7.6.2021   

MT

Il-Ġurnal Uffiċjali tal-Unjoni Ewropea

L 199/31


DEĊIŻJONI TA’ IMPLIMENTAZZJONI TAL-KUMMISSJONI (UE) 2021/914

tal-4 ta’ Ġunju 2021

dwar klawżoli kuntrattwali standard għat-trasferiment ta’ data personali lil pajjiżi terzi skont ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill

(Test b’rilevanza għaż-ŻEE)

IL-KUMMISSJONI EWROPEA,

Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,

Wara li kkunsidrat ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas-27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data) (1), u b’mod partikolari l-Artikolu 28(7) u l-Artikolu 46(2)(c) tiegħu,

Billi:

(1)

L-iżviluppi teknoloġiċi qed jiffaċilitaw il-flussi transfruntiera tad-data meħtieġa għall-espansjoni tal-kooperazzjoni internazzjonali u l-kummerċ internazzjonali. Fl-istess ħin, huwa meħtieġ li jiġi żgurat li l-livell ta’ protezzjoni tal-persuni fiżiċi ggarantit mir-Regolament (UE) 2016/679 ma jiġix imminat meta d-data personali tiġi ttrasferita lejn pajjiżi terzi, inkluż f’każijiet ta’ trasferimenti ulterjuri (2). Id-dispożizzjonijiet dwar it-trasferimenti tad-data fil-Kapitolu V tar-Regolament (UE) 2016/679 huma maħsuba biex jiżguraw il-kontinwità ta’ dak il-livell għoli ta’ protezzjoni meta d-data personali tiġi ttrasferita lil pajjiż terz (3).

(2)

Skont l-Artikolu 46(1) tar-Regolament (UE) 2016/679, fin-nuqqas ta’ deċiżjoni ta’ adegwatezza mill-Kummissjoni skont l-Artikolu 45(3), kontrollur jew proċessur jista’ jittrasferixxi data personali lil pajjiż terz biss jekk il-kontrollur jew il-proċessur ikun ipprovda salvagwardji xierqa, u bil-kundizzjoni li jkunu disponibbli drittijiet infurzabbli u rimedji legali effettivi għas-suġġetti tad-data. Dawn is-salvagwardji jistgħu jiġu pprovduti permezz ta’ klawżoli standard ta’ protezzjoni tad-data adottati mill-Kummissjoni skont l-Artikolu 46(2)(c).

(3)

Ir-rwol tal-klawżoli kuntrattwali standard huwa limitat biex jiġu żgurati salvagwardji xierqa tal-protezzjoni tad-data għat-trasferimenti internazzjonali tad-data. Għalhekk, il-kontrollur jew il-proċessur li jittrasferixxi d-data personali lil pajjiż terz jew (l-“esportatur tad-data”) u l-kontrollur jew il-proċessur li jirċievi d-data personali (l-“importatur tad-data”) huma liberi li jinkludu dawk il-klawżoli kuntrattwali standard f’kuntratt usa’, u li jżidu klawżoli jew salvagwardji addizzjonali oħra dment li dawn ma jikkontradixxux, direttament jew indirettament, il-klawżoli kuntrattwali standard jew ma jippreġudikawx id-drittijiet jew il-libertajiet fundamentali tas-suġġetti tad-data. Il-kontrolluri u l-proċessuri huma mħeġġa jipprovdu salvagwardji addizzjonali permezz ta’ impenji kuntrattwali li jissupplimentaw il-klawżoli kuntrattwali standard (4). L-użu tal-klawżoli kuntrattwali standard hija mingħajr preġudizzju għal kwalunkwe obbligu kuntrattwali tal-esportatur u/jew tal-importatur tad-data li jiżgura r-rispett tal-privileġġi u l-immunitajiet applikabbli.

(4)

Minbarra li juża klawżoli kuntrattwali standard biex jipprovdi salvagwardji xierqa għat-trasferimenti skont l-Artikolu 46(1) tar-Regolament (UE) 2016/679, l-esportatur tad-data għandu jissodisfa r-responsabbiltajiet ġenerali tiegħu bħala kontrollur jew proċessur skont ir-Regolament (UE) 2016/679. Dawk ir-responsabbiltajiet jinkludu l-obbligu tal-kontrollur li jipprovdi lis-suġġetti tad-data b’informazzjoni dwar il-fatt li jkun beħsiebu jittrasferixxi data personali lil pajjiż terz f’konformità mal-Artikolu 13(1)(f) u l-Artikolu 14(1)(f) tar-Regolament (UE) 2016/679. Fil-każ tat-trasferimenti msemmija fl-Artikolu 46 tar-Regolament (UE) 2016/679, din l-informazzjoni trid tinkludi referenza għas-salvagwardji xierqa u l-mezzi li bihom tinkiseb kopja tagħhom jew informazzjoni fejn ikunu saru disponibbli.

(5)

Id-Deċiżjonijiet tal-Kummissjoni 2001/497/KE (5) u 2010/87/UE (6) fihom klawżoli kuntrattwali standard biex jiffaċilitaw it-trasferiment ta’ data personali minn kontrollur tad-data stabbilit fl-Unjoni għal kontrollur jew proċessur stabbilit f’pajjiż terz li ma joffrix livell adegwat ta’ protezzjoni. Dawk id-deċiżjonijiet kienu bbażati fuq id-Direttiva 95/46/KE tal-Parlament Ewropew u tal-Kunsill (7).

(6)

Skont l-Artikolu 46(5) tar-Regolament (UE) 2016/679, id-Deċiżjoni 2001/497/KE u d-Deċiżjoni 2010/87/UE jibqgħu fis-seħħ sakemm jiġu emendati, issostitwiti jew imħassra, jekk meħtieġ, b’deċiżjoni tal-Kummissjoni adottata skont l-Artikolu 46(2) ta’ dak ir-Regolament. Il-klawżoli kuntrattwali standard fid-deċiżjonijiet kienu jeħtieġu aġġornament fid-dawl tar-rekwiżiti l-ġodda fir-Regolament (UE) 2016/679. Barra minn hekk, minn mindu ġew adottati d-deċiżjonijiet, l-ekonomija diġitali rat żviluppi sinifikanti, bl-użu mifrux ta’ operazzjonijiet ta’ pproċessar ġodda u aktar kumplessi li spiss jinvolvu diversi importaturi u esportaturi tad-data, ktajjen tal-ipproċessar twal u kumplessi, u relazzjonijiet kummerċjali li qed jevolvu. Dan jitlob modernizzazzjoni tal-klawżoli kuntrattwali standard biex jirriflettu aħjar dawk ir-realtajiet, billi jkopru sitwazzjonijiet addizzjonali ta’ pproċessar u trasferiment, u biex jippermettu approċċ aktar flessibbli, pereżempju fir-rigward tan-numru ta’ partijiet li jistgħu jingħaqdu mal-kuntratt.

(7)

Kontrollur jew proċessur jista’ juża l-klawżoli kuntrattwali standard stabbiliti fl-Anness ta’ din id-Deċiżjoni biex jipprovdi salvagwardji xierqa skont it-tifsira tal-Artikolu 46(1) tar-Regolament (UE) 2016/679 għat-trasferiment ta’ data personali lil proċessur jew kontrollur stabbilit f’pajjiż terz, mingħajr preġudizzju għall-interpretazzjoni tal-kunċett ta’ trasferiment internazzjonali fir-Regolament (UE) 2016/679. Il-klawżoli kuntrattwali standard jistgħu jintużaw għal trasferimenti bħal dawn biss sa fejn l-ipproċessar mill-importatur ma jaqax fil-kamp ta’ applikazzjoni tar-Regolament (UE) 2016/679. Dan jinkludi wkoll it-trasferiment ta’ data personali minn kontrollur jew proċessur mhux stabbilit fl-Unjoni, sal-punt li l-ipproċessar ikun soġġett għar-Regolament (UE) 2016/679 (skont l-Artikolu 3(2) tiegħu), minħabba li jkun relatat mal-offerta ta’ prodotti jew servizzi lil suġġetti tad-data fl-Unjoni jew mal-monitoraġġ tal-imġiba tagħhom tagħhom safejn isseħħ fl-Unjoni.

(8)

Minħabba l-allinjament ġenerali tar-Regolament (UE) 2016/679 u r-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill (8), jenħtieġ li jkun possibbli li jintużaw il-klawżoli kuntrattwali standard ukoll fil-kuntest ta’ kuntratt, kif imsemmi fl-Artikolu 29(4) tar-Regolament (UE) 2018/1725 għat-trasferiment ta’ data personali lil sottoproċessur f’pajjiż terz minn proċessur li mhuwiex istituzzjoni jew korp tal-Unjoni, iżda li huwa soġġett għar-Regolament (UE) 2016/679 u li jipproċessa data personali f’isem istituzzjoni jew korp tal-Unjoni skont l-Artikolu 29 tar-Regolament (UE) 2018/1725. Sakemm il-kuntratt jirrifletti l-istess obbligi ta’ protezzjoni tad-data kif stabbiliti fil-kuntratt jew f’att legali ieħor bejn il-kontrollur u l-proċessur skont l-Artikolu 29(3) tar-Regolament (UE) 2018/1725, b’mod partikolari billi jipprovdi garanziji suffiċjenti għal miżuri tekniċi u organizzattivi biex jiżgura li l-ipproċessar jissodisfa r-rekwiżiti ta’ dak ir-Regolament, dan jiżgura konformità mal-Artikolu 29(4) tar-Regolament (UE) 2018/1725. B’mod partikolari, dan ikun il-każ meta l-kontrollur u l-proċessur jużaw il-klawżoli kuntrattwali standard fid-Deċiżjoni ta’ Implimentazzjoni tal-Kummissjoni dwar klawżoli kuntrattwali standard bejn il-kontrolluri u l-proċessuri skont l-Artikolu 28(7) tar-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill u l-Artikolu 29(7) tar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill (9).

(9)

Meta l-ipproċessar jinvolvi trasferimenti ta’ data minn kontrolluri soġġetti għar-Regolament (UE) 2016/679 lil proċessuri barra mill-kamp ta’ applikazzjoni territorjali tiegħu jew minn proċessuri soġġetti għar-Regolament (UE) 2016/679 lil sottoproċessuri barra mill-kamp ta’ applikazzjoni territorjali tiegħu, jenħtieġ li l-klawżoli kuntrattwali standard stabbiliti fl-Anness ta’ din id-Deċiżjoni jippermettu wkoll li jiġu ssodisfati r-rekwiżiti tal-Artikolu 28(3) u (4) tar-Regolament (UE) 2016/679.

(10)

Il-klawżoli kuntrattwali standard stabbiliti fl-Anness ta’ din id-Deċiżjoni jikkombinaw klawżoli ġenerali ma’ approċċ modulari biex jiġu indirizzati diversi xenarji ta’ trasferiment u l-kumplessità ta’ ktajjen moderni tal-ipproċessar. Minbarra l-klawżoli ġenerali, jenħtieġ li l-kontrolluri u l-proċessuri jagħżlu l-modulu applikabbli għas-sitwazzjoni tagħhom, sabiex ifasslu l-obbligi tagħhom skont il-klawżoli kuntrattwali standard apposta għar-rwol u r-responsabbiltajiet tagħhom fir-rigward tal-ipproċessar tad-data inkwistjoni. Jenħtieġ li jkun possibbli għal aktar minn żewġ partijiet li jaderixxu mal-klawżoli kuntrattwali standard. Barra minn hekk, jenħtieġ li kontrolluri u proċessuri addizzjonali jitħallew jaderixxu mal-klawżoli kuntrattwali standard bħala esportaturi jew importaturi tad-data matul iċ-ċiklu tal-ħajja tal-kuntratt li huma jiffurmaw parti minnu.

(11)

Sabiex jiġu pprovduti salvagwardji xierqa, jenħtieġ li l-klawżoli kuntrattwali standard jiżguraw li d-data personali trasferita fuq dik il-bażi tingħata livell ta’ protezzjoni essenzjalment ekwivalenti għal dak li huwa garantit fl-Unjoni (10) Bil-għan li tiġi żgurata t-trasparenza tal-ipproċessar, jenħtieġ li s-suġġetti tad-data jiġu pprovduti b’kopja tal-klawżoli kuntrattwali standard u jiġu infurmati, b’mod partikolari, dwar il-kategoriji ta’ data personali pproċessata, id-dritt li jiksbu kopja tal-klawżoli kuntrattwali standard u kwalunkwe trasferiment ulterjuri. Jenħtieġ li trasferimenti ulterjuri mill-importatur tad-data lil parti terza f’pajjiż terz ieħor ikunu permessi biss jekk il-parti terza taderixxi mal-klawżoli kuntrattwali standard, jekk il-kontinwità tal-protezzjoni tkun żgurata mod ieħor jew f’sitwazzjonijiet speċifiċi, bħal fil-każ tal-kunsens espliċitu u infurmat tas-suġġett tad-data.

(12)

B’xi eċċezzjonijiet, b’mod partikolari fir-rigward ta’ ċerti obbligi li jikkonċernaw esklussivament ir-relazzjoni bejn l-esportatur tad-data u l-importatur tad-data, jenħtieġ li s-suġġetti tad-data jkunu jistgħu jinvokaw, u fejn meħtieġ jinfurzaw, il-klawżoli kuntrattwali standard bħala benefiċjarji ta’ partijiet terzi. Għalhekk, filwaqt li jenħtieġ li l-partijiet jitħallew jagħżlu l-liġi ta’ wieħed mill-Istati Membri bħala waħda li tirregola l-klawżoli kuntrattwali standard, dik il-liġi trid tippermetti drittijiet ta’ parti terza benefiċjarja. Sabiex jiġi ffaċilitat ir-rimedju individwali, jenħtieġ li l-klawżoli kuntrattwali standard jirrikjedu li l-importatur tad-data jinforma lis-suġġetti tad-data b’punt ta’ kuntatt u li jindirizza minnufih kwalunkwe lment jew talba. Fil-każ ta’ tilwima bejn l-importatur tad-data u suġġett tad-data li jinvoka d-drittijiet tiegħu bħala parti terza benefiċjarja, jenħtieġ li s-suġġett tad-data jkun jista’ jippreżenta lment lill-awtorità superviżorja kompetenti jew jirreferi t-tilwima lill-qrati kompetenti fl-UE.

(13)

Sabiex jiġi żgurat infurzar effettiv, jenħtieġ li l-importatur tad-data jkun meħtieġ jissottometti ruħu għall-ġuriżdizzjoni ta’ tali awtorità u qrati u jimpenja ruħu li jirrispetta kwalunkwe deċiżjoni vinkolanti skont il-liġi applikabbli tal-Istat Membru. B’mod partikolari, jenħtieġ li l-importatur tad-data jaqbel li jwieġeb għall-mistoqsijiet, jissottometti ruħu għall-awditi u jikkonforma mal-miżuri adottati mill-awtorità superviżorja, inklużi miżuri ta’ rimedju u ta’ kumpens. Barra minn hekk, jenħtieġ li l-importatur tad-data jkollu l-għażla li joffri lis-suġġetti tad-data l-opportunità li jitolbu rimedju quddiem korp indipendenti għas-soluzzjoni tat-tilwim, mingħajr ebda spiża. F’konformità mal-Artikolu 80(1) tar-Regolament (UE) 2016/679, jenħtieġ li s-suġġetti tad-data jitħallew jiġu rrappreżentati minn assoċjazzjonijiet jew korpi oħra f’tilwim kontra l-importatur tad-data jekk ikunu jixtiequ hekk.

(14)

Jenħtieġ li l-klawżoli kuntrattwali standard jipprevedu regoli dwar ir-responsabbiltà bejn il-partijiet u fir-rigward tas-suġġetti tad-data, u regoli dwar l-indennifikazzjoni bejn il-partijiet. Meta s-suġġett tad-data jġarrab ħsara materjali jew mhux materjali bħala konsegwenza ta’ kwalunkwe ksur tad-drittijiet tal-parti terza benefiċjarja skont il-klawżoli kuntrattwali standard, jenħtieġ li jkun intitolat għal kumpens. Jenħtieġ li dan ikun mingħajr preġudizzju għal kwalunkwe responsabbiltà skont ir-Regolament (UE) 2016/679.

(15)

Fil-każ ta’ trasferiment lil importatur tad-data li jaġixxi bħala proċessur jew sottoproċessur, jenħtieġ li japplikaw rekwiżiti speċifiċi skont l-Artikolu 28(3) tar-Regolament (UE) 2016/679. Jenħtieġ li l-klawżoli kuntrattwali standard jirrikjedu li l-importatur tad-data jagħmel disponibbli l-informazzjoni kollha meħtieġa biex juri l-konformità mal-obbligi stabbiliti fil-klawżoli u biex jippermetti u jikkontribwixxi għall-awditi tal-attivitajiet ta’ pproċessar tiegħu mill-esportatur tad-data. Fir-rigward tal-ingaġġ ta’ kwalunkwe sottoproċessur mill-importatur tad-data, f’konformità mal-Artikolu 28(2) u (4) tar-Regolament (UE) 2016/679, jenħtieġ li l-klawżoli kuntrattwali standard jistabbilixxu b’mod partikolari l-proċedura għal awtorizzazzjoni ġenerali jew speċifika mill-esportatur tad-data u r-rekwiżit għal kuntratt bil-miktub mas-sottoproċessur li jiżgura l-istess livell ta’ protezzjoni bħal taħt il-klawżoli.

(16)

Huwa xieraq li jiġu pprovduti salvagwardji differenti fil-klawżoli kuntrattwali standard li jkopru s-sitwazzjoni speċifika ta’ trasferiment ta’ data personali minn proċessur fl-Unjoni lill-kontrollur tiegħu f’pajjiż terz u jirriflettu l-obbligi awtonomi limitati għall-proċessuri skont ir-Regolament (UE) 2016/679. B’mod partikolari, il-klawżoli kuntrattwali standard jenħtieġ li jirrikjedu li l-proċessur jinforma lill-kontrollur jekk ma jkunx jista’ jsegwi l-istruzzjonijiet tiegħu, inkluż jekk tali struzzjonijiet jiksru l-liġi tal-Unjoni dwar il-protezzjoni tad-data, u jeħtieġu li l-kontrollur joqgħod lura minn kwalunkwe azzjoni li tipprevjeni lill-proċessur milli jissodisfa l-obbligi tiegħu skont ir-Regolament (UE) 2016/679. Jenħtieġ li dawn jirrikjedu wkoll li l-partijiet jassistu lil xulxin biex iwieġbu għall-mistoqsijiet u t-talbiet mis-suġġetti tad-data skont il-liġi lokali applikabbli għall-importatur tad-data jew, għall-ipproċessar tad-data fl-Unjoni, skont ir-Regolament (UE) 2016/679. Jenħtieġ li japplikaw rekwiżiti addizzjonali biex jiġi indirizzat kwalunkwe effett tal-liġijiet tal-pajjiż terz tad-destinazzjoni fuq il-konformità tal-kontrollur mal-klawżoli, b’mod partikolari kif għandhom jiġu ttrattati talbiet vinkolanti mill-awtoritajiet pubbliċi fil-pajjiż terz għall-iżvelar tad-data personali trasferita meta l-proċessur tal-Unjoni jikkombina d-data personali riċevuta mill-kontrollur fil-pajjiż terz mad-data personali miġbura mill-proċessur fl-Unjoni. Min-naħa l-oħra, rekwiżiti bħal dawn mhumiex iġġustifikati meta l-esternalizzazzjoni tinvolvi biss l-ipproċessar u t-trasferiment lura ta’ data personali li tkun ġiet riċevuta mill-kontrollur u li fi kwalunkwe każ kienet u se tibqa’ soġġetta għall-ġuriżdizzjoni tal-pajjiż terz inkwistjoni.

(17)

Jenħtieġ li l-partijiet ikunu jistgħu juru konformità mal-klawżoli kuntrattwali standard. B’mod partikolari, jenħtieġ li l-importatur tad-data jkun meħtieġ iżomm dokumentazzjoni xierqa għall-attivitajiet ta’ pproċessar taħt ir-responsabbiltà tiegħu, u jinforma lill-esportatur tad-data minnufih jekk ma jkunx jista’ jikkonforma mal-klawżoli, għal kwalunkwe raġuni. Min-naħa tiegħu, jenħtieġ li l-esportatur tad-data jissospendi t-trasferiment u, f’każijiet partikolarment serji, ikollu d-dritt li jittermina l-kuntratt, sa fejn jikkonċerna l-ipproċessar ta’ data personali skont klawżoli kuntrattwali standard, meta l-importatur tad-data jkun qed jikser il-klawżoli jew ma jkunx jista’ jikkonforma magħhom. Jenħtieġ li japplikaw regoli speċifiċi fejn il-liġijiet lokali jaffettwaw il-konformità mal-klawżoli. Jenħtieġ li, fuq l-għażla tal-esportatur tad-data, data personali li kienet ġiet trasferita qabel it-terminazzjoni tal-kuntratt u kwalunkwe kopja tagħha, tiġi rritornata lill-esportatur tad-data jew tinqered fl-intier tagħha.

(18)

Il-klawżoli kuntrattwali standard jenħtieġ li jipprevedu salvagwardji speċifiċi, b’mod partikolari fid-dawl tal-ġurisprudenza tal-Qorti tal-Ġustizzja (11), biex jiġi indirizzat kwalunkwe effett tal-liġijiet tal-pajjiż terz ta’ destinazzjoni fuq il-konformità tal-importatur tad-data mal-klawżoli, u b’mod partikolari kif jiġu ttrattati talbiet vinkolanti mill-awtoritajiet pubbliċi f’dak il-pajjiż għall-iżvelar tad-data personali trasferita.

(19)

Jenħtieġ li t-trasferiment u l-ipproċessar ta’ data personali skont klawżoli kuntrattwali standard ma jsirux jekk il-liġijiet u l-prattiki tal-pajjiż terz ta’ destinazzjoni jipprevjenu lill-importatur tad-data milli jikkonforma mal-klawżoli. F’dan il-kuntest, jenħtieġ li l-liġijiet u l-prattiki li jirrispettaw l-essenza tad-drittijiet u l-libertajiet fundamentali u li ma jaqbżux dak li huwa meħtieġ u proporzjonat f’soċjetà demokratika biex jiġi ssalvagwardjat wieħed mill-objettivi elenkati fl-Artikolu 23(1) tar-Regolament (UE) 2016/679 ma jitqisux li huma f’kunflitt mal-klawżoli kuntrattwali standard. Jenħtieġ li l-partijiet jiggarantixxu li, fil-ħin li jaqblu mal-klawżoli kuntrattwali standard, ma jkollhom l-ebda raġuni biex jemmnu li l-liġijiet u l-prattiki applikabbli għall-importatur tad-data mhumiex konformi ma’ dawn ir-rekwiżiti.

(20)

Il-partijiet jenħtieġ li jqisu, b’mod partikolari, iċ-ċirkostanzi speċifiċi tat-trasferiment (bħall-kontenut u t-tul tal-kuntratt, in-natura tad-data li trid tiġi trasferita, it-tip ta’ riċevitur, l-iskop tal-ipproċessar), il-liġijiet u l-prattiki tal-pajjiż terz ta’ destinazzjoni li huma rilevanti fid-dawl taċ-ċirkostanzi tat-trasferiment u kwalunkwe salvagwardja stabbilita biex tissupplimenta dawk skont il-klawżoli kuntrattwali standard (inklużi l-miżuri kuntrattwali, tekniċi u organizzattivi li japplikaw għat-trażmissjoni tad-data personali u l-ipproċessar tagħha fil-pajjiż tad-destinazzjoni). Fir-rigward tal-impatt ta’ tali liġijiet u prattiki fuq il-konformità mal-klawżoli kuntrattwali standard, elementi differenti jistgħu jitqiesu bħala parti minn valutazzjoni ġenerali, inkluża informazzjoni affidabbli dwar l-applikazzjoni tal-liġi fil-prattika (bħal ġurisprudenza u rapporti minn korpi indipendenti ta’ sorveljanza), l-eżistenza jew in-nuqqas ta’ talbiet fl-istess settur u, taħt kundizzjonijiet stretti, l-esperjenza prattika dokumentata tal-esportatur tad-data u/jew tal-importatur tad-data.

(21)

Jenħtieġ li l-importatur tad-data jinnotifika lill-esportatur tad-data jekk, wara li jkun qabel mal-klawżoli kuntrattwali standard, ikollu raġuni biex jemmen li mhuwiex kapaċi jikkonforma mal-klawżoli kuntrattwali standard. Jekk l-esportatur tad-data jirċievi tali notifika jew inkella jsir konxju li l-importatur tad-data ma jistax jibqa’ jikkonforma mal-klawżoli kuntrattwali standard, jenħtieġ li huwa jidentifika miżuri xierqa biex jindirizza s-sitwazzjoni, jekk ikun meħtieġ f’konsultazzjoni mal-awtorità superviżorja kompetenti. Tali miżuri jistgħu jinkludu miżuri supplimentari adottati mill-esportatur tad-data u/jew mill-importatur tad-data, bħal miżuri tekniċi jew organizzattivi biex jiġu żgurati s-sigurtà u l-kunfidenzjalità. Jenħtieġ li l-esportatur tad-data jkun meħtieġ jissospendi t-trasferiment jekk iqis li ma tista’ tiġi żgurata l-ebda salvagwardja xierqa, jew jekk jingħata struzzjonijiet mill-awtorità superviżorja kompetenti biex jagħmel dan.

(22)

Fejn possibbli, l-importatur tad-data jenħtieġ li jinnotifika lill-esportatur tad-data u lis-suġġett tad-data jekk jirċievi talba legalment vinkolanti minn awtorità pubblika (inkluża dik ġudizzjarja) skont il-liġi tal-pajjiż tad-destinazzjoni għall-iżvelar ta’ data personali trasferita skont il-klawżoli kuntrattwali standard. Bl-istess mod, hija jenħtieġ li tinnotifikahom jekk issir taf bi kwalunkwe aċċess dirett mill-awtoritajiet pubbliċi għal tali data personali, f’konformità mal-liġi tal-pajjiż terz ta’ destinazzjoni. Jekk, minkejja l-aħjar sforzi tiegħu, l-importatur tad-data ma jkunx f’pożizzjoni li jinnotifika lill-esportatur tad-data u/jew lis-suġġett tad-data dwar talbiet speċifiċi ta’ divulgazzjoni, huwa jenħtieġ li jipprovdi lill-esportatur tad-data b’kemm jista’ jkun informazzjoni rilevanti dwar it-talbiet. Barra minn hekk, jenħtieġ li l-importatur tad-data jipprovdi informazzjoni aggregata lill-esportatur tad-data f’intervalli regolari. Jenħtieġ li l-importatur tad-data jkun meħtieġ ukoll jiddokumenta kwalunkwe talba għall-iżvelar riċevuta u t-tweġiba pprovduta, u jagħmel dik l-informazzjoni disponibbli għall-esportatur tad-data jew għall-awtorità superviżorja kompetenti, jew għat-tnejn, fuq talba. Jekk, wara rieżami tal-legalità ta’ tali talba skont il-liġijiet tal-pajjiż tad-destinazzjoni, l-importatur tad-data jikkonkludi li hemm raġunijiet raġonevoli biex jitqies li t-talba hija illegali skont il-liġijiet tal-pajjiż terz ta’ destinazzjoni, huwa jenħtieġ li jikkontestaha, inkluż, fejn xieraq, billi jeżawrixxi l-possibbiltajiet disponibbli ta’ appell. Fi kwalunkwe każ, jekk l-importatur tad-data ma jkunx jista’ jibqa’ jikkonforma mal-klawżoli kuntrattwali standard, jenħtieġ li dan jinforma lill-esportatur tad-data b’dan, inkluż meta dan ikun il-konsegwenza ta’ talba għal żvelar.

(23)

Peress li l-ħtiġijiet, it-teknoloġija u l-operazzjonijiet ta’ pproċessar tal-partijiet ikkonċernati jistgħu jinbidlu, jenħtieġ li l-Kummissjoni tevalwa l-operat tal-klawżoli kuntrattwali standard fid-dawl tal-esperjenza, bħala parti mill-evalwazzjoni perjodika tar-Regolament (UE) 2016/679 imsemmija fl-Artikolu 97 ta’ dak ir-Regolament.

(24)

Id-Deċiżjoni 2001/497/KE u d-Deċiżjoni 2010/87/UE jenħtieġ li jitħassru tliet xhur wara d-dħul fis-seħħ ta’ din id-Deċiżjoni. Matul dak il-perjodu, jenħtieġ li l-esportaturi tad-data u l-importaturi tad-data, għall-fini tal-Artikolu 46(1) tar-Regolament (UE) 2016/679, xorta jkunu jistgħu jużaw il-klawżoli kuntrattwali standard stabbiliti fid-Deċiżjonijiet 2001/497/KE u 2010/87/UE. Għal perjodu addizzjonali ta’ 15-il xahar, jenħtieġ li l-esportaturi tad-data u l-importaturi tad-data, għall-fini tal-Artikolu 46(1) tar-Regolament (UE) 2016/679, ikunu jistgħu jkomplu jiddependu fuq klawżoli kuntrattwali standard stabbiliti fid-Deċiżjonijiet 2001/497/KE u 2010/87/UE għat-twettiq ta’ kuntratti konklużi bejniethom qabel id-data tat-tħassir ta’ dawk id-deċiżjonijiet, dment li l-operazzjonijiet ta’ pproċessar li huma s-suġġett tal-kuntratt jibqgħu l-istess u li d-dipendenza fuq il-klawżoli tiżgura li t-trasferiment ta’ data personali jkun soġġett għal salvagwardji xierqa skont it-tifsira tal-Artikolu 46(1) tar-Regolament (UE) 2016/679. Fil-każ ta’ bidliet rilevanti fil-kuntratt, jenħtieġ li l-esportatur tad-data jkun meħtieġ jiddependi fuq raġuni ġdida għat-trasferimenti tad-data skont il-kuntratt, b’mod partikolari billi jissostitwixxi l-klawżoli kuntrattwali standard eżistenti bil-klawżoli kuntrattwali standard stabbiliti fl-Anness ta’ din id-Deċiżjoni. L-istess jenħtieġ li japplika għal kwalunkwe sottokuntrattar lil (sotto)proċessur ta’ operazzjonijiet ta’ pproċessar koperti mill-kuntratt.

(25)

Il-Kontrollur Ewropew għall-Protezzjoni tad-Data u l-Bord Ewropew għall-Protezzjoni tad-Data ġew ikkonsultati skont l-Artikolu 42(1) u (2) tar-Regolament (UE) 2018/1725 u taw opinjoni konġunta fl-14 ta’ Jannar 2021 (12), li ġiet ikkunsidrata fit-tħejjija ta’ din id-Deċiżjoni.

(26)

Il-miżuri previsti f’din id-Deċiżjoni huma konformi mal-opinjoni tal-Kumitat stabbilit bl-Artikolu 93 tar-Regolament (UE) 2016/679,

ADOTTAT DIN ID-DEĊIŻJONI:

Artikolu 1

1.   Il-klawżoli kuntrattwali standard stabbiliti fl-Anness huma meqjusa li jipprovdu salvagwardji xierqa skont it-tifsira tal-Artikolu 46(1) u (2)(c) tar-Regolament (UE) 2016/679 għat-trasferiment minn kontrollur jew proċessur ta’ data personali pproċessata soġġett għal dak ir-Regolament (esportatur tad-data) lil kontrollur jew (sotto)proċessur li l-ipproċessar tiegħu tad-data mhuwiex soġġett għal dak ir-Regolament (importatur tad-data).

2.   Il-klawżoli kuntrattwali standard jistabbilixxu wkoll id-drittijiet u l-obbligi tal-kontrolluri u tal-proċessuri fir-rigward tal-kwistjonijiet imsemmija fl-Artikolu 28(3) u (4) tar-Regolament (UE) 2016/679, f’dak li jirrigwarda t-trasferiment ta’ data personali minn kontrollur lil proċessur, jew minn proċessur lil sottoproċessur.

Artikolu 2

Meta l-awtoritajiet kompetenti tal-Istat Membru jeżerċitaw setgħat korrettivi skont l-Artikolu 58 tar-Regolament (UE) 2016/679 b’rispons għal li l-importatur tad-data jkun jew ikun sar soġġett għal liġijiet jew prattiki fil-pajjiż terz ta’ destinazzjoni li jipprevjenuh milli jikkonforma mal-klawżoli kuntrattwali standard stabbiliti fl-Anness, li jwassal għas-sospensjoni jew għall-projbizzjoni ta’ trasferimenti ta’ data lil pajjiżi terzi, l-Istat Membru kkonċernat għandu, mingħajr dewmien, jinforma lill-Kummissjoni, li mbagħad tibgħat l-informazzjoni lill-Istati Membri l-oħra.

Artikolu 3

Il-Kummissjoni għandha tevalwa l-applikazzjoni prattika tal-klawżoli kuntrattwali standard stabbiliti fl-Anness abbażi tal-informazzjoni kollha disponibbli bħala parti mill-evalwazzjoni perjodika meħtieġa mill-Artikolu 97 tar-Regolament (UE) 2016/679.

Artikolu 4

1.   Din id-Deċiżjoni għandha tidħol fis-seħħ fl-għoxrin jum wara dak tal-pubblikazzjoni tagħha f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.

2.   Id-Deċiżjoni 2001/497/KE titħassar b’effett mis-27 ta’ Settembru 2021.

3.   Id-Deċiżjoni 2010/87/UE titħassar b’effett mis-27 ta’ Settembru 2021.

4.   Il-kuntratti konklużi qabel mis-27 ta’ Settembru 2021 abbażi tad-Deċiżjoni 2001/497/KE jew tad-Deċiżjoni 2010/87/UE għandhom jitqiesu li jipprovdu salvagwardji xierqa skont it-tifsira tal-Artikolu 46(1) tar-Regolament (UE) 2016/679 sas-27 ta’ Diċembru 2022, sakemm l-operazzjonijiet ta’ pproċessar li huma s-suġġett tal-kuntratt jibqgħu l-istess u li d-dipendenza fuq dawk il-klawżoli tiżgura li t-trasferiment ta’ data personali jkun soġġett għal salvagwardji xierqa.

Magħmul fi Brussell, l-4 ta’ Ġunju 2021.

Għall-Kummissjoni

Il-President

Ursula VON DER LEYEN


(1)  ĠU L 119, 4.5.2016, p. 1.

(2)  L-Artikolu 44 tar-Regolament (UE) 2016/679.

(3)  Ara wkoll is-sentenza tal-Qorti tal-Ġustizzja tas-16 ta’ Lulju 2020 fil-Kawża C-311/18, Data Protection Commissioner vs Facebook Ireland Limited u Maximillian Schrems (“Schrems II”), ECLI:EU:C:2020:559, il-punt 93.

(4)  Il-premessa 109 tar-Regolament (UE) 2016/679.

(5)  Id-Deċiżjoni tal-Kummissjoni 2001/497/KE tal-15 ta’ Ġunju 2001 dwar klawżoli standard kuntrattwali għat-trasferiment ta’ data personali lil pajjiżi terzi, skont id-Direttiva 95/46/KE (ĠU L 181, 4.7.2001, p. 19).

(6)  Id-Deċiżjoni tal-Kummissjoni 2010/87/UE tal-5 ta’ Frar 2010 dwar klawżoli kuntrattwali standard għat-trasferiment ta’ data personali għall-proċessuri stabbiliti f’pajjiżi terzi, taħt id-Direttiva 95/46/KE tal-Parlament Ewropew u tal-Kunsill (ĠU L 39, 12.2.2010, p. 5).

(7)  Id-Direttiva 95/46/KE tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Ottubru 1995 dwar il-protezzjoni ta’ individwi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ dik id-data (ĠU L 281, 23.11.1995, p. 31).

(8)  Ir-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data, u li jħassar ir-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE (ĠU L 295, 21.11.2018, p. 39); ara l-premessa 5.

(9)  C(2021)3701.

(10)  Schrems II, il-punti 96 u 103. Ara wkoll ir-Regolament (UE) 2016/679, il-premessi 108 u 114.

(11)  Schrems II.

(12)  Opinjoni Konġunta 2/2021tal-EDPB-KEPD dwar id-Deċiżjoni ta’ Implimentazzjoni tal-Kummissjoni Ewropea dwar klawżoli kuntrattwali standard għat-trasferiment ta’ data personali lil pajjiżi terzi għall-kwistjonijiet imsemmija fl-Artikolu 46(2)(c) tar-Regolament.


ANNESS

KLAWŻOLI KUNTRATTWALI STANDARD

TAQSIMA I

Klawżola 1

Għan u kamp ta’ applikazzjoni

(a)

L-għan ta’ dawn il-klawżoli kuntrattwali standard huwa li tiġi żgurata l-konformità mar-rekwiżiti tar-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas-27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data (Regolament Ġenerali dwar il-Protezzjoni tad-Data(1) għat-trasferiment ta’ data personali lejn pajjiż terz.

(b)

Il-Partijiet:

(i)

il-persuna/i fiżika/fiżiċi jew ġuridika/ġuridiċi, l-awtorità pubblika/awtoritajiet pubbliċi, l-aġenzija/i jew korp(i) ieħor/oħra (minn hawn ’il quddiem “entità/entitajiet”) li tittrasferixxi/jittrasferixxu d-data personali, kif elenkat fl-Anness I.A. (minn hawn ’il quddiem “esportatur tad-data”), u

(ii)

l-entità/entitajiet f’pajjiż terz li tirċievi/jirċievu d-data personali mingħand l-esportatur tad-data, direttament jew indirettament permezz ta’ entità oħra wkoll Parti għal dawn il-Klawżoli, kif elenkati fl-Anness I.A. (minn hawn ’il quddiem “importatur tad-data”)

qablu ma’ dawn il-klawżoli kuntrattwali standard (minn hawn ’il quddiem: “Klawżoli”).

(c)

Dawn il-Klawżoli japplikaw fir-rigward tat-trasferiment ta’ data personali kif speċifikat fl-Anness I.B.

(d)

L-Appendiċi għal dawn il-Klawżoli li fihom l-Annessi msemmija fih jifforma parti integrali minn dawn il-Klawżoli.

Klawżola 2

Effett u invarjabbiltà tal-Klawżoli

(a)

Dawn il-Klawżoli jistabbilixxu salvagwardji xierqa, inklużi drittijiet infurzabbli tas-suġġetti tad-data u rimedji legali effettivi, skont l-Artikolu 46(1) u l-Artikolu 46(2)(c) tar-Regolament (UE) 2016/679 u, fir-rigward tat-trasferimenti tad-data minn kontrolluri lil proċessuri u/jew minn proċessuri lil proċessuri, klawżoli kuntrattwali standard skont l-Artikolu 28(7) tar-Regolament (UE) 2016/679, dment li ma jiġux immodifikati, ħlief biex jintgħażel/jintgħażlu l-Modulu/i xieraq/xierqa jew biex tiġi miżjuda jew aġġornata l-informazzjoni fl-Appendiċi. Dan ma jipprevjenix lill-Partijiet milli jinkludu l-klawżoli kuntrattwali standard stabbiliti f’dawn il-Klawżoli f’kuntratt usa’ u/jew milli jżidu klawżoli oħra jew salvagwardji addizzjonali, dment li dawn ma jmorrux kontra, direttament jew indirettament, dawn il-Klawżoli jew jippreġudikaw id-drittijiet jew il-libertajiet fundamentali tas-suġġetti tad-data.

(b)

Dawn il-Klawżoli huma mingħajr preġudizzju għall-obbligi li għalihom l-esportatur tad-data huwa soġġett bis-saħħa tar-Regolament (UE) 2016/679.

Klawżola 3

Partijiet terzi benefiċjarji

(a)

Is-suġġetti tad-data jistgħu jinvokaw u jinfurzaw dawn il-Klawżoli, bħala partijiet terzi benefiċjarji, kontra l-esportatur tad-data u/jew l-importatur tad-data, bl-eċċezzjonijiet li ġejjin:

(i)

Klawżola 1, Klawżola 2, Klawżola 3, Klawżola 6, Klawżola 7;

(ii)

Klawżola 8 - Modulu Wieħed: Klawżola 8.5(e) u Klawżola 8.9(b); Modulu Tnejn: Klawżola 8.1(b), 8.9(a), (c), (d) u (e); Modulu Tlieta: Klawżola 8.1(a), (c) u (d) u Klawżola 8.9(a), (c), (d), (e), (f) u (g); Modulu Erbgħa: Klawżola 8.1(b) u Klawżola 8.3(b);

(iii)

Klawżola 9 - Modulu Tnejn: Klawżola 9(a), (c), (d) u (e); Modulu Tlieta: Klawżola 9(a), (c), (d) u (e);

(iv)

Klawżola 12 - Modulu Wieħed: Klawżola 12(a) u (d); Moduli Tnejn u Tlieta: Klawżola 12(a), (d) u (f);

(v)

Klawżola 13;

(vi)

Klawżola 15.1(c), (d) u (e);

(vii)

Klawżola 16(e);

(viii)

Klawżola 18 - Moduli Wieħed, Tnejn u Tlieta: Klawżola 18(a) u (b); Modulu Erbgħa: Klawżola 18.

(b)

Il-paragrafu (a) huwa mingħajr preġudizzju għad-drittijiet tas-suġġetti tad-data skont ir-Regolament (UE) 2016/679.

Klawżola 4

Interpretazzjoni

(a)

Meta dawn il-Klawżoli jużaw termini li huma definiti fir-Regolament (UE) 2016/679, dawk it-termini għandu jkollhom l-istess tifsira bħal f’dak ir-Regolament.

(b)

Dawn il-Klawżoli għandhom jinqraw u jiġu interpretati fid-dawl tad-dispożizzjonijiet tar-Regolament (UE) 2016/679.

(c)

Dawn il-Klawżoli ma għandhomx jiġu interpretati b’mod li jmur kontra d-drittijiet u l-obbligi previsti fir-Regolament (UE) 2016/679.

Klawżola 5

Ġerarkija

F’każ ta’ kontradizzjoni bejn dawn il-Klawżoli u d-dispożizzjonijiet tal-ftehimiet relatati bejn il-Partijiet, li jkunu jeżistu fiż-żmien meta dawn il-Klawżoli jiġu miftiehma jew iffirmati minn hemm ’il quddiem, dawn il-Klawżoli għandhom jipprevalu.

Klawżola 6

Deskrizzjoni tat-trasferiment(i)

Id-dettalji tat-trasferiment(i), u b’mod partikolari l-kategoriji ta’ data personali li tiġi ttrasferita u l-iskop(ijiet) li għalihom tiġi ttrasferita, huma speċifikati fl-Anness I.B.

Klawżola 7 - Fakultattiva

Klawżola ta’ ddokkjar

(a)

Entità li mhijiex Parti għal dawn il-Klawżoli tista’, bil-qbil tal-Partijiet, taderixxi ma’ dawn il-Klawżoli fi kwalunkwe ħin, jew bħala esportatur tad-data jew bħala importatur tad-data, billi timla l-Appendiċi u tiffirma l-Anness I.A.

(b)

Ladarba tkun lestiet l-Appendiċi u ffirmat l-Anness I.A, l-entità aderenti għandha ssir Parti għal dawn il-Klawżoli u jkollha d-drittijiet u l-obbligi ta’ esportatur tad-data jew ta’ importatur tad-data skont id-deżinjazzjoni tagħha fl-Anness I.A.

(c)

L-entità aderenti ma għandu jkollha l-ebda dritt jew obbligu li jirriżulta minn dawn il-Klawżoli mill-perjodu ta’ qabel ma ssir Parti.

TAQSIMA II - OBBLIGI TAL-PARTIJIET

Klawżola 8

Salvagwardji għall-protezzjoni tad-data

L-esportatur tad-data jiggarantixxi li uża sforzi raġonevoli biex jiddetermina li l-importatur tad-data jista’ jissodisfa l-obbligi tiegħu skont dawn il-Klawżoli permezz tal-implimentazzjoni ta’ miżuri tekniċi u organizzattivi xierqa.

MODULU WIEĦED: Trasferiment minn kontrollur lil kontrollur

8.1.   Limitazzjoni tal-iskop

L-importatur tad-data għandu jipproċessa d-data personali biss għall-iskop(ijiet) speċifiku/speċifiċi tat-trasferiment, kif stabbilit fl-Anness I.B. Huwa jista’ jipproċessa biss id-data personali għal skop ieħor:

(i)

meta jkun kiseb il-kunsens minn qabel tas-suġġett tad-data;

(ii)

meta jkun meħtieġ għall-istabbiliment, l-eżerċizzju jew id-difiża ta’ talbiet legali fil-kuntest ta’ proċedimenti amministrattivi, regolatorji jew ġudizzjarji speċifiċi; jew

(iii)

meta jkun meħtieġ sabiex ikunu protetti l-interessi vitali tas-suġġett tad-data jew ta’ persuna fiżika oħra.

8.2.   Trasparenza

(a)

Sabiex is-suġġetti tad-data jkunu jistgħu jeżerċitaw b’mod effettiv id-drittijiet tagħhom skont il-Klawżola 10, l-importatur tad-data għandu jinformahom, jew direttament jew permezz tal-esportatur tad-data:

(i)

dwar l-identità u d-dettalji ta’ kuntatt tiegħu;

(ii)

dwar il-kategoriji ta’ data personali pproċessata;

(iii)

dwar id-dritt li jiksbu kopja ta’ dawn il-Klawżoli;

(iv)

fejn ikun biħsiebu jittrasferixxi d-data personali lil kwalunkwe parti terza/i, dwar ir-riċevitur jew kategoriji ta’ riċevituri (kif xieraq bil-ħsieb li jipprovdi informazzjoni sinifikanti), l-iskop ta’ tali trasferiment ulterjuri u r-raġuni għal dan skont il-Klawsola 8.7.

(b)

Il-paragrafu (a) ma għandux japplika meta s-suġġett tad-data diġà jkollu l-informazzjoni, inkluż meta tali informazzjoni tkun diġà ġiet ipprovduta mill-esportatur tad-data, jew l-għoti ta’ tali informazzjoni jirriżulta impossibbli jew ikun jinvolvi sforz sproporzjonat għall-importatur tad-data. Fl-aħħar każ, l-importatur tad-data għandu, sa fejn ikun possibbli, jagħmel l-informazzjoni disponibbli għall-pubbliku.

(c)

Fuq talba, il-Partijiet għandhom jagħmlu kopja ta’ dawn il-Klawżoli, inkluż l-Appendiċi kif mimli minnhom, disponibbli għas-suġġett tad-data mingħajr ħlas. Sa fejn ikun meħtieġ għall-protezzjoni tas-sigrieti kummerċjali jew informazzjoni kunfidenzjali oħra, inkluża data personali, il-Partijiet jistgħu jħassru parti mit-test tal-Appendiċi qabel ma jikkondividu kopja, iżda għandhom jipprovdu sommarju sinifikanti meta s-suġġett tad-data ma jkunx jista’ jifhem b’ebda mod ieħor il-kontenut tiegħu jew jeżerċita d-drittijiet tiegħu. Fuq talba, il-Partijiet għandhom jipprovdu lis-suġġett tad-data bir-raġunijiet għar-redazzjonijiet, sa fejn ikun possibbli mingħajr ma jiżvelaw l-informazzjoni redatta.

(d)

Il-paragrafi (a) sa (c) huma mingħajr preġudizzju għall-obbligi tal-esportatur tad-data skont l-Artikoli 13 u 14 tar-Regolament (UE) 2016/679.

8.3.   Preċiżjoni u minimizzazzjoni tad-data

(a)

Kull Parti għandha tiżgura li d-data personali tkun preċiża u, fejn meħtieġ, tinżamm aġġornata. L-importatur tad-data għandu jieħu kull pass raġonevoli biex jiżgura li d-data personali li ma tkunx preċiża, wara li jikkunsidra l-iskop(ijiet) tal-ipproċessar, titħassar jew tiġi rrettifikata mingħajr dewmien.

(b)

Jekk waħda mill-Partijiet issir konxja li d-data personali li tkun ittrasferiet jew li tkun irċeviet ma tkunx preċiża, jew tkun skadiet, għandha tinforma lill-Parti l-oħra mingħajr dewmien żejjed.

(c)

L-importatur tad-data għandu jiżgura li d-data personali tkun adegwata, rilevanti u limitata għal dak li huwa meħtieġ fir-rigward tal-iskop(ijiet) tal-ipproċessar.

8.4.   Limitazzjoni tal-ħżin

L-importatur tad-data għandu jżomm id-data personali għal mhux aktar milli meħtieġ għall-iskop(ijiet) li għalih(om) tiġi pproċessata. Huwa għandu jistabbilixxi miżuri tekniċi jew organizzattivi xierqa biex jiżgura l-konformità ma’ dan l-obbligu, li jinkludu t-tħassir jew l-anonimizzazzjoni (2) tad-data u l-backups kollha fi tmiem il-perjodu ta’ żamma.

8.5.   Sigurtà tal-ipproċessar

(a)

L-importatur tad-data u, matul it-trażmissjoni, anke l-esportatur tad-data għandhom jimplimentaw miżuri tekniċi u organizzattivi xierqa biex jiżguraw is-sigurtà tad-data personali, inkluża l-protezzjoni kontra ksur ta’ sigurtà li jwassal għall-qerda, it-telf, l-alterazzjoni, l-iżvelar jew l-aċċess mhux awtorizzati (minn hawn ’il quddiem “ksur ta’ data personali”). Meta jivvalutaw il-livell xieraq ta’ sigurtà, dawn għandhom iqisu kif xieraq l-ogħla livell ta’ żvilupp tekniku, l-ispejjeż tal-implimentazzjoni, in-natura, l-ambitu, il-kuntest u l-iskop(ijiet) tal-ipproċessar u r-riskji involuti fl-ipproċessar għas-suġġett tad-data. Il-partijiet għandhom b’mod partikolari jikkunsidraw li jirrikorru għall-kriptaġġ jew il-psewdonimizzazzjoni, inkluż matul it-trażmissjoni, fejn l-għan tal-ipproċessar jista’ jiġi ssodisfat b’dak il-mod.

(b)

Il-Partijiet qablu dwar il-miżuri tekniċi u organizzattivi stabbiliti fl-Anness II. L-importatur tad-data għandu jwettaq kontrolli regolari biex jiżgura li dawn il-miżuri jkomplu jipprovdu livell xieraq ta’ sigurtà.

(c)

L-importatur tad-data għandu jiżgura li l-persuni awtorizzati biex jipproċessaw id-data personali jkunu impenjaw ruħhom li jżommu l-kunfidenzjalità jew li jkunu taħt obbligu statutorju xieraq ta’ kunfidenzjalità.

(d)

F’każ ta’ ksur ta’ data personali li jikkonċerna data personali pproċessata mill-importatur tad-data skont dawn il-Klawżoli, l-importatur tad-data għandu jieħu miżuri xierqa biex jindirizza l-ksur tad-data personali, inklużi miżuri biex jitnaqqsu l-effetti avversi possibbli tiegħu.

(e)

F’każ ta’ ksur ta’ data personali li x’aktarx jirriżulta f’riskju għad-drittijiet u l-libertajiet ta’ persuni fiżiċi, l-importatur tad-data għandu jinnotifika mingħajr dewmien żejjed kemm lill-esportatur tad-data kif ukoll lill-awtorità superviżorja kompetenti skont il-Klawżola 13. Tali notifika għandu jkun fiha i) deskrizzjoni tan-natura tal-ksur (inklużi, fejn possibbli, kategoriji u numru approssimattiv ta’ suġġetti tad-data u rekords tad-data personali kkonċernati), ii) il-konsegwenzi probabbli tiegħu, iii) il-miżuri meħuda jew proposti biex jiġi indirizzat il-ksur, u iv) id-dettalji ta’ punt ta’ kuntatt li minnu tista’ tinkiseb aktar informazzjoni. Sa fejn mhuwiex possibbli għall-importatur tad-data li jipprovdi l-informazzjoni kollha fl-istess ħin, dan jista’ jagħmel dan f’fażijiet mingħajr aktar dewmien żejjed.

(f)

F’każ ta’ ksur ta’ data personali li x’aktarx jirriżulta f’riskju għoli għad-drittijiet u l-libertajiet ta’ persuni fiżiċi, l-importatur tad-data għandu jinnotifika wkoll mingħajr dewmien żejjed lis-suġġetti tad-data kkonċernati dwar il-ksur ta’ data personali u n-natura tiegħu, jekk ikun meħtieġ f’kooperazzjoni mal-esportatur tad-data, flimkien mal-informazzjoni msemmija fil-paragrafu (e), il-punti ii) sa iv), sakemm l-importatur tad-data ma jkunx implimenta miżuri biex inaqqas b’mod sinifikanti r-riskju għad-drittijiet jew il-libertajiet ta’ persuni fiżiċi, jew in-notifika tkun tinvolvi sforzi sproporzjonati. Fil-każ tal-aħħar, l-importatur tad-data għandu minflok jagħmel komunikazzjoni pubblika jew jieħu miżura simili sabiex jinforma lill-pubbliku dwar il-ksur tad-data personali.

(g)

L-importatur tad-data għandu jiddokumenta l-fatti rilevanti kollha relatati mal-ksur tad-data personali, inklużi l-effetti tiegħu u kwalunkwe azzjoni ta’ rimedju meħuda, u jżomm rekord tagħhom.

8.6.    Data sensittiva

Meta t-trasferiment jinvolvi data personali li tiżvela l-oriġini razzjali jew etnika, opinjonijiet politiċi, twemmin reliġjuż jew filosofiku, jew sħubija fi trade union, data ġenetika, jew data bijometrika bl-għan li tiġi identifikata unikament persuna fiżika, data li tikkonċerna s-saħħa jew il-ħajja sesswali jew l-orjentazzjoni sesswali ta’ persuna, jew data relatata ma’ kundanni jew reati kriminali (minn hawn ’il quddiem “data sensittiva”), l-importatur tad-data għandu japplika restrizzjonijiet speċifiċi u/jew salvagwardji addizzjonali adattati għan-natura speċifika tad-data u r-riskji involuti. Dan jista’ jinkludi r-restrizzjoni tal-persunal permess li jaċċessa d-data personali, miżuri ta’ sigurtà addizzjonali (bħall-psewdonimizzazzjoni) u/jew restrizzjonijiet addizzjonali fir-rigward ta’ żvelar ulterjuri.

8.7.   Trasferimenti ulterjuri

L-importatur tad-data ma għandux jiżvela d-data personali lil parti terza li tinsab barra mill-Unjoni Ewropea (3) (fl-istess pajjiż bħall-importatur tad-data jew f’pajjiż terz ieħor, minn hawn ’il quddiem “trasferiment ulterjuri”) sakemm il-parti terza ma tkunx marbuta jew taqbel li tkun marbuta b’dawn il-Klawżoli, taħt il-Modulu xieraq. B’mod ieħor, trasferiment ulterjuri mill-importatur tad-data jista’ jseħħ biss jekk:

(i)

ikun lil pajjiż li jibbenefika minn deċiżjoni ta’ adegwatezza skont l-Artikolu 45 tar-Regolament (UE) 2016/679 li tkopri t-trasferiment ulterjuri;

(ii)

il-parti terza tiżgura b’mod ieħor salvagwardji xierqa skont l-Artikoli 46 jew 47 tar-Regolament (UE) 2016/679 fir-rigward tal-ipproċessar inkwistjoni;

(iii)

il-parti terza tidħol fi strument vinkolanti mal-importatur tad-data li jiżgura l-istess livell ta’ protezzjoni tad-data bħal taħt dawn il-Klawżoli, u l-importatur tad-data jipprovdi kopja ta’ dawn is-salvagwardji lill-esportatur tad-data;

(iv)

ikun meħtieġ għall-istabbiliment, l-eżerċizzju jew id-difiża ta’ pretensjonijiet legali fil-kuntest ta’ proċedimenti amministrattivi, regolatorji jew ġudizzjarji speċifiċi;

(v)

l-ipproċessar ikun meħtieġ sabiex jiġu protetti l-interessi vitali tas-suġġett tad-data jew ta’ persuna fiżika oħra; jew

(vi)

fejn ma tapplika l-ebda waħda mill-kundizzjonijiet l-oħra, l-importatur tad-data jkun kiseb il-kunsens espliċitu tas-suġġett tad-data għal trasferiment ulterjuri f’sitwazzjoni speċifika, wara li jkun informah bl-iskop(ijiet) tiegħu, l-identità tar-riċevitur u r-riskji possibbli ta’ tali trasferiment għas-suġġett minħabba n-nuqqas ta’ salvagwardji xierqa tal-protezzjoni tad-data. F’dan il-każ, l-importatur tad-data għandu jinforma lill-esportatur tad-data u, fuq talba ta’ dan tal-aħħar, għandu jibgħatlu kopja tal-informazzjoni pprovduta lis-suġġett tad-data.

Kwalunkwe trasferiment ulterjuri huwa soġġett għall-konformità mill-importatur tad-data mas-salvagwardji l-oħra kollha skont dawn il-Klawżoli, b’mod partikolari l-limitazzjoni tal-iskop.

8.8.   Proċessar taħt l-awtorità tal-importatur tad-data

L-importatur tad-data għandu jiżgura li kwalunkwe persuna li taġixxi taħt l-awtorità tiegħu, inkluż proċessur, jipproċessa d-data biss skont l-istruzzjonijiet tiegħu.

8.9.   Dokumentazzjoni u konformità

(a)

Kull Parti għandha tkun tista’ turi konformità mal-obbligi tagħha skont dawn il-Klawżoli. B’mod partikolari, l-importatur tad-data għandu jżomm dokumentazzjoni xierqa tal-attivitajiet ta’ pproċessar imwettqa taħt ir-responsabbiltà tiegħu.

(b)

L-importatur tad-data għandu jagħmel tali dokumentazzjoni disponibbli għall-awtorità superviżorja kompetenti fuq talba.

MODULU TNEJN: Trasferiment minn kontrollur lil proċessur

8.1.   Struzzjonijiet

(a)

L-importatur tad-data għandu jipproċessa d-data personali biss fuq struzzjonijiet dokumentati mill-esportatur tad-data. L-esportatur tad-data jista’ jagħti dawn l-istruzzjonijiet tul il-kuntratt kollu.

(b)

L-importatur tad-data għandu jinforma minnufih lill-esportatur tad-data jekk ma jkunx jista’ jsegwi dawk l-istruzzjonijiet.

8.2.   Limitazzjoni tal-iskop

L-importatur tad-data għandu jipproċessa d-data personali biss għall-iskop(ijiet) speċifiku/speċifiċi tat-trasferiment, kif stabbilit fl-Anness I.B, sakemm ma jkunx hemm struzzjonijiet ulterjuri mill-esportatur tad-data.

8.3.   Trasparenza

Fuq talba, l-esportatur tad-data għandu jagħmel disponibbli għas-suġġett tad-data mingħajr ħlas kopja ta’ dawn il-Klawżoli, inkluż l-Appendiċi kif mimli mill-Partijiet. Sa fejn ikun meħtieġ biex jiġu protetti s-sigrieti kummerċjali jew informazzjoni kunfidenzjali oħra, inklużi l-miżuri deskritti fl-Anness II u data personali, l-esportatur tad-data jista’ jeditja parti mit-test tal-Appendiċi ta’ dawn il-Klawżoli qabel ma jikkondividi kopja, iżda għandu jipprovdi sommarju sinifikanti meta, jekk ma jsirx dan, is-suġġett tad-data ma jkunx jista’ jifhem il-kontenut tiegħu jew jeżerċita d-drittijiet tiegħu. Fuq talba, il-Partijiet għandhom jipprovdu lis-suġġett tad-data bir-raġunijiet għar-redazzjonijiet, sa fejn ikun possibbli mingħajr ma jiżvelaw l-informazzjoni redatta. Din il-klawsola hija mingħajr preġudizzju għall-obbligi tal-esportatur tad-data skont l-Artikoli 13 u 14 tar-Regolament (UE) 2016/679.

8.4.   Preċiżjoni

Jekk l-importatur tad-data jsir konxju li d-data personali li jkun irċieva ma tkunx preċiża, jew tkun skadiet, dan għandu jinforma lill-esportatur tad-data mingħajr dewmien żejjed. F’dan il-każ, l-importatur tad-data għandu jikkoopera mal-esportatur tad-data biex iħassar jew jirrettifika d-data.

8.5.   Tul tal-ipproċessar u tħassir jew ritorn tad-data

L-ipproċessar mill-importatur tad-data għandu jsir biss għat-tul speċifikat fl-Anness I.B. Wara t-tmiem tal-provvista tas-servizzi tal-ipproċessar, l-importatur tad-data għandu, fuq l-għażla tal-esportatur tad-data, iħassar id-data personali kollha pproċessata f’isem l-esportatur tad-data u jiċċertifika lill-esportatur tad-data li għamel dan, jew jirritorna lill-esportatur tad-data d-data personali kollha pproċessata f’ismu u jħassar kopji eżistenti. Sakemm id-data titħassar jew tintbagħat lura, l-importatur tad-data għandu jkompli jiżgura l-konformità ma’ dawn il-Klawżoli. Fil-każ ta’ liġijiet lokali applikabbli għall-importatur tad-data li jipprojbixxu r-ritorn jew it-tħassir tad-data personali, l-importatur tad-data jiggarantixxi li se jkompli jiżgura l-konformità ma’ dawn il-Klawżoli u jipproċessaha biss sal-punt u sakemm ikun meħtieġ skont dik il-liġi lokali. Dan huwa mingħajr preġudizzju għall-Klawżola 14, b’mod partikolari r-rekwiżit għall-importatur tad-data skont il-Klawżola 14(e) li jinnotifika lill-esportatur tad-data tul il-kuntratt kollu jekk ikollu raġuni biex jemmen li jkun, jew li sar, soġġett għal liġijiet jew prattiki li mhumiex konformi mar-rekwiżiti skont il-Klawżola 14(a).

8.6.   Sigurtà tal-ipproċessar

(a)

L-importatur tad-data u, matul it-trażmissjoni, anke l-esportatur tad-data għandhom jimplimentaw miżuri tekniċi u organizzattivi xierqa biex jiżguraw is-sigurtà tad-data, inkluża l-protezzjoni kontra ksur ta’ sigurtà li jwassal għall-qerda, it-telf, l-alterazzjoni, l-iżvelar jew l-aċċess aċċidentali jew illegali għal dik id-data (minn hawn ’il quddiem “ksur ta’ data personali”). Meta jivvalutaw il-livell xieraq ta’ sigurtà, il-Partijiet għandhom iqisu kif xieraq l-ogħla livell ta’ żvilupp tekniku, l-ispejjeż tal-implimentazzjoni, in-natura, il-kamp ta’ applikazzjoni, il-kuntest u l-iskop(ijiet) tal-ipproċessar u r-riskji involuti fl-ipproċessar għas-suġġetti tad-data. Il-partijiet għandhom b’mod partikolari jikkunsidraw li jirrikorru għall-kriptaġġ jew il-psewdonimizzazzjoni, inkluż matul it-trażmissjoni, meta l-għan tal-ipproċessar jista’ jiġi ssodisfat b’dak il-mod. F’każ ta’ psewdonimizzazzjoni, l-informazzjoni addizzjonali għall-attribuzzjoni tad-data personali lil suġġett speċifiku tad-data għandha, fejn possibbli, tibqa’ taħt il-kontroll esklussiv tal-esportatur tad-data. Meta jikkonforma mal-obbligu tiegħu skont dan il-paragrafu, l-importatur tad-data għandu tal-inqas jimplimenta l-miżuri tekniċi u organizzattivi speċifikati fl-Anness II. L-importatur tad-data għandu jwettaq kontrolli regolari biex jiżgura li dawn il-miżuri jkomplu jipprovdu livell xieraq ta’ sigurtà.

(b)

L-importatur tad-data għandu jagħti aċċess għad-data personali lill-membri tal-persunal tiegħu biss sa fejn ikun strettament meħtieġ għall-implimentazzjoni, il-ġestjoni u l-monitoraġġ tal-kuntratt. Huwa għandu jiżgura li l-persuni awtorizzati biex jipproċessaw id-data personali jkunu impenjaw ruħhom li jżommu l-kunfidenzjalità jew li jkunu taħt obbligu statutorju xieraq ta’ kunfidenzjalità.

(c)

F’każ ta’ ksur ta’ data personali li jikkonċerna data personali pproċessata mill-importatur tad-data skont dawn il-Klawżoli, l-importatur tad-data għandu jieħu miżuri xierqa biex jindirizza l-ksur, inklużi miżuri biex inaqqas l-effetti avversi tiegħu. L-importatur tad-data għandu jinnotifika wkoll lill-esportatur tad-data mingħajr dewmien żejjed wara li jkun sar jaf bil-ksur. Tali notifika għandha tinkludi d-dettalji ta’ punt ta’ kuntatt fejn tista’ tinkiseb aktar informazzjoni, deskrizzjoni tan-natura tal-ksur (inkluż, fejn possibbli, il-kategoriji u numru approssimattiv tas-suġġetti tad-data u tar-rekords tad-data personali kkonċernati), il-konsegwenzi probabbli tiegħu u l-miżuri meħuda jew proposti biex jiġi indirizzat il-ksur inklużi, fejn xieraq, miżuri biex jittaffew l-effetti avversi possibbli tiegħu. Meta, u sa fejn, ma jkunx possibbli li tiġi pprovduta l-informazzjoni kollha fl-istess ħin, in-notifika inizjali għandha tinkludi l-informazzjoni disponibbli f’dak il-waqt u informazzjoni ulterjuri għandha tiġi pprovduta sussegwentement, kif issir disponibbli, mingħajr dewmien żejjed.

(d)

L-importatur tad-data għandu jikkoopera mal-esportatur tad-data u jassistih biex jippermetti lill-esportatur tad-data jikkonforma mal-obbligi tiegħu skont ir-Regolament (UE) 2016/679, b’mod partikolari biex jinnotifika lill-awtorità superviżorja kompetenti u lis-suġġetti tad-data affettwati, filwaqt li titqies in-natura tal-ipproċessar u l-informazzjoni disponibbli għall-importatur tad-data.

8.7.    Data sensittiva

Meta t-trasferiment jinvolvi data personali li tiżvela l-oriġini razzjali jew etnika, opinjonijiet politiċi, twemmin reliġjuż jew filosofiku, jew sħubija fi trade union, data ġenetika, jew data bijometrika bl-għan li tiġi identifikata unikament persuna fiżika, data li tikkonċerna s-saħħa jew il-ħajja sesswali jew l-orjentazzjoni sesswali ta’ persuna, jew data relatata ma’ kundanni u reati kriminali (minn hawn ’il quddiem “data sensittiva”), l-importatur tad-data għandu japplika r-restrizzjonijiet speċifiċi u/jew is-salvagwardji addizzjonali deskritti fl-Anness I.B.

8.8.   Trasferimenti ulterjuri

L-importatur tad-data għandu jiżvela biss id-data personali lil parti terza fuq struzzjonijiet dokumentati mill-esportatur tad-data. Minbarra dan, id-data tista’ tiġi żvelata lil parti terza li tinsab barra mill-Unjoni Ewropea (4) (fl-istess pajjiż bħall-importatur tad-data jew f’pajjiż terz ieħor, minn hawn ’il quddiem “trasferiment ulterjuri”) biss jekk il-parti terza tkun marbuta jew taqbel li tkun marbuta b’dawn il-Klawżoli, taħt il-Modulu xieraq.

(i)

it-trasferiment ulterjuri jkun lil pajjiż li jibbenefika minn deċiżjoni ta’ adegwatezza skont l-Artikolu 45 tar-Regolament (UE) 2016/679 li tkopri t-trasferiment ulterjuri;

(ii)

il-parti terza tiżgura b’mod ieħor salvagwardji xierqa skont l-Artikoli 46 jew 47 tar-Regolament (UE) 2016/679 fir-rigward tal-ipproċessar inkwistjoni;

(iii)

it-trasferiment ulterjuri jkun meħtieġ għall-istabbiliment, l-eżerċizzju jew id-difiża ta’ pretensjonijiet legali fil-kuntest ta’ proċedimenti amministrattivi, regolatorji jew ġudizzjarji speċifiċi; jew

(iv)

it-trasferiment ulterjuri jkun meħtieġ sabiex jiġu protetti l-interessi vitali tas-suġġett tad-data jew ta’ persuna fiżika oħra.

Kwalunkwe trasferiment ulterjuri huwa soġġett għall-konformità mill-importatur tad-data mas-salvagwardji l-oħra kollha skont dawn il-Klawżoli, b’mod partikolari l-limitazzjoni tal-iskop.

8.9.   Dokumentazzjoni u konformità

(a)

L-importatur tad-data għandu minnufih u b’mod adegwat jittratta mistoqsijiet mill-esportatur tad-data li jkunu relatati mal-ipproċessar skont dawn il-Klawżoli.

(b)

Il-Partijiet għandhom ikunu jistgħu juru konformità ma’ dawn il-Klawżoli. B’mod partikolari, l-importatur tad-data għandu jżomm dokumentazzjoni xierqa dwar l-attivitajiet ta’ pproċessar imwettqa f’isem l-esportatur tad-data.

(c)

L-importatur tad-data għandu jagħmel disponibbli għall-esportatur tad-data l-informazzjoni kollha meħtieġa biex juri konformità mal-obbligi stabbiliti f’dawn il-Klawżoli u fuq talba tal-esportatur tad-data, jippermetti u jikkontribwixxi għall-awditi tal-attivitajiet ta’ pproċessar koperti minn dawn il-Klawżoli, f’intervalli raġonevoli jew jekk ikun hemm indikazzjonijiet ta’ nuqqas ta’ konformità. Meta jiddeċiedi li jwettaq rieżami jew awditu, l-esportatur tad-data jista’ jqis iċ-ċertifikazzjonijiet rilevanti li jkollu l-importatur tad-data.

(d)

L-esportatur tad-data jista’ jagħżel li jwettaq l-awditu huwa stess jew li jagħti mandat lil awditur indipendenti. L-awditi jistgħu jinkludu spezzjonijiet fil-bini jew fil-faċilitajiet fiżiċi tal-importatur tad-data u għandhom, fejn xieraq, jitwettqu b’avviż raġonevoli.

(e)

Il-Partijiet għandhom jagħmlu l-informazzjoni msemmija fil-paragrafi (b) u (c), inklużi r-riżultati ta’ kwalunkwe awditu, disponibbli għall-awtorità superviżorja kompetenti fuq talba.

MODULU TLIETA: Trasferiment minn proċessur lil proċessur

8.1.   Struzzjonijiet

(a)

L-esportatur tad-data informa lill-importatur tad-data li huwa qed jaġixxi bħala proċessur skont l-istruzzjonijiet tal-kontrollur(i) tiegħu, li l-esportatur tad-data għandu jagħmel disponibbli għall-importatur tad-data qabel l-ipproċessar.

(b)

L-importatur tad-data għandu jipproċessa d-data personali biss fuq struzzjonijiet dokumentati mill-kontrollur, kif ikkomunikati lill-importatur tad-data mill-esportatur tad-data, u kwalunkwe struzzjoni dokumentata addizzjonali mill-esportatur tad-data. Dawn l-istruzzjonijiet addizzjonali ma għandhomx ikunu f’kunflitt mal-istruzzjonijiet mill-kontrollur. Il-kontrollur jew l-esportatur tad-data jista’ jagħti struzzjonijiet dokumentati ulterjuri dwar l-ipproċessar tad-data tul il-kuntratt.

(c)

L-importatur tad-data għandu jinforma minnufih lill-esportatur tad-data jekk ma jkunx jista’ jsegwi dawk l-istruzzjonijiet. Meta l-importatur tad-data ma jkunx jista’ jsegwi l-istruzzjonijiet mill-kontrollur, l-esportatur tad-data għandu jinnotifika minnufih lill-kontrollur.

(d)

L-esportatur tad-data jiggarantixxi li jkun impona l-istess obbligi ta’ protezzjoni tad-data fuq l-importatur tad-data kif stabbilit fil-kuntratt jew f’att legali ieħor skont il-liġi tal-Unjoni jew tal-Istat Membru bejn il-kontrollur u l-esportatur tad-data (5).

8.2.   Limitazzjoni tal-iskop

L-importatur tad-data għandu jipproċessa d-data personali biss għall-iskop(ijiet) speċifiku/speċifiċi tat-trasferiment, kif stabbilit fl-Anness I.B., sakemm mhux fuq struzzjonijiet ulterjuri mill-kontrollur, kif ikkomunikati lill-importatur tad-data mill-esportatur tad-data, jew mill-esportatur tad-data.

8.3.   Trasparenza

Fuq talba, l-esportatur tad-data għandu jagħmel disponibbli għas-suġġett tad-data mingħajr ħlas kopja ta’ dawn il-Klawżoli, inkluż l-Appendiċi kif mimli mill-Partijiet. Sa fejn ikun meħtieġ għall-protezzjoni tas-sigrieti kummerċjali jew informazzjoni kunfidenzjali oħra, inkluża data personali, l-esportatur tad-data jista’ jħassar parti mit-test tal-Appendiċi qabel ma jikkondividi kopja, iżda għandu jipprovdi sommarju sinifikanti fejn is-suġġett tad-data ma jkunx jista’ jifhem b’ebda mod ieħor il-kontenut tiegħu jew jeżerċita d-drittijiet tiegħu. Fuq talba, il-Partijiet għandhom jipprovdu lis-suġġett tad-data bir-raġunijiet għar-redazzjonijiet, sa fejn ikun possibbli mingħajr ma jiżvelaw l-informazzjoni redatta.

8.4.   Preċiżjoni

Jekk l-importatur tad-data jsir konxju li d-data personali li jkun irċieva ma tkunx preċiża, jew tkun skadiet, dan għandu jinforma lill-esportatur tad-data mingħajr dewmien żejjed. F’dan il-każ, l-importatur tad-data għandu jikkoopera mal-esportatur tad-data biex jirrettifika jew iħassar id-data.

8.5.   Tul tal-ipproċessar u tħassir jew ritorn tad-data

L-ipproċessar mill-importatur tad-data għandu jsir biss għat-tul speċifikat fl-Anness I.B. Wara t-tmiem tal-provvista tas-servizzi tal-ipproċessar, l-importatur tad-data għandu, fuq l-għażla tal-esportatur tad-data, iħassar id-data personali kollha pproċessata f’isem il-kontrollur u jiċċertifika lill-esportatur tad-data li għamel dan, jew jirritorna lill-esportatur tad-data d-data personali kollha pproċessata f’ismu u jħassar kopji eżistenti. Sakemm id-data titħassar jew tintbagħat lura, l-importatur tad-data għandu jkompli jiżgura l-konformità ma’ dawn il-Klawżoli. Fil-każ ta’ liġijiet lokali applikabbli għall-importatur tad-data li jipprojbixxu r-ritorn jew it-tħassir tad-data personali, l-importatur tad-data jiggarantixxi li se jkompli jiżgura l-konformità ma’ dawn il-Klawżoli u jipproċessaha biss sal-punt u sakemm ikun meħtieġ skont dik il-liġi lokali. Dan huwa mingħajr preġudizzju għall-Klawżola 14, b’mod partikolari r-rekwiżit għall-importatur tad-data skont il-Klawżola 14(e) li jinnotifika lill-esportatur tad-data tul il-kuntratt kollu jekk ikollu raġuni biex jemmen li jkun jew li jkun sar soġġett għal liġijiet jew prattiki li mhumiex konformi mar-rekwiżiti skont il-Klawżola 14(a).

8.6.   Sigurtà tal-ipproċessar

(a)

L-importatur tad-data u, matul it-trażmissjoni, anke l-esportatur tad-data għandhom jimplimentaw miżuri tekniċi u organizzattivi xierqa biex jiżguraw is-sigurtà tad-data, inkluża l-protezzjoni kontra ksur ta’ sigurtà li jwassal għall-qerda, it-telf, l-alterazzjoni, l-iżvelar jew l-aċċess aċċidentali jew illegali għal dik id-data (minn hawn ’il quddiem “ksur ta’ data personali”). Meta jivvalutaw il-livell xieraq ta’ sigurtà, dawn għandhom iqisu kif xieraq l-ogħla livell ta’ żvilupp tekniku, l-ispejjeż tal-implimentazzjoni, in-natura, l-ambitu, il-kuntest u l-iskop(ijiet) tal-ipproċessar u r-riskji involuti fl-ipproċessar għas-suġġett tad-data. Il-Partijiet għandhom b’mod partikolari jikkunsidraw li jirrikorru għall-kriptaġġ jew il-psewdonimizzazzjoni, inkluż matul it-trażmissjoni, meta l-għan tal-ipproċessar jista’ jiġi ssodisfat b’dak il-mod. F’każ ta’ psewdonimizzazzjoni, l-informazzjoni addizzjonali għall-attribuzzjoni tad-data personali lil suġġett speċifiku tad-data għandha, fejn possibbli, tibqa’ taħt il-kontroll esklussiv tal-esportatur tad-data jew tal-kontrollur. Meta jikkonforma mal-obbligu tiegħu skont dan il-paragrafu, l-importatur tad-data għandu tal-inqas jimplimenta l-miżuri tekniċi u organizzattivi speċifikati fl-Anness II. L-importatur tad-data għandu jwettaq kontrolli regolari biex jiżgura li dawn il-miżuri jkomplu jipprovdu livell xieraq ta’ sigurtà.

(b)

L-importatur tad-data għandu jagħti aċċess għad-data lill-membri tal-persunal tiegħu biss sa fejn ikun strettament meħtieġ għall-implimentazzjoni, il-ġestjoni u l-monitoraġġ tal-kuntratt. Huwa għandu jiżgura li l-persuni awtorizzati biex jipproċessaw id-data personali jkunu impenjaw ruħhom li jżommu l-kunfidenzjalità jew li dawn ikunu taħt obbligu statutorju xieraq ta’ kunfidenzjalità.

(c)

F’każ ta’ ksur ta’ data personali li jikkonċerna data personali pproċessata mill-importatur tad-data skont dawn il-Klawżoli, l-importatur tad-data għandu jieħu miżuri xierqa biex jindirizza l-ksur, inklużi miżuri biex jitnaqqsu l-effetti avversi tiegħu. L-importatur tad-data għandu jinnotifika wkoll, mingħajr dewmien żejjed, lill-esportatur tad-data u, meta jkun xieraq u fattibbli, lill-kontrollur wara li jkun sar jaf bil-ksur. Tali notifika għandha tinkludi d-dettalji ta’ punt ta’ kuntatt fejn tkun tista’ tinkiseb aktar informazzjoni, deskrizzjoni tan-natura tal-ksur (inkluż, fejn possibbli, il-kategoriji u numru approssimattiv tas-suġġetti tad-data u tar-rekords tad-data personali kkonċernati), il-konsegwenzi probabbli tiegħu u l-miżuri meħuda jew proposti biex jiġi indirizzat il-ksur tad-data, inklużi miżuri biex jittaffew l-effetti avversi possibbli tiegħu. Meta, u sa fejn, ma jkunx possibbli li tiġi pprovduta l-informazzjoni kollha fl-istess ħin, in-notifika inizjali għandha tinkludi l-informazzjoni disponibbli f’dak il-waqt u informazzjoni ulterjuri għandha tiġi pprovduta sussegwentement, hekk kif issir disponibbli, mingħajr dewmien żejjed.

(d)

L-importatur tad-data għandu jikkoopera mal-esportatur tad-data u jassistih biex jippermetti lill-esportatur tad-data jikkonforma mal-obbligi tiegħu skont ir-Regolament (UE) 2016/679, b’mod partikolari li jinnotifika lill-kontrollur tiegħu biex dan tal-aħħar ikun jista’ min-naħa tiegħu jinnotifika lill-awtorità superviżorja kompetenti u lis-suġġetti tad-data affettwati, filwaqt li titqies in-natura tal-ipproċessar u l-informazzjoni disponibbli għall-importatur tad-data.

8.7.    Data sensittiva

Meta t-trasferiment jinvolvi data personali li tiżvela l-oriġini razzjali jew etnika, opinjonijiet politiċi, twemmin reliġjuż jew filosofiku, jew sħubija fi trade union, data ġenetika, jew data bijometrika bl-għan li tiġi identifikata unikament persuna fiżika, data li tikkonċerna s-saħħa jew il-ħajja sesswali jew l-orjentazzjoni sesswali ta’ persuna, jew data relatata ma’ kundanni u reati kriminali (minn hawn ’il quddiem “data sensittiva”), l-importatur tad-data għandu japplika r-restrizzjonijiet speċifiċi u/jew is-salvagwardji addizzjonali deskritti fl-Anness I.B.

8.8.   Trasferimenti ulterjuri

L-importatur tad-data għandu jiżvela biss id-data personali lil parti terza fuq struzzjonijiet dokumentati mill-kontrollur, kif ikkomunikati lill-importatur tad-data mill-esportatur tad-data. Minbarra dan, id-data tista’ tiġi żvelata lil parti terza li tinsab barra mill-Unjoni Ewropea (6) (fl-istess pajjiż bħall-importatur tad-data jew f’pajjiż terz ieħor, minn hawn ’il quddiem “trasferiment ulterjuri”) biss jekk il-parti terza tkun marbuta jew taqbel li tkun marbuta b’dawn il-Klawżoli, taħt il-Modulu xieraq, jew jekk:

(i)

it-trasferiment ulterjuri jkun lil pajjiż li jibbenefika minn deċiżjoni ta’ adegwatezza skont l-Artikolu 45 tar-Regolament (UE) 2016/679 li tkopri t-trasferiment ulterjuri;

(ii)

il-parti terza tiżgura b’mod ieħor salvagwardji xierqa skont l-Artikoli 46 jew 47 tar-Regolament (UE) 2016/679;

(iii)

it-trasferiment ulterjuri jkun meħtieġ għall-istabbiliment, l-eżerċizzju jew id-difiża ta’ talbiet legali fil-kuntest ta’ proċedimenti amministrattivi, regolatorji jew ġudizzjarji speċifiċi; jew

(iv)

it-trasferiment ulterjuri jkun meħtieġ sabiex jiġu protetti l-interessi vitali tas-suġġett tad-data jew ta’ persuna fiżika oħra.

Kwalunkwe trasferiment ulterjuri huwa soġġett għall-konformità mill-importatur tad-data mas-salvagwardji l-oħra kollha skont dawn il-Klawżoli, b’mod partikolari l-limitazzjoni tal-iskop.

8.9.   Dokumentazzjoni u konformità

(a)

L-importatur tad-data għandu minnufih u b’mod adegwat jittratta mistoqsijiet mill-esportatur tad-data jew mill-kontrollur li jkunu relatati mal-ipproċessar skont dawn il-Klawżoli.

(b)

Il-Partijiet għandhom ikunu jistgħu juru konformità ma’ dawn il-Klawżoli. B’mod partikolari, l-importatur tad-data għandu jżomm dokumentazzjoni xierqa dwar l-attivitajiet ta’ pproċessar imwettqa f’isem il-kontrollur.

(c)

L-importatur tad-data għandu jagħmel l-informazzjoni kollha meħtieġa biex juri konformità mal-obbligi stabbiliti f’dawn il-Klawżoli disponibbli għall-esportatur tad-data, li għandu jipprovdiha lill-kontrollur.

(d)

L-importatur tad-data għandu jippermetti u jikkontribwixxi għall-awditi mill-esportatur tad-data tal-attivitajiet ta’ pproċessar koperti minn dawn il-Klawżoli, f’intervalli raġonevoli jew jekk ikun hemm indikazzjonijiet ta’ nuqqas ta’ konformità. L-istess għandu japplika meta l-esportatur tad-data jitlob awditu fuq struzzjonijiet tal-kontrollur. Meta jiddeċiedi li jwettaq awditu, l-esportatur tad-data jista’ jqis iċ-ċertifikazzjonijiet rilevanti li jkollu l-importatur tad-data.

(e)

Meta l-awditu jitwettaq fuq l-istruzzjonijiet tal-kontrollur, l-esportatur tad-data għandu jagħmel ir-riżultati disponibbli għall-kontrollur.

(f)

L-esportatur tad-data jista’ jagħżel li jwettaq l-awditu huwa stess jew li jagħti mandat lil awditur indipendenti. L-awditi jistgħu jinkludu spezzjonijiet fil-bini jew fil-faċilitajiet fiżiċi tal-importatur tad-data u għandhom, fejn xieraq, jitwettqu b’avviż raġonevoli.

(g)

Il-Partijiet għandhom jagħmlu l-informazzjoni msemmija fil-paragrafi (b) u (c), inklużi r-riżultati ta’ kwalunkwe awditu, disponibbli għall-awtorità superviżorja kompetenti fuq talba.

MODULU ERBGĦA: Trasferiment minn proċessur lil kontrollur

8.1.   Struzzjonijiet

(a)

L-esportatur tad-data għandu jipproċessa d-data personali biss fuq struzzjonijiet dokumentati mill-importatur tad-data li jaġixxi bħala l-kontrollur tiegħu.

(b)

L-esportatur tad-data għandu jinforma minnufih lill-importatur tad-data jekk ma jkunx jista’ jsegwi dawk l-istruzzjonijiet, inkluż jekk tali struzzjonijiet jiksru r-Regolament (UE) 2016/679 jew liġi oħra tal-Unjoni jew tal-Istat Membru dwar il-protezzjoni tad-data.

(c)

L-importatur tad-data għandu joqgħod lura minn kwalunkwe azzjoni li tipprevjeni lill-esportatur tad-data milli jissodisfa l-obbligi tiegħu skont ir-Regolament (UE) 2016/679, inkluż fil-kuntest tas-sottoproċessar jew fir-rigward tal-kooperazzjoni mal-awtoritajiet superviżorji kompetenti.

(d)

Wara t-tmiem tal-provvista tas-servizzi tal-ipproċessar, l-esportatur tad-data għandu, fuq l-għażla tal-importatur tad-data, iħassar id-data personali kollha pproċessata f’isem l-importatur tad-data u jiċċertifika lill-importatur tad-data li għamel dan, jew jirritorna lill-importatur tad-data d-data personali kollha pproċessata f’ismu u jħassar kopji eżistenti.

8.2.   Sigurtà tal-ipproċessar

(a)

Il-Partijiet għandhom jimplimentaw miżuri tekniċi u organizzattivi xierqa biex jiżguraw is-sigurtà tad-data, inkluż matul it-trażmissjoni, u l-protezzjoni kontra ksur ta’ sigurtà li jwassal għall-qerda, it-telf, l-alterazzjoni, l-iżvelar jew l-aċċess aċċidentali jew illegali (minn hawn ’il quddiem “ksur ta’ data personali”). Meta jivvalutaw il-livell xieraq ta’ sigurtà, huma għandhom iqisu kif xieraq l-ogħla livell ta’ żvilupp tekniku, l-ispejjeż tal-implimentazzjoni, in-natura tad-data personali (7), in-natura, l-ambitu, il-kuntest u l-iskop(ijiet) tal-ipproċessar u r-riskji involuti fl-ipproċessar għas-suġġetti tad-data, u b’mod partikolari jikkunsidraw li jirrikorru għall-kriptaġġ jew il-psewdonimizzazzjoni, inkluż matul it-trażmissjoni, fejn l-għan tal-ipproċessar jista’ jiġi ssodisfat b’dak il-mod.

(b)

L-esportatur tad-data għandu jassisti lill-importatur tad-data biex jiżgura sigurtà xierqa tad-data skont il-paragrafu (a). F’każ ta’ ksur ta’ data personali li jikkonċerna d-data personali pproċessata mill-esportatur tad-data skont dawn il-Klawżoli, l-esportatur tad-data għandu jinnotifika lill-importatur tad-data mingħajr dewmien żejjed wara li jkun sar konxju tiegħu u jassisti lill-importatur tad-data fl-indirizzar tal-ksur.

(c)

L-esportatur tad-data għandu jiżgura li l-persuni awtorizzati biex jipproċessaw id-data personali jkunu impenjaw ruħhom li jżommu l-kunfidenzjalità jew li jkunu taħt obbligu statutorju xieraq ta’ kunfidenzjalità.

8.3.   Dokumentazzjoni u konformità

(a)

Il-Partijiet għandhom ikunu jistgħu juru konformità ma’ dawn il-Klawżoli.

(b)

L-esportatur tad-data għandu jagħmel disponibbli għall-importatur tad-data l-informazzjoni kollha meħtieġa biex juri konformità mal-obbligi tiegħu skont dawn il-Klawżoli u jippermetti u jikkontribwixxi għall-awditi.

Klawżola 9

L-użu ta’ sottoproċessuri

MODULU TNEJN: Trasferiment minn kontrollur lil proċessur

(a)

OPZJONI 1: AWTORIZZAZZJONI SPEĊIFIKA MINN QABEL L-importatur tad-data ma għandu jissottokuntratta l-ebda waħda mill-attivitajiet ta’ pproċessar tiegħu mwettqa f’isem l-esportatur tad-data skont dawn il-Klawżoli lil sottoproċessur mingħajr l-awtorizzazzjoni bil-miktub speċifika minn qabel tal-esportatur tad-data. L-importatur tad-data għandu jissottometti t-talba għal awtorizzazzjoni speċifika mill-inqas [Speċifika l-perjodu ta’ żmien] qabel l-ingaġġ tas-sottoproċessur, flimkien mal-informazzjoni meħtieġa biex l-esportatur tad-data jkun jista’ jiddeċiedi dwar l-awtorizzazzjoni. Il-lista ta’ sottoproċessuri diġà awtorizzati mill-esportatur tad-data tinsab fl-Anness III. Il-Partijiet għandhom iżommu l-Anness III aġġornat.

OPZJONI 2: AWTORIZZAZZJONI ĠENERALI BIL-MIKTUB L-importatur tad-data għandu l-awtorizzazzjoni ġenerali tal-esportatur tad-data biex jingaġġa sottoproċessur(i) minn lista miftiehma. L-importatur tad-data għandu jinforma speċifikament lill-esportatur tad-data bil-miktub dwar kwalunkwe bidla maħsuba f’dik il-lista permezz taż-żieda jew is-sostituzzjoni tas-sottoproċessuri mill-inqas [Speċifika l-perjodu ta’ żmien] bil-quddiem, biex b’hekk l-esportatur tad-data jkollu biżżejjed żmien biex ikun jista’ joġġezzjona għal tali bidliet qabel l-ingaġġ tas-sottoproċessur(i). L-importatur tad-data għandu jipprovdi l-informazzjoni meħtieġa lill-esportatur tad-data biex dan ikun jista’ jeżerċita d-dritt tiegħu li joġġezzjona.

(b)

Meta l-importatur tad-data jingaġġa sottoproċessur biex iwettaq attivitajiet speċifiċi ta’ pproċessar (f’isem l-esportatur tad-data), huwa għandu jagħmel dan permezz ta’ kuntratt bil-miktub li jipprevedi, fis-sustanza, l-istess obbligi ta’ protezzjoni tad-data bħal dawk li jorbtu lill-importatur tad-data skont dawn il-Klawżoli, inkluż f’termini tad-drittijiet ta’ parti terza benefiċjarja għas-suġġetti tad-data (8). Il-Partijiet jaqblu li, meta jikkonforma ma’ din il-Klawżola, l-importatur tad-data jkun qed jissodisfa l-obbligi tiegħu skont il-Klawżola 8.8. L-importatur tad-data għandu jiżgura li s-sottoproċessur jikkonforma mal-obbligi li għalihom huwa soġġett l-importatur tad-data skont dawn il-Klawżoli.

(c)

L-importatur tad-data għandu jipprovdi, fuq talba tal-esportatur tad-data, kopja ta’ tali ftehim ma’ sottoproċessur u kwalunkwe emenda sussegwenti lill-esportatur tad-data. Sa fejn ikun meħtieġ biex jiġu protetti s-sigrieti tan-negozju jew informazzjoni kunfidenzjali oħra, inkluża data personali, l-importatur tad-data jista’ jeditja t-test tal-ftehim qabel ma jqassam kopja.

(d)

L-importatur tad-data għandu jibqa’ kompletament responsabbli lejn l-esportatur tad-data għat-twettiq tal-obbligi tas-sottoproċessur skont il-kuntratt tiegħu mal-importatur tad-data. L-importatur tad-data għandu jinnotifika lill-esportatur tad-data bi kwalunkwe nuqqas mis-sottoproċessur li jissodisfa l-obbligi tiegħu skont dak il-kuntratt.

(e)

L-importatur tad-data għandu jaqbel dwar klawżola ta’ benefiċjarju ta’ parti terza mas-sottoproċessur li biha - fil-każ li l-importatur tad-data jkun fattwalment għeb, waqaf jeżisti fil-liġi jew sar insolventi - l-esportatur tad-data għandu jkollu d-dritt li jtemm il-kuntratt tas-sottoproċessur u li jagħti struzzjonijiet lis-sottoproċessur biex iħassar jew jirritorna d-data personali.

MODULU TLIETA: Trasferiment minn proċessur lil proċessur

(a)

OPZJONI 1: AWTORIZZAZZJONI SPEĊIFIKA MINN QABEL L-importatur tad-data ma għandu jissottokuntratta l-ebda waħda mill-attivitajiet ta’ pproċessar tiegħu mwettqa f’isem l-esportatur tad-data skont dawn il-Klawżoli lil sottoproċessur mingħajr l-awtorizzazzjoni bil-miktub speċifika minn qabel tal-kontrollur. L-importatur tad-data għandu jissottometti t-talba għal awtorizzazzjoni speċifika mill-inqas [Speċifika l-perjodu ta’ żmien] qabel l-ingaġġ tas-sottoproċessur, flimkien mal-informazzjoni meħtieġa biex il-kontrollur tad-data jkun jista’ jiddeċiedi dwar l-awtorizzazzjoni. Huwa għandu jinforma lill-esportatur tad-data b’dan l-ingaġġ. Il-lista ta’ sottoproċessuri diġà awtorizzati mill-kontrollur tinsab fl-Anness III. Il-Partijiet għandhom iżommu l-Anness III aġġornat.

OPZJONI 2: AWTORIZZAZZJONI ĠENERALI BIL-MIKTUB L-importatur tad-data għandu l-awtorizzazzjoni ġenerali tal-kontrollur biex jingaġġa sottoproċessur(i) minn lista miftiehma. L-importatur tad-data għandu jinforma speċifikament lill-kontrollur bil-miktub dwar kwalunkwe bidla maħsuba f’dik il-lista permezz taż-żieda jew is-sostituzzjoni tas-sottoproċessuri mill-inqas [Speċifika l-perjodu ta’ żmien] bil-quddiem, biex b’hekk il-kontrollur ikollu biżżejjed żmien biex ikun jista’ joġġezzjona għal tali bidliet qabel l-ingaġġ tas-sottoproċessur(i). L-importatur tad-data għandu jipprovdi l-informazzjoni meħtieġa lill-kontrollur biex dan ikun jista’ jeżerċita d-dritt tiegħu li joġġezzjona. L-importatur tad-data għandu jinforma lill-esportatur tad-data bl-ingaġġ tas-sottoproċessur(i).

(b)

Meta l-importatur tad-data jingaġġa sottoproċessur biex iwettaq attivitajiet speċifiċi ta’ pproċessar (f’isem il-kontrollur), huwa għandu jagħmel dan permezz ta’ kuntratt bil-miktub li jipprevedi, fis-sustanza, l-istess obbligi ta’ protezzjoni tad-data bħal dawk li jorbtu lill-importatur tad-data skont dawn il-Klawżoli, inkluż f’termini tad-drittijiet ta’ parti terza benefiċjarja għas-suġġetti tad-data (9). Il-Partijiet jaqblu li, meta jikkonforma ma’ din il-Klawżola, l-importatur tad-data jkun qed jissodisfa l-obbligi tiegħu skont il-Klawżola 8.8. L-importatur tad-data għandu jiżgura li s-sottoproċessur jikkonforma mal-obbligi li għalihom huwa soġġett l-importatur tad-data skont dawn il-Klawżoli.

(c)

L-importatur tad-data għandu jipprovdi, fuq talba tal-esportatur tad-data jew tal-kontrollur, kopja ta’ tali ftehim ma’ sottoproċessur u kwalunkwe emenda sussegwenti. Sa fejn ikun meħtieġ biex jiġu protetti s-sigrieti tan-negozju jew informazzjoni kunfidenzjali oħra, inkluża data personali, l-importatur tad-data jista’ jeditja t-test tal-ftehim qabel ma jqassam kopja.

(d)

L-importatur tad-data għandu jibqa’ kompletament responsabbli lejn l-esportatur tad-data għat-twettiq tal-obbligi tas-sottoproċessur skont il-kuntratt tiegħu mal-importatur tad-data. L-importatur tad-data għandu jinnotifika lill-esportatur tad-data bi kwalunkwe nuqqas mis-sottoproċessur li jissodisfa l-obbligi tiegħu skont dak il-kuntratt.

(e)

L-importatur tad-data għandu jaqbel dwar klawżola ta’ benefiċjarju ta’ parti terza mas-sottoproċessur li biha - fil-każ li l-importatur tad-data jkun fattwalment għeb, waqaf jeżisti fil-liġi jew sar insolventi - l-esportatur tad-data għandu jkollu d-dritt li jittermina l-kuntratt tas-sottoproċessur u li jagħti struzzjonijiet lis-sottoproċessur biex iħassar jew jirritorna d-data personali.

Klawżola 10

Drittijiet tas-suġġetti tad-data

MODULU WIEĦED: Trasferiment minn kontrollur lil kontrollur

(a)

L-importatur tad-data, bl-assistenza tal-esportatur tad-data fejn ikun rilevanti, għandu jittratta kwalunkwe mistoqsija u talba li jirċievi minn suġġett tad-data relatata mal-ipproċessar tad-data personali tiegħu u l-eżerċizzju tad-drittijiet tiegħu skont dawn il-Klawżoli mingħajr dewmien żejjed u mhux aktar tard minn xahar minn meta jirċievi l-mistoqsija jew talba. (10) L-importatur tad-data għandu jieħu miżuri xierqa biex jiffaċilita tali mistoqsijiet u talbiet u l-eżerċizzju tad-drittijiet tas-suġġett tad-data. Kwalunkwe informazzjoni pprovduta lis-suġġett tad-data għandha tkun f’forma li tinftiehem u faċilment aċċessibbli, bl-użu ta’ lingwaġġ ċar u sempliċi.

(b)

B’mod partikolari, fuq talba tas-suġġett tad-data, l-importatur tad-data għandu, mingħajr ħlas:

(i)

jipprovdi konferma lis-suġġett tad-data dwar jekk id-data personali li tikkonċernah tkunx qed tiġi pproċessata u, fejn dan ikun il-każ, kopja tad-data relatata miegħu u l-informazzjoni fl-Anness I; jekk id-data personali tkun ġiet trasferita jew tkun se tiġi trasferita ulterjorment, jipprovdi informazzjoni dwar ir-riċevituri jew il-kategoriji ta’ riċevituri (kif xieraq bil-għan li tiġi pprovduta informazzjoni sinifikanti) li d-data personali tkun ġiet trasferita lilhom jew tkun se tiġi trasferita ulterjorment lilhom, l-iskop ta’ tali trasferimenti ulterjuri u l-ġustifikazzjoni għalihom skont il-Klawsola 8.7; u jipprovdi informazzjoni dwar id-dritt li jitressaq ilment quddiem awtorità superviżorja skont il-Klawżola 12(c)(i);

(ii)

jirrettifika data mhux preċiża jew mhux kompluta dwar is-suġġett tad-data;

(iii)

iħassar data personali dwar is-suġġett tad-data jekk tali data tkun qed tiġi jew tkun ġiet ipproċessata bi ksur ta’ xi waħda minn dawn il-Klawżoli li jiżguraw drittijiet ta’ partijiet terzi benefiċjarji, jew jekk is-suġġett tad-data jirtira l-kunsens li fuqu jkun ibbażat l-ipproċessar.

(c)

Meta l-importatur tad-data jipproċessa d-data personali għal finijiet ta’ kummerċjalizzazzjoni diretta, dan għandu jwaqqaf l-ipproċessar għal tali finijiet jekk is-suġġett tad-data joġġezzjona għalih.

(d)

L-importatur tad-data ma għandux jieħu deċiżjoni bbażata biss fuq l-ipproċessar awtomatizzat tad-data personali trasferita (minn hawn ’il quddiem “deċiżjoni awtomatizzata”), li tipproduċi effetti legali rigward is-suġġett tad-data jew bl-istess mod taffettwah b’mod sinifikanti, sakemm ma jkunx bil-kunsens espliċitu tas-suġġett tad-data jew jekk ikun awtorizzat jagħmel dan skont il-liġijiet tal-pajjiż ta’ destinazzjoni, sakemm tali liġijiet jistabbilixxu miżuri xierqa għas-salvagwardja tad-drittijiet u l-interessi leġittimi tas-suġġett tad-data. F’dan il-każ, l-importatur tad-data għandu, fejn meħtieġ f’kooperazzjoni mal-esportatur tad-data:

(i)

jinforma lis-suġġett tad-data dwar id-deċiżjoni awtomatizzata prevista, il-konsegwenzi previsti, u l-loġika involuta; u

(ii)

jimplimenta salvagwardji xierqa, tal-inqas billi jippermetti lis-suġġett tad-data jikkontesta d-deċiżjoni, jesprimi l-opinjoni tiegħu u jikseb rieżami minn bniedem.

(e)

Meta t-talbiet minn suġġett tad-data jkunu eċċessivi, b’mod partikolari minħabba l-karattru ripetittiv tagħhom, l-importatur tad-data jista’ jew jitlob ħlas raġonevoli filwaqt li jqis l-ispejjeż amministrattivi biex jissodisfa t-talba jew jirrifjuta li jaġixxi fuq it-talba.

(f)

L-importatur tad-data jista’ jirrifjuta talba ta’ suġġett tad-data jekk tali rifjut ikun permess skont il-liġijiet tal-pajjiż ta’ destinazzjoni u jkun meħtieġ u proporzjonat f’soċjetà demokratika biex jipproteġi wieħed mill-objettivi elenkati fl-Artikolu 23(1) tar-Regolament (UE) 2016/679.

(g)

Jekk l-importatur tad-data jkollu l-ħsieb li jirrifjuta talba ta’ suġġett tad-data, dan għandu jinforma lis-suġġett tad-data bir-raġunijiet għar-rifjut u dwar il-possibbiltà li jressaq ilment mal-awtorità superviżorja kompetenti u/jew li jitlob rimedju ġudizzjarju.

MODULU TNEJN: Trasferiment minn kontrollur lil proċessur

(a)

L-importatur tad-data għandu jinnotifika minnufih lill-esportatur tad-data dwar kwalunkwe talba li jkun irċieva mingħand suġġett tad-data. Huwa ma għandux iwieġeb għal dik it-talba huwa stess sakemm ma jkunx ġie awtorizzat jagħmel dan mill-esportatur tad-data.

(b)

L-importatur tad-data għandu jassisti lill-esportatur tad-data biex dan jissodisfa l-obbligi tiegħu li jwieġeb għat-talbiet tas-suġġetti tad-data biex jeżerċitaw id-drittijiet tagħhom skont ir-Regolament (UE) 2016/679. F’dan ir-rigward, il-Partijiet għandhom jistabbilixxu fl-Anness II il-miżuri tekniċi u organizzattivi xierqa li permezz tagħhom għandha tiġi pprovduta l-assistenza, kif ukoll il-kamp ta’ applikazzjoni u l-firxa tal-assistenza meħtieġa, filwaqt li jqisu n-natura tal-ipproċessar.

(c)

Fit-twettiq tal-obbligi tiegħu skont il-paragrafi (a) u (b), l-importatur tad-data għandu jikkonforma mal-istruzzjonijiet mill-esportatur tad-data.

MODULU TLIETA: Trasferiment minn proċessur lil proċessur

(a)

L-importatur tad-data għandu jinnotifika minnufih lill-esportatur tad-data u, fejn xieraq, lill-kontrollur dwar kwalunkwe talba li jkun irċieva mingħand suġġett tad-data, mingħajr ma jwieġeb għal dik it-talba sakemm ma jkunx ġie awtorizzat jagħmel dan mill-kontrollur.

(b)

L-importatur tad-data għandu jassisti lill-kontrollur, fejn xieraq f’kooperazzjoni mal-esportatur tad-data, fit-twettiq tal-obbligi tiegħu li jwieġeb għat-talbiet tas-suġġetti tad-data biex jeżerċitaw id-drittijiet tagħhom skont ir-Regolament (UE) 2016/679 jew ir-Regolament (UE) 2018/1725, kif applikabbli. F’dan ir-rigward, il-Partijiet għandhom jistabbilixxu fl-Anness II il-miżuri tekniċi u organizzattivi xierqa li permezz tagħhom għandha tiġi pprovduta l-assistenza, kif ukoll il-kamp ta’ applikazzjoni u l-firxa tal-assistenza meħtieġa, filwaqt li jqisu n-natura tal-ipproċessar.

(c)

Fit-twettiq tal-obbligi tiegħu skont il-paragrafi (a) u (b), l-importatur tad-data għandu jikkonforma mal-istruzzjonijiet mingħand il-kontrollur, kif ikkomunikati mill-esportatur tad-data.

MODULU ERBGĦA: Trasferiment minn proċessur lil kontrollur

Il-Partijiet għandhom jassistu lil xulxin biex iwieġbu għall-mistoqsijiet u t-talbiet magħmula mis-suġġetti tad-data lill-importatur tad-data skont il-liġi lokali applikabbli jew, għall-ipproċessar tad-data fl-UE, skont ir-Regolament (UE) 2016/679.

Klawżola 11

Rimedju

(a)

L-importatur tad-data għandu jinforma lis-suġġetti tad-data f’format trasparenti u faċilment aċċessibbli, permezz ta’ avviż individwali jew fuq is-sit web tiegħu, rigward punt ta’ kuntatt awtorizzat biex jittratta l-ilmenti. Dan għandu jindirizza minnufih kwalunkwe lment li jirċievi mingħand suġġett tad-data.

[OPZJONI: L-importatur tad-data jaqbel li s-suġġetti tad-data jistgħu jippreżentaw ukoll ilment ma’ korp indipendenti għas-soluzzjoni tat-tilwim (11) mingħajr ebda spiża għas-suġġett tad-data. Huwa għandu jinforma lis-suġġetti tad-data, bil-mod stabbilit fil-paragrafu (a), dwar tali mekkaniżmu ta’ rimedju u li mhumiex meħtieġa jużawh, jew li jsegwu sekwenza partikolari meta jfittxu rimedju.]

MODULU WIEĦED: Trasferiment minn kontrollur lil kontrollur

MODULU TNEJN: Trasferiment minn kontrollur lil proċessur

MODULU TLIETA: Trasferiment minn proċessur lil proċessur

(b)

F’każ ta’ tilwima bejn suġġett tad-data u waħda mill-Partijiet fir-rigward tal-konformità ma’ dawn il-Klawżoli, dik il-Parti għandha tagħmel l-aħjar sforzi li tista’ biex issolvi l-kwistjoni b’mod amikevoli u fil-ħin. Il-Partijiet għandhom iżommu lil xulxin informati dwar tali tilwim u, fejn xieraq, jikkooperaw biex isolvuh.

(c)

Meta s-suġġett tad-data jinvoka dritt ta’ parti terza benefiċjarja skont il-Klawżola 3, l-importatur tad-data għandu jaċċetta d-deċiżjoni tas-suġġett tad-data li:

(i)

iressaq ilment quddiem l-awtorità superviżorja fl-Istat Membru tar-residenza abitwali jew tal-post tax-xogħol tiegħu, jew quddiem l-awtorità superviżorja kompetenti skont il-Klawżola 13;

(ii)

jirreferi t-tilwima lill-qrati kompetenti skont it-tifsira tal-klawżola 18.

(d)

Il-Partijiet jaċċettaw li s-suġġett tad-data jista’ jkun irrappreżentat minn korp, organizzazzjoni jew assoċjazzjoni mingħajr skop ta’ qligħ skont il-kundizzjonijiet stabbiliti fl-Artikolu 80(1) tar-Regolament (UE) 2016/679.

(e)

L-importatur tad-data għandu jaċċetta li jikkonforma ma’ deċiżjoni li tkun vinkolanti skont il-liġi applikabbli tal-UE jew tal-Istat Membru.

(f)

L-importatur tad-data jaqbel li l-għażla magħmula mis-suġġett tad-data ma tkunx se tippreġudika d-drittijiet sostantivi u proċedurali tiegħu biex jitlob rimedji skont il-liġijiet applikabbli.

Klawżola 12

Responsabbiltà

MODULU WIEĦED: Trasferiment minn kontrollur lil kontrollur

MODULU ERBGĦA: Trasferiment minn proċessur lil kontrollur

(a)

Kull Parti għandha tkun responsabbli lejn il-Parti(jiet) l-oħra għal kwalunkwe dannu li tikkawża lill-Parti(jiet) l-oħra bi kwalunkwe ksur ta’ dawn il-Klawżoli.

(b)

Kull Parti għandha tkun responsabbli lejn is-suġġett tad-data, u s-suġġett tad-data għandu jkun intitolat li jirċievi kumpens, għal kwalunkwe dannu materjali jew mhux materjali li l-Parti tikkawża lis-suġġett tad-data billi tikser id-drittijiet tal-parti terza benefiċjarja skont dawn il-Klawżoli. Dan huwa mingħajr preġudizzju għar-responsabbiltà tal-esportatur tad-data skont ir-Regolament (UE) 2016/679.

(c)

Meta aktar minn Parti waħda tkun responsabbli għal kwalunkwe dannu kkawżat lis-suġġett tad-data b’riżultat ta’ ksur ta’ dawn il-Klawżoli, il-Partijiet responsabbli kollha għandhom ikunu responsabbli in solidum u s-suġġett tad-data jkun intitolat li jressaq kawża quddiem il-qorti kontra kwalunkwe waħda minn dawn il-Partijiet.

(d)

Il-Partijiet jaqblu li jekk Parti waħda tinżamm responsabbli skont il-paragrafu (c), hija għandha tkun intitolata li titlob lura mill-Parti/Partijiet l-oħra dik il-parti tal-kumpens li tikkorrispondi għar-responsabbiltà tagħha/tagħhom għad-dannu.

(e)

L-importatur tad-data ma jistax jinvoka l-imġiba ta’ proċessur jew sottoproċessur biex jevita r-responsabbiltà tiegħu stess.

MODULU TNEJN: Trasferiment minn kontrollur lil proċessur

MODULU TLIETA: Trasferiment minn proċessur lil proċessur

(a)

Kull Parti għandha tkun responsabbli lejn il-Parti(jiet) l-oħra għal kwalunkwe dannu li tikkawża lill-Parti(jiet) l-oħra bi kwalunkwe ksur ta’ dawn il-Klawżoli.

(b)

L-importatur tad-data għandu jkun responsabbli lejn is-suġġett tad-data, u s-suġġett tad-data għandu jkun intitolat li jirċievi kumpens, għal kwalunkwe dannu materjali jew mhux materjali li l-importatur tad-data jew is-sottoproċessur tiegħu jikkawża lis-suġġett tad-data billi jikser id-drittijiet tal-parti terza benefiċjarja skont dawn il-Klawżoli.

(c)

Minkejja l-paragrafu (b), l-esportatur tad-data għandu jkun responsabbli lejn is-suġġett tad-data, u s-suġġett tad-data għandu jkun intitolat li jirċievi kumpens, għal kwalunkwe dannu materjali jew mhux materjali li l-esportatur tad-data jew l-importatur tad-data (jew is-sottoproċessur tiegħu) jikkawża lis-suġġett tad-data billi jikser id-drittijiet tal-parti terza benefiċjarja skont dawn il-Klawżoli. Dan huwa mingħajr preġudizzju għar-responsabbiltà tal-esportatur tad-data u, fejn l-esportatur tad-data jkun proċessur li jaġixxi f’isem kontrollur, għar-responsabbiltà tal-kontrollur skont ir-Regolament (UE) 2016/679 jew ir-Regolament (UE) 2018/1725, kif applikabbli.

(d)

Il-Partijiet jaqblu li jekk l-esportatur tad-data jinżamm responsabbli skont il-paragrafu (c) għad-danni kkawżati mill-importatur tad-data (jew mis-sottoproċessur tiegħu), huwa għandu jkun intitolat li jitlob lura mingħand l-importatur tad-data dik il-parti mill-kumpens li tikkorrispondi għar-responsabbiltà tal-importatur tad-data għad-dannu.

(e)

Meta aktar minn Parti waħda tkun responsabbli għal kwalunkwe dannu kkawżat lis-suġġett tad-data b’riżultat ta’ ksur ta’ dawn il-Klawżoli, il-Partijiet responsabbli kollha għandhom ikunu responsabbli in solidum u s-suġġett tad-data jkun intitolat li jressaq kawża quddiem il-qorti kontra kwalunkwe waħda minn dawn il-Partijiet.

(f)

Il-Partijiet jaqblu li jekk Parti waħda tinżamm responsabbli skont il-paragrafu (e), hija għandha tkun intitolata li titlob lura mill-Parti/Partijiet l-oħra dik il-parti tal-kumpens li tikkorrispondi għar-responsabbiltà tagħha/tagħhom għad-dannu.

(g)

L-importatur tad-data ma jistax jinvoka l-imġiba ta’ sottoproċessur biex jevita r-responsabbiltà tiegħu stess.

Klawżola 13

Superviżjoni

MODULU WIEĦED: Trasferiment minn kontrollur lil kontrollur

MODULU TNEJN: Trasferiment minn kontrollur lil proċessur

MODULU TLIETA: Trasferiment minn proċessur lil proċessur

(a)

[Meta l-esportatur tad-data jkun stabbilit fi Stat Membru tal-UE:] L-awtorità superviżorja responsabbli biex tiżgura l-konformità mill-esportatur tad-data mar-Regolament (UE) 2016/679 fir-rigward tat-trasferiment tad-data, kif indikat fl-Anness I.C, għandha taġixxi bħala awtorità superviżorja kompetenti.

[Meta l-esportatur tad-data ma jkunx stabbilit fi Stat Membru tal-UE, iżda jaqa’ fil-kamp ta’ applikazzjoni territorjali tar-Regolament (UE) 2016/679 f’konformità mal-Artikolu 3(2) tiegħu u jkun ħatar rappreżentant skont l-Artikolu 27(1) tar-Regolament (UE) 2016/679:] L-awtorità superviżorja tal-Istat Membru li fih ikun stabbilit ir-rappreżentant skont it-tifsira tal-Artikolu 27(1) tar-Regolament (UE) 2016/679, kif indikat fl-Anness I.C, għandha taġixxi bħala awtorità superviżorja kompetenti.

[Meta l-esportatur tad-data ma jkunx stabbilit fi Stat Membru tal-UE, iżda jaqa’ fil-kamp ta’ applikazzjoni territorjali tar-Regolament (UE) 2016/679 f’konformità mal-Artikolu 3(2) tiegħu mingħajr madankollu ma jkollu għalfejn jaħtar rappreżentant skont l-Artikolu 27(2) tar-Regolament (UE) 2016/679:] L-awtorità superviżorja ta’ wieħed mill-Istati Membri fejn jinsabu s-suġġetti tad-data li d-data personali tagħhom tiġi ttrasferita skont dawn il-Klawżoli fir-rigward tal-offerta ta’ prodotti jew servizzi lilhom, jew li l-imġiba tagħhom tiġi mmonitorjata, kif indikat fl-Anness I.C, għandha taġixxi bħala awtorità superviżorja kompetenti.

(b)

L-importatur tad-data jaqbel li jissottometti lilu nnifsu għall-ġuriżdizzjoni tal-awtorità superviżorja kompetenti u jikkoopera magħha fi kwalunkwe proċedura li jkollha l-għan li tiżgura l-konformità ma’ dawn il-Klawżoli. B’mod partikolari, l-importatur tad-data jaqbel li jwieġeb għall-mistoqsijiet, jissottometti ruħu għall-awditi u jikkonforma mal-miżuri adottati mill-awtorità superviżorja, inklużi miżuri ta’ rimedju u ta’ kumpens. Huwa għandu jipprovdi lill-awtorità superviżorja konferma bil-miktub li ttieħdu l-azzjonijiet meħtieġa.

TAQSIMA III – LIĠIJIET U OBBLIGI LOKALI F’KAŻ TA’ AĊĊESS MILL-AWTORITAJIET PUBBLIĊI

Klawżola 14

Liġijiet u prattiki lokali li jaffettwaw il-konformità mal-Klawżoli

MODULU WIEĦED: Trasferiment minn kontrollur lil kontrollur

MODULU TNEJN: Trasferiment minn kontrollur lil proċessur

MODULU TLIETA: Trasferiment minn proċessur lil proċessur

MODULU ERBGĦA: Trasferiment minn proċessur lil kontrollur (meta l-proċessur tal-UE jgħaqqad id-data personali riċevuta mill-kontrollur ta’ pajjiż terz ma’ data personali miġbura mill-proċessur fl-UE)

(a)

Il-Partijiet jiggarantixxu li ma għandhom l-ebda raġuni biex jemmnu li l-liġijiet u l-prattiki fil-pajjiż terz ta’ destinazzjoni applikabbli għall-ipproċessar tad-data personali mill-importatur tad-data, inkluż kwalunkwe rekwiżit biex tiġi żvelata data personali jew kwalunkwe miżura li tawtorizza l-aċċess mill-awtoritajiet pubbliċi, jipprevjenu lill-importatur tad-data milli jissodisfa l-obbligi tiegħu skont dawn il-Klawżoli. Dan huwa bbażat fuq il-fehim li l-liġijiet u l-prattiki li jirrispettaw l-essenza tad-drittijiet u l-libertajiet fundamentali u li ma jaqbżux dak li huwa meħtieġ u proporzjonat f’soċjetà demokratika biex jiġi ssalvagwardjat wieħed mill-objettivi elenkati fl-Artikolu 23(1) tar-Regolament (UE) 2016/679, ma jikkontradixxux dawn il-Klawżoli.

(b)

Il-Partijiet jiddikjaraw li meta qed jipprovdu l-garanzija fil-paragrafu (a), huma jkunu qiesu b’mod dovut u b’mod partikolari l-elementi li ġejjin:

(i)

iċ-ċirkostanzi speċifiċi tat-trasferiment, inkluż it-tul tal-katina tal-ipproċessar, l-għadd ta’ atturi involuti u l-kanali ta’ trażmissjoni użati; trasferimenti ulterjuri maħsuba; it-tip ta’ riċevitur; l-iskop tal-ipproċessar; il-kategoriji u l-format tad-data personali trasferita; is-settur ekonomiku li fih iseħħ it-trasferiment; il-post tal-ħżin tad-data trasferita;

(ii)

il-liġijiet u l-prattiki tal-pajjiż terz ta’ destinazzjoni – inklużi dawk li jeħtieġu l-iżvelar ta’ data lill-awtoritajiet pubbliċi jew li jawtorizzaw aċċess minn dawn l-awtoritajiet – rilevanti fid-dawl taċ-ċirkostanzi speċifiċi tat-trasferiment, u l-limitazzjonijiet u s-salvagwardji applikabbli (12);

(iii)

kwalunkwe salvagwardja kuntrattwali, teknika jew organizzattiva rilevanti stabbilita biex tissupplimenta s-salvagwardji skont dawn il-Klawżoli, inklużi miżuri applikati matul it-trażmissjoni u għall-ipproċessar tad-data personali fil-pajjiż ta’ destinazzjoni.

(c)

L-importatur tad-data jiggarantixxi li, fit-twettiq tal-valutazzjoni skont il-paragrafu (b), għamel l-aħjar sforzi tiegħu biex jipprovdi informazzjoni rilevanti lill-esportatur tad-data u jaqbel li se jkompli jikkoopera mal-esportatur tad-data biex jiżgura konformità ma’ dawn il-Klawżoli.

(d)

Il-Partijiet jaqblu li jiddokumentaw il-valutazzjoni skont il-paragrafu (b) u jagħmluha disponibbli għall-awtorità superviżorja kompetenti fuq talba.

(e)

L-importatur tad-data jaqbel li jinnotifika minnufih lill-esportatur tad-data jekk, wara li jkun qabel ma’ dawn il-Klawżoli u sakemm idum il-kuntratt, ikollu raġuni biex jemmen li huwa jkun, jew li jkun sar soġġett, għal liġijiet jew prattiki mhux konformi mar-rekwiżiti skont il-paragrafu (a), inkluż wara bidla fil-liġijiet fil-pajjiż terz jew miżura (bħal talba ta’ żvelar) li tindika applikazzjoni ta’ tali liġijiet fil-prattika li mhix konformi mar-rekwiżiti fil-paragrafu (a). [Għall-Modulu Tlieta: L-esportatur tad-data għandu jibgħat in-notifika lill-kontrollur.]

(f)

Wara notifika skont il-paragrafu (e), jew jekk l-esportatur tad-data b’xi mod ieħor ikollu raġuni biex jemmen li l-importatur tad-data ma jistax jibqa’ jissodisfa l-obbligi tiegħu skont dawn il-Klawżoli, l-esportatur tad-data għandu jidentifika minnufih miżuri xierqa (pereżempju, miżuri tekniċi jew organizzattivi biex jiġu żgurati s-sigurtà u l-kunfidenzjalità) li għandhom jiġu adottati mill-esportatur tad-data u/jew mill-importatur tad-data biex tiġi indirizzata s-sitwazzjoni, [għall-Modulu Tlieta:, jekk ikun xieraq f’konsultazzjoni mal-kontrollur]. L-esportatur tad-data għandu jissospendi t-trasferiment tad-data jekk iqis li ma tista’ tiġi żgurata l-ebda salvagwardja xierqa għal tali trasferiment, jew jekk jingħata struzzjonijiet minn [għall-Modulu Tlieta: il-kontrollur jew] l-awtorità superviżorja kompetenti biex jagħmel dan. F’dan il-każ, l-esportatur tad-data għandu jkun intitolat li jittermina l-kuntratt, sa fejn jikkonċerna l-ipproċessar ta’ data personali skont dawn il-Klawżoli. Jekk il-kuntratt jinvolvi aktar minn żewġ Partijiet, l-esportatur tad-data jista’ jeżerċita dan id-dritt għat-terminazzjoni biss fir-rigward tal-Parti rilevanti, sakemm il-Partijiet ma jkunux qablu mod ieħor. Meta l-kuntratt jiġi tterminat skont din il-Klawżola, għandha tapplika l-Klawżola 16(d) u (e).

Klawżola 15

Obbligi tal-importatur tad-data f’każ ta’ aċċess minn awtoritajiet pubbliċi

MODULU WIEĦED: Trasferiment minn kontrollur lil kontrollur

MODULU TNEJN: Trasferiment minn kontrollur lil proċessur

MODULU TLIETA: Trasferiment minn proċessur lil proċessur

MODULU ERBGĦA: Trasferiment minn proċessur lil kontrollur (meta l-proċessur tal-UE jgħaqqad id-data personali riċevuta mill-kontrollur ta’ pajjiż terz ma’ data personali miġbura mill-proċessur fl-UE)

15.1.   Notifika

(a)

L-importatur tad-data jaqbel li jinnotifika minnufih lill-esportatur tad-data u, fejn possibbli, lis-suġġett tad-data (jekk meħtieġ bl-għajnuna tal-esportatur tad-data) jekk huwa:

(i)

jirċievi talba legalment vinkolanti minn awtorità pubblika, inklużi awtoritajiet ġudizzjarji, skont il-liġijiet tal-pajjiż ta’ destinazzjoni għall-iżvelar ta’ data personali trasferita skont dawn il-Klawżoli; tali notifika għandha tinkludi informazzjoni dwar id-data personali mitluba, l-awtorità rikjedenti, il-bażi ġuridika għat-talba u t-tweġiba mogħtija; jew

(ii)

isir konxju ta’ kwalunkwe aċċess dirett mill-awtoritajiet pubbliċi għal data personali trasferita skont dawn il-Klawżoli f’konformità mal-liġijiet tal-pajjiż ta’ destinazzjoni; tali notifika għandha tinkludi l-informazzjoni kollha disponibbli għall-importatur.

[Għall-Modulu Tlieta: L-esportatur tad-data għandu jibgħat in-notifika lill-kontrollur.]

(b)

Jekk l-importatur tad-data jkun ipprojbit milli jinnotifika lill-esportatur tad-data u/jew lis-suġġett tad-data skont il-liġijiet tal-pajjiż ta’ destinazzjoni, l-importatur tad-data jaqbel li jagħmel l-aħjar sforzi tiegħu biex jikseb rinunzja tal-projbizzjoni, bil-għan li jikkomunika informazzjoni kemm possibbli u kemm jista’ jkun malajr. L-importatur tad-data jaqbel li jiddokumenta l-aħjar sforzi tiegħu sabiex ikun jista’ jurihom fuq talba tal-esportatur tad-data.

(c)

Fejn ikun permissibbli skont il-liġijiet tal-pajjiż tad-destinazzjoni, l-importatur tad-data jaqbel li jipprovdi lill-esportatur tad-data, f’intervalli regolari għat-tul tal-kuntratt, informazzjoni rilevanti kemm jista’ jkun possibbli dwar it-talbiet riċevuti (b’mod partikolari, l-għadd ta’ talbiet, it-tip ta’ data mitluba, l-awtorità/awtoritajiet rikjedenti, jekk it-talbiet ġewx ikkontestati u l-eżitu ta’ tali kontestazzjonijiet, eċċ.). [Għall-Modulu Tlieta: L-esportatur tad-data għandu jgħaddi l-informazzjoni lill-kontrollur.]

(d)

L-importatur tad-data jaqbel li jippreserva l-informazzjoni skont il-paragrafi (a) sa (c) għat-tul tal-kuntratt u jagħmilha disponibbli għall-awtorità superviżorja kompetenti fuq talba.

(e)

Il-paragrafi (a) sa (c) huma mingħajr preġudizzju għall-obbligu tal-importatur tad-data skont il-Klawżola 14(e) u l-Klawżola 16 li jinforma minnufih lill-esportatur tad-data meta ma jkunx jista’ jikkonforma ma’ dawn il-Klawżoli.

15.2.   Rieżami tal-legalità u minimizzazzjoni tad-data

(a)

L-importatur tad-data jaqbel li jirrevedi l-legalità tat-talba għall-iżvelar, b’mod partikolari jekk din tibqax fis-setgħat mogħtija lill-awtorità pubblika rikjedenti jew le, u li jikkontesta t-talba jekk, wara valutazzjoni bir-reqqa, jikkonkludi li hemm raġunijiet raġonevoli biex jitqies li t-talba mhijiex legali skont il-liġijiet tal-pajjiż tad-destinazzjoni, l-obbligi applikabbli skont il-liġi internazzjonali u l-prinċipji ta’ korteżija internazzjonali. L-importatur tad-data għandu, taħt l-istess kondizzjonijiet, ifittex possibbiltajiet ta’ appell. Meta jikkontesta talba, l-importatur tad-data għandu jitlob miżuri interim bil-għan li jissospendi l-effetti tat-talba sakemm l-awtorità ġudizzjarja kompetenti tkun iddeċidiet dwar il-merti tagħha. Huwa ma għandux jiżvela d-data personali mitluba sakemm ma jkunx meħtieġ jagħmel dan skont ir-regoli proċedurali applikabbli. Dawn ir-rekwiżiti huma mingħajr preġudizzju għall-obbligi tal-importatur tad-data skont il-Klawżola 14(e).

(b)

L-importatur tad-data jaqbel li jiddokumenta l-valutazzjoni legali tiegħu u kwalunkwe kontestazzjoni għat-talba għall-iżvelar u, sa fejn ikun permissibbli skont il-liġijiet tal-pajjiż ta’ destinazzjoni, jagħmel id-dokumentazzjoni disponibbli għall-esportatur tad-data. Għandu wkoll jagħmilha disponibbli għall-awtorità superviżorja kompetenti fuq talba. [Għall-Modulu Tlieta: L-esportatur tad-data għandu jagħmel il-valutazzjoni disponibbli għall-kontrollur.]

(c)

L-importatur tad-data jaqbel li jipprovdi l-ammont minimu ta’ informazzjoni permissibbli meta jwieġeb għal talba għall-iżvelar, abbażi ta’ interpretazzjoni raġonevoli tat-talba.

TAQSIMA IV – DISPOŻIZZJONIJIET FINALI

Klawżola 16

Nuqqas ta’ konformità mal-Klawżoli u terminazzjoni

(a)

L-importatur tad-data għandu jinforma minnufih lill-esportatur tad-data jekk għal kwalunkwe raġuni ma jkunx jista’ jikkonforma ma’ dawn il-Klawżoli.

(b)

F’każ li l-importatur tad-data jkun qed jikser dawn il-Klawżoli jew ma jkunx jista’ jikkonforma ma’ dawn il-Klawżoli, l-esportatur tad-data għandu jissospendi t-trasferiment ta’ data personali lill-importatur tad-data sakemm terġa’ tiġi żgurata l-konformità jew il-kuntratt jiġi tterminat. Dan huwa mingħajr preġudizzju għall-Klawżola 14(f).

(c)

L-esportatur tad-data għandu jkun intitolat li jittermina l-kuntratt, sa fejn jikkonċerna l-ipproċessar ta’ data personali skont dawn il-Klawżoli, meta:

(i)

l-esportatur tad-data jkun issospenda t-trasferiment ta’ data personali lill-importatur tad-data skont il-paragrafu (b) u l-konformità ma’ dawn il-Klawżoli ma tiġix restawrata fi żmien raġonevoli u fi kwalunkwe każ fi żmien xahar mis-sospensjoni;

(ii)

l-importatur tad-data jikser dawn il-Klawżoli b’mod sostanzjali jew persistenti; jew

(iii)

l-importatur tad-data jonqos milli jikkonforma ma’ deċiżjoni vinkolanti ta’ qorti kompetenti jew ta’ awtorità superviżorja dwar l-obbligi tiegħu skont dawn il-Klawżoli.

F’dawn il-każijiet, huwa għandu jinforma lill-awtorità superviżorja kompetenti [għall-Modulu Tlieta: u l-kontrollur] dwar tali nuqqas ta’ konformità. Meta l-kuntratt jinvolvi aktar minn żewġ Partijiet, l-esportatur tad-data jista’ jeżerċita dan id-dritt għat-terminazzjoni biss fir-rigward tal-Parti rilevanti, sakemm il-Partijiet ma jkunux qablu mod ieħor.

(d)

[Għall-Moduli Wieħed, Tnejn u Tlieta: Data personali li tkun ġiet ittrasferita qabel it-terminazzjoni tal-kuntratt skont il-paragrafu (c) għandha fuq l-għażla tal-esportatur tad-data tiġi rritornata minnufih lill-esportatur tad-data jew titħassar fl-intier tagħha. Dan għandu japplika wkoll għal kwalunkwe kopja tad-data.] [Għall-Modulu Erbgħa: Data personali miġbura mill-esportatur tad-data fl-UE li tkun ġiet ittrasferita qabel it-terminazzjoni tal-kuntratt skont il-paragrafu (c) għandha titħassar immedjatament fl-intier tagħha, inkluża kwalunkwe kopja tagħha.] L-importatur tad-data għandu jiċċertifika t-tħassir tad-data lill-esportatur tad-data. Sakemm id-data titħassar jew tintbagħat lura, l-importatur tad-data għandu jkompli jiżgura l-konformità ma’ dawn il-Klawżoli. Fil-każ ta’ liġijiet lokali applikabbli għall-importatur tad-data li jipprojbixxu r-ritorn jew it-tħassir tad-data personali trasferita, l-importatur tad-data jiggarantixxi li se jkompli jiżgura l-konformità ma’ dawn il-Klawżoli u jipproċessa d-data biss sal-punt u sakemm ikun meħtieġ skont dik il-liġi lokali.

(e)

Kull Parti tista’ tirrevoka l-qbil tagħha li tkun marbuta b’dawn il-Klawżoli meta (i) il-Kummissjoni Ewropea tadotta deċiżjoni skont l-Artikolu 45(3) tar-Regolament (UE) 2016/679 li tkopri t-trasferiment ta’ data personali li għalih japplikaw dawn il-Klawżoli; jew (ii) ir-Regolament (UE) 2016/679 isir parti mill-qafas legali tal-pajjiż li lilu tiġi ttrasferita d-data personali. Dan huwa mingħajr preġudizzju għal obbligi oħra li japplikaw għall-ipproċessar inkwistjoni skont ir-Regolament (UE) 2016/679.

Klawżola 17

Liġi regolatorja

MODULU WIEĦED: Trasferiment minn kontrollur lil kontrollur

MODULU TNEJN: Trasferiment minn kontrollur lil proċessur

MODULU TLIETA: Trasferiment minn proċessur lil proċessur

[OPZJONI 1: Dawn il-Klawżoli għandhom ikunu rregolati mil-liġi ta’ wieħed mill-Istati Membri tal-UE, dment li tali liġi tippermetti drittijiet ta’ partijiet terzi benefiċjarji. Il-Partijiet jaqblu li din għandha tkun il-liġi ta’ _______ (speċifika l-Istat Membru).]

[OPZJONI 2 (għall-Moduli Tnejn u Tlieta): Dawn il-Klawżoli għandhom ikunu rregolati mil-liġi tal-Istat Membru tal-UE li fih l-esportatur tad-data huwa stabbilit. Fejn tali liġi ma tippermettix drittijiet ta’ partijiet terzi benefiċjarji, dawn għandhom ikunu rregolati mil-liġi ta’ Stat Membru ieħor tal-UE li tippermetti drittijiet ta’ partijiet terzi benefiċjarji. Il-Partijiet jaqblu li din għandha tkun il-liġi ta’ _______ (speċifika l-Istat Membru).]

MODULU ERBGĦA: Trasferiment minn proċessur lil kontrollur

Dawn il-Klawżoli għandhom ikunu regolati mil-liġi ta’ pajjiż li jippermetti drittijiet ta’ partijiet terzi benefiċjarji. Il-Partijiet jaqblu li din għandha tkun il-liġi ta’ _______ (speċifika l-pajjiż).

Klawżola 18

Għażla ta’ forum u ġuriżdizzjoni

MODULU WIEĦED: Trasferiment minn kontrollur lil kontrollur

MODULU TNEJN: Trasferiment minn kontrollur lil proċessur

MODULU TLIETA: Trasferiment minn proċessur lil proċessur

(a)

Kwalunkwe tilwima li tirriżulta minn dawn il-Klawżoli għandha tiġi riżolta mill-qrati ta’ Stat Membru tal-UE.

(b)

Il-Partijiet jaqblu li dawn għandhom ikunu l-qrati ta’ _____ (speċifika l-Istat Membru).

(c)

Suġġett tad-data jista’ wkoll iressaq proċedimenti legali kontra l-esportatur tad-data u/jew l-importatur tad-data quddiem il-qrati tal-Istat Membru li fih ikollu r-residenza abitwali tiegħu.

(d)

Il-Partijiet jaqblu li jissottomettu lilhom infushom għall-ġuriżdizzjoni ta’ dawn il-qrati.

MODULU ERBGĦA: Trasferiment minn proċessur lil kontrollur

 

Kwalunkwe tilwima li tirriżulta minn dawn il-Klawżoli għandha tiġi riżolta mill-qrati ta’ _____ (speċifika l-pajjiż).


(1)  Meta l-esportatur tad-data jkun proċessur soġġett għar-Regolament (UE) 2016/679 li jaġixxi f’isem istituzzjoni jew korp tal-Unjoni bħala kontrollur, id-dipendenza fuq dawn il-Klawżoli meta jingaġġa proċessur ieħor (sottoproċessar) mhux soġġett għar-Regolament (UE) 2016/679 tiżgura wkoll il-konformità mal-Artikolu 29(4) tar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data, u li jħassar ir-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE (ĠU L 295, 21.11.2018, p. 39), sa fejn dawn il-Klawżoli u l-obbligi tal-protezzjoni tad-data kif stabbiliti fil-kuntratt jew f’att legali ieħor bejn il-kontrollur u l-proċessur skont l-Artikolu 29(3) tar-Regolament (UE) 2018/1725 ikunu allinjati. Dan ikun il-każ b’mod partikolari meta l-kontrollur u l-proċessur jiddependu fuq il-klawżoli kuntrattwali standard inklużi fid-Deċiżjoni 2021/915.

(2)  Dan jeħtieġ li d-data tiġi anonimizzata b’tali mod li l-individwu ma jibqa’ identifikabbli minn ħadd, f’konformità mal-premessa 26 tar-Regolament (UE) 2016/679, u li dan il-proċess ikun irriversibbli.

(3)  Il-Ftehim dwar iż-Żona Ekonomika Ewropea (il-Ftehim ŻEE) jipprevedi l-estensjoni tas-suq intern tal-Unjoni Ewropea għat-tliet Stati taż-ŻEE, l-Iżlanda, il-Liechtenstein u n-Norveġja. Il-leġiżlazzjoni tal-Unjoni dwar il-protezzjoni tad-data, inkluż ir-Regolament (UE) 2016/679, hija koperta mill-Ftehim ŻEE u ġiet inkorporata fl-Anness XI tiegħu. Għalhekk, l-ebda żvelar mill-importatur tad-data lil parti terza li tinsab fiż-ŻEE ma jikkwalifika bħala trasferiment ulterjuri għall-finijiet ta’ dawn il-Klawżoli.

(4)  Il-Ftehim dwar iż-Żona Ekonomika Ewropea (il-Ftehim ŻEE) jipprevedi l-estensjoni tas-suq intern tal-Unjoni Ewropea għat-tliet Stati taż-ŻEE, l-Iżlanda, il-Liechtenstein u n-Norveġja. Il-leġiżlazzjoni tal-Unjoni dwar il-protezzjoni tad-data, inkluż ir-Regolament (UE) 2016/679, hija koperta mill-Ftehim ŻEE u ġiet inkorporata fl-Anness XI tiegħu. Għalhekk, l-ebda żvelar mill-importatur tad-data lil parti terza li tinsab fiż-ŻEE ma tikkwalifika bħala trasferiment ulterjuri għall-finijiet ta’ dawn il-Klawżoli.

(5)  Ara l-Artikolu 28(4) tar-Regolament (UE) 2016/679 u, meta l-kontrollur ikun istituzzjoni jew korp tal-UE, l-Artikolu 29(4) tar-Regolament (UE) 2018/1725.

(6)  Il-Ftehim dwar iż-Żona Ekonomika Ewropea (il-Ftehim ŻEE) jipprevedi l-estensjoni tas-suq intern tal-Unjoni Ewropea għat-tliet Stati taż-ŻEE, l-Iżlanda, il-Liechtenstein u n-Norveġja. Il-leġiżlazzjoni tal-Unjoni dwar il-protezzjoni tad-data, inkluż ir-Regolament (UE) 2016/679, hija koperta mill-Ftehim ŻEE u ġiet inkorporata fl-Anness XI tiegħu. Għalhekk, l-ebda żvelar mill-importatur tad-data lil parti terza li tinsab fiż-ŻEE ma jikkwalifika bħala trasferiment ulterjuri għall-finijiet ta’ dawn il-Klawżoli.

(7)  Dan jinkludi jekk it-trasferiment u l-ipproċessar ulterjuri jinvolvux data personali li tiżvela l-oriġini razzjali jew etnika, opinjonijiet politiċi, twemmin reliġjuż jew filosofiku, jew is-sħubija fi trade union, data ġenetika, jew data bijometrika bl-għan li tiġi identifikata unikament persuna fiżika, data li tikkonċerna s-saħħa jew il-ħajja sesswali jew l-orjentazzjoni sesswali ta’ persuna, jew data relatata ma’ kundanni jew reati kriminali.

(8)  Dan ir-rekwiżit jista’ jiġi ssodisfat billi s-sottoproċessur jaderixxi ma’ dawn il-Klawżoli skont il-Modulu xieraq, skont il-Klawżola 7.

(9)  Dan ir-rekwiżit jista’ jiġi ssodisfat billi s-sottoproċessur jaderixxi ma’ dawn il-Klawżoli skont il-Modulu xieraq, skont il-Klawżola 7.

(10)  Dak il-perjodu jista’ jiġi estiż b’massimu ta’ xahrejn oħra, sa fejn ikun meħtieġ minħabba l-kumplessità u n-numru ta’ talbiet. L-importatur tad-data għandu jinforma lis-suġġett tad-data kif xieraq u fil-pront dwar kwalunkwe estensjoni bħal din.

(11)  L-importatur tad-data jista’ joffri soluzzjoni indipendenti għat-tilwim permezz ta’ korp ta’ arbitraġġ biss jekk ikun stabbilit f’pajjiż li jkun irratifika l-Konvenzjoni ta’ New York dwar l-Eżekuzzjoni ta’ Deċiżjonijiet ta’ Arbitraġġ.

(12)  Fir-rigward tal-impatt ta’ tali liġijiet u prattiki fuq il-konformità ma’ dawn il-Klawżoli, jistgħu jitqiesu elementi differenti bħala parti minn valutazzjoni ġenerali. Tali elementi jistgħu jinkludu esperjenza prattika rilevanti u dokumentata b’każijiet preċedenti ta’ talbiet għall-iżvelar minn awtoritajiet pubbliċi, jew in-nuqqas ta’ tali talbiet, li tkopri perjodu ta’ żmien rappreżentattiv biżżejjed. Dan jirreferi b’mod partikolari għal rekords interni jew dokumentazzjoni oħra, imfassla fuq bażi kontinwa f’konformità mad-diliġenza dovuta u ċċertifikati fil-livell ta’ maniġment superjuri, dment li din l-informazzjoni tista’ tiġi kondiviża legalment ma’ partijiet terzi. Meta din l-esperjenza prattika tintuża bħala bażi biex fuqha jiġi konkluż li l-importatur tad-data se jitħalla jikkonforma ma’ dawn il-Klawżoli, din jeħtieġ li tiġi appoġġata minn elementi oġġettivi rilevanti oħra, u hija r-responsabbiltà tal-Partijiet li jikkunsidraw bir-reqqa jekk dawn l-elementi għandhomx piż suffiċjenti flimkien, f’termini tal-affidabbiltà u r-rappreżentattività tagħhom, biex jappoġġaw din il-konklużjoni. B’mod partikolari, il-Partijiet iridu jqisu jekk l-esperjenza prattika tagħhom tkunx ikkorroborata u mhux kontradetta minn informazzjoni affidabbli, disponibbli għall-pubbliku jew aċċessibbli mod ieħor, dwar l-eżistenza jew in-nuqqas ta’ talbiet fl-istess settur u/jew mill-applikazzjoni tal-liġi fil-prattika, bħal ġurisprudenza u rapporti minn korpi indipendenti ta’ sorveljanza.


APPENDIĊI

NOTA TA’ SPJEGAZZJONI:

Għandu jkun possibbli li ssir distinzjoni ċara bejn l-informazzjoni applikabbli għal kull trasferiment jew kategorija ta’ trasferimenti u, f’dan ir-rigward, li jiġi/u ddeterminat(i) ir-rwol(i) rispettiv(i) tal-Partijiet bħala esportatur(i) tad-data u/jew importatur(i) tad-data. Dan mhux neċessarjament jeħtieġ l-ikkompletar u l-iffirmar ta’ Appendiċijiet separati għal kull trasferiment/kategorija ta’ trasferimenti u/jew relazzjoni kuntrattwali, meta din it-trasparenza tista’ tinkiseb permezz ta’ appendiċi wieħed. Madankollu, fejn ikun meħtieġ li tiġi żgurata ċarezza suffiċjenti, jenħtieġ li jintużaw appendiċijiet separati.


ANNESS I

A.   LISTA TAL-PARTIJIET

MODULU WIEĦED: Trasferiment minn kontrollur lil kontrollur

MODULU TNEJN: Trasferiment minn kontrollur lil proċessur

MODULU TLIETA: Trasferiment minn proċessur lil proċessur

MODULU ERBGĦA: Trasferiment minn proċessur lil kontrollur

Esportatur(i) tad-data: [L-identità u d-dettalji ta’ kuntatt tal-esportatur(i) tad-data u, fejn applikabbli, tal-uffiċjal tal-protezzjoni tad-data u/jew tar-rappreżentant tiegħu jew tagħhom fl-Unjoni Ewropea]

1.

Isem: …

Indirizz: …

L-isem, il-pożizzjoni u d-dettalji ta’ kuntatt tal-persuna ta’ kuntatt: …

Attivitajiet rilevanti għad-data trasferita skont dawn il-Klawżoli: …

Firma u data: …

Rwol (kontrollur/proċessur): …

2.

Importatur(i) tad-data: [L-identità u d-dettalji ta’ kuntatt tal-importatur(i) tad-data, inkluż kwalunkwe persuna ta’ kuntatt b’responsabbiltà għall-protezzjoni tad-data]

1.

Isem: …

Indirizz: …

L-isem, il-pożizzjoni u d-dettalji ta’ kuntatt tal-persuna ta’ kuntatt: …

Attivitajiet rilevanti għad-data trasferita skont dawn il-Klawżoli: …

Firma u data: …

Rwol (kontrollur/proċessur): …

2.

B.   DESKRIZZJONI TAT-TRASFERIMENT

MODULU WIEĦED: Trasferiment minn kontrollur lil kontrollur

MODULU TNEJN: Trasferiment minn kontrollur lil proċessur

MODULU TLIETA: Trasferiment minn proċessur lil proċessur

MODULU ERBGĦA: Trasferiment minn proċessur lil kontrollur

Il-kategoriji tas-suġġetti tad-data li d-data personali tagħhom tiġi ttrasferita

Il-kategoriji tad-data personali trasferita

Data sensittiva trasferita (jekk applikabbli) u r-restrizzjonijiet jew is-salvagwardji applikati li jqisu bis-sħiħ in-natura tad-data u r-riskji involuti, bħal pereżempju limitazzjoni stretta tal-iskop, restrizzjonijiet tal-aċċess (inkluż aċċess biss għal persunal li jkun segwa taħriġ speċjalizzat), iż-żamma ta’ rekord tal-aċċess għad-data, restrizzjonijiet għal trasferimenti ulterjuri jew miżuri ta’ sigurtà addizzjonali.

Il-frekwenza tat-trasferiment (eż. jekk id-data tiġix trasferita fuq bażi ta’ darba jew fuq bażi kontinwa).

In-natura tal-ipproċessar

L-iskop(ijiet) tat-trasferiment tad-data u tal-ipproċessar ulterjuri

Il-perjodu li matulu tkun se tinħażen id-data personali, jew jekk dak ma jkunx possibbli, il-kriterji użati biex jiġi ddeterminat dak il-perjodu

Għal trasferimenti lil (sotto)proċessuri, speċifika wkoll is-suġġett, in-natura u t-tul tal-ipproċessar

C.   AWTORITÀ SUPERVIŻORJA KOMPETENTI

MODULU WIEĦED: Trasferiment minn kontrollur lil kontrollur

MODULU TNEJN: Trasferiment minn kontrollur lil proċessur

MODULU TLIETA: Trasferiment minn proċessur lil proċessur

Identifika l-awtorità/awtoritajiet superviżorja/i kompetenti skont il-Klawżola 13


ANNESS II

MIŻURI TEKNIĊI U ORGANIZZATTIVI INKLUŻI MIŻURI TEKNIĊI U ORGANIZZATTIVI BIEX TIĠI ŻGURATA S-SIGURTÀ TAD-DATA

MODULU WIEĦED: Trasferiment minn kontrollur lil kontrollur

MODULU TNEJN: Trasferiment minn kontrollur lil proċessur

MODULU TLIETA: Trasferiment minn proċessur lil proċessur

NOTA TA’ SPJEGAZZJONI:

Il-miżuri tekniċi u organizzattivi jridu jiġu deskritti f’termini speċifiċi (u mhux ġeneriċi). Ara wkoll il-kumment ġenerali fuq l-ewwel paġna tal-Appendiċi, b’mod partikolari dwar il-ħtieġa li jiġi indikat b’mod ċar liema miżuri japplikaw għal kull trasferiment/sett ta’ trasferimenti.

Deskrizzjoni tal-miżuri tekniċi u organizzattivi implimentati mill-importatur(i) tad-data (inkluż kwalunkwe ċertifikazzjoni rilevanti) biex jiġi żgurat livell xieraq ta’ sigurtà, filwaqt li jitqiesu n-natura, il-kamp ta’ applikazzjoni, il-kuntest u l-iskop tal-ipproċessar, u r-riskji għad-drittijiet u l-libertajiet tal-persuni fiżiċi.

[Eżempji ta’ miżuri possibbli:

Miżuri ta’ psewdonimizzazzjoni u kriptaġġ tad-data personali

Miżuri biex jiġu żgurati l-kunfidenzjalità, l-integrità, id-disponibbiltà u r-reżiljenza kontinwi tas-sistemi u s-servizzi ta’ pproċessar

Miżuri biex tiġi żgurata l-kapaċità li jiġu rrestawrati d-disponibbiltà u l-aċċess għad-data personali fil-pront f’każ ta’ inċident fiżiku jew tekniku

Proċessi sabiex tiġi ttestjata, ivvalutata u evalwata l-effettività tal-miżuri tekniċi u organizzattivi biex tiġi żgurata s-sigurtà tal-ipproċessar

Miżuri għall-identifikazzjoni u l-awtorizzazzjoni tal-utent

Miżuri għall-protezzjoni tad-data waqt it-trażmissjoni

Miżuri għall-protezzjoni tad-data waqt il-ħżin

Miżuri biex tiġi żgurata s-sigurtà fiżika tal-postijiet li fihom tiġi pproċessata d-data personali

Miżuri għall-iżgurar tar-reġistrar tal-avvenimenti

Miżuri biex tiġi żgurata l-konfigurazzjoni tas-sistema, inkluża l-konfigurazzjoni prestabbilita

Miżuri għall-governanza u l-ġestjoni interni tal-IT u tas-sigurtà tal-IT

Miżuri għaċ-ċertifikazzjoni/l-assigurazzjoni tal-proċessi u tal-prodotti

Miżuri għall-iżgurar tal-minimizzazzjoni tad-data

Miżuri biex tiġi żgurata l-kwalità tad-data

Miżuri biex tiġi żgurata żamma limitata tad-data

Miżuri biex tiġi żgurata r-responsabbiltà

Miżuri li jippermettu l-portabbiltà tad-data u jiżguraw it-tħassir]

Għat-trasferimenti lil (sotto)proċessuri, iddeskrivi wkoll il-miżuri tekniċi u organizzattivi speċifiċi li għandhom jittieħdu mis-(sotto)proċessur sabiex ikun jista’ jipprovdi assistenza lill-kontrollur u, għal trasferimenti minn proċessur għal sottoproċessur, lill-esportatur tad-data


ANNESS III

LISTA TA’ SOTTOPROĊESSURI

MODULU TNEJN: Trasferiment minn kontrollur lil proċessur

MODULU TLIETA: Trasferiment minn proċessur lil proċessur

NOTA TA’ SPJEGAZZJONI:

Dan l-Anness irid jimtela għall-Moduli Tnejn u Tlieta, f’każ tal-awtorizzazzjoni speċifika ta’ sottoproċessuri (Klawżola 9(a), Opzjoni 1).

Il-kontrollur awtorizza l-użu tas-sottoproċessuri li ġejjin:

1.

Isem: …

Indirizz: …

L-isem, il-pożizzjoni u d-dettalji ta’ kuntatt tal-persuna ta’ kuntatt: …

Deskrizzjoni tal-ipproċessar (inkluża delimitazzjoni ċara tar-responsabbiltajiet f’każ li jiġu awtorizzati diversi sottoproċessuri): …

2.