7.6.2021   

SL

Uradni list Evropske unije

L 199/18


IZVEDBENI SKLEP KOMISIJE (EU) 2021/915

z dne 4. junija 2021

o standardnih pogodbenih določilih med upravljavci in obdelovalci v skladu s členom 28(7) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta ter členom 29(7) Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta

(Besedilo velja za EGP)

EVROPSKA KOMISIJA JE –

ob upoštevanju Pogodbe o delovanju Evropske unije,

ob upoštevanju Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (1) in zlasti člena 28(7) Uredbe,

ob upoštevanju Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (2) ter zlasti člena 29(7) Uredbe,

ob upoštevanju naslednjega:

(1)

Pojma upravljavec in obdelovalec sta bistvena za uporabo Uredbe (EU) 2016/679 in Uredbe (EU) 2018/1725. Upravljavec je fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov. V Uredbi (EU) 2018/1725 upravljavec pomeni institucijo ali organ Unije ali generalni direktorat ali kateri koli drug organizacijski subjekt, ki sam ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov. Kadar namene in sredstva obdelave določa posebni akt Unije, lahko upravljavca ali posebna merila za njegovo imenovanje določi Unija. Obdelovalec je fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca.

(2)

Za razmerje med upravljavci podatkov in obdelovalci podatkov, za katere velja Uredba (EU) 2016/679 in tudi kadar zanje velja Uredba (EU) 2018/1725, bi se moral uporabljati isti sklop standardnih pogodbenih določil. To pa zato, ker so bila zaradi usklajenega pristopa k varstvu osebnih podatkov po vsej Uniji in prostega pretoka osebnih podatkov v Uniji pravila o varstvu podatkov iz Uredbe (EU) 2016/679, ki se uporabljajo za javni sektor v državah članicah, in pravila o varstvu podatkov iz Uredbe (EU) 2018/1725, ki se uporabljajo za institucije, organe, urade in agencije Unije, med seboj kar najbolj usklajena.

(3)

Za zagotovitev skladnosti z zahtevami iz uredb (EU) 2016/679 in (EU) 2018/1725 bi smel upravljavec dejavnosti obdelave zaupati le tistim obdelovalcem, ki zagotavljajo zadostna jamstva, zlasti v smislu strokovnega znanja, zanesljivosti in virov za izvajanje tehničnih in organizacijskih ukrepov, ki bodo izpolnili zahteve iz Uredbe (EU) 2016/679 in Uredbe (EU) 2018/1725, vključno za varnost obdelave.

(4)

Obdelava, ki jo opravlja obdelovalec, mora biti urejena s pogodbo ali drugim pravnim aktom v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca in v katerem so določeni elementi iz člena 28(3) in (4) Uredbe (EU) 2016/679 oziroma člena 29(3) in (4) Uredbe (EU) 2018/1725. Takšna pogodba ali akt je v pisni obliki, tudi v elektronski obliki.

(5)

V skladu s členom 28(6) Uredbe (EU) 2016/679 in členom 29(6) Uredbe (EU) 2018/1725 se lahko upravljavec in obdelovalec odločita za pogajanje o individualni pogodbi, ki vsebuje obvezne elemente iz člena 28(3) in (4) Uredbe (EU) 2016/679 oziroma člena 29(3) in (4) Uredbe (EU) 2018/1725, ali za polno ali delno uporabo standardnih pogodbenih določil, ki jih je Komisija sprejela v skladu s členom 28(7) Uredbe (EU) 2016/679 oziroma členom 29(7) Uredbe (EU) 2018/1725.

(6)

Upravljavec in obdelovalec bi morala imeti možnost, da standardna pogodbena določila iz tega sklepa vključita v širšo pogodbo in dodata druga določila ali dodatne zaščitne ukrepe, če neposredno ali posredno ne nasprotujejo standardnim pogodbenim določilom ali posegajo v temeljne pravice ali svoboščine posameznikov, na katere se nanašajo osebni podatki. Uporaba standardnih pogodbenih določil ne posega v pogodbene obveznosti upravljavca in/ali obdelovalca, da zagotovi spoštovanje veljavnih privilegijev in imunitet.

(7)

Standardna pogodbena določila bi morala zajemati tako pravila materialnega prava kot postopkovna pravila. V skladu s členom 28(3) Uredbe (EU) 2016/679 in členom 29(3) Uredbe (EU) 2018/1725 bi bilo treba v standardna pogodbena določila vključiti tudi obveznost za upravljavce in obdelovalce, da določijo vsebino in trajanje obdelave, njeno naravo in namen, vrsto zadevnih osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca.

(8)

V skladu s členom 28(3) Uredbe (EU) 2016/679 in členom 29(3) Uredbe (EU) 2018/1725 mora obdelovalec nemudoma obvestiti upravljavca, če po njegovem mnenju navodilo upravljavca krši Uredbo (EU) 2016/679 oziroma Uredbo (EU) 2018/1725 ali pa druge določbe Unije ali predpise držav članic o varstvu podatkov.

(9)

Če obdelovalec za izvajanje specifičnih dejavnosti najame drugega obdelovalca, bi se morale uporabljati posebne zahteve iz člena 28(2) in (4) Uredbe (EU) 2016/679 oziroma člena 29(2) in (4) Uredbe (EU) 2018/1725. Zlasti se zahteva posebno ali splošno predhodno pisno dovoljenje. Ne glede na to, ali je predhodno dovoljenje posebno ali splošno, bi moral prvi obdelovalec redno posodabljati seznam drugih obdelovalcev.

(10)

Komisija je za izpolnitev zahtev iz člena 46(1) Uredbe (EU) 2016/679 sprejela standardna pogodbena določila v skladu s členom 46(2)(c) Uredbe (EU) 2016/679. Navedena določila izpolnjujejo tudi zahteve iz člena 28(3) in (4) Uredbe (EU) 2016/679 za prenose podatkov od upravljavcev, za katere se uporablja Uredba (EU) 2016/679, obdelovalcem zunaj ozemeljske veljavnosti navedene uredbe ali od obdelovalcev, za katere se uporablja Uredba (EU) 2016/679, podobdelovalcem zunaj ozemeljske veljavnosti navedene uredbe. Teh standardnih pogodbenih določil ni mogoče uporabiti kot standardna pogodbena določila za namene poglavja V Uredbe (EU) 2016/679.

(11)

Tretje osebe bi se morale imeti možnost pridružiti standardnim pogodbenim določilom kadar koli v trajanju veljavnosti pogodbe.

(12)

Uporabo standardnih pogodbenih določil bi bilo treba ovrednotiti podredno rednemu vrednotenju Uredbe (EU) 2016/679 iz člena 97 navedene uredbe.

(13)

Opravljeno je bilo posvetovanje z Evropskim nadzornikom za varstvo podatkov in Evropskim odborom za varstvo podatkov v skladu s členom 42(1) in (2) Uredbe (EU) 2018/1725, ki sta 14. januarja 2021 izdala skupno mnenje (3), ki je bilo upoštevano pri pripravi tega sklepa.

(14)

Ukrepi iz tega sklepa so skladni z mnenjem odbora, ustanovljenega na podlagi člena 93 Uredbe (EU) 2016/679 in člena 96(2) Uredbe (EU) 2018/1725 –

SPREJELA NASLEDNJI SKLEP:

Člen 1

Standardna pogodbena določila iz Priloge izpolnjujejo zahteve za pogodbe med upravljavci in obdelovalci iz člena 28(3) in (4) Uredbe (EU) 2016/679 ter člena 29(3) in (4) Uredbe (EU) 2018/1725.

Člen 2

Standardna pogodbena določila iz Priloge se lahko uporabljajo v pogodbah med upravljavcem in obdelovalcem, ki obdeluje osebne podatke v imenu upravljavca.

Člen 3

Komisija ovrednoti praktično uporabo standardnih pogodbenih določil iz Priloge na podlagi vseh razpoložljivih informacij v okviru rednega vrednotenja iz člena 97 Uredbe (EU) 2016/679.

Člen 4

Ta sklep začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

V Bruslju, 4. junija 2021

Za Komisijo

predsednica

Ursula VON DER LEYEN


(1)  UL L 119, 4.5.2016, str. 1.

(2)  UL L 295, 21.11.2018, str. 39.

(3)  Skupno mnenje Evropskega nadzornika za varstvo podatkov in Evropskega odbora za varstvo podatkov št. 1/2021 glede Izvedbenega sklepa Evropske komisije o standardnih pogodbenih določilih med upravljavci in obdelovalci za zadeve iz člena 28(7) Uredbe (EU) 2016/679 in člena 29(7) Uredbe (EU) 2018/1725.


PRILOGA

Standardna pogodbena določila

ODDELEK I

Določilo 1

Namen in področje uporabe

(a)

Namen teh standardnih pogodbenih določil (v nadaljnjem besedilu: določila) je zagotoviti skladnost s [izberite ustrezno možnost: MOŽNOST 1: členom 28(3) in (4) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov)] / [MOŽNOST 2: členom 29(3) in (4) Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES].

(b)

Upravljavci in obdelovalci na seznamu iz Priloge I soglašajo s temi določili, da se zagotovi skladnost s členom 28(3) in (4) Uredbe (EU) 2016/679 in/ali členom 29(3) in (4) Uredbe (EU) 2018/1725.

(c)

Ta določila se uporabljajo za obdelavo osebnih podatkov, kot je določeno v Prilogi II.

(d)

Priloge I do IV so sestavni del določil.

(e)

Ta določila ne posegajo v obveznosti, ki veljajo za upravljavca na podlagi Uredbe (EU) 2016/679 in/ali Uredbe (EU) 2018/1725.

(f)

Ta določila sama po sebi ne zagotavljajo skladnosti z obveznostmi v zvezi z mednarodnimi prenosi v skladu s poglavjem V Uredbe (EU) 2016/679 in/ali Uredbe (EU) 2018/1725.

Določilo 2

Nespremenljivost določil

(a)

Pogodbenice se zavezujejo, da ne bodo spreminjale določil, razen dodajanja informacij v priloge ali posodabljanja informacij v njih.

(b)

To pogodbenicam ne preprečuje, da standardna pogodbena določila iz teh določil vključijo v širšo pogodbo ali dodajo druga določila ali dodatne zaščitne ukrepe, če neposredno ali posredno ne nasprotujejo določilom ali posegajo v temeljne pravice ali svoboščine posameznikov, na katere se nanašajo osebni podatki.

Določilo 3

Razlaga

(a)

Kadar se v teh določilih uporabljajo izrazi, opredeljeni v Uredbi (EU) 2016/679 oziroma Uredbi (EU) 2018/1725, imajo ti izrazi isti pomen kot v navedeni uredbi.

(b)

Ta določila se berejo in razlagajo v skladu z določbami Uredbe (EU) 2016/679 oziroma Uredbe (EU) 2018/1725.

(c)

Ta določila se ne razlagajo na način, ki bi bil v nasprotju s pravicami in obveznostmi iz Uredbe (EU) 2016/679 oziroma Uredbe (EU) 2018/1725, ali na način, ki posega v temeljne pravice ali svoboščine posameznikov, na katere se nanašajo osebni podatki.

Določilo 4

Hierarhija

V primeru neskladja med temi določili in določbami povezanih dogovorov med pogodbenicami, ki obstajajo v času sprejetja dogovora o teh določilih ali so sklenjeni po tem, prevladajo ta določila.

Določilo 5 – Neobvezno

Določilo o pridružitvah

(a)

Vsak subjekt, ki ni pogodbenica teh določil, se lahko s soglasjem vseh pogodbenic k tem določilom pridruži kadar koli kot upravljavec ali obdelovalec, in sicer tako, da izpolni priloge in podpiše Prilogo I.

(b)

Ko so priloge iz točke (a) izpolnjene in podpisane, se pridruženi subjekt obravnava kot pogodbenica teh določil ter ima pravice in obveznosti upravljavca ali obdelovalca v skladu z njegovim imenovanjem v Prilogi I.

(c)

Pridruženi subjekt nima nobenih pravic ali obveznosti na podlagi teh določil iz obdobja, preden je postal pogodbenica.

ODDELEK II

OBVEZNOSTI POGODBENIC

Določilo 6

Opis obdelave

Podrobnosti postopkov obdelave, zlasti vrste osebnih podatkov in nameni, za katere se osebni podatki obdelujejo v imenu upravljavca, so določene v Prilogi II.

Določilo 7

Obveznosti pogodbenic

7.1   Navodila

(a)

Obdelovalec obdeluje osebne podatke samo po dokumentiranih navodilih upravljavca, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca. V slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu. Upravljavec lahko med celotnim trajanjem obdelave osebnih podatkov da tudi nadaljnja navodila. Ta navodila se vedno dokumentirajo.

(b)

Obdelovalec nemudoma obvesti upravljavca, če po mnenju obdelovalca navodila upravljavca kršijo Uredbo (EU) 2016/679 oziroma Uredbo (EU) 2018/1725 ali veljavne določbe Unije ali države članice o varstvu podatkov.

7.2   Omejitev namena

Obdelovalec obdeluje osebne podatke samo za posebne namene obdelave, kot je določeno v Prilogi II, razen če od upravljavca prejme nadaljnja navodila.

7.3   Trajanje obdelave osebnih podatkov

Obdelovalec lahko osebne podatke obdeluje le toliko časa, kot je določeno v Prilogi II.

7.4   Varnost obdelave

(a)

Obdelovalec izvaja vsaj tehnične in organizacijske ukrepe iz Priloge III, da zagotovi varnost osebnih podatkov. To vključuje zaščito podatkov pred kršitvijo njihove varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do podatkov (v nadaljnjem besedilu: kršitev varnosti osebnih podatkov). Pri določanju ustrezne ravni varnosti pogodbenice ustrezno upoštevajo najnovejši tehnološki razvoj, stroške izvajanja ter naravo, obseg, okoliščine in namene obdelave ter s tem povezana tveganja za posameznike, na katere se nanašajo osebni podatki.

(b)

Obdelovalec članom svojega osebja odobri dostop do osebnih podatkov, ki se obdelujejo, zgolj v obsegu, ki je nujno potreben za izvajanje, upravljanje in spremljanje pogodbe. Obdelovalec zagotovi, da so osebe, ki so pooblaščene za obdelavo prejetih osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon.

7.5   Občutljivi podatki

Če obdelava vključuje osebne podatke, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, genetske podatke ali biometrične podatke za namene edinstvene identifikacije posameznika, podatke v zvezi z zdravjem ali spolnim življenjem ali spolno usmerjenostjo posameznika ali podatke v zvezi s kazenskimi obsodbami in kaznivimi dejanji („občutljivi podatki“), obdelovalec uporabi posebne omejitve in/ali dodatne zaščitne ukrepe.

7.6   Dokumentacija in skladnost

(a)

Pogodbenice so sposobne dokazati skladnost s temi določili.

(b)

Obdelovalec nemudoma in ustrezno obravnava poizvedbe upravljavca v zvezi z obdelavo podatkov v skladu s temi določili.

(c)

Obdelovalec da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti, ki so določene v teh določilih in izhajajo neposredno iz Uredbe (EU) 2016/679 in/ali Uredbe (EU) 2018/1725. Obdelovalec na zahtevo upravljavca prav tako dovoli revizije dejavnosti obdelave, ki jih zajemajo ta določila, in k njim prispeva v razumnih časovnih presledkih ali v primeru znakov neskladnosti. Upravljavec lahko pri odločanju o pregledu ali reviziji upošteva ustrezne certifikate obdelovalca.

(d)

Upravljavec se lahko odloči, da bo revizijo izvedel sam ali pooblastil neodvisnega revizorja. Revizije lahko vključujejo tudi inšpekcijske preglede v prostorih ali fizičnih objektih obdelovalca in se po potrebi izvedejo v razumnem roku od obvestila o njih.

(e)

Pogodbenice pristojnemu nadzornemu organu oziroma organom na zahtevo omogočijo dostop do informacij iz tega določila, vključno z rezultati revizij.

7.7   Uporaba podobdelovalcev

(a)

MOŽNOST 1: PREDHODNO POSEBNO DOVOLJENJE: Obdelovalec nobenega od svojih postopkov obdelave, ki jih izvaja v imenu upravljavca v skladu s temi določili, ne odda v izvajanje podobdelovalcu brez predhodnega posebnega pisnega dovoljenja upravljavca. Obdelovalec predloži zahtevo za posebno dovoljenje vsaj [DOLOČITI ČASOVNO OBDOBJE] pred najemom zadevnega podobdelovalca ter priloži informacije, ki jih upravljavec potrebuje, da lahko odloči o dovoljenju. Podobdelovalci, ki jih je odobril upravljavec, so navedeni na seznamu v Prilogi IV. Pogodbenice redno posodabljajo Prilogo IV.

MOŽNOST 2: SPLOŠNO PISNO DOVOLJENJE: Obdelovalec ima splošno dovoljenje upravljavca za najem podobdelovalcev z dogovorjenega seznama. Obdelovalec posebej pisno obvesti upravljavca o vseh nameravanih spremembah tega seznama z dodajanjem ali zamenjavo podobdelovalcev vsaj [DOLOČITI ČASOVNO OBDOBJE] vnaprej, s čimer upravljavcu zagotovi dovolj časa, da lahko ugovarja takšnim spremembam, preden je zadevni podobdelovalec najet. Obdelovalec zagotovi upravljavcu informacije, ki jih slednji potrebuje za uveljavljanje pravice do ugovora.

(b)

Kadar obdelovalec najame podobdelovalca za izvajanje posebnih dejavnosti obdelave (v imenu upravljavca), to stori s pogodbo, ki podobdelovalcu nalaga vsebinsko enake obveznosti glede varstva podatkov, kot jih ima obdelovalec podatkov v skladu s temi določili. Obdelovalec zagotovi, da podobdelovalec izpolnjuje obveznosti, ki veljajo za obdelovalca v skladu s temi določili ter Uredbo (EU) 2016/679 in/ali Uredbo (EU) 2018/1725.

(c)

Obdelovalec na zahtevo upravljavca slednjemu zagotovi kopijo take pogodbe s podobdelovalcem in vseh njenih naknadnih sprememb. Kolikor je to potrebno za varovanje poslovnih skrivnosti ali drugih zaupnih informacij, vključno z osebnimi podatki, lahko obdelovalec pred posredovanjem kopije zakrije občutljive in zaupne dele pogodbe.

(d)

Obdelovalec ostane v celoti odgovoren upravljavcu za izpolnjevanje obveznosti podobdelovalca v skladu z njegovo pogodbo z obdelovalcem. Obdelovalec obvesti upravljavca, če podobdelovalec ne izpolnjuje več svojih pogodbenih obveznosti.

(e)

Obdelovalec se s podobdelovalcem dogovori o klavzuli v korist tretjega, v skladu s katero ima upravljavec, če obdelovalec dejansko izgine, pravno preneha obstajati ali postane insolventen, pravico, da odpove pogodbo podobdelovalca in naroči podobdelovalcu, naj izbriše ali vrne osebne podatke.

7.8   Mednarodni prenosi podatkov

(a)

Obdelovalec lahko podatke tretji državi ali mednarodni organizaciji prenese le na podlagi dokumentiranih navodil upravljavca ali zaradi izpolnjevanja posebne zahteve v skladu s pravom Unije ali pravom države članice, ki velja za obdelovalca, in sicer v skladu s poglavjem V Uredbe (EU) 2016/679 ali Uredbe (EU) 2018/1725.

(b)

Upravljavec soglaša, da kadar obdelovalec v skladu z določilom 7.7 za izvajanje posebnih dejavnosti obdelave (v imenu upravljavca) najame podobdelovalca in te dejavnosti obdelave vključujejo prenos osebnih podatkov v smislu poglavja V Uredbe (EU) 2016/679, lahko obdelovalec in podobdelovalec zagotovita skladnost s poglavjem V Uredbe (EU) 2016/679 z uporabo standardnih pogodbenih določil, ki jih je sprejela Komisija v skladu s členom 46(2) Uredbe (EU) 2016/679, če so izpolnjeni pogoji za uporabo navedenih standardnih pogodbenih določil.

Določilo 8

Pomoč upravljavcu

(a)

Obdelovalec nemudoma obvesti upravljavca o vsaki zahtevi, ki jo je prejel od posameznika, na katerega se nanašajo osebni podatki. Na to zahtevo se ne odzove sam, razen če ga za to pooblasti upravljavec.

(b)

Obdelovalec pomaga upravljavcu pri izpolnjevanju njegovih obveznosti odzivanja na zahteve posameznikov, na katere se nanašajo osebni podatki, za uveljavljanje njihovih pravic, pri čemer upošteva naravo obdelave. Obdelovalec pri izpolnjevanju svojih obveznosti v skladu s točkama (a) in (b) ravna v skladu z navodili upravljavca.

(c)

Poleg obveznosti, da pomaga upravljavcu v skladu z določilom 8(b), obdelovalec pomaga upravljavcu pri zagotavljanju izpolnjevanja naslednjih obveznosti, pri čemer upošteva naravo obdelave podatkov in informacije, ki so mu na voljo:

(1)

obveznost izvedbe ocene učinka predvidenih postopkov obdelave na varstvo osebnih podatkov (v nadaljnjem besedilu: ocena učinka v zvezi z varstvom podatkov), kadar je verjetno, da bo vrsta obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov;

(2)

obveznost posvetovanja s pristojnim nadzornim organom oziroma organi pred obdelavo, kadar je iz ocene učinka v zvezi z varstvom podatkov razvidno, da bi obdelava povzročila veliko tveganje, če upravljavec ne bi sprejel ukrepov za ublažitev tveganja;

(3)

obveznost, da zagotovi točnost in ažurnost osebnih podatkov, in sicer s takojšnjo obvestitvijo upravljavca, če obdelovalec ugotovi, da so osebni podatki, ki jih obdeluje, netočni ali zastareli;

(4)

obveznosti iz člena 32 Uredbe (EU) 2016/679 [MOŽNOST 1] / členov 33 in 36 do 38 Uredbe (EU) 2018/1725 [MOŽNOST 2].

(d)

Pogodbenice v Prilogi III določijo ustrezne tehnične in organizacijske ukrepe, s katerimi obdelovalec upravljavcu pomaga pri uporabi tega določila, ter področje in obseg potrebne pomoči.

Določilo 9

Obvestilo o kršitvi varnosti osebnih podatkov

V primeru kršitve varnosti osebnih podatkov obdelovalec sodeluje z upravljavcem in mu pomaga pri izpolnjevanju njegovih obveznosti iz členov 33 in 34 Uredbe (EU) 2016/679 oziroma členov 34 in 35 Uredbe (EU) 2018/1725, kadar je ustrezno, pri čemer upošteva naravo obdelave in informacije, ki so mu na voljo.

9.1   Kršitev varstva podatkov v zvezi s podatki, ki jih obdeluje upravljavec

V primeru kršitve varnosti osebnih podatkov v zvezi s podatki, ki jih obdeluje upravljavec, obdelovalec upravljavcu pomaga pri:

(a)

obveščanju pristojnega nadzornega organa oziroma organov o kršitvi varnosti osebnih podatkov brez nepotrebnega odlašanja po seznanitvi upravljavca s kršitvijo, kadar je to ustrezno (razen če ni verjetno, da bi kršitev varnosti osebnih podatkov povzročila tveganje za pravice in svoboščine posameznikov);

(b)

pridobivanju naslednjih informacij, ki se v skladu s členom 33(3) Uredbe (EU) 2016/679 [MOŽNOST 1] / členom 34(3) Uredbe (EU) 2018/1725 [MOŽNOST 2] navedejo v uradnem obvestilu upravljavca in morajo vključevati vsaj:

(1)

vrsto osebnih podatkov, po možnosti tudi kategorije in približno število zadevnih posameznikov, na katere se nanašajo osebni podatki, ter kategorije in približno število zadevnih evidenc osebnih podatkov;

(2)

verjetne posledice kršitve varnosti osebnih podatkov;

(3)

ukrepe, ki jih upravljavec sprejme ali katerih sprejetje predlaga za obravnavanje kršitve varnosti osebnih podatkov, vključno z ukrepi za ublažitev morebitnih škodljivih učinkov kršitve, če je ustrezno.

Kadar in kolikor vseh teh informacij ni mogoče zagotoviti hkrati, začetno obvestilo vsebuje informacije, ki so takrat na voljo, nadaljnje informacije pa se takoj, ko so na voljo, predložijo brez nepotrebnega odlašanja;

(c)

izpolnjevanju obveznosti v skladu s členom 34 Uredbe (EU) 2016/679 [MOŽNOST 1] / členom 35 Uredbe (EU) 2018/1725 [MOŽNOST 2], da se posameznik, na katerega se nanašajo osebni podatki, brez nepotrebnega odlašanja obvesti o kršitvi varnosti osebnih podatkov, kadar je verjetno, da bo kršitev varnosti osebnih podatkov povzročila veliko tveganje za pravice in svoboščine posameznikov.

9.2   Kršitev varstva podatkov v zvezi s podatki, ki jih obdeluje obdelovalec

V primeru kršitve varnosti osebnih podatkov v zvezi s podatki, ki jih obdeluje obdelovalec, obdelovalec o tem nemudoma obvesti upravljavca, potem ko je izvedel za kršitev. Tako obvestilo zajema vsaj:

(a)

opis narave kršitve (po možnosti vključno s kategorijami in približnim številom zadevnih posameznikov, na katere se nanašajo osebni podatki, ter kategorijami in približnim številom zadevnih evidenc osebnih podatkov);

(b)

podrobnosti o kontaktni točki, kjer je mogoče dobiti več informacij o kršitvi varnosti osebnih podatkov;

(c)

verjetne posledice kršitve in ukrepe, ki so bili sprejeti ali katerih sprejetje je bilo predlagano za obravnavanje kršitve, vključno z ukrepi za ublažitev njenih morebitnih škodljivih učinkov.

Kadar in kolikor vseh teh informacij ni mogoče zagotoviti hkrati, začetno obvestilo vsebuje informacije, ki so takrat na voljo, nadaljnje informacije pa se takoj, ko so na voljo, predložijo brez nepotrebnega odlašanja.

Pogodbenice v Prilogi III določijo vse druge elemente, ki jih mora obdelovalec zagotoviti, ko upravljavcu pomaga pri izpolnjevanju obveznosti upravljavca iz členov 33 in 34 Uredbe (EU) 2016/679 [MOŽNOST 1] / členov 34 in 35 Uredbe (EU) 2018/1725 [MOŽNOST 2].

ODDELEK III

KONČNE DOLOČBE

Določilo 10

Neskladnost z določili in odpoved pogodbe

(a)

Brez poseganja v katere koli določbe Uredbe (EU) 2016/679 in/ali Uredbe (EU) 2018/1725 lahko upravljavec v primeru, da obdelovalec krši svoje obveznosti iz teh določil, naroči obdelovalcu, naj začasno prekine obdelavo osebnih podatkov, dokler slednji ne zagotovi skladnosti s temi določili, sicer pogodbo odpove. Obdelovalec takoj obvesti upravljavca, če iz kakršnega koli razloga ne more zagotoviti skladnosti s temi določili.

(b)

Upravljavec ima pravico, da odpove pogodbo, kolikor zadeva obdelavo osebnih podatkov v skladu s temi določili, če:

(1)

je upravljavec obdelavo osebnih podatkov, ki jo izvaja obdelovalec, začasno prekinil v skladu s točko (a) in če skladnost s temi določili ni ponovno vzpostavljena v razumnem roku, v vsakem primeru pa v enem mesecu po začasni prekinitvi;

(2)

obdelovalec znatno ali vztrajno krši ta določila ali svoje obveznosti na podlagi Uredbe (EU) 2016/679 in/ali Uredbe (EU) 2018/1725;

(3)

obdelovalec ne ravna v skladu z zavezujočo odločbo pristojnega sodišča ali pristojnega nadzornega organa oziroma organov glede njegovih obveznosti v skladu s temi določili oziroma Uredbo (EU) 2016/679 in/ali Uredbo (EU) 2018/1725.

(c)

Obdelovalec ima pravico, da odpove pogodbo, kolikor zadeva obdelavo osebnih podatkov v skladu s temi določili, če upravljavec po tem, ko ga je obdelovalec obvestil, da njegova navodila kršijo veljavne pravne zahteve v skladu z določilom 7.1(b), vztraja pri upoštevanju navodil.

(d)

Obdelovalec po odpovedi pogodbe v skladu z odločitvijo upravljavca izbriše vse osebne podatke, ki jih je obdelal v imenu upravljavca, in upravljavcu potrdi, da je to storil, ali vse osebne podatke vrne upravljavcu in izbriše obstoječe kopije, razen če pravo Unije ali pravo države članice zahteva hrambo osebnih podatkov. Obdelovalec zagotavlja skladnost s temi določili, dokler se podatki ne izbrišejo ali vrnejo.


PRILOGA I

Seznam pogodbenic

Upravljavci: [Identiteta in kontaktni podatki upravljavcev ter po potrebi pooblaščene osebe za varstvo podatkov pri upravljavcu]

1.

Ime: …

 

Naslov: …

 

Ime, položaj in kontaktni podatki kontaktne osebe: …

 

Podpis in datum pridružitve: …

2.

 

Obdelovalci: [Identiteta in kontaktni podatki obdelovalcev ter po potrebi pooblaščene osebe za varstvo podatkov pri obdelovalcu]

1.

Ime: …

 

Naslov: …

 

Ime, položaj in kontaktni podatki kontaktne osebe: …

 

Podpis in datum pridružitve: …

2.

 


PRILOGA II

Opis obdelave

Kategorije posameznikov, na katere se nanašajo osebni podatki in katerih osebni podatki se obdelujejo

Vrste osebnih podatkov, ki se obdelujejo

Obdelani občutljivi podatki (če je primerno) in uporabljene omejitve ali zaščitni ukrepi, ki v celoti upoštevajo naravo podatkov in povezana tveganja, kot so na primer stroga omejitev namena, omejitve dostopa (vključno z dostopom samo za osebje, ki se je udeležilo posebnega usposabljanja), vodenje evidence dostopa do podatkov, omejitve za nadaljnje prenose ali dodatni varnostni ukrepi.

Narava obdelave

Nameni, za katere se osebni podatki obdelujejo v imenu upravljavca

Trajanje obdelave

Za obdelavo, ki jo izvajajo (pod)obdelovalci, navedite tudi predmet, naravo in trajanje obdelave.


PRILOGA III

Tehnični in organizacijski ukrepi, vključno s tehničnimi in organizacijskimi ukrepi za zagotovitev varnosti podatkov

POJASNJEVALNA OPOMBA:

Tehnične in organizacijske ukrepe je treba opisati konkretno in ne splošno.

Opis tehničnih in organizacijskih varnostnih ukrepov, ki jih izvajajo obdelovalci (vključno z vsemi ustreznimi certifikati), da se zagotovi ustrezna raven varnosti, ob upoštevanju narave, obsega, okoliščin in namena obdelave ter tveganj za pravice in svoboščine posameznikov. Primeri možnih ukrepov:

 

ukrepi za psevdonimizacijo in šifriranje osebnih podatkov;

 

ukrepi za zagotovitev stalne zaupnosti, celovitosti, dostopnosti in odpornosti sistemov in storitev za obdelavo;

 

ukrepi za zagotovitev zmožnosti pravočasne povrnitve razpoložljivosti in dostopa do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;

 

postopki rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotovitev varnosti obdelave;

 

ukrepi za identifikacijo uporabnika in izdajo dovoljenja uporabniku;

 

ukrepi za varstvo podatkov med prenosom;

 

ukrepi za varstvo podatkov med hrambo;

 

ukrepi za zagotavljanje fizične varnosti lokacij, na katerih se obdelujejo osebni podatki;

 

ukrepi za zagotavljanje beleženja dogodkov;

 

ukrepi za zagotavljanje konfiguracije sistema, vključno s privzeto konfiguracijo;

 

ukrepi za notranje upravljanje in vodenje IT in varnosti IT;

 

ukrepi za certificiranje / izdajanje zagotovil za postopke in proizvode;

 

ukrepi za zagotavljanje najmanjšega obsega podatkov;

 

ukrepi za zagotavljanje kakovosti podatkov;

 

ukrepi za zagotavljanje omejene hrambe podatkov;

 

ukrepi za zagotavljanje odgovornosti;

 

ukrepi za omogočanje prenosljivosti podatkov in zagotavljanje izbrisa.

Za prenose (pod)obdelovalcem opišite tudi posebne tehnične in organizacijske ukrepe, ki jih mora sprejeti (pod)obdelovalec, da lahko upravljavcu zagotovi pomoč.

Opis posebnih tehničnih in organizacijskih ukrepov, ki jih mora sprejeti obdelovalec, da lahko upravljavcu zagotovi pomoč.


PRILOGA IV

Seznam podobdelovalcev

POJASNJEVALNA OPOMBA:

To prilogo je treba izpolniti v primeru posebnega dovoljenja za podobdelovalce (določilo 7.7(a), možnost 1).

Upravljavec je odobril uporabo naslednjih podobdelovalcev:

1.

Ime: …

 

Naslov: …

 

Ime, položaj in kontaktni podatki kontaktne osebe: …

 

Opis obdelave (vključno z jasno razmejitvijo odgovornosti, če je odobrenih več podobdelovalcev): …

2.