojai ir duomenų tvarkytojai skatinami taikyti dar griežtesnes apsaugos priemones numatant sutartinius įsipareigojimus, papildančius standartines sutarčių sąlygas (4). Standartinėmis sutarčių sąlygomis nedaromas poveikis duomenų eksportuotojo ir (arba) importuotojo sutartinėms prievolėms užtikrinti, kad būtų paisoma taikytinų privilegijų ir imunitetų;

(4)

duomenų eksportuotojas turi ne tik taikyti standartinės sutarčių sąlygas, kad užtikrintų tinkamas duomenų perdavimo apsaugos priemones pagal Reglamento (ES) 2016/679 46 straipsnio 1 dalį, bet ir vykdyti savo, kaip duomenų valdytojo ar duomenų tvarkytojo, bendrąsias pareigas pagal Reglamentą (ES) 2016/679. Tos pareigos apima duomenų valdytojo pareigą pateikti duomenų subjektams informaciją apie tai, kad jis ketina perduoti jų asmens duomenis į trečiąją valstybę, arba pagal Reglamento (ES) 2016/679 13 straipsnio 1 dalies f punktą ir 14 straipsnio 1 dalies f punktą. Kai duomenys perduodami pagal Reglamento (ES) 2016/679 46 straipsnį, į tokią informaciją turi būti įtraukta nuoroda į atitinkamas apsaugos priemones ir būdus, kaip gauti jų kopiją, arba informacija, kur suteikiama galimybė su jomis susipažinti;

(5)

Komisijos sprendimuose 2001/497/EB (5) ir 2010/87/ES (6) nustatytos standartinės sutarčių sąlygos, siekiant sudaryti palankesnes sąlygas perduodant asmens duomenis iš Sąjungoje įsisteigusio duomenų valdytojo duomenų valdytojui arba duomenų tvarkytojui, įsisteigusiam trečiojoje valstybėje, kuri neužtikrina tinkamo apsaugos lygio. Šie sprendimai buvo grindžiami Europos Parlamento ir Tarybos direktyva 95/46/EB (7);

(6)

pagal Reglamento (ES) 2016/679 46 straipsnio 5 dalį Sprendimas 2001/497/EB ir Sprendimas 2010/87/ES lieka galioti tol, kol Komisijos sprendimu, priimtu pagal to reglamento 46 straipsnio 2 dalį, jie bus prireikus iš dalies pakeisti, pakeisti naujais sprendimais arba panaikinti. Sprendimuose nustatytas standartines sutarčių sąlygas reikėjo atnaujinti atsižvelgiant į naujus Reglamento (ES) 2016/679 reikalavimus. Be to, nuo šių sprendimų priėmimo skaitmeninėje ekonomikoje įvyko svarbių pokyčių: plačiai paplito naujos ir sudėtingesnės duomenų tvarkymo operacijos, dažnai apimančios daug duomenų importuotojų ir eksportuotojų, ilgos ir sudėtingos duomenų tvarkymo grandinės ir besikeičiantys verslo santykiai. Dėl to reikia modernizuoti standartines sutarčių sąlygas, kad jos geriau atspindėtų šias realijas, įtraukiant papildomus duomenų tvarkymo ir perdavimo atvejus, ir taikyti lankstesnį požiūrį, pavyzdžiui, dėl šalių, galinčių prisijungti prie sutarties, skaičiaus;

(7)

duomenų valdytojas arba duomenų tvarkytojas gali naudoti šio sprendimo priede išdėstytas standartines sutarčių sąlygas, kad užtikrintų tinkamas apsaugos priemones pagal Reglamento (ES) 2016/679 46 straipsnio 1 dalį, perduodant asmens duomenis trečiojoje valstybėje įsisteigusiam duomenų tvarkytojui arba duomenų valdytojui, nedarant poveikio tarptautinio perdavimo sąvokos aiškinimui Reglamente (ES) 2016/679. Standartinės sutarčių sąlygos gali būti naudojamos tokiam perdavimui tik tiek, kiek importuotojo atliekamas duomenų tvarkymas nepatenka į Reglamento (ES) 2016/679 taikymo sritį. Tai taip pat apima duomenų valdytojo arba duomenų tvarkytojo, kuris nėra įsisteigęs Sąjungoje, vykdomą asmens duomenų perdavimą, jei duomenų tvarkymui taikomas Reglamentas (ES) 2016/679 pagal jo 3 straipsnio 2 dalį, nes jis susijęs su prekių ar paslaugų siūlymu duomenų subjektams Sąjungoje arba jų veiksmų stebėsena, jei jie atliekami Sąjungoje;

(8)

atsižvelgiant į bendrą Reglamento (ES) 2016/679 ir Europos Parlamento ir Tarybos reglamento (ES) 2018/1725 (8) suderinimą, duomenų tvarkytojas, kuris nėra Sąjungos institucija ar įstaiga, tačiau kuriam yra privalomas Reglamentas (ES) 2016/679 ir kuris tvarko asmens duomenis Sąjungos institucijos ar įstaigos vardu pagal Reglamento (ES) 2018/1725 29 straipsnį, sudarydamas Reglamento (ES) 2018/1725 29 straipsnio 4 dalyje nurodytą sutartį dėl asmens duomenų perdavimo pagalbiniam duomenų tvarkytojui trečiojoje valstybėje, taip pat turėtų turėti galimybę naudoti standartines sutarčių sąlygas. Jei sutartyje bus atspindimos tos pačios duomenų apsaugos prievolės, kurios nustatytos duomenų valdytojo ir duomenų tvarkytojo sutartyje ar kitame teisės akte pagal Reglamento (ES) 2018/1725 29 straipsnio 3 dalį, visų pirma numatant pakankamas garantijas dėl techninių ir organizacinių priemonių, kuriomis užtikrinama, kad duomenų tvarkymas atitiktų to reglamento reikalavimus, tai užtikrins atitiktį Reglamento (ES) 2018/1725 29 straipsnio 4 daliai. Visų pirma tai bus tuo atveju, kai duomenų valdytojas ir duomenų tvarkytojas standartinėms sutarčių sąlygoms, taikomoms duomenų perdavimui tarp duomenų valdytojų ir duomenų tvarkytojų pagal Europos Parlamento ir Tarybos reglamento (ES) 2016/679 28 straipsnio 7 dalį ir Europos Parlamento ir Tarybos reglamento (ES) 2018/1725 (9) 29 straipsnio 7 dalį, taiko Komisijos įgyvendinimo sprendime nustatytas standartines sutarčių sąlygas.

(9)

kai tvarkant duomenis duomenų valdytojai, kuriems taikomas Reglamentas (ES) 2016/679, perduoda duomenis duomenų tvarkytojams, nepatenkantiems į jo teritorinę taikymo sritį, arba duomenų tvarkytojai, kuriems taikomas Reglamentas (ES) 2016/679, perduoda duomenis pagalbiniams duomenų tvarkytojams, nepatenkantiems į jo teritorinę taikymo sritį, šio sprendimo priede išdėstytomis standartinėmis sutarčių sąlygomis taip pat turėtų būti galima įvykdyti Reglamento (ES) 2016/679 28 straipsnio 3 ir 4 dalių reikalavimus;

(10)

šio sprendimo priede išdėstytose standartinėse sutarčių sąlygose bendrosios sąlygos derinamos su moduliniu požiūriu, kad būtų atsižvelgta į įvairius perdavimo scenarijus ir šiuolaikinių duomenų tvarkymo grandinių sudėtingumą. Be bendrųjų sąlygų, duomenų valdytojai ir duomenų tvarkytojai turėtų pasirinkti jų atvejui taikytiną modulį, kad pritaikytų savo prievoles pagal standartines sutarčių sąlygas pagal savo vaidmenį ir atsakomybę, kurie susiję su atitinkamu duomenų tvarkymu. Turėtų būti galimybė standartinių sutarčių sąlygų laikytis daugiau nei dviem šalims. Be to, papildomiems duomenų valdytojams ir duomenų tvarkytojams turėtų būti leidžiama prisijungti prie standartinių sutarčių sąlygų kaip duomenų eksportuotojams ar importuotojams per visą sutarties, kurios dalis jos yra, gyvavimo ciklą;

(11)

siekiant užtikrinti tinkamas apsaugos priemones, standartinėmis sutarčių sąlygomis turėtų būti užtikrinta, kad tuo pagrindu perduodamiems asmens duomenims būtų suteikiamas iš esmės lygiavertis apsaugos lygis, koks garantuojamas Sąjungoje (10). Siekiant užtikrinti duomenų tvarkymo skaidrumą, duomenų subjektams turėtų būti pateikta standartinių sutarčių sąlygų kopija ir jie turėtų būti informuojami, visų pirma, apie tvarkomų asmens duomenų kategorijas, teisę gauti standartinių sutarčių sąlygų kopiją ir bet kokį tolesnį duomenų perdavimą. Duomenų importuotojui turėtų būti leidžiama toliau perduoti duomenis trečiajai šaliai kitoje trečiojoje valstybėje tik tuo atveju, jei trečioji šalis prisijungia prie standartinių sutarčių sąlygų, jei apsaugos tęstinumas užtikrinamas kitaip, arba konkrečiais atvejais, pavyzdžiui, remiantis aiškiu informuoto duomenų subjekto sutikimu;

(12)

su kai kuriomis išimtimis, visų pirma susijusiomis su tam tikromis prievolėmis, kurios išimtinai susijusios su duomenų eksportuotojo ir duomenų importuotojo santykiais, duomenų subjektams turėtų būti suteikta galimybė remtis standartinėmis sutarčių sąlygomis ir, prireikus, užtikrinti jų vykdymą kaip trečiosioms šalims naudos gavėjoms. Todėl, nors šalims turėtų būti leidžiama pasirinkti vienos iš valstybių narių teisę, kuri būtų taikoma standartinėms sutarčių sąlygoms, tokioje teisėje turi būti numatytos trečiosios šalies naudos gavėjos teisės. Siekiant sudaryti palankesnes sąlygas individualiam teisių gynimui, standartinėse sutarčių sąlygose turėtų būti reikalaujama, kad duomenų importuotojas informuotų duomenų subjektus apie kontaktinį asmenį ir nedelsdamas išnagrinėtų bet kokius skundus ar prašymus. Kilus duomenų importuotojo ir duomenų subjekto, kuris remiasi savo, kaip trečiosios šalies naudos gavėjos, teisėmis, ginčui, duomenų subjektas turėtų turėti galimybę pateikti skundą kompetentingai priežiūros institucijai arba perduoti ginčą nagrinėti kompetentingiems ES teismams;

(13)

siekiant užtikrinti veiksmingą vykdymą, turėtų būti reikalaujama, kad duomenų importuotojas paklustų tokios institucijos ir teismų jurisdikcijai ir įsipareigotų laikytis bet kokio privalomo sprendimo pagal taikomą valstybės narės teisę. Visų pirma, duomenų importuotojas turėtų sutikti atsakyti į užklausas, leisti atlikti auditą ir laikytis priežiūros institucijos priimtų priemonių, įskaitant taisomąsias ir kompensacines priemones. Be to, duomenų importuotojas turėtų turėti galimybę pasiūlyti duomenų subjektams galimybę ginti savo teises nemokamai kreipiantis į nepriklausomą ginčų sprendimo instituciją. Pagal Reglamento (ES) 2016/679 80 straipsnio 1 dalį turėtų būti leidžiama, kad kilus ginčams su duomenų importuotoju duomenų subjektams atstovautų asociacijos ar kitos įstaigos, jei jie to pageidauja;

(14)

standartinėse sutarčių sąlygose turėtų būti numatytos taisyklės dėl šalių tarpusavio atsakomybės ir atsakomybės duomenų subjektų atžvilgiu ir taisyklės dėl šalių tarpusavio žalos atlyginimo. Jei duomenų subjektas patiria turtinę ar neturtinę žalą dėl bet kokio trečiosios šalies naudos gavėjos teisių pagal standartines sutarčių sąlygas pažeidimo, jis turėtų turėti teisę gauti kompensaciją. Tai neturėtų daryti poveikio jokiai atsakomybei pagal Reglamentą (ES) 2016/679;

(15)

jei duomenys perduodami duomenų importuotojui, kuris veikia kaip duomenų tvarkytojas arba pagalbinis duomenų tvarkytojas, turėtų būti taikomi specialūs reikalavimai pagal Reglamento (ES) 2016/679 28 straipsnio 3 dalį. Standartinėse sutarčių sąlygose turėtų būti reikalaujama, kad duomenų importuotojas pateiktų visą informaciją, būtiną įrodyti, kad vykdomos sąlygose nustatytos prievolės, ir sudarytų sąlygas bei padėtų duomenų eksportuotojui atlikti jo duomenų tvarkymo veiklos auditą. Duomenų importuotojui pasitelkiant bet kokį pagalbinį duomenų tvarkytoją, kaip nustatyta Reglamento (ES) 2016/679 28 straipsnio 2 ir 4 dalyse, standartinėse sutarčių sąlygose visų pirma turėtų būti nustatyta duomenų eksportuotojo bendro arba konkretaus leidimo procedūra ir reikalavimas sudaryti rašytinę sutartį su pagalbiniu duomenų tvarkytoju, kuria būtų užtikrinamas toks pat apsaugos lygis, kaip ir pagal sąlygas;

(16)

standartinėse sutarčių sąlygose tikslinga numatyti skirtingas apsaugos priemones, kurios būtų taikomos konkrečiu atveju, kai duomenų tvarkytojas Sąjungoje perduoda asmens duomenis savo duomenų valdytojui trečiojoje valstybėje, ir atspindėtų ribotas savarankiškas duomenų tvarkytojų prievoles pagal Reglamentą (ES) 2016/679. Visų pirma, standartinėse sutarčių sąlygose turėtų būti reikalaujama, kad duomenų tvarkytojas informuotų duomenų valdytoją, jei jis negali laikytis jo nurodymų, įskaitant atvejus, kai tokiais nurodymais pažeidžiama Sąjungos duomenų apsaugos teisė, ir kad duomenų valdytojas nesiimtų jokių veiksmų, kurie trukdytų duomenų tvarkytojui vykdyti savo prievoles pagal Reglamentą (ES) 2016/679. Jose taip pat turėtų būti reikalaujama, kad šalys padėtų viena kitai atsakyti į duomenų subjektų užklausas ir prašymus pagal duomenų importuotojui taikomą vietos teisę arba, duomenų tvarkymo Sąjungoje atveju, pagal Reglamentą (ES) 2016/679. Papildomi reikalavimai, susiję su paskirties trečiosios valstybės teisės aktų poveikiu duomenų valdytojui laikantis sąlygų, visų pirma, kaip elgtis gavus privalomus trečiosios valstybės valdžios institucijų prašymus atskleisti perduotus asmens duomenis, turėtų būti taikomi tais atvejais, kai Sąjungos duomenų tvarkytojas derina iš duomenų valdytojo trečiojoje valstybėje gautus asmens duomenis su Sąjungoje duomenų tvarkytojo surinktais asmens duomenimis. Priešingai, tokie reikalavimai nėra pagrįsti, kai užsakomosios paslaugos apima tik iš duomenų valdytojo gautų asmens duomenų tvarkymą ir jų perdavimą atgal, nes jie bet kuriuo atveju priklauso ir priklausys atitinkamos trečiosios valstybės jurisdikcijai;

(17)

šalys turėtų sugebėti įrodyti, kad laikosi standartinių sutarčių sąlygų. Visų pirma turėtų būti reikalaujama, kad duomenų importuotojas saugotų atitinkamus duomenų tvarkymo veiklos, už kurią jis atsako, dokumentus ir nedelsdamas informuotų duomenų eksportuotoją, jei dėl kokių nors priežasčių negali laikytis šių sąlygų. Savo ruožtu duomenų eksportuotojas turėtų sustabdyti duomenų perdavimą, o ypač rimtais atvejais turėtų turėti teisę nutraukti sutartį, kiek ji susijusi su asmens duomenų tvarkymu pagal standartines sutarčių sąlygas, jei duomenų importuotojas pažeidžia šias sąlygas arba negali jų laikytis. Specialios taisyklės turėtų būti taikomos tais atvejais, kai vietos teisės aktai turi įtakos sąlygų laikymuisi. Asmens duomenys, kurie buvo perduoti iki sutarties nutraukimo, ir visos jų kopijos duomenų eksportuotojo pasirinkimu turėtų būti grąžinti duomenų eksportuotojui arba visiškai sunaikinti;

(18)

standartinėse sutarčių sąlygose turėtų būti numatytos konkrečios apsaugos priemonės, visų pirma atsižvelgiant į Teisingumo Teismo praktiką (11), susijusios su paskirties trečiosios valstybės teisės aktų poveikiu duomenų importuotojui laikantis sąlygų, visų pirma, kaip elgtis gavus privalomus tos valstybės valdžios institucijų prašymus atskleisti perduotus asmens duomenis;

(19)

asmens duomenys neturėtų būti perduodami ir tvarkomi pagal standartines sutarčių sąlygas, jei paskirties trečiosios valstybės teisės aktai ir praktika neleidžia duomenų importuotojui laikytis šių sąlygų. Šiuo atžvilgiu neturėtų būti laikoma, kad teisės aktai ir praktika, kuriais paisoma pagrindinių teisių ir laisvių esmės ir kuriais neviršijama tai, kas būtina ir proporcinga demokratinėje visuomenėje siekiant apsaugoti vieną iš Reglamento (ES) 2016/679 23 straipsnio 1 dalyje išvardytų tikslų, prieštarauja standartinėms sutarčių sąlygoms. Šalys turėtų garantuoti, kad susitardamos dėl standartinių sutarčių sąlygų jos neturi pagrindo manyti, jog duomenų importuotojui taikomi teisės aktai ir praktika neatitinka šių reikalavimų;

(20)

šalys visų pirma turėtų atsižvelgti į konkrečias duomenų perdavimo aplinkybes (pavyzdžiui, sutarties turinį ir trukmę, perduodamų duomenų pobūdį, gavėjo rūšį, duomenų tvarkymo tikslą), paskirties trečiosios valstybės teisės aktus ir praktiką, kurie yra svarbūs atsižvelgiant į duomenų perdavimo aplinkybes, ir į visas apsaugos priemones, taikomas siekiant papildyti standartinėse sutarčių sąlygose numatytas apsaugos priemones (įskaitant atitinkamas sutartines, technines ir organizacines priemones, taikomas asmens duomenis perduodant ir juos tvarkant paskirties valstybėje). Dėl tokių teisės aktų ir praktikos poveikio standartinių sutarčių sąlygų laikymuisi, atliekant bendrą vertinimą galima atsižvelgti į įvairius elementus, įskaitant patikimą informaciją apie teisės aktų taikymą praktikoje (pavyzdžiui, teismų praktiką ir nepriklausomų priežiūros institucijų ataskaitas), prašymų tame pačiame sektoriuje buvimą arba nebuvimą ir, esant griežtoms sąlygoms, dokumentais pagrįstą duomenų eksportuotojo ir (arba) duomenų importuotojo praktinę patirtį;

(21)

sutikęs laikytis standartinių sutarčių sąlygų, duomenų importuotojas turėtų pranešti duomenų eksportuotojui, jei turi pagrindo manyti, kad negali laikytis standartinių sutarčių sąlygų. Jei duomenų eksportuotojas gauna tokį pranešimą arba kitaip sužino, kad duomenų importuotojas nebegali laikytis standartinių sutarčių sąlygų, jis turėtų nustatyti tinkamas priemones padėčiai spręsti, prireikus pasikonsultavęs su kompetentinga priežiūros institucija. Tokios priemonės gali apimti duomenų eksportuotojo ir (arba) duomenų importuotojo priimtas papildomas priemones, pavyzdžiui, technines ar organizacines priemones saugumui ir konfidencialumui užtikrinti. Turėtų būti reikalaujama, kad duomenų eksportuotojas sustabdytų duomenų perdavimą, jei mano, kad negalima užtikrinti tinkamų apsaugos priemonių, arba jei tai nurodo kompetentinga priežiūros institucija;

(22)

jei įmanoma, duomenų importuotojas turėtų pranešti duomenų eksportuotojui ir duomenų subjektui, jei gauna teisiškai privalomą valdžios (įskaitant teisminę) institucijos prašymą pagal paskirties valstybės teisę atskleisti pagal standartines sutarčių sąlygas perduotus asmens duomenis. Jis analogiškai turėtų jiems pranešti, jei sužino apie bet kokią tiesioginę valdžios institucijų prieigą prie tokių asmens duomenų pagal trečiosios paskirties valstybės teisę. Jei, nepaisant visų pastangų, duomenų importuotojas negali pranešti duomenų eksportuotojui ir (arba) duomenų subjektui apie konkrečius prašymus atskleisti informaciją, jis turėtų pateikti duomenų eksportuotojui kuo daugiau svarbios informacijos apie prašymus. Be to, duomenų importuotojas turėtų reguliariai teikti apibendrintą informaciją duomenų eksportuotojui. Taip pat turėtų būti reikalaujama, kad duomenų importuotojas dokumentais įformintų visus gautus prašymus atskleisti informaciją ir pateiktus atsakymus ir, gavęs prašymą, šią informaciją pateiktų duomenų eksportuotojui arba kompetentingai priežiūros institucijai, arba abiem. Jei, įvertinęs tokio prašymo teisėtumą pagal paskirties valstybės įstatymus, duomenų importuotojas prieina prie išvados, kad yra pagrindo manyti, jog prašymas yra neteisėtas pagal paskirties trečiosios valstybės teisės aktus, jis turėtų jį užginčyti, be kita ko, prireikus, pasinaudodamas esamomis galimybėmis jį apskųsti. Bet kuriuo atveju, jei duomenų importuotojas nebegali laikytis standartinių sutarčių sąlygų, jis turėtų apie tai atitinkamai informuoti duomenų eksportuotoją, įskaitant atvejus, kai tai yra prašymo atskleisti informaciją pasekmė;

(23)	kadangi suinteresuotųjų subjektų poreikiai, technologijos ir duomenų tvarkymo operacijos gali keistis, Komisija turėtų įvertinti standartinių sutarčių sąlygų taikymą atsižvelgdama į patirtį, kai atlieka to reglamento 97 straipsnyje nurodytą periodinį Reglamento (ES) 2016/679 vertinimą;

(24)

Sprendimas 2001/497/EB ir Sprendimas 2010/87/ES turėtų būti panaikinti praėjus trims mėnesiams po šio sprendimo įsigaliojimo. Tuo laikotarpiu duomenų eksportuotojams ir duomenų importuotojams, taikant Reglamento (ES) 2016/679 46 straipsnio 1 dalį, turėtų būti toliau leidžiama naudotis standartinėmis sutarčių sąlygomis, nustatytomis Sprendimuose 2001/497/EB ir 2010/87/ES. Papildomą 15 mėnesių laikotarpį duomenų eksportuotojai ir duomenų importuotojai, taikant Reglamento (ES) 2016/679 46 straipsnio 1 dalį, turėtų turėti galimybę toliau remtis standartinėmis sutarčių sąlygomis, nustatytomis Sprendimuose 2001/497/EB ir 2010/87/ES, vykdydami sutartis, kurias jie sudarė iki tų sprendimų panaikinimo dienos, su sąlyga, kad duomenų tvarkymo operacijos, kurios yra sutarties objektas, nesikeičia, o rėmimasis šiomis išlygomis užtikrina, kad asmens duomenų perdavimui būtų taikomos tinkamos apsaugos priemonės pagal Reglamento (ES) 2016/679 46 straipsnio 1 dalį. Atitinkamų sutarties pakeitimų atveju turėtų būti reikalaujama, kad duomenų eksportuotojas remtųsi nauju duomenų perdavimo pagal sutartį pagrindu, visų pirma pakeisdamas esamas standartines sutarčių sąlygas šio sprendimo priede nustatytomis standartinėmis sutarčių sąlygomis. Tas pats turėtų būti taikoma ir tuo atveju, kai sutartyje numatytos duomenų tvarkymo operacijos pavedamos pagalbiniam duomenų tvarkytojui;

(25)	pagal Reglamento (ES) 2018/1725 42 straipsnio 1 ir 2 dalis buvo konsultuojamasi su Europos duomenų apsaugos priežiūros pareigūnu ir Europos duomenų apsaugos valdyba, kurie 2021 m. sausio 14 d. pateikė bendrą nuomonę (12), į kurią buvo atsižvelgta rengiant šį sprendimą;

(26)	šiame sprendime numatytos priemonės atitinka pagal Reglamento (ES) 2016/679 93 straipsnį įsteigto komiteto nuomonę,

PRIĖMĖ ŠĮ SPRENDIMĄ:

1 straipsnis

1. Priede išdėstytos standartinės sutarčių sąlygos laikomos tinkamomis apsaugos priemonėmis pagal Reglamento (ES) 2016/679 46 straipsnio 1 dalį ir 2 dalies c punktą, kai duomenų valdytojas arba duomenų tvarkytojas perduoda asmens duomenis, kurie tvarkomi pagal tą reglamentą, (duomenų eksportuotojas) duomenų valdytojui arba (pagalbiniam) duomenų tvarkytojui, kurio atliekamam duomenų tvarkymui netaikomas tas reglamentas (duomenų importuotojas).

2. Standartinėse sutarčių sąlygose taip pat nustatomos duomenų valdytojų ir duomenų tvarkytojų teisės ir pareigos, susijusios su Reglamento (ES) 2016/679 28 straipsnio 3 ir 4 dalyse nurodytais klausimais, kai duomenų valdytojas perduoda asmens duomenis duomenų tvarkytojui arba duomenų tvarkytojas – pagalbiniam duomenų tvarkytojui.

2 straipsnis

Jei kompetentingos valstybės narės institucijos pasinaudoja įgaliojimais imtis taisomųjų veiksmų pagal Reglamento (ES) 2016/679 58 straipsnį reaguodamos į tai, kad duomenų importuotojui paskirties trečiojoje valstybėje taikomi arba pradedami taikyti teisės aktai ar praktika, dėl kurių jis negali laikytis priede nustatytų standartinių sutarčių sąlygų, ir dėl to sustabdomas arba uždraudžiamas duomenų perdavimas į trečiąsias valstybes, atitinkama valstybė narė nedelsdama informuoja Komisiją, kuri perduoda informaciją kitoms valstybėms narėms.

3 straipsnis

Komisija, remdamasi visa turima informacija, įvertina priede išdėstytų standartinių sutarčių sąlygų praktinį taikymą atlikdama periodinį vertinimą, kuris numatytas Reglamento (ES) 2016/679 97 straipsnyje.

4 straipsnis

1. Šis sprendimas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.

2. Sprendimas 2001/497/EB panaikinamas nuo 2021 m. rugsėjo 27 d.

3. Sprendimas 2010/87/ES panaikinamas nuo 2021 m. rugsėjo 27 d.

4. Laikoma, kad sutartimis, sudarytomis iki 2021 m. rugsėjo 27 d. remiantis Sprendimu 2001/497/EB arba Sprendimu 2010/87/ES, užtikrinamos tinkamos apsaugos priemonės pagal Reglamento (ES) 2016/679 46 straipsnio 1 dalį iki 2022 m. gruodžio 27 d. su sąlyga, kad duomenų tvarkymo operacijos, kurios yra sutarties dalykas, išlieka nepakitusios, o remiantis tomis sąlygomis užtikrinama, jog asmens duomenų perdavimui taikomos tinkamos apsaugos priemonės.

Priimta Briuselyje 2021 m. birželio 4 d.

Komisijos vardu

Pirmininkė

Ursula VON DER LEYEN

(1) OL L 119, 2016 5 4, p. 1.

(2) Reglamento (ES) 2016/679 44 straipsnis.

(3) Taip pat žr. 2020 m. liepos 16 d. Teisingumo Teismo sprendimo Data Protection Commissioner/Facebook Ireland Ltd ir Maximillian Schrems (Schrems II), C-311/18, ECLI:EU:C:2020:559, 93 punktą.

(4) Reglamento (ES) 2016/679 109 konstatuojamoji dalis.

(5) 2001 m. birželio 15 d. Komisijos sprendimas 2001/497/EB dėl sutarčių, susijusių su asmens duomenų perdavimu trečiosioms šalims, tipinių punktų, atsižvelgiant į Direktyvą 95/46/EB (OL L 181, 2001 7 4, p. 19).

(6) 2010 m. vasario 5 d. Komisijos sprendimas 2010/87/ES dėl sutarčių standartinių sąlygų, nustatytų asmens duomenų perdavimui trečiosiose šalyse įsikūrusiems tvarkytojams pagal Europos Parlamento ir Tarybos direktyvos 95/46/EB nuostatas (OL L 39, 2010 2 12, p. 5).

(7) 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995 11 23, p. 31).

(8) 2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamentas (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB (OL L 295, 2018 11 21, p. 39); žr. 5 konstatuojamąją dalį.

(9) C(2021) 3701.

(10) Sprendimas Schrems II, 96 ir 103 punktai. Taip pat žr. Reglamento (ES) 2016/679 108 ir 114 konstatuojamąsias dalis.

(11) Sprendimas Schrems II.

(12) EDAV ir EDAPP bendra nuomonė 2/2021 dėl Europos Komisijos įgyvendinimo sprendimo dėl standartinių sutarčių sąlygų, nustatytų asmens duomenų perdavimui į trečiąsias valstybes, Reglamento (ES) 2016/679 46 straipsnio 2 dalies c punkte nurodytais klausimais.

PRIEDAS

STANDARTINĖS SUTARČIŲ SĄLYGOS

I SKIRSNIS

1 sąlyga

Tikslas ir taikymo sritis

Šiomis standartinėmis sutarčių sąlygomis siekiama užtikrinti, kad būtų laikomasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (Bendrasis duomenų apsaugos reglamentas) (1) reikalavimų perduodant asmens duomenis į trečiąją valstybę.

Šalys:

i)	fizinis (-iai) ar juridinis (-iai) asmuo (-enys), valdžios institucija (-os), agentūra (-os) ar kita (-os) įstaiga (-os) (toliau – subjektas (-ai)), perduodantis (-ys) asmens duomenis, kaip nurodyta I priedo A skyriuje (toliau atskirai – duomenų eksportuotojas), ir

ii)	trečiojoje valstybėje esantis (-ys) subjektas (-ai), gaunantis (-ys) asmens duomenis iš duomenų eksportuotojo tiesiogiai ar netiesiogiai per kitą subjektą, kuris taip pat yra šių sąlygų šalis, kaip nurodyta I priedo A skyriuje (toliau atskirai – duomenų importuotojas),

susitarė dėl šių standartinių sutarčių sąlygų (toliau – sąlygos).

c)	Šios sąlygos taikomos, kai asmens duomenys perduodami kaip nurodyta I priedo B skyriuje.

d)	Šių sąlygų priedėlis, kuriame pateikti čia nurodyti priedai, yra neatskiriama šių sąlygų dalis.

2 sąlyga

Sąlygų galiojimas ir nekintamumas

Šiose sąlygose nustatytos tinkamos apsaugos priemonės, įskaitant vykdytinas duomenų subjektų teises ir veiksmingas teisių gynimo priemones pagal Reglamento (ES) 2016/679 46 straipsnio 1 dalį ir 46 straipsnio 2 dalies c punktą, o duomenų valdytojams perduodant duomenis duomenų tvarkytojams ir (arba) duomenų tvarkytojams – duomenų tvarkytojams, standartinės sutarčių sąlygos pagal Reglamento (ES) 2016/679 28 straipsnio 7 dalį, su sąlyga, kad jos nėra keičiamos, išskyrus atvejus, kai pasirenkamas (-i) atitinkamas (-i) modulis (-iai) arba papildoma ar atnaujinama priedėlyje pateikta informacija. Tai neužkerta kelio šalims įtraukti šiose sąlygose nustatytas standartines sutarčių sąlygas į platesnę sutartį ir (arba) įtraukti kitas sąlygas ar papildomas apsaugos priemones su sąlyga, kad jos tiesiogiai ar netiesiogiai neprieštarauja šioms sąlygoms ir nepažeidžia pagrindinių duomenų subjektų teisių ar laisvių.

b)	Šios sąlygos nedaro poveikio prievolėms, kurios duomenų eksportuotojui taikomos pagal Reglamentą (ES) 2016/679.

3 sąlyga

Trečiosios šalys naudos gavėjos

Duomenų subjektai, kaip trečiosios šalys naudos gavėjos, gali remtis šiomis sąlygomis ir reikalauti, kad duomenų eksportuotojas ir (arba) duomenų importuotojas jas vykdytų, išskyrus šias išimtis:

i)	1 sąlyga, 2 sąlyga, 3 sąlyga, 6 sąlyga, 7 sąlyga;

ii)

8 sąlyga – pirmas modulis: 8.5 sąlygos e punktas ir 8.9 sąlygos b punktas; antras modulis: 8.1 sąlygos b punktas, 8.9 sąlygos a, c, d ir e punktai; trečias modulis: 8.1 sąlygos a, c ir d punktai ir 8.9 sąlygos a, c, d, e, f ir g punktai; ketvirtas modulis: 8.1 sąlygos b punktas ir 8.3 sąlygos b punktas;

iii)	9 sąlyga – antras modulis: 9 sąlygos a, c, d ir e punktai; trečias modulis: 9 sąlygos a, c, d ir e punktai;

iv)	12 sąlyga – pirmas modulis: 12 sąlygos a ir d punktai; antras ir trečias moduliai: 12 sąlygos a, d ir f punktai;

v)	13 sąlyga;

vi)	15.1 sąlygos c, d ir e punktai;

vii)	16 sąlygos e punktas;

viii)

18 sąlyga – pirmas, antras ir trečias moduliai: 18 sąlygos a ir b punktai; ketvirtas modulis: 18 sąlyga.

b)	a punktas nedaro poveikio duomenų subjektų teisėms pagal Reglamentą (ES) 2016/679.

4 sąlyga

Aiškinimas

a)	Kai šiose sąlygose vartojamos Reglamente (ES) 2016/679 apibrėžtos sąvokos, tos sąvokos turi tokią pat reikšmę, kaip tame reglamente.

b)	Šios sąlygos suprantamos ir aiškinamos atsižvelgiant į Reglamento (ES) 2016/679 nuostatas.

c)	Šios sąlygos negali būti aiškinamos taip, kad prieštarautų Reglamente (ES) 2016/679 numatytoms teisėms ir pareigoms.

5 sąlyga

Hierarchija

6 sąlyga

Perdavimo aprašymas

Išsami informacija apie duomenų perdavimą, ypač perduodamų asmens duomenų kategorijas ir jų perdavimo tikslą (-us), pateikta I priedo B skyriuje.

7 sąlyga – pasirinktinai

Prisijungimo sąlyga

a)	Subjektas, kuris nėra šių sąlygų šalis, šalių susitarimu gali bet kada prisijungti prie šių sąlygų kaip duomenų eksportuotojas arba duomenų importuotojas, užpildydamas priedėlį ir pasirašydamas I priedo A skyrių.

b)	Užpildęs priedėlį ir pasirašęs I priedo A skyrių, prisijungiantis subjektas tampa šių sąlygų šalimi ir turi duomenų eksportuotojo arba duomenų importuotojo teises ir pareigas pagal tai, kuriai grupei jis priskiriamas I priedo A skyriuje.

c)	Prisijungiantis subjektas neturi jokių teisių ar pareigų, kylančių pagal šias sąlygas tuo laikotarpiu, kuriuo jis nebuvo šalimi.

II SKIRSNIS. ŠALIŲ PRIEVOLĖS

8 sąlyga

Duomenų apsaugos priemonės

Duomenų eksportuotojas garantuoja, kad dėjo pagrįstas pastangas nustatyti, ar duomenų importuotojas, įgyvendindamas tinkamas technines ir organizacines priemones, gali įvykdyti savo prievoles pagal šias sąlygas.

PIRMAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų valdytojui

8.1. Tikslo apribojimas

Duomenų importuotojas tvarko asmens duomenis tik konkrečiu (-iais) perdavimo tikslu (-ais), kaip nurodyta I priedo B skyriuje. Jis gali tvarkyti asmens duomenis tik kitu tikslu:

i)	jei gavo išankstinį duomenų subjekto sutikimą;

ii)	jei tai būtina siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus vykstant konkrečiai administracinei ar reguliavimo procedūrai arba teismo procesui arba

iii)	jei tai būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus.

8.2. Skaidrumas

Tam, kad duomenų subjektai galėtų veiksmingai naudotis savo teisėmis pagal 10 sąlygą, duomenų importuotojas juos informuoja tiesiogiai arba per duomenų eksportuotoją:

i)	apie savo tapatybę ir kontaktinius duomenis;

ii)	apie tvarkomų asmens duomenų kategorijas;

iii)	apie teisę gauti šių sąlygų kopiją;

iv)	jei jis ketina toliau perduoti asmens duomenis bet kuriai trečiajai (-iosioms) šaliai (-ims), apie gavėją ar gavėjų kategorijas (atitinkamai, siekiant suteikti prasmingą informaciją), tokio tolesnio perdavimo tikslą ir jo pagrindą pagal 8.7 sąlygą.

a punktas netaikomas, kai duomenų subjektas jau turi informaciją, įskaitant atvejus, kai tokią informaciją jau pateikė duomenų eksportuotojas, arba kai informacijos pateikti neįmanoma arba tai pareikalautų neproporcingai didelių duomenų importuotojo pastangų. Pastaruoju atveju duomenų importuotojas, kiek tai įmanoma, pateikia informaciją viešai.

Duomenų subjektui paprašius, šalys nemokamai pateikia jam šių sąlygų, įskaitant jų užpildytą priedėlį, kopiją. Tiek, kiek tai būtina verslo paslaptims ar kitai konfidencialiai informacijai, įskaitant asmens duomenis, apsaugoti, šalys gali kupiūruoti priedėlio teksto dalį prieš pateikdamos jo kopiją, tačiau pateikia informatyvią santrauką, jei priešingu atveju duomenų subjektas negalėtų suprasti jo turinio arba naudotis savo teisėmis. Gavusios prašymą, šalys duomenų subjektui nurodo kupiūravimo priežastis, kiek tai įmanoma neatskleisdamos kupiūruotos informacijos.

d)	a–c punktai nedaro poveikio duomenų eksportuotojo prievolėms pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.

8.3. Tikslumas ir duomenų kiekio mažinimas

a)	Kiekviena šalis užtikrina, kad asmens duomenys būtų tikslūs ir, prireikus, atnaujinami. Duomenų importuotojas imasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie yra netikslūs, atsižvelgiant į jų tvarkymo tikslą (-us), būtų nedelsiant ištrinti arba ištaisyti.

b)	Jei viena iš šalių sužino, kad jos perduoti ar gauti asmens duomenys yra netikslūs arba paseno, ji nepagrįstai nedelsdama apie tai praneša kitai šaliai.

c)	Duomenų importuotojas užtikrina, kad asmens duomenys būtų adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslo (-ų), dėl kurio (-ių) jie tvarkomi.

8.4. Saugojimo ribojimas

Duomenų importuotojas saugo asmens duomenis ne ilgiau, nei tai yra būtina tuo (-ais) tikslu (-ais), kuriuo (-iais) jie tvarkomi. Jis imasi tinkamų techninių ar organizacinių priemonių, kad užtikrintų šios prievolės vykdymą, įskaitant duomenų ir visų kopijų ištrynimą ar anoniminimą (2) pasibaigus saugojimo laikotarpiui.

8.5. Duomenų tvarkymo saugumas

b)	Šalys susitarė dėl II priede nustatytų techninių ir organizacinių priemonių. Duomenų importuotojas reguliariai tikrina, ar šios priemonės ir toliau užtikrina tinkamą saugumo lygį.

c)	Duomenų importuotojas užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama teisės aktais nustatyta konfidencialumo prievolė.

d)	Jei pažeidžiamas asmens duomenų, kuriuos duomenų importuotojas tvarko pagal šias sąlygas, saugumas, duomenų importuotojas imasi tinkamų priemonių asmens duomenų saugumo pažeidimui pašalinti, įskaitant priemones galimam neigiamam jo poveikiui sumažinti.

Jei dėl asmens duomenų saugumo pažeidimo gali kilti pavojus fizinių asmenų teisėms ir laisvėms, duomenų importuotojas nepagrįstai nedelsdamas apie tai praneša duomenų eksportuotojui ir kompetentingai priežiūros institucijai pagal 13 sąlygą. Tokiame pranešime turi būti pateikiamas i) pažeidimo pobūdžio aprašymas (įskaitant, jei įmanoma, atitinkamų duomenų subjektų ir asmens duomenų įrašų kategorijas ir apytikslį skaičių), ii) tikėtinos jo pasekmės, iii) priemonės, kurių imtasi arba siūloma imtis pažeidimui pašalinti, ir iv) kontaktinio asmens, kuris gali suteikti daugiau informacijos, duomenys. Jei duomenų importuotojas negali pateikti visos informacijos vienu metu, jis gali tai daryti etapais toliau nepagrįstai nedelsdamas.

Asmens duomenų saugumo pažeidimo, dėl kurio gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, atveju duomenų importuotojas taip pat nepagrįstai nedelsdamas praneša atitinkamiems duomenų subjektams apie asmens duomenų saugumo pažeidimą ir jo pobūdį, prireikus bendradarbiaudamas su duomenų eksportuotoju, kartu pateikdamas e punkto ii–iv papunkčiuose nurodytą informaciją, nebent duomenų importuotojas įgyvendino priemones, kuriomis gerokai sumažinamas pavojus fizinių asmenų teisėms ar laisvėms, arba pranešimas pareikalautų neproporcingai daug pastangų. Pastaruoju atveju duomenų importuotojas vietoje to paskelbia viešą pranešimą arba imasi panašių priemonių, kad informuotų visuomenę apie asmens duomenų saugumo pažeidimą.

g)	Duomenų importuotojas dokumentais pagrindžia visas atitinkamas faktines aplinkybes, susijusias su asmens duomenų saugumo pažeidimu, įskaitant jo pasekmes ir visus taisomuosius veiksmus, kurių buvo imtasi, ir juos registruoja.

8.6. Neskelbtini duomenys

Kai perduodami asmens duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, genetiniai duomenys, ar biometriniai duomenys, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenys arba duomenys apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją ar duomenys apie apkaltinamuosius nuosprendžius ar nusikalstamas veikas (toliau – neskelbtini duomenys), duomenų importuotojas taiko konkrečius apribojimus ir (arba) papildomas apsaugos priemones, kurie pritaikyti pagal konkretų duomenų pobūdį ir susijusius pavojus. Tai gali būti personalo, kuriam leidžiama susipažinti su asmens duomenimis, ribojimas, papildomos saugumo priemonės (pavyzdžiui, pseudonimų suteikimas) ir (arba) papildomi tolesnio atskleidimo apribojimai.

8.7. Tolesnis perdavimas

Duomenų importuotojas neatskleidžia asmens duomenų trečiajai šaliai, esančiai už Europos Sąjungos ribų (3), (toje pačioje valstybėje kaip duomenų importuotojas arba kitoje trečiojoje valstybėje, toliau – tolesnis perdavimas) nebent trečioji šalis laikosi arba sutinka laikytis šių sąlygų pagal atitinkamą modulį. Priešingu atveju duomenų importuotojas tolesnį perdavimą gali atlikti tik tada, jei:

i)	perduoda į šalį, kuriai taikomas sprendimas dėl tinkamumo pagal Reglamento (ES) 2016/679 45 straipsnį, apimantis tolesnį duomenų perdavimą;

ii)	trečioji šalis kitais atžvilgiais užtikrina tinkamas apsaugos priemones pagal Reglamento (ES) 2016/679 46 arba 47 straipsnį atitinkamo tvarkymo atžvilgiu;

iii)	trečioji šalis su duomenų importuotoju sudaro privalomą dokumentą, kuriuo užtikrinamas toks pat duomenų apsaugos lygis, kaip pagal šias sąlygas, o duomenų importuotojas šių apsaugos priemonių kopiją pateikia duomenų eksportuotojui;

iv)	jis yra būtinas siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus vykstant konkrečiai administracinei ar reguliavimo procedūrai arba teismo procesui

v)	jis yra būtinas siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus, arba

vi)

jei netaikoma nė viena kita sąlyga, duomenų importuotojas yra gavęs aiškų duomenų subjekto sutikimą dėl tolesnio duomenų perdavimo konkrečiomis aplinkybėmis, prieš tai jį informavęs apie perdavimo tikslą (-us), gavėjo tapatybę ir galimus tokio perdavimo pavojus jam dėl tinkamų duomenų apsaugos priemonių nebuvimo. Tokiu atveju duomenų importuotojas informuoja duomenų eksportuotoją ir, pastarojo prašymu, jam perduoda duomenų subjektui pateiktos informacijos kopiją.

Bet koks tolesnis perdavimas galimas tik tuo atveju, jei duomenų importuotojas laikosi visų kitų šiose sąlygose numatytų apsaugos priemonių, visų pirma tikslo apribojimo principo.

8.8. Duomenų importuotojui pavaldžių asmenų atliekamas duomenų tvarkymas

Duomenų importuotojas užtikrina, kad bet kuris jo įgaliotas asmuo, įskaitant duomenų tvarkytoją, duomenis tvarkytų tik pagal jo nurodymus.

8.9. Dokumentai ir sąlygų laikymasis

a)	Kiekviena šalis turi galėti įrodyti, kad vykdo savo prievoles pagal šias sąlygas. Visų pirma, duomenų importuotojas saugo atitinkamus vykdomos duomenų tvarkymo veiklos, už kurią jis atsako, dokumentus.

b)	Kompetentingos priežiūros institucijos prašymu, duomenų importuotojas jai pateikia tokius dokumentus.

ANTRAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų tvarkytojui

8.1. Nurodymai

a)	Duomenų importuotojas tvarko asmens duomenis tik pagal duomenų eksportuotojo dokumentais įformintus nurodymus. Duomenų eksportuotojas gali duoti tokius nurodymus per visą sutarties galiojimo laikotarpį.

b)	Duomenų importuotojas nedelsdamas informuoja duomenų eksportuotoją, jei dėl kokių nors priežasčių negali laikytis šių nurodymų.

8.2. Tikslo apribojimas

Duomenų importuotojas tvarko asmens duomenis tik konkrečiu (-iais) perdavimo tikslu (-ais), kaip nurodyta I priedo B skyriuje, nebent gauna papildomus duomenų eksportuotojo nurodymus.

8.3. Skaidrumas

Duomenų subjektui paprašius, duomenų eksportuotojas nemokamai pateikia jam šių sąlygų, įskaitant šalių užpildytą priedėlį, kopiją. Tiek, kiek tai būtina verslo paslaptims ar kitai konfidencialiai informacijai, įskaitant II priede aprašytas priemones ir asmens duomenis, apsaugoti, duomenų eksportuotojas gali kupiūruoti dalį šių sąlygų priedėlio teksto prieš pateikdamas jo kopiją, tačiau pateikia informatyvią santrauką, jei priešingu atveju duomenų subjektas negalėtų suprasti jo turinio arba naudotis savo teisėmis. Gavusios prašymą, šalys duomenų subjektui nurodo kupiūravimo priežastis, kiek tai įmanoma neatskleisdamos kupiūruotos informacijos. Ši sąlyga nedaro poveikio duomenų eksportuotojo prievolėms pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.

8.4. Tikslumas

Jei duomenų importuotojas sužino, kad jo gauti asmens duomenys yra netikslūs arba paseno, jis nepagrįstai nedelsdamas apie tai praneša duomenų eksportuotojui. Šiuo atveju duomenų importuotojas bendradarbiauja su duomenų eksportuotoju, kad duomenys būtų ištrinti arba ištaisyti.

8.5. Duomenų tvarkymo trukmė ir duomenų ištrynimas arba grąžinimas

Duomenų importuotojas duomenis tvarko tik I priedo B skyriuje nurodytą laikotarpį. Pasibaigus duomenų tvarkymo paslaugų teikimui, duomenų importuotojas duomenų eksportuotojo pasirinkimu ištrina visus duomenų eksportuotojo vardu tvarkomus asmens duomenis ir patvirtina duomenų eksportuotojui, kad tai padarė, arba grąžina duomenų eksportuotojui visus jo vardu tvarkomus asmens duomenis ir ištrina esamas kopijas. Kol duomenys nesunaikinami ar negrąžinami, duomenų importuotojas ir toliau užtikrina, kad būtų laikomasi šių sąlygų. Tuo atveju, jei pagal duomenų importuotojui taikomus vietos teisės aktus draudžiama grąžinti arba ištrinti asmens duomenis, duomenų importuotojas garantuoja, kad jis ir toliau užtikrins šių sąlygų laikymąsi ir tvarkys duomenis tik tokia apimtimi ir tiek laiko, kiek to reikia pagal tokią vietos teisę. Tai nedaro poveikio 14 sąlygai, visų pirma 14 sąlygos e punkte nustatytam reikalavimui, kad duomenų importuotojas per visą sutarties galiojimo laikotarpį praneštų duomenų eksportuotojui, jei jis turi pagrindo manyti, kad jam taikomi arba pradėti taikyti teisės aktai ar praktika, kurie neatitinka 14 sąlygos a punkte nustatytų reikalavimų.

8.6. Duomenų tvarkymo saugumas

Duomenų importuotojas, o perduodant duomenis – ir duomenų eksportuotojas, įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų asmens duomenų saugumą, įskaitant apsaugą nuo saugumo pažeidimo, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami tokie duomenys arba prie jų be leidimo gaunama prieiga (toliau – asmens duomenų saugumo pažeidimas). Vertindamos tinkamą saugumo lygį, šalys tinkamai atsižvelgia į techninių galimybių pažangos lygį, įgyvendinimo sąnaudas, duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslą (-us), taip pat tvarkant duomenis duomenų subjektams kylančią riziką. Šalys visų pirma apsvarsto šifravimo arba pseudonimų suteikimo galimybę, įskaitant perduodant duomenis, jei tokiu būdu galima pasiekti duomenų tvarkymo tikslo. Pseudonimų suteikimo atveju papildomą informaciją, pagal kurią asmens duomenys priskiriami konkrečiam duomenų subjektui, jei įmanoma, kontroliuoja tik duomenų eksportuotojas. Vykdydamas prievoles pagal šią dalį, duomenų importuotojas bent jau įgyvendina II priede nurodytas technines ir organizacines priemones. Duomenų importuotojas atlieka reguliarius patikrinimus siekdamas užtikrinti, kad šios priemonės ir toliau užtikrintų tinkamą saugumo lygį.

Duomenų importuotojas suteikia prieigą prie asmens duomenų savo darbuotojams tik tiek, kiek tai būtina sutarčiai įgyvendinti, valdyti ir stebėti. Jis užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama įstatais nustatyta konfidencialumo prievolė.

Jei pažeidžiamas asmens duomenų, kuriuos duomenų importuotojas tvarko pagal šias sąlygas, saugumas, duomenų importuotojas imasi tinkamų priemonių pažeidimui pašalinti, įskaitant priemones neigiamam jo poveikiui sumažinti. Sužinojęs apie pažeidimą, duomenų importuotojas taip pat nepagrįstai nedelsdamas apie tai praneša duomenų eksportuotojui. Tokiame pranešime turi būti pateikiami kontaktinio asmens, kuris gali suteikti daugiau informacijos, duomenys, pažeidimo pobūdžio aprašymas (įskaitant, jei įmanoma, atitinkamų duomenų subjektų ir asmens duomenų įrašų kategorijas ir apytikslį skaičių), tikėtinos jo pasekmės ir priemonės, kurių imtasi arba siūloma imtis pažeidimui pašalinti, įskaitant, kai tinkama, priemones galimam neigiamam jo poveikiui sumažinti. Kai ir jei visos informacijos neįmanoma pateikti tuo pačiu metu, pradiniame pranešime pateikiama tuo metu turima informacija, o papildoma informacija, kai ji sužinoma, vėliau pateikiama nepagrįstai nedelsiant.

Duomenų importuotojas bendradarbiauja su duomenų eksportuotoju ir jam padeda, kad duomenų eksportuotojas galėtų įvykdyti savo prievoles pagal Reglamentą (ES) 2016/679, visų pirma informuoti kompetentingą priežiūros instituciją ir susijusius duomenų subjektus, atsižvelgdamas į duomenų tvarkymo pobūdį ir duomenų importuotojo turimą informaciją.

8.7. Neskelbtini duomenys

Kai perduodami asmens duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, genetiniai duomenys ar biometriniai duomenys, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenys arba duomenys apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją ar duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas (toliau – neskelbtini duomenys), duomenų importuotojas taiko konkrečius apribojimus ir (arba) papildomas apsaugos priemones, kurie aprašyti I priedo B skyriuje.

8.8. Tolesnis perdavimas

Duomenų importuotojas atskleidžia asmens duomenis trečiajai šaliai tik pagal duomenų eksportuotojo dokumentais įformintus nurodymus. Be to, duomenys gali būti atskleisti trečiajai šaliai, esančiai už Europos Sąjungos ribų (4), (toje pačioje valstybėje kaip duomenų importuotojas arba kitoje trečiojoje valstybėje, toliau – tolesnis perdavimas) tik jei trečioji šalis laikosi arba sutinka laikytis šių sąlygų pagal atitinkamą modulį, arba jei:

i)	duomenys toliau perduodami į valstybę, kuriai taikomas sprendimas dėl tinkamumo pagal Reglamento (ES) 2016/679 45 straipsnį, apimantis tolesnį duomenų perdavimą;

ii)	trečioji šalis kitais atžvilgiais užtikrina tinkamas apsaugos priemones pagal Reglamento (ES) 2016/679 46 arba 47 straipsnį atitinkamo tvarkymo atžvilgiu;

iii)	tolesnis perdavimas yra būtinas siekiant pareikšti, vykdyti arba ginti teisinius reikalavimus vykstant konkrečiai administracinei ar reguliavimo procedūrai arba teismo procesui arba

iv)	tolesnis perdavimas yra būtinas siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus.

Bet koks tolesnis perdavimas galimas tik tuo atveju, jei duomenų importuotojas laikosi visų kitų šiose sąlygose numatytų apsaugos priemonių, visų pirma tikslo apribojimo principo.

8.9. Dokumentai ir sąlygų laikymasis

a)	Duomenų importuotojas nedelsdamas ir tinkamai atsako į duomenų eksportuotojo užklausas, susijusias su duomenų tvarkymu pagal šias sąlygas.

b)	Šalys turi galėti įrodyti, kad laikosi šių sąlygų. Visų pirma, duomenų importuotojas saugo atitinkamus duomenų tvarkymo veiklos, kurią vykdo duomenų eksportuotojo vardu, dokumentus.

Duomenų importuotojas pateikia duomenų eksportuotojui visą informaciją, būtiną siekiant įrodyti, kad vykdomos šiose sąlygose nustatytos prievolės, ir, duomenų eksportuotojo prašymu, sudaro sąlygas bei padeda atlikti duomenų tvarkymo veiklos, kuriai taikomos šios sąlygos, auditą pagrįstais laiko tarpais arba jei nustatoma, kad nesilaikoma reikalavimų. Priimdamas sprendimą dėl peržiūros ar audito, duomenų eksportuotojas gali atsižvelgti į atitinkamus duomenų importuotojo turimus sertifikatus.

d)	Duomenų eksportuotojas gali pats atlikti auditą arba įgalioti nepriklausomą auditorių. Auditas gali apimti patikrinimus duomenų importuotojo patalpose ar fiziniuose objektuose ir, jei tinkama, turi būti atliekamas tinkamai apie jį pranešus.

e)	Kompetentingos priežiūros institucijos prašymu, šalys pateikia b ir c punktuose nurodytą informaciją, įskaitant bet kokio audito rezultatus.

TREČIAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų tvarkytojui

8.1. Nurodymai

a)	Duomenų eksportuotojas yra informavęs duomenų importuotoją, kad jis veikia kaip duomenų tvarkytojas pagal duomenų valdytojo (-ų) nurodymus, kuriuos duomenų eksportuotojas pateikia duomenų importuotojui prieš pradedant tvarkyti duomenis.

Duomenų importuotojas tvarko asmens duomenis tik pagal duomenų valdytojo dokumentais įformintus nurodymus, kuriuos duomenų eksportuotojas perdavė duomenų importuotojui, ir bet kokius papildomus dokumentais įformintus duomenų eksportuotojo nurodymus. Tokie papildomi nurodymai neprieštarauja duomenų valdytojo nurodymams. Duomenų valdytojas arba duomenų eksportuotojas gali duoti papildomų dokumentais įformintų nurodymų dėl duomenų tvarkymo per visą sutarties galiojimo laikotarpį.

c)	Duomenų importuotojas nedelsdamas informuoja duomenų eksportuotoją, jei dėl kokių nors priežasčių negali laikytis šių nurodymų. Jei duomenų importuotojas negali laikytis duomenų valdytojo nurodymų, duomenų eksportuotojas nedelsdamas apie tai praneša duomenų valdytojui.

d)	Duomenų eksportuotojas garantuoja, kad duomenų importuotojui nustatė tokias pačias duomenų apsaugos prievoles, kokios nustatytos duomenų valdytojo ir duomenų eksportuotojo sutartyje arba kitame teisės akte pagal Sąjungos arba valstybės narės teisę (5).

8.2. Tikslo apribojimas

Duomenų importuotojas tvarko asmens duomenis tik konkrečiu (-iais) perdavimo tikslu (-ais), kaip nurodyta I priedo B skyriuje, nebent gauna papildomus duomenų valdytojo nurodymus, kuriuos duomenų importuotojui perduoda duomenų eksportuotojas, arba papildomus duomenų eksportuotojo nurodymus.

8.3. Skaidrumas

Duomenų subjektui paprašius, duomenų eksportuotojas nemokamai pateikia jam šių sąlygų, įskaitant šalių užpildytą priedėlį, kopiją. Tiek, kiek tai būtina verslo paslaptims ar kitai konfidencialiai informacijai, įskaitant asmens duomenis, apsaugoti, duomenų eksportuotojas gali kupiūruoti priedėlio teksto dalį prieš pateikdamos jo kopiją, tačiau pateikia informatyvią santrauką, jei priešingu atveju duomenų subjektas negalėtų suprasti jo turinio arba naudotis savo teisėmis. Gavusios prašymą, šalys duomenų subjektui nurodo kupiūravimo priežastis, kiek tai įmanoma neatskleisdamos kupiūruotos informacijos.

8.4. Tikslumas

8.5. Duomenų tvarkymo trukmė ir duomenų ištrynimas arba grąžinimas

Duomenų importuotojas duomenis tvarko tik I priedo B skyriuje nurodytą laikotarpį. Pasibaigus duomenų tvarkymo paslaugų teikimui, duomenų importuotojas duomenų eksportuotojo pasirinkimu ištrina visus duomenų valdytojo vardu tvarkomus asmens duomenis ir patvirtina duomenų eksportuotojui, kad tai padarė, arba grąžina duomenų eksportuotojui visus jo vardu tvarkomus asmens duomenis ir ištrina esamas kopijas. Kol duomenys neištrinami ar negrąžinami, duomenų importuotojas ir toliau užtikrina, kad būtų laikomasi šių sąlygų. Tuo atveju, jei pagal duomenų importuotojui taikomus vietos teisės aktus draudžiama grąžinti arba ištrinti asmens duomenis, duomenų importuotojas garantuoja, kad jis ir toliau užtikrins šių sąlygų laikymąsi ir tvarkys duomenis tik tokia apimtimi ir tiek laiko, kiek to reikia pagal tokią vietos teisę. Tai nedaro poveikio 14 sąlygai, visų pirma 14 sąlygos e punkte nustatytam reikalavimui, kad duomenų importuotojas per visą sutarties galiojimo laikotarpį praneštų duomenų eksportuotojui, jei jis turi pagrindo manyti, kad jam taikomi arba pradėti taikyti teisės aktai ar praktika, kurie neatitinka 14 sąlygos a punkte nustatytų reikalavimų.

8.6. Duomenų tvarkymo saugumas

Duomenų importuotojas, o perduodant duomenis – ir duomenų eksportuotojas, įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų asmens duomenų saugumą, įskaitant apsaugą nuo saugumo pažeidimo, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami tokie duomenys arba prie jų be leidimo gaunama prieiga (toliau – asmens duomenų saugumo pažeidimas). Vertindami tinkamą saugumo lygį, jie tinkamai atsižvelgia į techninių galimybių pažangos lygį, įgyvendinimo sąnaudas, duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslą (-us), taip pat tvarkant duomenis duomenų subjektui kylančią riziką. Šalys visų pirma apsvarsto šifravimo arba pseudonimų suteikimo galimybę, įskaitant perduodant duomenis, jei tokiu būdu galima pasiekti duomenų tvarkymo tikslo. Pseudonimų suteikimo atveju papildomą informaciją, pagal kurią asmens duomenys priskiriami konkrečiam duomenų subjektui, jei įmanoma, kontroliuoja tik duomenų eksportuotojas arba duomenų valdytojas. Vykdydamas prievoles pagal šią dalį, duomenų importuotojas bent jau įgyvendina II priede nurodytas technines ir organizacines priemones. Duomenų importuotojas atlieka reguliarius patikrinimus siekdamas užtikrinti, kad šios priemonės ir toliau užtikrintų tinkamą saugumo lygį.

Duomenų importuotojas suteikia prieigą prie duomenų savo darbuotojams tik tiek, kiek tai būtina sutarčiai įgyvendinti, valdyti ir stebėti. Jis užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama įstatais nustatyta konfidencialumo prievolė.

Jei pažeidžiamas asmens duomenų, kuriuos duomenų importuotojas tvarko pagal šias sąlygas, saugumas, duomenų importuotojas imasi tinkamų priemonių pažeidimui pašalinti, įskaitant priemones neigiamam jo poveikiui sumažinti. Sužinojęs apie pažeidimą, duomenų importuotojas taip pat nepagrįstai nedelsdamas apie tai praneša duomenų eksportuotojui ir, jei tinkama ir įmanoma, duomenų valdytojui. Tokiame pranešime turi būti pateikiami kontaktinio asmens, kuris gali suteikti daugiau informacijos, duomenys, pažeidimo pobūdžio aprašymas (įskaitant, jei įmanoma, atitinkamų duomenų subjektų ir asmens duomenų įrašų kategorijas ir apytikslį skaičių), tikėtinos jo pasekmės ir priemonės, kurių imtasi arba siūloma imtis duomenų saugumo pažeidimui pašalinti, įskaitant priemones galimam neigiamam jo poveikiui sumažinti. Kai ir jei visos informacijos neįmanoma pateikti tuo pačiu metu, pradiniame pranešime pateikiama tuo metu turima informacija, o papildoma informacija, kai ji sužinoma, vėliau pateikiama nepagrįstai nedelsiant.

Duomenų importuotojas bendradarbiauja su duomenų eksportuotoju ir jam padeda, kad duomenų eksportuotojas galėtų įvykdyti savo prievoles pagal Reglamentą (ES) 2016/679, visų pirma informuoti savo duomenų valdytoją, kad pastarasis savo ruožtu galėtų informuoti kompetentingą priežiūros instituciją ir susijusius duomenų subjektus, atsižvelgdamas į duomenų tvarkymo pobūdį ir duomenų importuotojo turimą informaciją.

8.7. Neskelbtini duomenys

Kai perduodami asmens duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, genetiniai duomenys ar biometriniai duomenys, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenys arba duomenys apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją ar duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas (toliau – neskelbtini duomenys), duomenų importuotojas taiko konkrečius apribojimus ir (arba) papildomas apsaugos priemones, kurie nustatyti I priedo B skyriuje.

8.8. Tolesnis perdavimas

Duomenų importuotojas atskleidžia asmens duomenis trečiajai šaliai tik pagal duomenų valdytojo dokumentais įformintus nurodymus, kuriuos duomenų eksportuotojas perdavė duomenų importuotojui. Be to, duomenys gali būti atskleisti trečiajai šaliai, esančiai už Europos Sąjungos ribų (6), (toje pačioje valstybėje kaip duomenų importuotojas arba kitoje trečiojoje valstybėje, toliau – tolesnis perdavimas) tik jei trečioji šalis laikosi arba sutinka laikytis šių sąlygų pagal atitinkamą modulį, arba jei:

i)	duomenys toliau perduodami į valstybę, kuriai taikomas sprendimas dėl tinkamumo pagal Reglamento (ES) 2016/679 45 straipsnį, apimantis tolesnį duomenų perdavimą;

ii)	trečioji šalis kitais atžvilgiais užtikrina tinkamas apsaugos priemones pagal Reglamento (ES) 2016/679 46 arba 47 straipsnį;

iii)	tolesnis perdavimas yra būtinas siekiant pareikšti, vykdyti arba ginti teisinius reikalavimus vykstant konkrečiai administracinei ar reguliavimo procedūrai arba teismo procesui arba

iv)	tolesnis perdavimas yra būtinas siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus.

Bet koks tolesnis perdavimas galimas tik tuo atveju, jei duomenų importuotojas laikosi visų kitų šiose sąlygose numatytų apsaugos priemonių, visų pirma tikslo apribojimo principo.

8.9. Dokumentai ir sąlygų laikymasis

a)	Duomenų importuotojas nedelsdamas ir tinkamai atsako į duomenų eksportuotojo arba duomenų valdytojo užklausas, susijusias su duomenų tvarkymu pagal šias sąlygas.

b)	Šalys turi galėti įrodyti, kad laikosi šių sąlygų. Visų pirma, duomenų importuotojas saugo atitinkamus duomenų tvarkymo veiklos, kurią vykdo duomenų valdytojo vardu, dokumentus.

c)	Duomenų importuotojas pateikia visą informaciją, būtiną siekiant įrodyti, kad vykdomos šiose sąlygose nustatytos prievolės, duomenų eksportuotojui, kuris ją pateikia duomenų valdytojui.

Duomenų importuotojas sudaro sąlygas ir padeda duomenų eksportuotojui atlikti duomenų tvarkymo veiklos, kuriai taikomos šios sąlygos, auditą pagrįstais laiko tarpais arba jei nustatoma, kad nesilaikoma reikalavimų. Tas pats taikoma ir tuo atveju, kai duomenų eksportuotojas prašo atlikti auditą duomenų valdytojo nurodymu. Priimdamas sprendimą dėl audito, duomenų eksportuotojas gali atsižvelgti į atitinkamus duomenų importuotojo turimus sertifikatus.

e)	Kai auditas atliekamas duomenų valdytojo nurodymu, duomenų eksportuotojas rezultatus pateikia duomenų valdytojui.

f)	Duomenų eksportuotojas gali pats atlikti auditą arba įgalioti nepriklausomą auditorių. Auditas gali apimti patikrinimus duomenų importuotojo patalpose ar fiziniuose objektuose ir, jei tinkama, turi būti atliekamas tinkamai apie jį pranešus.

g)	Kompetentingos priežiūros institucijos prašymu, šalys pateikia b ir c punktuose nurodytą informaciją, įskaitant bet kokio audito rezultatus.

KETVIRTAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų valdytojui

8.1. Nurodymai

a)	Duomenų eksportuotojas tvarko asmens duomenis tik pagal dokumentais įformintus duomenų importuotojo, kuris veikia kaip duomenų valdytojas, nurodymus.

b)	Duomenų eksportuotojas nedelsdamas informuoja duomenų importuotoją, jei negali laikytis tų nurodymų, įskaitant atvejus, kai tokiais nurodymais pažeidžiamas Reglamentas (ES) 2016/679 arba kitas Sąjungos ar valstybės narės duomenų apsaugos teisės aktas.

c)	Duomenų importuotojas nesiima jokių veiksmų, kurie trukdytų duomenų eksportuotojui vykdyti savo prievoles pagal Reglamentą (ES) 2016/679, įskaitant pagalbinio duomenų tvarkytojo pasitelkimą arba bendradarbiavimą su kompetentingomis priežiūros institucijomis.

Pasibaigus duomenų tvarkymo paslaugų teikimui, duomenų eksportuotojas duomenų importuotojo pasirinkimu ištrina visus duomenų importuotojo vardu tvarkomus asmens duomenis ir patvirtina duomenų importuotojui, kad tai padarė, arba grąžina duomenų importuotojui visus jo vardu tvarkomus asmens duomenis ir ištrina esamas kopijas.

8.2. Duomenų tvarkymo saugumas

Šalys įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų asmens duomenų saugumą, įskaitant juos perduodant, ir apsaugą nuo saugumo pažeidimo, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami duomenys arba prie jų be leidimo gaunama prieiga (toliau – asmens duomenų saugumo pažeidimas). Vertindamos tinkamą saugumo lygį, jos tinkamai atsižvelgia į techninių galimybių pažangos lygį, įgyvendinimo sąnaudas, asmens duomenų pobūdį (7), duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslą (-us), taip pat tvarkant duomenis duomenų subjektams kylančią riziką, ir visų pirma apsvarsto šifravimo arba pseudonimų suteikimo galimybę, įskaitant perduodant duomenis, jei tokiu būdu galima pasiekti duomenų tvarkymo tikslo.

Duomenų eksportuotojas padeda duomenų importuotojui užtikrinti tinkamą duomenų saugumą pagal a punktą. Jei pažeidžiamas asmens duomenų, kuriuos duomenų eksportuotojas tvarko pagal šias sąlygas, saugumas, duomenų eksportuotojas nepagrįstai nedelsdamas po to, kai apie tai sužino, praneša apie tai duomenų importuotojui ir padeda duomenų importuotojui pašalinti pažeidimą.

c)	Duomenų eksportuotojas užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama įstatais nustatyta konfidencialumo prievolė.

8.3. Dokumentai ir sąlygų laikymasis

a)	Šalys turi galėti įrodyti, kad laikosi šių sąlygų.

b)	Duomenų eksportuotojas pateikia duomenų importuotojui visą informaciją, būtiną siekiant įrodyti, kad jis vykdo savo prievoles pagal šias sąlygas, ir sudaro sąlygas auditui bei padeda jį atlikti.

9 sąlyga

Pagalbinių duomenų tvarkytojų pasitelkimas

ANTRAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų tvarkytojui

1 VARIANTAS. KONKRETUS IŠANKSTINIS LEIDIMAS. Be išankstinio konkretaus duomenų eksportuotojo rašytinio leidimo duomenų importuotojas neperduoda jokios duomenų eksportuotojo vardu pagal šias sąlygas vykdomos duomenų tvarkymo veiklos pagalbiniam duomenų tvarkytojui. Duomenų importuotojas pateikia prašymą dėl konkretaus leidimo likus ne mažiau kaip [nurodyti laikotarpį] iki pagalbinio duomenų tvarkytojo pasitelkimo kartu su informacija, kuri būtina duomenų eksportuotojui, kad jis galėtų priimti sprendimą dėl leidimo. Duomenų eksportuotojo jau įgaliotų pagalbinių duomenų tvarkytojų sąrašas pateiktas III priede. Šalys nuolat atnaujina III priedą.

2 VARIANTAS. BENDRAS RAŠYTINIS LEIDIMAS. Duomenų importuotojas turi bendrą duomenų eksportuotojo leidimą pasitelkti pagalbinį (-ius) duomenų tvarkytoją (-us) iš suderinto sąrašo. Duomenų importuotojas konkrečiai raštu informuoja duomenų eksportuotoją apie bet kokius numatomus to sąrašo pakeitimus įtraukiant ar pakeičiant pagalbinius duomenų tvarkytojus ne mažiau kaip prieš [nurodyti laikotarpį], taip suteikdamas duomenų eksportuotojui pakankamai laiko, kad jis galėtų prieštarauti tokiems pakeitimams iki pagalbinio (-ių) duomenų tvarkytojo (-ų) pasitelkimo. Duomenų importuotojas pateikia duomenų eksportuotojui informaciją, būtiną tam, kad duomenų eksportuotojas galėtų pasinaudoti savo teise prieštarauti.

Kai duomenų importuotojas pasitelkia pagalbinį duomenų tvarkytoją konkrečiai duomenų tvarkymo veiklai vykdyti (duomenų eksportuotojo vardu), jis tai daro sudarydamas rašytinę sutartį, kurioje iš esmės numatomos tokios pačios duomenų apsaugos prievolės, kurių duomenų importuotojui privaloma laikytis pagal šias sąlygas, įskaitant duomenų subjektų trečiosios šalies naudos gavėjos teises (8). Šalys susitaria, kad duomenų importuotojas, laikydamasis šios sąlygos, vykdo savo įsipareigojimus pagal 8.8 sąlygą. Duomenų importuotojas užtikrina, kad pagalbinis duomenų tvarkytojas laikytųsi įsipareigojimų, kurie duomenų importuotojui taikomi pagal šias sąlygas.

Duomenų eksportuotojo prašymu, duomenų importuotojas pateikia duomenų eksportuotojui tokio susitarimo su pagalbiniu duomenų tvarkytoju ir visų vėlesnių jo pakeitimų kopiją. Tiek, kiek būtina verslo paslaptims ar kitai konfidencialiai informacijai, įskaitant asmens duomenis, apsaugoti, duomenų importuotojas gali kupiūruoti susitarimo tekstą prieš pateikdamas jo kopiją.

Duomenų importuotojas lieka visiškai atsakingas duomenų eksportuotojui už pagalbinio duomenų tvarkytojo įsipareigojimų, nustatytų jo sutartyje su duomenų importuotoju, vykdymą. Duomenų importuotojas praneša duomenų eksportuotojui apie bet kokį pagalbinio duomenų tvarkytojo įsipareigojimų pagal tą sutartį nevykdymą.

Duomenų importuotojas suderina su pagalbiniu duomenų tvarkytoju trečiosios šalies naudos gavėjos sąlygą, pagal kurią duomenų importuotojui faktiškai dingus, teisiškai nutraukus veiklą arba tapus nemokiu duomenų eksportuotojas turi teisę nutraukti sutartį su pagalbiniu duomenų tvarkytoju ir nurodyti pagalbiniam duomenų tvarkytojui ištrinti arba grąžinti asmens duomenis.

TREČIAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų tvarkytojui

1 VARIANTAS. KONKRETUS IŠANKSTINIS LEIDIMAS. Be išankstinio konkretaus duomenų valdytojo rašytinio leidimo duomenų importuotojas neperduoda jokios duomenų eksportuotojo vardu pagal šias sąlygas vykdomos duomenų tvarkymo veiklos pagalbiniam duomenų tvarkytojui. Duomenų importuotojas pateikia prašymą dėl konkretaus leidimo likus ne mažiau kaip [nurodyti laikotarpį] iki atitinkamo pagalbinio duomenų tvarkytojo pasitelkimo kartu su informacija, kuri būtina duomenų valdytojui, kad jis galėtų priimti sprendimą dėl leidimo. Apie tokį pasitelkimą jis informuoja duomenų eksportuotoją. Duomenų valdytojo jau įgaliotų pagalbinių duomenų tvarkytojų sąrašas pateiktas III priede. Šalys nuolat atnaujina III priedą.

2 VARIANTAS. BENDRAS RAŠYTINIS LEIDIMAS. Duomenų importuotojas turi bendrą duomenų valdytojo leidimą pasitelkti pagalbinį (-ius) duomenų tvarkytoją (-us) iš suderinto sąrašo. Duomenų importuotojas konkrečiai raštu informuoja duomenų valdytoją apie bet kokius numatomus to sąrašo pakeitimus įtraukiant ar pakeičiant pagalbinius duomenų tvarkytojus ne mažiau kaip prieš [nurodyti laikotarpį], taip suteikdamas duomenų valdytojui pakankamai laiko, kad jis galėtų prieštarauti tokiems pakeitimams iki pagalbinio (-ių) duomenų tvarkytojo (-ų) pasitelkimo. Duomenų importuotojas pateikia duomenų valdytojui informaciją, būtiną tam, kad duomenų valdytojas galėtų pasinaudoti savo teise prieštarauti. Duomenų importuotojas informuoja duomenų eksportuotoją apie pagalbinio (-ių) duomenų tvarkytojo (-ų) pasitelkimą.

Kai duomenų importuotojas pasitelkia pagalbinį duomenų tvarkytoją konkrečiai duomenų tvarkymo veiklai vykdyti (duomenų valdytojo vardu), jis tai daro sudarydamas rašytinę sutartį, kurioje iš esmės numatomos tokios pačios duomenų apsaugos prievolės, kurių duomenų importuotojui privaloma laikytis pagal šias sąlygas, įskaitant duomenų subjektų trečiosios šalies naudos gavėjos teises (9). Šalys susitaria, kad duomenų importuotojas, laikydamasis šios sąlygos, vykdo savo įsipareigojimus pagal 8.8 sąlygą. Duomenų importuotojas užtikrina, kad pagalbinis duomenų tvarkytojas laikytųsi įsipareigojimų, kurie duomenų importuotojui taikomi pagal šias sąlygas.

Duomenų eksportuotojo arba duomenų valdytojo prašymu, duomenų importuotojas pateikia tokio susitarimo su pagalbiniu duomenų tvarkytoju ir visų vėlesnių jo pakeitimų kopiją. Tiek, kiek būtina verslo paslaptims ar kitai konfidencialiai informacijai, įskaitant asmens duomenis, apsaugoti, duomenų importuotojas gali kupiūruoti susitarimo tekstą prieš pateikdamas jo kopiją.

10 sąlyga

Duomenų subjektų teisės

PIRMAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų valdytojui

Duomenų importuotojas, prireikus padedamas duomenų eksportuotojo, nepagrįstai nedelsdamas ir ne vėliau kaip per vieną mėnesį nuo užklausos ar prašymo gavimo dienos (10) išnagrinėja visas iš duomenų subjekto gautas užklausas ir prašymus, susijusius su jo asmens duomenų tvarkymu ir naudojimusi jo teisėmis pagal šias sąlygas. Duomenų importuotojas imasi tinkamų priemonių, kad sudarytų palankesnes sąlygas teikti tokias užklausas, prašymus ir naudotis duomenų subjekto teisėmis. Bet kokia duomenų subjektui teikiama informacija pateikiama suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba.

Visų pirma, duomenų subjekto prašymu, duomenų importuotojas nemokamai:

pateikia duomenų subjektui patvirtinimą, ar jo asmens duomenys yra tvarkomi, ir, jei taip yra, jo duomenų kopiją ir I priede nurodytą informaciją; jei asmens duomenys buvo arba bus perduoti toliau, pateikia informaciją apie duomenų gavėjus arba duomenų gavėjų kategorijas (atitinkamai, siekiant suteikti prasmingą informaciją), kuriems buvo arba bus toliau perduodami asmens duomenys, tokio tolesnio perdavimo tikslą ir pagrindą pagal 8.7 sąlygą; taip pat pateikia informaciją apie teisę pateikti skundą priežiūros institucijai pagal 12 sąlygos c punkto i papunktį;

ii)	ištaiso netikslius arba neišsamius duomenų subjekto duomenis;

iii)	ištrina duomenų subjekto asmens duomenis, jei tokie duomenys tvarkomi arba buvo tvarkomi pažeidžiant bet kurią iš šių sąlygų, užtikrinant trečiosios šalies naudos gavėjos teises, arba duomenų subjektui atšaukus sutikimą, kuriuo grindžiamas duomenų tvarkymas.

c)	Jei duomenų importuotojas asmens duomenis tvarko tiesioginės rinkodaros tikslais, jis nutraukia duomenų tvarkymą tokiais tikslais, jei duomenų subjektas tam prieštarauja.

Duomenų importuotojas nepriima vien tik automatizuotu perduotų asmens duomenų tvarkymu pagrįsto sprendimo (toliau – automatizuotas sprendimas), dėl kurio duomenų subjektui kiltų teisinių pasekmių arba kuris jam darytų panašų didelį poveikį, nebent yra gautas aiškus duomenų subjekto sutikimas arba tai leidžiama daryti pagal paskirties valstybės teisės aktus, jei tokiuose teisės aktuose nustatytos tinkamos priemonės, kuriomis saugomos duomenų subjekto teisės ir teisėti interesai. Tokiu atveju duomenų importuotojas, prireikus bendradarbiaudamas su duomenų eksportuotoju:

i)	informuoja duomenų subjektą apie numatomą automatizuotą sprendimą, numatomas pasekmes ir logiką ir

ii)	įgyvendina tinkamas apsaugos priemones, bent jau suteikdamas duomenų subjektui galimybę užginčyti sprendimą, išreikšti savo nuomonę ir pasiekti, kad sprendimą peržiūrėtų žmogus.

e)	Jei duomenų subjekto prašymai yra neproporcingi, visų pirma dėl jų pasikartojančio turinio, duomenų importuotojas gali imti pagrįstą mokestį, atsižvelgdamas į prašymo įvykdymo administracines išlaidas, arba atsisakyti imtis veiksmų pagal prašymą.

f)	Duomenų importuotojas gali atsisakyti tenkinti duomenų subjekto prašymą, jei toks atsisakymas leidžiamas pagal paskirties valstybės teisės aktus ir yra būtinas bei proporcingas demokratinėje visuomenėje siekiant apsaugoti vieną iš Reglamento (ES) 2016/679 23 straipsnio 1 dalyje išvardytų tikslų.

g)	Jei duomenų importuotojas ketina atsisakyti patenkinti duomenų subjekto prašymą, jis informuoja duomenų subjektą apie atsisakymo priežastis ir galimybę pateikti skundą kompetentingai priežiūros institucijai ir (arba) pasinaudoti teisminėmis teisių gynimo priemonėmis.

ANTRAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų tvarkytojui

a)	Duomenų importuotojas nedelsdamas praneša duomenų eksportuotojui apie bet kokį iš duomenų subjekto gautą prašymą. Jis pats į tokį prašymą neatsako, nebent duomenų eksportuotojas jam leido tai daryti.

Duomenų importuotojas padeda duomenų eksportuotojui vykdyti jo prievoles atsakyti į duomenų subjektų prašymus pasinaudoti savo teisėmis pagal Reglamentą (ES) 2016/679. Šiuo atžvilgiu šalys II priede, atsižvelgdamos į duomenų tvarkymo pobūdį, nustato atitinkamas technines ir organizacines priemones, kuriomis teikiama pagalba, taip pat reikiamos pagalbos apimtį ir mastą.

c)	Duomenų importuotojas, vykdydamas a ir b punktuose nustatytas prievoles, laikosi duomenų eksportuotojo nurodymų.

TREČIAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų tvarkytojui

a)	Duomenų importuotojas nedelsdamas praneša duomenų eksportuotojui ir, kai tinkama, duomenų valdytojui apie bet kokį iš duomenų subjekto gautą prašymą, pats į tokį prašymą neatsakydamas, nebent duomenų valdytojas jam leido tai daryti.

Duomenų importuotojas, kai tinkama bendradarbiaudamas su duomenų eksportuotoju, padeda duomenų valdytojui vykdyti jo prievoles atsakyti į duomenų subjektų prašymus pasinaudoti savo teisėmis pagal Reglamentą (ES) 2016/679 arba Reglamentą (ES) 2018/1725. Šiuo atžvilgiu šalys II priede, atsižvelgdamos į duomenų tvarkymo pobūdį, nustato atitinkamas technines ir organizacines priemones, kuriomis teikiama pagalba, taip pat reikiamos pagalbos apimtį ir mastą.

c)	Duomenų importuotojas, vykdydamas a ir b punktuose nustatytas prievoles, laikosi duomenų valdytojo nurodymų, kuriuos jam perdavė duomenų eksportuotojas.

KETVIRTAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų valdytojui

Šalys padeda viena kitai atsakyti į duomenų subjektų pateiktas užklausas ir prašymus pagal duomenų importuotojui taikomą vietos teisę arba, kai duomenis tvarko duomenų eksportuotojas ES, pagal Reglamentą (ES) 2016/679.

11 sąlyga

Teisių gynimas

Duomenų importuotojas skaidriai ir lengvai prieinamu formatu atskiru pranešimu arba savo svetainėje informuoja duomenų subjektus apie kontaktinį asmenį, įgaliotą nagrinėti skundus. Jis nedelsdamas nagrinėja visus iš duomenų subjekto gautus skundus.

[VARIANTAS: Duomenų importuotojas sutinka, kad duomenų subjektai taip pat gali nemokamai pateikti skundą nepriklausomai ginčų sprendimo institucijai (11). Jis a punkte nurodytu būdu informuoja duomenų subjektus apie tokį teisių gynimo mechanizmą ir apie tai, kad jie neprivalo juo naudotis ar laikytis tam tikros sekos, kai siekia ginti savo teises].

PIRMAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų valdytojui

ANTRAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų tvarkytojui

TREČIAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų tvarkytojui

b)	Kilus duomenų subjekto ir vienos iš šalių ginčui dėl šių sąlygų laikymosi, ta šalis deda visas pastangas, kad klausimas būtų taikiai išspręstas laiku. Šalys informuoja viena kitą apie tokius ginčus ir, prireikus, bendradarbiauja juos sprendžiant.

Kai duomenų subjektas remiasi trečiosios šalies naudos gavėjos teise pagal 3 sąlygą, duomenų importuotojas sutinka su duomenų subjekto sprendimu:

i)	pateikti skundą savo nuolatinės gyvenamosios vietos ar darbo vietos valstybės narės priežiūros institucijai arba kompetentingai priežiūros institucijai pagal 13 sąlygą;

ii)	perduoti ginčą nagrinėti kompetentingiems teismams pagal 18 sąlygą.

d)	Šalys sutinka, kad duomenų subjektui gali atstovauti ne pelno įstaiga, organizacija ar asociacija Reglamento (ES) 2016/679 80 straipsnio 1 dalyje nustatytomis sąlygomis.

e)	Duomenų importuotojas laikosi sprendimo, kuris yra privalomas pagal taikytiną ES arba valstybės narės teisę.

f)	Duomenų importuotojas sutinka, kad duomenų subjekto pasirinkimas neturės poveikio jo materialinėms ir procesinėms teisėms siekti teisių gynimo pagal taikytinus teisės aktus.

12 sąlyga

Atsakomybė

PIRMAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų valdytojui

KETVIRTAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų valdytojui

a)	Kiekviena šalis yra atsakinga kitai šaliai (-ims) už bet kokią žalą, kurią ji padaro kitai šaliai (-ims) dėl bet kokio šių sąlygų pažeidimo.

Kiekviena šalis yra atsakinga duomenų subjektui, o duomenų subjektas turi teisę gauti bet kokios turtinės ar neturtinės žalos, kurią šalis padaro duomenų subjektui pažeisdama trečiosios šalies naudos gavėjos teises pagal šias sąlygas, kompensaciją. Tai nedaro poveikio duomenų eksportuotojo atsakomybei pagal Reglamentą (ES) 2016/679.

c)	Jei už žalą, padarytą duomenų subjektui dėl šių sąlygų pažeidimo, atsako daugiau nei viena šalis, visos atsakingos šalys atsako solidariai, o duomenų subjektas turi teisę pareikšti ieškinį teisme bet kuriai iš šių šalių.

d)	Šalys susitaria, kad, jei viena šalis laikoma atsakinga pagal c punktą, ji turi teisę reikalauti, kad kita (-os) šalis (-ys) grąžintų kompensacijos dalį, atitinkančią jos (jų) atsakomybę už žalą.

e)	Duomenų importuotojas negali remtis duomenų tvarkytojo ar pagalbinio duomenų tvarkytojo elgesiu, kad išvengtų atsakomybės.

ANTRAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų tvarkytojui

TREČIAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų tvarkytojui

a)	Kiekviena šalis yra atsakinga kitai šaliai (-ims) už bet kokią žalą, kurią ji padaro kitai šaliai (-ims) dėl bet kokio šių sąlygų pažeidimo.

Duomenų importuotojas yra atsakingas duomenų subjektui, o duomenų subjektas turi teisę gauti bet kokios turtinės ar neturtinės žalos, kurią duomenų importuotojas arba jo pagalbinis duomenų tvarkytojas padaro duomenų subjektui pažeisdamas trečiosios šalies naudos gavėjos teises pagal šias sąlygas, kompensaciją.

Nepaisant b punkto, duomenų eksportuotojas yra atsakingas duomenų subjektui, o duomenų subjektas turi teisę gauti bet kokios turtinės ar neturtinės žalos, kurią duomenų eksportuotojas arba duomenų importuotojas (ar jo pagalbinis duomenų tvarkytojas) padaro duomenų subjektui pažeisdamas trečiosios šalies naudos gavėjos teises pagal šias sąlygas, kompensaciją. Tai nedaro poveikio duomenų eksportuotojo atsakomybei ir, kai duomenų eksportuotojas yra duomenų tvarkytojas, veikiantis duomenų valdytojo vardu, duomenų valdytojo atsakomybei pagal Reglamentą (ES) 2016/679 arba Reglamentą (ES) 2018/1725.

d)	Šalys susitaria, kad, jei duomenų eksportuotojas laikomas atsakingu pagal c punktą už duomenų importuotojo (arba jo pagalbinio duomenų tvarkytojo) padarytą žalą, jis turi teisę reikalauti, kad duomenų importuotojas grąžintų kompensacijos dalį, atitinkančią duomenų importuotojo atsakomybę už žalą.

e)	Jei už žalą, padarytą duomenų subjektui dėl šių sąlygų pažeidimo, atsako daugiau nei viena šalis, visos atsakingos šalys atsako solidariai, o duomenų subjektas turi teisę pareikšti ieškinį teisme bet kuriai iš šių šalių.

f)	Šalys susitaria, kad, jei viena šalis laikoma atsakinga pagal e punktą, ji turi teisę reikalauti, kad kita (-os) šalis (-ys) grąžintų kompensacijos dalį, atitinkančią jos (jų) atsakomybę už žalą.

g)	Duomenų importuotojas negali remtis pagalbinio duomenų tvarkytojo elgesiu, kad išvengtų atsakomybės.

13 sąlyga

Priežiūra

PIRMAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų valdytojui

ANTRAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų tvarkytojui

TREČIAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų tvarkytojui

[Kai duomenų eksportuotojas yra įsisteigęs ES valstybėje narėje:] Priežiūros institucija, turinti užtikrinti, kad duomenų eksportuotojas laikytųsi Reglamento (ES) 2016/679 reikalavimų, taikomų duomenų perdavimui, nurodyta I priedo C skyriuje, yra kompetentinga priežiūros institucija.

[Jei duomenų eksportuotojas nėra įsisteigęs ES valstybėje narėje, tačiau patenka į Reglamento (ES) 2016/679 teritorinę taikymo sritį pagal jo 3 straipsnio 2 dalį ir yra paskyręs atstovą pagal Reglamento (ES) 2016/679 27 straipsnio 1 dalį:] Valstybės narės, kurioje įsisteigęs atstovas pagal Reglamento (ES) 2016/679 27 straipsnio 1 dalį, priežiūros institucija, nurodyta I priedo C skyriuje, yra kompetentinga priežiūros institucija.

[Jei duomenų eksportuotojas nėra įsisteigęs ES valstybėje narėje, tačiau patenka į Reglamento (ES) 2016/679 teritorinę taikymo sritį pagal jo 3 straipsnio 2 dalį, bet neprivalo paskirti atstovo pagal Reglamento (ES) 2016/679 27 straipsnio 2 dalį:] Vienos iš valstybių narių, kurioje yra duomenų subjektai, kurių asmens duomenys perduodami pagal šias sąlygas jiems siūlant prekes ar paslaugas arba kurių elgesys yra stebimas, priežiūros institucija, nurodyta I priedo C skyriuje, yra kompetentinga priežiūros institucija.

Duomenų importuotojas sutinka pripažinti kompetentingos priežiūros institucijos jurisdikciją ir bendradarbiauti su ja atliekant bet kokias procedūras, kuriomis siekiama užtikrinti šių sąlygų laikymąsi. Visų pirma, duomenų importuotojas sutinka atsakyti į užklausas, leisti atlikti auditą ir laikytis priežiūros institucijos priimtų priemonių, įskaitant taisomąsias ir kompensacines priemones. Jis pateikia priežiūros institucijai rašytinį patvirtinimą, kad buvo imtasi būtinų veiksmų.

III SKIRSNIS. VIETOS TEISĖS AKTAI IR PRIEVOLĖS VALDŽIOS INSTITUCIJŲ PRIEIGOS ATVEJU

14 sąlyga

Vietos teisės aktai ir praktika, turintys įtakos sąlygų laikymuisi

PIRMAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų valdytojui

ANTRAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų tvarkytojui

TREČIAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų tvarkytojui

KETVIRTAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų valdytojui (kai ES duomenų tvarkytojas derina iš duomenų valdytojo trečiojoje valstybėje gautus asmens duomenis su duomenų tvarkytojo ES surinktais asmens duomenimis)

Šalys garantuoja, kad neturi pagrindo manyti, jog paskirties trečiosios valstybės įstatymai ir praktika, taikomi duomenų importuotojo atliekamam asmens duomenų tvarkymui, įskaitant bet kokius reikalavimus atskleisti asmens duomenis arba priemones, kuriomis valdžios institucijoms suteikiama prieiga, trukdo duomenų importuotojui vykdyti jo prievoles pagal šias sąlygas. Tai grindžiama nuostata, kad teisės aktai ir praktika, kuriais paisoma pagrindinių teisių ir laisvių esmės ir kuriais neviršijama tai, kas būtina ir proporcinga demokratinėje visuomenėje siekiant apsaugoti vieną iš Reglamento (ES) 2016/679 23 straipsnio 1 dalyje išvardytų tikslų, neprieštarauja standartinėms sutarčių sąlygoms.

Šalys pareiškia, kad, teikdamos a punkte nurodytą garantiją, jos tinkamai atsižvelgė visų pirma į šią informaciją:

konkrečias perdavimo aplinkybes, įskaitant duomenų tvarkymo grandinės ilgį, dalyvaujančių subjektų skaičių ir naudojamus perdavimo kanalus; numatytą atlikti tolesnį perdavimą; gavėjo rūšį; duomenų tvarkymo tikslą; perduodamų asmens duomenų kategorijas ir formatą; ekonomikos sektorių, kuriame vyksta duomenų perdavimas; perduotų duomenų saugojimo vietą;

ii)

paskirties trečiosios valstybės teisės aktus ir praktiką, įskaitant tuos, pagal kuriuos reikalaujama atskleisti duomenis valdžios institucijoms arba tokioms institucijoms suteikiama prieiga, kurie yra svarbūs atsižvelgiant į konkrečias duomenų perdavimo aplinkybes, ir taikomus apribojimus bei apsaugos priemones (12);

iii)	visas atitinkamas sutartines, technines ar organizacines apsaugos priemones, taikomas siekiant papildyti šiose sąlygose numatytas apsaugos priemones, įskaitant priemones, taikomas perduodant ir tvarkant asmens duomenis paskirties valstybėje.

c)	Duomenų importuotojas garantuoja, kad, atlikdamas vertinimą pagal b punktą, jis dėjo visas pastangas, kad duomenų eksportuotojui pateiktų atitinkamą informaciją, ir sutinka toliau bendradarbiauti su duomenų eksportuotoju, kad būtų užtikrintas šių sąlygų laikymasis.

d)	Šalys susitaria dokumentais įforminti vertinimą pagal b punktą ir, kompetentingos priežiūros institucijos prašymu, jai juos pateikti.

Duomenų importuotojas sutinka nedelsdamas informuoti duomenų eksportuotoją, jei po to, kai susitarė dėl šių sąlygų, ir sutarties galiojimo laikotarpiu turi pagrindo manyti, kad jam taikomi arba pradėti taikyti teisės aktai ar praktika, kurie neatitinka a punkto reikalavimų, įskaitant pasikeitus trečiosios valstybės teisės aktams ar priemonei (pavyzdžiui, prašymą atskleisti informaciją), iš kurių matyti, kad tokie teisės aktai praktikoje taikomi nesilaikant a punkto reikalavimų. [Trečias modulis. Duomenų eksportuotojas persiunčia pranešimą duomenų valdytojui.]

Gavęs pranešimą pagal e punktą arba jei duomenų eksportuotojas turi pagrindo manyti, kad duomenų importuotojas nebegali vykdyti savo prievolių pagal šias sąlygas, duomenų eksportuotojas nedelsdamas nustato tinkamas priemones (pvz., technines ar organizacines priemones saugumui ir konfidencialumui užtikrinti), kurias duomenų eksportuotojas ir (arba) duomenų importuotojas turi priimti susidariusiomis aplinkybėmis [trečias modulis –, prireikus konsultuojantis su duomenų valdytoju]. Duomenų eksportuotojas sustabdo duomenų perdavimą, jei mano, kad negalima užtikrinti tinkamų tokio perdavimo apsaugos priemonių, arba jei [trečias modulis – duomenų valdytojas arba] kompetentinga priežiūros institucija jam nurodė tai padaryti. Tokiu atveju duomenų eksportuotojas turi teisę nutraukti sutartį, kiek ji susijusi su asmens duomenų tvarkymu pagal šias sąlygas. Jei sutartį yra sudariusios daugiau nei dvi šalys, duomenų eksportuotojas gali pasinaudoti šia teise nutraukti sutartį tik atitinkamos šalies atžvilgiu, nebent šalys susitarė kitaip. Kai sutartis nutraukiama pagal šią sąlygą, taikomi 16 sąlygos d ir e punktai.

15 sąlyga

Duomenų importuotojo prievolės valdžios institucijų prieigos atveju

PIRMAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų valdytojui

ANTRAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų tvarkytojui

TREČIAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų tvarkytojui

15.1. Pranešimas

Duomenų importuotojas sutinka nedelsdamas informuoti duomenų eksportuotoją ir, jei įmanoma, duomenų subjektą (jei reikia, padedant duomenų eksportuotojui), jei:

gauna teisiškai privalomą valdžios institucijos, įskaitant teismines institucijas, prašymą pagal paskirties valstybės teisės aktus atskleisti pagal šias sąlygas perduotus asmens duomenis; tokiame pranešime pateikiama informacija apie prašomus asmens duomenis, prašymą pateikusią instituciją, prašymo teisinį pagrindą ir pateiktą atsakymą, arba

ii)	sužino apie bet kokią tiesioginę valdžios institucijų prieigą prie asmens duomenų, perduotų pagal šias sąlygas, pagal paskirties valstybės teisės aktus; tokiame pranešime pateikiama visa importuotojo turima informacija.

[Trečias modulis. Duomenų eksportuotojas persiunčia pranešimą duomenų valdytojui.]

Jei pagal paskirties valstybės teisės aktus duomenų importuotojui draudžiama informuoti duomenų eksportuotoją ir (arba) duomenų subjektą, duomenų importuotojas sutinka dėti visas pastangas, kad būtų atleistas nuo šio draudimo ir galėtų kuo greičiau pateikti kuo daugiau informacijos. Duomenų importuotojas sutinka dokumentais įforminti savo pastangas, kad galėtų jas įrodyti duomenų eksportuotojo prašymu.

Jei tai leidžiama pagal paskirties valstybės teisės aktus, duomenų importuotojas sutinka sutarties galiojimo laikotarpiu reguliariai teikti duomenų eksportuotojui kuo daugiau svarbios informacijos apie gautus prašymus (visų pirma prašymų skaičių, prašomų duomenų rūšį, prašymą teikiančią (-ias) instituciją (-as), ar prašymai buvo užginčyti ir tokio užginčijimo rezultatus ir pan.). [Trečias modulis. Duomenų eksportuotojas persiunčia informaciją duomenų valdytojui.]

d)	Duomenų importuotojas sutinka saugoti a–c punktuose nurodytą informaciją visą sutarties galiojimo laikotarpį ir, gavęs prašymą, pateikti ją kompetentingai priežiūros institucijai.

e)	a–c punktai nedaro poveikio duomenų importuotojo prievolei pagal 14 sąlygos e punktą ir 16 sąlygą nedelsiant informuoti duomenų eksportuotoją, jei jis negali laikytis šių sąlygų.

15.2. Teisėtumo ir duomenų kiekio mažinimo peržiūra

Duomenų importuotojas sutinka peržiūrėti prašymo atskleisti informaciją teisėtumą, visų pirma, ar juo neviršijami prašymą pateikusiai valdžios institucijai suteikti įgaliojimai, ir užginčyti prašymą, jei atlikęs išsamų vertinimą prieina prie išvados, kad yra pagrindo manyti, jog prašymas yra neteisėtas pagal paskirties valstybės teisės aktus, taikytinus tarptautinės teisės įsipareigojimus ir tarptautinio mandagumo principus. Duomenų importuotojas tokiomis pačiomis sąlygomis naudojasi galimybėmis apskųsti prašymą. Užginčydamas prašymą, duomenų importuotojas prašo taikyti laikinąsias priemones, kad būtų sustabdytas prašymo poveikis, kol kompetentinga teisminė institucija priims sprendimą dėl jo pagrįstumo. Jis neatskleidžia prašomų asmens duomenų tol, kol to nereikalaujama pagal galiojančias procedūrines taisykles. Šie reikalavimai neturi poveikio duomenų importuotojo prievolėms pagal 14 sąlygos e punktą.

Duomenų importuotojas sutinka dokumentais įforminti savo teisinį vertinimą ir bet kokį prašymo atskleisti informaciją užginčijimą ir, kiek tai leidžiama pagal paskirties valstybės teisės aktus, pateikti dokumentus duomenų eksportuotojui. Kompetentingos priežiūros institucijos prašymu, jis juos pateikia ir jai. [Trečias modulis. Duomenų eksportuotojas pateikia vertinimą duomenų valdytojui.]

c)	Duomenų importuotojas, atsakydamas į prašymą atskleisti informaciją, sutinka pateikti mažiausią leistiną informacijos kiekį, remiantis pagrįstu prašymo aiškinimu.

IV SKIRSNIS. BAIGIAMOSIOS NUOSTATOS

16 sąlyga

Sąlygų nesilaikymas ir sutarties nutraukimas

a)	Duomenų importuotojas nedelsdamas informuoja duomenų eksportuotoją, jei dėl kokių nors priežasčių negali laikytis šių sąlygų.

b)	Jei duomenų importuotojas pažeidžia šias sąlygas arba negali laikytis šių sąlygų, duomenų eksportuotojas laikinai sustabdo asmens duomenų perdavimą duomenų importuotojui, kol vėl bus užtikrintas jų laikymasis arba bus nutraukta sutartis. Tai nedaro poveikio 14 sąlygos f punktui.

Duomenų eksportuotojas turi teisę nutraukti sutartį tiek, kiek ji susijusi su asmens duomenų tvarkymu pagal šias sąlygas, jei:

i)	duomenų eksportuotojas sustabdė asmens duomenų perdavimą duomenų importuotojui pagal b punktą ir per pagrįstą laiką, o bet kuriuo atveju per vieną mėnesį nuo sustabdymo, nepradedama vėl laikytis šių sąlygų;

ii)	duomenų importuotojas iš esmės arba nuolat pažeidžia šias sąlygas arba

iii)	duomenų importuotojas nevykdo privalomo kompetentingo teismo ar priežiūros institucijos sprendimo dėl jo prievolių pagal šias sąlygas.

Tokiais atvejais jis informuoja kompetentingą priežiūros instituciją [trečias modulis – ir duomenų valdytoją] apie tokį nesilaikymą. Jei sutartį yra sudariusios daugiau nei dvi šalys, duomenų eksportuotojas gali pasinaudoti šia teise nutraukti sutartį tik atitinkamos šalies atžvilgiu, nebent šalys susitarė kitaip.

[Pirmas, antras ir trečias modulis. Asmens duomenys, kurie buvo perduoti iki sutarties nutraukimo pagal c punktą, duomenų eksportuotojo pasirinkimu nedelsiant grąžinami duomenų eksportuotojui arba visiškai ištrinami. Tas pats taikoma ir visoms duomenų kopijoms.] [Ketvirtas modulis. Duomenų eksportuotojo ES surinkti asmens duomenys, kurie buvo perduoti iki sutarties nutraukimo pagal c punktą, nedelsiant visiškai ištrinami, įskaitant visas jų kopijas.] Duomenų importuotojas patvirtina duomenų eksportuotojui, kad duomenys ištrinti. Kol duomenys neištrinami ar negrąžinami, duomenų importuotojas ir toliau užtikrina, kad būtų laikomasi šių sąlygų. Tuo atveju, jei pagal duomenų importuotojui taikomus vietos teisės aktus draudžiama grąžinti arba ištrinti perduotus asmens duomenis, duomenų importuotojas garantuoja, kad jis ir toliau užtikrins šių sąlygų laikymąsi ir tvarkys duomenis tik tokia apimtimi ir tiek laiko, kiek to reikia pagal tokią vietos teisę.

Bet kuri šalis gali atšaukti savo sutikimą laikytis šių sąlygų, jei i) Europos Komisija pagal Reglamento (ES) 2016/679 45 straipsnio 3 dalį priima sprendimą, apimantį asmens duomenų perdavimą, kuriam taikomos šios sąlygos, arba ii) Reglamentas (ES) 2016/679 tampa valstybės, į kurią perduodami asmens duomenys, teisinės sistemos dalimi. Tai nedaro poveikio kitoms prievolėms, kurios taikomos atitinkamam duomenų tvarkymui pagal Reglamentą (ES) 2016/679.

17 sąlyga

Taikoma teisė

PIRMAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų valdytojui

ANTRAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų tvarkytojui

TREČIAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų tvarkytojui

[1 VARIANTAS. Šioms sąlygoms taikoma vienos iš ES valstybių narių teisė su sąlyga, kad tokioje teisėje numatytos trečiosios šalies naudos gavėjos teisės. Šalys susitaria, kad tai yra _______ (nurodyti valstybę narę) teisė].

[2 VARIANTAS (skirtas antram ir trečiam moduliams): Šioms sąlygoms taikoma ES valstybės narės, kurioje įsisteigęs duomenų eksportuotojas, teisė. Jei tokioje teisėje nėra numatytos trečiosios šalies naudos gavėjos teisės, joms taikoma kitos ES valstybės narės teisė, kurioje numatytos trečiosios šalies naudos gavėjos teisės. Šalys susitaria, kad tai yra _______ (nurodyti valstybę narę) teisė].

KETVIRTAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų valdytojui

Šioms sąlygoms taikoma valstybės teisė, kurioje numatytos trečiosios šalies naudos gavėjos teisės. Šalys susitaria, kad tai yra _______ (nurodyti valstybę) teisė.

18 sąlyga

Teisinio reglamentavimo ir jurisdikcijos pasirinkimas

PIRMAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų valdytojui

ANTRAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų tvarkytojui

TREČIAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų tvarkytojui

a)	Bet koks ginčas, kylantis dėl šių sąlygų, sprendžiamas ES valstybės narės teismuose.

b)	Šalys susitaria, kad tai yra _____ (nurodyti valstybę narę) teismai.

c)	Duomenų subjektas taip pat gali pradėti teismo procesą prieš duomenų eksportuotoją ir (arba) duomenų importuotoją valstybės narės, kurioje yra jo nuolatinė gyvenamoji vieta, teismuose.

d)	Šalys susitaria pripažinti tokių teismų jurisdikciją.

KETVIRTAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų valdytojui

Bet koks ginčas, kylantis dėl šių sąlygų, sprendžiamas _____ (nurodyti valstybę) teismuose.

(1) Kai duomenų eksportuotojas yra duomenų tvarkytojas, kuriam taikomas Reglamentas (ES) 2016/679, veikiantis Sąjungos institucijos ar įstaigos, kuri yra duomenų valdytojas, vardu, naudojimasis šiomis sąlygomis pasitelkiant kitą duomenų tvarkytoją (pagalbinis duomenų tvarkymas), kuriam netaikomas Reglamentas (ES) 2016/679, taip pat užtikrina 2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamento (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB (OL L 295, 2018 11 21, p. 39), 29 straipsnio 4 dalies reikalavimų laikymąsi tiek, kiek yra suderintos šios sąlygos ir duomenų valdytojo ir duomenų tvarkytojo sudarytoje sutartyje ar kitame teisės akte pagal Reglamento (ES) 2018/1725 29 straipsnio 3 dalį nustatytos duomenų apsaugos prievolės. Tai visų pirma pasakytina apie atvejus, kai duomenų valdytojas ir duomenų tvarkytojas remiasi Sprendime 2021/915 nustatytomis standartinėmis sutarčių sąlygomis.

(2) Tam reikia duomenis anoniminti taip, kad niekas nebegalėtų nustatyti asmens tapatybės, kaip numatyta Reglamento (ES) 2016/679 26 konstatuojamojoje dalyje, ir kad šis procesas būtų negrįžtamas.

(3) Europos ekonominės erdvės susitarime (toliau – EEE susitarimas) nustatyta, kad Europos Sąjungos vidaus rinkos taisyklės galioja trijose EEE valstybėse: Islandijoje, Lichtenšteine ir Norvegijoje. Sąjungos duomenų apsaugos teisės aktai, įskaitant Reglamentą (ES) 2016/679, patenka į EEE susitarimo taikymo sritį ir yra įtraukti į to susitarimo XI priedą. Todėl bet koks duomenų importuotojo atliekamas duomenų atskleidimas EEE esančiai trečiajai šaliai nelaikomas tolesniu duomenų perdavimu pagal šias sąlygas.

(4) Europos ekonominės erdvės susitarime (toliau – EEE susitarimas) nustatyta, kad Europos Sąjungos vidaus rinkos taisyklės galioja trijose EEE valstybėse: Islandijoje, Lichtenšteine ir Norvegijoje. Sąjungos duomenų apsaugos teisės aktai, įskaitant Reglamentą (ES) 2016/679, patenka į EEE susitarimo taikymo sritį ir yra įtraukti į to susitarimo XI priedą. Todėl bet koks duomenų importuotojo atliekamas duomenų atskleidimas EEE esančiai trečiajai šaliai nelaikomas tolesniu duomenų perdavimu pagal šias sąlygas.

(5) Žr. Reglamento (ES) 2016/679 28 straipsnio 4 dalį, o kai duomenų valdytojas yra ES institucija ar įstaiga – Reglamento (ES) 2018/1725 29 straipsnio 4 dalį.

(6) Europos ekonominės erdvės susitarime (toliau – EEE susitarimas) nustatyta, kad Europos Sąjungos vidaus rinkos taisyklės galioja trijose EEE valstybėse: Islandijoje, Lichtenšteine ir Norvegijoje. Sąjungos duomenų apsaugos teisės aktai, įskaitant Reglamentą (ES) 2016/679, patenka į EEE susitarimo taikymo sritį ir yra įtraukti į to susitarimo XI priedą. Todėl bet koks duomenų importuotojo atliekamas duomenų atskleidimas EEE esančiai trečiajai šaliai nelaikomas tolesniu duomenų perdavimu pagal šias sąlygas.

(7) Kai perduodami ir toliau tvarkomi asmens duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, genetiniai duomenys ar biometriniai duomenys, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenys arba duomenys apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją ar duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas.

(8) Šis reikalavimas gali būti įvykdytas pagalbiniam duomenų tvarkytojui prisijungus prie šių sąlygų pagal atitinkamą modulį, kaip numatyta pagal 7 sąlygą.

(9) Šis reikalavimas gali būti įvykdytas pagalbiniam duomenų tvarkytojui prisijungus prie šių sąlygų pagal atitinkamą modulį, kaip numatyta pagal 7 sąlygą.

(10) Tas laikotarpis gali būti pratęstas ne ilgiau kaip dar dviem mėnesiams, kiek tai būtina atsižvelgiant į prašymų sudėtingumą ir skaičių. Duomenų importuotojas tinkamai ir nedelsdamas informuoja duomenų subjektą apie bet kokį tokį pratęsimą.

(11) Duomenų importuotojas gali siūlyti nepriklausomą ginčų sprendimą arbitražo institucijoje tik tuo atveju, jei jis įsisteigęs valstybėje, kuri yra ratifikavusi Niujorko konvenciją dėl arbitražo sprendimų vykdymo.

(12) Dėl tokių teisės aktų ir praktikos poveikio šių sąlygų laikymuisi, atliekant bendrą vertinimą gali būti atsižvelgiama į skirtingą informaciją. Tokiai informacijai gali būti priskiriama atitinkama ir dokumentais pagrįsta praktinė patirtis, įgyta anksčiau gavus valdžios institucijų prašymus atskleisti informaciją, arba tokių prašymų nebuvimas, apimantis pakankamai reprezentatyvų laikotarpį. Tai visų pirma susiję su vidaus įrašais ar kitais dokumentais, nuolat rengiamais laikantis išsamaus patikrinimo reikalavimų ir patvirtintais vyresniosios vadovybės lygmeniu, jei šia informacija galima teisėtai dalytis su trečiosiomis šalimis. Kai remiantis šia praktine patirtimi daroma išvada, kad duomenų importuotojui nebus trukdoma laikytis šių sąlygų, ji turi būti pagrįsta kita svarbia objektyvia informacija, o šalys turi atidžiai apsvarstyti, ar visos šios informacijos pakanka šiai išvadai pagrįsti, atsižvelgiant į jos patikimumą ir reprezentatyvumą. Visų pirma, šalys turi atsižvelgti į tai, ar jų praktinę patirtį patvirtina ir ar jai neprieštarauja vieša ar kitaip prieinama patikima informacija apie prašymų buvimą ar nebuvimą tame pačiame sektoriuje ir (arba) teisės taikymą praktikoje, pavyzdžiui, teismų praktika ir nepriklausomų priežiūros institucijų ataskaitos.

PRIEDĖLIS

PAAIŠKINIMAS

Turi būti įmanoma aiškiai atskirti informaciją, taikomą kiekvienam duomenų perdavimui ar perdavimo kategorijai, ir šiuo atžvilgiu nustatyti atitinkamą (-as) šalių funkciją (-as) – duomenų eksportuotojo (-ų) ir (arba) duomenų importuotojo (-ų). Tam nebūtinai reikia pildyti ir pasirašyti atskirus priedėlius dėl kiekvieno duomenų perdavimo, duomenų perdavimo kategorijos ir (arba) sutartinių santykių, jei šį skaidrumą galima užtikrinti vienu priedėliu. Vis dėlto, kai būtina užtikrinti pakankamą aiškumą, reikėtų naudoti atskirus priedėlius.

I PRIEDAS

A. ŠALIŲ SĄRAŠAS

PIRMAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų valdytojui

ANTRAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų tvarkytojui

TREČIAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų tvarkytojui

KETVIRTAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų valdytojui

Duomenų eksportuotojas (-ai): [duomenų eksportuotojo (-ų) ir, jei taikoma, jo (-ų) duomenų apsaugos pareigūno ir (arba) atstovo Europos Sąjungoje tapatybė ir kontaktiniai duomenys]

Pavadinimas: …

Adresas: …

Kontaktinio asmens vardas ir pavardė, pareigos ir kontaktiniai duomenys: …

Veikla, susijusi su duomenų perdavimu pagal šias sąlygas: …

Parašas ir data: …

Funkcija (duomenų valdytojas/duomenų tvarkytojas) …

…

Duomenų importuotojas (-ai): [duomenų importuotojo (-ų) tapatybė ir kontaktiniai duomenys, įskaitant kontaktinį asmenį, atsakingą už duomenų apsaugą]

Pavadinimas: …

Adresas: …

Kontaktinio asmens vardas ir pavardė, pareigos ir kontaktiniai duomenys: …

Veikla, susijusi su duomenų perdavimu pagal šias sąlygas: …

Parašas ir data: …

Funkcija (duomenų valdytojas/duomenų tvarkytojas) …

…

B. PERDAVIMO APRAŠYMAS

PIRMAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų valdytojui

ANTRAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų tvarkytojui

TREČIAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų tvarkytojui

KETVIRTAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų valdytojui

Duomenų subjektų, kurių asmens duomenys perduodami, kategorijos

…

Perduodamų asmens duomenų kategorijos

…

Perduodami neskelbtini duomenys (jei taikoma) ir taikomi apribojimai arba apsaugos priemonės, kuriais visapusiškai atsižvelgiama į duomenų pobūdį ir susijusius pavojus, pavyzdžiui, griežtas tikslo apribojimas, prieigos apribojimai (įskaitant prieigą tik specialius mokymus baigusiems darbuotojams), prieigos prie duomenų registravimas, tolesnio perdavimo apribojimai arba papildomos apsaugos priemonės.

…

Perdavimo dažnumas (pvz., ar duomenys perduodami vieną kartą, ar nuolat).

…

Tvarkymo pobūdis

…

Duomenų perdavimo tikslas (-ai) ir tolesnis tvarkymas

…

Asmens duomenų saugojimo laikotarpis arba, jei tai neįmanoma, kriterijai, taikomi tam laikotarpiui nustatyti

…

Jeigu perduodama (pagalbiniams) duomenų tvarkytojams, taip pat nurodyti tvarkymo dalyką, pobūdį ir trukmę

…

C. KOMPETENTINGA PRIEŽIŪROS INSTITUCIJA

PIRMAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų valdytojui

ANTRAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų tvarkytojui

TREČIAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų tvarkytojui

Nurodykite kompetentingą (-as) priežiūros instituciją (-as) pagal 13 sąlygą

…

II PRIEDAS

TECHNINĖS IR ORGANIZACINĖS PRIEMONĖS, ĮSKAITANT TECHNINES IR ORGANIZACINES PRIEMONES DUOMENŲ SAUGUMUI UŽTIKRINTI

PIRMAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų valdytojui

ANTRAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų tvarkytojui

TREČIAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų tvarkytojui

PAAIŠKINIMAS.

Techninės ir organizacinės priemonės turi būti aprašytos konkrečiai (o ne bendrai). Taip pat žr. bendrą pastabą pirmame priedėlio puslapyje, ypač dėl būtinybės aiškiai nurodyti, kurios priemonės taikomos kiekvienam perdavimui ir (arba) perdavimų sekai.

Duomenų importuotojo (-ų) įgyvendintų techninių ir organizacinių priemonių (įskaitant atitinkamą sertifikavimą), kuriomis užtikrinamas tinkamas saugumo lygis, atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslą, taip pat pavojų fizinių asmenų teisėms ir laisvėms, aprašymas.

[Galimų priemonių pavyzdžiai:

Pseudonimų suteikimo asmens duomenims ir jų šifravimo priemonės

Nuolatinio duomenų tvarkymo sistemų ir paslaugų konfidencialumo, vientisumo, prieinamumo ir atsparumo užtikrinimo priemonės

Priemonės, užtikrinančios gebėjimą laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju

Reguliarų techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesai

Naudotojo tapatybės nustatymo ir leidimo suteikimo priemonės

Duomenų apsaugos priemonės, taikomos perduodant duomenis

Duomenų apsaugos priemonės, taikomos saugant duomenis

Vietų, kuriose tvarkomi asmens duomenys, fizinio saugumo užtikrinimo priemonės

Priemonės, užtikrinančios įvykių registravimą

Sistemos konfigūracijos, įskaitant numatytąją konfigūraciją, užtikrinimo priemonės

IT ir IT saugumo vidaus valdymo ir administravimo priemonės

Procesų ir produktų sertifikavimo/užtikrinimo priemonės

Duomenų kiekio mažinimo užtikrinimo priemonės

Duomenų kokybės užtikrinimo priemonės

Riboto duomenų saugojimo užtikrinimo priemonės

Atskaitomybės užtikrinimo priemonės

Duomenų perkeliamumo ir ištrynimo užtikrinimo priemonės]

Perduodant duomenis (pagalbiniams) duomenų tvarkytojams, taip pat aprašykite konkrečias technines ir organizacines priemones, kurių turi imtis (pagalbinis) duomenų tvarkytojas, kad galėtų teikti pagalbą duomenų valdytojui, o kai duomenis duomenų tvarkytojas perduoda pagalbiniam duomenų tvarkytojui – duomenų eksportuotojui

III PRIEDAS

PAGALBINIŲ DUOMENŲ TVARKYTOJŲ SĄRAŠAS

ANTRAS MODULIS. Duomenų valdytojo atliekamas perdavimas duomenų tvarkytojui

TREČIAS MODULIS. Duomenų tvarkytojo atliekamas perdavimas duomenų tvarkytojui

PAAIŠKINIMAS.

Šis priedas turi būti pildomas pasirinkus antrą ir trečią modulius, kai pagalbiniams duomenų tvarkytojams suteikiamas konkretus leidimas (9 sąlygos a punktas, 1 variantas).

Duomenų valdytojas suteikė leidimą pasitelkti šiuos pagalbinius duomenų tvarkytojus:

Pavadinimas: …

Adresas: …

Kontaktinio asmens vardas ir pavardė, pareigos ir kontaktiniai duomenys: …

Tvarkymo aprašymas (įskaitant aiškų atsakomybės atskyrimą, jei leidimas suteiktas keliems pagalbiniams duomenų tvarkytojams): …

…

		ISSN 1977-0723
Europos Sąjungos oficialusis leidinys		L 199

Leidimas lietuvių kalba	Teisės aktai	64 metai 2021m. birželio 7d.

Turinys		II Ne teisėkūros procedūra priimami aktai	Puslapis
		REGLAMENTAI
	*	2021 m. gegužės 31 d. Komisijos įgyvendinimo reglamentas (ES) 2021/909 dėl tam tikrų prekių klasifikavimo Kombinuotojoje nomenklatūroje	1
	*	2021 m. gegužės 31 d. Komisijos įgyvendinimo reglamentas (ES) 2021/910 dėl tam tikrų prekių klasifikavimo Kombinuotojoje nomenklatūroje	4
	*	2021 m. gegužės 31 d. Komisijos įgyvendinimo reglamentas (ES) 2021/911 dėl tam tikrų prekių klasifikavimo Kombinuotojoje nomenklatūroje	7
	*	2021 m. birželio 4 d. Komisijos įgyvendinimo reglamentas (ES) 2021/912, kuriuo leidžiama pakeisti naujo maisto produkto lakto-N-neotetraozės (mikrobinio šaltinio) specifikacijas ir iš dalies keičiamas Įgyvendinimo reglamentas (ES) 2017/2470 ( 1 )	10
		SPRENDIMAI
	*	2021 m. birželio 3 d. Komisijos įgyvendinimo sprendimas (ES) 2021/913 dėl buitinių indaplovių darniųjų standartų, parengtų Reglamento (ES) 2019/2022 ir Deleguotojo reglamento (ES) 2019/2017 įgyvendinimui užtikrinti	13
	*	2021 m. birželio 4 d. Komisijos įgyvendinimo sprendimas (ES) 2021/915 dėl duomenų valdytojų ir duomenų tvarkytojų standartinių sutarčių sąlygų pagal Europos Parlamento ir Tarybos reglamento (ES) 2016/679 28 straipsnio 7 dalį ir Europos Parlamento ir Tarybos reglamento (ES) 2018/1725 29 straipsnio 7 dalį ( 1 )	18
	*	2021 m. birželio 4 d. Komisijos įgyvendinimo sprendimas (ES) 2021/914 dėl standartinių sutarčių sąlygų, kuriomis asmens duomenys perduodami į trečiąsias valstybes pagal Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 ( 1 )	31


	(1) Tekstas svarbus EEE.