02010D0087 — PL — 17.12.2016 — 001.001
Dokument ten służy wyłącznie do celów informacyjnych i nie ma mocy prawnej. Unijne instytucje nie ponoszą żadnej odpowiedzialności za jego treść. Autentyczne wersje odpowiednich aktów prawnych, włącznie z ich preambułami, zostały opublikowane w Dzienniku Urzędowym Unii Europejskiej i są dostępne na stronie EUR-Lex. Bezpośredni dostęp do tekstów urzędowych można uzyskać za pośrednictwem linków zawartych w dokumencie
DECYZJA KOMISJI z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (notyfikowana jako dokument nr C(2010) 593) (Tekst mający znaczenie dla EOG) (Dz.U. L 039 z 12.2.2010, s. 5) |
zmienione przez:
|
|
Dziennik Urzędowy |
||
nr |
strona |
data |
||
DECYZJA WYKONAWCZA KOMISJI (UE) 2016/2297 Tekst mający znaczenie dla EOG z dnia 16 grudnia 2016 r. |
L 344 |
100 |
17.12.2016 |
DECYZJA KOMISJI
z dnia 5 lutego 2010 r.
w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady
(notyfikowana jako dokument nr C(2010) 593)
(Tekst mający znaczenie dla EOG)
(2010/87/UE)
Artykuł 1
Standardowe klauzule umowne określone w załączniku uważa się za zapewniające odpowiednie gwarancje ochrony prywatności oraz podstawowych praw i wolności osób fizycznych oraz wykonywania odpowiednich praw zgodnie wymogami art. 26 ust. 2 dyrektywy 95/46/WE.
Artykuł 2
Niniejsza decyzja dotyczy jedynie odpowiedniego poziomu ochrony zapewnionej przez standardowe klauzule umowne określone w załączniku dotyczące przekazywania danych osobowych. Nie ma ona wpływu na stosowanie innych przepisów prawa krajowego wdrażających dyrektywę 95/46/WE, które dotyczą przetwarzania danych osobowych w państwach członkowskich.
Niniejsza decyzja ma zastosowanie do przekazywania danych osobowych przez administratorów danych prowadzących działalność gospodarczą w Unii Europejskiej do podmiotów odbierających dane prowadzących działalność gospodarczą poza Unią Europejską, którzy działają jedynie jako przetwarzający dane.
Artykuł 3
Do celów niniejszej decyzji stosuje się poniższe definicje:
a) „szczególne kategorie danych” oznaczają dane, o których mowa w art. 8 dyrektywy 95/46/WE;
b) „organ nadzorczy” oznacza organ, o którym mowa w art. 28 dyrektywy 95/46/WE;
c) „podmiot przekazujący dane” oznacza administratora danych, który przekazuje dane osobowe;
d) „podmiot odbierający dane” oznacza administratora danych prowadzącego działalność gospodarczą w państwie trzecim, który wyraża zgodę na otrzymywanie od podmiotu przekazującego danych osobowych w celu ich przetwarzania w imieniu podmiotu przekazującego po przekazaniu zgodnie z instrukcjami tego ostatniego i warunkami określonymi w niniejszej decyzji i który nie podlega systemowi państwa trzeciego zapewniającemu odpowiednią ochronę w rozumieniu art. 25 ust. 1 dyrektywy 95/46/WE;
e) „podwykonawca przetwarzania” oznacza jakikolwiek podmiot działający na zlecenie podmiotu odbierającego dane lub innego podwykonawcy przetwarzania realizującego zlecenie podmiotu odbierającego dane, który wyraża zgodę na otrzymywanie, od podmiotu odbierającego dane lub innego podwykonawcy przetwarzania realizującego zlecenie podmiotu odbierającego, danych osobowych przeznaczonych wyłącznie do ich przetworzenia w imieniu podmiotu przekazującego po przekazaniu zgodnie z instrukcjami tego ostatniego, standardowymi klauzulami umownymi ustalonymi w załączniku i warunkami sporządzonej na piśmie umowy o podwykonawstwo;
f) „właściwe prawo o ochronie danych” oznacza prawodawstwo chroniące podstawowe prawa i wolności osób fizycznych, a w szczególności ich prawo do prywatności w odniesieniu do przetwarzania danych osobowych, właściwe dla administratora danych w państwie członkowskim, w którym podmiot przekazujący dane prowadzi działalność gospodarczą;
g) „techniczne i organizacyjne środki bezpieczeństwa” oznaczają takie środki, których celem jest ochrona danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą, zmianą, nieupoważnionym ujawnieniem lub dostępem, w szczególności jeżeli przetwarzanie obejmuje przekazywanie danych za pomocą sieci oraz przed innymi niezgodnymi z prawem formami przetwarzania.
Artykuł 4
W przypadku gdy właściwe organy w państwach członkowskich wykonują swoje uprawnienia na podstawie art. 28 ust. 3 dyrektywy 95/46/WE, co prowadzi do zawieszenia lub ostatecznego zakazu przepływu danych do państw trzecich w celu ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych, dane państwo członkowskie bezzwłocznie informuje o tym Komisję, która przekazuje tę informację pozostałym państwom członkowskim.
Artykuł 5
Komisja ocenia funkcjonowanie niniejszej decyzji na podstawie dostępnych informacji trzy lata po jej przyjęciu. Komisja przedstawia sprawozdanie z ustaleń Komitetowi ustanowionemu na mocy art. 31 dyrektywy 95/46/WE. Sprawozdanie to obejmuje wszelkie dowody, które mogą mieć wpływ na ocenę odpowiedniego charakteru standardowych klauzul umownych zawartych w załączniku i wszelkie dowody wskazujące na dyskryminacyjny sposób stosowania niniejszej decyzji.
Artykuł 6
Niniejszą decyzję stosuje się od dnia 15 maja 2010 r.
Artykuł 7
1. Decyzja 2002/16/WE traci moc z dniem 15 maja 2010 r.
2. Umowa zawarta między podmiotem przekazującym a odbierającym dane na mocy decyzji 2002/16/WE przed dniem 15 maja 2010 r. pozostaje w mocy i obowiązuje dopóty, dopóki czynności przekazywania i przetwarzania danych, które są przedmiotem umowy, pozostają niezmienione, a dane osobowe objęte niniejszą decyzją są nadal przekazywane między stronami. Jeżeli umawiające się strony zdecydują o dokonaniu zmian w tym zakresie lub podzleceniu wykonania czynności przetwarzania danych, które są przedmiotem umowy, wymaga się zawarcia nowej umowy zgodnej ze standardowymi klauzulami umownymi określonymi w załączniku.
Artykuł 8
Niniejsza decyzja jest skierowana do państw członkowskich.
ZAŁĄCZNIK
STANDARDOWE KLAUZULE UMOWNE (PODMIOTY PRZETWARZAJĄCE)
Do celów art. 26 ust. 2 dyrektywy 95/46/WE w odniesieniu do przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w państwach trzecich, które nie zapewniają odpowiedniego poziomu ochrony danych
Nazwa organizacji przekazującej dane: …
Adres: …
Tel.: …; faks: …; e-mail: …
Inne informacje niezbędne do identyfikacji organizacji:
…
(podmiot przekazujący dane)
i
Nazwa organizacji odbierającej dane: …
Adres: …
Tel.: …; faks: …; e-mail: …
pozostałe informacje niezbędne do identyfikacji organizacji:
…
(podmiot odbierający dane)
zwanymi z osobna „stroną”, a łącznie „stronami”,
UZGODNIONO następujące klauzule umowne (klauzule) w celu dostarczenia odpowiednich gwarancji ochrony prywatności i podstawowych praw i wolności osób fizycznych w zakresie przekazywania podmiotowi odbierającemu dane przez podmiot przekazujący danych osobowych wyszczególnionych w dodatku 1.
Klauzula 1
Definicje
Do celów niniejszych klauzul:
a) „dane osobowe”, „szczególne kategorie danych”, „przetwarzać/przetwarzanie”, „administrator danych”, „podmiot przetwarzający”, „osoba, której dane dotyczą” i „organ nadzorczy” mają to samo znaczenie co w dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych ( 1 );
b) „podmiot przekazujący dane” oznacza administratora danych, który przekazuje dane osobowe;
c) „podmiot odbierający dane” oznacza podmiot przetwarzający dane, który wyraża zgodę na otrzymywanie od podmiotu przekazującego danych osobowych w celu ich przetwarzania w imieniu podmiotu przekazującego po przekazaniu zgodnie z instrukcjami tego ostatniego i warunkami określonymi w niniejszych klauzulach i który nie podlega systemowi państwa trzeciego zapewniającemu odpowiednią ochronę w rozumieniu art. 25 ust. 1 dyrektywy 95/46/WE;
d) „podwykonawca przetwarzania” oznacza jakikolwiek podmiot działający na zlecenie podmiotu odbierającego dane lub innego podwykonawcy przetwarzania realizującego zlecenie podmiotu odbierającego dane, który wyraża zgodę na otrzymywanie, od podmiotu odbierającego dane lub innego podwykonawcy przetwarzania realizującego zlecenie podmiotu odbierającego, danych osobowych przeznaczonych wyłącznie do ich przetworzenia w imieniu podmiotu przekazującego po przekazaniu zgodnie z instrukcjami tego ostatniego, warunkami ustalonymi w niniejszych klauzulach i warunkami sporządzonej na piśmie umowy o podwykonawstwo;
e) „właściwe prawo o ochronie danych” oznacza prawodawstwo chroniące podstawowe prawa i wolności osób fizycznych, a w szczególności ich prawo do prywatności w odniesieniu do przetwarzania danych osobowych, właściwe dla administratora danych w państwie członkowskim, w którym podmiot przekazujący dane prowadzi działalność gospodarczą;
f) „techniczne i organizacyjne środki ochrony” oznaczają takie środki, których celem jest ochrona danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą, zmianą, nieupoważnionym ujawnieniem lub dostępem, w szczególności jeżeli przetwarzanie obejmuje przekazywanie danych za pomocą sieci oraz przed innymi niezgodnymi z prawem formami przetwarzania.
Klauzula 2
Szczegóły dotyczące przekazywania danych
Szczegóły dotyczące przekazywania danych, a w szczególności w stosownych przypadkach szczególne kategorie danych, są określone w dodatku 1, który stanowi integralną część klauzul.
Klauzula 3
Klauzula na rzecz osoby trzeciej
1. Osoba, której dotyczą dane, może żądać od podmiotu przekazującego dane wykonania niniejszej klauzuli, klauzuli 4 lit. b)–i), klauzuli 5 lit. a)–e) oraz lit. g)–j), klauzuli 6 pkt 1 i 2, klauzuli 7, klauzuli 8 pkt 2 i klauzuli 9–12, jako osoba trzecia, na rzecz której zawarto umowę.
2. Osoba, której dotyczą dane, może żądać od podmiotu odbierającego dane wykonania niniejszej klauzuli, klauzuli 5 lit. a)–e) oraz lit. g), klauzuli 6, klauzuli 7, klauzuli 8 pkt 2 i klauzul 9–12 w przypadkach, w których podmiot przekazujący dane przestał istnieć faktycznie lub formalnie. Jeżeli jednak na podstawie umowy lub z mocy prawa podmiot będący jego następcą przejął wszystkie zobowiązania prawne podmiotu przekazującego dane, skutkiem czego przyjął na siebie jego prawa i obowiązki, osoba, której dane dotyczą, może żądać wykonania wymienionych klauzul od tego następcy.
3. Osoba, której dotyczą dane, może żądać od podwykonawcy przetwarzania wykonania niniejszej klauzuli, klauzuli 5 lit. a)–e) oraz lit. g), klauzuli 6, klauzuli 7, klauzuli 8 pkt 2 i klauzul 9–12 w przypadkach, w których zarówno podmioty przekazujący, jak i odbierający dane przestały istnieć faktycznie lub formalnie albo stały się niewypłacalne. Jeżeli jednak na podstawie umowy lub z mocy prawa podmiot będący jego następcą przejął wszystkie zobowiązania prawne podmiotu przekazującego dane, skutkiem czego przyjął na siebie jego prawa i obowiązki, osoba, której dane dotyczą, może żądać wykonania wymienionych klauzul od tego następcy. Taka odpowiedzialność podwykonawcy przetwarzania wobec osoby trzeciej jest ograniczona do jego własnych czynności przetwarzania danych na podstawie niniejszych klauzul.
4. Strony nie sprzeciwiają się reprezentowaniu osoby, której dane dotyczą, przez stowarzyszenie lub inny organ, jeżeli takie jest wyraźne życzenie osoby, której dane dotyczą, i jeżeli zezwala na to prawo krajowe.
Klauzula 4
Obowiązki podmiotu przekazującego dane
Podmiot przekazujący dane zgadza się na poniższe warunki i gwarantuje, że:
a) przetwarzanie danych, włącznie z samym ich przekazywaniem, odbywało się i będzie się nadal odbywało zgodnie z odpowiednimi przepisami właściwego prawa o ochronie danych (i w stosownych przypadkach było przedmiotem powiadomienia odpowiednich władz państwa członkowskiego, w którym podmiot przekazujący dane prowadzi działalność gospodarczą) oraz bez naruszenia odpowiednich przepisów tego państwa;
b) nakazał i będzie nakazywał podmiotowi odbierającemu dane podczas całego okresu świadczenia usług przetwarzania danych osobowych, przetwarzanie przekazywanych danych osobowych wyłącznie w imieniu podmiotu przekazującego dane oraz zgodnie z właściwym prawem o ochronie danych i z niniejszymi klauzulami;
c) podmiot odbierający dane zapewni wystarczające gwarancje w odniesieniu do technicznych i organizacyjnych środków bezpieczeństwa wyszczególnionych w dodatku 2 do niniejszej umowy;
d) biorąc pod uwagę ocenę wymogów właściwego prawa o ochronie danych osobowych, środki bezpieczeństwa są odpowiednie do ochrony danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą, zmianą, nieupoważnionym ujawnieniem lub dostępem, w szczególności jeżeli przetwarzanie obejmuje przekazywanie danych za pomocą sieci, oraz przed innymi niezgodnymi z prawem formami przetwarzania, a także że środki te zapewniają poziom bezpieczeństwa odpowiedni do ryzyka, jakie stanowi przetwarzanie i charakter danych podlegających ochronie, uwzględniając stan wiedzy w tej dziedzinie i koszty ich wdrożenia;
e) zapewni zgodność ze środkami bezpieczeństwa;
f) jeżeli przekazanie obejmuje szczególne kategorie danych, osoba, której dane dotyczą, została poinformowana lub będzie poinformowana przed przekazaniem lub jak najszybciej po przekazaniu o tym, że jej dane mogą być przekazane do państwa trzeciego, które nie zapewnia odpowiedniej ochrony w rozumieniu dyrektywy 95/46/WE;
g) prześle wszelkie zawiadomienia otrzymane od podmiotu odbierającego dane lub podwykonawcy przetwarzania na mocy klauzuli 5 lit. b) i klauzuli 8 pkt 3 do organu nadzorczego ds. ochrony danych, jeżeli podmiot przekazujący dane zdecyduje się kontynuować przekazywanie danych lub znieść zawieszenie;
h) na żądanie udostępni osobie, której dotyczą dane, kopię niniejszych klauzul, z wyjątkiem dodatku 2, oraz skrócony opis środków bezpieczeństwa, a także kopię każdej umowy dotyczącej usług podwykonawstwa przetwarzania danych, która musi być zawarta zgodnie z niniejszymi klauzulami; jednakże w przypadku gdy klauzule lub umowa zawierają informacje handlowe, informacje te można usunąć;
i) w przypadku podwykonawstwa przetwarzania danych działalność związana z przetwarzaniem prowadzona jest zgodnie z klauzulą 11 przez podwykonawcę przetwarzania zapewniającego co najmniej ten sam poziom ochrony danych osobowych i praw osoby, której dane dotyczą, co podmiot odbierający dane zgodnie z niniejszymi klauzulami; oraz
j) zapewni zgodność z klauzulą 4 lit. a)–i).
Klauzula 5
Obowiązki podmiotu odbierającego dane ( 2 )
Podmiot odbierający dane zgadza się na poniższe warunki i gwarantuje, że:
a) będzie przetwarzał dane osobowe wyłącznie w imieniu podmiotu przekazującego dane i zgodnie z jego instrukcjami oraz niniejszymi klauzulami; jeżeli z jakichkolwiek powodów nie może zapewnić takiej zgodności, zgadza się na natychmiastowe poinformowanie podmiotu przekazującego dane o niemożności spełnienia tego warunku, a podmiot przekazujący dane jest w takim przypadku uprawniony do zawieszenia przekazywania danych lub rozwiązania umowy;
b) nie ma powodu, by sądzić, że prawodawstwo mające do niego zastosowanie uniemożliwia mu wypełnianie instrukcji otrzymanych od podmiotu przekazującego dane i jego obowiązków wynikających z umowy oraz że w przypadku zmiany prawodawstwa, która może mieć istotne negatywne skutki dla gwarancji i obowiązków określonych w niniejszych klauzulach, zawiadomi o tym jak najszybciej podmiot przekazujący dane, który w takim przypadku jest uprawniony do zawieszenia przekazywania danych lub rozwiązania umowy;
c) wdrożył techniczne i organizacyjne środki bezpieczeństwa wyszczególnione w dodatku 2 przed przetwarzaniem przekazanych danych osobowych;
d) niezwłocznie powiadomi podmiot przekazujący dane o:
(i) jakichkolwiek prawnie wiążących wnioskach o ujawnienie danych osobowych ze strony organów ścigania, chyba że powiadomienie o takim wniosku jest zakazane, na przykład na mocy prawa karnego w celu zachowania poufności postępowań prowadzonych przez organy ścigania,
(ii) jakimkolwiek przypadkowym lub nieupoważnionym dostępie; oraz
(iii) jakimkolwiek żądaniu otrzymanym bezpośrednio od osób, których dotyczą dane, bez udzielenia odpowiedzi na to żądanie, chyba że został on w inny sposób upoważniony do takiego postępowania;
e) niezwłocznie i we właściwy sposób zajmie się wszystkimi zapytaniami ze strony podmiotu przekazującego dane, dotyczącymi przetwarzania przez siebie danych osobowych będących przedmiotem przekazania, oraz zastosuje się do zaleceń organów nadzorczych w odniesieniu do przetwarzania przekazywanych danych;
f) na żądanie podmiotu przekazującego dane przedstawi swoje urządzenia do przetwarzania danych w celu kontroli działalności związanej z przetwarzaniem danych objętej niniejszymi klauzulami, przeprowadzanej przez podmiot przekazujący dane lub organ kontrolny złożony z niezależnych członków i posiadający wymagane kwalifikacje zawodowe, związany obowiązkiem zachowania poufności, wybrany przez podmiot przekazujący dane, w stosownych przypadkach w porozumieniu z organem nadzorczym;
g) na żądanie udostępni osobie, której dane dotyczą, kopię niniejszych klauzul lub jakiejkolwiek istniejącej umowy dotyczącej podwykonawstwa przekazywania danych; jednakże w przypadku gdy klauzule lub umowa zawierają informacje handlowe, informacje te można usunąć, z wyjątkiem dodatku 2, który zostanie zastąpiony skróconym opisem środków bezpieczeństwa, w przypadkach, w których osoba, której dane dotyczą, nie jest w stanie uzyskać kopii od podmiotu przekazującego dane;
h) w przypadku podwykonawstwa przetwarzania danych poinformował wcześniej podmiot przekazujący dane i uzyskał jego uprzednią pisemną zgodę;
i) usługi przetwarzania danych przez podwykonawcę przetwarzania będą świadczone zgodnie z klauzulą 11;
j) niezwłocznie prześle podmiotowi przekazującemu dane kopię każdej umowy dotyczącej podwykonawstwa przetwarzania danych zawartej na podstawie niniejszych klauzul.
Klauzula 6
Odpowiedzialność
1. Strony uzgadniają, że każda osoba, której dotyczą dane, która poniosła szkodę w wyniku jakiegokolwiek naruszenia obowiązków, o których mowa w klauzuli 3 lub 11, przez którąkolwiek ze stron lub podwykonawcę przetwarzania, jest uprawniona do uzyskania odszkodowania za poniesioną szkodę od podmiotu przekazującego dane.
2. Jeżeli osoba, której dane dotyczą, nie jest w stanie wystąpić przeciw podmiotowi przekazującemu dane z roszczeniem o odszkodowanie zgodnie z pkt 1, wynikającym z naruszenia przez podmiot odbierający dane lub jego podwykonawcę przetwarzania któregokolwiek z ich obowiązków, o których mowa w klauzuli 3 lub klauzuli 11, ponieważ podmiot przekazujący dane przestał istnieć faktycznie lub formalnie lub stał się niewypłacalny, podmiot odbierający dane zgadza się na wystąpienie przez osobę, której dotyczą dane, z roszczeniem wobec podmiotu odbierającego dane, tak jakby był on podmiotem przekazującym dane; jeżeli jednak jakikolwiek podmiot będący jego następcą przejął na podstawie umowy lub z mocy prawa wszystkie zobowiązania prawne podmiotu przekazującego dane, osoba, której dane dotyczą, może egzekwować swoje prawa wobec tego następcy.
Podmiot odbierający dane nie może powoływać się na naruszenie przez podwykonawcę przetwarzania jego obowiązków, aby uniknąć swojej własnej odpowiedzialności.
3. Jeżeli osoba, której dane dotyczą, nie jest w stanie wystąpić przeciw podmiotowi przekazującemu dane lub podmiotowi odbierającemu dane z roszczeniem, o którym mowa w pkt 1 i 2, wynikającym z naruszenia przez podwykonawcę przetwarzania któregokolwiek z obowiązków, o których mowa w klauzulach 3 lub klauzuli 11, ponieważ zarówno podmiot przekazujący, jak i odbierający dane przestały istnieć faktycznie lub formalnie lub stały się niewypłacalne, podwykonawca przetwarzania zgadza się na wystąpienie przez osobę, której dotyczą dane, z roszczeniem wobec niego w odniesieniu do jego własnych czynności przetwarzania danych na podstawie niniejszych klauzul, tak jakby był on podmiotem przekazującym lub odbierającym dane; jeżeli jednak jakikolwiek podmiot będący jego następcą przejął na podstawie umowy lub z mocy prawa wszystkie zobowiązania prawne podmiotu przekazującego lub odbierającego dane, osoba, której dotyczą dane, może egzekwować swoje prawa wobec tego następcy. Odpowiedzialność podwykonawcy przetwarzania jest ograniczona do jego własnych czynności przetwarzania danych zgodnie z niniejszymi klauzulami.
Klauzula 7
Mediacja i sąd właściwy
1. Podmiot odbierający dane zgadza się na to, że jeżeli osoba, której dotyczą dane, powołuje się wobec niego na prawa osoby trzeciej, na rzecz której zawarto umowę lub występuje o odszkodowanie za szkody na podstawie niniejszych klauzul, podmiot odbierający dane przyjmie decyzję osoby, której dane dotyczą, o:
a) przekazaniu sporu do mediacji prowadzonej przez niezależną osobę lub, w stosownych przypadkach, organ nadzorczy;
b) przekazaniu sporu do sądów w państwie członkowskim, w którym prowadzi działalność gospodarczą podmiot przekazujący dane.
2. Strony uzgadniają, że wybór osoby, której dotyczą dane, nie będzie naruszał jej materialnych lub proceduralnych praw do środków ochrony prawnej zgodnie z odrębnymi przepisami prawa krajowego lub międzynarodowego.
Klauzula 8
Współpraca z organami nadzorczymi
1. Podmiot przekazujący dane zgadza się dostarczyć kopię niniejszej umowy organowi nadzorczemu na jego żądanie lub jeżeli dostarczenie kopii jest wymagane na mocy właściwego prawa o ochronie danych.
2. Strony uzgadniają, że organ nadzorczy ma prawo do przeprowadzenia kontroli podmiotu odbierającego dane i jakiegokolwiek podwykonawcy przetwarzania, która ma ten sam zakres i podlega tym samym warunkom, jakie miałyby zastosowanie do kontroli podmiotu przekazującego dane na mocy właściwego prawa o ochronie danych.
3. Podmiot odbierający dane niezwłocznie informuje podmiot przekazujący dane o istnieniu przepisów mających zastosowanie do podmiotu odbierającego dane lub któregokolwiek z podwykonawców przetwarzania działających na jego zlecenie, które uniemożliwiałyby przeprowadzenie kontroli podmiotu odbierającego dane lub podwykonawcy przetwarzania na podstawie pkt 2. W takim przypadku podmiot przekazujący dane ma prawo podjąć środki przewidziane w klauzuli 5 lit. b).
Klauzula 9
Prawo właściwe
Klauzule podlegają prawu państwa członkowskiego, w którym prowadzi działalność podmiot przekazujący dane, a mianowicie …
Klauzula 10
Zmiany umowy
Strony zobowiązują się do niedokonywania zmian lub modyfikacji niniejszych klauzul. Nie wyklucza to dodawania przez strony w razie potrzeby klauzul dotyczących kwestii związanych z ich działalnością gospodarczą, pod warunkiem że nie są one sprzeczne z niniejszymi klauzulami.
Klauzula 11
Podwykonawstwo przetwarzania danych
1. Podmiot odbierający dane nie podzleca czynności przetwarzania danych wykonywanych w imieniu podmiotu przekazującego dane na podstawie niniejszych klauzul bez uprzedniej pisemnej zgody podmiotu przekazującego dane. Jeżeli podmiot odbierający dane podzleca wykonanie swoich obowiązków w ramach niniejszych klauzul za zgodą podmiotu przekazującego dane, czyni to wyłącznie na podstawie umowy pisemnej z podwykonawcą przetwarzania, która nakłada na podwykonawcę przetwarzania te same obowiązki, jakie spoczywają na podmiocie odbierającym dane w ramach niniejszych klauzul ( 3 ). Jeżeli podwykonawca przetwarzania nie wypełnia swoich obowiązków w zakresie ochrony danych w ramach takiej umowy pisemnej, podmiot odbierający dane ponosi pełną odpowiedzialność wobec podmiotu przekazującego dane za wykonanie obowiązków podwykonawcy przetwarzania na mocy takiej umowy.
2. Umowa pisemna zawarta między podmiotem odbierającym dane a podwykonawcą przetwarzania przed przekazaniem danych osobowych podwykonawcy przetwarzania obejmuje również klauzulę na rzecz osoby trzeciej, określoną w klauzuli 3, w odniesieniu do przypadków, w których osoba, której dotyczą dane, nie jest w stanie wystąpić z roszczeniem o odszkodowanie, o którym mowa w klauzuli 6 pkt 1 przeciw podmiotowi przekazującemu lub odbierającemu dane, ponieważ przestały one istnieć faktycznie lub formalnie lub stały się niewypłacalne, a żaden podmiot będący następcą nie przejął na podstawie umowy lub z mocy prawa wszystkich zobowiązań prawnych podmiotu przekazującego lub odbierającego dane. Taka odpowiedzialność podwykonawcy przetwarzania wobec osoby trzeciej jest ograniczona do jego własnych czynności przetwarzania danych na podstawie niniejszych klauzul.
3. Postanowienia umowy, o której mowa w ust. 1, dotyczące aspektów ochrony danych w odniesieniu do podwykonawstwa przetwarzania, podlegają prawu państwa członkowskiego, w którym prowadzi działalność gospodarczą podmiot przekazujący dane, a mianowicie …
4. Podmiot przekazujący dane prowadzi wykaz umów dotyczących podwykonawstwa przetwarzania danych zawartych na podstawie niniejszych klauzul, o których został poinformowany przez podmiot odbierający dane na postawie klauzuli 5 lit. j); wykaz ten podlega aktualizacji co najmniej raz do roku. Wykaz udostępnia się organowi nadzorczemu właściwemu dla podmiotu przekazującego dane.
Klauzula 12
Obowiązki po zakończeniu usług przetwarzania danych osobowych
1. Strony uzgadniają, że wraz z zakończeniem świadczenia usług przetwarzania danych podmiot odbierający dane i podwykonawca przetwarzania zwracają podmiotowi przekazującemu dane wszystkie przekazane dane osobowe i ich kopie lub niszczą wszystkie dane osobowe i poświadczają przekazującemu dane, że to uczynili, zgodnie z decyzją przekazującego dane, chyba że przepisy prawa obowiązujące podmiot odbierający dane uniemożliwiają mu zwrot lub zniszczenie wszystkich lub części przekazanych danych osobowych. W tym przypadku podmiot odbierający dane gwarantuje, że zapewni poufność przekazanych danych osobowych i nie będzie ich już aktywnie przetwarzał.
2. Podmiot odbierający dane lub podwykonawca przetwarzania gwarantują przedstawienie na żądanie podmiotu przekazującego dane lub organu nadzorczego urządzeń do przetwarzania danych do celów kontroli środków, o których mowa w ust. 1.
W imieniu podmiotu przekazującego dane:
Pełne imię i nazwisko: …
Stanowisko: …
Adres: …
Inne informacje niezbędne do tego, aby umowa była wiążąca (jeśli dotyczy):
(pieczęć organizacji) |
Podpis … |
W imieniu podmiotu odbierającego dane:
Pełne imię i nazwisko: …
Stanowisko: …
Adres: …
Inne informacje niezbędne do tego, aby umowa była wiążąca (jeśli dotyczy):
(pieczęć organizacji) |
Podpis … |
Dodatek 1
do standardowych klauzul umownych
Niniejszy dodatek stanowi część klauzul i musi być wypełniony i podpisany przez strony
Zgodnie z procedurami krajowymi państwa członkowskie mogą uzupełniać niniejszy dodatek lub określić wszelkie niezbędne dodatkowe informacje, które należy zawrzeć w niniejszym dodatku.
Podmiot przekazujący dane
Podmiot przekazujący dane (proszę krótko scharakteryzować działalność związaną z przekazywaniem danych):
…
…
…
Podmiot odbierający dane
Podmiot odbierający dane (proszę krótko scharakteryzować działalność związaną z przekazywaniem danych):
…
…
…
Osoby, których dane dotyczą
Podmioty, których dotyczą przekazywane dane osobowe, należą do następujących kategorii (proszę wyszczególnić):
…
…
…
Kategorie danych
Przekazane dane osobowe dotyczą następujących kategorii danych (proszę wyszczególnić):
…
…
…
Szczególne kategorie danych (jeśli dotyczy)
Przekazywane dane osobowe dotyczą następujących szczególnych kategorii danych (proszę wyszczególnić):
…
…
…
Czynności przetwarzania
Przekazane dane osobowe będą podlegały następującym podstawowym czynnościom przetwarzania (proszę wyszczególnić):
…
…
…
PODMIOT PRZEKAZUJĄCY DANE
Imię i nazwisko lub nazwa: …
Podpis osoby upoważnionej …
PODMIOT ODBIERAJĄCY DANE
Imię i nazwisko lub nazwa: …
Podpis osoby upoważnionej …
Dodatek 2
do standardowych klauzul umownych
Niniejszy dodatek stanowi część klauzul i musi być wypełniony i podpisany przez strony
Opis technicznych i organizacyjnych środków bezpieczeństwa wdrożonych przez podmiot odbierający dane zgodnie z klauzulą 4 lit. d) i klauzulą 5 lit. c) (lub załączonym dokumentem/przepisami):
…
…
…
…
PRZYKŁADOWA KLAUZULA DOTYCZĄCA ODSZKODOWANIA (NIEOBOWIĄZKOWA)
Odpowiedzialność
Strony uzgadniają, że jeżeli jedna ze stron zostanie pociągnięta do odpowiedzialności za naruszenie klauzul spowodowane przez drugą ze stron, ta ostatnia w zakresie swojej odpowiedzialności wypłaci pierwszej stronie odszkodowanie z tytułu wszelkich poniesionych kosztów, opłaty, szkód, wydatków lub strat.
Odszkodowanie jest zależne od:
a) natychmiastowego powiadomienia podmiotu odbierającego dane przez podmiot przekazujący dane o roszczeniu; oraz
b) umożliwienia podmiotowi odbierającemu dane współpracy z podmiotem przekazującym dane w zakresie obrony przed roszczeniem i jego uregulowania ( 4 ).
( 1 ) W ramach niniejszej klauzuli strony mogą powtórzyć definicje i znaczenia zawarte w dyrektywie 95/46/WE, jeżeli uznają, że bardziej korzystne będzie ich odrębne zawarcie w umowie.
( 2 ) Obowiązujące wymogi przepisów krajowych mające zastosowanie do podmiotu odbierającego dane, które nie wykraczają poza to, co konieczne w demokratycznym społeczeństwie na podstawie jednego z interesów wymienionych w art. 13 ust. 1 dyrektywy 95/46/WE (tj. jeżeli stanowią środek konieczny do zabezpieczenia: bezpieczeństwa narodowego, obronności, bezpieczeństwa publicznego, zapobiegania przestępstwom lub czynom stanowiącym naruszenie zasad etyki w zawodach regulowanych i ich dochodzenia, wykrywania i ścigania, ważnego interesu ekonomicznego lub finansowego państwa lub ochrony osoby, której dane dotyczą, lub praw i wolności innych osób), nie są sprzeczne ze standardowymi klauzulami umownymi. Niektóre przykłady wspomnianych bezwzględnie obowiązujących wymogów niewykraczających poza to, co konieczne w demokratycznym społeczeństwie, to m.in. sankcje uznane na szczeblu międzynarodowym, wymagania związane ze sprawozdawczością podatkową lub w zakresie przeciwdziałania praniu pieniędzy.
( 3 ) Ten wymóg może zostać spełniony przez wspólne podpisanie przez podwykonawcę przetwarzania umowy zawartej między podmiotem przekazującym a odbierającym dane na mocy niniejszej decyzji.
( 4 ) Ustęp dotyczący odpowiedzialności jest nieobowiązkowy.