(a)

Namen teh standardnih pogodbenih določil je zagotoviti skladnost z zahtevami Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Splošna uredba o varstvu podatkov) (1) glede prenosa osebnih podatkov v tretjo državo.

(b)

Pogodbenici(-e):

sta (so) se dogovorili(-e) o teh standardnih pogodbenih določilih (v nadaljnjem besedilu: določila).

(c)

Ta določila se uporabljajo za prenos osebnih podatkov, kot je določeno v Prilogi I.B.

(d)

Dodatek k tem določilom in v njem navedene priloge so sestavni del teh določil.

(a)

Ta določila določajo ustrezne zaščitne ukrepe, vključno z izvršljivimi pravicami posameznikov, na katere se nanašajo osebni podatki, in učinkovitimi pravnimi sredstvi v skladu s členom 46(1) in členom 46(2)(c) Uredbe (EU) 2016/679, ter, kar zadeva prenose podatkov od upravljavcev obdelovalcem in/ali od obdelovalcev obdelovalcem, standardna pogodbena določila v skladu s členom 28(7) Uredbe (EU) 2016/679, če se ne spremenijo, razen zaradi izbire ustreznega modula ali modulov oziroma zaradi dodajanja ali posodabljanja informacij v Dodatku. To pogodbenicam ne preprečuje, da standardna pogodbena določila iz teh določil vključijo v širšo pogodbo in/ali dodajo druga določila ali dodatne zaščitne ukrepe, če neposredno ali posredno ne nasprotujejo tem določilom ali posegajo v temeljne pravice ali svoboščine posameznikov, na katere se nanašajo osebni podatki.

(b)

Ta določila ne posegajo v obveznosti, ki veljajo za izvoznika podatkov na podlagi Uredbe (EU) 2016/679.

(a)

Posamezniki, na katere se nanašajo osebni podatki, se lahko sklicujejo na ta določila in jih uveljavljajo kot upravičene tretje osebe v razmerju do izvoznika podatkov in/ali uvoznika podatkov, z naslednjimi izjemami:

(b)

Odstavek (a) ne posega v pravice, ki jih imajo posamezniki, na katere se nanašajo osebni podatki, na podlagi Uredbe (EU) 2016/679.

(a)

Kadar se v teh določilih uporabljajo izrazi, ki so opredeljeni v Uredbi (EU) 2016/679, imajo ti izrazi isti pomen kot v navedeni uredbi.

(b)

Ta določila se berejo in razlagajo v skladu z določbami Uredbe (EU) 2016/679.

(c)

Ta določila se ne razlagajo na način, ki bi bil v nasprotju s pravicami in obveznostmi iz Uredbe (EU) 2016/679.

(a)

Subjekt, ki ni pogodbenica teh določil, se lahko s soglasjem pogodbenic k tem določilom kadar koli pridruži kot izvoznik podatkov ali kot uvoznik podatkov, in sicer tako, da izpolni Dodatek in podpiše Prilogo I.A.

(b)

Subjekt, ki se pridruži, se po tem, ko je izpolnil Dodatek in podpisal Prilogo I.A, obravnava kot pogodbenica teh določil ter ima pravice in obveznosti izvoznika podatkov ali uvoznika podatkov glede na to, kako je opredeljen v Prilogi I.A.

(c)

Subjekt, ki se pridruži, nima nobenih pravic ali obveznosti na podlagi teh določil iz obdobja, preden je postal pogodbenica.

(i)

je pridobil predhodno privolitev posameznika, na katerega se nanašajo osebni podatki;

(ii)

je to potrebno za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov v okviru posebnih upravnih, regulativnih ali sodnih postopkov ali

(iii)

je to potrebno za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe.

(a)

Da se posameznikom, na katere se nanašajo osebni podatki, omogoči učinkovito uveljavljanje njihovih pravic v skladu z določilom 10, jih uvoznik podatkov neposredno ali prek izvoznika podatkov obvesti:

(b)

Odstavek (a) se ne uporablja, kadar posameznik, na katerega se nanašajo osebni podatki, že ima te informacije, tudi če mu jih je zagotovil že sam izvoznik podatkov, ali če se izkaže, da je take informacije nemogoče zagotoviti ali pa bi to pomenilo nesorazmeren napor za uvoznika podatkov. V slednjem primeru uvoznik podatkov, kolikor je mogoče, poskrbi, da informacije objavi.

(c)

Če posameznik, na katerega se nanašajo osebni podatki, tako zahteva, mu dajo pogodbenice brezplačno na voljo kopijo teh določil, vključno z Dodatkom, kot so ga izpolnile. Kolikor je to potrebno za varovanje poslovnih skrivnosti ali drugih zaupnih informacij, vključno z osebnimi podatki, lahko pogodbenice pred posredovanjem kopije zakrijejo občutljive in zaupne dele besedila Dodatka, vendar zagotovijo smiseln povzetek, če posameznik, na katerega se nanašajo osebni podatki, drugače ne bi mogel razumeti njegove vsebine ali uveljavljati svojih pravic. Pogodbenice posameznika, na katerega se nanašajo osebni podatki, na njegovo zahtevo obvestijo o razlogih za zakritje delov besedila v obsegu, v katerem to lahko storijo, ne da bi razkrile zadevne informacije.

(d)

Odstavki (a) do (c) ne posegajo v obveznosti izvoznika podatkov na podlagi členov 13 in 14 Uredbe (EU) 2016/679.

(a)

Vsaka pogodbenica zagotovi, da so osebni podatki točni in po potrebi posodobljeni. Uvoznik podatkov sprejme vse razumne ukrepe za zagotovitev, da se osebni podatki, ki so glede na namen ali namene obdelave netočni, nemudoma izbrišejo ali popravijo.

(b)

Če pogodbenica ugotovi, da osebni podatki, ki jih je prenesla ali prejela, niso točni ali da so zastareli, o tem brez nepotrebnega odlašanja obvesti drugo pogodbenico.

(c)

Uvoznik podatkov zagotovi, da so osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno glede na namen ali namene obdelave.

(a)

Uvoznik podatkov, in med prenosom tudi izvoznik podatkov, izvedeta ustrezne tehnične in organizacijske ukrepe za zagotovitev varnosti osebnih podatkov, vključno z zaščito pred kršitvijo varnosti, ki bi povzročila naključno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop (v nadaljnjem besedilu: kršitev varnosti osebnih podatkov). Pri določanju ustrezne ravni varnosti ustrezno upoštevata najnovejši tehnološki razvoj, stroške izvajanja ter naravo, obseg, okoliščine in namen ali namene obdelave ter z obdelavo povezana tveganja za posameznike, na katere se nanašajo osebni podatki. Pogodbenice zlasti preučijo možnost uporabe šifriranja ali psevdonimizacije, tudi med prenosom, kadar je namen obdelave mogoče izpolniti na ta način.

(b)

Pogodbenice so se dogovorile o tehničnih in organizacijskih ukrepih, ki so določeni v Prilogi II. Uvoznik podatkov z rednimi pregledi zagotovi, da ti ukrepi še naprej zagotavljajo ustrezno raven varnosti.

(c)

Uvoznik podatkov zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon.

(d)

V primeru kršitve varnosti osebnih podatkov v zvezi z osebnimi podatki, ki jih na podlagi teh določil obdeluje uvoznik podatkov, ta sprejme ustrezne ukrepe za odpravo kršitve varnosti osebnih podatkov, vključno z ukrepi za ublažitev morebitnih škodljivih učinkov kršitve.

(e)

Če bodo zaradi kršitve varnosti osebnih podatkov verjetno ogrožene pravice in svoboščine fizičnih oseb, uvoznik podatkov brez nepotrebnega odlašanja obvesti izvoznika podatkov in pristojni nadzorni organ v skladu z določilom 13. Takšno obvestilo vsebuje i) opis narave kršitve (po možnosti vključno s kategorijami in približnim številom zadevnih posameznikov, na katere se nanašajo osebni podatki, ter evidenc osebnih podatkov), ii) njene verjetne posledice, iii) sprejete ali predlagane ukrepe za odpravo kršitve in iv) podatke o kontaktni točki, pri kateri je mogoče dobiti več informacij. Če uvoznik podatkov ne more zagotoviti vseh informacij hkrati, lahko to stori postopoma brez nepotrebnega dodatnega odlašanja.

(f)

Če bo zaradi kršitve varnosti osebnih podatkov verjetno nastalo veliko tveganje za pravice in svoboščine fizičnih oseb, uvoznik podatkov po potrebi v sodelovanju z izvoznikom podatkov brez nepotrebnega odlašanja obvesti tudi zadevne posameznike, na katere se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov in njeni naravi, skupaj z informacijami iz točk ii) do iv) odstavka (e), razen če je uvoznik podatkov izvedel ukrepe za znatno zmanjšanje tveganja za pravice ali svoboščine fizičnih oseb ali če bi obveščanje vključevalo nesorazmerna prizadevanja. V slednjem primeru uvoznik podatkov objavi javno sporočilo ali sprejme podoben ukrep za obvestitev javnosti o kršitvi varnosti osebnih podatkov.

(g)

Uvoznik podatkov dokumentira vsa pomembna dejstva v zvezi s kršitvijo varnosti osebnih podatkov, vključno z njenimi učinki in morebitnimi sprejetimi popravnimi ukrepi, ter vodi evidenco o tem.

(i)

gre za prenos v državo, za katero je bil v skladu s členom 45 Uredbe (EU) 2016/679 sprejet sklep o ustreznosti, ki zajema nadaljnji prenos;

(ii)

tretja oseba kako drugače zagotovi ustrezne zaščitne ukrepe v skladu s členom 46 ali 47 Uredbe (EU) 2016/679 v zvezi z zadevno obdelavo;

(iii)

tretja oseba z uvoznikom podatkov sklene zavezujoč akt, ki zagotavlja enako raven varstva podatkov, kot se zagotavlja v skladu s temi določili, uvoznik podatkov pa izvozniku podatkov zagotovi kopijo teh zaščitnih ukrepov;

(iv)

je to potrebno za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov v okviru posebnih upravnih, regulativnih ali sodnih postopkov

(v)

je to potrebno za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe ali

(vi)

kadar se ne uporablja noben od drugih pogojev, če je uvoznik podatkov pridobil izrecno privolitev posameznika, na katerega se nanašajo osebni podatki, za nadaljnji prenos v konkretni situaciji, potem ko ga je obvestil o namenu, identiteti prejemnika in morebitnih tveganjih takega prenosa zaradi pomanjkanja ustreznih zaščitnih ukrepov za varstvo podatkov. V tem primeru uvoznik podatkov o tem obvesti izvoznika podatkov in mu na njegovo zahtevo pošlje kopijo informacij, ki jih je zagotovil posamezniku, na katerega se nanašajo osebni podatki.

(a)

Vsaka pogodbenica je sposobna dokazati, da spoštuje obveznosti, ki jih ima na podlagi teh določil. Uvoznik podatkov hrani zlasti ustrezno dokumentacijo o dejavnostih obdelave, ki se izvajajo pod njegovo odgovornostjo.

(b)

Uvoznik podatkov da tako dokumentacijo na voljo pristojnemu nadzornemu organu, če ta tako zahteva.

(a)

Uvoznik podatkov obdeluje osebne podatke samo v skladu z dokumentiranimi navodili izvoznika podatkov. Izvoznik podatkov lahko daje taka navodila ves čas trajanja pogodbe.

(b)

Uvoznik podatkov nemudoma obvesti izvoznika podatkov, če ne more upoštevati njegovih navodil.

(a)

Uvoznik podatkov, in med prenosom tudi izvoznik podatkov, izvedeta ustrezne tehnične in organizacijske ukrepe za zagotovitev varnosti podatkov, vključno z zaščito pred kršitvijo varnosti, ki bi povzročila naključno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do zadevnih podatkov (v nadaljnjem besedilu: kršitev varnosti osebnih podatkov). Pri določanju ustrezne ravni varnosti pogodbenice ustrezno upoštevajo najnovejši tehnološki razvoj, stroške izvajanja ter naravo, obseg, okoliščine in namen ali namene obdelave ter z obdelavo povezana tveganja za posameznike, na katere se nanašajo osebni podatki. Pogodbenice zlasti preučijo možnost uporabe šifriranja ali psevdonimizacije, tudi med prenosom, kadar je namen obdelave mogoče izpolniti na ta način. V primeru psevdonimizacije ostanejo dodatne informacije za pripisovanje osebnih podatkov določenemu posamezniku, na katerega se nanašajo osebni podatki, po možnosti pod izključnim nadzorom izvoznika podatkov. Uvoznik podatkov za izpolnitev svojih obveznosti v skladu s tem odstavkom izvede vsaj tehnične in organizacijske ukrepe iz Priloge II. Uvoznik podatkov z rednimi pregledi zagotovi, da ti ukrepi še naprej zagotavljajo ustrezno raven varnosti.

(b)

Uvoznik podatkov članom svojega osebja odobri dostop do osebnih podatkov zgolj v obsegu, ki je nujno potreben za izvajanje, upravljanje in spremljanje pogodbe. Zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon.

(c)

V primeru kršitve varnosti osebnih podatkov v zvezi z osebnimi podatki, ki jih na podlagi teh določil obdeluje uvoznik podatkov, ta sprejme ustrezne ukrepe za odpravo kršitve, vključno z ukrepi za ublažitev škodljivih učinkov kršitve. Uvoznik podatkov po seznanitvi s kršitvijo brez nepotrebnega odlašanja obvesti tudi izvoznika podatkov. Takšno obvestilo vsebuje podatke o kontaktni točki, pri kateri je mogoče dobiti več informacij, opis narave kršitve (po možnosti vključno s kategorijami in približnim številom zadevnih posameznikov, na katere se nanašajo osebni podatki, ter evidenc osebnih podatkov), njene verjetne posledice ter sprejete ali predlagane ukrepe za odpravo kršitve, po potrebi vključno z ukrepi za ublažitev morebitnih škodljivih učinkov kršitve. Kadar in kolikor vseh informacij ni mogoče zagotoviti hkrati, začetno obvestilo vsebuje informacije, ki so takrat na voljo, nadaljnje informacije pa se takoj, ko so na voljo, predložijo brez nepotrebnega odlašanja.

(d)

Uvoznik podatkov sodeluje z izvoznikom podatkov in mu pomaga izpolniti obveznosti iz Uredbe (EU) 2016/679, zlasti da obvesti pristojni nadzorni organ in prizadete posameznike, na katere se nanašajo osebni podatki, pri čemer se upoštevajo narava obdelave in informacije, ki so na voljo uvozniku podatkov.

(i)

gre za nadaljnji prenos v državo, v zvezi s katero je bil v skladu s členom 45 Uredbe (EU) 2016/679 sprejet sklep o ustreznosti, ki zajema nadaljnji prenos;

(ii)

tretja oseba kako drugače zagotovi ustrezne zaščitne ukrepe v skladu s členom 46 ali 47 Uredbe (EU) 2016/679 v zvezi z zadevno obdelavo;

(iii)

je nadaljnji prenos potreben za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov v okviru posebnih upravnih, regulativnih ali sodnih postopkov ali

(iv)

je nadaljnji prenos potreben za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe.

(a)

Uvoznik podatkov nemudoma in ustrezno obravnava poizvedbe izvoznika podatkov, ki se nanašajo na obdelavo na podlagi teh določil.

(b)

Pogodbenice so sposobne dokazati skladnost s temi določili. Uvoznik podatkov hrani zlasti ustrezno dokumentacijo o dejavnostih obdelave, ki se izvajajo v imenu izvoznika podatkov.

(c)

Uvoznik podatkov da izvozniku podatkov na voljo vse informacije, ki so potrebne za dokazovanje izpolnjevanja obveznosti iz teh določil, ter na zahtevo izvoznika podatkov omogoči revizije dejavnosti obdelave, zajetih s temi določili, in k njim prispeva v razumnih časovnih presledkih ali če obstajajo znaki neskladnosti. Izvoznik podatkov lahko pri odločanju za pregled ali revizijo upošteva ustrezne certifikate uvoznika podatkov.

(d)

Izvoznik podatkov se lahko odloči, da bo revizijo izvedel sam ali da bo za to pooblastil neodvisnega revizorja. Revizije lahko vključujejo inšpekcijske preglede v prostorih ali fizičnih objektih uvoznika podatkov in se po potrebi izvedejo v razumnem roku od obvestila o njih.

(e)

Pogodbenice pristojnemu nadzornemu organu na zahtevo omogočijo dostop do informacij iz odstavkov (b) in (c), vključno z rezultati revizij.

(a)

Izvoznik podatkov je obvestil uvoznika podatkov, da deluje kot obdelovalec po navodilih svojega upravljavca ali upravljavcev, uvozniku podatkov pa da ta navodila na voljo pred obdelavo.

(b)

Uvoznik podatkov obdeluje osebne podatke samo v skladu z dokumentiranimi navodili upravljavca, kot mu jih je sporočil izvoznik podatkov, in v skladu z morebitnimi dodatnimi dokumentiranimi navodili izvoznika podatkov. Takšna dodatna navodila ne smejo biti v nasprotju z navodili upravljavca. Upravljavec ali izvoznik podatkov lahko dasta nadaljnja dokumentirana navodila glede obdelave podatkov kadar koli v času trajanja pogodbe.

(c)

Uvoznik podatkov nemudoma obvesti izvoznika podatkov, če ne more upoštevati njegovih navodil. Kadar uvoznik podatkov ne more upoštevati navodil upravljavca, izvoznik podatkov o tem nemudoma obvesti upravljavca.

(d)

Izvoznik podatkov jamči, da je uvozniku podatkov naložil enake obveznosti glede varstva podatkov, kot so določene v pogodbi ali drugem pravnem aktu na podlagi prava Unije ali države članice med upravljavcem in izvoznikom podatkov (5).

(a)

Uvoznik podatkov, in med prenosom tudi izvoznik podatkov, izvedeta ustrezne tehnične in organizacijske ukrepe za zagotovitev varnosti podatkov, vključno z zaščito pred kršitvijo varnosti, ki bi povzročila naključno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do zadevnih podatkov (v nadaljnjem besedilu: kršitev varnosti osebnih podatkov). Pri določanju ustrezne ravni varnosti ustrezno upoštevata najnovejši tehnološki razvoj, stroške izvajanja ter naravo, obseg, okoliščine in namen ali namene obdelave ter z obdelavo povezana tveganja za posameznike, na katere se nanašajo osebni podatki. Pogodbenice zlasti preučijo možnost uporabe šifriranja ali psevdonimizacije, tudi med prenosom, kadar je namen obdelave mogoče izpolniti na ta način. V primeru psevdonimizacije ostanejo dodatne informacije za pripisovanje osebnih podatkov določenemu posamezniku, na katerega se nanašajo osebni podatki, po možnosti pod izključnim nadzorom izvoznika podatkov ali upravljavca. Uvoznik podatkov za izpolnitev svojih obveznosti v skladu s tem odstavkom izvede vsaj tehnične in organizacijske ukrepe iz Priloge II. Uvoznik podatkov z rednimi pregledi zagotovi, da ti ukrepi še naprej zagotavljajo ustrezno raven varnosti.

(b)

Uvoznik podatkov članom svojega osebja odobri dostop do podatkov zgolj v obsegu, ki je nujno potreben za izvajanje, upravljanje in spremljanje pogodbe. Zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon.

(c)

V primeru kršitve varnosti osebnih podatkov v zvezi z osebnimi podatki, ki jih na podlagi teh določil obdeluje uvoznik podatkov, ta sprejme ustrezne ukrepe za odpravo kršitve, vključno z ukrepi za ublažitev škodljivih učinkov kršitve. Uvoznik podatkov po seznanitvi s kršitvijo brez nepotrebnega odlašanja obvesti tudi izvoznika podatkov ter, kadar je to primerno in izvedljivo, upravljavca. Takšno obvestilo vsebuje podatke o kontaktni točki, pri kateri je mogoče dobiti več informacij, opis narave kršitve (po možnosti vključno s kategorijami in približnim številom zadevnih posameznikov, na katere se nanašajo osebni podatki, ter evidenc osebnih podatkov), njene verjetne posledice ter sprejete ali predlagane ukrepe za odpravo kršitve varnosti podatkov, vključno z ukrepi za ublažitev morebitnih škodljivih učinkov kršitve. Kadar in kolikor vseh informacij ni mogoče zagotoviti hkrati, začetno obvestilo vsebuje informacije, ki so takrat na voljo, nadaljnje informacije pa se takoj, ko so na voljo, predložijo brez nepotrebnega odlašanja.

(d)

Uvoznik podatkov sodeluje z izvoznikom podatkov in mu pomaga izpolniti obveznosti iz Uredbe (EU) 2016/679, zlasti da obvesti svojega upravljavca, da lahko ta nato obvesti pristojni nadzorni organ in prizadete posameznike, na katere se nanašajo osebni podatki, pri čemer se upoštevajo narava obdelave in informacije, ki so na voljo uvozniku podatkov.

(i)

gre za nadaljnji prenos v državo, v zvezi s katero je bil v skladu s členom 45 Uredbe (EU) 2016/679 sprejet sklep o ustreznosti, ki zajema nadaljnji prenos;

(ii)

tretja oseba kako drugače zagotovi ustrezne zaščitne ukrepe v skladu s členom 46 ali 47 Uredbe (EU) 2016/679;

(iii)

je nadaljnji prenos potreben za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov v okviru posebnih upravnih, regulativnih ali sodnih postopkov ali

(iv)

je nadaljnji prenos potreben za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe.

(a)

Uvoznik podatkov nemudoma in ustrezno obravnava poizvedbe izvoznika podatkov ali upravljavca, ki se nanašajo na obdelavo na podlagi teh določil.

(b)

Pogodbenice so sposobne dokazati skladnost s temi določili. Uvoznik podatkov hrani zlasti ustrezno dokumentacijo o dejavnostih obdelave, ki se izvajajo v imenu upravljavca.

(c)

Uvoznik podatkov da vse informacije, ki so potrebne za dokazovanje izpolnjevanja obveznosti iz teh določil, na voljo izvozniku podatkov, ki jih zagotovi upravljavcu.

(d)

Uvoznik podatkov omogoči izvozniku podatkov izvedbo revizij dejavnosti obdelave, zajetih s temi določili, in k njim prispeva v razumnih časovnih presledkih ali če obstajajo znaki neskladnosti. Enako velja, kadar izvoznik podatkov zahteva revizijo po navodilih upravljavca. Izvoznik podatkov lahko pri odločanju za revizijo upošteva ustrezne certifikate uvoznika podatkov.

(e)

Kadar se revizija opravi po navodilih upravljavca, mu da izvoznik podatkov na voljo rezultate revizije.

(f)

Izvoznik podatkov se lahko odloči, da bo revizijo izvedel sam ali da bo za to pooblastil neodvisnega revizorja. Revizije lahko vključujejo inšpekcijske preglede v prostorih ali fizičnih objektih uvoznika podatkov in se po potrebi izvedejo v razumnem roku od obvestila o njih.

(g)

Pogodbenice pristojnemu nadzornemu organu na zahtevo omogočijo dostop do informacij iz odstavkov (b) in (c), vključno z rezultati revizij.

(a)

Izvoznik podatkov obdeluje osebne podatke samo v skladu z dokumentiranimi navodili uvoznika podatkov, ki deluje kot njegov upravljavec.

(b)

Izvoznik podatkov nemudoma obvesti uvoznika podatkov, če ne more upoštevati teh navodil, med drugim kadar takšna navodila kršijo Uredbo (EU) 2016/679 ali drugo zakonodajo Unije ali države članice o varstvu podatkov.

(c)

Uvoznik podatkov se vzdrži vseh dejanj, ki bi izvozniku podatkov preprečila izpolnjevanje obveznosti iz Uredbe (EU) 2016/679, tudi v kontekstu podobdelave ali glede sodelovanja s pristojnimi nadzornimi organi.

(d)

Po koncu opravljanja storitev obdelave izvoznik podatkov v skladu z odločitvijo uvoznika podatkov bodisi izbriše vse osebne podatke, ki so bili obdelani v imenu uvoznika podatkov, in mu potrdi, da je to storil, bodisi uvozniku podatkov vrne vse osebne podatke, obdelane v njegovem imenu, in izbriše obstoječe kopije.

(a)

Pogodbenice izvedejo ustrezne tehnične in organizacijske ukrepe za zagotovitev varnosti podatkov, tudi med prenosom, in zaščite pred kršitvijo varnosti, ki bi povzročila naključno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop (v nadaljnjem besedilu: kršitev varnosti osebnih podatkov). Pri določanju ustrezne ravni varnosti ustrezno upoštevajo najnovejši tehnološki razvoj, stroške izvajanja, naravo osebnih podatkov (7), naravo, obseg, okoliščine in namen ali namene obdelave ter z obdelavo povezana tveganja za posameznike, na katere se nanašajo osebni podatki, zlasti pa preučijo možnost uporabe šifriranja ali psevdonimizacije, tudi med prenosom, kadar je namen obdelave mogoče izpolniti na ta način.

(b)

Izvoznik podatkov pomaga uvozniku podatkov zagotoviti ustrezno varnost podatkov v skladu z odstavkom (a). Če je kršena varnost osebnih podatkov v zvezi z osebnimi podatki, ki jih izvoznik podatkov obdeluje na podlagi teh določil, izvoznik podatkov po seznanitvi s kršitvijo brez nepotrebnega odlašanja obvesti uvoznika podatkov in mu pomaga pri obravnavanju kršitve.

(c)

Izvoznik podatkov zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon.

(a)

Pogodbenice so sposobne dokazati skladnost s temi določili.

(b)

Izvoznik podatkov da uvozniku podatkov na voljo vse informacije, ki so potrebne za dokazovanje izpolnjevanja obveznosti na podlagi teh določil, ter omogoči revizije in k njim prispeva.

(a)

MOŽNOST 1: POSEBNO PREDHODNO DOVOLJENJE Uvoznik podatkov nobenih dejavnosti obdelave, ki jih v imenu izvoznika podatkov izvaja na podlagi teh določil, ne odda v izvajanje podobdelovalcu brez predhodnega posebnega pisnega dovoljenja izvoznika podatkov. Uvoznik podatkov predloži zahtevo za posebno dovoljenje vsaj [določite časovno obdobje] pred zaposlitvijo zadevnega podobdelovalca ter priloži informacije, ki jih izvoznik podatkov potrebuje, da lahko odloči o dovoljenju. Podobdelovalci, ki jih je izvoznik podatkov že odobril, so navedeni na seznamu v Prilogi III. Pogodbenice redno posodabljajo Prilogo III.

MOŽNOST 2: SPLOŠNO PISNO DOVOLJENJE Uvoznik podatkov ima splošno dovoljenje izvoznika podatkov za zaposlitev podobdelovalcev z dogovorjenega seznama. Uvoznik podatkov izrecno pisno obvesti izvoznika podatkov o vseh nameravanih spremembah tega seznama z dodajanjem ali zamenjavo podobdelovalcev vsaj [določite časovno obdobje] vnaprej, s čimer izvozniku podatkov zagotovi dovolj časa, da lahko ugovarja takšnim spremembam še pred zaposlitvijo zadevnega podobdelovalca ali podobdelovalcev. Uvoznik podatkov zagotovi izvozniku podatkov informacije, ki jih ta potrebuje za uveljavljanje pravice do ugovora.

(b)

Kadar uvoznik podatkov zaposli podobdelovalca za izvajanje posebnih dejavnosti obdelave (v imenu izvoznika podatkov), to stori s pisno pogodbo, ki vsebinsko določa enake obveznosti glede varstva podatkov, kot so tiste, ki zavezujejo uvoznika podatkov na podlagi teh določil, tudi v smislu pravic upravičenih tretjih oseb za posameznike, na katere se nanašajo osebni podatki (8). Pogodbenice se strinjajo, da uvoznik podatkov s spoštovanjem tega določila izpolnjuje svoje obveznosti iz določila 8.8. Uvoznik podatkov zagotovi, da podobdelovalec izpolnjuje obveznosti, ki v skladu s temi določili veljajo za uvoznika podatkov.

(c)

Uvoznik podatkov zagotovi izvozniku podatkov na njegovo zahtevo kopijo take pogodbe s podobdelovalcem in vseh njenih naknadnih sprememb. Kolikor je to potrebno za varovanje poslovnih skrivnosti ali drugih zaupnih informacij, vključno z osebnimi podatki, lahko uvoznik podatkov pred posredovanjem kopije zakrije občutljive in zaupne dele pogodbe.

(d)

Uvoznik podatkov ostane v celoti odgovoren izvozniku podatkov za izpolnjevanje obveznosti, ki jih ima podobdelovalec na podlagi pogodbe z uvoznikom podatkov. Uvoznik podatkov obvesti izvoznika podatkov o kakršnem koli neizpolnjevanju obveznosti podobdelovalca na podlagi navedene pogodbe.

(e)

Uvoznik podatkov se s podobdelovalcem dogovori o klavzuli v korist tretjega, v skladu s katero ima izvoznik podatkov, če uvoznik podatkov dejansko izgine, pravno preneha obstajati ali postane insolventen, pravico, da odpove pogodbo s podobdelovalcem in podobdelovalcu naroči, naj osebne podatke izbriše ali vrne.

(a)

MOŽNOST 1: POSEBNO PREDHODNO DOVOLJENJE Uvoznik podatkov nobenih dejavnosti obdelave, ki jih v imenu izvoznika podatkov izvaja na podlagi teh določil, ne odda v izvajanje podobdelovalcu brez predhodnega posebnega pisnega dovoljenja upravljavca. Uvoznik podatkov predloži zahtevo za posebno dovoljenje vsaj [določite časovno obdobje] pred zaposlitvijo zadevnega podobdelovalca ter priloži informacije, ki jih upravljavec potrebuje, da lahko odloči o dovoljenju. O taki zaposlitvi obvesti izvoznika podatkov. Podobdelovalci, ki jih je upravljavec že odobril, so navedeni na seznamu v Prilogi III. Pogodbenice redno posodabljajo Prilogo III.

MOŽNOST 2: SPLOŠNO PISNO DOVOLJENJE Uvoznik podatkov ima splošno dovoljenje upravljavca za zaposlitev podobdelovalcev z dogovorjenega seznama. Uvoznik podatkov izrecno pisno obvesti upravljavca o vseh nameravanih spremembah tega seznama z dodajanjem ali zamenjavo podobdelovalcev vsaj [določite časovno obdobje] vnaprej, s čimer upravljavcu zagotovi dovolj časa, da lahko ugovarja takšnim spremembam še pred zaposlitvijo zadevnega podobdelovalca ali podobdelovalcev. Uvoznik podatkov zagotovi upravljavcu informacije, ki jih ta potrebuje za uveljavljanje pravice do ugovora. Uvoznik podatkov obvesti izvoznika podatkov o zaposlitvi zadevnega podobdelovalca ali podobdelovalcev.

(b)

Kadar uvoznik podatkov zaposli podobdelovalca za izvajanje posebnih dejavnosti obdelave (v imenu upravljavca), to stori s pisno pogodbo, ki vsebinsko določa enake obveznosti glede varstva podatkov, kot so tiste, ki zavezujejo uvoznika podatkov na podlagi teh določil, tudi v smislu pravic upravičenih tretjih oseb za posameznike, na katere se nanašajo osebni podatki (9). Pogodbenice se strinjajo, da uvoznik podatkov s spoštovanjem tega določila izpolnjuje svoje obveznosti iz določila 8.8. Uvoznik podatkov zagotovi, da podobdelovalec izpolnjuje obveznosti, ki v skladu s temi določili veljajo za uvoznika podatkov.

(c)

Uvoznik podatkov zagotovi izvozniku podatkov ali upravljavcu na njuno zahtevo kopijo take pogodbe s podobdelovalcem in vseh njenih naknadnih sprememb. Kolikor je to potrebno za varovanje poslovnih skrivnosti ali drugih zaupnih informacij, vključno z osebnimi podatki, lahko uvoznik podatkov pred posredovanjem kopije zakrije občutljive in zaupne dele pogodbe.

(d)

Uvoznik podatkov ostane v celoti odgovoren izvozniku podatkov za izpolnjevanje obveznosti, ki jih ima podobdelovalec na podlagi pogodbe z uvoznikom podatkov. Uvoznik podatkov obvesti izvoznika podatkov o kakršnem koli neizpolnjevanju obveznosti podobdelovalca na podlagi navedene pogodbe.

(e)

Uvoznik podatkov se s podobdelovalcem dogovori o klavzuli v korist tretjega, v skladu s katero ima izvoznik podatkov, če uvoznik podatkov dejansko izgine, pravno preneha obstajati ali postane insolventen, pravico, da odpove pogodbo s podobdelovalcem in podobdelovalcu naroči, naj osebne podatke izbriše ali vrne.

(a)

Uvoznik podatkov, po potrebi s pomočjo izvoznika podatkov, obravnava vse poizvedbe in zahteve, ki jih prejme od posameznika, na katerega se nanašajo osebni podatki, v zvezi z obdelavo njegovih osebnih podatkov in uveljavljanjem njegovih pravic na podlagi teh določil, brez nepotrebnega odlašanja in najpozneje v enem mesecu od prejema poizvedbe ali zahteve (10). Uvoznik podatkov sprejme ustrezne ukrepe za olajšanje takšnih poizvedb in zahtev ter uveljavljanja pravic posameznika, na katerega se nanašajo osebni podatki. Vse informacije, ki se zagotovijo posamezniku, na katerega se nanašajo osebni podatki, so v razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku.

(b)

Uvoznik podatkov posamezniku, na katerega se nanašajo osebni podatki, na njegovo zahtevo zlasti brezplačno:

(c)

Kadar uvoznik podatkov obdeluje osebne podatke za namene neposrednega trženja, preneha obdelavo v take namene, če posameznik, na katerega se nanašajo osebni podatki, temu nasprotuje.

(d)

Uvoznik podatkov ne sprejme odločitve, ki bi temeljila izključno na avtomatizirani obdelavi prenesenih osebnih podatkov (v nadaljnjem besedilu: avtomatizirana odločitev) in bi imela pravne učinke za posameznika, na katerega se nanašajo osebni podatki, ali bi nanj podobno pomembno vplivala, razen če je pridobil izrecno privolitev posameznika, na katerega se nanašajo osebni podatki, ali če je za to pooblaščen v skladu z zakoni namembne države, pod pogojem, da taki zakoni določajo ustrezne ukrepe za zaščito pravic in zakonitih interesov posameznika, na katerega se nanašajo osebni podatki. V tem primeru uvoznik podatkov po potrebi v sodelovanju z izvoznikom podatkov:

(e)

Kadar so zahteve posameznika, na katerega se nanašajo osebni podatki, pretirane, zlasti ker se ponavljajo, lahko uvoznik podatkov zaračuna razumno pristojbino, pri čemer upošteva upravne stroške ugoditve zahtevi, ali zavrne ukrepanje v zvezi z zahtevo.

(f)

Uvoznik podatkov lahko zavrne zahtevo posameznika, na katerega se nanašajo osebni podatki, če je taka zavrnitev dovoljena v skladu z zakoni namembne države ter je potrebna in sorazmerna v demokratični družbi za zaščito enega od ciljev iz člena 23(1) Uredbe (EU) 2016/679.

(g)

Če namerava uvoznik podatkov zavrniti zahtevo posameznika, na katerega se nanašajo osebni podatki, ga obvesti o razlogih za zavrnitev ter o možnosti vložitve pritožbe pri pristojnem nadzornem organu in/ali uveljavljanja sodnega varstva.

(a)

Uvoznik podatkov nemudoma obvesti izvoznika podatkov o vsaki zahtevi, ki jo prejme od posameznika, na katerega se nanašajo osebni podatki. Na to zahtevo sam ne odgovori, razen če ga je za to pooblastil izvoznik podatkov.

(b)

Uvoznik podatkov pomaga izvozniku podatkov izpolniti njegove obveznosti, da odgovori na zahteve posameznikov, na katere se nanašajo osebni podatki, za uveljavljanje njihovih pravic v skladu z Uredbo (EU) 2016/679. V zvezi s tem pogodbenice v Prilogi II ob upoštevanju narave obdelave določijo ustrezne tehnične in organizacijske ukrepe, s katerimi se zagotovi pomoč, ter področje in obseg potrebne pomoči.

(c)

Uvoznik podatkov pri izpolnjevanju svojih obveznosti iz odstavkov (a) in (b) ravna v skladu z navodili izvoznika podatkov.

(a)

Uvoznik podatkov nemudoma obvesti izvoznika podatkov in po potrebi upravljavca o vsaki zahtevi, ki jo prejme od posameznika, na katerega se nanašajo osebni podatki, ne da bi odgovoril na to zahtevo, razen če ga je za to pooblastil upravljavec.

(b)

Uvoznik podatkov po potrebi v sodelovanju z izvoznikom podatkov pomaga upravljavcu izpolniti njegove obveznosti, da odgovori na zahteve posameznikov, na katere se nanašajo osebni podatki, za uveljavljanje njihovih pravic v skladu z Uredbo (EU) 2016/679 oziroma Uredbo (EU) 2018/1725, če se uporablja slednja. V zvezi s tem pogodbenice v Prilogi II ob upoštevanju narave obdelave določijo ustrezne tehnične in organizacijske ukrepe, s katerimi se zagotovi pomoč, ter področje in obseg potrebne pomoči.

(c)

Uvoznik podatkov pri izpolnjevanju svojih obveznosti iz odstavkov (a) in (b) ravna v skladu z navodili upravljavca, kot mu jih je sporočil izvoznik podatkov.

(a)

Uvoznik podatkov v pregledni in lahko dostopni obliki z individualnim obvestilom ali na svojem spletišču obvesti posameznike, na katere se nanašajo osebni podatki, o kontaktni točki, ki je pooblaščena za obravnavo pritožb. Nemudoma obravnava vse pritožbe, ki jih prejme od posameznika, na katerega se nanašajo osebni podatki.

[MOŽNOST: Uvoznik podatkov se strinja, da lahko posamezniki, na katere se nanašajo osebni podatki, brezplačno vložijo pritožbo tudi pri neodvisnem organu za reševanje sporov (11). Posameznike, na katere se nanašajo osebni podatki, na način iz odstavka (a) obvesti, da tak mehanizem pravnega varstva obstaja in da ga niso primorani uporabljati ali slediti določenemu zaporedju pri uveljavljanju pravnega varstva.]

(b)

Pri sporu med posameznikom, na katerega se nanašajo osebni podatki, in eno od pogodbenic glede skladnosti s temi določili si ta pogodbenica po najboljših močeh prizadeva za pravočasno sporazumno rešitev spora. Pogodbenice se medsebojno obveščajo o takih sporih in po potrebi sodelujejo pri njihovem reševanju.

(c)

Kadar se posameznik, na katerega se nanašajo osebni podatki, sklicuje na pravico upravičene tretje osebe v skladu z določilom 3, uvoznik podatkov sprejme odločitev posameznika, na katerega se nanašajo osebni podatki, da:

(d)

Pogodbenice soglašajo, da posameznika, na katerega se nanašajo osebni podatki, lahko zastopa neprofitni organ, organizacija ali združenje pod pogoji iz člena 80(1) Uredbe (EU) 2016/679.

(e)

Uvoznik podatkov spoštuje odločitev, ki je zavezujoča v skladu z veljavno zakonodajo EU ali zakonodajo države članice.

(f)

Uvoznik podatkov se strinja, da izbira posameznika, na katerega se nanašajo osebni podatki, ne bo posegala v njegove materialne in postopkovne pravice do uveljavljanja pravnih sredstev v skladu z veljavno zakonodajo.

(a)

Vsaka pogodbenica odgovarja drugim pogodbenicam za kakršno koli škodo, ki jim jo povzroči s kršitvijo teh določil.

(b)

Vsaka pogodbenica je odgovorna posamezniku, na katerega se nanašajo osebni podatki, ta pa je upravičen do nadomestila za vso premoženjsko ali nepremoženjsko škodo, ki mu jo povzroči pogodbenica s tem, da krši pravice upravičenih tretjih oseb na podlagi teh določil. To ne posega v odgovornost izvoznika podatkov na podlagi Uredbe (EU) 2016/679.

(c)

Kadar je za škodo, ki je zaradi kršitve teh določil povzročena posamezniku, na katerega se nanašajo osebni podatki, odgovorna več kot ena pogodbenica, so vse odgovorne pogodbenice skupno in solidarno odgovorne, posameznik, na katerega se nanašajo osebni podatki, pa ima pravico, da na sodišču vloži tožbo proti kateri koli od teh pogodbenic.

(d)

Pogodbenice se strinjajo, da če je ena od pogodbenic odgovorna v skladu z odstavkom (c), lahko od drugih pogodbenic zahteva povračilo dela nadomestila, ki ustreza odgovornosti teh pogodbenic za škodo.

(e)

Uvoznik podatkov se ne more sklicevati na ravnanje obdelovalca ali podobdelovalca, da bi se izognil lastni odgovornosti.

(a)

Vsaka pogodbenica odgovarja drugim pogodbenicam za kakršno koli škodo, ki jim jo povzroči zaradi kršitve teh določil.

(b)

Uvoznik podatkov je odgovoren posamezniku, na katerega se nanašajo osebni podatki, ta pa je upravičen do nadomestila za vso premoženjsko ali nepremoženjsko škodo, ki mu jo povzroči uvoznik podatkov ali njegov podobdelovalec s tem, da krši pravice upravičenih tretjih oseb na podlagi teh določil.

(c)

Ne glede na odstavek (b) je izvoznik podatkov odgovoren posamezniku, na katerega se nanašajo osebni podatki, ta pa je upravičen do nadomestila za vso premoženjsko ali nepremoženjsko škodo, ki mu jo povzroči izvoznik podatkov ali uvoznik podatkov (ali njegov podobdelovalec) s tem, da krši pravice upravičenih tretjih oseb na podlagi teh določil. To ne posega v odgovornost izvoznika podatkov in, kadar je izvoznik podatkov obdelovalec, ki deluje v imenu upravljavca, v odgovornost upravljavca v skladu z Uredbo (EU) 2016/679 oziroma Uredbo (EU) 2018/1725, če se uporablja slednja.

(d)

Pogodbenice se strinjajo, da če je izvoznik podatkov odgovoren v skladu z odstavkom (c) za škodo, ki jo povzroči uvoznik podatkov (ali njegov podobdelovalec), lahko od uvoznika podatkov zahteva povračilo dela nadomestila, ki ustreza odgovornosti uvoznika podatkov za škodo.

(e)

Kadar je za škodo, ki je zaradi kršitve teh določil povzročena posamezniku, na katerega se nanašajo osebni podatki, odgovorna več kot ena pogodbenica, so vse odgovorne pogodbenice skupno in solidarno odgovorne, posameznik, na katerega se nanašajo osebni podatki, pa ima pravico, da na sodišču vloži tožbo proti kateri koli od teh pogodbenic.

(f)

Pogodbenice se strinjajo, da če je ena od pogodbenic odgovorna v skladu z odstavkom (e), lahko od drugih pogodbenic zahteva del nadomestila, ki ustreza odgovornosti teh pogodbenic za škodo.

(g)

Uvoznik podatkov se ne more sklicevati na ravnanje podobdelovalca, da bi se izognil lastni odgovornosti.

(a)

[Če ima izvoznik podatkov ustanovitev v državi članici EU:] Pristojni nadzorni organ je nadzorni organ, ki je odgovoren za zagotavljanje skladnosti izvoznika podatkov z Uredbo (EU) 2016/679, kar zadeva prenos podatkov, kot je naveden v Prilogi I.C.

[Če izvoznik podatkov nima ustanovitve v državi članici EU, vendar spada v ozemeljsko področje uporabe Uredbe (EU) 2016/679 v skladu z njenim členom 3(2) in je imenoval predstavnika v skladu s členom 27(1) Uredbe (EU) 2016/679:] Pristojni nadzorni organ je nadzorni organ države članice, v kateri ima ustanovitev predstavnik v smislu člena 27(1) Uredbe (EU) 2016/679, kot je naveden v Prilogi I.C.

[Če izvoznik podatkov nima ustanovitve v državi članici EU, vendar spada v ozemeljsko področje uporabe Uredbe (EU) 2016/679 v skladu z njenim členom 3(2), pri čemer mu ni treba imenovati predstavnika v skladu s členom 27(2) Uredbe (EU) 2016/679:] Pristojni nadzorni organ je nadzorni organ ene od držav članic, v kateri so posamezniki, na katere se nanašajo osebni podatki, ki se prenesejo na podlagi teh določil v zvezi s ponujanjem blaga ali storitev tem posameznikom, ali katerih ravnanje se spremlja, kot je navedeno v Prilogi I.C.

(b)

Uvoznik podatkov se strinja, da se bo podvrgel pristojnosti pristojnega nadzornega organa in z njim sodeloval v vseh postopkih, katerih namen je zagotoviti skladnost s temi določili. Uvoznik podatkov se zlasti strinja, da bo odgovoril na poizvedbe, privolil v revizije in ravnal v skladu z ukrepi, ki jih je sprejel nadzorni organ, vključno s popravnimi in izravnalnimi ukrepi. Nadzornemu organu predloži pisno potrdilo, da so bili sprejeti potrebni ukrepi.

(a)

Pogodbenice jamčijo, da nimajo razloga za domnevo, da zakoni in prakse v namembni tretji državi, ki se uporabljajo za obdelavo osebnih podatkov s strani uvoznika podatkov, vključno z morebitnimi zahtevami za razkritje osebnih podatkov ali ukrepi, ki dovoljujejo dostop javnim organom, uvozniku podatkov preprečujejo izpolnjevanje obveznosti iz teh določil. To temelji na razumevanju, da zakoni in prakse, ki spoštujejo bistvo temeljnih pravic in svoboščin ter ne presegajo tistega, kar je v demokratični družbi potrebno in sorazmerno za zaščito enega od ciljev iz člena 23(1) Uredbe (EU) 2016/679, niso v nasprotju s temi določili.

(b)

Pogodbenice izjavljajo, da so pri zagotavljanju jamstva iz odstavka (a) ustrezno upoštevale zlasti naslednje elemente:

(c)

Uvoznik podatkov jamči, da si je pri izvajanju ocene iz odstavka (b) po najboljših močeh prizadeval, da bi izvozniku podatkov zagotovil relevantne informacije, in se strinja, da bo še naprej sodeloval z izvoznikom podatkov pri zagotavljanju skladnosti s temi določili.

(d)

Pogodbenice soglašajo, da bodo dokumentirale oceno iz odstavka (b) in jo dale na voljo pristojnemu nadzornemu organu na njegovo zahtevo.

(e)

Uvoznik podatkov se strinja, da bo nemudoma obvestil izvoznika podatkov, če ima po tem, ko je privolil, da ga ta določila zavezujejo, in v času trajanja pogodbe razlog za domnevo, da zanj veljajo ali so začeli veljati zakoni ali prakse, ki niso v skladu z zahtevami iz odstavka (a), vključno s spremembo zakonov v tretji državi ali ukrepom (kot je zahteva za razkritje), v katerem je navedena uporaba takih zakonov v praksi, ki ni v skladu z zahtevami iz odstavka (a). [Za modul tri: Izvoznik podatkov obvestilo posreduje upravljavcu.]

(f)

Po obvestilu v skladu z odstavkom (e) ali če izvoznik podatkov iz drugih razlogov meni, da uvoznik podatkov ne more več izpolnjevati svojih obveznosti na podlagi teh določil, izvoznik podatkov nemudoma opredeli ustrezne ukrepe (kot so na primer tehnični ali organizacijski ukrepi za zagotovitev varnosti in zaupnosti), ki jih mora sprejeti izvoznik podatkov in/ali uvoznik podatkov za obravnavo situacije [za modul tri: po potrebi v posvetovanju z upravljavcem]. Izvoznik podatkov ustavi prenos podatkov, če meni, da ni mogoče zagotoviti ustreznih zaščitnih ukrepov za tak prenos, ali če mu je tako naročil [za modul tri: upravljavec ali] pristojni nadzorni organ. V tem primeru lahko izvoznik podatkov odpove pogodbo, če ta zadeva obdelavo osebnih podatkov na podlagi teh določil. Če pogodba vključuje več kot dve pogodbenici, lahko izvoznik podatkov uveljavlja to pravico do odpovedi le v zvezi z zadevno pogodbenico, razen če so se pogodbenice dogovorile drugače. Če je pogodba odpovedana v skladu s tem določilom, se uporabi določilo 16(d) in (e).

(a)

Uvoznik podatkov se strinja, da bo nemudoma obvestil izvoznika podatkov in po možnosti posameznika, na katerega se nanašajo osebni podatki (po potrebi s pomočjo izvoznika podatkov), če:

[Za modul tri: Izvoznik podatkov obvestilo posreduje upravljavcu.]

(b)

Če uvoznik podatkov v skladu z zakonodajo namembne države ne sme obvestiti izvoznika podatkov in/ali posameznika, na katerega se nanašajo osebni podatki, se uvoznik podatkov strinja, da si bo po najboljših močeh prizadeval pridobiti opustitev prepovedi, da bi posredoval čim več informacij in čim prej. Uvoznik podatkov se strinja, da bo dokumentiral svoja prizadevanja, da jih bo lahko dokazal na zahtevo izvoznika podatkov.

(c)

Kadar to dovoljujejo zakoni namembne države, se uvoznik podatkov strinja, da bo izvozniku podatkov v rednih časovnih presledkih v času trajanja pogodbe zagotovil čim več ustreznih informacij o prejetih zahtevah (zlasti o številu zahtev, vrsti zahtevanih podatkov, organih prosilcih, o tem, ali so bili zahtevki izpodbijani, in o izidu takih izpodbijanj itd.). [Za modul tri: Izvoznik podatkov informacije posreduje upravljavcu.]

(d)

Uvoznik podatkov se strinja, da bo informacije v skladu z odstavki (a) do (c) hranil za čas trajanja pogodbe in jih dal na voljo pristojnemu nadzornemu organu, če bo ta tako zahteval.

(e)

Odstavki (a) do (c) ne posegajo v obveznost uvoznika podatkov v skladu z določilom 14(e) in določilom 16, da nemudoma obvesti izvoznika podatkov, kadar teh določil ne more spoštovati.

(a)

Uvoznik podatkov se strinja, da bo pregledal zakonitost zahteve za razkritje, zlasti, ali zahteva ostaja v okviru pooblastil, ki jih ima javni organ prosilec, in da jo bo izpodbijal, če bo po skrbni oceni ugotovil obstoj utemeljenih razlogov za domnevo, da je zahteva nezakonita v skladu z zakoni namembne države, veljavnimi obveznostmi po mednarodnem pravu in načeli mednarodne pravne kurtoazije. Uvoznik podatkov si pod enakimi pogoji prizadeva za možnost pritožbe. Pri izpodbijanju zahteve uvoznik podatkov zahteva začasne ukrepe za začasno prekinitev učinkov zahteve, dokler pristojni sodni organ ne odloči o vsebini. Zahtevanih osebnih podatkov ne razkrije, dokler ni k temu primoran v skladu z veljavnimi postopkovnimi pravili. Te zahteve ne posegajo v obveznosti uvoznika podatkov na podlagi določila 14(e).

(b)

Uvoznik podatkov se strinja, da bo dokumentiral svojo pravno oceno in kakršno koli izpodbijanje zahteve za razkritje ter v obsegu, ki ga dovoljujejo zakoni namembne države, dokumentacijo dal na voljo izvozniku podatkov. Prav tako jo bo dal na voljo pristojnemu nadzornemu organu, če bo ta tako zahteval. [Za modul tri: Izvoznik podatkov da oceno na voljo upravljavcu.]

(c)

Uvoznik podatkov se strinja, da bo pri odgovoru na zahtevo za razkritje na podlagi razumne razlage zahteve zagotovil minimalno dopustljivo količino informacij.

(a)

Uvoznik podatkov nemudoma obvesti izvoznika podatkov, če iz kakršnega koli razloga ne more zagotoviti skladnosti s temi določili.

(b)

Če uvoznik podatkov krši ta določila ali jih ne more spoštovati, lahko izvoznik podatkov začasno ustavi prenos osebnih podatkov uvozniku podatkov, dokler ni skladnost ponovno zagotovljena ali dokler ni pogodba odpovedana. To ne posega v določilo 14(f).

(c)

Izvoznik podatkov ima pravico odpovedati pogodbo, če ta zadeva obdelavo osebnih podatkov na podlagi teh določil, kadar:

V navedenih primerih izvoznik podatkov o takšni neskladnosti obvesti pristojni nadzorni organ [za modul tri: in upravljavca]. Če pogodba vključuje več kot dve pogodbenici, lahko izvoznik podatkov uveljavlja to pravico do odpovedi le v zvezi z zadevno pogodbenico, razen če so se pogodbenice dogovorile drugače.

(d)

[Za module ena, dva in tri: Osebne podatke, ki so bili preneseni pred odpovedjo pogodbe na podlagi odstavka (c), bi bilo treba v skladu z odločitvijo izvoznika podatkov bodisi takoj vrniti izvozniku podatkov bodisi jih v celoti izbrisati. Enako velja za vse kopije podatkov.] [Za modul štiri: Osebni podatki, ki jih je zbral izvoznik podatkov v EU in so bili preneseni pred odpovedjo pogodbe na podlagi odstavka (c), se takoj v celoti izbrišejo, vključno z njihovimi kopijami.] Uvoznik podatkov izvozniku podatkov potrdi izbris podatkov. Dokler se podatki ne izbrišejo ali vrnejo, uvoznik podatkov še naprej zagotavlja skladnost s temi določili. Če se za uvoznika podatkov uporabljajo lokalni zakoni, ki prepovedujejo vračanje ali izbris prenesenih osebnih podatkov, uvoznik podatkov jamči, da bo še naprej zagotavljal skladnost s temi določili in bo zadevne podatke obdeloval le v obsegu in tako dolgo, kot se zahteva v skladu z navedeno lokalno zakonodajo.

(e)

Vsaka pogodbenica lahko prekliče svoje strinjanje, da jo ta določila zavezujejo, če (i) Evropska komisija sprejme sklep v skladu s členom 45(3) Uredbe (EU) 2016/679, ki zajema prenos osebnih podatkov, za katerega se uporabljajo ta določila, ali če (ii) postane Uredba (EU) 2016/679 del pravnega okvira države, v katero se prenesejo osebni podatki. To ne posega v druge obveznosti, ki se uporabljajo za zadevno obdelavo na podlagi Uredbe (EU) 2016/679.

(a)

Vse spore, ki izhajajo iz teh določil, rešujejo sodišča države članice EU.

(b)

Pogodbenice se strinjajo, da so to sodišča ___ (navedite državo članico).

(c)

Posameznik, na katerega se nanašajo osebni podatki, lahko začne sodni postopek proti izvozniku podatkov in/ali uvozniku podatkov tudi pred sodišči države članice, v kateri ima običajno prebivališče.

(d)

Pogodbenice se strinjajo, da se bodo podvrgle pristojnosti takih sodišč.

Vse spore, ki izhajajo iz teh določil, rešujejo sodišča _____ (navedite državo).

1.

Naslov: …

Ime, položaj in kontaktni podatki kontaktne osebe: …

Dejavnosti, relevantne za podatke, ki se prenesejo na podlagi teh določil: …

Podpis in datum: …

Vloga (upravljavec/obdelovalec): …

2.

1.

Naslov: …

Ime, položaj in kontaktni podatki kontaktne osebe: …

Dejavnosti, relevantne za podatke, ki se prenesejo na podlagi teh določil: …

Podpis in datum: …

Vloga (upravljavec/obdelovalec): …

2.

1.

Naslov: …

Ime, položaj in kontaktni podatki kontaktne osebe: …

Opis obdelave (vključno z jasno razmejitvijo odgovornosti, če je odobrenih več podobdelovalcev): …

2.