7.6.2021

Dziennik Urzędowy Unii Europejskiej

L 199/18

DECYZJA WYKONAWCZA KOMISJI (UE) 2021/915

z dnia 4 czerwca 2021 r.

w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi na podstawie art. 28 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 oraz art. 29 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725

(Tekst mający znaczenie dla EOG)

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („rozporządzenie (UE) 2016/679”) (1), w szczególności jego art. 28 ust. 7,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE („rozporządzenie (UE) 2018/1725”) (2), w szczególności jego art. 29 ust. 7,

a także mając na uwadze, co następuje:

(1)

Pojęcia administratora i podmiotu przetwarzającego odgrywają kluczową rolę w stosowaniu rozporządzenia (UE) 2016/679 i rozporządzenia (UE) 2018/1725. „Administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Do celów rozporządzenia (UE) 2018/1725 administrator oznacza instytucję lub organ Unii lub dyrekcję generalną lub jakąkolwiek inną jednostkę organizacyjną, która samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Jeżeli cele i sposoby takiego przetwarzania są określone w konkretnym akcie unijnym, Unia może wyznaczyć administratora lub określić konkretne kryteria jego wyznaczania. „Podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

(2)

Do relacji między administratorami danych a podmiotami przetwarzającymi dane podlegającymi rozporządzeniu (UE) 2016/679 powinien mieć zastosowanie ten sam zestaw standardowych klauzul umownych – również gdy administratorzy i podmioty przetwarzające podlegają rozporządzeniu (UE) 2018/1725. Wynika to z faktu, że w celu zapewnienia spójnego podejścia do ochrony danych osobowych w całej Unii oraz swobodnego przepływu danych osobowych w Unii, przepisy o ochronie danych zawarte w rozporządzeniu (UE) 2016/679, mające zastosowanie do sektora publicznego w państwach członkowskich, oraz przepisy o ochronie danych zawarte w rozporządzeniu (UE) 2018/1725, mające zastosowanie do instytucji, organów i jednostek organizacyjnych Unii, dostosowano wzajemnie w jak największym stopniu.

(3)

Aby zapewnić przestrzeganie wymogów rozporządzeń (UE) 2016/679 i (UE) 2018/1725, administrator powinien, powierzając podmiotowi przetwarzającemu dane czynności przetwarzania, korzystać wyłącznie z usług podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych, które spełniają wymogi rozporządzenia (UE) 2016/679 i rozporządzenia (UE) 2018/1725, w tym wymogi bezpieczeństwa przetwarzania.

(4)

Przetwarzanie przez podmiot przetwarzający powinno odbywać się na podstawie umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora oraz określają elementy wymienione w art. 28 ust. 3 i 4 rozporządzenia (UE) 2016/679 lub w art. 29 ust. 3 i 4 rozporządzenia (UE) 2018/1725. Umowa lub akt ma formę pisemną, w tym formę elektroniczną.

(5)

Zgodnie z art. 28 ust. 6 rozporządzenia (UE) 2016/679 i art. 29 ust. 6 rozporządzenia (UE) 2018/1725 administrator i podmiot przetwarzający mogą podjąć decyzję o wynegocjowaniu indywidualnej umowy zawierającej obowiązkowe elementy określone odpowiednio w art. 28 ust. 3 i 4 rozporządzenia (UE) 2016/679 lub w art. 29 ust. 3 i 4 rozporządzenia (UE) 2018/1725 lub o stosowaniu, w całości lub w części, standardowych klauzul umownych przyjętych przez Komisję zgodnie z art. 28 ust. 7 rozporządzenia (UE) 2016/679 i art. 29 ust. 7 rozporządzenia (UE) 2018/1725.

(6)

Administrator i podmiot przetwarzający powinni mieć swobodę umieszczania standardowych klauzul umownych określonych w niniejszej decyzji w treści umowy o szerszym zakresie oraz dodawania innych klauzul lub dodatkowych zabezpieczeń, pod warunkiem że nie będą one bezpośrednio lub pośrednio sprzeczne ze standardowymi klauzulami umownymi ani nie będą naruszały podstawowych praw lub wolności osób, których dane dotyczą. Stosowanie standardowych klauzul umownych pozostaje bez uszczerbku dla zobowiązań umownych administratora lub podmiotu przetwarzającego do zapewnienia poszanowania obowiązujących przywilejów i immunitetów.

(7)

Standardowe klauzule umowne powinny obejmować zarówno przepisy materialne, jak i proceduralne. W art. 28 ust. 3 rozporządzenia (UE) 2016/679 i art. 29 ust. 3 rozporządzenia (UE) 2018/1725 określono, że standardowe klauzule umowne powinny również zobowiązywać administratora i podmiot przetwarzający do określenia przedmiotu i czasu trwania przetwarzania, jego charakteru i celu, rodzaju danych osobowych, kategorii osób, których dane dotyczą, oraz obowiązków i praw administratora.

(8)

Zgodnie z art. 28 ust. 3 rozporządzenia (UE) 2016/679 i art. 29 ust. 3 rozporządzenia (UE) 2018/1725 podmiot przetwarzający powinien niezwłocznie poinformować administratora, jeżeli jego zdaniem polecenie wydane mu przez administratora stanowi naruszenie rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725 lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.

(9)

Jeżeli podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego przy wykonywaniu określonych czynności, zastosowanie powinny mieć szczególne wymogi, o których mowa w art. 28 ust. 2 i 4 rozporządzenia (UE) 2016/679 lub w art. 29 ust. 2 i 4 rozporządzenia (UE) 2018/1725. W szczególności wymagana jest uprzednia szczegółowa lub ogólna pisemna zgoda administratora. Niezależnie od tego, czy uprzednia zgoda ma charakter szczegółowy czy ogólny, pierwszy podmiot przetwarzający powinien prowadzić aktualny wykaz innych podmiotów przetwarzających.

(10)

Aby spełnić wymogi określone w art. 46 ust. 1 rozporządzenia (UE) 2016/679, Komisja przyjęła standardowe klauzule umowne na podstawie art. 46 ust. 2 lit. c) rozporządzenia (UE) 2016/679. Klauzule te spełniają również wymogi określone w art. 28 ust. 3 i 4 rozporządzenia (UE) 2016/679 w odniesieniu do przekazywania danych przez administratorów podlegających rozporządzeniu (UE) 2016/679 podmiotom przetwarzającym nieobjętym zakresem terytorialnym stosowania tego rozporządzenia lub przez podmioty przetwarzające podlegające rozporządzeniu (UE) 2016/679 podmiotom podprzetwarzającym nieobjętym zakresem terytorialnym stosowania tego rozporządzenia. Standardowych klauzul umownych nie można stosować jako standardowych klauzul umownych do celów rozdziału V rozporządzenia (UE) 2016/679.

(11)	Osoby trzecie powinny mieć możliwość stania się stroną standardowych klauzul umownych przez cały okres obowiązywania umowy.

(12)	Funkcjonowanie standardowych klauzul umownych należy ocenić w ramach okresowej oceny rozporządzenia (UE) 2016/679, o której mowa w art. 97 tego rozporządzenia.

(13)

Zgodnie z art. 42 ust. 1 i 2 rozporządzenia (UE) 2018/1725 przeprowadzono konsultacje z Europejskim Inspektorem Ochrony Danych i Europejską Radą Ochrony Danych, które to konsultacje zakończyły się wydaniem wspólnej opinii w dniu 14 stycznia 2021 r. (3) Opinia ta została uwzględniona podczas przygotowywania niniejszej decyzji.

(14)	Środki przewidziane w niniejszej decyzji są zgodne z opinią komitetu ustanowionego na mocy art. 93 rozporządzenia (UE) 2016/679 i art. 96 ust. 2 rozporządzenia (UE) 2018/1725,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł 1

Standardowe klauzule umowne określone w załączniku spełniają wymogi dotyczące umów zawieranych między administratorami a podmiotami przetwarzającymi określone w art. 28 ust. 3 i 4 rozporządzenia (UE) 2016/679 oraz w art. 29 ust. 3 i 4 rozporządzenia (UE) 2018/1725.

Artykuł 2

Standardowe klauzule umowne określone w załączniku można stosować w umowach zawieranych między administratorem a podmiotem przetwarzającym, który przetwarza dane osobowe w jego imieniu.

Artykuł 3

Komisja ocenia praktyczne stosowanie standardowych klauzul umownych określonych w załączniku na podstawie wszystkich dostępnych informacji w ramach oceny okresowej, o której mowa w art. 97 rozporządzenia (UE) 2016/679.

Artykuł 4

Niniejsza decyzja wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Sporządzono w Brukseli dnia 4 czerwca 2021 r.

W imieniu Komisji

Ursula VON DER LEYEN

Przewodnicząca

(1) Dz.U. L 119 z 4.5.2016, s. 1.

(2) Dz.U. L 295 z 21.11.2018, s. 39.

(3) Wspólna opinia EROD i EIOD 1/2021 dotycząca decyzji wykonawczej Komisji Europejskiej w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi dotyczących kwestii, o których mowa w art. 28 ust. 7 rozporządzenia (UE) 2016/679 i art. 29 ust. 7 rozporządzenia (UE) 2018/1725

ZAŁĄCZNIK

Standardowe klauzule umowne

SEKCJA I

Klauzula 1

Cel i zakres

Celem niniejszych standardowych klauzul umownych („klauzule”) jest zapewnienie przestrzegania [należy wybrać odpowiednią opcję: OPCJA 1: art. 28 ust. 3 i 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)] / [OPCJA 2: art. 29 ust. 3 i 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE].

b)	Administratorzy i podmioty przetwarzające wymienieni w załączniku I uzgodnili niniejsze klauzule w celu zapewnienia przestrzegania art. 28 ust. 3 i 4 rozporządzenia (UE) 2016/679 lub art. 29 ust. 3 i 4 rozporządzenia (UE) 2018/1725.

c)	Niniejsze klauzule mają zastosowanie do przetwarzania danych osobowych określonego w załączniku II.

d)	Załączniki I–IV stanowią integralną część klauzul.

e)	Niniejsze klauzule pozostają bez uszczerbku dla obowiązków, którym podlega administrator danych na mocy rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725.

f)	Niniejsze klauzule same w sobie nie zapewniają wypełnienia obowiązków związanych z międzynarodowym przekazywaniem danych zgodnie z rozdziałem V rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725.

Klauzula 2

Niezmienność klauzul

a)	Strony zobowiązują się nie zmieniać klauzul z wyjątkiem dodawania informacji do załączników lub aktualizowania zawartych w nich informacji.

Postanowienie to nie uniemożliwia stronom umieszczania standardowych klauzul umownych określonych w niniejszych klauzulach w treści umowy o szerszym zakresie ani dodawania innych klauzul lub dodatkowych zabezpieczeń, pod warunkiem że nie będą one bezpośrednio lub pośrednio sprzeczne z klauzulami umownymi ani nie będą naruszały podstawowych praw lub wolności osób, których dane dotyczą.

Klauzula 3

Wykładnia

a)	Jeżeli w niniejszych klauzulach użyto terminów zdefiniowanych odpowiednio w rozporządzeniu (UE) 2016/679 lub rozporządzeniu (UE) 2018/1725, terminy te mają takie samo znaczenie jak w tych rozporządzeniach.

b)	Niniejsze klauzule odczytuje się i interpretuje w świetle odpowiednio przepisów rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725.

c)	Niniejszych klauzul nie interpretuje się w sposób sprzeczny z prawami i obowiązkami przewidzianymi w rozporządzeniu (UE) 2016/679 lub rozporządzeniu (UE) 2018/1725 ani w sposób naruszający podstawowe prawa lub wolności osób, których dane dotyczą.

Klauzula 4

Hierarchia

W razie sprzeczności między niniejszymi klauzulami a postanowieniami powiązanych umów między stronami istniejących w chwili uzgadniania niniejszych klauzul lub zawartych po ich uzgodnieniu, pierwszeństwo mają niniejsze klauzule.

Klauzula 5 – fakultatywna

Klauzula przystąpienia

a)	Każdy podmiot niebędący stroną niniejszych klauzul może za zgodą wszystkich stron przystąpić do niniejszych klauzul jako administrator lub podmiot przetwarzający w dowolnym czasie, wypełniając załączniki i podpisując załącznik I.

b)	Po wypełnieniu i podpisaniu załączników wymienionych w lit. a) podmiot przystępujący jest traktowany jako strona niniejszych klauzul i ma prawa i obowiązki administratora lub podmiotu przetwarzającego, zgodnie z rolą nadaną mu w załączniku I.

c)	Przed przystąpieniem do niniejszych klauzul jako ich strona podmiot przystępujący nie ma żadnych praw ani obowiązków wynikających z niniejszych klauzul.

SEKCJA II

OBOWIĄZKI STRON

Klauzula 6

Opis przetwarzania

Szczegóły dotyczące operacji przetwarzania, w szczególności kategorie danych osobowych i cele, dla których dane osobowe są przetwarzane w imieniu administratora, określono w załączniku II.

Klauzula 7

Obowiązki stron

7.1. Polecenia

Podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora, chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo nie zabrania udzielenia takiej informacji z uwagi na ważny interes publiczny. Administrator może wydawać kolejne polecenia przez cały okres przetwarzania danych osobowych. Polecenia te są zawsze dokumentowane.

b)	Podmiot przetwarzający bezzwłocznie powiadamia administratora, jeżeli w opinii podmiotu przetwarzającego polecenie wydane przez administratora narusza rozporządzenie (UE) 2016/679 lub rozporządzenie (UE) 2018/1725 lub obowiązujące przepisy Unii lub państwa członkowskiego o ochronie danych.

7.2. Ograniczenie celu

Podmiot przetwarzający przetwarza dane osobowe wyłącznie w konkretnym celu lub celach przetwarzania, określonych w załączniku II, chyba że otrzyma dalsze polecenia od administratora.

7.3. Czas trwania przetwarzania danych osobowych

Przetwarzanie przez podmiot przetwarzający odbywa się wyłącznie przez okres określony w załączniku II.

7.4. Bezpieczeństwo przetwarzania

W celu zapewnienia bezpieczeństwa danych osobowych podmiot przetwarzający wdraża co najmniej środki techniczne i organizacyjne określone w załączniku III. Zapewnienie bezpieczeństwa danych obejmuje ochronę danych przed naruszeniem bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych (naruszenie ochrony danych osobowych). Oceniając odpowiedni poziom bezpieczeństwa, strony należycie uwzględniają stan wiedzy technicznej, koszty wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz związane z tym ryzyko dla osób, których dane dotyczą.

Podmiot przetwarzający udziela członkom swojego personelu dostępu do danych osobowych podlegających przetwarzaniu jedynie w zakresie bezwzględnie niezbędnym do wykonania umowy, zarządzania nią i jej monitorowania. Podmiot przetwarzający zapewnia, by osoby upoważnione do przetwarzania otrzymanych danych osobowych zobowiązały się do zachowania poufności lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania poufności.

7.5. Dane wrażliwe

Jeżeli przetwarzanie obejmuje dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne lub dane biometryczne do celów jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej danej osoby, bądź dane dotyczące wyroków skazujących i czynów zabronionych („dane wrażliwe”), podmiot przetwarzający stosuje szczególne ograniczenia lub dodatkowe zabezpieczenia.

7.6. Dokumentacja i zgodność

a)	Strony są w stanie wykazać zgodność z niniejszymi klauzulami.

b)	Podmiot przetwarzający niezwłocznie i odpowiednio rozpatruje zapytania administratora dotyczące przetwarzania danych zgodnie z niniejszymi klauzulami.

Podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków, które są określone w niniejszych klauzulach i wynikają bezpośrednio z rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725. Na wniosek administratora podmiot przetwarzający zezwala również na audyty czynności przetwarzania objętych niniejszymi klauzulami i uczestniczy w tych audytach. Audyty te przeprowadza się w rozsądnych odstępach czasu lub jeżeli istnieją przesłanki wskazujące na niezgodność. Podejmując decyzję w sprawie przeglądu lub audytu, administrator może wziąć pod uwagę odpowiednie certyfikaty, jakie ma podmiot przetwarzający.

Administrator może przeprowadzić audyt samodzielnie lub upoważnić do jego przeprowadzenia niezależnego audytora. Audyty mogą również obejmować inspekcje w pomieszczeniach lub obiektach fizycznych podmiotu przetwarzającego. Audyty te przeprowadza się, informując o nich, w stosownych przypadkach, z odpowiednim wyprzedzeniem.

e)	Na wniosek właściwego(-ych) organu(-ów) nadzorczego(-ych) strony udostępniają mu (im) informacje, o których mowa w niniejszej klauzuli, w tym wyniki wszelkich audytów.

7.7. Korzystanie z usług podmiotów podprzetwarzających

OPCJA 1: UPRZEDNIA SZCZEGÓŁOWA ZGODA: Podmiot przetwarzający nie może podzlecać żadnych operacji przetwarzania dokonywanych w imieniu administratora zgodnie z niniejszymi klauzulami podmiotowi podprzetwarzającemu bez uprzedniej szczegółowej pisemnej zgody administratora. Podmiot przetwarzający składa wniosek o udzielenie szczegółowej zgody co najmniej [NALEŻY PODAĆ TERMIN] przed rozpoczęciem korzystania z usług danego podmiotu podprzetwarzającego wraz z informacjami niezbędnymi do tego, by administrator mógł podjąć decyzję w sprawie zgody. Załącznik IV zawiera wykaz podmiotów podprzetwarzających upoważnionych przez administratora. Strony są obowiązane do aktualizacji załącznika IV.

OPCJA 2: OGÓLNA PISEMNA ZGODA: Podmiot przetwarzający ma ogólną zgodę administratora na korzystanie z usług podmiotów podprzetwarzających wpisanych do uzgodnionego wykazu. Podmiot przetwarzający informuje administratora na piśmie o wszelkich zamierzonych zmianach w tym wykazie polegających na dodaniu lub zastąpieniu podmiotów podprzetwarzających z wyprzedzeniem co najmniej [NALEŻY PODAĆ TERMIN], dając tym samym administratorowi wystarczająco dużo czasu na wyrażenie sprzeciwu wobec takich zmian przed rozpoczęciem korzystania z usług danego podmiotu podprzetwarzającego (podmiotów podprzetwarzających). Podmiot przetwarzający przekazuje administratorowi niezbędne informacje umożliwiające mu skorzystanie z prawa sprzeciwu.

Jeżeli podmiot przetwarzający korzysta z usług podmiotu podprzetwarzającego w celu przeprowadzenia określonych czynności przetwarzania (w imieniu administratora), dokonuje tego w drodze umowy, która nakłada na podmiot podprzetwarzający zasadniczo takie same obowiązki w zakresie ochrony danych jak obowiązki nałożone na podmiot przetwarzający dane zgodnie z niniejszymi klauzulami. Podmiot przetwarzający zapewnia, aby podmiot podprzetwarzający wypełniał obowiązki, którym podlega podmiot przetwarzający na mocy niniejszych klauzul oraz rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725.

Na wniosek administratora podmiot przetwarzający przekazuje administratorowi kopię umowy, jaką zawarł z podmiotem podprzetwarzającym, a w razie wprowadzenia zmian przekazuje administratorowi jej zaktualizowaną wersję. W zakresie niezbędnym do ochrony tajemnicy handlowej lub innych informacji poufnych, w tym danych osobowych, podmiot przetwarzający może utajnić tekst umowy przed jej udostępnieniem.

Podmiot przetwarzający pozostaje w pełni odpowiedzialny przed administratorem za wykonanie obowiązków podmiotu podprzetwarzającego zgodnie z jego umową z podmiotem przetwarzającym. Podmiot przetwarzający powiadamia administratora o każdym przypadku niewywiązania się przez podmiot podprzetwarzający z jego zobowiązań umownych.

Podmiot przetwarzający uzgadnia z podmiotem podprzetwarzającym klauzulę dotyczącą beneficjenta będącego osobą trzecią, zgodnie z którą to klauzulą – jeżeli podmiot przetwarzający przestanie istnieć faktycznie lub formalnie lub stanie się niewypłacalny – administrator ma prawo rozwiązać umowę z podmiotem podprzetwarzającym i nakazać mu usunięcie lub zwrot danych osobowych.

7.8. Międzynarodowe przekazywanie danych

Wszelkie przekazywanie danych do państwa trzeciego lub organizacji międzynarodowej przez podmiot przetwarzający odbywa się wyłącznie na udokumentowane polecenie administratora lub w celu spełnienia szczególnego wymogu na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega podmiot przetwarzający, i odbywa się zgodnie z rozdziałem V rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725.

Jeżeli zgodnie z klauzulą 7.7 podmiot przetwarzający korzysta z usług podmiotu podprzetwarzającego w celu przeprowadzenia określonych czynności przetwarzania (w imieniu administratora), które wiążą się z przekazywaniem danych osobowych w rozumieniu rozdziału V rozporządzenia (UE) 2016/679, administrator wyraża zgodę na to, by podmioty te mogły zapewnić zgodność z rozdziałem V rozporządzenia (UE) 2016/679 za pomocą standardowych klauzul umownych przyjętych przez Komisję zgodnie z art. 46 ust. 2 rozporządzenia (UE) 2016/679, pod warunkiem że spełnione są warunki stosowania tych standardowych klauzul umownych.

Klauzula 8

Pomoc dla administratora

a)	Podmiot przetwarzający niezwłocznie zawiadamia administratora o każdym wniosku otrzymanym od osoby, której dane dotyczą. Podmiot przetwarzający nie odpowiada na taki wniosek samodzielnie, chyba że administrator wyraził na to zgodę.

Podmiot przetwarzający pomaga administratorowi w wypełnianiu jego obowiązków dotyczących udzielania odpowiedzi na wnioski osób, których dane dotyczą, o skorzystanie z przysługujących im praw, z uwzględnieniem charakteru przetwarzania. Wypełniając swoje obowiązki zgodnie z lit. a) i b), podmiot przetwarzający stosuje się do poleceń administratora.

Oprócz spoczywającego na podmiocie przetwarzającym obowiązku pomagania administratorowi zgodnie z klauzulą 8 lit. b) podmiot przetwarzający pomaga mu ponadto w zapewnieniu wypełniania następujących obowiązków, z uwzględnieniem charakteru przetwarzania danych oraz informacji, którymi dysponuje podmiot przetwarzający:

1)	obowiązek przeprowadzenia oceny wpływu planowanych operacji przetwarzania na ochronę danych osobowych („ocena skutków dla ochrony danych”), jeżeli dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych;

2)	obowiązek skonsultowania się z właściwym(-i) organem(-ami) nadzorczym(-i) przed rozpoczęciem przetwarzania, jeżeli ocena skutków dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu jego ograniczenia;

3)	obowiązek zapewnienia prawidłowości i aktualności danych osobowych poprzez niezwłoczne poinformowanie administratora, jeżeli podmiot przetwarzający stwierdzi, że przetwarzane przez niego dane osobowe są nieprawidłowe lub nieaktualne;

4)	obowiązki określone w [OPCJA 1] art. 32 rozporządzenia (UE) 2016/679 / [OPCJA 2] art. 33 i 36–38 rozporządzenia (UE) 2018/1725.

d)	Strony określają w załączniku III odpowiednie środki techniczne i organizacyjne, za pomocą których podmiot przetwarzający jest zobowiązany pomagać administratorowi w stosowaniu niniejszej klauzuli, jak również zakres wymaganej pomocy.

Klauzula 9

Zgłaszanie naruszenia ochrony danych osobowych

W przypadku naruszenia ochrony danych osobowych podmiot przetwarzający współpracuje z administratorem i pomaga mu w wypełnianiu jego obowiązków wynikających z art. 33 i 34 rozporządzenia (UE) 2016/679 lub, w stosownych przypadkach, z art. 34 i 35 rozporządzenia (UE) 2018/1725, z uwzględnieniem charakteru przetwarzania i informacji, którymi dysponuje podmiot przetwarzający.

9.1. Naruszenie ochrony danych dotyczące danych przetwarzanych przez administratora

W przypadku naruszenia ochrony danych osobowych dotyczącego danych przetwarzanych przez administratora podmiot przetwarzający wspomaga administratora:

przy zgłaszaniu naruszenia ochrony danych osobowych właściwemu(-ym) organowi(-om) nadzorczemu(-ym) niezwłocznie po tym, jak administrator dowiedział się o naruszeniu, w stosownych przypadkach/(chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych);

przy uzyskiwaniu następujących informacji, które zgodnie z [OPCJA 1] art. 33 ust. 3 rozporządzenia (UE) 2016/679 / [OPCJA 2] art. 34 ust. 3 rozporządzenia (UE) 2018/1725 powinny być zawarte w zgłoszeniu administratora i obejmować co najmniej:

1)	charakter danych osobowych, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

2)	możliwe konsekwencje naruszenia ochrony danych osobowych;

3)	środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Jeżeli przekazanie wszystkich tych informacji równocześnie nie jest możliwe, pierwotne zgłoszenie zawiera informacje dostępne w danej chwili, a po uzyskaniu dostępu do dalszych informacji przekazuje się je bez zbędnej zwłoki;

przy wypełnianiu – zgodnie z [OPCJA 1] art. 34 rozporządzenia (UE) 2016/679 / [OPCJA 2] art. 35 rozporządzenia (UE) 2018/1725 – obowiązku zawiadomienia bez zbędnej zwłoki osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli naruszenie to może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych.

9.2. Naruszenie ochrony danych dotyczące danych przetwarzanych przez podmiot przetwarzający

W przypadku naruszenia ochrony danych osobowych dotyczącego danych przetwarzanych przez podmiot przetwarzający podmiot przetwarzający zgłasza naruszenie administratorowi niezwłocznie po tym, jak dowiedział się o naruszeniu. Zgłoszenie to powinno zawierać co najmniej:

a)	opis charakteru naruszenia (w tym, w miarę możliwości, kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz wpisów danych, których dotyczy naruszenie);

b)	dane punktu kontaktowego, w którym można uzyskać więcej informacji na temat naruszenia ochrony danych osobowych;

c)	wskazanie prawdopodobnych konsekwencji naruszenia oraz środków, które zostały lub mają zostać wprowadzone w celu zaradzenia naruszeniu, w tym w celu zminimalizowania jego ewentualnych negatywnych skutków.

Strony określają w załączniku III wszystkie inne elementy, które ma przedstawić podmiot przetwarzający, wspomagając administratora w wypełnianiu jego obowiązków określonych w [OPCJA 1] art. 33 i 34 rozporządzenia (UE) 2016/679 / [OPCJA 2] art. 34 i 35 rozporządzenia (UE) 2018/1725.

SEKCJA III

POSTANOWIENIA KOŃCOWE

Klauzula 10

Naruszenie klauzul i rozwiązanie umowy

Bez uszczerbku dla przepisów rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725, w przypadku gdy podmiot przetwarzający narusza swoje obowiązki wynikające z niniejszych klauzul, administrator może polecić mu, by zawiesił przetwarzanie danych osobowych do czasu, gdy podmiot przetwarzający zapewni zgodność z niniejszymi klauzulami, lub umowa ulega rozwiązaniu. Podmiot przetwarzający niezwłocznie zawiadamia administratora, jeżeli z jakiegokolwiek powodu nie jest w stanie zastosować się do niniejszych klauzul.

Administrator jest uprawniony do rozwiązania umowy w zakresie, w jakim dotyczy ona przetwarzania danych osobowych zgodnie z niniejszymi klauzulami, jeżeli:

1)	administrator zawiesił przetwarzanie danych osobowych przez podmiot przetwarzający zgodnie z lit. a) i jeżeli zgodność z niniejszymi klauzulami nie zostanie przywrócona w rozsądnym terminie, a w każdym razie w terminie jednego miesiąca od zawieszenia;

2)	podmiot przetwarzający poważnie lub stale narusza niniejsze klauzule lub swoje obowiązki wynikające z rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725;

3)	podmiot przetwarzający nie stosuje się do wiążącej decyzji właściwego sądu lub właściwego(-ych) organu(-ów) nadzorczego(-ych) dotyczącej jego obowiązków wynikających z niniejszych klauzul lub z rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725.

Podmiot przetwarzający ma prawo rozwiązać umowę w zakresie, w jakim dotyczy ona przetwarzania danych osobowych zgodnie z niniejszymi klauzulami, jeżeli po zawiadomieniu administratora o tym, że jego polecenie narusza obowiązujące wymogi prawne zgodnie z klauzulą 7.1 lit. b), administrator nalega na wypełnienie polecenia.

Po rozwiązaniu umowy podmiot przetwarzający, zależnie od decyzji administratora, usuwa wszystkie dane osobowe przetwarzane w imieniu administratora i poświadcza administratorowi, że tego dokonał, lub zwraca administratorowi wszystkie dane osobowe i usuwa istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. Podmiot przetwarzający zapewnia przestrzeganie niniejszych klauzul do czasu usunięcia lub zwrotu danych.

ZAŁĄCZNIK I

Wykaz stron

Administrator (administratorzy): [dane identyfikacyjne i kontaktowe administratora (administratorów) oraz, w stosownych przypadkach, inspektora ochrony danych wyznaczonego przez administratora]

1.	Imię i nazwisko lub nazwa: …

Adres: …

Imię i nazwisko, stanowisko i dane kontaktowe osoby wyznaczonej do kontaktów: …

Podpis i data przystąpienia: …

…

Podmiot przetwarzający (podmioty przetwarzające): [dane identyfikacyjne i kontaktowe podmiotu przetwarzającego (podmiotów przetwarzających) oraz, w stosownych przypadkach, inspektora ochrony danych wyznaczonego przez podmiot przetwarzający]

1.	Imię i nazwisko lub nazwa: …

Adres: …

Imię i nazwisko, stanowisko i dane kontaktowe osoby wyznaczonej do kontaktów: …

Podpis i data przystąpienia: …

…

ZAŁĄCZNIK II

Opis przetwarzania

Kategorie osób, których dane osobowe są przetwarzane

…

Kategorie przetwarzanych danych osobowych

…

Przetwarzane dane wrażliwe (w stosownych przypadkach) oraz stosowane ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych i związane z nimi zagrożenia, takie jak na przykład ścisłe ograniczenie celu, ograniczenia dostępu (w tym dostęp wyłącznie dla personelu, który odbył specjalistyczne szkolenie), prowadzenie rejestru dostępu do danych, ograniczenia dotyczące dalszego przekazywania danych lub dodatkowe środki bezpieczeństwa.

…

Charakter przetwarzania

…

Cel(e), w którym(-ych) dane osobowe są przetwarzane w imieniu administratora

…

Czas trwania przetwarzania

…

W przypadku przetwarzania przez podmioty przetwarzające lub podprzetwarzające należy również określić przedmiot, charakter i czas trwania przetwarzania.

ZAŁĄCZNIK III

Środki techniczne i organizacyjne, w tym środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych

UWAGA WYJAŚNIAJĄCA:

Środki techniczne i organizacyjne należy opisać szczegółowo, a nie w sposób ogólny.

Opis technicznych i organizacyjnych środków bezpieczeństwa wdrożonych przez podmiot przetwarzający (podmioty przetwarzające) (w tym wszelkie stosowne certyfikaty) w celu zapewnienia odpowiedniego poziomu bezpieczeństwa, z uwzględnieniem charakteru, zakresu, kontekstu i celu przetwarzania, a także ryzyka naruszenia praw i wolności osób fizycznych Przykłady możliwych środków:

Środki umożliwiające pseudonimizację i szyfrowanie danych osobowych

Środki zapewniające zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania

Środki zapewniające zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego

Procesy umożliwiające regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania

Środki umożliwiające identyfikację i autoryzację użytkowników

Środki zapewniające ochronę danych w czasie ich przekazywania

Środki zapewniające ochronę danych w czasie ich przechowywania

Środki służące zapewnieniu bezpieczeństwa fizycznego miejsc, w których przetwarzane są dane osobowe

Środki umożliwiające rejestrowanie zdarzeń

Środki służące do konfiguracji systemu, w tym konfiguracji domyślnej

Środki dotyczące zarządzania wewnętrznym systemem IT i bezpieczeństwem IT

Środki dotyczące certyfikacji / zapewnienia jakości procesów i produktów

Środki zapewniające minimalizację danych

Środki zapewniające odpowiednią jakość danych

Środki zapewniające ograniczone zatrzymywanie danych

Środki zapewniające rozliczalność

Środki umożliwiające przenoszenie danych i zapewnienie ich usuwania]

W przypadku przekazywania danych podmiotom przetwarzającym lub podprzetwarzającym należy również opisać konkretne środki techniczne i organizacyjne, jakie powinien zastosować podmiot przetwarzający lub podprzetwarzający, aby móc udzielić pomocy administratorowi.

Opis konkretnych środków technicznych i organizacyjnych, jakie powinien zastosować podmiot przetwarzający, aby móc udzielić pomocy administratorowi

ZAŁĄCZNIK IV

Wykaz podmiotów podprzetwarzających

UWAGA WYJAŚNIAJĄCA:

Niniejszy załącznik należy wypełnić w razie udzielenia szczegółowej zgody na korzystanie z usług podmiotów podprzetwarzających (klauzula 7.7 lit. a), opcja 1).

Administrator zezwolił na korzystanie z usług następujących podmiotów podprzetwarzających:

1.	Imię i nazwisko lub nazwa: …

Adres: …

Imię i nazwisko, stanowisko i dane kontaktowe osoby wyznaczonej do kontaktów: …

Opis przetwarzania (w tym jasne określenie zakresu odpowiedzialności w przypadku upoważnienia kilku podmiotów podprzetwarzających): …

…

7.6.2021

Dziennik Urzędowy Unii Europejskiej

L 199/31

DECYZJA WYKONAWCZA KOMISJI (UE) 2021/914

z dnia 4 czerwca 2021 r.

w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679

(Tekst mający znaczenie dla EOG)

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (1), w szczególności jego art. 28 ust. 7 i art. 46 ust. 2 lit. c),

a także mając na uwadze, co następuje:

(1)

Rozwój technologiczny ułatwia transgraniczny przepływ danych, który jest niezbędnym warunkiem rozwoju handlu międzynarodowego i współpracy międzynarodowej. Jednocześnie należy zapewnić, aby w przypadku przekazywania danych osobowych do państw trzecich, w tym w przypadku dalszego przekazywania, nie doszło do obniżenia stopnia ochrony osób fizycznych zagwarantowanego w rozporządzeniu (UE) 2016/679 (2). Przepisy dotyczące przekazywania danych zawarte w rozdziale V rozporządzenia (UE) 2016/679 mają zapewnić ciągłość takiego wysokiego stopnia ochrony w przypadku przekazywania danych osobowych do państwa trzeciego (3).

(2)

Zgodnie z art. 46 ust. 1 rozporządzenia (UE) 2016/679 w razie braku decyzji Komisji na mocy art. 45 ust. 3 stwierdzającej odpowiedni stopień ochrony administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. Takie zabezpieczenia można zapewnić za pomocą standardowych klauzul ochrony danych przyjętych przez Komisję zgodnie z art. 46 ust. 2 lit. c).

(3)

Rola standardowych klauzul umownych ogranicza się do zapewnienia odpowiednich zabezpieczeń służących ochronie danych w przypadku międzynarodowego przekazywania danych. Dlatego też administrator lub podmiot przetwarzający przekazujący dane osobowe do państwa trzeciego („podmiot przekazujący dane”) i administrator lub podmiot przetwarzający odbierający dane („podmiot odbierający dane”) mogą włączać takie standardowe klauzule umowne do szerszej umowy i dodawać inne klauzule lub dodatkowe zabezpieczenia, pod warunkiem że nie są one bezpośrednio lub pośrednio sprzeczne ze standardowymi klauzulami umownymi ani nie naruszają podstawowych praw lub wolności osób, których dane dotyczą. Zachęca się administratorów i podmioty przetwarzające do tego, aby w drodze zobowiązań umownych przewidywali dodatkowe zabezpieczenia stanowiące uzupełnienie standardowych klauzul umownych (4). Standardowe klauzule umowne stosuje się bez uszczerbku dla jakichkolwiek zobowiązań umownych podmiotu przekazującego dane lub podmiotu odbierającego dane do zapewnienia poszanowania stosownych przywilejów i immunitetów.

(4)

Oprócz zapewniania odpowiednich zabezpieczeń w przypadku przekazywania danych za pomocą standardowych klauzul umownych zgodnie z art. 46 ust. 1 rozporządzenia (UE) 2016/679 podmiot przekazujący dane musi spełnić ogólne obowiązki spoczywające na nim jako na administratorze lub podmiocie przetwarzającym zgodnie z rozporządzeniem (UE) 2016/679. Do takich obowiązków należy między innymi spoczywający na administratorze obowiązek podania osobom, których dane dotyczą, informacji o zamiarze przekazania ich danych osobowych do państwa trzeciego zgodnie z art. 13 ust. 1 lit. f) i art. 14 ust. 1 lit. f) rozporządzenia (UE) 2016/679. W przypadku przekazywania na podstawie art. 46 rozporządzenia (UE) 2016/679 takie informacje muszą obejmować wzmiankę o odpowiednich zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.

(5)

Decyzje Komisji 2001/497/WE (5) i 2010/87/UE (6) zawierają standardowe klauzule umowne służące ułatwieniu przekazywania danych osobowych przez administratora danych posiadającego jednostkę organizacyjną w Unii administratorowi lub podmiotowi przetwarzającemu mającemu siedzibę w państwie trzecim, które nie zapewnia odpowiedniego stopnia ochrony. Decyzje te wydano na podstawie dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (7).

(6)

Zgodnie z art. 46 ust. 5 rozporządzenia (UE) 2016/679, decyzja 2001/497/WE i decyzja 2010/87/UE pozostają w mocy do czasu ich zmiany, zastąpienia lub uchylenia w razie potrzeby decyzją Komisji przyjętą na podstawie art. 46 ust. 2 tego rozporządzenia. Standardowe klauzule umowne zawarte w decyzjach wymagały aktualizacji w związku z nowymi wymogami określonymi w rozporządzeniu (UE) 2016/679. Ponadto, odkąd przyjęto te decyzje, w gospodarce cyfrowej nastąpiły istotne zmiany – powszechnie stosuje się nowe i bardziej złożone operacje przetwarzania, często z udziałem wielu podmiotów odbierających dane i podmiotów przekazujących dane, występują długie i złożone łańcuchy przetwarzania, a relacje biznesowe ewoluują. W związku z powyższym konieczne jest zmodernizowanie standardowych klauzul umownych w celu lepszego odzwierciedlenia takich realiów przez uwzględnienie dodatkowych sytuacji przetwarzania i przekazywania oraz w celu umożliwienia stosowania bardziej elastycznego podejścia, na przykład jeżeli chodzi o liczbę stron mogących przystąpić do umowy.

(7)

Administrator lub podmiot przetwarzający mogą stosować standardowe klauzule umowne określone w załączniku do niniejszej decyzji, aby zapewnić odpowiednie zabezpieczenia w rozumieniu art. 46 ust. 1 rozporządzenia (UE) 2016/679 na potrzeby przekazywania danych osobowych podmiotowi przetwarzającemu lub administratorowi posiadającemu jednostkę organizacyjną w państwie trzecim, bez uszczerbku dla wykładni pojęcia „międzynarodowego przekazywania danych” w rozporządzeniu (UE) 2016/679. Standardowe klauzule umowne można stosować wyłącznie w odniesieniu do takiego przekazywania danych w zakresie, w jakim przetwarzanie danych przez podmiot odbierający dane nie jest objęte zakresem stosowania rozporządzenia (UE) 2016/679. Dotyczy to również przekazywania danych osobowych przez administratora lub podmiot przetwarzający, którzy nie posiadają jednostki organizacyjnej w Unii, w zakresie, w jakim przetwarzanie podlega rozporządzeniu (UE) 2016/679 zgodnie z jego art. 3 ust. 2, gdyż wiąże się ono z oferowaniem towarów lub usług osobom, których dane dotyczą, w Unii lub z monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

(8)

Mając na uwadze ogólne dostosowanie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 i rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 (8), powinna istnieć możliwość stosowania standardowych klauzuli umownych również w kontekście umowy, o której mowa w art. 29 ust. 4 rozporządzenia (UE) 2018/1725, w odniesieniu do przekazywania danych osobowych podwykonawcy przetwarzania w państwie trzecim przez podmiot przetwarzający, który nie jest instytucją ani organem Unii, ale podlega rozporządzeniu (UE) 2016/679 i przetwarza dane osobowe w imieniu instytucji lub organu Unii zgodnie z art. 29 rozporządzenia (UE) 2018/1725. Zgodność z art. 29 ust. 4 rozporządzenia (UE) 2018/1725 będzie zapewniona, jeżeli umowa odzwierciedla takie same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w art. 29 ust. 3 rozporządzenia (UE) 2018/1725, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych pozwalających zapewnić, aby przetwarzanie odpowiadało wymogom określonym w tym rozporządzeniu. Będzie to dotyczyło w szczególności sytuacji, gdy administrator i podmiot przetwarzający korzystają ze standardowych klauzulach umownych zawartych w decyzji wykonawczej Komisji w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi dotyczących kwestii, o których mowa w art. 28 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 i art. 29 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 (9).

(9)

Jeżeli przetwarzanie wiąże się z przekazywaniem danych przez administratorów podlegających rozporządzeniu (UE) 2016/679 podmiotom przetwarzającym nieobjętym terytorialnym zakresem stosowania rozporządzenia lub przez podmioty przetwarzające podlegające rozporządzeniu (UE) 2016/679 podwykonawcom przetwarzania nieobjętym terytorialnym zakresem stosowania rozporządzenia, standardowe klauzule umowne określone w załączniku do niniejszej decyzji również powinny umożliwiać spełnienie wymogów określonych w art. 28 ust. 3 i 4 rozporządzenia (UE) 2016/679.

(10)

Standardowe klauzule umowne określone w załączniku do niniejszej decyzji łączą klauzule ogólne z podejściem modułowym, aby uwzględnić różne scenariusze przekazywania danych i złożoność współczesnych łańcuchów przetwarzania. Oprócz klauzul ogólnych administratorzy i podmioty przetwarzające powinni wybrać moduł mający zastosowanie do ich sytuacji, aby dostosować obowiązki spoczywające na nich na mocy standardowych klauzul umownych do roli i obowiązków, jakie pełnią w związku z przedmiotowym przetwarzaniem danych. Należy zapewnić możliwość przestrzegania standardowych klauzul umownych przez więcej niż dwie strony. Ponadto należy zapewnić, aby do standardowych klauzul umownych mogli przystępować dodatkowi administratorzy i dodatkowe podmioty przetwarzające w roli podmiotów przekazujących dane lub podmiotów odbierających dane w całym okresie obowiązywania umowy, której te klauzule są częścią.

(11)

W celu ustanowienia odpowiednich zabezpieczeń w standardowych klauzulach umownych należy zapewnić, aby stopień ochrony danych osobowych przekazywanych na ich podstawie był merytorycznie równoważny stopniowi gwarantowanemu w Unii (10). Aby zapewnić przejrzystość przetwarzania, osoby, których dane dotyczą, powinny otrzymać kopię standardowych klauzul umownych i zostać poinformowane w szczególności o kategoriach przetwarzanych danych osobowych, prawie do uzyskania kopii standardowych klauzul umownych oraz o wszelkim dalszym przekazywaniu. Dalsze przekazywanie przez podmiot odbierający dane do strony trzeciej w innym państwie trzecim powinno być dopuszczalne wyłącznie w sytuacji, w której taka strona trzecia przystępuje do standardowych klauzul umownych lub w której ciągłość ochrony zapewniono w inny sposób, lub też w określonych sytuacjach, na przykład w przypadku udzielenia przez osobę, której dane dotyczą, wyraźnej, świadomej zgody.

(12)

Z pewnymi wyjątkami – w szczególności z wyjątkiem określonych obowiązków dotyczących wyłącznie relacji między podmiotem przekazującym dane a podmiotem odbierającym dane – osoby, których dane dotyczą, powinny mieć możliwość powołania się na standardowe klauzule umowne – i w razie potrzeby ich wyegzekwowania – jako osoby trzecie, na rzecz których zawarto umowę. Dlatego też, o ile strony powinny mieć możliwość wybrania prawa jednego z państw członkowskich jako prawa właściwego dla danych standardowych klauzul umownych, o tyle prawo takie musi dopuszczać możliwość wykonania praw przewidzianych w klauzuli na rzecz osoby trzeciej. Aby istniała możliwość indywidualnego dochodzenia roszczeń, w standardowych klauzulach umownych należy zobowiązać podmiot odbierający dane do poinformowania osób, których dane dotyczą, o punkcie kontaktowym oraz do szybkiego rozpatrywania wszelkich skarg lub żądań. W przypadku sporu między podmiotem odbierającym dane a osobą, której dane dotyczą i która powołuje się na przysługujące jej prawa jako osoba trzecia, na rzecz której zawarto umowę, takiej osobie powinno przysługiwać prawo wniesienia skargi do właściwego organu nadzorczego lub skierowania sporu do rozpatrzenia przez sądy właściwe w UE.

(13)

Aby zapewnić skuteczne egzekwowanie, od podmiotu odbierającego dane należy wymagać podporządkowania się właściwości takiego organu i takich sądów oraz zobowiązania się do przestrzegania każdej wiążącej decyzji wydanej na mocy mającego zastosowanie prawa państwa członkowskiego. W szczególności podmiot odbierający dane powinien wyrazić zgodę na odpowiadanie na zapytania, poddawanie się audytom i przestrzeganie środków przyjętych przez organ nadzorczy, w tym środków zaradczych i kompensacyjnych. Dodatkowo podmiot odbierający dane powinien móc zaproponować osobom, których dane dotyczą, możliwość nieodpłatnego dochodzenia roszczeń przed niezależnym organem rozstrzygania sporów. Zgodnie z art. 80 ust. 1 rozporządzenia (UE) 2016/679 osoby, których dane dotyczą, powinny mieć prawo, jeżeli wyrażą taką wolę, do umocowania organizacji lub innych podmiotów do ich reprezentowania w sporach z podmiotem odbierającym dane.

(14)

W standardowych klauzulach umownych należy określić postanowienia dotyczące odpowiedzialności między stronami i odpowiedzialności wobec osób, których dane dotyczą, a także postanowienia dotyczące wzajemnego zwrotu kosztów między stronami. Jeżeli osoba, której dane dotyczą, poniosła szkodę majątkową lub niemajątkową w wyniku dowolnego naruszenia określonych w standardowych klauzulach umownych praw osoby trzeciej, na rzecz której zawarto umowę, osoba taka powinna mieć prawo do odszkodowania. Powinno to pozostawać bez uszczerbku dla wszelkiego rodzaju odpowiedzialności określonej w rozporządzeniu (UE) 2016/679.

(15)

W przypadku przekazywania podmiotowi odbierającemu dane występującemu w charakterze podmiotu przetwarzającego lub podwykonawcy przetwarzania powinny mieć zastosowanie szczegółowe wymogi zgodnie z art. 28 ust. 3 rozporządzenia (UE) 2016/679. W standardowych klauzulach umownych należy zobowiązać podmiot odbierający dane do udostępnienia wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w tych klauzulach oraz do umożliwienia przeprowadzania audytów jego czynności przetwarzania przez podmiot przekazujący dane i do wniesienia wkładu w te audyty. Jeżeli chodzi o zaangażowanie przez podmiot odbierający dane jakiegokolwiek podwykonawcy przetwarzania, zgodnie z art. 28 ust. 2 i 4 rozporządzenia (UE) 2016/679, w standardowych klauzulach umownych należy w szczególności określić procedurę uzyskania ogólnej lub szczegółowej zgody podmiotu przekazującego dane, a także wymóg zawarcia z podwykonawcą przetwarzania pisemnej umowy zapewniającej stopień ochrony odpowiadający stopniowi ochrony zagwarantowanemu w tych klauzulach.

(16)

W standardowych klauzulach umownych należy zapewnić odrębne zabezpieczenia dotyczące szczególnej sytuacji, w której podmiot przetwarzający w Unii przekazuje dane osobowe ich administratorowi w państwie trzecim, i odzwierciedlić określone w rozporządzeniu (UE) 2016/679 ograniczone odrębne obowiązki podmiotów przetwarzających. W szczególności w standardowych klauzulach umownych należy zobowiązać podmiot przetwarzający do poinformowania administratora w sytuacji, gdy podmiot przetwarzający nie jest w stanie zastosować się do jego polecenia, w tym jeżeli takie polecenie narusza unijne prawo ochrony danych, oraz zobowiązać administratora do zaniechania wszelkich działań, które uniemożliwiłyby podmiotowi przetwarzającemu spełnienie spoczywających na nim obowiązków określonych w rozporządzeniu (UE) 2016/679. W klauzulach tych należy również zobowiązać strony do udzielania sobie wzajemnej pomocy w odpowiadaniu na zapytania i żądania ze strony osób, których dane dotyczą, zgodnie z lokalnym prawem, któremu podlega podmiot odbierający dane, lub – w przypadku przetwarzania danych w Unii – zgodnie z rozporządzeniem (UE) 2016/679. Jeżeli unijny podmiot przetwarzający łączy dane osobowe otrzymane od administratora w państwie trzecim z danymi osobowymi zgromadzonymi przez siebie w Unii, zastosowanie powinny mieć dodatkowe wymogi, aby uwzględnić ewentualny wpływ stosowania prawa państwa trzeciego przeznaczenia na przestrzeganie klauzul przez administratora, w szczególności wymogi określające sposób postępowania w sytuacji, w której organy publiczne w państwie trzecim przedstawiają wiążące żądania ujawnienia przekazywanych danych osobowych. Z kolei wszelkie tego typu wymogi są nieuzasadnione, jeżeli outsourcing polega wyłącznie na przetwarzaniu i przekazywaniu z powrotem danych osobowych otrzymanych od administratora i jeżeli działalność ta w każdym przypadku podlega i będzie podlegać jurysdykcji danego państwa trzeciego.

(17)

Strony powinny być w stanie wykazać przestrzeganie standardowych klauzul umownych. W szczególności podmiot odbierający dane powinien być zobowiązany do przechowywania odpowiedniej dokumentacji dotyczącej czynności przetwarzania, za które ponosi odpowiedzialność, oraz do niezwłocznego poinformowania podmiotu przekazującego dane, jeżeli z jakiegokolwiek powodu nie jest w stanie zapewnić przestrzegania postanowień klauzul. Z kolei podmiot przekazujący dane powinien zawiesić przekazywanie danych, a w szczególnie poważnych przypadkach jest uprawniony do rozwiązania umowy – o ile problem dotyczy przetwarzania danych osobowych na podstawie standardowych klauzul umownych – jeżeli podmiot odbierający dane narusza klauzule lub nie jest w stanie zapewnić ich przestrzegania. W sytuacji, w której lokalne prawo ma wpływ na przestrzeganie klauzul, powinny mieć zastosowanie przepisy szczególne. Dane osobowe przekazane przed rozwiązaniem umowy i wszelkie ich kopie powinny zostać – w zależności od wyboru dokonanego przez podmiot przekazujący dane – zwrócone temu podmiotowi lub zniszczone.

(18)

W standardowych klauzulach umownych należy określić szczególne zabezpieczenia, w szczególności w świetle orzecznictwa Trybunał Sprawiedliwości (11), aby uwzględnić ewentualny wpływ stosowania prawa państwa trzeciego przeznaczenia na przestrzeganie tych klauzul przez podmiot odbierający dane, a w szczególności należy określić sposób postępowania w sytuacji, w której organy publiczne w tym państwie przedstawiają wiążące żądania ujawnienia przekazywanych danych osobowych.

(19)

Przekazywanie i przetwarzanie danych osobowych na podstawie standardowych klauzul umownych nie powinno mieć miejsca, gdy przepisy i praktyki obowiązujące w państwie trzecim przeznaczenia uniemożliwiają podmiotowi odbierającemu dane przestrzeganie tych klauzul. W tym kontekście za sprzeczne ze standardowymi klauzulami umownymi nie należy uznawać przepisów i praktyk, które nie naruszają istoty podstawowych praw i wolności oraz nie wykraczają poza to, co jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym służącym zabezpieczeniu jednego z celów wymienionych w art. 23 ust. 1 rozporządzenia (UE) 2016/679. Strony powinny zagwarantować, że w chwili akceptowania standardowych klauzul umownych nie mają żadnych powodów, aby sądzić, iż przepisy i praktyki mające zastosowanie wobec podmiotu odbierającego dane są niezgodne z tymi wymogami.

(20)

Strony powinny przede wszystkim uwzględnić konkretne okoliczności przekazywania danych (takie jak treść i okres obowiązywania umowy, charakter danych, które mają być przekazywane, rodzaj odbiorcy, cel przetwarzania), przepisy i praktyki państwa trzeciego przeznaczenia istotne z punktu widzenia okoliczności przekazywania danych oraz wszelkie zabezpieczenia wprowadzone jako uzupełnienie zabezpieczeń określonych w standardowych klauzulach umownych (w tym stosowne środki umowne, techniczne i organizacyjne mające zastosowanie do przekazywania danych osobowych i przetwarzania tych danych w państwie przeznaczenia). Jeżeli chodzi o wpływ takich przepisów i praktyk na zgodność ze standardowymi klauzulami umownymi, w ogólnej ocenie można wziąć pod uwagę różne elementy, między innymi wiarygodne informacje na temat stosowania prawa w praktyce (w tym orzecznictwo i sprawozdania sporządzone przez niezależne organy nadzoru), występowanie lub brak żądań w tym samym sektorze oraz – wyłącznie w ściśle określonych okolicznościach – udokumentowane praktyczne doświadczenie podmiotu przekazującego dane lub podmiotu odbierającego dane.

(21)

Jeżeli po zaakceptowaniu standardowych klauzul umownych podmiot odbierający dane ma powody, aby sądzić, że nie jest w stanie zapewnić przestrzegania tych klauzul, powinien powiadomić o tym podmiot przekazujący dane. Jeżeli podmiot przekazujący dane otrzyma takie powiadomienie lub w inny sposób dowie się, że podmiot odbierający dane nie jest już w stanie zapewnić przestrzegania standardowych klauzul umownych, powinien określić odpowiednie środki w celu zaradzenia tej sytuacji, w razie potrzeby w porozumieniu z właściwym organem nadzorczym. Takie środki mogą obejmować dodatkowe środki przyjęte przez podmiot przekazujący dane lub podmiot odbierający dane, takie jak środki techniczne lub organizacyjne służące zapewnieniu bezpieczeństwa i poufności. Podmiot przekazujący dane powinien być zobowiązany do wstrzymania przekazywania danych, jeżeli uzna, że zapewnienie odpowiednich zabezpieczeń jest niemożliwe, lub na polecenie właściwego organu nadzorczego.

(22)

W stosownych przypadkach podmiot odbierający dane powinien powiadomić podmiot przekazujący dane i osobę, której dane dotyczą, o otrzymaniu od organu publicznego (w tym sądowego) – zgodnie z przepisami państwa przeznaczenia – prawnie wiążącego żądania ujawnienia danych osobowych przekazywanych na podstawie standardowych klauzul umownych. Takie powiadomienie należy również wystosować w przypadku, gdy podmiot odbierający dane dowie się o jakimkolwiek przypadku bezpośredniego dostępu przez organy publiczne do danych osobowych zgodnie z przepisami państwa trzeciego przeznaczenia. Jeżeli podmiot odbierający dane, mimo dołożenia wszelkich starań, nie jest w stanie powiadomić podmiotu przekazującego dane lub osoby, której dane dotyczą, o konkretnych żądaniach ujawnienia danych, powinien dostarczyć podmiotowi przekazującemu dane jak najwięcej istotnych informacji o tych żądaniach. Ponadto podmiot odbierający dane powinien w regularnych odstępach czasu przekazywać podmiotowi przekazującemu dane informacje zbiorcze. Podmiot odbierający dane powinien być również zobowiązany do udokumentowania każdego otrzymanego żądania ujawnienia danych i udzielonej odpowiedzi oraz udostępnienia tych informacji podmiotowi przekazującemu dane lub właściwemu organowi nadzorczemu, lub obu tym podmiotom, na ich wniosek. Jeżeli po zbadaniu zgodności takiego żądania z prawem państwa przeznaczenia podmiot odbierający dane dojdzie do wniosku, że istnieją uzasadnione podstawy, by uznać, że żądanie jest niezgodne z prawem w świetle prawa państwa trzeciego przeznaczenia, powinien zaskarżyć takie żądanie, w tym, w stosownych przypadkach, poprzez wyczerpanie dostępnych środków odwoławczych. Niezależnie od sytuacji, jeżeli podmiot odbierający dane nie jest już w stanie zapewnić przestrzegania standardowych klauzul umownych, powinien powiadomić o tym podmiot przekazujący dane, w tym jeżeli jest to skutkiem żądania ujawnienia danych.

(23)

Ponieważ potrzeby, technologia i operacje przetwarzania zainteresowanych stron mogą się zmieniać, Komisja powinna ocenić funkcjonowanie standardowych klauzul umownych na podstawie zdobytych doświadczeń w ramach okresowej oceny rozporządzenia (UE) 2016/679, o której mowa w art. 97 tego rozporządzenia.

(24)

Decyzję 2001/497/WE oraz decyzję 2010/87/UE należy uchylić trzy miesiące po wejściu w życie niniejszej decyzji. W tym okresie podmioty przekazujące dane i podmioty odbierające dane powinny, do celów art. 46 ust. 1 rozporządzenia (UE) 2016/679, nadal mieć możliwość stosowania standardowych klauzul umownych określonych w decyzjach 2001/497/WE i 2010/87/UE. Przez dodatkowy okres 15 miesięcy podmioty przekazujące dane i podmioty odbierające dane powinny, do celów art. 46 ust. 1 rozporządzenia (UE) 2016/679, mieć możliwość dalszego stosowania standardowych klauzul umownych określonych w decyzjach 2001/497/WE i 2010/87/UE w odniesieniu do wykonywania umów zawartych między nimi przed datą uchylenia tych decyzji, pod warunkiem że operacje przetwarzania będące przedmiotem umowy pozostaną niezmienione i pod warunkiem że stosowanie tych klauzul zapewnia, aby przekazywanie danych osobowych odbywało się z zastrzeżeniem odpowiednim zabezpieczeń w rozumieniu art. 46 ust. 1 rozporządzenia (UE) 2016/679. W przypadku istotnych zmian w umowie podmiot przekazujący dane powinien być zobowiązany do oparcia się na nowej podstawie przekazywania danych na mocy umowy, w szczególności poprzez zastąpienie istniejących standardowych klauzul umownych standardowymi klauzulami umownymi określonymi w załączniku do niniejszej decyzji. To samo powinno mieć zastosowanie do wszelkich przypadków zlecania podmiotowi przetwarzającemu (podwykonawcy przetwarzania) podwykonawstwa operacji przetwarzania objętych umową.

(25)	Zgodnie z art. 42 ust. 1 i 2 rozporządzenia (UE) 2018/1725 skonsultowano się z Europejskim Inspektorem Ochrony Danych i Europejską Radą Ochrony Danych – w dniu 14 stycznia 2021 r. organy te wydały wspólną opinię (12), którą uwzględniono podczas przygotowywania niniejszej decyzji.

(26)	Środki przewidziane w niniejszej decyzji są zgodne z opinią komitetu ustanowionego na mocy art. 93 rozporządzenia (UE) 2016/679,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł 1

1. Uznaje się, że standardowe klauzule umowne określone w załączniku zapewniają odpowiednie zabezpieczenia w rozumieniu art. 46 ust. 1 i art. 46 ust. 2 lit. c) rozporządzenia (UE) 2016/679 dotyczące przekazywania przez administratora lub podmiot przetwarzający danych osobowych przetwarzanych zgodnie z tym rozporządzeniem (podmiot przekazujący dane) administratorowi lub podmiotowi przetwarzającemu (podwykonawcy przetwarzania), w przypadku których przetwarzanie danych nie podlega temu rozporządzeniu (podmiot odbierający dane).

2. Standardowe klauzule umowne określają również prawa i obowiązki administratorów i podmiotów przetwarzających w odniesieniu do kwestii, o których mowa w art. 28 ust. 3 i 4 rozporządzenia (UE) 2016/679, jeżeli chodzi o przekazywanie danych osobowych przez administratora podmiotowi przetwarzającemu lub przez podmiot przetwarzający podwykonawcy przetwarzania.

Artykuł 2

Jeżeli właściwe organy państwa członkowskiego wykonują uprawnienia naprawcze na podstawie art. 58 rozporządzenia (UE) 2016/679 w odpowiedzi na fakt, że podmiot odbierający dane podlega lub zaczął podlegać w państwie trzecim przeznaczenia przepisom lub praktykom, które uniemożliwiają mu przestrzeganie standardowych klauzul umownych określonych w załączniku, co prowadzi do wstrzymania lub zakazu przekazywania danych do państw trzecich, przedmiotowe państwo członkowskie niezwłocznie informuje o tym Komisję, która przekazuje te informacje pozostałym państwom członkowskim.

Artykuł 3

Komisja ocenia praktyczne stosowanie standardowych klauzul umownych określonych w załączniku na podstawie wszystkich dostępnych informacji, w ramach okresowej oceny wymaganej zgodnie z art. 97 rozporządzenia (UE) 2016/679.

Artykuł 4

1. Niniejsza decyzja wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

2. Decyzja 2001/497/WE traci moc ze skutkiem od dnia 27 września 2021 r.

3. Decyzja 2010/87/UE traci moc ze skutkiem od dnia 27 września 2021 r.

4. Uznaje się, że umowy zawarte przed dniem 27 września 2021 r. na podstawie decyzji 2001/497/WE lub decyzji 2010/87/UE zapewniają odpowiednie gwarancje w rozumieniu art. 46 ust. 1 rozporządzenia (UE) 2016/679 do dnia 27 grudnia 2022 r., pod warunkiem że operacje przetwarzania stanowiące przedmiot umowy pozostaną niezmienione oraz że stosowanie tych klauzul zapewnia, aby przekazywanie danych osobowych odbywało się z zastrzeżeniem odpowiednich zabezpieczeń.

Sporządzono w Brukseli dnia 4 czerwca 2021 r.

W imieniu Komisji

Ursula VON DER LEYEN

Przewodnicząca

(1) Dz.U. L 119 z 4.5.2016, s. 1.

(2) Art. 44 rozporządzenia (UE) 2016/679.

(3) Zob. również wyrok Trybunału Sprawiedliwości z dnia 16 lipca 2020 r. w sprawie C-311/18, Data Protection Commissioner/Facebook Ireland Ltd i Maximillian Schrems („Schrems II”), ECLI:EU:C:2020:559, pkt 93.

(4) Motyw 109 rozporządzenia (UE) 2016/679.

(5) Decyzja Komisji 2001/497/WE z dnia 15 czerwca 2001 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich, na mocy dyrektywy 95/46/WE (Dz.U. L 181 z 4.7.2001, s. 19).

(6) Decyzja Komisji 2010/87/UE z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (Dz.U. L 39 z 12.2.2010, s. 5).

(7) Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281 z 23.11.1995, s. 31).

(8) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39); zob. motyw 5.

(9) C(2021) 3701.

(10) Schrems II, pkt 96 i 103. Zob. również motywy 108 i 114 rozporządzenia (UE) 2016/679.

(11) Schrems II.

(12) Wspólna opinia EROD-EIOD 2/2021 dotycząca decyzji wykonawczej Komisji Europejskiej w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich w odniesieniu do kwestii, o których mowa w art. 46 ust. 2 lit. c) rozporządzenia (UE) 2016/679.

ZAŁĄCZNIK

STANDARDOWE KLAUZULE UMOWNE

SEKCJA I

Klauzula 1

Cel i zakres

Niniejsze standardowe klauzule umowne mają na celu zapewnienie zgodności z wymogami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych) (1) w zakresie przekazywania danych osobowych do państwa trzeciego.

Strony:

(i)	osoby fizyczne lub prawne, organy publiczne, agencje lub inne organy (zwane dalej „podmiotami”) przekazujące dane osobowe, wymienione w załączniku I część A (zwane dalej „podmiotem przekazującym dane”) oraz

(ii)	podmioty w państwie trzecim otrzymujące dane osobowe od podmiotu przekazującego dane, bezpośrednio lub pośrednio za pośrednictwem innego podmiotu, będącego również Stroną niniejszych klauzul, umieszczone w wykazie w załączniku I część A (zwane dalej „podmiotem odbierającym dane”)

uzgodniły niniejsze standardowe klauzule umowne (zwane dalej „klauzulami”).

c)	Niniejsze klauzule mają zastosowanie do przekazywania danych osobowych, jak określono w załączniku I część B.

d)	Dodatek do niniejszych klauzul zawierający wymienione w nich załączniki stanowi integralną część niniejszych klauzul.

Klauzula 2

Skutek i niezmienność klauzul

Niniejsze klauzule określają odpowiednie zabezpieczenia, w tym egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej, zgodnie z art. 46 ust. 1 i art. 46 ust. 2 lit. c) rozporządzenia (UE) 2016/679, oraz standardowe klauzule umowne zgodnie z art. 28 ust. 7 rozporządzenia (UE) 2016/679 w odniesieniu do przekazywania danych od administratorów do podmiotów przetwarzających lub od podmiotów przetwarzających do podmiotów przetwarzających, pod warunkiem że klauzule te nie są modyfikowane, z wyjątkiem modyfikowania w celu wyboru odpowiedniego modułu lub odpowiednich modułów lub w celu dodania informacji do dodatku lub aktualizacji takich informacji. Nie uniemożliwia to Stronom włączania standardowych klauzul umownych określonych w niniejszych klauzulach do szerszej umowy lub dodawania innych klauzul lub dodatkowych zabezpieczeń, pod warunkiem że nie są one bezpośrednio ani pośrednio sprzeczne z niniejszymi klauzulami ani nie naruszają podstawowych praw lub wolności osób, których dane dotyczą.

b)	Niniejsze klauzule nie naruszają obowiązków, którym podlega podmiot przekazujący dane na mocy rozporządzenia (UE) 2016/679.

Klauzula 3

Osoby trzecie, na rzecz których zawarto umowę

Osoby, których dane dotyczą, mogą powoływać się na niniejsze klauzule i egzekwować je, jako osoby trzecie, na rzecz których zawarto umowę, względem podmiotu przekazującego dane lub podmiotu odbierającego dane, z następującymi wyjątkami:

(i)	klauzula 1, klauzula 2, klauzula 3, klauzula 6, klauzula 7;

(ii)	klauzula 8 – moduł pierwszy: klauzula 8.5 lit. e) i klauzula 8.9 lit. b); moduł drugi: klauzula 8.1 lit. b), klauzula 8.9 lit. a), c), d) i e); moduł trzeci: klauzula 8.1 lit. a), c) i d) oraz klauzula 8.9 lit. a), c), d), e), f) i g); moduł czwarty: klauzula 8.1 lit. b) oraz klauzula 8.3 lit. b);

(iii)

klauzula 9 – moduł drugi: klauzula 9 lit. a), c), d) i e); moduł trzeci: klauzula 9 lit. a), c), d) i e);

(iv)	klauzula 12 – moduł pierwszy: klauzula 12 lit. a) i d); moduły drugi i trzeci: klauzula 12 lit. a), d) i f);

(v)	klauzula 13;

(vi)	klauzula 15.1 lit. c), d) i e);

(vii)

klauzula 16 lit. e);

(viii)

klauzula 18 – moduły pierwszy, drugi i trzeci: klauzula 18 lit. a) i b); moduł czwarty: klauzula 18.

b)	Lit. a) pozostaje bez uszczerbku dla praw osób, których dane dotyczą, w trybie rozporządzenia (UE) 2016/679.

Klauzula 4

Interpretacja

a)	W przypadku gdy w niniejszych klauzulach stosuje się terminy zdefiniowane w rozporządzeniu (UE) 2016/679, terminy te mają znaczenie nadane im w tym rozporządzeniu.

b)	Niniejsze klauzule należy odczytywać i interpretować w świetle przepisów rozporządzenia (UE) 2016/679.

c)	Klauzul tych nie należy interpretować w sposób sprzeczny z prawami i obowiązkami określonymi w rozporządzeniu (UE) 2016/679.

Klauzula 5

Hierarchia

W przypadku sprzeczności między niniejszymi klauzulami a postanowieniami powiązanych umów między Stronami, obowiązujących w chwili uzgodnienia niniejszych klauzul, lub zawartych w późniejszym terminie, niniejsze klauzule mają pierwszeństwo.

Klauzula 6

Opis przekazywania danych

Szczegóły dotyczące przekazywania danych, w szczególności kategorie przekazywanych danych osobowych oraz cel lub cele ich przekazywania, określono w załączniku I część B.

Klauzula 7 – Nieobowiązkowa

Klauzula przystąpienia

a)	Podmiot, który nie jest Stroną niniejszych klauzul, może za zgodą Stron przystąpić do tych klauzul w dowolnym momencie albo jako podmiot przekazujący dane, albo jako podmiot odbierający dane, wypełniając dodatek i podpisując załącznik I część A.

b)	Po wypełnieniu dodatku i podpisaniu załącznika I część A podmiot przystępujący staje się Stroną niniejszych klauzul oraz nabywa prawa i obowiązki podmiotu przekazującego dane lub podmiotu odbierającego dane, zgodnie z jego określeniem w załączniku I część A.

c)	Podmiot przystępujący nie ma żadnych praw ani obowiązków wynikających z niniejszych klauzul w odniesieniu do okresu, zanim został ich Stroną.

SEKCJA II – OBOWIĄZKI STRON

Klauzula 8

Zabezpieczenia służące ochronie danych

Podmiot przekazujący dane gwarantuje, że dołożył zasadnych starań w celu ustalenia, że podmiot odbierający dane jest w stanie – dzięki wdrożeniu odpowiednich środków technicznych i organizacyjnych – wypełnić swoje obowiązki określone w niniejszych klauzulach.

MODUŁ PIERWSZY: Przekazywanie między administratorami

8.1. Ograniczenie celu

Podmiot odbierający dane przetwarza dane osobowe wyłącznie w określonym celu lub określonych celach przekazywania, jak wskazano w załączniku I część B. Może on przetwarzać dane osobowe w innym celu wyłącznie w przypadku:

(i)	uzyskania uprzedniej zgody osoby, której dane dotyczą;

(ii)	gdy jest to niezbędne do ustalenia, dochodzenia lub obrony roszczeń w kontekście szczególnego postępowania administracyjnego, regulacyjnego lub sądowego; lub

(iii)

gdy jest to niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.

8.2. Przejrzystość

W celu umożliwienia osobom, których dane dotyczą, skutecznego wykonywania ich praw zgodnie z klauzulą 10, podmiot odbierający dane przekazuje im, bezpośrednio lub za pośrednictwem podmiotu przekazującego dane, informacje dotyczące:

(i)	swoich danych identyfikujących i danych kontaktowych;

(ii)	kategorii przetwarzanych danych osobowych;

(iii)

prawa do otrzymania kopii niniejszych klauzul;

(iv)	w przypadku gdy planuje dalsze przekazywanie danych osobowych stronie trzeciej lub stronom trzecim – odbiorcy lub kategorii odbiorców (w razie potrzeby w celu przekazania istotnych informacji), celu dalszego przekazania oraz jego uzasadnienia zgodnie z klauzulą 8.7.

Lit. a) nie ma zastosowania w przypadku, gdy osoba, której dane dotyczą, już posiada te informacje, w tym gdy podmiot przekazujący dane przekazał już te informacje lub przekazanie ich jest niemożliwe lub wymagałoby niewspółmiernego wysiłku ze strony podmiotu odbierającego dane. W tym drugim przypadku podmiot odbierający dane udostępnia publicznie dane w zakresie, w jakim jest to możliwe.

Strony udostępniają bezpłatnie na żądanie osobie, której dane dotyczą, kopię niniejszych klauzul, w tym dodatek wypełniony przez Strony. W zakresie koniecznym w celu ochrony tajemnic handlowych lub innych informacji poufnych, w tym danych osobowych, Strony mogą częściowo zredagować tekst dodatku przed udostępnieniem jego kopii, lecz przekazują stosowne streszczenie, jeżeli bez takiego streszczenia osoba, której dane dotyczą, nie byłaby w stanie zrozumieć treści takiego tekstu lub korzystać ze swoich praw. Na żądanie Strony przekazują osobie, której dane dotyczą, powody zredagowania tekstu, w miarę możliwości bez ujawniania utajnionych informacji.

d)	Postanowienia zawarte w lit. a)–c) pozostają bez uszczerbku dla obowiązków spoczywających na podmiocie przekazującym dane na mocy art. 13 i 14 rozporządzenia (UE) 2016/679.

8.3. Prawidłowość i minimalizacja danych

a)	Każda Strona zapewnia, aby dane osobowe były prawidłowe i w razie potrzeby uaktualniane. Podmiot odbierający dane podejmuje wszelkie zasadne działania, aby dane osobowe, które są nieprawidłowe w świetle celu lub celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.

b)	Jeżeli jedna ze Stron zda sobie sprawę, że przekazane lub otrzymane przez nią dane osobowe są nieprawidłowe lub nieaktualne, powiadamia o tym bez zbędnej zwłoki drugą Stronę.

c)	Podmiot odbierający dane zapewnia, aby dane osobowe były adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celu lub celów przetwarzania.

8.4. Ograniczenie przechowywania

Podmiot odbierający dane zatrzymuje dane osobowe przez okres nie dłuższy, niż jest to niezbędne do celu lub celów, w których dane te są przetwarzane. Wdraża on odpowiednie środki techniczne lub organizacyjne, aby zapewnić wypełnienie tego obowiązku, w tym usunięcie lub anonimizację (2) danych oraz wszelkich kopii zapasowych po zakończeniu okresu zatrzymywania.

8.5. Bezpieczeństwo przetwarzania

b)	Strony uzgodniły środki techniczne i organizacyjne określone w załączniku II. Podmiot odbierający dane przeprowadza regularne kontrole, aby zagwarantować, że środki te wciąż zapewniają odpowiedni poziom bezpieczeństwa.

c)	Podmiot odbierający dane zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania poufności.

W przypadku naruszenia ochrony danych osobowych, które może powodować ryzyko naruszenia praw i wolności osób fizycznych, podmiot odbierający dane bez zbędnej zwłoki zgłasza takie naruszenie zarówno podmiotowi przekazującemu dane, jak i właściwemu organowi nadzorczemu zgodnie z klauzulą 13. Zgłoszenie takie zawiera: (i) opis charakteru naruszenia (w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie), (ii) jego możliwe konsekwencje, (iii) środki zastosowane lub proponowane w celu zaradzenia naruszeniu oraz (iv) szczegółowe dane dotyczące punktu kontaktowego, w którym można uzyskać więcej informacji. W zakresie, w jakim dla podmiotu odbierającego dane niemożliwe jest udzielenie wszystkich informacji w tym samym czasie, może udzielać ich sukcesywnie bez zbędnej zwłoki.

W przypadku naruszenia ochrony danych osobowych, które może powodować ryzyko naruszenia praw i wolności osób fizycznych, administrator bez zbędnej zwłoki zgłasza również osobom, których dane dotyczą, naruszenie ochrony danych osobowych oraz jego charakter, w stosownych przypadkach we współpracy z podmiotem przekazującym dane, wraz z informacjami, o których mowa w lit. e) ppkt (ii)–(iv), chyba że podmiot odbierający dane wdrożył środki służące istotnemu ograniczeniu ryzyka naruszenia praw lub wolności osób fizycznych lub zgłoszenie wymagałoby niewspółmiernie dużego wysiłku. W tym drugim przypadku podmiot odbierający dane zamiast tego wydaje komunikat publiczny lub podejmuje podobne działanie w celu poinformowania ogółu społeczeństwa o naruszeniu ochrony danych osobowych.

g)	Podmiot odbierający dane dokumentuje wszelkie istotne fakty związane z naruszeniem ochrony danych osobowych, w tym jego skutki oraz wszelkie podjęte działania zaradcze.

8.6. Dane wrażliwe

Gdy przekazywanie obejmuje dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne lub dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby lub dane dotyczące wyroków skazujących lub czynów zabronionych (zwane dalej „danymi wrażliwymi”), podmiot odbierający dane stosuje szczególne ograniczenia lub dodatkowe zabezpieczenia dostosowane do szczególnego charakteru danych i ponoszonego ryzyka. Mogą one obejmować ograniczenia w zakresie personelu, któremu zezwala się na dostęp do danych osobowych, dodatkowe środki bezpieczeństwa (takie jak pseudonimizacja) lub dodatkowe ograniczenia dotyczące dalszego ujawniania.

8.7. Dalsze przekazywanie danych

Podmiot odbierający dane nie ujawnia danych osobowych stronie trzeciej zlokalizowanej poza terytorium Unii Europejskiej (3) (w tym samym państwie co podmiot odbierający dane lub w innym państwie trzecim; dalej „dalsze przekazanie”), chyba że strona trzecia jest związana niniejszymi klauzulami bądź zgadza się im podlegać, na mocy odpowiedniego modułu. W innych przypadkach dalsze przekazanie przez podmiot odbierający dane może mieć miejsce wyłącznie wówczas, gdy:

(i)	odbywa się do państwa objętego decyzją stwierdzającą odpowiedni stopień ochrony, zgodnie z art. 45 rozporządzenia (UE) 2016/679, obejmującą dalsze przekazywanie;

(ii)	strona trzecia zapewnia w inny sposób odpowiednie zabezpieczenia w odniesieniu do przedmiotowego przetwarzania zgodnie z art. 46 lub 47 rozporządzenia (UE) 2016/679;

(iii)

strona trzecia zawiera wiążący instrument z podmiotem odbierającym dane, zapewniający taki sam poziom ochrony danych jak poziom przewidziany w niniejszych klauzulach, a podmiot odbierający dane przekazuje kopię tych zabezpieczeń podmiotowi przekazującemu dane;

(iv)	jest ono niezbędne do ustalenia, dochodzenia lub obrony roszczeń w kontekście szczególnego postępowania administracyjnego, regulacyjnego lub sądowego;

(v)	jest ono jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; lub

(vi)

jeżeli żaden z pozostałych warunków nie ma zastosowania – podmiot odbierający dane uzyskał wyraźną zgodę osoby, której dane dotyczą, na dalsze ich przekazywanie w określonej sytuacji, po uprzednim poinformowaniu tej osoby o celu lub celach dalszego przekazania, tożsamości odbiorcy oraz ewentualnym ryzyku, na które – ze względu na brak odpowiednich zabezpieczeń służących ochronie danych – może być narażona osoba, której dane dotyczą, w związku z tym przekazaniem. W takim przypadku podmiot odbierający dane informuje podmiot przekazujący dane i na żądanie tego ostatniego przekazuje mu kopię informacji przekazanych osobie, której dane dotyczą.

Wszelkie dalsze przekazanie odbywa się pod warunkiem przestrzegania przez podmiot odbierający dane wszystkich pozostałych zabezpieczeń na mocy niniejszych klauzul, w szczególności ograniczenia celu.

8.8. Przetwarzanie z upoważnienia podmiotu odbierającego dane

Podmiot odbierający dane zapewnia, aby każda osoba działająca z jego upoważnienia, w tym podmiot przetwarzający, przetwarzała dane wyłącznie na jego polecenie.

8.9. Dokumentacja i zgodność

a)	Każda ze Stron będzie w stanie wykazać, że przestrzega ciążących na niej obowiązków wynikających z niniejszych klauzul. W szczególności podmiot odbierający dane przechowuje odpowiednią dokumentację wykonanych czynności przetwarzania, za które odpowiada.

b)	Podmiot odbierający dane udostępnia tę dokumentację na żądanie właściwego organu nadzorczego.

MODUŁ DRUGI: Przekazywanie przez administratora podmiotowi przetwarzającemu

8.1. Polecenie

a)	Podmiot odbierający dane przetwarza dane osobowe wyłącznie na udokumentowane polecenie podmiotu przekazującego dane. Podmiot przekazujący dane może wydawać takie polecenia w całym okresie obowiązywania umowy.

b)	Podmiot odbierający dane niezwłocznie informuje podmiot przekazujący dane, jeżeli nie może wykonać tego polecenia.

8.2. Ograniczenie celu

Podmiot odbierający dane przetwarza dane osobowe wyłącznie w określonym celu/określonych celach przekazywania, jak wskazano w załączniku I część B, chyba że działa na podstawie dalszych poleceń wydanych przez podmiot przekazujący dane.

8.3. Przejrzystość

Podmiot przekazujący dane udostępnia bezpłatnie na żądanie osobie, której dane dotyczą, kopię niniejszych klauzul, w tym dodatku wypełnionego przez Strony. W zakresie koniecznym w celu ochrony tajemnic handlowych lub innych informacji poufnych, w tym środków opisanych w załączniku II i danych osobowych, podmiot przekazujący dane może częściowo zredagować tekst dodatku do tych klauzul przed udostępnieniem jego kopii, lecz przekazuje stosowne streszczenie, jeżeli bez takiego streszczenia osoba, której dane dotyczą, nie byłaby w stanie zrozumieć treści takiego tekstu lub korzystać ze swoich praw. Na żądanie Strony przekazują osobie, której dane dotyczą, powody zredagowania tekstu, w miarę możliwości bez ujawniania utajnionych informacji. Klauzula ta pozostaje bez uszczerbku dla obowiązków spoczywających na podmiocie przekazującym dane na mocy art. 13 i 14 rozporządzenia (UE) 2016/679.

8.4. Prawidłowość

Jeżeli podmiot odbierający dane zda sobie sprawę, że otrzymane przez niego dane osobowe są nieprawidłowe lub nieaktualne, powiadamia o tym bez zbędnej zwłoki podmiot przekazujący dane. W takim przypadku podmiot odbierający dane współpracuje z podmiotem przekazującym dane w celu ich usunięcia lub sprostowania.

8.5. Czas trwania przetwarzania oraz usuwanie lub zwrot danych

Przetwarzanie danych przez podmiot odbierający dane odbywa się wyłącznie przez czas określony w załączniku I część B. Po zakończeniu świadczenia usług przetwarzania podmiot odbierający dane, zgodnie z wyborem podmiotu przekazującego dane, albo usuwa wszystkie dane osobowe przetworzone w imieniu podmiotu przekazującego dane i potwierdza podmiotowi przekazującemu dane ich usunięcie, albo zwraca podmiotowi przekazującemu dane wszystkie dane osobowe przetworzone w jego imieniu i usuwa istniejące kopie. Do czasu usunięcia lub zwrotu danych podmiot odbierający dane nadal zapewnia zgodność z niniejszymi klauzulami. Jeżeli lokalne prawo obowiązujące podmiot odbierający dane zabrania zwrotu lub usunięcia danych osobowych, podmiot odbierający dane gwarantuje, że będzie w dalszym ciągu zapewniał przestrzeganie niniejszych klauzul oraz że będzie przetwarzał je wyłącznie w zakresie i w czasie wymaganym przez to prawo lokalne. Zasada ta pozostaje bez uszczerbku dla klauzuli 14, w szczególności wymogu określonego w klauzuli 14 lit. e), aby podmiot odbierający dane zgłaszał w okresie obowiązywania umowy podmiotowi przekazującemu dane, jeżeli ma powody, aby sądzić, że podlega lub zaczął podlegać przepisom lub praktykom niezgodnym z wymogami określonymi w klauzuli 14 lit. a).

8.6. Bezpieczeństwo przetwarzania

Podmiot odbierający dane, a podczas przesyłania również podmiot przekazujący dane, wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych, w tym ochrony przeciwko naruszeniu bezpieczeństwa prowadzącego do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do tych danych (zwanego dalej „naruszeniem ochrony danych osobowych”). Przy ocenie odpowiedniego poziomu bezpieczeństwa Strony uwzględniają stan wiedzy technicznej, koszty wdrażania oraz charakter, zakres, kontekst i cel lub cele przetwarzania, a także ryzyko wynikające z przetwarzania dla osób, których dane dotyczą. Strony rozważą w szczególności posłużenie się szyfrowaniem lub pseudonimizacją, w tym podczas przesyłania, w przypadkach, gdy cel przetwarzania może być spełniony w ten sposób. W przypadku pseudonimizacji dodatkowe informacje w celu przypisania danych osobowych konkretnej osobie, której dane dotyczą, pozostają, jeżeli jest to możliwe, pod wyłączną kontrolą podmiotu przekazującego dane. W ramach obowiązków w trybie niniejszej litery podmiot odbierający dane wdraża co najmniej środki techniczne i organizacyjne określone w załączniku II. Podmiot odbierający dane przeprowadza regularne kontrole, aby zagwarantować, że środki te wciąż zapewniają odpowiedni poziom bezpieczeństwa.

Podmiot odbierający dane udziela dostępu do danych osobowych członkom swojego personelu wyłącznie w zakresie ściśle niezbędnym do wykonywania umowy, zarządzania umową oraz jej monitorowania. Zapewnia on, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania poufności.

W przypadku naruszenia ochrony danych osobowych dotyczącego danych osobowych przetwarzanych przez podmiot odbierający dane na podstawie niniejszych klauzul podmiot odbierający dane stosuje odpowiednie środki w celu zaradzenia temu naruszeniu, w tym środki w celu zminimalizowania jego negatywnych skutków. Po stwierdzeniu naruszenia podmiot odbierający dane zgłasza je również bez zbędnej zwłoki podmiotowi przekazującemu dane. Zgłoszenie takie zawiera szczegóły dotyczące punktu kontaktowego, w którym można uzyskać więcej informacji, opis charakteru naruszenia (w tym, gdy jest to możliwe, kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie), jego możliwe konsekwencje oraz środki zastosowane lub proponowane w celu zaradzenia naruszeniu, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków. Jeżeli oraz w zakresie, w jakim niemożliwe jest udzielenie wszystkich informacji w tym samym czasie, pierwotne zgłoszenie zawiera informacje dostępne w danym momencie, a dalszych informacji udziela się sukcesywnie, bez zbędnej zwłoki w miarę, jak staną się one dostępne.

Podmiot odbierający dane współpracuje z podmiotem przekazującym dane i pomaga mu, aby umożliwić podmiotowi przekazującemu dane wypełnienie obowiązków określonych w rozporządzeniu (UE) 2016/679, w szczególności obowiązku powiadomienia właściwego organu nadzorczego oraz poszkodowanych osób, których dane dotyczą, uwzględniając charakter przetwarzania oraz informacje, do których podmiot odbierający dane ma dostęp.

8.7. Dane wrażliwe

8.8. Dalsze przekazywanie danych

Podmiot odbierający dane ujawnia dane osobowe stronie trzeciej wyłącznie na podstawie udokumentowanego polecenia podmiotu przekazującego dane. Ponadto dane mogą zostać ujawnione stronie trzeciej zlokalizowanej poza terytorium Unii Europejskiej (4) (w tym samym państwie co podmiot odbierający dane lub w innym państwie trzecim; dalej „dalsze przekazanie”) wyłącznie wówczas, gdy strona trzecia jest związana niniejszymi klauzulami bądź zgadza się im podlegać na mocy odpowiedniego modułu lub jeżeli:

(i)	dalsze przekazanie odbywa się do państwa objętego decyzją stwierdzającą odpowiedni stopień ochrony, zgodnie z art. 45 rozporządzenia (UE) 2016/679, obejmującą dalsze przekazywanie;

(ii)	strona trzecia zapewnia w inny sposób odpowiednie zabezpieczenia w odniesieniu do przedmiotowego przetwarzania zgodnie z art. 46 lub 47 rozporządzenia (UE) 2016/679;

(iii)

dalsze przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń w kontekście szczególnego postępowania administracyjnego, regulacyjnego lub sądowego; lub

(iv)	dalsze przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.

8.9. Dokumentacja i zgodność

a)	Podmiot odbierający dane niezwłocznie i w odpowiedni sposób rozpatruje sformułowane przez podmiot przekazujący dane zapytania dotyczące przetwarzania na mocy niniejszych klauzul.

b)	Strony będą w stanie wykazać przestrzeganie niniejszych klauzul. W szczególności podmiot odbierający dane przechowuje odpowiednią dokumentację czynności przetwarzania wykonanych w imieniu podmiotu przekazującego dane.

Podmiot odbierający dane udostępnia podmiotowi przekazującemu dane wszelkie informacje niezbędne, aby wykazać przestrzeganie obowiązków określonych w niniejszych klauzulach oraz aby na żądanie podmiotu przekazującego dane umożliwić przeprowadzenie audytów czynności przetwarzania objętych niniejszymi klauzulami w rozsądnych odstępach czasu lub w przypadku wystąpienia oznak niespełnienia tych obowiązków, a także aby wnieść wkład w te audyty. Podejmując decyzję dotyczącą przeprowadzenia przeglądu lub audytu podmiot przekazujący dane może uwzględnić certyfikacje posiadane przez podmiot odbierający dane.

d)	Podmiot przekazujący dane może przeprowadzić audyt samodzielnie lub zlecić jego przeprowadzenie niezależnemu audytorowi. Audyty mogą obejmować kontrole w siedzibie lub obiektach podmiotu odbierającego dane i, w stosownych przypadkach, przeprowadzane są po powiadomieniu z rozsądnym wyprzedzeniem.

e)	Strony udostępniają właściwym organom nadzorczym na żądanie informacje, o których mowa w lit. b) i c), w tym wyniki wszelkich audytów.

MODUŁ TRZECI: Przekazywanie między podmiotami przetwarzającymi

8.1. Polecenie

a)	Podmiot przekazujący dane poinformował podmiot odbierający dane, że działa jako podmiot przetwarzający na polecenie administratora/administratorów danych, które to polecenie podmiot przekazujący dane udostępnia podmiotowi odbierającemu dane przed ich przetwarzaniem.

Podmiot odbierający dane przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora, zakomunikowane podmiotowi odbierającemu dane przez podmiot przekazujący dane, oraz na każde dodatkowe udokumentowane polecenia podmiotu przekazującego dane. Takie dodatkowe polecenia nie mogą być sprzeczne z poleceniami administratora. Administrator lub podmiot przekazujący dane może wydawać dalsze udokumentowane polecenia dotyczące przetwarzania danych w okresie obowiązywania umowy.

c)	Podmiot odbierający dane niezwłocznie informuje podmiot przekazujący dane, jeżeli nie może wykonać tego polecenia. Jeżeli podmiot odbierający dane nie może wykonać polecenia administratora, podmiot przekazujący dane niezwłocznie zgłasza ten fakt administratorowi.

d)	Podmiot przekazujący gwarantuje, że na podmiot odbierający dane nałożył takie same obowiązki ochrony danych – na mocy prawa Unii lub prawa państwa członkowskiego – jak w umowie lub innym akcie prawnym między administratorem a podmiotem przekazującym dane (5).

8.2. Ograniczenie celu

8.3. Przejrzystość

Podmiot przekazujący dane udostępnia bezpłatnie na żądanie osobie, której dane dotyczą, kopię niniejszych klauzul, w tym dodatku wypełnionego przez Strony. W zakresie koniecznym w celu ochrony tajemnic handlowych lub innych informacji poufnych, w tym danych osobowych, podmiot przekazujący dane może częściowo zredagować tekst dodatku przed udostępnieniem jego kopii, lecz przekazuje stosowne streszczenie, jeżeli bez takiego streszczenia osoba, której dane dotyczą, nie byłaby w stanie zrozumieć treści takiego tekstu lub korzystać ze swoich praw. Na żądanie Strony przekazują osobie, której dane dotyczą, powody zredagowania tekstu, w miarę możliwości bez ujawniania utajnionych informacji.

8.4. Prawidłowość

8.5. Czas trwania przetwarzania oraz usuwanie lub zwrot danych

Przetwarzanie danych przez podmiot odbierający dane odbywa się wyłącznie przez czas określony w załączniku I część B. Po zakończeniu świadczenia usług przetwarzania podmiot odbierający dane, zgodnie z wyborem podmiotu przekazującego dane, albo usuwa wszystkie dane osobowe przetworzone w imieniu administratora i potwierdza podmiotowi przekazującemu dane ich usunięcie, albo zwraca podmiotowi przekazującemu dane wszystkie dane osobowe przetworzone w jego imieniu i usuwa istniejące kopie. Do czasu usunięcia lub zwrotu danych podmiot odbierający dane nadal zapewnia zgodność z niniejszymi klauzulami. Jeżeli lokalne prawo obowiązujące podmiot odbierający dane zabrania zwrotu lub usunięcia danych osobowych, podmiot odbierający dane gwarantuje, że będzie w dalszym ciągu zapewniał przestrzeganie niniejszych klauzul oraz że będzie przetwarzał je wyłącznie w zakresie i w czasie wymaganym przez to prawo lokalne. Zasada ta pozostaje bez uszczerbku dla klauzuli 14, w szczególności wymogu określonego w klauzuli 14 lit. e), aby podmiot odbierający dane zgłaszał w okresie obowiązywania umowy podmiotowi przekazującemu dane, jeżeli ma powody, aby sądzić, że podlega lub zaczął podlegać przepisom lub praktykom niezgodnym z wymogami określonymi w klauzuli 14 lit. a).

8.6. Bezpieczeństwo przetwarzania

Podmiot odbierający dane, a podczas przesyłania również podmiot przekazujący dane, wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych, w tym ochrony przeciwko naruszeniu bezpieczeństwa prowadzącego do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do tych danych (zwanego dalej „naruszeniem ochrony danych osobowych”). Przy ocenie odpowiedniego poziomu bezpieczeństwa podmioty te uwzględniają stan wiedzy technicznej, koszty wdrażania oraz charakter, zakres, kontekst i cel lub cele przetwarzania, a także ryzyko wynikające z przetwarzania dla osoby, której dane dotyczą. Strony rozważą w szczególności posłużenie się szyfrowaniem lub pseudonimizacją, w tym podczas przesyłania, w przypadkach, gdy cel przetwarzania może być spełniony w ten sposób. W przypadku pseudonimizacji dodatkowe informacje do celu przypisania danych osobowych konkretnej osobie, której dane dotyczą, pozostają, jeżeli jest to możliwe, pod wyłączną kontrolą podmiotu przekazującego dane lub administratora. W ramach obowiązków w trybie niniejszej litery podmiot odbierający dane wdraża co najmniej środki techniczne i organizacyjne określone w załączniku II. Podmiot odbierający dane przeprowadza regularne kontrole, aby zagwarantować, że środki te wciąż zapewniają odpowiedni poziom bezpieczeństwa.

Podmiot odbierający dane udziela dostępu do danych członkom swojego personelu wyłącznie w zakresie ściśle niezbędnym do wykonania umowy, zarządzania umową oraz jej monitorowania. Zapewnia on, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania poufności.

W przypadku naruszenia ochrony danych osobowych dotyczącego danych osobowych przetwarzanych przez podmiot odbierający dane na podstawie niniejszych klauzul podmiot odbierający dane stosuje odpowiednie środki w celu zaradzenia temu naruszeniu, w tym środki w celu zminimalizowania jego negatywnych skutków. Po stwierdzeniu naruszenia podmiot odbierający dane zgłasza je również bez zbędnej zwłoki podmiotowi przekazującemu dane oraz – w razie potrzeby i w miarę możliwości – administratorowi. Zgłoszenie takie zawiera szczegóły dotyczące punktu kontaktowego, w którym można uzyskać więcej informacji, opis charakteru naruszenia (w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie), jego możliwe konsekwencje oraz środki zastosowane lub proponowane w celu zaradzenia naruszeniu ochrony danych, w tym środki w celu zminimalizowania jego ewentualnych negatywnych skutków. Jeżeli oraz w zakresie, w jakim niemożliwe jest udzielenie wszystkich informacji w tym samym czasie, pierwotne zgłoszenie zawiera informacje dostępne w danym momencie, a dalszych informacji udziela się sukcesywnie, bez zbędnej zwłoki w miarę, jak staną się one dostępne.

Podmiot odbierający dane współpracuje z podmiotem przekazującym dane i pomaga mu, aby umożliwić podmiotowi przekazującemu dane wypełnienie obowiązków określonych w rozporządzeniu (UE) 2016/679, w szczególności obowiązku powiadomienia administratora, aby ten mógł z kolei powiadomić właściwy organ nadzorczy i poszkodowane osoby, których dane dotyczą, uwzględniając charakter przetwarzania oraz informacje, do których podmiot odbierający dane ma dostęp.

8.7. Dane wrażliwe

8.8. Dalsze przekazywanie danych

Podmiot odbierający dane ujawnia dane osobowe stronie trzeciej wyłącznie na podstawie udokumentowanego polecenia administratora przekazanego podmiotowi odbierającemu dane przez podmiot przekazujący dane. Ponadto dane mogą zostać ujawnione stronie trzeciej zlokalizowanej poza terytorium Unii Europejskiej (6) (w tym samym państwie co podmiot odbierający dane lub w innym państwie trzecim; dalej „dalsze przekazanie”) wyłącznie wówczas, gdy strona trzecia jest związana niniejszymi klauzulami bądź zgadza się im podlegać na mocy odpowiedniego modułu lub jeżeli:

(i)	dalsze przekazanie odbywa się do państwa objętego decyzją stwierdzającą odpowiedni stopień ochrony, zgodnie z art. 45 rozporządzenia (UE) 2016/679, obejmującą dalsze przekazywanie;

(ii)	strona trzecia w inny sposób zapewnia odpowiednie zabezpieczenia zgodnie z art. 46 lub 47 rozporządzenia (UE) 2016/679;

(iii)

dalsze przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń w kontekście szczególnego postępowania administracyjnego, regulacyjnego lub sądowego; lub

(iv)	dalsze przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.

8.9. Dokumentacja i zgodność

a)	Podmiot odbierający dane niezwłocznie i w odpowiedni sposób rozpatruje zapytania podmiotu przekazującego dane lub administratora dotyczące przetwarzania na mocy niniejszych klauzul.

b)	Strony będą w stanie wykazać przestrzeganie niniejszych klauzul. W szczególności podmiot odbierający dane przechowuje odpowiednią dokumentację czynności przetwarzania wykonanych w imieniu administratora.

c)	Podmiot odbierający dane udostępnia podmiotowi przekazującemu dane wszelkie informacje niezbędne, aby wykazać przestrzeganie obowiązków określonych w niniejszych klauzulach, a podmiot przekazujący dane przekazuje te informacje administratorowi.

Podmiot odbierający dane umożliwia przeprowadzanie przez podmiot przekazujący dane audytów czynności przetwarzania objętych niniejszymi klauzulami w rozsądnych odstępach czasu lub w przypadku wystąpienia oznak niespełnienia tych obowiązków, a także wnosi wkład w te audyty. Dotyczy to również sytuacji, w których podmiot przekazujący dane żąda audytu wykonania polecenia administratora. Podejmując decyzję dotyczącą przeprowadzenia audytu, podmiot przekazujący dane może uwzględnić odpowiednie certyfikacje posiadane przez podmiot odbierający dane.

e)	Jeżeli audyt dotyczy polecenia administratora, podmiot przekazujący dane udostępnia wyniki administratorowi.

f)	Podmiot przekazujący dane może przeprowadzić audyt samodzielnie lub zlecić jego przeprowadzenie niezależnemu audytorowi. Audyty mogą obejmować kontrole w siedzibie lub obiektach podmiotu odbierającego dane i, w stosownych przypadkach, przeprowadzane są po powiadomieniu z rozsądnym wyprzedzeniem.

g)	Strony udostępniają właściwym organom nadzorczym na żądanie informacje, o których mowa w lit. b) i c), w tym wyniki wszelkich audytów.

MODUŁ CZWARTY: Przekazywanie przez podmiot przetwarzający administratorowi

8.1. Polecenie

a)	Podmiot przekazujący dane przetwarza dane osobowe wyłącznie na udokumentowane polecenie podmiotu odbierającego dane występującego w roli administratora.

b)	Podmiot przekazujący dane niezwłocznie powiadamia podmiot odbierający dane, jeżeli nie może wykonać tego polecenia, w tym jeżeli takie polecenie narusza przepisy rozporządzenia (UE) 2016/679 lub inne przepisy prawa Unii lub państwa członkowskiego dotyczące ochrony danych.

Podmiot odbierający dane powinien zaniechać wszelkich działań, które uniemożliwiłyby podmiotowi przekazującemu dane wywiązanie się z obowiązków ciążących na nim na podstawie rozporządzenia (UE) 2016/679, w tym w kontekście podwykonawstwa przetwarzania lub w odniesieniu do współpracy z właściwymi organami nadzorczymi.

Po zakończeniu świadczenia usług przetwarzania podmiot przekazujący dane, zgodnie z wyborem podmiotu odbierającego dane, albo usuwa wszystkie dane osobowe przetworzone w imieniu podmiotu odbierającego dane i potwierdza podmiotowi odbierającemu dane ich usunięcie, albo zwraca podmiotowi odbierającemu dane wszystkie dane osobowe przetworzone w jego imieniu i usuwa istniejące kopie.

8.2. Bezpieczeństwo przetwarzania

Strony wdrażają odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych, w tym podczas przesyłania, oraz ochrony przeciwko naruszeniu bezpieczeństwa prowadzącego do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu (zwanego dalej „naruszeniem ochrony danych osobowych”). Przy ocenie odpowiedniego poziomu bezpieczeństwa podmioty te uwzględniają stan wiedzy technicznej, koszty wdrażania oraz charakter danych osobowych (7), charakter, zakres, kontekst i cel lub cele przetwarzania, a także ryzyko wynikające z przetwarzania dla osoby, której dane dotyczą, a w szczególności rozważają posłużenie się szyfrowaniem lub pseudonimizacją, w tym podczas przesyłania, w przypadkach gdy cel przetwarzania może być spełniony w ten sposób.

Podmiot przekazujący dane pomaga podmiotowi odbierającemu dane zapewnić odpowiednie bezpieczeństwo danych zgodnie z lit. a). W przypadku naruszenia ochrony danych osobowych dotyczącego danych osobowych przetwarzanych przez podmiot przekazujący dane na mocy niniejszych klauzul podmiot przekazujący dane niezwłocznie powiadamia podmiot odbierający dane, kiedy tylko dowie się, że doszło do takiego naruszenia, i pomaga podmiotowi przekazującemu dane w zaradzeniu temu naruszeniu.

c)	Podmiot przekazujący dane zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania poufności.

8.3. Dokumentacja i zgodność

a)	Strony będą w stanie wykazać przestrzeganie niniejszych klauzul.

b)	Podmiot przekazujący dane udostępnia podmiotowi odbierającemu dane wszelkie informacje niezbędne do wykazania przestrzegania obowiązków określonych w niniejszych klauzulach oraz do umożliwienia przeprowadzania audytów, a także wniesienia wkładu w te audyty.

Klauzula 9

Korzystanie z usług podwykonawców przetwarzania

MODUŁ DRUGI: Przekazywanie przez administratora podmiotowi przetwarzającemu

WARIANT 1: UPRZEDNIA SZCZEGÓŁOWA ZGODA Podmiot odbierający dane nie może zlecać w ramach podwykonawstwa żadnych czynności przetwarzania realizowanych w imieniu podmiotu przekazującego dane na podstawie niniejszych klauzul podwykonawcy przetwarzania bez uzyskania uprzedniej szczegółowej pisemnej zgody podmiotu przekazującego dane. Podmiot odbierający dane przedstawia wniosek o udzielenie szczegółowej zgody przynajmniej [należy wskazać termin] przed zaangażowaniem podwykonawcy przetwarzania, wraz z informacjami, których podmiot przekazujący dane potrzebuje do podjęcia decyzji w sprawie wydania zgody. Załącznik III zawiera wykaz podwykonawców przetwarzania już upoważnionych przez podmiot przekazujący dane. Strony są obowiązane do aktualizacji załącznika III.

WARIANT 2: OGÓLNA PISEMNA ZGODA Podmiot odbierający dane ma ogólną zgodę podmiotu przekazującego dane na angażowanie podwykonawców przetwarzania widniejących w uzgodnionym wykazie. Podmiot odbierający dane wyraźnie informuje na piśmie podmiot przekazujący dane o wszelkich zamierzonych zmianach w tym wykazie polegających na dodaniu lub zastąpieniu podwykonawców przetwarzania z wyprzedzeniem wynoszącym co najmniej [określić przedział czasu], dając w ten sposób podmiotowi przekazującemu dane wystarczający czas na wyrażenie sprzeciwu wobec takich zmian przed zaangażowaniem podwykonawcy lub podwykonawców przetwarzania. Podmiot odbierający dane dostarcza podmiotowi przekazującemu dane informacje niezbędne do umożliwienia mu wykonania prawa do sprzeciwu.

Jeżeli podmiot odbierający dane angażuje podwykonawcę przetwarzania do celów wykonania określonych czynności przetwarzania (w imieniu podmiotu przekazującego dane), czyni to na podstawie pisemnej umowy, która zasadniczo przewiduje takie same obowiązki w odniesieniu do ochrony danych, jakie wiążą podmiot odbierający dane na mocy niniejszych klauzul, w tym w zakresie praw osób, których dane dotyczą, przysługujących im jako osobom trzecim, na rzecz których zawarto umowę (8). Strony uzgadniają, że przestrzegając niniejszej klauzuli, podmiot odbierający dane wypełnia swoje obowiązki wynikające z klauzuli 8.8. Podmiot odbierający dane zapewnia, aby podwykonawca przetwarzania wywiązywał się z obowiązków, którym podmiot odbierający dane podlega na podstawie niniejszych klauzul.

Na żądanie podmiotu przekazującego dane podmiot odbierający dane przekazuje podmiotowi przekazującemu dane kopię umowy dotyczącej podwykonawstwa przetwarzania oraz wszelkich późniejszych zmian. W zakresie koniecznym do zapewnienia ochrony tajemnic handlowych lub innych informacji poufnych, w tym danych osobowych, podmiot odbierający dane może zredagować tekst umowy przed udostępnieniem jej kopii.

Podmiot odbierający dane pozostaje w pełni odpowiedzialny wobec podmiotu przekazującego dane za wykonywanie obowiązków podwykonawcy przetwarzania wynikających z umowy zawartej przez niego z podmiotem odbierającym dane. Podmiot odbierający dane powiadamia podmiot przekazujący dane o każdym przypadku niewypełnienia przez podwykonawcę przetwarzania obowiązków wynikających z tej umowy.

Podmiot odbierający dane uzgadnia z podwykonawcą przetwarzania klauzulę na rzecz osoby trzeciej, na rzecz której zawarto umowę, na mocy której to klauzuli – w przypadku gdy podmiot odbierający dane przestał istnieć faktycznie lub formalnie lub stał się niewypłacalny – podmiot przekazujący dane ma prawo rozwiązać umowę dotyczącą podwykonawstwa przetwarzania i polecić podwykonawcy przetwarzania usunięcie lub zwrot danych osobowych.

MODUŁ TRZECI: Przekazywanie między podmiotami przetwarzającymi

WARIANT 1: UPRZEDNIA SZCZEGÓŁOWA ZGODA Podmiot odbierający dane nie może zlecać w ramach podwykonawstwa żadnych czynności przetwarzania realizowanych w imieniu podmiotu przekazującego dane na podstawie niniejszych klauzul podwykonawcy przetwarzania bez uzyskania uprzedniej szczegółowej pisemnej zgody administratora. Podmiot odbierający dane przedstawia wniosek o udzielenie szczegółowej zgody przynajmniej [należy wskazać termin] przed zaangażowaniem podwykonawcy przetwarzania, wraz z informacjami, których administrator potrzebuje do podjęcia decyzji w sprawie wydania zgody. Podmiot ten informuje o takim zaangażowaniu podmiot przekazujący dane. Załącznik III zawiera wykaz podwykonawców przetwarzania już upoważnionych przez administratora. Strony są obowiązane do aktualizacji załącznika III.

WARIANT 2: OGÓLNA PISEMNA ZGODA Podmiot odbierający dane ma ogólną zgodę administratora na angażowanie podwykonawców przetwarzania widniejących w uzgodnionym wykazie. Podmiot odbierający dane wyraźnie informuje administratora na piśmie o wszelkich zamierzonych zmianach w tym wykazie polegających na dodaniu lub zastąpieniu podwykonawców przetwarzania z wyprzedzeniem wynoszącym co najmniej [określić przedział czasu], dając w ten sposób administratorowi wystarczający czas na wyrażenie sprzeciwu wobec takich zmian przed zaangażowaniem podwykonawcy lub podwykonawców przetwarzania. Podmiot odbierający dane dostarcza administratorowi informacje niezbędne do umożliwienia mu wykonania prawa do sprzeciwu. Podmiot odbierający dane informuje podmiot przekazujący dane o zaangażowaniu podwykonawcy lub podwykonawców przetwarzania.

Jeżeli podmiot odbierający dane angażuje podwykonawcę przetwarzania do celów wykonania określonych czynności przetwarzania (w imieniu administratora), czyni to na podstawie pisemnej umowy, która zasadniczo przewiduje takie same obowiązki w odniesieniu do ochrony danych, jakie wiążą podmiot odbierający dane na mocy niniejszych klauzul, w tym w zakresie praw osób, których dane dotyczą, przysługujących im jako osobom trzecim, na rzecz których zawarto umowę (9). Strony uzgadniają, że przestrzegając niniejszej klauzuli, podmiot odbierający dane wypełnia swoje obowiązki wynikające z klauzuli 8.8. Podmiot odbierający dane zapewnia, aby podwykonawca przetwarzania wywiązywał się z obowiązków, którym podmiot odbierający dane podlega na podstawie niniejszych klauzul.

Na żądanie podmiotu przekazującego dane lub administratora podmiot odbierający dane przekazuje kopię umowy dotyczącej podwykonawstwa przetwarzania oraz wszelkich późniejszych zmian. W zakresie koniecznym do zapewnienia ochrony tajemnic handlowych lub innych informacji poufnych, w tym danych osobowych, podmiot odbierający dane może zredagować tekst umowy przed udostępnieniem jej kopii.

Klauzula 10

Prawa osoby, której dane dotyczą

MODUŁ PIERWSZY: Przekazywanie między administratorami

Podmiot odbierający dane, w stosownych przypadkach z pomocą podmiotu przekazującego dane, rozpatrzy – bez zbędnej zwłoki, a najpóźniej w terminie jednego miesiąca od otrzymania zapytania lub żądania – wszelkie zapytania i żądania otrzymane od osoby, której dane dotyczą, związane z przetwarzaniem jej danych osobowych i wykonywaniem jej praw na mocy niniejszych klauzul (10). Podmiot odbierający dane stosuje odpowiednie środki mające na celu ułatwienie występowania z takimi zapytaniami i żądaniami oraz wykonywania praw osób, których dane dotyczą. Wszelkie informacje przekazywane osobie, której dane dotyczą, muszą być podane w zrozumiałej i łatwo dostępnej formie, przy użyciu jasnego i prostego języka.

W szczególności, na żądanie osoby, której dane dotyczą, podmiot odbierający dane jest zobowiązany do nieodpłatnego:

(i)

przekazania osobie, której dane dotyczą, potwierdzenia, czy dotyczące jej dane osobowe są przetwarzane – a jeżeli przetwarzanie takie ma miejsce – kopii odnoszących się do niej danych oraz informacji określonych w załączniku I; jeżeli dane osobowe zostały lub zostaną dalej przekazane – przekazania informacji o odbiorcach lub kategoriach odbiorców (w stosownych przypadkach w celu dostarczenia istotnych informacji), którym dane osobowe zostały lub zostaną dalej przekazane, o celu takiego dalszego przekazywania i jego podstawie wynikającej z klauzuli 8.7 oraz przekazania informacji o prawie do wniesienia skargi do organu nadzorczego zgodnie z klauzulą 12 lit. c) ppkt (i);

(ii)	sprostowania nieprawidłowych lub uzupełnienia niekompletnych danych odnoszących się do osoby, której dane dotyczą;

(iii)

usunięcia danych osobowych osoby, której dane dotyczą, jeżeli dane te są lub były przetwarzane z naruszeniem którejkolwiek z niniejszych klauzul zapewniających przysługiwanie jej praw jako osobie trzeciej, na rzecz której zawarto umowę, lub jeżeli osoba, której dane dotyczą, wycofa zgodę, na podstawie której przetwarzanie się odbywa.

c)	Jeżeli podmiot odbierający dane przetwarza dane osobowe do celów marketingu bezpośredniego, musi zaprzestać takiego przetwarzania, jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec takiego przetwarzania.

Podmiot odbierający dane nie może podjąć decyzji opierającej się jedynie na zautomatyzowanym przetwarzaniu przekazanych danych osobowych (zwanym dalej „zautomatyzowanym podejmowaniem decyzji”), która to decyzja wywoływałaby skutki prawne względem osoby, której dane dotyczą, lub wywierałaby na nią podobny znaczący wpływ, o ile taki podmiot nie uzyskał wyraźnej zgody osoby, której dane dotyczą, lub nie został do tego upoważniony na mocy przepisów państwa przeznaczenia, o ile przepisy te obejmują stosowne środki w celu zabezpieczenia praw i uzasadnionych interesów osoby, której dane dotyczą. W takim przypadku podmiot odbierający dane, w razie potrzeby we współpracy z podmiotem przekazującym dane, musi:

(i)	poinformować osobę, której dane dotyczą, o planowanym zautomatyzowanym podejmowaniu decyzji, przewidywanych konsekwencjach oraz o zasadach podejmowania decyzji oraz

(ii)	wdrożyć odpowiednie zabezpieczenia, przynajmniej poprzez umożliwienie osobie, której dane dotyczą, zakwestionowania decyzji, wyrażenia swojego punktu widzenia i zyskania możliwości przeprowadzenia weryfikacji przez człowieka.

e)	Jeżeli żądania osoby, której dane dotyczą, są nadmierne, w szczególności ze względu na swój ustawiczny charakter, podmiot odbierający dane może pobrać rozsądną opłatę, uwzględniając administracyjne koszty spełnienia żądania, albo odmówić podjęcia działań w związku z żądaniem.

Podmiot odbierający dane może odmówić spełnienia żądania osoby, której dane dotyczą, jeżeli taka odmowa jest dozwolona na mocy przepisów państwa przeznaczenia oraz w demokratycznym społeczeństwie jest środkiem niezbędnym i proporcjonalnym służącym ochronie jednego z celów wymienionych w art. 23 ust. 1 rozporządzenia (UE) 2016/679.

g)	W przypadku gdy podmiot odbierający dane zamierza odmówić spełnienia żądania osoby, której dane dotyczą, informuje ją o przyczynach odmowy oraz o możliwości złożenia skargi do właściwego organu nadzorczego lub dochodzenia roszczeń na drodze sądowej.

MODUŁ DRUGI: Przekazywanie przez administratora podmiotowi przetwarzającemu

a)	Podmiot odbierający dane bezzwłocznie powiadamia podmiot przekazujący dane o każdym żądaniu otrzymanym od osoby, której dane dotyczą. Nie odpowiada on na to żądanie samodzielnie, chyba że został do tego upoważniony przez podmiot przekazujący dane.

Podmiot odbierający dane pomaga podmiotowi przekazującemu dane w wypełnianiu jego obowiązków w zakresie odpowiadania na żądania osób, których dane dotyczą, związane z wykonywaniem praw przysługujących tym osobom na podstawie rozporządzenia (UE) 2016/679. W związku z tym Strony określają w załączniku II odpowiednie środki techniczne i organizacyjne, uwzględniając charakter przetwarzania, w drodze których zapewniana będzie pomoc, jak również zakres wymaganej pomocy.

c)	Wywiązując się z obowiązków spoczywających na nim na podstawie lit. a) i b), podmiot odbierający dane postępuje zgodnie z poleceniem podmiotu przekazującego dane.

MODUŁ TRZECI: Przekazywanie między podmiotami przetwarzającymi

a)	Podmiot odbierający dane bezzwłocznie powiadamia podmiot przekazujący dane i – w stosownych przypadkach – administratora o każdym żądaniu otrzymanym od osoby, której dane dotyczą, i nie odpowiada na to żądanie, chyba że został do tego upoważniony przez administratora.

Podmiot odbierający dane pomaga administratorowi, w razie potrzeby we współpracy z podmiotem przekazującym dane, w wypełnianiu jego obowiązków w zakresie odpowiadania na żądania osób, których dane dotyczą, związane z wykonywaniem praw przysługujących tym osobom na podstawie rozporządzenia (UE) 2016/679 lub w stosownych przypadkach rozporządzenia (UE) 2018/1725. W związku z tym Strony określają w załączniku II odpowiednie środki techniczne i organizacyjne, uwzględniając charakter przetwarzania, w drodze których zapewniana będzie pomoc, jak również zakres wymaganej pomocy.

c)	Wywiązując się z obowiązków spoczywających na nim na podstawie lit. a) i b), podmiot odbierający dane postępuje zgodnie z poleceniem administratora przekazanym przez podmiot przekazujący dane.

MODUŁ CZWARTY: Przekazywanie przez podmiot przetwarzający administratorowi

Strony udzielają sobie wzajemnej pomocy w zakresie zapytań i żądań ze strony osób, których dane dotyczą, zgodnie z lokalnym prawem, któremu podlega podmiot odbierający dane, lub – w przypadku przetwarzania danych w Unii przez podmiot przekazujący dane – zgodnie z rozporządzeniem (UE) 2016/679.

Klauzula 11

Dochodzenie roszczeń

Podmiot odbierający dane – w sposób przejrzysty i łatwo dostępny w drodze indywidualnego zawiadomienia lub na swojej stronie internetowej – informuje osoby, których dane dotyczą, o tym, który punkt kontaktowy jest upoważniony do rozpatrywania skarg. Podmiot ten niezwłocznie rozpatruje wszelkie skargi otrzymane od osoby, której dane dotyczą.

[WARIANT: Podmiot odbierający dane wyraża zgodę, aby osoby, których dane dotyczą, mogły złożyć skargę również do niezależnego organu rozstrzygania sporów (11) bez obciążania kosztami osoby, której dane dotyczą. W sposób określony w lit. a) informuje on osoby, których dane dotyczą, o takim mechanizmie dochodzenia roszczeń oraz o tym, że nie mają one obowiązku korzystać z niego ani postępować zgodnie z konkretną procedurą podczas dochodzenia roszczeń.]

MODUŁ PIERWSZY: Przekazywanie między administratorami

MODUŁ DRUGI: Przekazywanie przez administratora podmiotowi przetwarzającemu

MODUŁ TRZECI: Przekazywanie między podmiotami przetwarzającymi

W przypadku gdy między osobą, której dane dotyczą, a jedną ze Stron wystąpi spór co do przestrzegania klauzul, Strona ta dokłada wszelkich starań, aby rozwiązać spór w sposób polubowny i terminowy. Strony na bieżąco przekazują sobie informacje na temat pojawienia się takich sporów i w stosownych przypadkach współpracują, by je rozwiązać.

W przypadku gdy osoba, której dane dotyczą, powoła się na wynikające z klauzuli 3 prawo przysługujące jej jako osobie trzeciej, na rzecz której zawarto umowę, podmiot odbierający dane akceptuje decyzję osoby, której dane dotyczą, aby:

(i)	złożyć skargę do organu nadzorczego w państwie członkowskim miejsca zwykłego pobytu lub miejsca pracy tej osoby lub do właściwego organu nadzorczego zgodnie z klauzulą 13;

(ii)	skierować spór do sądów właściwych w rozumieniu klauzuli 18.

d)	Strony akceptują, że osobę, której dane dotyczą, mogą reprezentować podmiot, organizacja lub zrzeszenie, które nie mają charakteru zarobkowego, na warunkach określonych w art. 80 ust. 1 rozporządzenia (UE) 2016/679.

e)	Podmiot odbierający dane stosuje się do decyzji wiążącej na podstawie obowiązującego prawa Unii lub państwa członkowskiego.

f)	Podmiot odbierający dane potwierdza, że wybór, jakiego dokona osoba, której dane dotyczą, pozostanie bez uszczerbku dla praw podmiotowych lub procesowych przysługujących jej zgodnie z mającymi zastosowanie przepisami.

Klauzula 12

Odpowiedzialność

MODUŁ PIERWSZY: Przekazywanie między administratorami

MODUŁ CZWARTY: Przekazywanie przez podmiot przetwarzający administratorowi

a)	Każda Strona ponosi odpowiedzialność wobec podmiotu lub podmiotów będących drugą Stroną za wszelkie wyrządzone im przez siebie szkody wynikające z naruszenia niniejszych klauzul.

Każda Strona ponosi odpowiedzialność wobec osoby, której dane dotyczą, a osobie, której dane dotyczą, przysługuje prawo do odszkodowania z tytułu jakichkolwiek szkód majątkowych lub niemajątkowych wyrządzonych osobie, której dane dotyczą, przez Stronę w wyniku naruszenia praw przysługujących jej jako osobie trzeciej, na rzecz której zawarto umowę, na podstawie niniejszych klauzul. Zasada ta pozostaje bez uszczerbku dla odpowiedzialności spoczywającej na podmiocie przekazującym dane na podstawie rozporządzenia (UE) 2016/679.

W przypadku gdy za jakiekolwiek szkody wobec osoby, której dane dotyczą, wynikające z naruszenia niniejszych klauzul, odpowiedzialność ponosi więcej niż jednak Strona, wszystkie odpowiedzialne Strony ponoszą odpowiedzialność solidarną, a osobie, której dane dotyczą, przysługuje prawo do wystąpienia do sądu przeciwko którejkolwiek z tych Stron.

d)	Strony uzgadniają, że w przypadku pociągnięcia na podstawie lit. c) jednej Strony do odpowiedzialności przysługuje jej prawo do żądania od podmiotu lub podmiotów będących drugą Stroną odszkodowania w wysokości odpowiadającej stopniowi odpowiedzialności za wyrządzoną szkodę.

e)	Podmiot odbierający dane nie może powołać się na postępowanie podmiotu przetwarzającego ani podwykonawcy przetwarzania, aby uniknąć własnej odpowiedzialności.

MODUŁ DRUGI: Przekazywanie przez administratora podmiotowi przetwarzającemu

MODUŁ TRZECI: Przekazywanie między podmiotami przetwarzającymi

a)	Każda Strona ponosi odpowiedzialność wobec podmiotu lub podmiotów będących drugą Stroną za wszelkie wyrządzone im przez siebie szkody wynikające z naruszenia niniejszych klauzul.

Podmiot odbierający dane ponosi odpowiedzialność wobec osoby, której dane dotyczą, a osobie, której dane dotyczą, przysługuje prawo do odszkodowania z tytułu jakichkolwiek szkód majątkowych lub niemajątkowych wyrządzonych osobie, której dane dotyczą, przez podmiot odbierający dane lub jego podwykonawcę przetwarzania w wyniku naruszenia praw przysługujących jej jako osobie trzeciej, na rzecz której zawarto umowę, na podstawie niniejszych klauzul.

Niezależnie od postanowień lit. b) podmiot przekazujący dane ponosi odpowiedzialność wobec osoby, której dane dotyczą, a osobie, której dane dotyczą, przysługuje prawo do odszkodowania z tytułu jakichkolwiek szkód majątkowych lub niemajątkowych wyrządzonych osobie, której dane dotyczą, przez podmiot przekazujący dane lub podmiot odbierający dane (lub jego podwykonawcę przetwarzania) w wyniku naruszenia praw przysługujących jej jako osobie trzeciej, na rzecz której zawarto umowę, na podstawie niniejszych klauzul. Zasada ta pozostaje bez uszczerbku dla odpowiedzialności spoczywającej na podmiocie przekazującym dane, a w przypadku gdy podmiot przekazujący dane jest podmiotem przetwarzającym działającym w imieniu administratora – bez uszczerbku dla odpowiedzialności administratora na podstawie rozporządzenia (UE) 2016/679 lub w stosownych przypadkach rozporządzenia (UE) 2018/1725.

Strony uzgadniają, że w przypadku pociągnięcia na podstawie postanowień lit. c) podmiotu przekazującego dane do odpowiedzialności za szkody wyrządzone przez podmiot odbierający dane (lub jego podwykonawcę przetwarzania) przysługuje mu prawo do żądania od podmiotu odbierającego dane odszkodowania w wysokości odpowiadającej stopniowi odpowiedzialności podmiotu odbierającego dane za wyrządzoną szkodę.

f)	Strony uzgadniają, że w przypadku pociągnięcia na podstawie postanowień lit. e) jednej Strony do odpowiedzialności przysługuje jej prawo do żądania od podmiotu lub podmiotów będących drugą Stroną odszkodowania w wysokości odpowiadającej stopniowi odpowiedzialności za wyrządzoną szkodę.

g)	Podmiot odbierający dane nie może powołać się na postępowanie podwykonawcy przetwarzania, aby uniknąć własnej odpowiedzialności.

Klauzula 13

Nadzór

MODUŁ PIERWSZY: Przekazywanie między administratorami

MODUŁ DRUGI: Przekazywanie przez administratora podmiotowi przetwarzającemu

MODUŁ TRZECI: Przekazywanie między podmiotami przetwarzającymi

[W przypadku gdy podmiot przekazujący dane posiada jednostkę organizacyjną w państwie członkowskim UE:] Organ nadzorczy odpowiedzialny za zapewnianie, aby podmiot przekazujący dane przestrzegał przepisów rozporządzenia (UE) 2016/679 w odniesieniu do przekazywania danych, jak wskazano w załączniku I część C, działa w charakterze właściwego organu nadzorczego.

[W przypadku gdy podmiot przekazujący dane nie ma jednostki organizacyjnej w państwie członkowskim UE, lecz jest objęty terytorialnym zakresem stosowania rozporządzenia (UE) 2016/679 zgodnie z art. 3 ust. 2 tego rozporządzenia i wyznaczył przedstawiciela na podstawie art. 27 ust. 1 rozporządzenia (UE) 2016/679:] Organ nadzorczy państwa członkowskiego, w którym przedstawiciel w rozumieniu art. 27 ust. 1 rozporządzenia (UE) 2016/679 posiada jednostkę organizacyjną, jak wskazano w załączniku I część C, działa w charakterze właściwego organu nadzorczego.

[W przypadku gdy podmiot przekazujący dane nie ma jednostki organizacyjnej w państwie członkowskim UE, lecz jest objęty terytorialnym zakresem stosowania rozporządzenia (UE) 2016/679 zgodnie z art. 3 ust. 2 tego rozporządzenia, jednak nie wyznaczył przedstawiciela na podstawie art. 27 ust. 2 rozporządzenia (UE) 2016/679:] Organ nadzorczy z jednego z państw członkowskich, w którym przebywają osoby, których dane dotyczą, których dane osobowe są przekazywane na podstawie niniejszych klauzul w związku z oferowaniem im towarów lub usług lub których zachowanie jest monitorowane, jak wskazano w załączniku I część C, działa w charakterze właściwego organu nadzorczego.

Podmiot odbierający dane zgadza się poddać jurysdykcji właściwego organu nadzorczego i współpracować z tym organem w zakresie wszystkich procedur ukierunkowanych na zapewnienie przestrzegania niniejszych klauzul. W szczególności podmiot odbierający dane zgadza się odpowiadać na zapytania, poddawać się audytom i przestrzegać środków przyjętych przez organ nadzorczy, w tym środków zaradczych i kompensacyjnych. Przedstawia on organowi nadzorczemu pisemne potwierdzenie podjęcia się realizacji niezbędnych działań.

SEKCJA III – LOKALNE PRAWA I OBOWIĄZKI W PRZYPADKU DOSTĘPU PRZEZ ORGANY PUBLICZNE

Klauzula 14

Prawa i praktyki lokalne wpływające na przestrzeganie klauzul

MODUŁ PIERWSZY: Przekazywanie między administratorami

MODUŁ DRUGI: Przekazywanie przez administratora podmiotowi przetwarzającemu

MODUŁ TRZECI: Przekazywanie między podmiotami przetwarzającymi

MODUŁ CZWARTY: Przekazywanie przez podmiot przetwarzający administratorowi (w przypadku gdy podmiot przetwarzający z UE łączy dane osobowe otrzymane od administratora z państwa trzeciego z danymi osobowymi zgromadzonym przez administratora w UE)

Strony gwarantują, że nie mają podstaw, by uważać, iż prawa i praktyki w państwie trzecim przeznaczenia, mające zastosowanie do przetwarzania danych osobowych przez podmiot odbierający dane, w tym wszelkie wymogi dotyczące ujawniania danych osobowych lub środki upoważniające organy publiczne do uzyskania dostępu, uniemożliwiają podmiotowi odbierającemu dane wypełnienie jego obowiązków wynikających z niniejszych klauzul. Opiera się to na założeniu, że przepisy i praktyki, które nie naruszają istoty podstawowych praw i wolności oraz nie wykraczają poza to, co jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym służącym zabezpieczeniu jednego z celów wymienionych w art. 23 ust. 1 rozporządzenia (UE) 2016/679, nie są sprzeczne z niniejszymi klauzulami.

Strony oświadczają, że składając gwarancję, o której mowa w lit. a), należycie uwzględniły w szczególności następujące elementy:

(i)

szczególne okoliczności przekazywania, w tym długość łańcucha przetwarzania, liczbę zaangażowanych podmiotów i wykorzystywane kanały przekazywania; planowane dalsze przekazywanie; rodzaj odbiorcy; cel przetwarzania danych; kategorie i format przekazywanych danych osobowych; sektor gospodarki, w którym dochodzi do przekazywania danych; miejsce przechowywania przekazywanych danych;

(ii)

przepisy i praktyki państwa trzeciego przeznaczenia, w tym przepisy i praktyki wymagające ujawnienia danych organom publicznym lub upoważniające takie organy do uzyskania dostępu, istotne w świetle szczególnych okoliczności przekazywania danych oraz mających zastosowanie ograniczeń i zabezpieczeń (12);

(iii)

wszelkie stosowne zabezpieczenia umowne, techniczne lub organizacyjne wprowadzone w celu uzupełnienia zabezpieczeń wynikających z niniejszych klauzul, w tym środki stosowane w czasie przekazywania i przetwarzania danych osobowych w państwie przeznaczenia.

Podmiot odbierający dane gwarantuje, że przeprowadzając ocenę na podstawie postanowień lit. b), dołożył wszelkich starań, aby udostępnić podmiotowi przekazującemu dane odpowiednie informacje, oraz wyraża zgodę na dalszą współpracę z podmiotem przekazującym dane w zakresie zapewnienia zgodności z niniejszymi klauzulami.

d)	Strony zgadzają się udokumentować ocenę, o której mowa w lit. b), i udostępnić ją na żądanie właściwego organu nadzorczego.

Podmiot odbierający dane zobowiązuje się do niezwłocznego powiadomienia podmiotu przekazującego dane, jeśli po uzgodnieniu niniejszych klauzul i w okresie obowiązywania umowy ma powody, aby sądzić, że podlega lub zaczął podlegać przepisom lub praktykom niezgodnym z wymogami określonymi w lit. a), w tym w wyniku zmiany przepisów państwa trzeciego lub środka (takiego jak żądanie ujawnienia danych) wskazującego na stosowanie takich przepisów w praktyce, które nie jest zgodne z wymogami określonymi w lit. a). [W przypadku modułu trzeciego: Podmiot przekazujący dane przekazuje to powiadomienie administratorowi.]

Po otrzymaniu powiadomienia zgodnie z lit. e) lub jeżeli podmiot przekazujący dane ma inny powód, by sądzić, że podmiot odbierający dane nie może dłużej wypełniać swoich obowiązków wynikających z niniejszych klauzul, podmiot przekazujący dane bezzwłocznie określa odpowiednie środki (na przykład środki techniczne lub organizacyjne służące zapewnieniu bezpieczeństwa i poufności), które podmiot przekazujący dane lub podmiot odbierający dane powinni przyjąć w celu zaradzenia zaistniałej sytuacji [w przypadku modułu trzeciego: w stosownych przypadkach w porozumieniu z administratorem]. Podmiot przekazujący dane wstrzymuje przekazywanie danych, jeżeli uzna, że zapewnienie odpowiednich zabezpieczeń w odniesieniu do takiego przekazywania jest niemożliwe, lub na polecenie [w przypadku modułu trzeciego: administratora lub] właściwego organu nadzorczego. W takim przypadku podmiot przekazujący dane jest uprawniony do rozwiązania umowy – o ile problem dotyczy przetwarzania danych osobowych na podstawie niniejszych klauzul. W przypadku gdy umowa dotyczy więcej niż dwóch Stron, podmiot przekazujący dane może skorzystać z tego prawa do rozwiązania umowy tylko w odniesieniu do odpowiedniej Strony, chyba że Strony uzgodniły inaczej. W przypadku rozwiązania umowy na podstawie niniejszej klauzuli zastosowanie ma klauzula 16 lit. d) i e).

Klauzula 15

Obowiązki podmiotu odbierającego dane w przypadku dostępu przez organy publiczne

MODUŁ PIERWSZY: Przekazywanie między administratorami

MODUŁ DRUGI: Przekazywanie przez administratora podmiotowi przetwarzającemu

MODUŁ TRZECI: Przekazywanie między podmiotami przetwarzającymi

15.1. Powiadomienie

Podmiot odbierający dane zobowiązuje się do niezwłocznego powiadomienia podmiotu przekazującego dane oraz, o ile to możliwe, osoby, której dane dotyczą (w stosownych przypadkach z pomocą podmiotu przekazującego dane), jeśli:

(i)

otrzyma od organu publicznego, w tym sądowego, prawnie wiążące żądanie – zgodnie z przepisami państwa przeznaczenia – ujawnienia danych osobowych przekazywanych na podstawie niniejszych klauzul; takie powiadomienie zawiera informacje na temat danych osobowych, których dotyczy żądanie, organu występującego z żądaniem, podstawy prawnej żądania oraz udzielonej odpowiedzi; lub

(ii)	dowie się o jakimkolwiek przypadku bezpośredniego dostępu przez organy publiczne do danych osobowych przekazywanych na podstawie niniejszych klauzul zgodnie z przepisami państwa przeznaczenia; takie powiadomienie zawiera wszelkie informacje, do których podmiot odbierający dane ma dostęp.

[W przypadku modułu trzeciego: Podmiot przekazujący dane przekazuje to powiadomienie administratorowi.]

Jeżeli podmiotowi odbierającemu dane zakazano powiadamiania podmiotu przekazującego dane lub osoby, której dane dotyczą, na mocy przepisów państwa przeznaczenia, zgadza się on dołożyć wszelkich starań, aby uzyskać zwolnienie z tego zakazu w celu przekazania jak największej ilości informacji w jak najkrótszym czasie. Podmiot odbierający dane zgadza się udokumentować swoje starania, aby móc je wykazać na żądanie podmiotu przekazującego dane.

Jeżeli jest to dopuszczalne zgodnie z przepisami państwa przeznaczenia, podmiot odbierający dane zgadza się dostarczać podmiotowi przekazującemu dane, w regularnych odstępach czasu w okresie obowiązywania umowy, jak najwięcej istotnych informacji o otrzymanych żądaniach (w szczególności na temat liczby żądań, rodzaju wymaganych danych, organu lub organów występujących z żądaniem, a także informacji o tym, czy żądania były przedmiotem środków zaradczych służących ich zakwestionowaniu i jaki był wynik takich działań itp.). [W przypadku modułu trzeciego: Podmiot przekazujący dane przekazuje te informacje administratorowi.]

d)	Podmiot odbierający dane zgadza się przechowywać informacje, o których mowa w lit. a)–c), przez okres obowiązywania umowy i udostępniać je na żądanie właściwego organu nadzorczego.

e)	Lit. a)–c) pozostają bez uszczerbku dla obowiązku podmiotu odbierającego dane wynikającego z klauzuli 14 lit. e) i klauzuli 16, dotyczącego niezwłocznego poinformowania podmiotu przekazującego dane, w przypadku gdy nie może on zapewnić zgodności z postanowieniami niniejszych klauzul.

15.2. Kontrola legalności i minimalizacja danych

Podmiot odbierający dane zgadza się skontrolować legalność żądania ujawnienia danych, a w szczególności kwestii, czy mieści się ono w zakresie uprawnień przyznanych organowi publicznemu występującemu z żądaniem, oraz zakwestionować ważność żądania, jeżeli po dokonaniu starannej oceny stwierdzi, że istnieją uzasadnione podstawy do uznania, iż żądanie jest niezgodne z prawem w świetle przepisów państwa przeznaczenia, mających zastosowanie zobowiązań wynikających z prawa międzynarodowego i zasad kurtuazji międzynarodowej. Podmiot odbierający dane korzysta z możliwości odwołania się na tych samych warunkach. Kwestionując żądanie, podmiot odbierający dane dąży do zastosowania środków tymczasowych w celu zawieszenia skutków żądania do czasu rozstrzygnięcia istoty sprawy przez właściwy organ sądowy. Nie może ujawniać danych osobowych, których dotyczy żądanie, dopóki nie będzie do tego zobowiązany na mocy mających zastosowanie przepisów procesowych. Wymogi te pozostają bez uszczerbku dla obowiązków podmiotu odbierającego dane wynikających z klauzuli 14 lit. e).

Podmiot odbierający dane zgadza się udokumentować swoją ocenę prawną, a także wszelkie przypadki zakwestionowania żądania ujawnienia danych oraz, w zakresie dopuszczalnym przez przepisy państwa przeznaczenia, udostępnić dokumentację podmiotowi przekazującemu dane. Udostępnia ją również na żądanie właściwego organu nadzorczego. [W przypadku modułu trzeciego: Podmiot przekazujący dane udostępnia wyniki oceny administratorowi.]

c)	Podmiot odbierający dane zgadza się dostarczyć minimalną dopuszczalną ilość informacji, udzielając odpowiedzi na żądanie ujawnienia danych, w oparciu o jego rozsądną interpretację.

SEKCJA IV – POSTANOWIENIA KOŃCOWE

Klauzula 16

Brak zgodności z klauzulami i rozwiązanie umowy

a)	Podmiot odbierający dane niezwłocznie informuje podmiot przekazujący dane, jeżeli z jakiegokolwiek powodu nie może zapewnić przestrzegania postanowień niniejszych klauzul.

W przypadku gdy podmiot odbierający dane narusza postanowienia niniejszych klauzul lub nie może zapewnić przestrzegania ich postanowień, podmiot przekazujący dane czasowo, do chwili ponownego zapewnienia przestrzegania klauzul lub rozwiązania umowy, wstrzymuje przekazywanie danych osobowych do podmiotu odbierającego. Powyższe pozostaje bez uszczerbku dla postanowień klauzuli 14 lit. f).

Podmiot przekazujący dane jest uprawniony do rozwiązania umowy – o ile problem dotyczy przetwarzania danych osobowych na podstawie niniejszych klauzul – w przypadku gdy:

(i)	podmiot przekazujący dane wstrzymał przekazywanie danych osobowych do podmiotu odbierającego dane na podstawie lit. b), a zgodność z postanowieniami niniejszych klauzul nie została przywrócona w rozsądnym terminie, a w każdym razie w ciągu jednego miesiąca od wstrzymania;

(ii)	podmiot odbierający dane w poważnym stopniu lub uporczywie narusza postanowienia niniejszych klauzul; lub

(iii)

podmiot odbierający dane nie zastosował się do wiążącej decyzji właściwego sądu lub organu nadzorczego dotyczącej jego obowiązków wynikających z niniejszych klauzul.

W takich przypadkach informuje on właściwy organ nadzorczy [w przypadku modułu trzeciego: oraz administratora] o takim przypadku niezastosowania się do decyzji. W przypadku gdy umowa dotyczy więcej niż dwóch Stron, podmiot przekazujący dane może skorzystać z tego prawa do rozwiązania umowy tylko w odniesieniu do odpowiedniej Strony, chyba że Strony uzgodniły inaczej.

[W przypadku modułów pierwszego, drugiego i trzeciego: Dane osobowe przekazane przed rozwiązaniem umowy na podstawie lit. c) muszą zostać – w zależności od wyboru dokonanego przez podmiot przekazujący dane – niezwłocznie zwrócone temu podmiotowi lub w całości usunięte. To samo dotyczy wszelkich kopii tych danych.] [W przypadku modułu czwartego: Dane osobowe zgromadzone przez podmiot przekazujący dane w UE, które zostały przekazane przed rozwiązaniem umowy na podstawie lit. c), a także wszelkie ich kopie, muszą niezwłocznie zostać w całości usunięte.] Podmiot odbierający dane poświadcza usunięcie danych podmiotowi przekazującemu. Do czasu usunięcia lub zwrotu danych podmiot odbierający dane nadal zapewnia zgodność z niniejszymi klauzulami. Jeżeli lokalne prawo obowiązujące podmiot odbierający dane zabrania zwrotu lub usunięcia przekazanych danych osobowych, podmiot odbierający dane gwarantuje, że będzie w dalszym ciągu zapewniał przestrzeganie niniejszych klauzul oraz że będzie przetwarzał dane wyłącznie w zakresie i w czasie wymaganym przez to prawo lokalne.

Każda ze Stron może wycofać swoją zgodę na związanie się niniejszymi klauzulami, w przypadku gdy: (i) Komisja Europejska przyjmie decyzję na podstawie art. 45 ust. 3 rozporządzenia (UE) 2016/679 obejmującą przekazywanie danych osobowych, do których mają zastosowanie niniejsze klauzule; lub (ii) rozporządzenie (UE) 2016/679 stanie się częścią ram prawnych państwa, do którego przekazywane są dane osobowe. Powyższe pozostaje bez uszczerbku dla pozostałych obowiązków mających zastosowanie do przedmiotowego przetwarzania na podstawie rozporządzenia (UE) 2016/679.

Klauzula 17

Prawo właściwe

MODUŁ PIERWSZY: Przekazywanie między administratorami

MODUŁ DRUGI: Przekazywanie przez administratora podmiotowi przetwarzającemu

MODUŁ TRZECI: Przekazywanie między podmiotami przetwarzającymi

[WARIANT 1: Niniejsze klauzule podlegają przepisom prawa jednego z państw członkowskich UE, pod warunkiem że prawo to dopuszcza prawa osób trzecich, na rzecz których zawarto umowę. Strony uzgadniają, że jest to prawo obowiązujące na terytorium _______ (należy wskazać państwo członkowskie).]

[WARIANT 2 (w przypadku modułów drugiego i trzeciego): Niniejsze klauzule podlegają przepisom prawa państwa członkowskiego UE, w którym podmiot przekazujący dane posiada jednostkę organizacyjną. W przypadku gdy przepisy te nie dopuszczają praw osób trzecich, na rzecz których zawarto umowę, podlegają one przepisom prawa innego państwa członkowskiego UE, które dopuszczają prawa osób trzecich, na rzecz których zawarto umowę. Strony uzgadniają, że jest to prawo obowiązujące na terytorium _______ (należy wskazać państwo członkowskie).]

MODUŁ CZWARTY: Przekazywanie przez podmiot przetwarzający administratorowi

Niniejsze klauzule podlegają przepisom prawa państwa, które dopuszcza prawa osób trzecich, na rzecz których zawarto umowę. Strony uzgadniają, że jest to prawo obowiązujące na terytorium _______ (należy wskazać państwo).

Klauzula 18

Wybór forum i jurysdykcji

MODUŁ PIERWSZY: Przekazywanie między administratorami

MODUŁ DRUGI: Przekazywanie przez administratora podmiotowi przetwarzającemu

MODUŁ TRZECI: Przekazywanie między podmiotami przetwarzającymi

a)	Wszelkie spory wynikające z niniejszych klauzul są rozstrzygane przez sądy państwa członkowskiego UE.

b)	Strony uzgadniają, że są to sądy _______ (należy wskazać państwo członkowskie).

c)	Osoba, której dane dotyczą, może również wszcząć postępowanie sądowe przeciwko podmiotowi przekazującemu dane lub podmiotowi odbierającemu dane przed sądami państwa członkowskiego, w którym znajduje się jej miejsce zwykłego pobytu.

d)	Strony uzgadniają, że będą podlegały jurysdykcji tych sądów.

MODUŁ CZWARTY: Przekazywanie przez podmiot przetwarzający administratorowi

Wszelkie spory wynikające z niniejszych klauzul są rozstrzygane przez sądy _____ (należy wskazać państwo).

(1) Gdy podmiot przekazujący dane jest podmiotem przetwarzającym podlegającym rozporządzeniu (UE) 2016/679, działającym w imieniu instytucji lub organu Unii, poleganie na niniejszych klauzulach przy angażowaniu innego podmiotu przetwarzającego (podwykonawstwo przetwarzania) niepodlegającego rozporządzeniu (UE) 2016/679 zapewnia również zgodność z art. 29 ust. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39) w zakresie, w jakim niniejsze klauzule oraz obowiązki dotyczące ochrony danych, określone w umowie lub innym akcie prawnym zawartym między administratorem a podmiotem przetwarzającym zgodnie z art. 29 ust. 3 rozporządzenia (UE) 2018/1725, są ze sobą zgodne. Będzie to dotyczyło w szczególności sytuacji, gdy administrator i podmiot przetwarzający opierają się na standardowych klauzulach umownych zawartych w decyzji 2021/915

(2) Oznacza to dokonanie anonimizacji danych w taki sposób, aby osób, których dane dotyczą, nie można było zidentyfikować, zgodnie z motywem 26 rozporządzenia (UE) 2016/679, oraz aby proces ten był nieodwracalny.

(3) W Porozumieniu o Europejskim Obszarze Gospodarczym (Porozumienie EOG) przewidziano rozszerzenie rynku wewnętrznego Unii Europejskiej na trzy państwa EOG – Islandię, Liechtenstein i Norwegię. Unijne prawodawstwo dotyczące ochrony danych, w tym rozporządzenie (UE) 2016/679, jest objęte Porozumieniem EOG i zostało włączone do jego załącznika XI. W związku z tym wszelkie ujawnianie danych stronie trzeciej zlokalizowanej w EOG przez podmiot odbierający dane nie kwalifikuje się jako dalsze przekazanie do celów niniejszych klauzul.

(4) W Porozumieniu o Europejskim Obszarze Gospodarczym (Porozumienie EOG) przewidziano rozszerzenie rynku wewnętrznego Unii Europejskiej na trzy państwa EOG – Islandię, Liechtenstein i Norwegię. Unijne prawodawstwo dotyczące ochrony danych, w tym rozporządzenie (UE) 2016/679, jest objęte Porozumieniem EOG i zostało włączone do jego załącznika XI. W związku z tym wszelkie ujawnianie danych stronie trzeciej zlokalizowanej w EOG przez podmiot odbierający dane nie kwalifikuje się jako dalsze przekazanie do celów niniejszych klauzul.

(5) Zob. art. 28 ust. 4 rozporządzenia (UE) 2016/679, a w przypadku gdy administrator jest instytucją lub organem Unii – art. 29 ust. 4 rozporządzenia (UE) 2018/1725.

(6) W Porozumieniu o Europejskim Obszarze Gospodarczym (Porozumienie EOG) przewidziano rozszerzenie rynku wewnętrznego Unii Europejskiej na trzy państwa EOG – Islandię, Liechtenstein i Norwegię. Unijne prawodawstwo dotyczące ochrony danych, w tym rozporządzenie (UE) 2016/679, jest objęte Porozumieniem EOG i zostało włączone do jego załącznika XI. W związku z tym wszelkie ujawnianie danych stronie trzeciej zlokalizowanej w EOG przez podmiot odbierający dane nie kwalifikuje się jako dalsze przekazanie do celów niniejszych klauzul.

(7) Obejmuje to kwestię, czy przekazywanie i dalsze przetwarzanie dotyczy danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne lub dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby lub dane dotyczące wyroków skazujących lub czynów zabronionych.

(8) Podwykonawca przetwarzania może spełnić ten wymóg, przystępując do niniejszych klauzul na podstawie odpowiedniego modułu zgodnie z klauzulą 7.

(9) Podwykonawca przetwarzania może spełnić ten wymóg, przystępując do niniejszych klauzul na podstawie odpowiedniego modułu zgodnie z klauzulą 7.

(10) Termin ten można przedłużyć w niezbędnym zakresie maksymalnie o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. Podmiot odbierający dane należycie i niezwłocznie informuje osobę, której dane dotyczą, o każdym takim przedłużeniu.

(11) Podmiot odbierający dane może zaoferować możliwość niezależnego rozwiązywania sporów za pośrednictwem sądu arbitrażowego wyłącznie wówczas, gdy posiada jednostkę organizacyjną w państwie, które ratyfikowało Konwencję nowojorską o uznawaniu i wykonywaniu zagranicznych orzeczeń arbitrażowych.

(12) Jeżeli chodzi o wpływ takich przepisów i praktyk na zgodność z niniejszymi klauzulami, w ogólnej ocenie można wziąć pod uwagę różne elementy. Do elementów takich można zaliczyć odpowiednie i udokumentowane praktyczne doświadczenie w związku z wcześniejszymi przypadkami żądania przez organy publiczne ujawnienia danych lub brakiem takich żądań, obejmujące wystarczająco reprezentatywne ramy czasowe. Dotyczy to w szczególności wewnętrznych rejestrów lub innych dokumentów, sporządzanych na bieżąco zgodnie z zasadą należytej staranności i certyfikowanych przez kadrę kierowniczą wyższego szczebla, pod warunkiem że informacje te mogą być zgodnie z prawem udostępniane stronom trzecim. Jeżeli takie praktyczne doświadczenie stanowi podstawę do stwierdzenia, że podmiot odbierający dane nie będzie miał utrudnionej możliwości przestrzegania niniejszych klauzul, musi być ono poparte innymi istotnymi, obiektywnymi elementami i to do Stron należy staranne rozważenie, czy elementy te łącznie są wystarczająco istotne pod względem ich wiarygodności i reprezentatywności, aby potwierdzić takie stwierdzenie. W szczególności Strony muszą wziąć pod uwagę, czy ich praktyczne doświadczenie jest potwierdzone i czy nie zaprzeczają mu publicznie udostępnione lub w inny sposób dostępne wiarygodne informacje na temat występowania lub braku żądań w tym samym sektorze lub stosowania prawa w praktyce, takie jak orzecznictwo i sprawozdania sporządzone przez niezależne organy nadzoru.

DODATEK

UWAGA WYJAŚNIAJĄCA:

Musi istnieć możliwość wyraźnego rozróżnienia informacji mających zastosowanie do każdego przekazania lub kategorii przekazywania oraz, w związku z tym, określenia odnośnych ról stron jako podmiotów przekazujących dane lub podmiotów odbierających dane. Nie jest konieczne wypełnienie i podpisanie oddzielnych dodatków dla każdego przekazania/kategorii przekazywania lub stosunku umownego, w przypadku gdy przejrzystość można uzyskać za pomocą jednego dodatku. W przypadkach, w których konieczne jest zapewnienia jasności, należy jednak stosować oddzielne dodatki.

ZAŁĄCZNIK I

A. WYKAZ STRON

MODUŁ PIERWSZY: Przekazywanie między administratorami

MODUŁ DRUGI: Przekazywanie przez administratora podmiotowi przetwarzającemu

MODUŁ TRZECI: Przekazywanie między podmiotami przetwarzającymi

MODUŁ CZWARTY: Przekazywanie przez podmiot przetwarzający administratorowi

Podmiot(y) przekazujący(-e) dane: [Dane identyfikujące i dane kontaktowe podmiotu(-ów) przekazującego(-ych) dane oraz w stosownych przypadkach jego/ich inspektora ochrony danych lub przedstawiciela w Unii Europejskiej]

Nazwa: …

Adres: …

Imię i nazwisko, stanowisko i dane kontaktowe osoby wyznaczonej do kontaktów: …

Działania mające znaczenie dla danych przekazywanych na podstawie niniejszych klauzul: …

Podpis i data: …

Rola (administrator/podmiot przetwarzający): …

…

Podmiot(y) odbierający(-e) dane: [Dane identyfikujące i dane kontaktowe podmiotu(-ów) odbierającego(-ych) dane, w tym każdej osoby wyznaczonej do kontaktów odpowiedzialnej za ochronę danych]

Nazwa: …

Adres: …

Imię i nazwisko, stanowisko i dane kontaktowe osoby wyznaczonej do kontaktów: …

Działania mające znaczenie dla danych przekazywanych na podstawie niniejszych klauzul: …

Podpis i data: …

Rola (administrator/podmiot przetwarzający): …

…

B. OPIS PRZEKAZYWANIA DANYCH

MODUŁ PIERWSZY: Przekazywanie między administratorami

MODUŁ DRUGI: Przekazywanie przez administratora podmiotowi przetwarzającemu

MODUŁ TRZECI: Przekazywanie między podmiotami przetwarzającymi

MODUŁ CZWARTY: Przekazywanie przez podmiot przetwarzający administratorowi

Kategorie osób, których dane dotyczą i których dane są przekazywane

…

Kategorie przekazywanych danych osobowych

…

Przekazywane dane wrażliwe (w stosownych przypadkach) oraz stosowane ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych i związane z nim ryzyko, takie jak na przykład ścisłe ograniczenie celu, ograniczenia dostępu (w tym dostęp wyłącznie dla pracowników, który odbyli specjalistyczne szkolenie), przechowywanie zapisów przypadków udostępnienia danych, ograniczenia dalszego przekazywania lub dodatkowe środki bezpieczeństwa

…

Częstotliwość przekazywania danych (np. czy dane są przekazywane jednorazowo, czy w sposób ciągły)

…

Charakter przetwarzania

…

Cel(e) przekazywania danych i dalszego przetwarzania

…

Okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu

…

W przypadku przekazywania podwykonawcom przetwarzania należy również określić przedmiot, charakter i czas trwania przetwarzania

…

C. WŁAŚCIWY ORGAN NADZORCZY

MODUŁ PIERWSZY: Przekazywanie między administratorami

MODUŁ DRUGI: Przekazywanie przez administratora podmiotowi przetwarzającemu

MODUŁ TRZECI: Przekazywanie między podmiotami przetwarzającymi

Należy określić właściwy organ nadzorczy/organy nadzorcze zgodnie z klauzulą 13

…

ZAŁĄCZNIK II

ŚRODKI TECHNICZNE I ORGANIZACYJNE, W TYM ŚRODKI TECHNICZNE I ORGANIZACYJNE MAJĄCE NA CELU ZAPEWNIENIE BEZPIECZEŃSTWA DANYCH

MODUŁ PIERWSZY: Przekazywanie między administratorami

MODUŁ DRUGI: Przekazywanie przez administratora podmiotowi przetwarzającemu

MODUŁ TRZECI: Przekazywanie między podmiotami przetwarzającymi

UWAGA WYJAŚNIAJĄCA:

Środki techniczne i organizacyjne muszą być opisane w sposób szczegółowy (a nie ogólny). Zob. również ogólna uwaga na pierwszej stronie dodatku, w szczególności w odniesieniu do potrzeby wyraźnego wskazania, które środki mają zastosowanie do każdego jednorazowego lub wielokrotnego przekazania.

Opis środków technicznych i organizacyjnych wdrożonych przez podmiot(y) odbierający(-e) dane (w tym odpowiednich certyfikacji) w celu zapewnienia odpowiedniego poziomu ochrony, biorąc pod uwagę charakter, zakres, kontekst i cel przetwarzania oraz ryzyko dla praw i wolności osób fizycznych.

[Przykłady ewentualnych środków:

Środki dotyczące pseudonimizacji i szyfrowania danych osobowych

Środki mające na celu ciągłe zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania

Środki mające na celu zapewnienie zdolności szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego

Procedury regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania

Środki identyfikacji i autoryzacji użytkowników

Środki ochrony danych podczas przekazywania

Środki ochrony danych podczas przechowywania

Środki mające na celu zapewnienie bezpieczeństwa fizycznego miejsc, w których odbywa się przetwarzanie danych osobowych

Środki mające na celu zapewnienie ewidencji zdarzeń

Środki mające na celu zapewnienie konfiguracji systemu, w tym konfiguracji domyślnej

Środki wewnętrznego zarządzania i kierowania w zakresie technologii informacji i bezpieczeństwa informatycznego

Środki certyfikacji/zapewnienia procesów i produktów

Środki mające na celu zapewnienie minimalizacji danych

Środki mające na celu zapewnienie jakości danych

Środki mające na celu zapewnienie ograniczonego zatrzymywania danych

Środki mające na celu zapewnienie odpowiedzialności

Środki mające na celu umożliwienie przenoszenia danych]

W przypadku przekazywania danych podmiotom przetwarzającym (lub podwykonawcom przetwarzania) należy również opisać konkretne środki techniczne i organizacyjne, które ma zastosować ten podmiot lub podwykonawca, aby móc udzielać pomocy administratorowi, a w przypadku przekazywania danych od podmiotu przetwarzającego do podwykonawczy – podmiotowi przekazującemu dane.

ZAŁĄCZNIK III

WYKAZ PODWYKONAWCÓW PRZETWARZANIA

MODUŁ DRUGI: Przekazywanie przez administratora podmiotowi przetwarzającemu

MODUŁ TRZECI: Przekazywanie między podmiotami przetwarzającymi

UWAGA WYJAŚNIAJĄCA:

Niniejszy załącznik wymaga uzupełniania o moduły drugi i trzeci w przypadku szczególnego upoważnienia podwykonawców przetwarzania (klauzula 9 lit. a), wariant 1).

Administrator zezwolił na korzystanie z usług następujących podwykonawców przetwarzania:

Nazwa: …

Adres: …

Imię i nazwisko, stanowisko i dane kontaktowe osoby wyznaczonej do kontaktów: …

Opis przetwarzania (w tym wyraźnie rozgraniczenie obowiązków, jeżeli upoważnionych jest kilku podwykonawców przetwarzania): …

…

		ISSN 1977-0766
Dziennik Urzędowy Unii Europejskiej		L 199

Wydanie polskie	Legislacja	Rocznik 64 7 czerwca 2021

Spis treści		II Akty o charakterze nieustawodawczym	Strona
		ROZPORZĄDZENIA
	*	Rozporządzenie wykonawcze Komisji (UE) 2021/909 z dnia 31 maja 2021 r. dotyczące klasyfikacji niektórych towarów według Nomenklatury scalonej	1
	*	Rozporządzenie wykonawcze Komisji (UE) 2021/910 z dnia 31 maja 2021 r. dotyczące klasyfikacji niektórych towarów według Nomenklatury scalonej	4
	*	Rozporządzenie wykonawcze Komisji (UE) 2021/911 z dnia 31 maja 2021 r. dotyczące klasyfikacji niektórych towarów według Nomenklatury scalonej	7
	*	Rozporządzenie wykonawcze Komisji (UE) 2021/912 z dnia 4 czerwca 2021 r. zezwalające na zmiany specyfikacji nowej żywności lakto-N-neotetraoza (źródło mikrobiologiczne) oraz zmieniające rozporządzenie wykonawcze (UE) 2017/2470 ( 1 )	10
		DECYZJE
	*	Decyzja wykonawcza Komisji (UE) 2021/913 z dnia 3 czerwca 2021 r. w sprawie norm zharmonizowanych dotyczących zmywarek do naczyń dla gospodarstw domowych, opracowanych na potrzeby rozporządzenia (UE) 2019/2022 i rozporządzenia delegowanego (UE) 2019/2017	13
	*	Decyzja wykonawcza Komisji (UE) 2021/915 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi na podstawie art. 28 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 oraz art. 29 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 ( 1 )	18
	*	Decyzja wykonawcza Komisji (UE) 2021/914 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 ( 1 )	31