7.6.2021   

RO

Jurnalul Oficial al Uniunii Europene

L 199/18


DECIZIA DE PUNERE ÎN APLICARE (UE) 2021/915 A COMISIEI

din 4 iunie 2021

privind clauzele contractuale standard dintre operatori și persoanele împuternicite de operatori prevăzute la articolul 28 alineatul (7) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului și la articolul 29 alineatul (7) din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului

(Text cu relevanță pentru SEE)

COMISIA EUROPEANĂ,

având în vedere Tratatul privind funcționarea Uniunii Europene,

având în vedere Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (RGPD) (1), în special articolul 28 alineatul (7),

având în vedere Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (RPDUE) (2), în special articolul 29 alineatul (7),

întrucât:

(1)

Conceptul de operator și cel de persoană împuternicită de operator joacă un rol fundamental în aplicarea Regulamentului (UE) 2016/679 și a Regulamentului (UE) 2018/1725. „Operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. În sensul Regulamentului (UE) 2018/1725, „operator” înseamnă instituția sau organul Uniunii ori direcția generală sau orice altă entitate organizațională care stabilește, singură sau împreună cu altele, scopurile și mijloacele de prelucrare a datelor cu caracter personal. În cazul în care scopurile și mijloacele acestei prelucrări sunt prevăzute într-un act specific al Uniunii, Uniunea poate stabili operatorul sau criteriile specifice pentru desemnarea acestuia. „Persoană împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează date cu caracter personal în numele operatorului.

(2)

Același set de clauze contractuale standard ar trebui să se aplice în ceea ce privește relația dintre operatorii de date și persoanele împuternicite de operatori atât în cazul în care fac obiectul Regulamentului (UE) 2016/679, cât și în cazul în care fac obiectul Regulamentului (UE) 2018/1725. Motivul îl reprezintă faptul că, pentru a avea o abordare coerentă în ceea ce privește protecția datelor cu caracter personal în întreaga Uniune și în ceea ce privește libera circulație a datelor cu caracter personal în cadrul Uniunii, normele în materie de protecție a datelor prevăzute în Regulamentul (UE) 2016/679, aplicabile sectorului public din statele membre, și normele în materie de protecție a datelor prevăzute în Regulamentul (UE) 2018/1725, aplicabile instituțiilor, organelor, oficiilor și agențiilor Uniunii, au fost aliniate în măsura posibilului.

(3)

Pentru a asigura respectarea cerințelor prevăzute în Regulamentele (UE) 2016/679 și (UE) 2018/1725, atunci când încredințează activități de prelucrare unei persoane împuternicite de operator, operatorul ar trebui să recurgă numai la persoane împuternicite de operatori care oferă garanții suficiente, în special în ceea ce privește cunoștințele de specialitate, fiabilitatea și resursele, pentru a implementa măsuri tehnice și organizatorice care îndeplinesc cerințele prevăzute în Regulamentul (UE) 2016/679 și în Regulamentul (UE) 2018/1725, inclusiv în ceea ce privește securitatea prelucrării.

(4)

Prelucrarea de către o persoană împuternicită de operator trebuie să fie reglementată printr-un contract sau alt act juridic în temeiul dreptului Uniunii sau al dreptului intern, care are caracter obligatoriu pentru persoana împuternicită de operator în raport cu operatorul și care stabilește elementele prevăzute la articolul 28 alineatele (3) și (4) din Regulamentul (UE) 2016/679 și la articolul 29 alineatele (3) și (4) din Regulamentul (UE) 2018/1725. Acest contract sau act trebuie să se întocmească în scris, inclusiv în format electronic.

(5)

În conformitate cu articolul 28 alineatul (6) din Regulamentul (UE) 2016/679 și cu articolul 29 alineatul (6) din Regulamentul (UE) 2018/1725, operatorul și persoana împuternicită de operator pot alege să negocieze un contract individual care să conțină elementele obligatorii prevăzute la articolul 28 alineatele (3) și (4) din Regulamentul (UE) 2016/679 sau la articolul 29 alineatele (3) și (4) din Regulamentul (UE) 2018/1725 sau să recurgă, integral sau parțial, la clauzele contractuale standard adoptate de Comisie în temeiul articolului 28 alineatul (7) din Regulamentul (UE) 2016/679 și al articolului 29 alineatul (7) din Regulamentul (UE) 2018/1725.

(6)

Operatorul și persoana împuternicită de operator ar trebui să aibă libertatea de a include clauzele contractuale standard prevăzute în prezenta decizie în cadrul unui contract mai amplu sau de a adăuga alte clauze sau garanții suplimentare, atât timp cât acestea nu contravin, direct sau indirect, clauzelor contractuale standard sau nu aduc atingere drepturilor sau libertăților fundamentale ale persoanelor vizate. Recurgerea la clauzele contractuale standard nu aduce atingere niciunei obligații contractuale a operatorului și/sau a persoanei împuternicite de operator de a asigura respectarea privilegiilor și a imunităților aplicabile.

(7)

Clauzele contractuale standard ar trebui să includă atât norme de fond, cât și norme procedurale. În conformitate cu articolul 28 alineatul (3) din Regulamentul (UE) 2016/679 și cu articolul 29 alineatul (3) din Regulamentul (UE) 2018/1725, clauzele contractuale standard ar trebui, de asemenea, să impună operatorului și persoanei împuternicite de operator să stabilească obiectul și durata prelucrării, natura și scopurile prelucrării, tipul de date cu caracter personal vizate, categoriile de persoane vizate, precum și obligațiile și drepturile operatorului.

(8)

În temeiul articolului 28 alineatul (3) din Regulamentul (UE) 2016/679 și al articolului 29 alineatul (3) din Regulamentul (UE) 2018/1725, persoana împuternicită de operator trebuie să îl informeze imediat pe operator în cazul în care, în opinia sa, o instrucțiune a operatorului încalcă Regulamentul (UE) 2016/679 sau Regulamentul (UE) 2018/1725 sau alte dispoziții ale dreptului Uniunii sau ale dreptului intern referitoare la protecția datelor.

(9)

Dacă o persoană împuternicită de operator recurge la o altă persoană împuternicită de operator pentru a efectua activități specifice, ar trebui să se aplice cerințele specifice prevăzute la articolul 28 alineatele (2) și (4) din Regulamentul (UE) 2016/679 sau la articolul 29 alineatele (2) și (4) din Regulamentul (UE) 2018/1725. În special, este necesară o autorizație scrisă prealabilă, specifică sau generală. Indiferent dacă această autorizație prealabilă este specifică sau generală, prima persoană împuternicită de operator ar trebui să întocmească și să mențină la zi o listă a celorlalte persoane împuternicite de operator.

(10)

Pentru a îndeplini cerințele prevăzute la articolul 46 alineatul (1) din Regulamentul (UE) 2016/679, Comisia a adoptat clauze contractuale standard în temeiul articolului 46 alineatul (2) litera (c) din Regulamentul (UE) 2016/679. Aceste clauze îndeplinesc, de asemenea, cerințele prevăzute la articolul 28 alineatele (3) și (4) din Regulamentul (UE) 2016/679 pentru transferurile de date de la operatorii care fac obiectul Regulamentului (UE) 2016/679 către persoane împuternicite de operatori care nu intră sub incidența domeniului de aplicare teritorială a respectivului regulament sau de la persoanele împuternicite de operatori care fac obiectul Regulamentului (UE) 2016/679 către subcontractanți care nu intră sub incidența domeniului de aplicare teritorială a regulamentului menționat. Aceste clauze contractuale standard nu pot fi utilizate drept clauze contractuale standard în sensul capitolului V din Regulamentul (UE) 2016/679.

(11)

Terții ar trebui să poată deveni parte la clauzele contractuale standard pe durata întregului ciclu de viață al contractului.

(12)

Modul în care funcționează clauzele contractuale standard ar trebui analizat în cadrul evaluării periodice a Regulamentului (UE) 2016/679, prevăzută la articolul 97 din regulamentul menționat.

(13)

Autoritatea Europeană pentru Protecția Datelor și Comitetul european pentru protecția datelor au fost consultate în conformitate cu articolul 42 alineatele (1) și (2) din Regulamentul (UE) 2018/1725 și au emis un aviz comun la 14 ianuarie 2021 (3), care a fost luat în considerare în cadrul activității de elaborare a prezentei decizii.

(14)

Măsurile prevăzute în prezenta decizie sunt conforme cu avizul comitetului instituit în temeiul articolului 93 din Regulamentul (UE) 2016/679 și al articolului 96 alineatul (2) din Regulamentul (UE) 2018/1725,

ADOPTĂ PREZENTA DECIZIE:

Articolul 1

Clauzele contractuale standard stabilite în anexă îndeplinesc cerințele aplicabile contractelor dintre operatori și persoanele împuternicite de operatori prevăzute la articolul 28 alineatele (3) și (4) din Regulamentul (UE) 2016/679 și la articolul 29 alineatele (3) și (4) din Regulamentul (UE) 2018/1725.

Articolul 2

Clauzele contractuale standard stabilite în anexă pot fi utilizate în cadrul contractelor dintre un operator și o persoană împuternicită de operator care prelucrează date cu caracter personal în numele operatorului.

Articolul 3

Comisia analizează aplicarea practică a clauzelor contractuale standard stabilite în anexă pe baza tuturor informațiilor disponibile, în cadrul evaluării periodice prevăzute la articolul 97 din Regulamentul (UE) 2016/679.

Articolul 4

Prezenta decizie intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

Adoptată la Bruxelles, 4 iunie 2021.

Pentru Comisie

Președintele

Ursula VON DER LEYEN


(1)  JO L 119, 4.5.2016, p. 1.

(2)  JO L 295, 21.11.2018, p. 39.

(3)  Avizul comun 1/2021 al CEPD și AEPD referitor la Decizia de punere în aplicare a Comisiei Europene privind clauzele contractuale standard dintre operatori și persoanele împuternicite de operatori referitoare la chestiunile prevăzute la articolul 28 alineatul (7) din Regulamentul (UE) 2016/679 și la articolul 29 alineatul (7) din Regulamentul (UE) 2018/1725.


ANEXĂ

Clauze contractuale standard

SECȚIUNEA I

Clauza 1

Scopul și domeniul de aplicare

(a)

Scopul prezentelor clauze contractuale standard („clauzele”) este de a asigura conformitatea cu [a se alege opțiunea relevantă: OPȚIUNEA 1: articolul 28 alineatele (3) și (4) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)]/[OPȚIUNEA 2: articolul 29 alineatele (3) și (4) din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE].

(b)

Operatorii și persoanele împuternicite de operatori enumerate în anexa I au convenit asupra prezentelor clauze pentru a asigura conformitatea cu articolul 28 alineatele (3) și (4) din Regulamentul (UE) 2016/679 și cu articolul 29 alineatele (3) și (4) din Regulamentul (UE) 2018/1725.

(c)

Prezentele clauze se aplică prelucrării datelor cu caracter personal, astfel cum se specifică în anexa II.

(d)

Anexele I-IV fac parte integrantă din clauze.

(e)

Prezentele clauze nu aduc atingere obligațiilor care îi revin operatorului în temeiul Regulamentului (UE) 2016/679 și/sau al Regulamentului (UE) 2018/1725.

(f)

Prezentele clauze nu asigură, prin ele însele, respectarea obligațiilor referitoare la transferurile internaționale în conformitate cu capitolul V din Regulamentul (UE) 2016/679 și/sau din Regulamentul (UE) 2018/1725.

Clauza 2

Caracterul invariabil al clauzelor

(a)

Părțile se angajează să nu modifice clauzele, cu excepția cazului în care trebuie să completeze sau să actualizeze informațiile prevăzute în anexe.

(b)

Acest lucru nu împiedică părțile să includă clauzele contractuale standard prevăzute în prezentele clauze în cadrul unui contract mai amplu sau să adauge alte clauze sau garanții suplimentare, atât timp cât acestea nu contravin, direct sau indirect, clauzelor sau nu aduc atingere drepturilor sau libertăților fundamentale ale persoanelor vizate.

Clauza 3

Interpretare

(a)

În cazul în care prezentele clauze utilizează termenii definiți în Regulamentul (UE) 2016/679 sau în Regulamentul (UE) 2018/1725, acești termeni au același sens ca în regulament.

(b)

Prezentele clauze trebuie citite și interpretate în lumina dispozițiilor Regulamentului (UE) 2016/679 sau ale Regulamentului (UE) 2018/1725.

(c)

Prezentele clauze nu trebuie interpretate într-un mod care contravine drepturilor și obligațiilor prevăzute în Regulamentul (UE) 2016/679/Regulamentul (UE) 2018/1725 sau într-un mod care aduce atingere drepturilor sau libertăților fundamentale ale persoanelor vizate.

Clauza 4

Ierarhie

În cazul unei contradicții între prezentele clauze și dispozițiile acordurilor conexe dintre părți care există la momentul în care sunt convenite prezentele clauze sau care sunt încheiate ulterior, prevalează prezentele clauze.

Clauza 5 – Opțională

Clauză privind aderarea unor părți noi

(a)

O entitate care nu este parte la prezentele clauze poate adera, cu acordul tuturor părților, la prezentele clauze în orice moment în calitate de operator sau de persoană împuternicită de operator prin completarea anexelor și prin semnarea anexei I.

(b)

După completarea și semnarea anexelor menționate la litera (a), entitatea care a aderat este considerată drept parte la prezentele clauze și are drepturile și obligațiile unui operator sau ale unei persoane împuternicite de operator, în conformitate cu desemnarea sa prevăzută în anexa I.

(c)

Entitatea care a aderat nu are drepturi sau obligații ce decurg din prezentele clauze pentru perioada anterioară dobândirii calității de parte.

SECȚIUNEA II

OBLIGAȚIILE PĂRȚILOR

Clauza 6

Descrierea prelucrării (prelucrărilor) datelor

Operațiunile de prelucrare, în special categoriile de date cu caracter personal și scopurile prelucrării datelor cu caracter personal în numele operatorului, sunt specificate în detaliu în anexa II.

Clauza 7

Obligațiile părților

7.1.   Instrucțiuni

(a)

Persoana împuternicită de operator prelucrează datele cu caracter personal numai pe baza unor instrucțiuni documentate din partea operatorului, cu excepția cazului în care persoanei împuternicite de operator îi revine această obligație în temeiul dreptului Uniunii sau al dreptului intern care i se aplică. În acest caz, persoana împuternicită de operator îl informează pe operator cu privire la respectiva obligație juridică înainte de prelucrare, cu excepția situației în care legislația interzice o astfel de informare din motive importante legate de interesul public. De asemenea, operatorul poate da instrucțiuni ulterioare pe întreaga durată a prelucrării datelor cu caracter personal. Aceste instrucțiuni trebuie să fie întotdeauna documentate.

(b)

Persoana împuternicită de operator îl informează imediat pe operator în cazul în care, în opinia sa, instrucțiunile date de operator încalcă Regulamentul (UE) 2016/679/Regulamentul (UE) 2018/1725 sau dispozițiile aplicabile ale dreptului Uniunii sau ale dreptului intern referitoare la protecția datelor.

7.2.   Limitarea scopului

Persoana împuternicită de operator prelucrează datele cu caracter personal numai în scopul (scopurile) specific(e) al(e) prelucrării, astfel cum se prevede în anexa II, cu excepția cazului în care primește instrucțiuni suplimentare din partea operatorului.

7.3.   Durata prelucrării datelor cu caracter personal

Prelucrarea de către persoana împuternicită de operator are loc numai pe durata specificată în anexa II.

7.4.   Securitatea prelucrării

(a)

Persoana împuternicită de operator implementează cel puțin măsurile tehnice și organizatorice specificate în anexa III pentru a asigura securitatea datelor cu caracter personal. Printre aceste măsuri se numără protecția datelor împotriva unei încălcări a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată a datelor cu caracter personal sau la accesul neautorizat la acestea (încălcarea securității datelor cu caracter personal). La evaluarea nivelului adecvat de securitate, părțile iau în considerare în mod corespunzător stadiul actual al tehnologiei, costurile implementării, natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscurile la care sunt expuse persoanele vizate.

(b)

Persoana împuternicită de operator acordă membrilor personalului său acces la datele cu caracter personal care fac obiectul prelucrării numai în măsura în care acest lucru este strict necesar pentru executarea, gestionarea și monitorizarea contractului. Persoana împuternicită de operator se asigură că persoanele autorizate să prelucreze datele cu caracter personal primite s-au angajat să respecte confidențialitatea sau au o obligație statutară adecvată de confidențialitate.

7.5.   Date sensibile

Dacă prelucrarea implică date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate, date genetice sau date biometrice pentru identificarea unică a unei persoane fizice, date privind sănătatea sau date privind viața sexuală sau orientarea sexuală a unei persoane fizice sau date referitoare la condamnări penale și infracțiuni („date sensibile”), persoana împuternicită de operator aplică restricții specifice și/sau garanții suplimentare.

7.6.   Documentație și conformitate

(a)

Părțile trebuie să fie în măsură să demonstreze respectarea prezentelor clauze.

(b)

Persoana împuternicită de operator răspunde cu promptitudine și în mod adecvat cererilor de informații din partea operatorului cu privire la prelucrarea datelor în conformitate cu prezentele clauze.

(c)

Persoana împuternicită de operator pune la dispoziția operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute în prezentele clauze și care rezultă în mod direct din Regulamentul (UE) 2016/679 și/sau din Regulamentul (UE) 2018/1725. De asemenea, la cererea operatorului, persoana împuternicită de operator trebuie să permită efectuarea de audituri ale activităților de prelucrare care fac obiectul prezentelor clauze și să contribuie la aceste audituri, la intervale rezonabile sau dacă există indicii privind nerespectarea prezentelor clauze. În luarea unei decizii privind efectuarea unei analize sau a unui audit, operatorul poate ține seama de certificările relevante deținute de persoana împuternicită de operator.

(d)

Operatorul poate alege să efectueze el însuși auditul sau să mandateze în acest scop un auditor independent. Auditurile pot include, de asemenea, inspecții la sediile sau la instalațiile fizice ale persoanei împuternicite de operator și se efectuează, dacă este cazul, în urma transmiterii unui preaviz rezonabil.

(e)

La cerere, părțile pun la dispoziția autorității/autorităților de supraveghere competente informațiile menționate în prezenta clauză, inclusiv rezultatele oricărui audit.

7.7.   Recurgerea la subcontractanți

(a)

OPȚIUNEA 1: AUTORIZAȚIE SPECIFICĂ PREALABILĂ: Persoana împuternicită de operator nu subcontractează niciuna dintre operațiunile sale de prelucrare efectuate în numele operatorului în conformitate cu prezentele clauze unui subcontractant, fără autorizația scrisă specifică prealabilă din partea operatorului. Persoana împuternicită de operator depune cererea de acordare a autorizației specifice cu cel puțin [A SE SPECIFICA PERIOADA] înainte de recrutarea subcontractantului în cauză, însoțită de informațiile de care operatorul are nevoie pentru a lua o decizie privind acordarea autorizației. Lista subcontractanților autorizați de operator este prevăzută în anexa IV. Părțile au obligația să se asigure că anexa IV este actualizată.

OPȚIUNEA 2: AUTORIZAȚIE SCRISĂ GENERALĂ: Persoana împuternicită de operator deține autorizația generală din partea operatorului de a recruta subcontractanți care figurează pe o listă convenită. Persoana împuternicită de operator îl informează în mod specific în scris pe operator cu privire la orice modificări preconizate ale listei prin adăugarea sau înlocuirea subcontractanților cu cel puțin [A SE SPECIFICA PERIOADA] înainte, oferindu-i astfel operatorului suficient timp pentru a putea formula obiecții referitoare la aceste modificări înainte de recrutarea subcontractantului (subcontractanților) în cauză. Persoana împuternicită de operator îi furnizează operatorului informațiile de care acesta are nevoie pentru exercitarea dreptului de a formula obiecții.

(b)

În cazul în care persoana împuternicită de operator recrutează un subcontractant pentru a desfășura activități de prelucrare specifice (în numele operatorului), trebuie să efectueze recrutarea printr-un contract care să prevadă, pe fond, aceleași obligații în materie de protecție a datelor ca cele care îi revin persoanei împuternicite de operator în conformitate cu prezentele clauze. Persoana împuternicită de operator se asigură că subcontractantul respectă obligațiile care îi revin persoanei împuternicite de operator în temeiul prezentelor clauze și al Regulamentului (UE) 2016/679 și/sau al Regulamentului (UE) 2018/1725.

(c)

La cererea operatorului, persoana împuternicită de operator îi furnizează operatorului o copie a acestui contract de subcontractare și a oricăror modificări ulterioare. În măsura în care acest lucru este necesar pentru a proteja secretul de afaceri sau alte informații confidențiale, inclusiv date cu caracter personal, persoana împuternicită de operator poate să mascheze textul contractului înainte de a transmite copia.

(d)

Persoana împuternicită de operator rămâne pe deplin responsabilă față de operator pentru îndeplinirea obligațiilor subcontractantului în conformitate cu contractul său cu persoana împuternicită de operator. Persoana împuternicită de operator notifică operatorului orice nerespectare de către subcontractant a obligațiilor sale contractuale.

(e)

Persoana împuternicită de operator convine cu subcontractantul asupra unei clauze privind terțul beneficiar, conform căreia – în cazul în care persoana împuternicită de operator a dispărut în fapt, și-a încetat existența de drept sau a devenit insolvabil – operatorul are dreptul de a rezilia contractul cu subcontractantul și de a-i da subcontractantului instrucțiuni să șteargă sau să returneze datele cu caracter personal.

7.8.   Transferuri internaționale

(a)

Orice transfer de date către o țară terță sau o organizație internațională realizat de persoana împuternicită de operator are loc pe baza instrucțiunilor documentate din partea operatorului sau pentru a îndeplini o cerință specifică în temeiul dreptului Uniunii sau al dreptului intern care i se aplică persoanei împuternicite de operator și se desfășoară în conformitate cu capitolul V din Regulamentul (UE) 2016/679 sau din Regulamentul (UE) 2018/1725.

(b)

Operatorul este de acord că, în cazul în care persoana împuternicită de operator recrutează un subcontractant în conformitate cu clauza 7.7 pentru a desfășura activități de prelucrare specifice (în numele operatorului) și respectivele activități de prelucrare implică un transfer de date cu caracter personal în sensul capitolului V din Regulamentul (UE) 2016/679, persoana împuternicită de operator și subcontractantul pot asigura respectarea dispozițiilor prevăzute în capitolul V din Regulamentul (UE) 2016/679 prin recurgerea la clauzele contractuale standard adoptate de Comisie în conformitate cu articolul 46 alineatul (2) din Regulamentul (UE) 2016/679, cu condiția îndeplinirii condițiilor privind recurgerea la respectivele clauze contractuale standard.

Clauza 8

Asistența acordată operatorului

(a)

Persoana împuternicită de operator notifică imediat operatorului orice cerere primită din partea unei persoane vizate. Persoana împuternicită de operator răspunde cererii respective doar dacă a fost autorizată să facă acest lucru de către operator.

(b)

Persoana împuternicită de operator trebuie să îi acorde asistență operatorului în îndeplinirea obligațiilor acestuia de a răspunde cererilor formulate de persoanele vizate pentru a-și exercita drepturile, ținând seama de natura prelucrării. În îndeplinirea obligațiilor care îi revin în conformitate cu literele (a) și (b), persoana împuternicită de operator respectă instrucțiunile operatorului.

(c)

În plus față obligația persoanei împuternicite de operator de a-i acorda asistență operatorului în temeiul clauzei 8 litera (b), persoana împuternicită de operator îi acordă asistență acestuia și în ceea ce privește asigurarea respectării următoarelor obligații, ținând seama de natura prelucrării datelor și de informațiile aflate la dispoziția persoanei împuternicite de operator:

1.

obligația de a efectua o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal (o „evaluare a impactului asupra protecției datelor”), în cazul în care un tip de prelucrare este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice;

2.

obligația de a consulta autoritatea/autoritățile de supraveghere competentă/competente înainte de prelucrare, în cazul în care o evaluare a impactului asupra protecției datelor indică faptul că prelucrarea ar genera un risc ridicat în absența unor măsuri luate de operator pentru atenuarea riscului;

3.

obligația de a se asigura că datele cu caracter personal sunt exacte și actualizate, prin înștiințarea operatorului fără întârziere în cazul în care persoana împuternicită de operator a luat cunoștință de faptul că datele cu caracter personal prelucrate sunt inexacte sau nu mai sunt de actualitate;

4.

obligațiile prevăzute la [OPȚIUNEA 1] articolul 32 din Regulamentul (UE) 2016/679/[OPȚIUNEA 2] articolul 33, la articolele 36–38 din Regulamentul (UE) 2018/1725.

(d)

Părțile stabilesc în anexa III măsurile tehnice și organizatorice adecvate prin intermediul cărora persoana împuternicită de operator are obligația de a-i acorda asistență operatorului în aplicarea prezentei clauze, precum și domeniul de aplicare și amploarea asistenței necesare.

Clauza 9

Notificarea încălcării securității datelor cu caracter personal

În cazul în care are loc o încălcare a securității datelor cu caracter personal, persoana împuternicită de operator cooperează cu operatorul și îi acordă asistența necesară pentru ca acesta să își respecte obligațiile care îi revin în temeiul articolelor 33 și 34 din Regulamentul (UE) 2016/679 sau în temeiul articolelor 34 și 35 din Regulamentul (UE) 2018/1725, dacă este cazul, ținând seama de natura prelucrării și de informațiile aflate la dispoziția persoanei împuternicite de operator.

9.1.   Încălcarea securității datelor privind date prelucrate de operator

În cazul în care are loc o încălcare a securității datelor cu caracter personal privind date prelucrate de operator, persoana împuternicită de operator îi acordă asistența operatorului:

(a)

în notificarea încălcării securității datelor cu caracter personal către autoritatea/autoritățile de supraveghere competentă/competente, fără întârzieri nejustificate, după ce operatorul a luat cunoștință de aceasta, dacă este cazul / (cu excepția cazului în care încălcarea securității datelor cu caracter personal nu este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice);

(b)

în obținerea următoarelor informații care, în temeiul [OPȚIUNEA 1] articolului 33 alineatul (3) din Regulamentul (UE) 2016/679/[OPȚIUNEA 2] articolului 34 alineatul (3) din Regulamentul (UE) 2018/1725, trebuie să fie menționate în notificarea adresată operatorului și să includă cel puțin:

1.

natura datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile și numărul aproximativ de persoane vizate în cauză, precum și categoriile și numărul aproximativ de înregistrări de date cu caracter personal în cauză;

2.

consecințele probabile ale încălcării securității datelor cu caracter personal;

3.

măsurile luate sau propuse spre a fi luate de operator pentru a remedia încălcarea securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.

Atunci când și în măsura în care nu este posibil să se furnizeze toate aceste informații în același timp, notificarea inițială trebuie să conțină informațiile disponibile la momentul respectiv, informațiile suplimentare urmând să fie puse la dispoziție ulterior, fără întârzieri nejustificate, pe măsură ce devin disponibile.

(c)

în respectarea, în temeiul [OPȚIUNEA 1] articolului 34 din Regulamentul (UE) 2016/679/[OPȚIUNEA 2] articolului 35 din Regulamentul (UE) 2018/1725, a obligației de a informa, fără întârzieri nejustificate, persoana vizată cu privire la încălcarea securității datelor cu caracter personal, atunci când încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice.

9.2.   Încălcarea securității datelor privind date prelucrate de persoana împuternicită de operator

În cazul în care are loc o încălcare a securității datelor cu caracter personal privind date prelucrate de persoana împuternicită de operator, aceasta din urmă, după ce a luat cunoștință de respectiva încălcare, transmite, fără întârzieri nejustificate, o notificare operatorului. Această notificare trebuie să conțină cel puțin:

(a)

o descriere a caracterului încălcării securității datelor (inclusiv, acolo unde este posibil, categoriile de persoane vizate în cauză, precum și numărul aproximativ de persoane vizate și de înregistrări de date în cauză);

(b)

coordonatele unui punct de contact de unde se pot obține mai multe informații privind încălcarea securității datelor cu caracter personal;

(c)

consecințele probabile ale încălcării securității datelor și măsurile luate sau propuse spre a fi luate pentru a remedia încălcarea securității datelor, inclusiv pentru atenuarea eventualelor sale efecte negative.

Atunci când și în măsura în care nu este posibil să se furnizeze toate aceste informații în același timp, notificarea inițială trebuie să conțină informațiile disponibile la momentul respectiv, informațiile suplimentare urmând să fie puse la dispoziție ulterior, fără întârzieri nejustificate, pe măsură ce devin disponibile.

Părțile stabilesc în anexa III toate celelalte elemente pe care trebuie să le furnizeze persoana împuternicită de operator atunci când îi acordă asistență operatorului pentru ca acesta să își respecte obligațiile care îi revin în temeiul [OPȚIUNEA 1] articolelor 33 și 34 din Regulamentul (UE) 2016/679/[OPȚIUNEA 2] articolelor 34 și 35 din Regulamentul (UE) 2018/1725.

SECȚIUNEA III

DISPOZIȚII FINALE

Clauza 10

Nerespectarea clauzelor și rezilierea

(a)

Fără a aduce atingere dispozițiilor Regulamentului (UE) 2016/679 și/sau ale Regulamentului (UE) 2018/1725, în cazul în care persoana împuternicită de operator nu respectă obligațiile care îi revin în temeiul prezentelor clauze, operatorul poate da instrucțiuni persoanei împuternicite de operator să suspende prelucrarea datelor cu caracter personal până când aceasta din urmă se conformează prezentelor clauze sau până când se reziliază contractul. Persoana împuternicită de operator îl informează cu promptitudine pe operator în cazul în care nu este în măsură să respecte prezentele clauze, indiferent de motiv.

(b)

Operatorul are dreptul de a rezilia contractul în măsura în care acesta are ca obiect prelucrarea datelor cu caracter personal în conformitate cu prezentele clauze, dacă:

1.

prelucrarea datelor cu caracter personal de către persoana împuternicită de operator a fost suspendată de operator în temeiul literei (a) și dacă respectarea prezentelor clauze nu este restabilită într-un termen rezonabil și, în orice caz, în termen de o lună de la suspendare;

2.

persoana împuternicită de operator a încălcat în mod substanțial sau repetat prezentele clauze sau obligațiile care îi revin în temeiul Regulamentului (UE) 2016/679 și/sau al Regulamentului (UE) 2018/1725;

3.

persoana împuternicită de operator nu respectă o decizie cu caracter obligatoriu pronunțată de o instanță competentă sau emisă de autoritatea/de autoritățile de supraveghere competentă/competente în legătură cu obligațiile care îi revin în temeiul prezentelor clauze sau în temeiul Regulamentului (UE) 2016/679 și/sau al Regulamentului (UE) 2018/1725.

(c)

Persoana împuternicită de operator are dreptul de a rezilia contractul în măsura în care acesta are ca obiect prelucrarea datelor cu caracter personal în temeiul prezentelor clauze, în cazul în care, după ce l-a informat pe operator că instrucțiunile sale încalcă obligațiile juridice aplicabile în conformitate cu clauza 7.1 litera (b), operatorul insistă asupra respectării instrucțiunilor.

(d)

În urma rezilierii contractului, la alegerea operatorului, persoana împuternicită de operator șterge toate datele cu caracter personal prelucrate în numele operatorului și îi prezintă operatorului dovada faptului că a întreprins această acțiune sau îi returnează operatorului toate datele cu caracter personal și șterge copiile existente, cu excepția cazului în care dreptul Uniunii sau dreptul intern prevede obligația stocării datelor cu caracter personal. Până la ștergerea sau returnarea datelor, operatorul trebuie să continue să asigure respectarea acestor clauze.


ANEXA I

Lista părților

Operator (operatori): [identitatea și datele de contact ale operatorului (operatorilor) și, după caz, ale responsabilului cu protecția datelor al operatorului]

1.

Nume: …

 

Adresă: …

 

Numele, funcția și datele de contact ale persoanei de contact: …

 

Semnătura și data aderării: …

2.

 

Persoană (persoane) împuternicită (împuternicite) de operator: [identitatea și datele de contact ale persoanei (persoanelor) împuternicite de operator și, după caz, ale responsabilului cu protecția datelor al persoanei împuternicite de operator]

1.

Nume: …

 

Adresă: …

 

Numele, funcția și datele de contact ale persoanei de contact: …

 

Semnătura și data aderării: …

2.

 


ANEXA II

Descrierea prelucrării

Categoriile de persoane vizate ale căror date cu caracter personal sunt prelucrate

Categoriile de date cu caracter personal prelucrate

Datele sensibile prelucrate (dacă este cazul) și restricțiile sau garanțiile aplicate care țin seama pe deplin de caracterul datelor și de riscurile implicate, cum ar fi, de exemplu, limitarea strictă a scopului, restricții legate de acces (inclusiv permiterea accesului doar pentru membrii personalului care au urmat o formare specializată), ținerea unei evidențe a accesului la date, restricții aplicabile transferurilor ulterioare sau măsuri de securitate suplimentare.

Natura prelucrării

Scopul (scopurile) în care sunt prelucrate datele cu caracter personal în numele operatorului

Durata prelucrării

Pentru prelucrarea de către persoane împuternicite de operator (subcontractanți), a se specifica și obiectul, natura și durata prelucrării


ANEXA III

Măsuri tehnice și organizatorice, inclusiv măsuri tehnice și organizatorice menite să asigure securitatea datelor

NOTĂ EXPLICATIVĂ:

Măsurile tehnice și organizatorice trebuie să fie descrise în mod concret, nu generic.

Descrierea măsurilor de securitate tehnice și organizatorice implementate de persoana (persoanele) împuternicită (împuternicite) de operator (inclusiv orice certificări relevante) pentru a asigura un nivel de securitate adecvat, ținând seama de natura, domeniul de aplicare, contextul și scopul prelucrării, precum și riscurile pentru drepturile și libertățile persoanelor fizice. Exemple de eventuale măsuri:

 

măsuri de pseudonimizare și criptare a datelor cu caracter personal;

 

măsuri de asigurare a confidențialității, a integrității, a disponibilității și a rezilienței continue ale sistemelor și serviciilor de prelucrare;

 

măsuri de asigurare a capacității de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;

 

procese de testare, evaluare și apreciere cu regularitate a eficacității măsurilor tehnice și organizatorice pentru a se asigura securitatea prelucrării;

 

măsuri de identificare și autorizare a utilizatorilor;

 

măsuri de asigurare a protecției datelor cu caracter personal pe durata transmiterii;

 

măsuri de asigurare a protecției datelor cu caracter personal pe durata stocării;

 

măsuri de asigurare a securității fizice a locurilor în care sunt prelucrate date cu caracter personal;

 

măsuri de asigurare a înregistrării evenimentelor;

 

măsuri de asigurare a configurării sistemului, inclusiv a configurării implicite;

 

măsuri privind guvernanța și gestionarea sistemelor informatice interne și a securității informatice;

 

măsuri de certificare/asigurare a proceselor și a produselor;

 

măsuri de asigurare a reducerii la minimum a datelor;

 

măsuri de asigurare a calității datelor;

 

măsuri de asigurare a păstrării limitate a datelor;

 

măsuri de asigurare a asumării responsabilității;

 

măsuri care permit portabilitatea datelor și asigură ștergerea acestora]

În cazul transferurilor către persoane împuternicite de operator (subcontractanți), a se descrie și măsurile tehnice și organizatorice specifice pe care trebuie să le ia persoana împuternicită de operator (subcontractantul) pentru a putea să îi acorde asistență operatorului.

Descrierea măsurilor tehnice și organizatorice specifice pe care trebuie să le ia persoana împuternicită de operator pentru a putea să îi acorde asistență operatorului.


ANEXA IV

Lista subcontractanților

NOTĂ EXPLICATIVĂ:

Prezenta anexă trebuie să fie completată în cazul unei autorizări specifice a subcontractanților [clauza 7.7 litera (a), opțiunea 1].

Operatorul a autorizat recurgerea la următorii subcontractanți:

1.

Nume: …

 

Adresă: …

 

Numele, funcția și datele de contact ale persoanei de contact: …

 

Descrierea prelucrării (inclusiv o delimitare clară a responsabilităților în cazul în care sunt autorizați mai mulți subcontractanți): …

2.