|
ISSN 1977-0804 |
||
|
Uradni list Evropske unije |
L 199 |
|
|
||
|
Slovenska izdaja |
Zakonodaja |
Letnik 64 |
|
|
|
|
|
(1) Besedilo velja za EGP. |
|
SL |
Akti z rahlo natisnjenimi naslovi so tisti, ki se nanašajo na dnevno upravljanje kmetijskih zadev in so splošno veljavni za omejeno obdobje. Naslovi vseh drugih aktov so v mastnem tisku in pred njimi stoji zvezdica. |
II Nezakonodajni akti
UREDBE
|
7.6.2021 |
SL |
Uradni list Evropske unije |
L 199/1 |
IZVEDBENA UREDBA KOMISIJE (EU) 2021/909
z dne 31. maja 2021
o uvrstitvi določenega blaga v kombinirano nomenklaturo
EVROPSKA KOMISIJA JE –
ob upoštevanju Pogodbe o delovanju Evropske unije,
ob upoštevanju Uredbe (EU) št. 952/2013 Evropskega parlamenta in Sveta z dne 9. oktobra 2013 o carinskem zakoniku Unije (1) ter zlasti člena 57(4) in člena 58(2) Uredbe,
ob upoštevanju naslednjega:
|
(1) |
Da bi se zagotovila enotna uporaba kombinirane nomenklature, priložene k Uredbi Sveta (EGS) št. 2658/87 (2), je treba sprejeti ukrepe za uvrstitev blaga iz Priloge k tej uredbi. |
|
(2) |
Uredba (EGS) št. 2658/87 določa splošna pravila za razlago kombinirane nomenklature. Ta pravila se uporabljajo tudi za vsako drugo nomenklaturo, ki v celoti ali delno temelji na kombinirani nomenklaturi ali pa uvaja dodatne pododdelke ter se s posebnimi določbami Unije predpiše zaradi uporabe tarifnih in drugih ukrepov v zvezi z blagovno menjavo. |
|
(3) |
Po teh splošnih pravilih bi bilo blago iz stolpca 1 razpredelnice iz Priloge treba uvrstiti pod oznako KN v stolpcu 2 na podlagi utemeljitve v stolpcu 3 navedene razpredelnice. |
|
(4) |
Primerno je določiti, da se lahko imetnik v skladu s členom 34(9) Uredbe (EU) št. 952/2013 še nekaj časa sklicuje na zavezujoče tarifne informacije, ki se izdajo za blago, na katero se nanaša ta uredba, in niso v skladu s to uredbo. To obdobje bi moralo biti omejeno na tri mesece. |
|
(5) |
Ukrepi iz te uredbe so v skladu z mnenjem Odbora za carinski zakonik – |
SPREJELA NASLEDNJO UREDBO:
Člen 1
Blago, opisano v stolpcu 1 razpredelnice iz Priloge, se uvrsti v kombinirano nomenklaturo pod oznako KN iz stolpca 2 navedene razpredelnice.
Člen 2
V skladu s členom 34(9) Uredbe (EU) št. 952/2013 se je na zavezujoče tarifne informacije, ki niso v skladu s to uredbo, mogoče sklicevati še tri mesece po začetku veljavnosti te uredbe.
Člen 3
Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.
Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.
V Bruslju, 31. maja 2021
Za Komisijo
v imenu predsednice
Gerassimos THOMAS
generalni direktor
Generalni direktorat za obdavčenje in carinsko unijo
(1) UL L 269, 10.10.2013, str. 1.
(2) Uredba Sveta (EGS) št. 2658/87 z dne 23. julija 1987 o tarifni in statistični nomenklaturi ter skupni carinski tarifi (UL L 256, 7.9.1987, str. 1).
PRILOGA
|
Opis blaga |
Uvrstitev (oznaka KN) |
Utemeljitev |
|
(1) |
(2) |
(3) |
|
Upogljiv izdelek (t. i. plavalna cev) iz celičaste plastične mase (plastične pene) v obliki votle cevi dolžine približno 1 m in premera približno 8 cm. Izdelek plava na vodi in je predstavljen kot plovni pripomoček, ki je v skladu z evropskim standardom za plovne pripomočke za učenje plavanja (EN 13138-2:2014). Izdelek je tudi odporen proti udarcem in izolira toploto. Glej sliki (*1). |
3926 90 97 |
Uvrstitev opredeljujejo splošni pravili 1 in 6 za razlago kombinirane nomenklature ter besedilo oznak KN 3926 , 3926 90 in 3926 90 97 . Uvrstitev pod tarifno številko 9506 kot izdelki in oprema za splošno telesno vadbo, gimnastiko, atletiko, druge športe in igre na prostem je izključena, ker izdelek zaradi svoje preproste in običajne oblike ne more biti opredeljen kot izdelek za telesno vadbo ali šport iz tarifne številke 9506 , čeprav je zaradi svoje plovnosti skladen s standardom za plovne pripomočke za učenje plavanja. Poleg tega bi se izdelek zaradi svoje preproste oblike in običajnega materiala lahko uporabljal za različne namene (na primer kot zaščitni izdelek za blaženje udarcev, ki se zavije okoli drogov, izdelek za toplotno izolacijo, ki se zavije okoli cevi, izdelek za razvedrilo otrok). Prav tako je izključena uvrstitev pod tarifno številko 9503 kot druge igrače, ker izdelka zaradi njegove oblike ni mogoče jasno opredeliti kot izdelek za razvedrilo otrok ali odraslih. Izdelek se zato uvrsti glede na material, iz katerega je izdelan (plastična masa). Izdelek je zato treba uvrstiti pod KN 3926 90 97 kot druge izdelke iz plastičnih mas. |
(*1) Sliki sta zgolj informativni.
|
7.6.2021 |
SL |
Uradni list Evropske unije |
L 199/4 |
IZVEDBENA UREDBA KOMISIJE (EU) 2021/910
z dne 31. maja 2021
o uvrstitvi določenega blaga v kombinirano nomenklaturo
EVROPSKA KOMISIJA JE –
ob upoštevanju Pogodbe o delovanju Evropske unije,
ob upoštevanju Uredbe (EU) št. 952/2013 Evropskega parlamenta in Sveta z dne 9. oktobra 2013 o carinskem zakoniku Unije (1) ter zlasti člena 57(4) in člena 58(2) Uredbe,
ob upoštevanju naslednjega:
|
(1) |
Da bi se zagotovila enotna uporaba kombinirane nomenklature, priložene k Uredbi Sveta (EGS) št. 2658/87 (2), je treba sprejeti ukrepe za uvrstitev blaga iz Priloge k tej uredbi. |
|
(2) |
Uredba (EGS) št. 2658/87 določa splošna pravila za razlago kombinirane nomenklature. Ta pravila se uporabljajo tudi za vsako drugo nomenklaturo, ki v celoti ali delno temelji na kombinirani nomenklaturi ali pa uvaja dodatne pododdelke ter se s posebnimi določbami Unije predpiše zaradi uporabe tarifnih in drugih ukrepov v zvezi z blagovno menjavo. |
|
(3) |
Po teh splošnih pravilih bi bilo blago iz stolpca 1 razpredelnice iz Priloge treba uvrstiti pod oznako KN v stolpcu 2 na podlagi utemeljitve v stolpcu 3 navedene razpredelnice. |
|
(4) |
Primerno je določiti, da se lahko imetnik v skladu s členom 34(9) Uredbe (EU) št. 952/2013 še nekaj časa sklicuje na zavezujoče tarifne informacije, ki se izdajo za blago, na katero se nanaša ta uredba, in niso v skladu s to uredbo. To obdobje bi moralo biti omejeno na tri mesece. |
|
(5) |
Ukrepi iz te uredbe so v skladu z mnenjem Odbora za carinski zakonik – |
SPREJELA NASLEDNJO UREDBO:
Člen 1
Blago, opisano v stolpcu 1 razpredelnice iz Priloge, se uvrsti v kombinirano nomenklaturo pod oznako KN iz stolpca 2 navedene razpredelnice.
Člen 2
V skladu s členom 34(9) Uredbe (EU) št. 952/2013 se je na zavezujoče tarifne informacije, ki niso v skladu s to uredbo, mogoče sklicevati še tri mesece po začetku veljavnosti te uredbe.
Člen 3
Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.
Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.
V Bruslju, 31. maja 2021
Za Komisijo
V imenu predsednice
Gerassimos THOMAS
Generalni direktor
Generalni direktorat za obdavčenje in carinsko unijo
(1) UL L 269, 10.10.2013, str. 1.
(2) Uredba Sveta (EGS) št. 2658/87 z dne 23. julija 1987 o tarifni in statistični nomenklaturi ter skupni carinski tarifi (UL L 256, 7.9.1987, str. 1).
PRILOGA
|
Opis blaga |
Uvrstitev (oznaka KN) |
Utemeljitev |
|
(1) |
(2) |
(3) |
|
Paličice iz kermeta z enakim okroglim prečnim prerezom. Izdelki različnih dolžin in premerov so lahko polni ali perforirani s hladilnimi kanali ter imajo tope konice. Nekateri izdelki so bili morda tudi strojno obdelani (imajo posnete robove). Izdelki so izdelani iz kermeta, in sicer iz sintranega kovinskega karbida na osnovi volframovega karbida s kobaltom za vezivo. Izdelki se zaradi nizke stopnje predelave ter enostavne oblike lahko uporabljajo na najrazličnejše načine, na primer kot ojačitveni elementi. Če se izdelki nadalje obdelajo, se lahko uporabijo za orodje in kot orodje. |
8113 00 90 |
Uvrstitev opredeljujeta splošni pravili 1 in 6 za razlago kombinirane nomenklature, opomba 4 k oddelku XV ter besedilo oznak KN 8113 00 in 8113 00 90 . Uvrstitev pod oznako KN 8209 00 80 kot paličice in podobno za orodje, nemontirane, iz kermetov je izključena, saj se izdelki lahko uporabljajo za orodje in kot orodje le, če so nadalje obdelani in primerni tudi za druge namene. Izdelki spadajo pod tarifno številko 8113 , ki zajema kermete, neobdelane ali v obliki izdelkov, ki niso navedeni in ne zajeti na drugem mestu v kombinirani nomenklaturi (glej tudi pojasnjevalne opombe harmoniziranega sistema k tarifni številki 8113 , šesti odstavek). Izdelke je zato treba uvrstiti pod oznako KN 8113 00 90 kot kermete in druge izdelke iz kermetov. |
|
7.6.2021 |
SL |
Uradni list Evropske unije |
L 199/7 |
IZVEDBENA UREDBA KOMISIJE (EU) 2021/911
z dne 31. maja 2021
o uvrstitvi določenega blaga v kombinirano nomenklaturo
EVROPSKA KOMISIJA JE –
ob upoštevanju Pogodbe o delovanju Evropske unije,
ob upoštevanju Uredbe (EU) št. 952/2013 Evropskega parlamenta in Sveta z dne 9. oktobra 2013 o carinskem zakoniku Unije (1) ter zlasti člena 57(4) in člena 58(2) Uredbe,
ob upoštevanju naslednjega:
|
(1) |
Da bi se zagotovila enotna uporaba kombinirane nomenklature, priložene k Uredbi Sveta (EGS) št. 2658/87 (2), je treba sprejeti ukrepe za uvrstitev blaga iz Priloge k tej uredbi. |
|
(2) |
Uredba (EGS) št. 2658/87 določa splošna pravila za razlago kombinirane nomenklature. Ta pravila se uporabljajo tudi za vsako drugo nomenklaturo, ki v celoti ali delno temelji na kombinirani nomenklaturi ali pa uvaja dodatne pododdelke ter se s posebnimi določbami Unije predpiše zaradi uporabe tarifnih in drugih ukrepov v zvezi z blagovno menjavo. |
|
(3) |
Po teh splošnih pravilih bi bilo blago iz stolpca 1 razpredelnice iz Priloge treba uvrstiti pod oznako KN v stolpcu 2 na podlagi utemeljitve v stolpcu 3 navedene razpredelnice. |
|
(4) |
Primerno je določiti, da se lahko imetnik v skladu s členom 34(9) Uredbe (EU) št. 952/2013 še nekaj časa sklicuje na zavezujoče tarifne informacije, ki se izdajo za blago, na katero se nanaša ta uredba, in niso v skladu s to uredbo. To obdobje bi moralo biti omejeno na tri mesece. |
|
(5) |
Ukrepi iz te uredbe so v skladu z mnenjem Odbora za carinski zakonik – |
SPREJELA NASLEDNJO UREDBO:
Člen 1
Blago, opisano v stolpcu 1 razpredelnice iz Priloge, se uvrsti v kombinirano nomenklaturo pod oznako KN iz stolpca 2 navedene razpredelnice.
Člen 2
V skladu s členom 34(9) Uredbe (EU) št. 952/2013 se je na zavezujoče tarifne informacije, ki niso v skladu s to uredbo, mogoče sklicevati še tri mesece po začetku veljavnosti te uredbe.
Člen 3
Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.
Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.
V Bruslju, 31. maja 2021
Za Komisijo
v imenu predsednice
Gerassimos THOMAS
generalni direktor
Generalni direktorat za obdavčenje in carinsko unijo
(1) UL L 269, 10.10.2013, str. 1.
(2) Uredba Sveta (EGS) št. 2658/87 z dne 23. julija 1987 o tarifni in statistični nomenklaturi ter skupni carinski tarifi (UL L 256, 7.9.1987, str. 1).
PRILOGA
|
Opis blaga |
Uvrstitev (oznaka KN) |
Utemeljitev |
||||||||
|
(1) |
(2) |
(3) |
||||||||
|
Voziček za prevoz pohištva z naslednjimi sestavnimi deli:
Izdelek ima ročaj v obliki reže, da ga je na primer mogoče nositi s sabo v roki ali obesiti na steno. Izdelek je namenjen prevozu različnih predmetov, zlasti pohištva in drugih težkih predmetov. (glej sliko) (*1) |
4421 99 10 |
Uvrstitev opredeljujejo splošna pravila 1, 3(b) in 6 za razlago kombinirane nomenklature, opomba 3 k poglavju 44 ter besedilo oznak KN 4421 , 4421 99 in 4421 99 10 . Uvrstitev pod oznako KN 8716 80 00 kot druga vozila brez lastnega pogona je izključena, saj objektivne značilnosti in lastnosti izdelka ne ustrezajo v celoti izrazom pod tarifno številko 8716 in oznako KN 8716 80 00 . Glede na objektivne značilnosti in lastnosti izdelka, kot sta reža v obliki ročaja, ki se ne uporablja za potiskanje izdelka z nogami ali rokami, in zasnova za prevoz težkih predmetov, kot je pohištvo, tako da se le-ti potiskajo, izdelek ni zasnovan tako, da bi ga druga vozila lahko vlekla, da bi ga bilo mogoče potiskati ali vleči z rokami, da bi ga bilo mogoče potiskati z nogami ali da bi ga lahko vlekle živali (glej tudi pojasnjevalne opombe harmoniziranega sistema k tarifni številki 8716 , drugi odstavek). Izdelka ni mogoče šteti za vozilo, ker nima nekaterih značilnosti in lastnosti vozila na ročni ali nožni pogon pod tarifno številko 8716 , ker ni voziček, transportni voziček, ciza ali ročni voziček ali ker ni sestavljen iz določenega dela vozila, kot je šasija. Izdelek se zato uvrsti glede na material, iz katerega je izdelan. Izdelek je sestavljeni proizvod, ki je sestavljen iz različnih materialov (lesa, plastike in kovine). Sestavni del, ki izdelku daje bistveni značaj, je les, saj je lesna plošča glavni del sestavljenega proizvoda in najbolj pomembna za predvideno uporabo izdelka. Izdelek je zato treba uvrstiti pod oznako KN 4421 99 10 kot drugi izdelki iz vlaknenih plošč. |
(*1) Slika je samo informativne narave.
|
7.6.2021 |
SL |
Uradni list Evropske unije |
L 199/10 |
IZVEDBENA UREDBA KOMISIJE (EU) 2021/912
z dne 4. junija 2021
o odobritvi sprememb specifikacij novega živila lakto-N-neotetraoza (mikrobni vir) in spremembi Izvedbene uredbe (EU) 2017/2470
(Besedilo velja za EGP)
EVROPSKA KOMISIJA JE –
ob upoštevanju Pogodbe o delovanju Evropske unije,
ob upoštevanju Uredbe (EU) 2015/2283 Evropskega parlamenta in Sveta z dne 25. novembra 2015 o novih živilih, spremembi Uredbe (EU) št. 1169/2011 Evropskega parlamenta in Sveta in razveljavitvi Uredbe (ES) št. 258/97 Evropskega parlamenta in Sveta ter Uredbe Komisije (ES) št. 1852/2001 (1) in zlasti člena 12 Uredbe,
ob upoštevanju naslednjega:
|
(1) |
Uredba (EU) 2015/2283 določa, da se na trg v Uniji lahko dajo le odobrena nova živila, vključena na seznam Unije. |
|
(2) |
V skladu s členom 8 Uredbe (EU) 2015/2283 je bila sprejeta Izvedbena uredba Komisije (EU) 2017/2470 (2), ki določa seznam Unije odobrenih novih živil. |
|
(3) |
Komisija mora v skladu s členom 12 Uredbe (EU) 2015/2283 predložiti osnutek izvedbenega akta o odobritvi dajanja novega živila na trg Unije in posodobitvi seznama Unije. |
|
(4) |
Z Izvedbenim sklepom Komisije (EU) 2016/375 (3) je bilo v skladu z Uredbo (ES) št. 258/97 Evropskega parlamenta in Sveta (4) odobreno dajanje na trg kemično sintetizirane lakto-N-neotetraoze kot nove živilske sestavine. |
|
(5) |
V skladu s členom 5 Uredbe (ES) št. 258/97 je družba Glycom A/S 1. septembra 2016 Komisijo obvestila, da namerava dati na trg lakto-N-neotetraozo mikrobnega vira, ki se proizvaja s sevom K-12 bakterije Escherichia coli, kot novo živilsko sestavino. |
|
(6) |
V priglasitvi Komisiji je družba Glycom A/S prav tako predložila poročilo, ki ga je izdal pristojni organ Irske v skladu s členom 3(4) Uredbe (ES) št. 258/97, ki je na podlagi znanstvenih dokazov, ki jih je predložila navedena družba, ugotovil, da je lakto-N-neotetraoza, proizvedena s sevom K-12 bakterije Escherichia coli, bistveno enakovredna sintetični lakto-N-neotetraozi, odobreni z Izvedbenim sklepom (EU) 2016/375. Zato je bila lakto-N-neotetraoza mikrobnega vira vključena na seznam Unije novih živil. |
|
(7) |
Družba Chr. Hansen A/S (v nadaljnjem besedilu: vložnik) je 23. junija 2019 pri Komisiji v skladu s členom 10(1) Uredbe (EU) 2015/2283 vložila vlogo za odobritev lakto-N-neotetraoze (mikrobni vir), proizvedene s kombinirano aktivnostjo derivatnih sevov PS-LNnT-JBT in DS-LNnT-JBT seva BL21(DE3) bakterije Escherichia coli, kot novega živila pod enakimi pogoji uporabe kot tisti, ki so trenutno odobreni za sintetično lakto-N-neotetraozo iz mikrobnega vira. Vložnik je glede na nov vir navedenega novega živila zahteval posodobitev seznama Unije. |
|
(8) |
Poleg tega je predlagal posodobitev nekaterih specifikacij lakto-N-neotetraoze (mikrobni vir) , proizvedene z navedenim novim virom, saj se razlikujejo od specifikacij odobrene lakto-N-neotetraoze iz mikrobiološkega vira, proizvedene s sevom K-12 bakterije Escherichia coli, in sicer glede povečanja ravni pepela z ≤ 0,4 % na ≤ 1,0 %, višje ravni prisotnosti kvasovk in plesni s sedanjih ≤ 10 kolonijskih enot (CFU)/g novega živila za vsako vrsto mikroorganizma na ≤ 50 CFU/g za kombinacijo obeh ter odsotnosti metanola (s sedanjih ≤ 100 mg/kg) in izomera fruktoze lakto-N-neotetraoze (s sedanjih ≤ 1,0 %). |
|
(9) |
Komisija je 17. januarja 2020 Evropsko agencijo za varnost hrane (v nadaljnjem besedilu: Agencija) zaprosila za oceno lakto-N-neotetraoze, proizvedene s kombinirano aktivnostjo derivatnih sevov PS-LNnT-JBT in DS-LNnT-JBT seva BL21(DE3) bakterije Escherichia coli v skladu z zahtevami člena 11 Uredbe (EU) 2015/2283. |
|
(10) |
Agencija je 22. oktobra 2020 sprejela znanstveno mnenje o varnosti lakto-N-neotetraoze (LNnT), proizvedene z derivatnimi sevi BL21 bakterije E. coli, kot novega živila v skladu z Uredbo (EU) 2015/2283 (5). |
|
(11) |
V svojem znanstvenem mnenju je ugotovila, da je lakto-N-neotetraoza (LNnT), proizvedena s kombinirano aktivnostjo derivatnih sevov PS-LNnT-JBT in DS-LNnT-JBT seva BL21(DE3) bakterije Escherichia coli, kot novo živilo v skladu z Uredbo (EU) 2015/2283 varna pod trenutno odobrenimi pogoji uporabe. V navedenem znanstvenem mnenju je zato dovolj dokazov za ugotovitev, da je lakto-N-neotetraoza (LNnT), proizvedena s kombinirano aktivnostjo derivatnih sevov PS-LNnT-JBT in DS-LNnT-JBT seva BL21(DE3) bakterije Escherichia coli, v skladu s členom 12(1) Uredbe (EU) 2015/2283. |
|
(12) |
Zato je ustrezno spremeniti specifikacije mikrobiološko proizvedene lakto-N-neotetraoze, da se poleg odobrenega seva K12 bakterije Escherichia coli kot vir novega živila vključita derivatna seva PS-LNnT-JBT in DS-LNnT-JBT seva BL21(DE3) bakterije Escherichia coli, ter spremeniti predlagane ravni za prisotnost pepela, plesni in kvasovk. |
|
(13) |
Prilogo k Uredbi (EU) 2017/2470 bi bilo zato treba ustrezno spremeniti. |
|
(14) |
Ukrepi iz te uredbe so v skladu z mnenjem Stalnega odbora za rastline, živali, hrano in krmo – |
SPREJELA NASLEDNJO UREDBO:
Člen 1
Vnos na seznamu Unije odobrenih novih živil iz člena 6 Uredbe (EU) 2015/2283 v zvezi s snovjo lakto-N-neotetraoza (mikrobni vir) se spremeni, kot je določeno v Prilogi k tej uredbi.
Člen 2
Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.
Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.
V Bruslju, 4. junija 2021
Za Komisijo
predsednica
Ursula VON DER LEYEN
(1) UL L 327, 11.12.2015, str. 1.
(2) Izvedbena uredba Komisije (EU) 2017/2470 z dne 20. decembra 2017 o oblikovanju seznama Unije novih živil v skladu z Uredbo (EU) 2015/2283 Evropskega parlamenta in Sveta o novih živilih (UL L 351, 30.12.2017, str. 72).
(3) Izvedbeni sklep Komisije (EU) 2016/375 z dne 11. marca 2016 o odobritvi dajanja na trg lakto-N-neotetraoze kot nove živilske sestavine v skladu z Uredbo (ES) št. 258/97 Evropskega parlamenta in Sveta (UL L 70, 16.3.2016, str. 22).
(4) Uredba (ES) št. 258/97 Evropskega parlamenta in Sveta z dne 27. januarja 1997 v zvezi z novimi živili in novimi živilskimi sestavinami (UL L 43, 14.2.1997, str. 1).
(5) EFSA Journal 2020;18(11):6305.
PRILOGA
V tabeli 2 (Specifikacije) Izvedbene uredbe (EU) 2017/2470 se vnos „Lakto-N-neotetraoza (mikrobni vir)“ nadomesti z naslednjim:
|
„Lakto-N-neotetraoza (mikrobni vir) |
Opredelitev: kemijsko ime: β-D-galaktopiranozil-(1→4)-2-acetamido-2-deoksi-β-D-glukopiranozil-(1→3)-β-D-galaktopiranozil-(1→4)-D-glukopiranoza kemijska formula: C26H45NO21 št. CAS: 13007-32-4 molekulska masa: 707,63 g/mol Vir:
Opis: Lakto-N-neotetraoza je bel do umazano bel prah, ki se proizvaja z mikrobiološkim postopkom. Čistost: vsebnost (brez vode): ≥ 80 % D-laktoza: ≤ 10,0 % lakto-N-trioza II: ≤ 3,0 % para-lakto-N-neoheksaoza: ≤ 5,0 % izomer fruktoze lakto-N-neotetraoze: ≤ 1,0 % vsota saharidov (lakto-N-neotetraoza, D-laktoza, lakto-N-trioza II, para-lakto-N-neoheksaoza, izomer fruktoze lakto-N-neotetraoze): ≥ 92 % (% m/m suhe snovi) pH (20 °C, 5-odstotna raztopina): 4,0–7,0 voda: ≤ 9,0 % sulfatni pepel: ≤ 1,0 % ostanki topil (metanol): ≤ 100 mg/kg ostanki beljakovin: ≤ 0,01 % Mikrobiološka merila: skupno število aerobnih mezofilnih bakterij: ≤ 500 CFU/g kvasovke in plesni: ≤ 50 CFU/g ostanki endotoksinov: ≤ 10 EU/mg CFU: kolonijske enote; EU: enote endotoksinov“. |
SKLEPI
|
7.6.2021 |
SL |
Uradni list Evropske unije |
L 199/13 |
IZVEDBENI SKLEP KOMISIJE (EU) 2021/913
z dne 3. junija 2021
o harmoniziranih standardih za gospodinjske pomivalne stroje, pripravljenih v podporo Uredbi (EU) 2019/2022 in Delegirani uredbi (EU) 2019/2017
EVROPSKA KOMISIJA JE –
ob upoštevanju Pogodbe o delovanju Evropske unije,
ob upoštevanju Uredbe (EU) št. 1025/2012 Evropskega parlamenta in Sveta z dne 25. oktobra 2012 o evropski standardizaciji, spremembi direktiv Sveta 89/686/EGS in 93/15/EGS ter direktiv 94/9/ES, 94/25/ES, 95/16/ES, 97/23/ES, 98/34/ES, 2004/22/ES, 2007/23/ES, 2009/23/ES in 2009/105/ES Evropskega parlamenta in Sveta ter razveljavitvi Sklepa Sveta 87/95/EGS in Sklepa št. 1673/2006/ES Evropskega parlamenta in Sveta (1) ter zlasti člena 10(6) Uredbe,
ob upoštevanju naslednjega:
|
(1) |
V skladu s členom 9(2) Direktive 2009/125/ES Evropskega parlamenta in Sveta (2) države članice izdelek, pri katerem so bili uporabljeni harmonizirani standardi, katerih sklicne številke so bile objavljene v Uradnem listu Evropske unije, obravnavajo kot skladen z vsemi ustreznimi določbami ustreznega izvedbenega ukrepa, na katerega se ti standardi nanašajo. Člen 4 Uredbe Komisije (EU) 2019/2022 (3) in Priloga III k navedeni uredbi določata ustrezne zahteve za merjenje in izračunavanje za gospodinjske pomivalne stroje. |
|
(2) |
V skladu s členom 13 Uredbe (EU) 2017/1369 Evropskega parlamenta in Sveta (4) Komisija po sprejetju delegiranega akta na podlagi člena 16 navedene uredbe, v katerem se določijo posebne zahteve za označevanje z nalepkami, v Uradnem listu Evropske unije objavi napotila na harmonizirane standarde, ki so skladni z ustreznimi zahtevami za merjenje in izračunavanje iz delegiranega akta. Če se pri ocenjevanju skladnosti izdelka uporabljajo taki harmonizirani standardi, se domneva, da je model skladen z ustreznimi zahtevami za merjenje in izračunavanje iz delegiranega akta. Člen 3 Delegirane uredbe Komisije (EU) 2019/2017 (5) in Priloga IV k navedeni uredbi določata zahteve za merjenje in izračunavanje za gospodinjske pomivalne stroje. |
|
(3) |
Komisija je z Izvedbenim sklepom C(2020) 4329 (6) od Evropskega odbora za standardizacijo (CEN), Evropskega odbora za elektrotehnično standardizacijo (CENELEC) in Evropskega inštituta za telekomunikacijske standarde (ETSI) zahtevala revizijo obstoječih harmoniziranih standardov za gospodinjske pomivalne stroje ter gospodinjske pralne in pralno-sušilne stroje v podporo uredbama (EU) 2019/2022 in (EU) 2019/2023 ter delegiranima uredbama (EU) 2019/2017 in (EU) 2019/2014. |
|
(4) |
Na podlagi zahteve iz Izvedbenega sklepa C(2020) 4329 je CENELEC pripravil osnutek harmoniziranega standarda EN 60436:2020, da bi upošteval tehnični in znanstveni napredek. CENELEC je sprejel tudi spremembo EN 60436:2020/A11:2020 navedenega standarda in njegov popravek EN 60436:2020/AC:2020-6. |
|
(5) |
Komisija je skupaj s CENELEC ocenila, ali je harmonizirani standard EN 60436:2020, kakor je bil spremenjen z EN 60436:2020/A11:2020 in popravljen z EN 60436:2020/AC:2020-6, skladen z zahtevo iz Izvedbenega sklepa C(2020) 4329. |
|
(6) |
Harmonizirani standard EN 60436:2020, kakor je bil spremenjen z EN 60436:2020/A11:2020 in popravljen z EN 60436:2020/AC:2020-6, izpolnjuje zahteve, ki naj bi jih zajemal in ki so določene v Uredbi (EU) 2019/2022 in Delegirani uredbi (EU) 2019/2017. |
|
(7) |
Pojasniti je treba, katere različice standardov iz klavzule „3 Sprememba klavzule 2 ‚Normativni sklici‘“ standarda EN 60436:2020 je treba uporabljati za domnevo o skladnosti. |
|
(8) |
Stolpec „Pripombe/opombe*“ v tabeli ZZA.1 v standardu EN 60436:2020 za namene Delegirane uredbe (EU) 2019/2017 in stolpec „Pripombe/opombe*“ v tabeli ZZB.1 v navedenem standardu za namene Uredbe (EU) 2019/2022 bi bilo treba izvzeti iz objave zaradi neskladnosti navedenih stolpcev z zahtevami glavnega normativnega dela standarda in zaradi pravne negotovosti, ki izhaja iz razlage pravnega učinka domneve o skladnosti iz opombe k navedenima stolpcema. |
|
(9) |
Zato je primerno, da se v Uradnem listu Evropske unije objavi sklic na harmonizirani standard EN 60436:2020, kakor je bil spremenjen z EN 60436:2020/A11:2020 in popravljen z EN 60436:2020/AC:2020-6. |
|
(10) |
Harmonizirani standard EN 60436:2020 nadomešča harmonizirani standard EN 50242:2016, objavljen s sporočilom Komisije 2016/C 416/05 (7). Zato je primerno, da se navedeno sporočilo razveljavi. |
|
(11) |
Skladnost s harmoniziranim standardom zagotavlja domnevo o skladnosti z ustreznimi zahtevami iz harmonizacijske zakonodaje Unije od datuma objave sklica na tak standard v Uradnem listu Evropske unije. Ta sklep bi zato moral začeti veljati z datumom objave – |
SPREJELA NASLEDNJI SKLEP:
Člen 1
Sklic na harmonizirani standard za označevanje energijske učinkovitosti gospodinjskih pomivalnih strojev, pripravljen v podporo Delegirani uredbi (EU) 2019/2017 in naveden v Prilogi I k temu sklepu, se objavi v Uradnem listu Evropske unije z omejitvijo.
Sklic na harmonizirani standard o okoljsko primerni zasnovi gospodinjskih pomivalnih strojev, pripravljen v podporo Uredbi (EU) 2019/2022 in naveden v Prilogi II k temu sklepu, se objavi v Uradnem listu Evropske unije z omejitvijo.
Člen 2
Sporočilo 2016/C 416/05 se razveljavi.
Člen 3
Ta sklep začne veljati na dan objave v Uradnem listu Evropske unije.
V Bruslju, 3. junija 2021
Za Komisijo
predsednica
Ursula VON DER LEYEN
(1) UL L 316, 14.11.2012, str. 12.
(2) Direktiva 2009/125/ES Evropskega parlamenta in Sveta z dne 21. oktobra 2009 o vzpostavitvi okvira za določanje zahtev za okoljsko primerno zasnovo izdelkov, povezanih z energijo (UL L 285, 31.10.2009, str. 10).
(3) Uredba Komisije (EU) 2019/2022 z dne 1. oktobra 2019 o določitvi zahtev za okoljsko primerno zasnovo gospodinjskih pomivalnih strojev v skladu z Direktivo 2009/125/ES Evropskega parlamenta in Sveta ter spremembi Uredbe Komisije (ES) št. 1275/2008 in razveljavitvi Uredbe Komisije (EU) št. 1016/2010 (UL L 315, 5.12.2019, str. 267).
(4) Uredba (EU) 2017/1369 Evropskega parlamenta in Sveta z dne 4. julija 2017 o vzpostavitvi okvira za označevanje z energijskimi nalepkami in razveljavitvi Direktive 2010/30/EU (UL L 198, 28.7.2017, str. 1).
(5) Delegirana uredba Komisije (EU) 2019/2017 z dne 11. marca 2019 o dopolnitvi Uredbe (EU) 2017/1369 Evropskega parlamenta in Sveta v zvezi z označevanjem gospodinjskih pomivalnih strojev z energijskimi nalepkami ter razveljavitvi Delegirane uredbe Komisije (EU) št. 1059/2010 (UL L 315, 5.12.2019, str. 134).
(6) Izvedbeni sklep Komisije C(2020) 4329 z dne 1. julija 2020 o zahtevi za standardizacijo Evropskemu odboru za standardizacijo, Evropskemu odboru za elektrotehnično standardizacijo in Evropskemu inštitutu za telekomunikacijske standarde glede zahtev za okoljsko primerno zasnovo in označevanje energijske učinkovitosti gospodinjskih pomivalnih strojev ter gospodinjskih pralnih in pralno-sušilnih strojev v podporo uredbama Komisije (EU) 2019/2022 in (EU) 2019/2023 ter delegiranima uredbama Komisije (EU) 2019/2017 in (EU) 2019/2014.
(7) Sporočilo Komisije v okviru izvajanja Uredbe Komisije (EU) št. 1016/2010 o izvajanju Direktive Evropskega parlamenta in Sveta 2009/125/ES v zvezi z zahtevami za okoljsko primerno zasnovo gospodinjskih pomivalnih strojev ter Delegirane uredbe Komisije (EU) št. 1059/2010 o dopolnitvi Direktive 2010/30/EU Evropskega parlamenta in Sveta v zvezi z energijskim označevanjem gospodinjskih pomivalnih strojev (Objava naslovov in sklicev harmoniziranih standardov po usklajeni zakonodaji Unije) (UL C 416, 11.11.2016, str. 14).
PRILOGA I
Sklic na harmonizirani standard, pripravljen v podporo Delegirani uredbi (EU) 2019/2017
|
EN 60436:2020 Električni pomivalni stroji za gospodinjstva – Preskusne metode za merjenje lastnosti EN 60436:2020/A11:2020 EN 60436:2020/AC:2020-6 Omejitve:
|
PRILOGA II
Sklic na harmonizirani standard, pripravljen v podporo Uredbi (EU) 2019/2022
|
EN 60436:2020 Električni pomivalni stroji za gospodinjstva – Preskusne metode za merjenje lastnosti EN 60436:2020/A11:2020 EN 60436:2020/AC:2020-6 Omejitve:
|
|
7.6.2021 |
SL |
Uradni list Evropske unije |
L 199/18 |
IZVEDBENI SKLEP KOMISIJE (EU) 2021/915
z dne 4. junija 2021
o standardnih pogodbenih določilih med upravljavci in obdelovalci v skladu s členom 28(7) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta ter členom 29(7) Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta
(Besedilo velja za EGP)
EVROPSKA KOMISIJA JE –
ob upoštevanju Pogodbe o delovanju Evropske unije,
ob upoštevanju Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (1) in zlasti člena 28(7) Uredbe,
ob upoštevanju Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (2) ter zlasti člena 29(7) Uredbe,
ob upoštevanju naslednjega:
|
(1) |
Pojma upravljavec in obdelovalec sta bistvena za uporabo Uredbe (EU) 2016/679 in Uredbe (EU) 2018/1725. Upravljavec je fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov. V Uredbi (EU) 2018/1725 upravljavec pomeni institucijo ali organ Unije ali generalni direktorat ali kateri koli drug organizacijski subjekt, ki sam ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov. Kadar namene in sredstva obdelave določa posebni akt Unije, lahko upravljavca ali posebna merila za njegovo imenovanje določi Unija. Obdelovalec je fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca. |
|
(2) |
Za razmerje med upravljavci podatkov in obdelovalci podatkov, za katere velja Uredba (EU) 2016/679 in tudi kadar zanje velja Uredba (EU) 2018/1725, bi se moral uporabljati isti sklop standardnih pogodbenih določil. To pa zato, ker so bila zaradi usklajenega pristopa k varstvu osebnih podatkov po vsej Uniji in prostega pretoka osebnih podatkov v Uniji pravila o varstvu podatkov iz Uredbe (EU) 2016/679, ki se uporabljajo za javni sektor v državah članicah, in pravila o varstvu podatkov iz Uredbe (EU) 2018/1725, ki se uporabljajo za institucije, organe, urade in agencije Unije, med seboj kar najbolj usklajena. |
|
(3) |
Za zagotovitev skladnosti z zahtevami iz uredb (EU) 2016/679 in (EU) 2018/1725 bi smel upravljavec dejavnosti obdelave zaupati le tistim obdelovalcem, ki zagotavljajo zadostna jamstva, zlasti v smislu strokovnega znanja, zanesljivosti in virov za izvajanje tehničnih in organizacijskih ukrepov, ki bodo izpolnili zahteve iz Uredbe (EU) 2016/679 in Uredbe (EU) 2018/1725, vključno za varnost obdelave. |
|
(4) |
Obdelava, ki jo opravlja obdelovalec, mora biti urejena s pogodbo ali drugim pravnim aktom v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca in v katerem so določeni elementi iz člena 28(3) in (4) Uredbe (EU) 2016/679 oziroma člena 29(3) in (4) Uredbe (EU) 2018/1725. Takšna pogodba ali akt je v pisni obliki, tudi v elektronski obliki. |
|
(5) |
V skladu s členom 28(6) Uredbe (EU) 2016/679 in členom 29(6) Uredbe (EU) 2018/1725 se lahko upravljavec in obdelovalec odločita za pogajanje o individualni pogodbi, ki vsebuje obvezne elemente iz člena 28(3) in (4) Uredbe (EU) 2016/679 oziroma člena 29(3) in (4) Uredbe (EU) 2018/1725, ali za polno ali delno uporabo standardnih pogodbenih določil, ki jih je Komisija sprejela v skladu s členom 28(7) Uredbe (EU) 2016/679 oziroma členom 29(7) Uredbe (EU) 2018/1725. |
|
(6) |
Upravljavec in obdelovalec bi morala imeti možnost, da standardna pogodbena določila iz tega sklepa vključita v širšo pogodbo in dodata druga določila ali dodatne zaščitne ukrepe, če neposredno ali posredno ne nasprotujejo standardnim pogodbenim določilom ali posegajo v temeljne pravice ali svoboščine posameznikov, na katere se nanašajo osebni podatki. Uporaba standardnih pogodbenih določil ne posega v pogodbene obveznosti upravljavca in/ali obdelovalca, da zagotovi spoštovanje veljavnih privilegijev in imunitet. |
|
(7) |
Standardna pogodbena določila bi morala zajemati tako pravila materialnega prava kot postopkovna pravila. V skladu s členom 28(3) Uredbe (EU) 2016/679 in členom 29(3) Uredbe (EU) 2018/1725 bi bilo treba v standardna pogodbena določila vključiti tudi obveznost za upravljavce in obdelovalce, da določijo vsebino in trajanje obdelave, njeno naravo in namen, vrsto zadevnih osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. |
|
(8) |
V skladu s členom 28(3) Uredbe (EU) 2016/679 in členom 29(3) Uredbe (EU) 2018/1725 mora obdelovalec nemudoma obvestiti upravljavca, če po njegovem mnenju navodilo upravljavca krši Uredbo (EU) 2016/679 oziroma Uredbo (EU) 2018/1725 ali pa druge določbe Unije ali predpise držav članic o varstvu podatkov. |
|
(9) |
Če obdelovalec za izvajanje specifičnih dejavnosti najame drugega obdelovalca, bi se morale uporabljati posebne zahteve iz člena 28(2) in (4) Uredbe (EU) 2016/679 oziroma člena 29(2) in (4) Uredbe (EU) 2018/1725. Zlasti se zahteva posebno ali splošno predhodno pisno dovoljenje. Ne glede na to, ali je predhodno dovoljenje posebno ali splošno, bi moral prvi obdelovalec redno posodabljati seznam drugih obdelovalcev. |
|
(10) |
Komisija je za izpolnitev zahtev iz člena 46(1) Uredbe (EU) 2016/679 sprejela standardna pogodbena določila v skladu s členom 46(2)(c) Uredbe (EU) 2016/679. Navedena določila izpolnjujejo tudi zahteve iz člena 28(3) in (4) Uredbe (EU) 2016/679 za prenose podatkov od upravljavcev, za katere se uporablja Uredba (EU) 2016/679, obdelovalcem zunaj ozemeljske veljavnosti navedene uredbe ali od obdelovalcev, za katere se uporablja Uredba (EU) 2016/679, podobdelovalcem zunaj ozemeljske veljavnosti navedene uredbe. Teh standardnih pogodbenih določil ni mogoče uporabiti kot standardna pogodbena določila za namene poglavja V Uredbe (EU) 2016/679. |
|
(11) |
Tretje osebe bi se morale imeti možnost pridružiti standardnim pogodbenim določilom kadar koli v trajanju veljavnosti pogodbe. |
|
(12) |
Uporabo standardnih pogodbenih določil bi bilo treba ovrednotiti podredno rednemu vrednotenju Uredbe (EU) 2016/679 iz člena 97 navedene uredbe. |
|
(13) |
Opravljeno je bilo posvetovanje z Evropskim nadzornikom za varstvo podatkov in Evropskim odborom za varstvo podatkov v skladu s členom 42(1) in (2) Uredbe (EU) 2018/1725, ki sta 14. januarja 2021 izdala skupno mnenje (3), ki je bilo upoštevano pri pripravi tega sklepa. |
|
(14) |
Ukrepi iz tega sklepa so skladni z mnenjem odbora, ustanovljenega na podlagi člena 93 Uredbe (EU) 2016/679 in člena 96(2) Uredbe (EU) 2018/1725 – |
SPREJELA NASLEDNJI SKLEP:
Člen 1
Standardna pogodbena določila iz Priloge izpolnjujejo zahteve za pogodbe med upravljavci in obdelovalci iz člena 28(3) in (4) Uredbe (EU) 2016/679 ter člena 29(3) in (4) Uredbe (EU) 2018/1725.
Člen 2
Standardna pogodbena določila iz Priloge se lahko uporabljajo v pogodbah med upravljavcem in obdelovalcem, ki obdeluje osebne podatke v imenu upravljavca.
Člen 3
Komisija ovrednoti praktično uporabo standardnih pogodbenih določil iz Priloge na podlagi vseh razpoložljivih informacij v okviru rednega vrednotenja iz člena 97 Uredbe (EU) 2016/679.
Člen 4
Ta sklep začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.
V Bruslju, 4. junija 2021
Za Komisijo
predsednica
Ursula VON DER LEYEN
(1) UL L 119, 4.5.2016, str. 1.
(2) UL L 295, 21.11.2018, str. 39.
(3) Skupno mnenje Evropskega nadzornika za varstvo podatkov in Evropskega odbora za varstvo podatkov št. 1/2021 glede Izvedbenega sklepa Evropske komisije o standardnih pogodbenih določilih med upravljavci in obdelovalci za zadeve iz člena 28(7) Uredbe (EU) 2016/679 in člena 29(7) Uredbe (EU) 2018/1725.
PRILOGA
Standardna pogodbena določila
ODDELEK I
Določilo 1
Namen in področje uporabe
|
(a) |
Namen teh standardnih pogodbenih določil (v nadaljnjem besedilu: določila) je zagotoviti skladnost s [izberite ustrezno možnost: MOŽNOST 1: členom 28(3) in (4) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov)] / [MOŽNOST 2: členom 29(3) in (4) Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES]. |
|
(b) |
Upravljavci in obdelovalci na seznamu iz Priloge I soglašajo s temi določili, da se zagotovi skladnost s členom 28(3) in (4) Uredbe (EU) 2016/679 in/ali členom 29(3) in (4) Uredbe (EU) 2018/1725. |
|
(c) |
Ta določila se uporabljajo za obdelavo osebnih podatkov, kot je določeno v Prilogi II. |
|
(d) |
Priloge I do IV so sestavni del določil. |
|
(e) |
Ta določila ne posegajo v obveznosti, ki veljajo za upravljavca na podlagi Uredbe (EU) 2016/679 in/ali Uredbe (EU) 2018/1725. |
|
(f) |
Ta določila sama po sebi ne zagotavljajo skladnosti z obveznostmi v zvezi z mednarodnimi prenosi v skladu s poglavjem V Uredbe (EU) 2016/679 in/ali Uredbe (EU) 2018/1725. |
Določilo 2
Nespremenljivost določil
|
(a) |
Pogodbenice se zavezujejo, da ne bodo spreminjale določil, razen dodajanja informacij v priloge ali posodabljanja informacij v njih. |
|
(b) |
To pogodbenicam ne preprečuje, da standardna pogodbena določila iz teh določil vključijo v širšo pogodbo ali dodajo druga določila ali dodatne zaščitne ukrepe, če neposredno ali posredno ne nasprotujejo določilom ali posegajo v temeljne pravice ali svoboščine posameznikov, na katere se nanašajo osebni podatki. |
Določilo 3
Razlaga
|
(a) |
Kadar se v teh določilih uporabljajo izrazi, opredeljeni v Uredbi (EU) 2016/679 oziroma Uredbi (EU) 2018/1725, imajo ti izrazi isti pomen kot v navedeni uredbi. |
|
(b) |
Ta določila se berejo in razlagajo v skladu z določbami Uredbe (EU) 2016/679 oziroma Uredbe (EU) 2018/1725. |
|
(c) |
Ta določila se ne razlagajo na način, ki bi bil v nasprotju s pravicami in obveznostmi iz Uredbe (EU) 2016/679 oziroma Uredbe (EU) 2018/1725, ali na način, ki posega v temeljne pravice ali svoboščine posameznikov, na katere se nanašajo osebni podatki. |
Določilo 4
Hierarhija
V primeru neskladja med temi določili in določbami povezanih dogovorov med pogodbenicami, ki obstajajo v času sprejetja dogovora o teh določilih ali so sklenjeni po tem, prevladajo ta določila.
Določilo 5 – Neobvezno
Določilo o pridružitvah
|
(a) |
Vsak subjekt, ki ni pogodbenica teh določil, se lahko s soglasjem vseh pogodbenic k tem določilom pridruži kadar koli kot upravljavec ali obdelovalec, in sicer tako, da izpolni priloge in podpiše Prilogo I. |
|
(b) |
Ko so priloge iz točke (a) izpolnjene in podpisane, se pridruženi subjekt obravnava kot pogodbenica teh določil ter ima pravice in obveznosti upravljavca ali obdelovalca v skladu z njegovim imenovanjem v Prilogi I. |
|
(c) |
Pridruženi subjekt nima nobenih pravic ali obveznosti na podlagi teh določil iz obdobja, preden je postal pogodbenica. |
ODDELEK II
OBVEZNOSTI POGODBENIC
Določilo 6
Opis obdelave
Podrobnosti postopkov obdelave, zlasti vrste osebnih podatkov in nameni, za katere se osebni podatki obdelujejo v imenu upravljavca, so določene v Prilogi II.
Določilo 7
Obveznosti pogodbenic
7.1 Navodila
|
(a) |
Obdelovalec obdeluje osebne podatke samo po dokumentiranih navodilih upravljavca, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca. V slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu. Upravljavec lahko med celotnim trajanjem obdelave osebnih podatkov da tudi nadaljnja navodila. Ta navodila se vedno dokumentirajo. |
|
(b) |
Obdelovalec nemudoma obvesti upravljavca, če po mnenju obdelovalca navodila upravljavca kršijo Uredbo (EU) 2016/679 oziroma Uredbo (EU) 2018/1725 ali veljavne določbe Unije ali države članice o varstvu podatkov. |
7.2 Omejitev namena
Obdelovalec obdeluje osebne podatke samo za posebne namene obdelave, kot je določeno v Prilogi II, razen če od upravljavca prejme nadaljnja navodila.
7.3 Trajanje obdelave osebnih podatkov
Obdelovalec lahko osebne podatke obdeluje le toliko časa, kot je določeno v Prilogi II.
7.4 Varnost obdelave
|
(a) |
Obdelovalec izvaja vsaj tehnične in organizacijske ukrepe iz Priloge III, da zagotovi varnost osebnih podatkov. To vključuje zaščito podatkov pred kršitvijo njihove varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do podatkov (v nadaljnjem besedilu: kršitev varnosti osebnih podatkov). Pri določanju ustrezne ravni varnosti pogodbenice ustrezno upoštevajo najnovejši tehnološki razvoj, stroške izvajanja ter naravo, obseg, okoliščine in namene obdelave ter s tem povezana tveganja za posameznike, na katere se nanašajo osebni podatki. |
|
(b) |
Obdelovalec članom svojega osebja odobri dostop do osebnih podatkov, ki se obdelujejo, zgolj v obsegu, ki je nujno potreben za izvajanje, upravljanje in spremljanje pogodbe. Obdelovalec zagotovi, da so osebe, ki so pooblaščene za obdelavo prejetih osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon. |
7.5 Občutljivi podatki
Če obdelava vključuje osebne podatke, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, genetske podatke ali biometrične podatke za namene edinstvene identifikacije posameznika, podatke v zvezi z zdravjem ali spolnim življenjem ali spolno usmerjenostjo posameznika ali podatke v zvezi s kazenskimi obsodbami in kaznivimi dejanji („občutljivi podatki“), obdelovalec uporabi posebne omejitve in/ali dodatne zaščitne ukrepe.
7.6 Dokumentacija in skladnost
|
(a) |
Pogodbenice so sposobne dokazati skladnost s temi določili. |
|
(b) |
Obdelovalec nemudoma in ustrezno obravnava poizvedbe upravljavca v zvezi z obdelavo podatkov v skladu s temi določili. |
|
(c) |
Obdelovalec da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti, ki so določene v teh določilih in izhajajo neposredno iz Uredbe (EU) 2016/679 in/ali Uredbe (EU) 2018/1725. Obdelovalec na zahtevo upravljavca prav tako dovoli revizije dejavnosti obdelave, ki jih zajemajo ta določila, in k njim prispeva v razumnih časovnih presledkih ali v primeru znakov neskladnosti. Upravljavec lahko pri odločanju o pregledu ali reviziji upošteva ustrezne certifikate obdelovalca. |
|
(d) |
Upravljavec se lahko odloči, da bo revizijo izvedel sam ali pooblastil neodvisnega revizorja. Revizije lahko vključujejo tudi inšpekcijske preglede v prostorih ali fizičnih objektih obdelovalca in se po potrebi izvedejo v razumnem roku od obvestila o njih. |
|
(e) |
Pogodbenice pristojnemu nadzornemu organu oziroma organom na zahtevo omogočijo dostop do informacij iz tega določila, vključno z rezultati revizij. |
7.7 Uporaba podobdelovalcev
|
(a) |
MOŽNOST 1: PREDHODNO POSEBNO DOVOLJENJE: Obdelovalec nobenega od svojih postopkov obdelave, ki jih izvaja v imenu upravljavca v skladu s temi določili, ne odda v izvajanje podobdelovalcu brez predhodnega posebnega pisnega dovoljenja upravljavca. Obdelovalec predloži zahtevo za posebno dovoljenje vsaj [DOLOČITI ČASOVNO OBDOBJE] pred najemom zadevnega podobdelovalca ter priloži informacije, ki jih upravljavec potrebuje, da lahko odloči o dovoljenju. Podobdelovalci, ki jih je odobril upravljavec, so navedeni na seznamu v Prilogi IV. Pogodbenice redno posodabljajo Prilogo IV. MOŽNOST 2: SPLOŠNO PISNO DOVOLJENJE: Obdelovalec ima splošno dovoljenje upravljavca za najem podobdelovalcev z dogovorjenega seznama. Obdelovalec posebej pisno obvesti upravljavca o vseh nameravanih spremembah tega seznama z dodajanjem ali zamenjavo podobdelovalcev vsaj [DOLOČITI ČASOVNO OBDOBJE] vnaprej, s čimer upravljavcu zagotovi dovolj časa, da lahko ugovarja takšnim spremembam, preden je zadevni podobdelovalec najet. Obdelovalec zagotovi upravljavcu informacije, ki jih slednji potrebuje za uveljavljanje pravice do ugovora. |
|
(b) |
Kadar obdelovalec najame podobdelovalca za izvajanje posebnih dejavnosti obdelave (v imenu upravljavca), to stori s pogodbo, ki podobdelovalcu nalaga vsebinsko enake obveznosti glede varstva podatkov, kot jih ima obdelovalec podatkov v skladu s temi določili. Obdelovalec zagotovi, da podobdelovalec izpolnjuje obveznosti, ki veljajo za obdelovalca v skladu s temi določili ter Uredbo (EU) 2016/679 in/ali Uredbo (EU) 2018/1725. |
|
(c) |
Obdelovalec na zahtevo upravljavca slednjemu zagotovi kopijo take pogodbe s podobdelovalcem in vseh njenih naknadnih sprememb. Kolikor je to potrebno za varovanje poslovnih skrivnosti ali drugih zaupnih informacij, vključno z osebnimi podatki, lahko obdelovalec pred posredovanjem kopije zakrije občutljive in zaupne dele pogodbe. |
|
(d) |
Obdelovalec ostane v celoti odgovoren upravljavcu za izpolnjevanje obveznosti podobdelovalca v skladu z njegovo pogodbo z obdelovalcem. Obdelovalec obvesti upravljavca, če podobdelovalec ne izpolnjuje več svojih pogodbenih obveznosti. |
|
(e) |
Obdelovalec se s podobdelovalcem dogovori o klavzuli v korist tretjega, v skladu s katero ima upravljavec, če obdelovalec dejansko izgine, pravno preneha obstajati ali postane insolventen, pravico, da odpove pogodbo podobdelovalca in naroči podobdelovalcu, naj izbriše ali vrne osebne podatke. |
7.8 Mednarodni prenosi podatkov
|
(a) |
Obdelovalec lahko podatke tretji državi ali mednarodni organizaciji prenese le na podlagi dokumentiranih navodil upravljavca ali zaradi izpolnjevanja posebne zahteve v skladu s pravom Unije ali pravom države članice, ki velja za obdelovalca, in sicer v skladu s poglavjem V Uredbe (EU) 2016/679 ali Uredbe (EU) 2018/1725. |
|
(b) |
Upravljavec soglaša, da kadar obdelovalec v skladu z določilom 7.7 za izvajanje posebnih dejavnosti obdelave (v imenu upravljavca) najame podobdelovalca in te dejavnosti obdelave vključujejo prenos osebnih podatkov v smislu poglavja V Uredbe (EU) 2016/679, lahko obdelovalec in podobdelovalec zagotovita skladnost s poglavjem V Uredbe (EU) 2016/679 z uporabo standardnih pogodbenih določil, ki jih je sprejela Komisija v skladu s členom 46(2) Uredbe (EU) 2016/679, če so izpolnjeni pogoji za uporabo navedenih standardnih pogodbenih določil. |
Določilo 8
Pomoč upravljavcu
|
(a) |
Obdelovalec nemudoma obvesti upravljavca o vsaki zahtevi, ki jo je prejel od posameznika, na katerega se nanašajo osebni podatki. Na to zahtevo se ne odzove sam, razen če ga za to pooblasti upravljavec. |
|
(b) |
Obdelovalec pomaga upravljavcu pri izpolnjevanju njegovih obveznosti odzivanja na zahteve posameznikov, na katere se nanašajo osebni podatki, za uveljavljanje njihovih pravic, pri čemer upošteva naravo obdelave. Obdelovalec pri izpolnjevanju svojih obveznosti v skladu s točkama (a) in (b) ravna v skladu z navodili upravljavca. |
|
(c) |
Poleg obveznosti, da pomaga upravljavcu v skladu z določilom 8(b), obdelovalec pomaga upravljavcu pri zagotavljanju izpolnjevanja naslednjih obveznosti, pri čemer upošteva naravo obdelave podatkov in informacije, ki so mu na voljo:
|
|
(d) |
Pogodbenice v Prilogi III določijo ustrezne tehnične in organizacijske ukrepe, s katerimi obdelovalec upravljavcu pomaga pri uporabi tega določila, ter področje in obseg potrebne pomoči. |
Določilo 9
Obvestilo o kršitvi varnosti osebnih podatkov
V primeru kršitve varnosti osebnih podatkov obdelovalec sodeluje z upravljavcem in mu pomaga pri izpolnjevanju njegovih obveznosti iz členov 33 in 34 Uredbe (EU) 2016/679 oziroma členov 34 in 35 Uredbe (EU) 2018/1725, kadar je ustrezno, pri čemer upošteva naravo obdelave in informacije, ki so mu na voljo.
9.1 Kršitev varstva podatkov v zvezi s podatki, ki jih obdeluje upravljavec
V primeru kršitve varnosti osebnih podatkov v zvezi s podatki, ki jih obdeluje upravljavec, obdelovalec upravljavcu pomaga pri:
|
(a) |
obveščanju pristojnega nadzornega organa oziroma organov o kršitvi varnosti osebnih podatkov brez nepotrebnega odlašanja po seznanitvi upravljavca s kršitvijo, kadar je to ustrezno (razen če ni verjetno, da bi kršitev varnosti osebnih podatkov povzročila tveganje za pravice in svoboščine posameznikov); |
|
(b) |
pridobivanju naslednjih informacij, ki se v skladu s členom 33(3) Uredbe (EU) 2016/679 [MOŽNOST 1] / členom 34(3) Uredbe (EU) 2018/1725 [MOŽNOST 2] navedejo v uradnem obvestilu upravljavca in morajo vključevati vsaj:
|
Kadar in kolikor vseh teh informacij ni mogoče zagotoviti hkrati, začetno obvestilo vsebuje informacije, ki so takrat na voljo, nadaljnje informacije pa se takoj, ko so na voljo, predložijo brez nepotrebnega odlašanja;
|
(c) |
izpolnjevanju obveznosti v skladu s členom 34 Uredbe (EU) 2016/679 [MOŽNOST 1] / členom 35 Uredbe (EU) 2018/1725 [MOŽNOST 2], da se posameznik, na katerega se nanašajo osebni podatki, brez nepotrebnega odlašanja obvesti o kršitvi varnosti osebnih podatkov, kadar je verjetno, da bo kršitev varnosti osebnih podatkov povzročila veliko tveganje za pravice in svoboščine posameznikov. |
9.2 Kršitev varstva podatkov v zvezi s podatki, ki jih obdeluje obdelovalec
V primeru kršitve varnosti osebnih podatkov v zvezi s podatki, ki jih obdeluje obdelovalec, obdelovalec o tem nemudoma obvesti upravljavca, potem ko je izvedel za kršitev. Tako obvestilo zajema vsaj:
|
(a) |
opis narave kršitve (po možnosti vključno s kategorijami in približnim številom zadevnih posameznikov, na katere se nanašajo osebni podatki, ter kategorijami in približnim številom zadevnih evidenc osebnih podatkov); |
|
(b) |
podrobnosti o kontaktni točki, kjer je mogoče dobiti več informacij o kršitvi varnosti osebnih podatkov; |
|
(c) |
verjetne posledice kršitve in ukrepe, ki so bili sprejeti ali katerih sprejetje je bilo predlagano za obravnavanje kršitve, vključno z ukrepi za ublažitev njenih morebitnih škodljivih učinkov. |
Kadar in kolikor vseh teh informacij ni mogoče zagotoviti hkrati, začetno obvestilo vsebuje informacije, ki so takrat na voljo, nadaljnje informacije pa se takoj, ko so na voljo, predložijo brez nepotrebnega odlašanja.
Pogodbenice v Prilogi III določijo vse druge elemente, ki jih mora obdelovalec zagotoviti, ko upravljavcu pomaga pri izpolnjevanju obveznosti upravljavca iz členov 33 in 34 Uredbe (EU) 2016/679 [MOŽNOST 1] / členov 34 in 35 Uredbe (EU) 2018/1725 [MOŽNOST 2].
ODDELEK III
KONČNE DOLOČBE
Določilo 10
Neskladnost z določili in odpoved pogodbe
|
(a) |
Brez poseganja v katere koli določbe Uredbe (EU) 2016/679 in/ali Uredbe (EU) 2018/1725 lahko upravljavec v primeru, da obdelovalec krši svoje obveznosti iz teh določil, naroči obdelovalcu, naj začasno prekine obdelavo osebnih podatkov, dokler slednji ne zagotovi skladnosti s temi določili, sicer pogodbo odpove. Obdelovalec takoj obvesti upravljavca, če iz kakršnega koli razloga ne more zagotoviti skladnosti s temi določili. |
|
(b) |
Upravljavec ima pravico, da odpove pogodbo, kolikor zadeva obdelavo osebnih podatkov v skladu s temi določili, če:
|
|
(c) |
Obdelovalec ima pravico, da odpove pogodbo, kolikor zadeva obdelavo osebnih podatkov v skladu s temi določili, če upravljavec po tem, ko ga je obdelovalec obvestil, da njegova navodila kršijo veljavne pravne zahteve v skladu z določilom 7.1(b), vztraja pri upoštevanju navodil. |
|
(d) |
Obdelovalec po odpovedi pogodbe v skladu z odločitvijo upravljavca izbriše vse osebne podatke, ki jih je obdelal v imenu upravljavca, in upravljavcu potrdi, da je to storil, ali vse osebne podatke vrne upravljavcu in izbriše obstoječe kopije, razen če pravo Unije ali pravo države članice zahteva hrambo osebnih podatkov. Obdelovalec zagotavlja skladnost s temi določili, dokler se podatki ne izbrišejo ali vrnejo. |
PRILOGA I
Seznam pogodbenic
Upravljavci: [Identiteta in kontaktni podatki upravljavcev ter po potrebi pooblaščene osebe za varstvo podatkov pri upravljavcu]
|
1. |
Ime: … |
|
|
Naslov: … |
|
|
Ime, položaj in kontaktni podatki kontaktne osebe: … |
|
|
Podpis in datum pridružitve: … |
|
2. |
|
…
Obdelovalci: [Identiteta in kontaktni podatki obdelovalcev ter po potrebi pooblaščene osebe za varstvo podatkov pri obdelovalcu]
|
1. |
Ime: … |
|
|
Naslov: … |
|
|
Ime, položaj in kontaktni podatki kontaktne osebe: … |
|
|
Podpis in datum pridružitve: … |
|
2. |
|
…
PRILOGA II
Opis obdelave
Kategorije posameznikov, na katere se nanašajo osebni podatki in katerih osebni podatki se obdelujejo
…
Vrste osebnih podatkov, ki se obdelujejo
…
Obdelani občutljivi podatki (če je primerno) in uporabljene omejitve ali zaščitni ukrepi, ki v celoti upoštevajo naravo podatkov in povezana tveganja, kot so na primer stroga omejitev namena, omejitve dostopa (vključno z dostopom samo za osebje, ki se je udeležilo posebnega usposabljanja), vodenje evidence dostopa do podatkov, omejitve za nadaljnje prenose ali dodatni varnostni ukrepi.
…
Narava obdelave
…
Nameni, za katere se osebni podatki obdelujejo v imenu upravljavca
…
Trajanje obdelave
…
…
Za obdelavo, ki jo izvajajo (pod)obdelovalci, navedite tudi predmet, naravo in trajanje obdelave.
PRILOGA III
Tehnični in organizacijski ukrepi, vključno s tehničnimi in organizacijskimi ukrepi za zagotovitev varnosti podatkov
POJASNJEVALNA OPOMBA:
Tehnične in organizacijske ukrepe je treba opisati konkretno in ne splošno.
Opis tehničnih in organizacijskih varnostnih ukrepov, ki jih izvajajo obdelovalci (vključno z vsemi ustreznimi certifikati), da se zagotovi ustrezna raven varnosti, ob upoštevanju narave, obsega, okoliščin in namena obdelave ter tveganj za pravice in svoboščine posameznikov. Primeri možnih ukrepov:
|
|
ukrepi za psevdonimizacijo in šifriranje osebnih podatkov; |
|
|
ukrepi za zagotovitev stalne zaupnosti, celovitosti, dostopnosti in odpornosti sistemov in storitev za obdelavo; |
|
|
ukrepi za zagotovitev zmožnosti pravočasne povrnitve razpoložljivosti in dostopa do osebnih podatkov v primeru fizičnega ali tehničnega incidenta; |
|
|
postopki rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotovitev varnosti obdelave; |
|
|
ukrepi za identifikacijo uporabnika in izdajo dovoljenja uporabniku; |
|
|
ukrepi za varstvo podatkov med prenosom; |
|
|
ukrepi za varstvo podatkov med hrambo; |
|
|
ukrepi za zagotavljanje fizične varnosti lokacij, na katerih se obdelujejo osebni podatki; |
|
|
ukrepi za zagotavljanje beleženja dogodkov; |
|
|
ukrepi za zagotavljanje konfiguracije sistema, vključno s privzeto konfiguracijo; |
|
|
ukrepi za notranje upravljanje in vodenje IT in varnosti IT; |
|
|
ukrepi za certificiranje / izdajanje zagotovil za postopke in proizvode; |
|
|
ukrepi za zagotavljanje najmanjšega obsega podatkov; |
|
|
ukrepi za zagotavljanje kakovosti podatkov; |
|
|
ukrepi za zagotavljanje omejene hrambe podatkov; |
|
|
ukrepi za zagotavljanje odgovornosti; |
|
|
ukrepi za omogočanje prenosljivosti podatkov in zagotavljanje izbrisa. |
Za prenose (pod)obdelovalcem opišite tudi posebne tehnične in organizacijske ukrepe, ki jih mora sprejeti (pod)obdelovalec, da lahko upravljavcu zagotovi pomoč.
Opis posebnih tehničnih in organizacijskih ukrepov, ki jih mora sprejeti obdelovalec, da lahko upravljavcu zagotovi pomoč.
PRILOGA IV
Seznam podobdelovalcev
POJASNJEVALNA OPOMBA:
To prilogo je treba izpolniti v primeru posebnega dovoljenja za podobdelovalce (določilo 7.7(a), možnost 1).
Upravljavec je odobril uporabo naslednjih podobdelovalcev:
|
1. |
Ime: … |
|
|
Naslov: … |
|
|
Ime, položaj in kontaktni podatki kontaktne osebe: … |
|
|
Opis obdelave (vključno z jasno razmejitvijo odgovornosti, če je odobrenih več podobdelovalcev): … |
|
2. |
… |
|
7.6.2021 |
SL |
Uradni list Evropske unije |
L 199/31 |
IZVEDBENI SKLEP KOMISIJE (EU) 2021/914
z dne 4. junija 2021
o standardnih pogodbenih določilih za prenos osebnih podatkov v tretje države v skladu z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta
(Besedilo velja za EGP)
EVROPSKA KOMISIJA JE –
ob upoštevanju Pogodbe o delovanju Evropske unije,
ob upoštevanju Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (splošna uredba o varstvu podatkov) (1) ter zlasti člena 28(7) in člena 46(2)(c) Uredbe,
ob upoštevanju naslednjega:
|
(1) |
Tehnološki razvoj olajšuje čezmejne pretoke podatkov, ki so potrebni za širitev mednarodnega sodelovanja in mednarodne trgovine. Hkrati je treba zagotoviti, da raven varstva fizičnih oseb, ki jo zagotavlja Uredba (EU) 2016/679, ni ogrožena pri prenosu osebnih podatkov v tretje države, vključno s primeri nadaljnjega prenosa (2). Določbe o prenosu podatkov iz poglavja V Uredbe (EU) 2016/679 so namenjene zagotavljanju kontinuitete te visoke ravni varstva, kadar se osebni podatki prenesejo v tretjo državo (3). |
|
(2) |
V skladu s členom 46(1) Uredbe (EU) 2016/679 lahko upravljavec ali obdelovalec prenese osebne podatke v tretjo državo, za katero Komisija ni sprejela sklepa o ustreznosti v skladu s členom 45(3), le če je predvidel ustrezne zaščitne ukrepe in pod pogojem, da so posameznikom, na katere se nanašajo osebni podatki, na voljo izvršljive pravice in učinkovita pravna sredstva. Takšni zaščitni ukrepi se lahko določijo s standardnimi določili o varstvu podatkov, ki jih sprejme Komisija v skladu s členom 46(2)(c). |
|
(3) |
Vloga standardnih pogodbenih določil je omejena na zagotavljanje ustreznih zaščitnih ukrepov za varstvo podatkov za mednarodne prenose podatkov. Zato lahko upravljavci ali obdelovalci, ki osebne podatke prenesejo v tretjo državo (v nadaljnjem besedilu: izvozniki podatkov), ter upravljavci ali obdelovalci, ki osebne podatke prejmejo (v nadaljnjem besedilu: uvozniki podatkov), navedena standardna pogodbena določila vključijo v širšo pogodbo in dodajo druga določila ali dodatne zaščitne ukrepe, če neposredno ali posredno ne nasprotujejo standardnim pogodbenim določilom ali posegajo v temeljne pravice ali svoboščine posameznikov, na katere se nanašajo osebni podatki. Upravljavce in obdelovalce se spodbuja, da v okviru pogodbenih obveznosti vzpostavijo dodatne zaščitne ukrepe, ki dopolnjujejo standardna pogodbena določila (4). Uporaba standardnih pogodbenih določil ne posega v pogodbene obveznosti izvoznika in/ali uvoznika podatkov, da zagotovi spoštovanje veljavnih privilegijev in imunitet. |
|
(4) |
Izvoznik podatkov mora poleg uporabe standardnih pogodbenih določil za zagotovitev ustreznih zaščitnih ukrepov za prenose v skladu s členom 46(1) Uredbe (EU) 2016/679 izpolnjevati svoje splošne odgovornosti, ki jih ima kot upravljavec ali obdelovalec na podlagi Uredbe (EU) 2016/679. Te odgovornosti vključujejo obveznost upravljavca, da posameznikom, na katere se nanašajo osebni podatki, v skladu s členom 13(1)(f) in členom 14(1)(f) Uredbe (EU) 2016/679 zagotovi informacije o tem, da namerava njihove osebne podatke prenesti v tretjo državo. Pri prenosih na podlagi člena 46 Uredbe (EU) 2016/679 morajo takšne informacije vključevati sklic na ustrezne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali informacije o tem, kje so na voljo. |
|
(5) |
Odločba Komisije 2001/497/ES (5) in Sklep Komisije 2010/87/EU (6) vsebujeta standardna pogodbena določila, da bi se olajšal prenos osebnih podatkov od upravljavca podatkov z ustanovitvijo v Uniji drugemu upravljavcu ali obdelovalcu z ustanovitvijo v tretji državi, ki ne zagotavlja ustrezne ravni varstva. Navedena odločba in sklep sta temeljila na Direktivi 95/46/ES Evropskega parlamenta in Sveta (7). |
|
(6) |
V skladu s členom 46(5) Uredbe (EU) 2016/679 Odločba 2001/497/ES in Sklep 2010/87/EU ostaneta veljavna, dokler ju Komisija po potrebi ne spremeni, nadomesti ali razveljavi s sklepom, ki ga sprejme v skladu s členom 46(2) navedene uredbe. Standardna pogodbena določila iz navedene odločbe in sklepa je treba posodobiti glede na nove zahteve iz Uredbe (EU) 2016/679. Poleg tega se je od sprejetja navedenih dveh pravnih aktov zgodil pomemben razvoj v digitalnem gospodarstvu, kjer se vse bolj uporabljajo novi in bolj kompleksni postopki obdelave, ki pogosto vključujejo več uvoznikov in izvoznikov podatkov, dolge in kompleksne verige obdelave ter nenehno razvijajoče se poslovne odnose. Zaradi tega je nastala potreba po posodobitvi standardnih pogodbenih določil, tako da bi z zajetjem dodatnih primerov obdelave in prenosa bolje odražala te nove realnosti ter da bi omogočala prožnejši pristop, na primer glede števila pogodbenic, ki se lahko pridružijo pogodbi. |
|
(7) |
Upravljavec ali obdelovalec lahko standardna pogodbena določila iz Priloge k temu sklepu uporabi, da bi zagotovil ustrezne zaščitne ukrepe v smislu člena 46(1) Uredbe (EU) 2016/679 za prenos osebnih podatkov obdelovalcu ali upravljavcu z ustanovitvijo v tretji državi, brez poseganja v razlago pojma mednarodnega prenosa iz Uredbe (EU) 2016/679. Standardna pogodbena določila se lahko za take prenose uporabijo samo, če obdelava s strani uvoznika ne spada na področje uporabe Uredbe (EU) 2016/679. To vključuje tudi prenos osebnih podatkov s strani upravljavca ali obdelovalca, ki nimata ustanovitve v Uniji, kolikor je obdelava predmet Uredbe (EU) 2016/679 (v skladu z njenim členom 3(2)), ker se nanaša na ponujanje blaga ali storitev posameznikom, na katere se nanašajo osebni podatki, v Uniji ali na spremljanje njihovega ravnanja, če gre za ravnanje v Uniji. |
|
(8) |
Glede na splošno usklajenost Uredbe (EU) 2016/679 in Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta (8) bi moralo biti standardna pogodbena določila mogoče uporabljati tudi v kontekstu pogodbe, kakor je navedeno v členu 29(4) Uredbe (EU) 2018/1725, za prenos osebnih podatkov s strani obdelovalca, ki ni institucija ali organ Unije, vendar zanj velja Uredba (EU) 2016/679 in obdeluje osebne podatke v imenu institucije ali organa Unije v skladu s členom 29 Uredbe (EU) 2018/1725, podobdelovalcu v tretji državi. Če pogodba odraža enake obveznosti glede varstva podatkov, kot so določene v pogodbi ali drugem pravnem aktu med upravljavcem in obdelovalcem v skladu s členom 29(3) Uredbe (EU) 2018/1725, zlasti če določa jamstva za tehnične in organizacijske ukrepe, ki zadoščajo za zagotovitev, da obdelava izpolnjuje zahteve iz navedene uredbe, bo s tem zagotovljena skladnost s členom 29(4) Uredbe (EU) 2018/1725. To bo veljalo zlasti v primeru, da upravljavec in obdelovalec uporabljata standardna pogodbena določila iz Izvedbenega sklepa komisije o standardnih pogodbenih določilih med upravljavci in obdelovalci na podlagi člena 28(7) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta ter člena 29(7) Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta (9). |
|
(9) |
Kadar obdelava vključuje prenose podatkov od upravljavcev, za katere se uporablja Uredba (EU) 2016/679, obdelovalcem zunaj njenega ozemeljskega področja uporabe ali od obdelovalcev, za katere se uporablja Uredba (EU) 2016/679, podobdelovalcem zunaj njenega ozemeljskega področja uporabe, bi morala standardna pogodbena določila iz Priloge k temu sklepu omogočati tudi, da so izpolnjene zahteve iz člena 28(3) in (4) Uredbe (EU) 2016/679. |
|
(10) |
Standardna pogodbena določila iz Priloge k temu sklepu združujejo splošna določila z modularnim pristopom, da bi se upoštevali različni scenariji prenosa in kompleksnost sodobnih verig obdelave. Poleg splošnih določil bi morali upravljavci in obdelovalci izbrati modul, ki se uporablja za njihovo situacijo, da bi svoje obveznosti v skladu s standardnimi pogodbenimi določili prilagodili svoji vlogi in odgovornostim v zvezi z zadevno obdelavo podatkov. Dopustiti bi bilo treba, da se k standardnim pogodbenim določilom zavežeta več kot dve pogodbenici. Poleg tega bi bilo treba dodatnim upravljavcem in obdelovalcem omogočiti, da se kot izvozniki ali uvozniki podatkov pridružijo k standardnim pogodbenim določilom kadar koli v trajanju veljavnosti pogodbe, katere del so ta določila. |
|
(11) |
Za zagotovitev ustreznih zaščitnih ukrepov bi bilo treba s standardnimi pogodbenimi določili zagotoviti, da se osebnim podatkom, prenesenim na tej podlagi, zagotovi raven varstva, ki je v bistvu enakovredna tisti, ki je zagotovljena v Uniji (10). Za zagotovitev preglednosti obdelave bi bilo treba posameznikom, na katere se nanašajo osebni podatki, zagotoviti kopijo standardnih pogodbenih določil in jih obvestiti zlasti o kategorijah osebnih podatkov, ki se obdelajo, o pravici do pridobitve kopije standardnih pogodbenih določil in o vsakem nadaljnjem prenosu. Nadaljnji prenosi s strani uvoznika podatkov tretji osebi v drugi tretji državi bi morali biti dovoljeni le, če se ta tretja oseba pridruži k standardnim pogodbenim določilom, če je kontinuiteta varstva zagotovljena drugače ali v posebnih okoliščinah, na primer če je posameznik, na katerega se nanašajo osebni podatki, dal izrecno in informirano privolitev za tak nadaljnji prenos. |
|
(12) |
Z nekaj izjemami, zlasti v zvezi z nekaterimi obveznostmi, ki se nanašajo izključno na razmerje med izvoznikom podatkov in uvoznikom podatkov, bi morali imeti posamezniki, na katere se nanašajo osebni podatki, možnost, da se na standardna pogodbena določila sklicujejo in jih po potrebi uveljavljajo kot upravičene tretje osebe. Čeprav bi moralo biti pogodbenicam dovoljeno, da izberejo pravo ene od držav članic kot pravo, ki bo urejalo standardna pogodbena določila, mora to pravo omogočati pravice upravičenih tretjih oseb. Da bi se olajšalo uveljavljanje pravnih sredstev posameznikov, bi bilo treba v standardnih pogodbenih določilih od uvoznika podatkov zahtevati, da posameznike, na katere se nanašajo osebni podatki, obvesti o kontaktni točki in da nemudoma obravnava morebitne pritožbe ali zahteve. V primeru spora med uvoznikom podatkov in posameznikom, na katerega se nanašajo osebni podatki in ki uveljavlja svoje pravice kot upravičena tretja oseba, bi moral imeti posameznik, na katerega se nanašajo osebni podatki, možnost vložiti pritožbo pri pristojnem nadzornem organu ali spor predložiti pristojnim sodiščem v EU. |
|
(13) |
Da se zagotovi učinkovito izvrševanje, bi bilo treba od uvoznika podatkov zahtevati, da se podvrže pristojnosti takšnega organa in sodišč ter se zaveže, da bo spoštoval vse zavezujoče odločitve v skladu s pravom države članice, ki se uporabi. Uvoznik podatkov bi se moral zlasti strinjati, da bo odgovoril na poizvedbe, privolil v revizije in ravnal v skladu z ukrepi, ki jih je sprejel nadzorni organ, vključno s popravnimi in izravnalnimi ukrepi. Poleg tega bi moral imeti uvoznik podatkov možnost, da posameznikom, na katere se nanašajo osebni podatki, ponudi brezplačno uveljavljanje pravnih sredstev pri neodvisnem organu za reševanje sporov. V skladu s členom 80(1) Uredbe (EU) 2016/679 bi moralo biti posameznikom, na katere se nanašajo osebni podatki, dovoljeno, da jih, če tako želijo, v sporih z uvoznikom podatkov zastopajo združenja ali druga telesa. |
|
(14) |
Standardna pogodbena določila bi morala vključevati pravila o odgovornosti med samimi pogodbenicami in v razmerju pogodbenic do posameznikov, na katere se nanašajo osebni podatki, ter pravila o odškodnini med pogodbenicami. Če posameznik, na katerega se nanašajo osebni podatki, utrpi premoženjsko ali nepremoženjsko škodo zaradi kakršne koli kršitve pravic, ki jih ima kot upravičena tretja oseba v skladu s standardnimi pogodbenimi določili, bi moral biti upravičen do odškodnine. To ne bi smelo posegati v nobeno od odgovornosti na podlagi Uredbe (EU) 2016/679. |
|
(15) |
Pri prenosu osebnih podatkov uvozniku podatkov, ki deluje kot obdelovalec ali podobdelovalec, bi se morale uporabljati posebne zahteve v skladu s členom 28(3) Uredbe (EU) 2016/679. S standardnimi pogodbenimi določili bi bilo treba od uvoznika podatkov zahtevati, da da na voljo vse informacije, ki so potrebne za dokazovanje njegovega izpolnjevanja obveznosti iz teh določil ter ki izvozniku podatkov omogočajo revizije dejavnosti obdelave uvoznika podatkov in k tem revizijam tudi prispevajo. Za primere, ko uvoznik podatkov zaposli podobdelovalca v skladu s členom 28(2) in (4) Uredbe (EU) 2016/679, bi bilo treba v standardnih pogodbenih določilih določiti zlasti postopek za splošno ali posebno dovoljenje, ki ga podeli izvoznik podatkov, ter zahtevo po pisni pogodbi s podobdelovalcem, ki zagotavlja enako raven varstva, kot je zagotovljena na podlagi določil. |
|
(16) |
Primerno je, da se v standardna pogodbena določila vključijo različni zaščitni ukrepi, ki zajemajo poseben primer prenosa osebnih podatkov s strani obdelovalca v Uniji svojemu upravljavcu v tretji državi in ki odražajo omejene samostojne obveznosti obdelovalcev v skladu z Uredbo (EU) 2016/679. Zlasti bi bilo treba s standardnimi pogodbenimi določili od obdelovalca zahtevati, da obvesti upravljavca, kadar ne more upoštevati njegovih navodil, vključno s primeri, ko upravljavčeva navodila kršijo pravo Unije o varstvu podatkov, in od upravljavca zahteva, da se vzdrži vseh dejanj, ki bi obdelovalcu preprečila izpolnjevanje njegovih obveznosti na podlagi Uredbe (EU) 2016/679. Prav tako bi bilo treba s standardnimi pogodbenimi določili od pogodbenic zahtevati, da si med seboj pomagajo pri odgovarjanju na poizvedbe in zahteve posameznikov, na katere se nanašajo osebni podatki, v skladu z lokalno zakonodajo, ki se uporablja za uvoznika podatkov, ali, če postopki obdelave podatkov potekajo v Uniji, v skladu z Uredbo (EU) 2016/679. Kadar obdelovalec Unije osebne podatke, prejete od upravljavca v tretji državi, združi z osebnimi podatki, ki jih sam zbere v Uniji, bi se morale uporabljati dodatne zahteve za obravnavo morebitnih učinkov zakonodaje namembne tretje države na skladnost upravljavca z določili, zlasti kar zadeva obravnavo zavezujočih zahtev javnih organov v tretji državi za razkritje prenesenih osebnih podatkov. Nasprotno pa take zahteve niso upravičene, če zunanje izvajanje vključuje le obdelavo in vračanje osebnih podatkov, ki so bili prejeti od upravljavca in ki so v vsakem primeru podvrženi in bodo podvrženi pristojnosti zadevne tretje države. |
|
(17) |
Pogodbenice bi morale biti sposobne dokazati, da spoštujejo standardna pogodbena določila. Zlasti bi bilo treba od uvoznika podatkov zahtevati, da hrani ustrezno dokumentacijo za dejavnosti obdelave, za katere je odgovoren, in da izvoznika podatkov nemudoma obvesti, če določil iz kakršnega koli razloga ne more spoštovati. Izvoznik podatkov pa bi moral ustaviti prenos in v posebej resnih primerih imeti pravico do odpovedi pogodbe, kolikor gre za obdelavo osebnih podatkov na podlagi standardnih pogodbenih določil, kadar uvoznik podatkov krši določila ali jih ne more spoštovati. Kadar lokalni zakoni vplivajo na skladnost z določili, bi se morala uporabljati posebna pravila. Osebne podatke, ki so bili preneseni pred odpovedjo pogodbe, in morebitne kopije teh podatkov bi bilo treba v skladu z odločitvijo izvoznika podatkov bodisi vrniti izvozniku podatkov bodisi jih v celoti uničiti. |
|
(18) |
Standardna pogodbena določila bi morala – zlasti glede na sodno prakso Sodišča (11) – določati posebne zaščitne ukrepe, da bi se obravnavali morebitni učinki zakonov namembne tretje države na skladnost uvoznika podatkov z določili, zlasti kar zadeva obravnavo zavezujočih zahtev javnih organov v tej državi za razkritje prenesenih osebnih podatkov. |
|
(19) |
Prenos in obdelava osebnih podatkov na podlagi standardnih pogodbenih določil se ne bi smela izvajati, če zakoni in prakse namembne tretje države uvozniku podatkov preprečujejo, da bi spoštoval določila. V zvezi s tem se za zakone in prakse, ki spoštujejo bistvo temeljnih pravic in svoboščin ter ne presegajo tistega, kar je v demokratični družbi potrebno in sorazmerno za zaščito enega od ciljev iz člena 23(1) Uredbe (EU) 2016/679, ne bi smelo šteti, da so v nasprotju s standardnimi pogodbenimi določili. Pogodbenice bi morale zagotoviti, da v trenutku, ko privolijo, da jih zavezujejo standardna pogodbena določila, nimajo razloga za domnevo, da zakoni in prakse, ki se uporabljajo za uvoznika podatkov, niso v skladu s temi zahtevami. |
|
(20) |
Pogodbenice bi morale upoštevati zlasti konkretne okoliščine prenosa (kot so vsebina in trajanje pogodbe, narava podatkov, ki se prenesejo, vrsta prejemnika, namen obdelave), zakone in prakse namembne tretje države, ki so relevantni glede na okoliščine prenosa, in vse zaščitne ukrepe, vzpostavljene za dopolnitev zaščitnih ukrepov na podlagi standardnih pogodbenih določil (vključno z relevantnimi pogodbenimi, tehničnimi in organizacijskimi ukrepi, ki se uporabljajo za prenos osebnih podatkov in njihovo obdelavo v namembni državi). Kar zadeva vpliv takih zakonov in praks na skladnost s standardnimi pogodbenimi določili, se lahko kot del celovite ocene upoštevajo različni elementi, vključno z zanesljivimi informacijami o uporabi prava v praksi (kot so sodna praksa in poročila neodvisnih nadzornih organov), obstojem ali odsotnostjo zahtev v istem sektorju ter, pod strogimi pogoji, dokumentiranimi praktičnimi izkušnjami izvoznika podatkov in/ali uvoznika podatkov. |
|
(21) |
Uvoznik podatkov bi moral izvoznika podatkov obvestiti, če ima po tem, ko je privolil, da ga zavezujejo standardna pogodbena določila, razlog za domnevo, da jih ne more spoštovati. Če izvoznik podatkov prejme tako obvestilo ali če kako drugače izve, da uvoznik podatkov ne more več spoštovati standardnih pogodbenih določil, bi moral opredeliti ustrezne ukrepe za obravnavo situacije, po potrebi po posvetovanju s pristojnim nadzornim organom. Taki ukrepi lahko vključujejo dopolnilne ukrepe, ki jih sprejme izvoznik podatkov in/ali uvoznik podatkov, kot so tehnični ali organizacijski ukrepi za zagotovitev varnosti in zaupnosti. Od izvoznika podatkov bi bilo treba zahtevati, da začasno ustavi prenos osebnih podatkov, če meni, da ni mogoče zagotoviti ustreznih zaščitnih ukrepov, ali če mu tako naroči pristojni nadzorni organ. |
|
(22) |
Kadar je mogoče, bi moral uvoznik podatkov obvestiti izvoznika podatkov in posameznika, na katerega se nanašajo osebni podatki, če prejme pravno zavezujočo zahtevo javnega (tudi sodnega) organa v skladu s pravom namembne države za razkritje osebnih podatkov, prenesenih na podlagi standardnih pogodbenih določil. Podobno bi ju moral obvestiti, če izve za kakršen koli neposredni dostop javnih organov do takih osebnih podatkov v skladu s pravom namembne tretje države. Če uvoznik podatkov kljub vsem svojim prizadevanjem ne more obvestiti izvoznika podatkov in/ali posameznika, na katerega se nanašajo osebni podatki, o posebnih zahtevah za razkritje, bi moral izvozniku podatkov zagotoviti čim več relevantnih informacij o zahtevah. Poleg tega bi moral uvoznik podatkov izvozniku podatkov redno zagotavljati zbirne informacije. Od uvoznika podatkov bi bilo treba zahtevati tudi, da dokumentira vsako prejeto zahtevo za razkritje in predloženi odgovor ter da te informacije da na zahtevo na voljo izvozniku podatkov ali pristojnemu nadzornemu organu ali obema. Če uvoznik podatkov po pregledu zakonitosti take zahteve v skladu z zakoni namembne države ugotovi, da obstajajo utemeljeni razlogi za domnevo, da je zahteva nezakonita v skladu z zakonodajo namembne tretje države, bi jo moral izpodbijati, po potrebi vključno z izčrpanjem možnosti pritožbe, ki so na voljo. Če uvoznik podatkov ne more več spoštovati standardnih pogodbenih določil, mora o tem v vsakem primeru obvestiti izvoznika podatkov, tudi če je to posledica zahteve za razkritje. |
|
(23) |
Ker se lahko potrebe deležnikov, tehnologija in postopki obdelave spremenijo, bi morala Komisija v okviru rednega ocenjevanja Uredbe (EU) 2016/679 v skladu z njenim členom 97 oceniti delovanje standardnih pogodbenih določil ob upoštevanju izkušenj. |
|
(24) |
Odločbo 2001/497/ES in Sklep 2010/87/EU bi bilo treba razveljaviti tri mesece po začetku veljavnosti tega sklepa. V navedenem obdobju bi morali imeti izvozniki podatkov in uvozniki podatkov za namene člena 46(1) Uredbe (EU) 2016/679 še vedno možnost uporabljati standardna pogodbena določila iz Odločbe 2001/497/ES in Sklepa 2010/87/EU. Izvozniki podatkov in uvozniki podatkov bi morali imeti za namene člena 46(1) Uredbe (EU) 2016/679 možnost, da se za dodatno obdobje 15 mesecev še naprej opirajo na standardna pogodbena določila iz Odločbe 2001/497/ES in Sklepa 2010/87/EU za izvajanje pogodb, sklenjenih med njimi pred datumom razveljavitve navedenih pravnih aktov, če se postopki obdelave, ki so predmet pogodbe, ne spremenijo in opiranje na določila zagotavlja, da za prenos osebnih podatkov veljajo ustrezni zaščitni ukrepi v smislu člena 46(1) Uredbe (EU) 2016/679. V primeru relevantnih sprememb pogodbe bi bilo treba od izvoznika podatkov zahtevati, da se za prenose podatkov na podlagi pogodbe opira na novo podlago, zlasti z zamenjavo obstoječih standardnih pogodbenih določil s standardnimi pogodbenimi določili iz Priloge k temu sklepu. Enako bi moralo veljati za vsako oddajanje postopkov obdelave, ki jih zajema pogodba, v izvajanje (pod)obdelovalcu. |
|
(25) |
Opravljeno je bilo posvetovanje z Evropskim nadzornikom za varstvo podatkov in Evropskim odborom za varstvo podatkov v skladu s členom 42(1) in (2) Uredbe (EU) 2018/1725, ki sta 14. januarja 2021 podala skupno mnenje (12), ki je bilo upoštevano pri pripravi tega sklepa. |
|
(26) |
Ukrepi iz tega sklepa so v skladu z mnenjem odbora, ustanovljenega s členom 93 Uredbe (EU) 2016/679 – |
SPREJELA NASLEDNJI SKLEP:
Člen 1
1. Šteje se, da standardna pogodbena določila iz Priloge zagotavljajo ustrezne zaščitne ukrepe v smislu člena 46(1) in (2)(c) Uredbe (EU) 2016/679 za prenos osebnih podatkov od upravljavca ali obdelovalca, ki te podatke obdeluje v skladu z navedeno uredbo (izvoznik podatkov), upravljavcu ali (pod)obdelovalcu, za katerega se pri obdelavi teh podatkov ne uporablja navedena uredba (uvoznik podatkov).
2. Standardna pogodbena določila določajo tudi pravice in obveznosti upravljavcev in obdelovalcev v zvezi z zadevami iz člena 28(3) in (4) Uredbe (EU) 2016/679, kar zadeva prenos osebnih podatkov od upravljavca obdelovalcu ali od obdelovalca podobdelovalcu.
Člen 2
Kadar pristojni organi države članice uveljavljajo popravljalna pooblastila v skladu s členom 58 Uredbe (EU) 2016/679 kot odziv na to, da za uvoznika podatkov veljajo ali začnejo veljati zakoni ali prakse v namembni tretji državi, ki mu preprečujejo spoštovanje standardnih pogodbenih določil iz Priloge, kar privede do začasne ustavitve ali prepovedi prenosov podatkov v tretje države, zadevna država članica nemudoma obvesti Komisijo, ki informacije posreduje drugim državam članicam.
Člen 3
Komisija oceni praktično uporabo standardnih pogodbenih določil iz Priloge na podlagi vseh razpoložljivih informacij v okviru rednega ocenjevanja, ki se zahteva po členu 97 Uredbe (EU) 2016/679.
Člen 4
1. Ta sklep začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.
2. Odločba 2001/497/ES se razveljavi z učinkom od 27. septembra 2021.
3. Sklep 2010/87/EU se razveljavi z učinkom od 27. septembra 2021.
4. Za pogodbe, sklenjene pred 27. septembrom 2021 na podlagi Odločbe 2001/497/ES ali Sklepa 2010/87/EU, se šteje, da zagotavljajo ustrezne zaščitne ukrepe v smislu člena 46(1) Uredbe (EU) 2016/679 do 27. decembra 2022, če se postopki obdelave, ki so predmet pogodbe, ne spremenijo in če opiranje na navedena določila zagotavlja, da za prenos osebnih podatkov veljajo ustrezni zaščitni ukrepi.
V Bruslju, 4. junija 2021
Za Komisijo
predsednica
Ursula VON DER LEYEN
(1) UL L 119, 4.5.2016, str. 1.
(2) Člen 44 Uredbe (EU) 2016/679.
(3) Glej tudi sodbo Sodišča z dne 16. julija 2020 v zadevi C-311/18, Data Protection Commissioner proti Facebook Ireland Limited in Maximillianu Schremsu (zadeva Schrems II), ECLI:EU:C:2020:559, točka 93.
(4) Uvodna izjava 109 Uredbe (EU) 2016/679.
(5) Odločba Komisije 2001/497/ES z dne 15. junija 2001 o standardnih pogodbenih klavzulah za prenos osebnih podatkov v tretje države v skladu z Direktivo 95/46/ES (UL L 181, 4.7.2001, str. 19).
(6) Sklep Komisije 2010/87/EU z dne 5. februarja 2010 o standardnih pogodbenih klavzulah za prenos osebnih podatkov obdelovalcem s sedežem v tretjih državah v skladu z Direktivo Evropskega parlamenta in Sveta 95/46/ES (UL L 39, 12.2.2010, str. 5).
(7) Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL L 281, 23.11.1995, str. 31).
(8) Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (UL L 295, 21.11.2018, str. 39); glej uvodno izjavo 5.
(9) C(2021) 3701.
(10) Zadeva Schrems II, točki 96 in 103. Glej tudi uvodni izjavi 108 in 114 Uredbe (EU) 2016/679.
(11) Zadeva Schrems II.
(12) Skupno mnenje EOVP in ENVP št. 2/2021 o izvedbenem sklepu Evropske komisije o standardnih pogodbenih določilih za prenos osebnih podatkov v tretje države za zadeve iz člena 46(2)(c) Uredbe (EU) 2016/679.
PRILOGA
STANDARDNA POGODBENA DOLOČILA
ODDELEK I
Določilo 1
Namen in področje uporabe
|
(a) |
Namen teh standardnih pogodbenih določil je zagotoviti skladnost z zahtevami Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Splošna uredba o varstvu podatkov) (1) glede prenosa osebnih podatkov v tretjo državo. |
|
(b) |
Pogodbenici(-e):
sta (so) se dogovorili(-e) o teh standardnih pogodbenih določilih (v nadaljnjem besedilu: določila). |
|
(c) |
Ta določila se uporabljajo za prenos osebnih podatkov, kot je določeno v Prilogi I.B. |
|
(d) |
Dodatek k tem določilom in v njem navedene priloge so sestavni del teh določil. |
Določilo 2
Učinek in nespremenljivost določil
|
(a) |
Ta določila določajo ustrezne zaščitne ukrepe, vključno z izvršljivimi pravicami posameznikov, na katere se nanašajo osebni podatki, in učinkovitimi pravnimi sredstvi v skladu s členom 46(1) in členom 46(2)(c) Uredbe (EU) 2016/679, ter, kar zadeva prenose podatkov od upravljavcev obdelovalcem in/ali od obdelovalcev obdelovalcem, standardna pogodbena določila v skladu s členom 28(7) Uredbe (EU) 2016/679, če se ne spremenijo, razen zaradi izbire ustreznega modula ali modulov oziroma zaradi dodajanja ali posodabljanja informacij v Dodatku. To pogodbenicam ne preprečuje, da standardna pogodbena določila iz teh določil vključijo v širšo pogodbo in/ali dodajo druga določila ali dodatne zaščitne ukrepe, če neposredno ali posredno ne nasprotujejo tem določilom ali posegajo v temeljne pravice ali svoboščine posameznikov, na katere se nanašajo osebni podatki. |
|
(b) |
Ta določila ne posegajo v obveznosti, ki veljajo za izvoznika podatkov na podlagi Uredbe (EU) 2016/679. |
Določilo 3
Upravičene tretje osebe
|
(a) |
Posamezniki, na katere se nanašajo osebni podatki, se lahko sklicujejo na ta določila in jih uveljavljajo kot upravičene tretje osebe v razmerju do izvoznika podatkov in/ali uvoznika podatkov, z naslednjimi izjemami:
|
|
(b) |
Odstavek (a) ne posega v pravice, ki jih imajo posamezniki, na katere se nanašajo osebni podatki, na podlagi Uredbe (EU) 2016/679. |
Določilo 4
Razlaga
|
(a) |
Kadar se v teh določilih uporabljajo izrazi, ki so opredeljeni v Uredbi (EU) 2016/679, imajo ti izrazi isti pomen kot v navedeni uredbi. |
|
(b) |
Ta določila se berejo in razlagajo v skladu z določbami Uredbe (EU) 2016/679. |
|
(c) |
Ta določila se ne razlagajo na način, ki bi bil v nasprotju s pravicami in obveznostmi iz Uredbe (EU) 2016/679. |
Določilo 5
Hierarhija
V primeru neskladja med temi določili in določbami povezanih pogodb med pogodbenicami, ki obstajajo v času sprejetja dogovora o teh določilih ali so sklenjeni po tem, prevladajo ta določila.
Določilo 6
Opis prenosa ali prenosov
Podrobnosti o prenosu ali prenosih, zlasti o kategorijah prenesenih osebnih podatkov in namenu ali namenih, za katere so ti podatki preneseni, so določene v Prilogi I.B.
Določilo 7 – Neobvezno
Določilo o pridružitvah
|
(a) |
Subjekt, ki ni pogodbenica teh določil, se lahko s soglasjem pogodbenic k tem določilom kadar koli pridruži kot izvoznik podatkov ali kot uvoznik podatkov, in sicer tako, da izpolni Dodatek in podpiše Prilogo I.A. |
|
(b) |
Subjekt, ki se pridruži, se po tem, ko je izpolnil Dodatek in podpisal Prilogo I.A, obravnava kot pogodbenica teh določil ter ima pravice in obveznosti izvoznika podatkov ali uvoznika podatkov glede na to, kako je opredeljen v Prilogi I.A. |
|
(c) |
Subjekt, ki se pridruži, nima nobenih pravic ali obveznosti na podlagi teh določil iz obdobja, preden je postal pogodbenica. |
ODDELEK II – OBVEZNOSTI POGODBENIC
Določilo 8
Zaščitni ukrepi za varstvo podatkov
Izvoznik podatkov jamči, da se je v mejah razumnega prepričal, da je uvoznik podatkov z izvajanjem ustreznih tehničnih in organizacijskih ukrepov sposoben izpolniti svoje obveznosti na podlagi teh določil.
MODUL ENA: Prenos od upravljavca upravljavcu
8.1 Omejitev namena
Uvoznik podatkov obdeluje osebne podatke samo za konkreten namen prenosa, kot je določeno v Prilogi I.B. Osebne podatke lahko obdeluje za drug namen le, če:
|
(i) |
je pridobil predhodno privolitev posameznika, na katerega se nanašajo osebni podatki; |
|
(ii) |
je to potrebno za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov v okviru posebnih upravnih, regulativnih ali sodnih postopkov ali |
|
(iii) |
je to potrebno za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe. |
8.2 Preglednost
|
(a) |
Da se posameznikom, na katere se nanašajo osebni podatki, omogoči učinkovito uveljavljanje njihovih pravic v skladu z določilom 10, jih uvoznik podatkov neposredno ali prek izvoznika podatkov obvesti:
|
|
(b) |
Odstavek (a) se ne uporablja, kadar posameznik, na katerega se nanašajo osebni podatki, že ima te informacije, tudi če mu jih je zagotovil že sam izvoznik podatkov, ali če se izkaže, da je take informacije nemogoče zagotoviti ali pa bi to pomenilo nesorazmeren napor za uvoznika podatkov. V slednjem primeru uvoznik podatkov, kolikor je mogoče, poskrbi, da informacije objavi. |
|
(c) |
Če posameznik, na katerega se nanašajo osebni podatki, tako zahteva, mu dajo pogodbenice brezplačno na voljo kopijo teh določil, vključno z Dodatkom, kot so ga izpolnile. Kolikor je to potrebno za varovanje poslovnih skrivnosti ali drugih zaupnih informacij, vključno z osebnimi podatki, lahko pogodbenice pred posredovanjem kopije zakrijejo občutljive in zaupne dele besedila Dodatka, vendar zagotovijo smiseln povzetek, če posameznik, na katerega se nanašajo osebni podatki, drugače ne bi mogel razumeti njegove vsebine ali uveljavljati svojih pravic. Pogodbenice posameznika, na katerega se nanašajo osebni podatki, na njegovo zahtevo obvestijo o razlogih za zakritje delov besedila v obsegu, v katerem to lahko storijo, ne da bi razkrile zadevne informacije. |
|
(d) |
Odstavki (a) do (c) ne posegajo v obveznosti izvoznika podatkov na podlagi členov 13 in 14 Uredbe (EU) 2016/679. |
8.3 Točnost in najmanjši obseg podatkov
|
(a) |
Vsaka pogodbenica zagotovi, da so osebni podatki točni in po potrebi posodobljeni. Uvoznik podatkov sprejme vse razumne ukrepe za zagotovitev, da se osebni podatki, ki so glede na namen ali namene obdelave netočni, nemudoma izbrišejo ali popravijo. |
|
(b) |
Če pogodbenica ugotovi, da osebni podatki, ki jih je prenesla ali prejela, niso točni ali da so zastareli, o tem brez nepotrebnega odlašanja obvesti drugo pogodbenico. |
|
(c) |
Uvoznik podatkov zagotovi, da so osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno glede na namen ali namene obdelave. |
8.4 Omejitev hrambe
Uvoznik podatkov hrani osebne podatke le toliko časa, kolikor je potrebno za namen ali namene, za katere se obdelujejo. Vzpostavi ustrezne tehnične ali organizacijske ukrepe za zagotovitev izpolnjevanja te obveznosti, vključno z izbrisom ali anonimizacijo (2) podatkov in vseh njihovih varnostnih kopij ob koncu obdobja hrambe.
8.5 Varnost obdelave
|
(a) |
Uvoznik podatkov, in med prenosom tudi izvoznik podatkov, izvedeta ustrezne tehnične in organizacijske ukrepe za zagotovitev varnosti osebnih podatkov, vključno z zaščito pred kršitvijo varnosti, ki bi povzročila naključno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop (v nadaljnjem besedilu: kršitev varnosti osebnih podatkov). Pri določanju ustrezne ravni varnosti ustrezno upoštevata najnovejši tehnološki razvoj, stroške izvajanja ter naravo, obseg, okoliščine in namen ali namene obdelave ter z obdelavo povezana tveganja za posameznike, na katere se nanašajo osebni podatki. Pogodbenice zlasti preučijo možnost uporabe šifriranja ali psevdonimizacije, tudi med prenosom, kadar je namen obdelave mogoče izpolniti na ta način. |
|
(b) |
Pogodbenice so se dogovorile o tehničnih in organizacijskih ukrepih, ki so določeni v Prilogi II. Uvoznik podatkov z rednimi pregledi zagotovi, da ti ukrepi še naprej zagotavljajo ustrezno raven varnosti. |
|
(c) |
Uvoznik podatkov zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon. |
|
(d) |
V primeru kršitve varnosti osebnih podatkov v zvezi z osebnimi podatki, ki jih na podlagi teh določil obdeluje uvoznik podatkov, ta sprejme ustrezne ukrepe za odpravo kršitve varnosti osebnih podatkov, vključno z ukrepi za ublažitev morebitnih škodljivih učinkov kršitve. |
|
(e) |
Če bodo zaradi kršitve varnosti osebnih podatkov verjetno ogrožene pravice in svoboščine fizičnih oseb, uvoznik podatkov brez nepotrebnega odlašanja obvesti izvoznika podatkov in pristojni nadzorni organ v skladu z določilom 13. Takšno obvestilo vsebuje i) opis narave kršitve (po možnosti vključno s kategorijami in približnim številom zadevnih posameznikov, na katere se nanašajo osebni podatki, ter evidenc osebnih podatkov), ii) njene verjetne posledice, iii) sprejete ali predlagane ukrepe za odpravo kršitve in iv) podatke o kontaktni točki, pri kateri je mogoče dobiti več informacij. Če uvoznik podatkov ne more zagotoviti vseh informacij hkrati, lahko to stori postopoma brez nepotrebnega dodatnega odlašanja. |
|
(f) |
Če bo zaradi kršitve varnosti osebnih podatkov verjetno nastalo veliko tveganje za pravice in svoboščine fizičnih oseb, uvoznik podatkov po potrebi v sodelovanju z izvoznikom podatkov brez nepotrebnega odlašanja obvesti tudi zadevne posameznike, na katere se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov in njeni naravi, skupaj z informacijami iz točk ii) do iv) odstavka (e), razen če je uvoznik podatkov izvedel ukrepe za znatno zmanjšanje tveganja za pravice ali svoboščine fizičnih oseb ali če bi obveščanje vključevalo nesorazmerna prizadevanja. V slednjem primeru uvoznik podatkov objavi javno sporočilo ali sprejme podoben ukrep za obvestitev javnosti o kršitvi varnosti osebnih podatkov. |
|
(g) |
Uvoznik podatkov dokumentira vsa pomembna dejstva v zvezi s kršitvijo varnosti osebnih podatkov, vključno z njenimi učinki in morebitnimi sprejetimi popravnimi ukrepi, ter vodi evidenco o tem. |
8.6 Občutljivi podatki
Če prenos vključuje osebne podatke, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, genske podatke ali biometrične podatke za namene edinstvene identifikacije posameznika, podatke v zvezi z zdravjem ali spolnim življenjem ali spolno usmerjenostjo posameznika ali podatke v zvezi s kazenskimi obsodbami ali kaznivimi dejanji (v nadaljnjem besedilu: občutljivi podatki), uvoznik podatkov uporabi posebne omejitve in/ali dodatne zaščitne ukrepe, ki so prilagojeni konkretni naravi podatkov in povezanim tveganjem. To lahko vključuje omejitev osebja, ki ima dostop do osebnih podatkov, dodatne varnostne ukrepe (kot je psevdonimizacija) in/ali dodatne omejitve v zvezi z nadaljnjim razkritjem.
8.7 Nadaljnji prenosi
Uvoznik podatkov ne razkrije osebnih podatkov tretji osebi, ki se nahaja zunaj Evropske unije (3) (v isti državi kot uvoznik podatkov ali v drugi tretji državi, v nadaljnjem besedilu: nadaljnji prenos), razen če so za to tretjo osebo v skladu z ustreznim modulom ta določila zavezujoča oziroma se tretja oseba strinja, da bodo zavezujoča. V nasprotnem primeru uvoznik podatkov izvede nadaljnji prenos le, če:
|
(i) |
gre za prenos v državo, za katero je bil v skladu s členom 45 Uredbe (EU) 2016/679 sprejet sklep o ustreznosti, ki zajema nadaljnji prenos; |
|
(ii) |
tretja oseba kako drugače zagotovi ustrezne zaščitne ukrepe v skladu s členom 46 ali 47 Uredbe (EU) 2016/679 v zvezi z zadevno obdelavo; |
|
(iii) |
tretja oseba z uvoznikom podatkov sklene zavezujoč akt, ki zagotavlja enako raven varstva podatkov, kot se zagotavlja v skladu s temi določili, uvoznik podatkov pa izvozniku podatkov zagotovi kopijo teh zaščitnih ukrepov; |
|
(iv) |
je to potrebno za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov v okviru posebnih upravnih, regulativnih ali sodnih postopkov |
|
(v) |
je to potrebno za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe ali |
|
(vi) |
kadar se ne uporablja noben od drugih pogojev, če je uvoznik podatkov pridobil izrecno privolitev posameznika, na katerega se nanašajo osebni podatki, za nadaljnji prenos v konkretni situaciji, potem ko ga je obvestil o namenu, identiteti prejemnika in morebitnih tveganjih takega prenosa zaradi pomanjkanja ustreznih zaščitnih ukrepov za varstvo podatkov. V tem primeru uvoznik podatkov o tem obvesti izvoznika podatkov in mu na njegovo zahtevo pošlje kopijo informacij, ki jih je zagotovil posamezniku, na katerega se nanašajo osebni podatki. |
Za vsak nadaljnji prenos mora uvoznik podatkov spoštovati tudi vse druge zaščitne ukrepe iz teh določil, zlasti omejitev namena.
8.8 Obdelava pod vodstvom uvoznika podatkov
Uvoznik podatkov zagotovi, da katera koli oseba, ki deluje pod njegovim vodstvom, vključno z obdelovalcem, obdeluje podatke samo po njegovih navodilih.
8.9 Dokumentacija in skladnost
|
(a) |
Vsaka pogodbenica je sposobna dokazati, da spoštuje obveznosti, ki jih ima na podlagi teh določil. Uvoznik podatkov hrani zlasti ustrezno dokumentacijo o dejavnostih obdelave, ki se izvajajo pod njegovo odgovornostjo. |
|
(b) |
Uvoznik podatkov da tako dokumentacijo na voljo pristojnemu nadzornemu organu, če ta tako zahteva. |
MODUL DVA: Prenos od upravljavca obdelovalcu
8.1 Navodila
|
(a) |
Uvoznik podatkov obdeluje osebne podatke samo v skladu z dokumentiranimi navodili izvoznika podatkov. Izvoznik podatkov lahko daje taka navodila ves čas trajanja pogodbe. |
|
(b) |
Uvoznik podatkov nemudoma obvesti izvoznika podatkov, če ne more upoštevati njegovih navodil. |
8.2 Omejitev namena
Uvoznik podatkov obdeluje osebne podatke samo za konkretne namene prenosa, kot je določeno v Prilogi I.B, razen če od izvoznika podatkov prejme dodatna navodila.
8.3 Preglednost
Če posameznik, na katerega se nanašajo osebni podatki, tako zahteva, mu da izvoznik podatkov brezplačno na voljo kopijo teh določil, vključno z Dodatkom, kot so ga izpolnile pogodbenice. Kolikor je to potrebno za varovanje poslovnih skrivnosti ali drugih zaupnih informacij, vključno z ukrepi, opisanimi v Prilogi II, in osebnimi podatki, lahko izvoznik podatkov pred posredovanjem kopije zakrije občutljive in zaupne dele besedila Dodatka k tem določilom, vendar zagotovi smiseln povzetek, če posameznik, na katerega se nanašajo osebni podatki, drugače ne bi mogel razumeti njegove vsebine ali uveljavljati svojih pravic. Pogodbenice posameznika, na katerega se nanašajo osebni podatki, na njegovo zahtevo obvestijo o razlogih za zakritje delov besedila v obsegu, v katerem to lahko storijo, ne da bi razkrile zadevne informacije. To določilo ne posega v obveznosti, ki jih ima izvoznik podatkov na podlagi členov 13 in 14 Uredbe (EU) 2016/679.
8.4 Točnost
Če uvoznik podatkov ugotovi, da osebni podatki, ki jih je prejel, niso točni ali da so zastareli, o tem brez nepotrebnega odlašanja obvesti izvoznika podatkov. V tem primeru uvoznik podatkov sodeluje z izvoznikom podatkov pri izbrisu ali popravku podatkov.
8.5 Trajanje obdelave ter izbris ali vrnitev podatkov
Uvoznik podatkov obdeluje osebne podatke le tako dolgo, kot je določeno v Prilogi I.B. Po koncu opravljanja storitev obdelave uvoznik podatkov v skladu z odločitvijo izvoznika podatkov bodisi izbriše vse osebne podatke, ki so bili obdelani v imenu izvoznika podatkov, ter mu potrdi, da je to storil, bodisi izvozniku podatkov vrne vse osebne podatke, obdelane v njegovem imenu, in izbriše obstoječe kopije. Dokler se podatki ne izbrišejo ali vrnejo, uvoznik podatkov še naprej zagotavlja skladnost s temi določili. Če se za uvoznika podatkov uporabljajo lokalni zakoni, ki prepovedujejo vračanje ali izbris osebnih podatkov, uvoznik podatkov jamči, da bo še naprej zagotavljal skladnost s temi določili in bo zadevne podatke obdeloval le v obsegu in tako dolgo, kot se zahteva v skladu z navedeno lokalno zakonodajo. To ne posega v določilo 14, zlasti v zahtevo, da mora uvoznik podatkov v skladu z določilom 14(e) obvestiti izvoznika podatkov, če ima kadar koli v času trajanja pogodbe razlog za domnevo, da zanj veljajo ali so začeli veljati zakoni ali prakse, ki niso v skladu z zahtevami iz določila 14(a).
8.6 Varnost obdelave
|
(a) |
Uvoznik podatkov, in med prenosom tudi izvoznik podatkov, izvedeta ustrezne tehnične in organizacijske ukrepe za zagotovitev varnosti podatkov, vključno z zaščito pred kršitvijo varnosti, ki bi povzročila naključno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do zadevnih podatkov (v nadaljnjem besedilu: kršitev varnosti osebnih podatkov). Pri določanju ustrezne ravni varnosti pogodbenice ustrezno upoštevajo najnovejši tehnološki razvoj, stroške izvajanja ter naravo, obseg, okoliščine in namen ali namene obdelave ter z obdelavo povezana tveganja za posameznike, na katere se nanašajo osebni podatki. Pogodbenice zlasti preučijo možnost uporabe šifriranja ali psevdonimizacije, tudi med prenosom, kadar je namen obdelave mogoče izpolniti na ta način. V primeru psevdonimizacije ostanejo dodatne informacije za pripisovanje osebnih podatkov določenemu posamezniku, na katerega se nanašajo osebni podatki, po možnosti pod izključnim nadzorom izvoznika podatkov. Uvoznik podatkov za izpolnitev svojih obveznosti v skladu s tem odstavkom izvede vsaj tehnične in organizacijske ukrepe iz Priloge II. Uvoznik podatkov z rednimi pregledi zagotovi, da ti ukrepi še naprej zagotavljajo ustrezno raven varnosti. |
|
(b) |
Uvoznik podatkov članom svojega osebja odobri dostop do osebnih podatkov zgolj v obsegu, ki je nujno potreben za izvajanje, upravljanje in spremljanje pogodbe. Zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon. |
|
(c) |
V primeru kršitve varnosti osebnih podatkov v zvezi z osebnimi podatki, ki jih na podlagi teh določil obdeluje uvoznik podatkov, ta sprejme ustrezne ukrepe za odpravo kršitve, vključno z ukrepi za ublažitev škodljivih učinkov kršitve. Uvoznik podatkov po seznanitvi s kršitvijo brez nepotrebnega odlašanja obvesti tudi izvoznika podatkov. Takšno obvestilo vsebuje podatke o kontaktni točki, pri kateri je mogoče dobiti več informacij, opis narave kršitve (po možnosti vključno s kategorijami in približnim številom zadevnih posameznikov, na katere se nanašajo osebni podatki, ter evidenc osebnih podatkov), njene verjetne posledice ter sprejete ali predlagane ukrepe za odpravo kršitve, po potrebi vključno z ukrepi za ublažitev morebitnih škodljivih učinkov kršitve. Kadar in kolikor vseh informacij ni mogoče zagotoviti hkrati, začetno obvestilo vsebuje informacije, ki so takrat na voljo, nadaljnje informacije pa se takoj, ko so na voljo, predložijo brez nepotrebnega odlašanja. |
|
(d) |
Uvoznik podatkov sodeluje z izvoznikom podatkov in mu pomaga izpolniti obveznosti iz Uredbe (EU) 2016/679, zlasti da obvesti pristojni nadzorni organ in prizadete posameznike, na katere se nanašajo osebni podatki, pri čemer se upoštevajo narava obdelave in informacije, ki so na voljo uvozniku podatkov. |
8.7 Občutljivi podatki
Če prenos vključuje osebne podatke, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, genske podatke ali biometrične podatke za namene edinstvene identifikacije posameznika, podatke v zvezi z zdravjem ali spolnim življenjem ali spolno usmerjenostjo posameznika ali podatke v zvezi s kazenskimi obsodbami in kaznivimi dejanji (v nadaljnjem besedilu: občutljivi podatki), uvoznik podatkov uporabi posebne omejitve in/ali dodatne zaščitne ukrepe, opisane v Prilogi I.B.
8.8 Nadaljnji prenosi
Uvoznik podatkov razkrije osebne podatke tretji osebi samo v skladu z dokumentiranimi navodili izvoznika podatkov. Poleg tega se lahko podatki razkrijejo tretji osebi, ki se nahaja zunaj Evropske unije (4) (v isti državi kot uvoznik podatkov ali v drugi tretji državi, v nadaljnjem besedilu: nadaljnji prenos), samo če so za to tretjo osebo v skladu z ustreznim modulom ta določila zavezujoča oziroma se tretja oseba strinja, da bodo zavezujoča, ali če:
|
(i) |
gre za nadaljnji prenos v državo, v zvezi s katero je bil v skladu s členom 45 Uredbe (EU) 2016/679 sprejet sklep o ustreznosti, ki zajema nadaljnji prenos; |
|
(ii) |
tretja oseba kako drugače zagotovi ustrezne zaščitne ukrepe v skladu s členom 46 ali 47 Uredbe (EU) 2016/679 v zvezi z zadevno obdelavo; |
|
(iii) |
je nadaljnji prenos potreben za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov v okviru posebnih upravnih, regulativnih ali sodnih postopkov ali |
|
(iv) |
je nadaljnji prenos potreben za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe. |
Za vsak nadaljnji prenos mora uvoznik podatkov spoštovati tudi vse druge zaščitne ukrepe iz teh določil, zlasti omejitev namena.
8.9 Dokumentacija in skladnost
|
(a) |
Uvoznik podatkov nemudoma in ustrezno obravnava poizvedbe izvoznika podatkov, ki se nanašajo na obdelavo na podlagi teh določil. |
|
(b) |
Pogodbenice so sposobne dokazati skladnost s temi določili. Uvoznik podatkov hrani zlasti ustrezno dokumentacijo o dejavnostih obdelave, ki se izvajajo v imenu izvoznika podatkov. |
|
(c) |
Uvoznik podatkov da izvozniku podatkov na voljo vse informacije, ki so potrebne za dokazovanje izpolnjevanja obveznosti iz teh določil, ter na zahtevo izvoznika podatkov omogoči revizije dejavnosti obdelave, zajetih s temi določili, in k njim prispeva v razumnih časovnih presledkih ali če obstajajo znaki neskladnosti. Izvoznik podatkov lahko pri odločanju za pregled ali revizijo upošteva ustrezne certifikate uvoznika podatkov. |
|
(d) |
Izvoznik podatkov se lahko odloči, da bo revizijo izvedel sam ali da bo za to pooblastil neodvisnega revizorja. Revizije lahko vključujejo inšpekcijske preglede v prostorih ali fizičnih objektih uvoznika podatkov in se po potrebi izvedejo v razumnem roku od obvestila o njih. |
|
(e) |
Pogodbenice pristojnemu nadzornemu organu na zahtevo omogočijo dostop do informacij iz odstavkov (b) in (c), vključno z rezultati revizij. |
MODUL TRI: Prenos od obdelovalca obdelovalcu
8.1 Navodila
|
(a) |
Izvoznik podatkov je obvestil uvoznika podatkov, da deluje kot obdelovalec po navodilih svojega upravljavca ali upravljavcev, uvozniku podatkov pa da ta navodila na voljo pred obdelavo. |
|
(b) |
Uvoznik podatkov obdeluje osebne podatke samo v skladu z dokumentiranimi navodili upravljavca, kot mu jih je sporočil izvoznik podatkov, in v skladu z morebitnimi dodatnimi dokumentiranimi navodili izvoznika podatkov. Takšna dodatna navodila ne smejo biti v nasprotju z navodili upravljavca. Upravljavec ali izvoznik podatkov lahko dasta nadaljnja dokumentirana navodila glede obdelave podatkov kadar koli v času trajanja pogodbe. |
|
(c) |
Uvoznik podatkov nemudoma obvesti izvoznika podatkov, če ne more upoštevati njegovih navodil. Kadar uvoznik podatkov ne more upoštevati navodil upravljavca, izvoznik podatkov o tem nemudoma obvesti upravljavca. |
|
(d) |
Izvoznik podatkov jamči, da je uvozniku podatkov naložil enake obveznosti glede varstva podatkov, kot so določene v pogodbi ali drugem pravnem aktu na podlagi prava Unije ali države članice med upravljavcem in izvoznikom podatkov (5). |
8.2 Omejitev namena
Uvoznik podatkov obdeluje osebne podatke samo za posebne namene prenosa, kot je določeno v Prilogi I.B, razen če mu izvoznik podatkov posreduje nadaljnja navodila, ki izvirajo od njega ali od upravljavca.
8.3 Preglednost
Če posameznik, na katerega se nanašajo osebni podatki, tako zahteva, mu da izvoznik podatkov brezplačno na voljo kopijo teh določil, vključno z Dodatkom, kot so ga izpolnile pogodbenice. Kolikor je to potrebno za varovanje poslovnih skrivnosti ali drugih zaupnih informacij, vključno z osebnimi podatki, lahko izvoznik podatkov pred posredovanjem kopije zakrije občutljive in zaupne dele besedila Dodatka, vendar zagotovi smiseln povzetek, če posameznik, na katerega se nanašajo osebni podatki, drugače ne bi mogel razumeti njegove vsebine ali uveljavljati svojih pravic. Pogodbenice posameznika, na katerega se nanašajo osebni podatki, na njegovo zahtevo obvestijo o razlogih za zakritje delov besedila v obsegu, v katerem to lahko storijo, ne da bi razkrile zadevne informacije.
8.4 Točnost
Če uvoznik podatkov ugotovi, da osebni podatki, ki jih je prejel, niso točni ali da so zastareli, o tem brez nepotrebnega odlašanja obvesti izvoznika podatkov. V tem primeru uvoznik podatkov sodeluje z izvoznikom podatkov pri popravku ali izbrisu podatkov.
8.5 Trajanje obdelave ter izbris ali vrnitev podatkov
Uvoznik podatkov obdeluje osebne podatke le v obdobju, določenem v Prilogi I.B. Po koncu opravljanja storitev obdelave uvoznik podatkov v skladu z odločitvijo izvoznika podatkov bodisi izbriše vse osebne podatke, ki so bili obdelani v imenu upravljavca, in izvozniku podatkov potrdi, da je to storil, bodisi izvozniku podatkov vrne vse osebne podatke, obdelane v njegovem imenu, in izbriše obstoječe kopije. Dokler se podatki ne izbrišejo ali vrnejo, uvoznik podatkov še naprej zagotavlja skladnost s temi določili. Če se za uvoznika podatkov uporabljajo lokalni zakoni, ki prepovedujejo vračanje ali izbris osebnih podatkov, uvoznik podatkov jamči, da bo še naprej zagotavljal skladnost s temi določili in bo zadevne podatke obdeloval le v obsegu in tako dolgo, kot se zahteva v skladu z navedeno lokalno zakonodajo. To ne posega v določilo 14, zlasti v zahtevo, da mora uvoznik podatkov v skladu z določilom 14(e) obvestiti izvoznika podatkov, če ima kadar koli v času trajanja pogodbe razlog za domnevo, da zanj veljajo ali so začeli veljati zakoni ali prakse, ki niso v skladu z zahtevami iz določila 14(a).
8.6 Varnost obdelave
|
(a) |
Uvoznik podatkov, in med prenosom tudi izvoznik podatkov, izvedeta ustrezne tehnične in organizacijske ukrepe za zagotovitev varnosti podatkov, vključno z zaščito pred kršitvijo varnosti, ki bi povzročila naključno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do zadevnih podatkov (v nadaljnjem besedilu: kršitev varnosti osebnih podatkov). Pri določanju ustrezne ravni varnosti ustrezno upoštevata najnovejši tehnološki razvoj, stroške izvajanja ter naravo, obseg, okoliščine in namen ali namene obdelave ter z obdelavo povezana tveganja za posameznike, na katere se nanašajo osebni podatki. Pogodbenice zlasti preučijo možnost uporabe šifriranja ali psevdonimizacije, tudi med prenosom, kadar je namen obdelave mogoče izpolniti na ta način. V primeru psevdonimizacije ostanejo dodatne informacije za pripisovanje osebnih podatkov določenemu posamezniku, na katerega se nanašajo osebni podatki, po možnosti pod izključnim nadzorom izvoznika podatkov ali upravljavca. Uvoznik podatkov za izpolnitev svojih obveznosti v skladu s tem odstavkom izvede vsaj tehnične in organizacijske ukrepe iz Priloge II. Uvoznik podatkov z rednimi pregledi zagotovi, da ti ukrepi še naprej zagotavljajo ustrezno raven varnosti. |
|
(b) |
Uvoznik podatkov članom svojega osebja odobri dostop do podatkov zgolj v obsegu, ki je nujno potreben za izvajanje, upravljanje in spremljanje pogodbe. Zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon. |
|
(c) |
V primeru kršitve varnosti osebnih podatkov v zvezi z osebnimi podatki, ki jih na podlagi teh določil obdeluje uvoznik podatkov, ta sprejme ustrezne ukrepe za odpravo kršitve, vključno z ukrepi za ublažitev škodljivih učinkov kršitve. Uvoznik podatkov po seznanitvi s kršitvijo brez nepotrebnega odlašanja obvesti tudi izvoznika podatkov ter, kadar je to primerno in izvedljivo, upravljavca. Takšno obvestilo vsebuje podatke o kontaktni točki, pri kateri je mogoče dobiti več informacij, opis narave kršitve (po možnosti vključno s kategorijami in približnim številom zadevnih posameznikov, na katere se nanašajo osebni podatki, ter evidenc osebnih podatkov), njene verjetne posledice ter sprejete ali predlagane ukrepe za odpravo kršitve varnosti podatkov, vključno z ukrepi za ublažitev morebitnih škodljivih učinkov kršitve. Kadar in kolikor vseh informacij ni mogoče zagotoviti hkrati, začetno obvestilo vsebuje informacije, ki so takrat na voljo, nadaljnje informacije pa se takoj, ko so na voljo, predložijo brez nepotrebnega odlašanja. |
|
(d) |
Uvoznik podatkov sodeluje z izvoznikom podatkov in mu pomaga izpolniti obveznosti iz Uredbe (EU) 2016/679, zlasti da obvesti svojega upravljavca, da lahko ta nato obvesti pristojni nadzorni organ in prizadete posameznike, na katere se nanašajo osebni podatki, pri čemer se upoštevajo narava obdelave in informacije, ki so na voljo uvozniku podatkov. |
8.7 Občutljivi podatki
Če prenos vključuje osebne podatke, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, genske podatke ali biometrične podatke za namene edinstvene identifikacije posameznika, podatke v zvezi z zdravjem ali spolnim življenjem ali spolno usmerjenostjo posameznika ali podatke v zvezi s kazenskimi obsodbami in kaznivimi dejanji (v nadaljnjem besedilu: občutljivi podatki), uvoznik podatkov uporabi posebne omejitve in/ali dodatne zaščitne ukrepe, opisane v Prilogi I.B.
8.8 Nadaljnji prenosi
Uvoznik podatkov razkrije osebne podatke tretji osebi samo v skladu z dokumentiranimi navodili upravljavca, kot mu jih je sporočil izvoznik podatkov. Poleg tega se lahko podatki razkrijejo tretji osebi, ki se nahaja zunaj Evropske unije (6) (v isti državi kot uvoznik podatkov ali v drugi tretji državi, v nadaljnjem besedilu: nadaljnji prenos), samo če so za to tretjo osebo v skladu z ustreznim modulom ta določila zavezujoča oziroma se tretja oseba strinja, da bodo zavezujoča, ali če:
|
(i) |
gre za nadaljnji prenos v državo, v zvezi s katero je bil v skladu s členom 45 Uredbe (EU) 2016/679 sprejet sklep o ustreznosti, ki zajema nadaljnji prenos; |
|
(ii) |
tretja oseba kako drugače zagotovi ustrezne zaščitne ukrepe v skladu s členom 46 ali 47 Uredbe (EU) 2016/679; |
|
(iii) |
je nadaljnji prenos potreben za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov v okviru posebnih upravnih, regulativnih ali sodnih postopkov ali |
|
(iv) |
je nadaljnji prenos potreben za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe. |
Za vsak nadaljnji prenos mora uvoznik podatkov spoštovati tudi vse druge zaščitne ukrepe iz teh določil, zlasti omejitev namena.
8.9 Dokumentacija in skladnost
|
(a) |
Uvoznik podatkov nemudoma in ustrezno obravnava poizvedbe izvoznika podatkov ali upravljavca, ki se nanašajo na obdelavo na podlagi teh določil. |
|
(b) |
Pogodbenice so sposobne dokazati skladnost s temi določili. Uvoznik podatkov hrani zlasti ustrezno dokumentacijo o dejavnostih obdelave, ki se izvajajo v imenu upravljavca. |
|
(c) |
Uvoznik podatkov da vse informacije, ki so potrebne za dokazovanje izpolnjevanja obveznosti iz teh določil, na voljo izvozniku podatkov, ki jih zagotovi upravljavcu. |
|
(d) |
Uvoznik podatkov omogoči izvozniku podatkov izvedbo revizij dejavnosti obdelave, zajetih s temi določili, in k njim prispeva v razumnih časovnih presledkih ali če obstajajo znaki neskladnosti. Enako velja, kadar izvoznik podatkov zahteva revizijo po navodilih upravljavca. Izvoznik podatkov lahko pri odločanju za revizijo upošteva ustrezne certifikate uvoznika podatkov. |
|
(e) |
Kadar se revizija opravi po navodilih upravljavca, mu da izvoznik podatkov na voljo rezultate revizije. |
|
(f) |
Izvoznik podatkov se lahko odloči, da bo revizijo izvedel sam ali da bo za to pooblastil neodvisnega revizorja. Revizije lahko vključujejo inšpekcijske preglede v prostorih ali fizičnih objektih uvoznika podatkov in se po potrebi izvedejo v razumnem roku od obvestila o njih. |
|
(g) |
Pogodbenice pristojnemu nadzornemu organu na zahtevo omogočijo dostop do informacij iz odstavkov (b) in (c), vključno z rezultati revizij. |
MODUL ŠTIRI: Prenos od obdelovalca upravljavcu
8.1 Navodila
|
(a) |
Izvoznik podatkov obdeluje osebne podatke samo v skladu z dokumentiranimi navodili uvoznika podatkov, ki deluje kot njegov upravljavec. |
|
(b) |
Izvoznik podatkov nemudoma obvesti uvoznika podatkov, če ne more upoštevati teh navodil, med drugim kadar takšna navodila kršijo Uredbo (EU) 2016/679 ali drugo zakonodajo Unije ali države članice o varstvu podatkov. |
|
(c) |
Uvoznik podatkov se vzdrži vseh dejanj, ki bi izvozniku podatkov preprečila izpolnjevanje obveznosti iz Uredbe (EU) 2016/679, tudi v kontekstu podobdelave ali glede sodelovanja s pristojnimi nadzornimi organi. |
|
(d) |
Po koncu opravljanja storitev obdelave izvoznik podatkov v skladu z odločitvijo uvoznika podatkov bodisi izbriše vse osebne podatke, ki so bili obdelani v imenu uvoznika podatkov, in mu potrdi, da je to storil, bodisi uvozniku podatkov vrne vse osebne podatke, obdelane v njegovem imenu, in izbriše obstoječe kopije. |
8.2 Varnost obdelave
|
(a) |
Pogodbenice izvedejo ustrezne tehnične in organizacijske ukrepe za zagotovitev varnosti podatkov, tudi med prenosom, in zaščite pred kršitvijo varnosti, ki bi povzročila naključno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop (v nadaljnjem besedilu: kršitev varnosti osebnih podatkov). Pri določanju ustrezne ravni varnosti ustrezno upoštevajo najnovejši tehnološki razvoj, stroške izvajanja, naravo osebnih podatkov (7), naravo, obseg, okoliščine in namen ali namene obdelave ter z obdelavo povezana tveganja za posameznike, na katere se nanašajo osebni podatki, zlasti pa preučijo možnost uporabe šifriranja ali psevdonimizacije, tudi med prenosom, kadar je namen obdelave mogoče izpolniti na ta način. |
|
(b) |
Izvoznik podatkov pomaga uvozniku podatkov zagotoviti ustrezno varnost podatkov v skladu z odstavkom (a). Če je kršena varnost osebnih podatkov v zvezi z osebnimi podatki, ki jih izvoznik podatkov obdeluje na podlagi teh določil, izvoznik podatkov po seznanitvi s kršitvijo brez nepotrebnega odlašanja obvesti uvoznika podatkov in mu pomaga pri obravnavanju kršitve. |
|
(c) |
Izvoznik podatkov zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon. |
8.3 Dokumentacija in skladnost
|
(a) |
Pogodbenice so sposobne dokazati skladnost s temi določili. |
|
(b) |
Izvoznik podatkov da uvozniku podatkov na voljo vse informacije, ki so potrebne za dokazovanje izpolnjevanja obveznosti na podlagi teh določil, ter omogoči revizije in k njim prispeva. |
Določilo 9
Uporaba podobdelovalcev
MODUL DVA: Prenos od upravljavca obdelovalcu
|
(a) |
MOŽNOST 1: POSEBNO PREDHODNO DOVOLJENJE Uvoznik podatkov nobenih dejavnosti obdelave, ki jih v imenu izvoznika podatkov izvaja na podlagi teh določil, ne odda v izvajanje podobdelovalcu brez predhodnega posebnega pisnega dovoljenja izvoznika podatkov. Uvoznik podatkov predloži zahtevo za posebno dovoljenje vsaj [določite časovno obdobje] pred zaposlitvijo zadevnega podobdelovalca ter priloži informacije, ki jih izvoznik podatkov potrebuje, da lahko odloči o dovoljenju. Podobdelovalci, ki jih je izvoznik podatkov že odobril, so navedeni na seznamu v Prilogi III. Pogodbenice redno posodabljajo Prilogo III. MOŽNOST 2: SPLOŠNO PISNO DOVOLJENJE Uvoznik podatkov ima splošno dovoljenje izvoznika podatkov za zaposlitev podobdelovalcev z dogovorjenega seznama. Uvoznik podatkov izrecno pisno obvesti izvoznika podatkov o vseh nameravanih spremembah tega seznama z dodajanjem ali zamenjavo podobdelovalcev vsaj [določite časovno obdobje] vnaprej, s čimer izvozniku podatkov zagotovi dovolj časa, da lahko ugovarja takšnim spremembam še pred zaposlitvijo zadevnega podobdelovalca ali podobdelovalcev. Uvoznik podatkov zagotovi izvozniku podatkov informacije, ki jih ta potrebuje za uveljavljanje pravice do ugovora. |
|
(b) |
Kadar uvoznik podatkov zaposli podobdelovalca za izvajanje posebnih dejavnosti obdelave (v imenu izvoznika podatkov), to stori s pisno pogodbo, ki vsebinsko določa enake obveznosti glede varstva podatkov, kot so tiste, ki zavezujejo uvoznika podatkov na podlagi teh določil, tudi v smislu pravic upravičenih tretjih oseb za posameznike, na katere se nanašajo osebni podatki (8). Pogodbenice se strinjajo, da uvoznik podatkov s spoštovanjem tega določila izpolnjuje svoje obveznosti iz določila 8.8. Uvoznik podatkov zagotovi, da podobdelovalec izpolnjuje obveznosti, ki v skladu s temi določili veljajo za uvoznika podatkov. |
|
(c) |
Uvoznik podatkov zagotovi izvozniku podatkov na njegovo zahtevo kopijo take pogodbe s podobdelovalcem in vseh njenih naknadnih sprememb. Kolikor je to potrebno za varovanje poslovnih skrivnosti ali drugih zaupnih informacij, vključno z osebnimi podatki, lahko uvoznik podatkov pred posredovanjem kopije zakrije občutljive in zaupne dele pogodbe. |
|
(d) |
Uvoznik podatkov ostane v celoti odgovoren izvozniku podatkov za izpolnjevanje obveznosti, ki jih ima podobdelovalec na podlagi pogodbe z uvoznikom podatkov. Uvoznik podatkov obvesti izvoznika podatkov o kakršnem koli neizpolnjevanju obveznosti podobdelovalca na podlagi navedene pogodbe. |
|
(e) |
Uvoznik podatkov se s podobdelovalcem dogovori o klavzuli v korist tretjega, v skladu s katero ima izvoznik podatkov, če uvoznik podatkov dejansko izgine, pravno preneha obstajati ali postane insolventen, pravico, da odpove pogodbo s podobdelovalcem in podobdelovalcu naroči, naj osebne podatke izbriše ali vrne. |
MODUL TRI: Prenos od obdelovalca obdelovalcu
|
(a) |
MOŽNOST 1: POSEBNO PREDHODNO DOVOLJENJE Uvoznik podatkov nobenih dejavnosti obdelave, ki jih v imenu izvoznika podatkov izvaja na podlagi teh določil, ne odda v izvajanje podobdelovalcu brez predhodnega posebnega pisnega dovoljenja upravljavca. Uvoznik podatkov predloži zahtevo za posebno dovoljenje vsaj [določite časovno obdobje] pred zaposlitvijo zadevnega podobdelovalca ter priloži informacije, ki jih upravljavec potrebuje, da lahko odloči o dovoljenju. O taki zaposlitvi obvesti izvoznika podatkov. Podobdelovalci, ki jih je upravljavec že odobril, so navedeni na seznamu v Prilogi III. Pogodbenice redno posodabljajo Prilogo III. MOŽNOST 2: SPLOŠNO PISNO DOVOLJENJE Uvoznik podatkov ima splošno dovoljenje upravljavca za zaposlitev podobdelovalcev z dogovorjenega seznama. Uvoznik podatkov izrecno pisno obvesti upravljavca o vseh nameravanih spremembah tega seznama z dodajanjem ali zamenjavo podobdelovalcev vsaj [določite časovno obdobje] vnaprej, s čimer upravljavcu zagotovi dovolj časa, da lahko ugovarja takšnim spremembam še pred zaposlitvijo zadevnega podobdelovalca ali podobdelovalcev. Uvoznik podatkov zagotovi upravljavcu informacije, ki jih ta potrebuje za uveljavljanje pravice do ugovora. Uvoznik podatkov obvesti izvoznika podatkov o zaposlitvi zadevnega podobdelovalca ali podobdelovalcev. |
|
(b) |
Kadar uvoznik podatkov zaposli podobdelovalca za izvajanje posebnih dejavnosti obdelave (v imenu upravljavca), to stori s pisno pogodbo, ki vsebinsko določa enake obveznosti glede varstva podatkov, kot so tiste, ki zavezujejo uvoznika podatkov na podlagi teh določil, tudi v smislu pravic upravičenih tretjih oseb za posameznike, na katere se nanašajo osebni podatki (9). Pogodbenice se strinjajo, da uvoznik podatkov s spoštovanjem tega določila izpolnjuje svoje obveznosti iz določila 8.8. Uvoznik podatkov zagotovi, da podobdelovalec izpolnjuje obveznosti, ki v skladu s temi določili veljajo za uvoznika podatkov. |
|
(c) |
Uvoznik podatkov zagotovi izvozniku podatkov ali upravljavcu na njuno zahtevo kopijo take pogodbe s podobdelovalcem in vseh njenih naknadnih sprememb. Kolikor je to potrebno za varovanje poslovnih skrivnosti ali drugih zaupnih informacij, vključno z osebnimi podatki, lahko uvoznik podatkov pred posredovanjem kopije zakrije občutljive in zaupne dele pogodbe. |
|
(d) |
Uvoznik podatkov ostane v celoti odgovoren izvozniku podatkov za izpolnjevanje obveznosti, ki jih ima podobdelovalec na podlagi pogodbe z uvoznikom podatkov. Uvoznik podatkov obvesti izvoznika podatkov o kakršnem koli neizpolnjevanju obveznosti podobdelovalca na podlagi navedene pogodbe. |
|
(e) |
Uvoznik podatkov se s podobdelovalcem dogovori o klavzuli v korist tretjega, v skladu s katero ima izvoznik podatkov, če uvoznik podatkov dejansko izgine, pravno preneha obstajati ali postane insolventen, pravico, da odpove pogodbo s podobdelovalcem in podobdelovalcu naroči, naj osebne podatke izbriše ali vrne. |
Določilo 10
Pravice posameznikov, na katere se nanašajo osebni podatki
MODUL ENA: Prenos od upravljavca upravljavcu
|
(a) |
Uvoznik podatkov, po potrebi s pomočjo izvoznika podatkov, obravnava vse poizvedbe in zahteve, ki jih prejme od posameznika, na katerega se nanašajo osebni podatki, v zvezi z obdelavo njegovih osebnih podatkov in uveljavljanjem njegovih pravic na podlagi teh določil, brez nepotrebnega odlašanja in najpozneje v enem mesecu od prejema poizvedbe ali zahteve (10). Uvoznik podatkov sprejme ustrezne ukrepe za olajšanje takšnih poizvedb in zahtev ter uveljavljanja pravic posameznika, na katerega se nanašajo osebni podatki. Vse informacije, ki se zagotovijo posamezniku, na katerega se nanašajo osebni podatki, so v razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku. |
|
(b) |
Uvoznik podatkov posamezniku, na katerega se nanašajo osebni podatki, na njegovo zahtevo zlasti brezplačno:
|
|
(c) |
Kadar uvoznik podatkov obdeluje osebne podatke za namene neposrednega trženja, preneha obdelavo v take namene, če posameznik, na katerega se nanašajo osebni podatki, temu nasprotuje. |
|
(d) |
Uvoznik podatkov ne sprejme odločitve, ki bi temeljila izključno na avtomatizirani obdelavi prenesenih osebnih podatkov (v nadaljnjem besedilu: avtomatizirana odločitev) in bi imela pravne učinke za posameznika, na katerega se nanašajo osebni podatki, ali bi nanj podobno pomembno vplivala, razen če je pridobil izrecno privolitev posameznika, na katerega se nanašajo osebni podatki, ali če je za to pooblaščen v skladu z zakoni namembne države, pod pogojem, da taki zakoni določajo ustrezne ukrepe za zaščito pravic in zakonitih interesov posameznika, na katerega se nanašajo osebni podatki. V tem primeru uvoznik podatkov po potrebi v sodelovanju z izvoznikom podatkov:
|
|
(e) |
Kadar so zahteve posameznika, na katerega se nanašajo osebni podatki, pretirane, zlasti ker se ponavljajo, lahko uvoznik podatkov zaračuna razumno pristojbino, pri čemer upošteva upravne stroške ugoditve zahtevi, ali zavrne ukrepanje v zvezi z zahtevo. |
|
(f) |
Uvoznik podatkov lahko zavrne zahtevo posameznika, na katerega se nanašajo osebni podatki, če je taka zavrnitev dovoljena v skladu z zakoni namembne države ter je potrebna in sorazmerna v demokratični družbi za zaščito enega od ciljev iz člena 23(1) Uredbe (EU) 2016/679. |
|
(g) |
Če namerava uvoznik podatkov zavrniti zahtevo posameznika, na katerega se nanašajo osebni podatki, ga obvesti o razlogih za zavrnitev ter o možnosti vložitve pritožbe pri pristojnem nadzornem organu in/ali uveljavljanja sodnega varstva. |
MODUL DVA: Prenos od upravljavca obdelovalcu
|
(a) |
Uvoznik podatkov nemudoma obvesti izvoznika podatkov o vsaki zahtevi, ki jo prejme od posameznika, na katerega se nanašajo osebni podatki. Na to zahtevo sam ne odgovori, razen če ga je za to pooblastil izvoznik podatkov. |
|
(b) |
Uvoznik podatkov pomaga izvozniku podatkov izpolniti njegove obveznosti, da odgovori na zahteve posameznikov, na katere se nanašajo osebni podatki, za uveljavljanje njihovih pravic v skladu z Uredbo (EU) 2016/679. V zvezi s tem pogodbenice v Prilogi II ob upoštevanju narave obdelave določijo ustrezne tehnične in organizacijske ukrepe, s katerimi se zagotovi pomoč, ter področje in obseg potrebne pomoči. |
|
(c) |
Uvoznik podatkov pri izpolnjevanju svojih obveznosti iz odstavkov (a) in (b) ravna v skladu z navodili izvoznika podatkov. |
MODUL TRI: Prenos od obdelovalca obdelovalcu
|
(a) |
Uvoznik podatkov nemudoma obvesti izvoznika podatkov in po potrebi upravljavca o vsaki zahtevi, ki jo prejme od posameznika, na katerega se nanašajo osebni podatki, ne da bi odgovoril na to zahtevo, razen če ga je za to pooblastil upravljavec. |
|
(b) |
Uvoznik podatkov po potrebi v sodelovanju z izvoznikom podatkov pomaga upravljavcu izpolniti njegove obveznosti, da odgovori na zahteve posameznikov, na katere se nanašajo osebni podatki, za uveljavljanje njihovih pravic v skladu z Uredbo (EU) 2016/679 oziroma Uredbo (EU) 2018/1725, če se uporablja slednja. V zvezi s tem pogodbenice v Prilogi II ob upoštevanju narave obdelave določijo ustrezne tehnične in organizacijske ukrepe, s katerimi se zagotovi pomoč, ter področje in obseg potrebne pomoči. |
|
(c) |
Uvoznik podatkov pri izpolnjevanju svojih obveznosti iz odstavkov (a) in (b) ravna v skladu z navodili upravljavca, kot mu jih je sporočil izvoznik podatkov. |
MODUL ŠTIRI: Prenos od obdelovalca upravljavcu
Pogodbenice si pomagajo pri odgovarjanju na poizvedbe in zahteve posameznikov, na katere se nanašajo osebni podatki, v skladu z lokalno zakonodajo, ki se uporablja za uvoznika podatkov, ali – pri postopkih obdelave podatkov, ki jih izvoznik podatkov izvaja v EU, – v skladu z Uredbo (EU) 2016/679.
Določilo 11
Pravna sredstva
|
(a) |
Uvoznik podatkov v pregledni in lahko dostopni obliki z individualnim obvestilom ali na svojem spletišču obvesti posameznike, na katere se nanašajo osebni podatki, o kontaktni točki, ki je pooblaščena za obravnavo pritožb. Nemudoma obravnava vse pritožbe, ki jih prejme od posameznika, na katerega se nanašajo osebni podatki. [MOŽNOST: Uvoznik podatkov se strinja, da lahko posamezniki, na katere se nanašajo osebni podatki, brezplačno vložijo pritožbo tudi pri neodvisnem organu za reševanje sporov (11). Posameznike, na katere se nanašajo osebni podatki, na način iz odstavka (a) obvesti, da tak mehanizem pravnega varstva obstaja in da ga niso primorani uporabljati ali slediti določenemu zaporedju pri uveljavljanju pravnega varstva.] |
MODUL ENA: Prenos od upravljavca upravljavcu
MODUL DVA: Prenos od upravljavca obdelovalcu
MODUL TRI: Prenos od obdelovalca obdelovalcu
|
(b) |
Pri sporu med posameznikom, na katerega se nanašajo osebni podatki, in eno od pogodbenic glede skladnosti s temi določili si ta pogodbenica po najboljših močeh prizadeva za pravočasno sporazumno rešitev spora. Pogodbenice se medsebojno obveščajo o takih sporih in po potrebi sodelujejo pri njihovem reševanju. |
|
(c) |
Kadar se posameznik, na katerega se nanašajo osebni podatki, sklicuje na pravico upravičene tretje osebe v skladu z določilom 3, uvoznik podatkov sprejme odločitev posameznika, na katerega se nanašajo osebni podatki, da:
|
|
(d) |
Pogodbenice soglašajo, da posameznika, na katerega se nanašajo osebni podatki, lahko zastopa neprofitni organ, organizacija ali združenje pod pogoji iz člena 80(1) Uredbe (EU) 2016/679. |
|
(e) |
Uvoznik podatkov spoštuje odločitev, ki je zavezujoča v skladu z veljavno zakonodajo EU ali zakonodajo države članice. |
|
(f) |
Uvoznik podatkov se strinja, da izbira posameznika, na katerega se nanašajo osebni podatki, ne bo posegala v njegove materialne in postopkovne pravice do uveljavljanja pravnih sredstev v skladu z veljavno zakonodajo. |
Določilo 12
Odgovornost
MODUL ENA: Prenos od upravljavca upravljavcu
MODUL ŠTIRI: Prenos od obdelovalca upravljavcu
|
(a) |
Vsaka pogodbenica odgovarja drugim pogodbenicam za kakršno koli škodo, ki jim jo povzroči s kršitvijo teh določil. |
|
(b) |
Vsaka pogodbenica je odgovorna posamezniku, na katerega se nanašajo osebni podatki, ta pa je upravičen do nadomestila za vso premoženjsko ali nepremoženjsko škodo, ki mu jo povzroči pogodbenica s tem, da krši pravice upravičenih tretjih oseb na podlagi teh določil. To ne posega v odgovornost izvoznika podatkov na podlagi Uredbe (EU) 2016/679. |
|
(c) |
Kadar je za škodo, ki je zaradi kršitve teh določil povzročena posamezniku, na katerega se nanašajo osebni podatki, odgovorna več kot ena pogodbenica, so vse odgovorne pogodbenice skupno in solidarno odgovorne, posameznik, na katerega se nanašajo osebni podatki, pa ima pravico, da na sodišču vloži tožbo proti kateri koli od teh pogodbenic. |
|
(d) |
Pogodbenice se strinjajo, da če je ena od pogodbenic odgovorna v skladu z odstavkom (c), lahko od drugih pogodbenic zahteva povračilo dela nadomestila, ki ustreza odgovornosti teh pogodbenic za škodo. |
|
(e) |
Uvoznik podatkov se ne more sklicevati na ravnanje obdelovalca ali podobdelovalca, da bi se izognil lastni odgovornosti. |
MODUL DVA: Prenos od upravljavca obdelovalcu
MODUL TRI: Prenos od obdelovalca obdelovalcu
|
(a) |
Vsaka pogodbenica odgovarja drugim pogodbenicam za kakršno koli škodo, ki jim jo povzroči zaradi kršitve teh določil. |
|
(b) |
Uvoznik podatkov je odgovoren posamezniku, na katerega se nanašajo osebni podatki, ta pa je upravičen do nadomestila za vso premoženjsko ali nepremoženjsko škodo, ki mu jo povzroči uvoznik podatkov ali njegov podobdelovalec s tem, da krši pravice upravičenih tretjih oseb na podlagi teh določil. |
|
(c) |
Ne glede na odstavek (b) je izvoznik podatkov odgovoren posamezniku, na katerega se nanašajo osebni podatki, ta pa je upravičen do nadomestila za vso premoženjsko ali nepremoženjsko škodo, ki mu jo povzroči izvoznik podatkov ali uvoznik podatkov (ali njegov podobdelovalec) s tem, da krši pravice upravičenih tretjih oseb na podlagi teh določil. To ne posega v odgovornost izvoznika podatkov in, kadar je izvoznik podatkov obdelovalec, ki deluje v imenu upravljavca, v odgovornost upravljavca v skladu z Uredbo (EU) 2016/679 oziroma Uredbo (EU) 2018/1725, če se uporablja slednja. |
|
(d) |
Pogodbenice se strinjajo, da če je izvoznik podatkov odgovoren v skladu z odstavkom (c) za škodo, ki jo povzroči uvoznik podatkov (ali njegov podobdelovalec), lahko od uvoznika podatkov zahteva povračilo dela nadomestila, ki ustreza odgovornosti uvoznika podatkov za škodo. |
|
(e) |
Kadar je za škodo, ki je zaradi kršitve teh določil povzročena posamezniku, na katerega se nanašajo osebni podatki, odgovorna več kot ena pogodbenica, so vse odgovorne pogodbenice skupno in solidarno odgovorne, posameznik, na katerega se nanašajo osebni podatki, pa ima pravico, da na sodišču vloži tožbo proti kateri koli od teh pogodbenic. |
|
(f) |
Pogodbenice se strinjajo, da če je ena od pogodbenic odgovorna v skladu z odstavkom (e), lahko od drugih pogodbenic zahteva del nadomestila, ki ustreza odgovornosti teh pogodbenic za škodo. |
|
(g) |
Uvoznik podatkov se ne more sklicevati na ravnanje podobdelovalca, da bi se izognil lastni odgovornosti. |
Določilo 13
Nadzor
MODUL ENA: Prenos od upravljavca upravljavcu
MODUL DVA: Prenos od upravljavca obdelovalcu
MODUL TRI: Prenos od obdelovalca obdelovalcu
|
(a) |
[Če ima izvoznik podatkov ustanovitev v državi članici EU:] Pristojni nadzorni organ je nadzorni organ, ki je odgovoren za zagotavljanje skladnosti izvoznika podatkov z Uredbo (EU) 2016/679, kar zadeva prenos podatkov, kot je naveden v Prilogi I.C. [Če izvoznik podatkov nima ustanovitve v državi članici EU, vendar spada v ozemeljsko področje uporabe Uredbe (EU) 2016/679 v skladu z njenim členom 3(2) in je imenoval predstavnika v skladu s členom 27(1) Uredbe (EU) 2016/679:] Pristojni nadzorni organ je nadzorni organ države članice, v kateri ima ustanovitev predstavnik v smislu člena 27(1) Uredbe (EU) 2016/679, kot je naveden v Prilogi I.C. [Če izvoznik podatkov nima ustanovitve v državi članici EU, vendar spada v ozemeljsko področje uporabe Uredbe (EU) 2016/679 v skladu z njenim členom 3(2), pri čemer mu ni treba imenovati predstavnika v skladu s členom 27(2) Uredbe (EU) 2016/679:] Pristojni nadzorni organ je nadzorni organ ene od držav članic, v kateri so posamezniki, na katere se nanašajo osebni podatki, ki se prenesejo na podlagi teh določil v zvezi s ponujanjem blaga ali storitev tem posameznikom, ali katerih ravnanje se spremlja, kot je navedeno v Prilogi I.C. |
|
(b) |
Uvoznik podatkov se strinja, da se bo podvrgel pristojnosti pristojnega nadzornega organa in z njim sodeloval v vseh postopkih, katerih namen je zagotoviti skladnost s temi določili. Uvoznik podatkov se zlasti strinja, da bo odgovoril na poizvedbe, privolil v revizije in ravnal v skladu z ukrepi, ki jih je sprejel nadzorni organ, vključno s popravnimi in izravnalnimi ukrepi. Nadzornemu organu predloži pisno potrdilo, da so bili sprejeti potrebni ukrepi. |
ODDELEK III – LOKALNI ZAKONI IN OBVEZNOSTI V PRIMERU DOSTOPA JAVNIH ORGANOV
Določilo 14
Lokalni zakoni in prakse, ki vplivajo na skladnost z določili
MODUL ENA: Prenos od upravljavca upravljavcu
MODUL DVA: Prenos od upravljavca obdelovalcu
MODUL TRI: Prenos od obdelovalca obdelovalcu
MODUL ŠTIRI: Prenos od obdelovalca upravljavcu (če obdelovalec EU osebne podatke, prejete od upravljavca iz tretje države, združi z osebnimi podatki, ki jih sam zbere v EU)
|
(a) |
Pogodbenice jamčijo, da nimajo razloga za domnevo, da zakoni in prakse v namembni tretji državi, ki se uporabljajo za obdelavo osebnih podatkov s strani uvoznika podatkov, vključno z morebitnimi zahtevami za razkritje osebnih podatkov ali ukrepi, ki dovoljujejo dostop javnim organom, uvozniku podatkov preprečujejo izpolnjevanje obveznosti iz teh določil. To temelji na razumevanju, da zakoni in prakse, ki spoštujejo bistvo temeljnih pravic in svoboščin ter ne presegajo tistega, kar je v demokratični družbi potrebno in sorazmerno za zaščito enega od ciljev iz člena 23(1) Uredbe (EU) 2016/679, niso v nasprotju s temi določili. |
|
(b) |
Pogodbenice izjavljajo, da so pri zagotavljanju jamstva iz odstavka (a) ustrezno upoštevale zlasti naslednje elemente:
|
|
(c) |
Uvoznik podatkov jamči, da si je pri izvajanju ocene iz odstavka (b) po najboljših močeh prizadeval, da bi izvozniku podatkov zagotovil relevantne informacije, in se strinja, da bo še naprej sodeloval z izvoznikom podatkov pri zagotavljanju skladnosti s temi določili. |
|
(d) |
Pogodbenice soglašajo, da bodo dokumentirale oceno iz odstavka (b) in jo dale na voljo pristojnemu nadzornemu organu na njegovo zahtevo. |
|
(e) |
Uvoznik podatkov se strinja, da bo nemudoma obvestil izvoznika podatkov, če ima po tem, ko je privolil, da ga ta določila zavezujejo, in v času trajanja pogodbe razlog za domnevo, da zanj veljajo ali so začeli veljati zakoni ali prakse, ki niso v skladu z zahtevami iz odstavka (a), vključno s spremembo zakonov v tretji državi ali ukrepom (kot je zahteva za razkritje), v katerem je navedena uporaba takih zakonov v praksi, ki ni v skladu z zahtevami iz odstavka (a). [Za modul tri: Izvoznik podatkov obvestilo posreduje upravljavcu.] |
|
(f) |
Po obvestilu v skladu z odstavkom (e) ali če izvoznik podatkov iz drugih razlogov meni, da uvoznik podatkov ne more več izpolnjevati svojih obveznosti na podlagi teh določil, izvoznik podatkov nemudoma opredeli ustrezne ukrepe (kot so na primer tehnični ali organizacijski ukrepi za zagotovitev varnosti in zaupnosti), ki jih mora sprejeti izvoznik podatkov in/ali uvoznik podatkov za obravnavo situacije [za modul tri: po potrebi v posvetovanju z upravljavcem]. Izvoznik podatkov ustavi prenos podatkov, če meni, da ni mogoče zagotoviti ustreznih zaščitnih ukrepov za tak prenos, ali če mu je tako naročil [za modul tri: upravljavec ali] pristojni nadzorni organ. V tem primeru lahko izvoznik podatkov odpove pogodbo, če ta zadeva obdelavo osebnih podatkov na podlagi teh določil. Če pogodba vključuje več kot dve pogodbenici, lahko izvoznik podatkov uveljavlja to pravico do odpovedi le v zvezi z zadevno pogodbenico, razen če so se pogodbenice dogovorile drugače. Če je pogodba odpovedana v skladu s tem določilom, se uporabi določilo 16(d) in (e). |
Določilo 15
Obveznosti uvoznika podatkov v primeru dostopa javnih organov
MODUL ENA: Prenos od upravljavca upravljavcu
MODUL DVA: Prenos od upravljavca obdelovalcu
MODUL TRI: Prenos od obdelovalca obdelovalcu
MODUL ŠTIRI: Prenos od obdelovalca upravljavcu (če obdelovalec EU osebne podatke, prejete od upravljavca iz tretje države, združi z osebnimi podatki, ki jih sam zbere v EU)
15.1 Obvestilo
|
(a) |
Uvoznik podatkov se strinja, da bo nemudoma obvestil izvoznika podatkov in po možnosti posameznika, na katerega se nanašajo osebni podatki (po potrebi s pomočjo izvoznika podatkov), če:
[Za modul tri: Izvoznik podatkov obvestilo posreduje upravljavcu.] |
|
(b) |
Če uvoznik podatkov v skladu z zakonodajo namembne države ne sme obvestiti izvoznika podatkov in/ali posameznika, na katerega se nanašajo osebni podatki, se uvoznik podatkov strinja, da si bo po najboljših močeh prizadeval pridobiti opustitev prepovedi, da bi posredoval čim več informacij in čim prej. Uvoznik podatkov se strinja, da bo dokumentiral svoja prizadevanja, da jih bo lahko dokazal na zahtevo izvoznika podatkov. |
|
(c) |
Kadar to dovoljujejo zakoni namembne države, se uvoznik podatkov strinja, da bo izvozniku podatkov v rednih časovnih presledkih v času trajanja pogodbe zagotovil čim več ustreznih informacij o prejetih zahtevah (zlasti o številu zahtev, vrsti zahtevanih podatkov, organih prosilcih, o tem, ali so bili zahtevki izpodbijani, in o izidu takih izpodbijanj itd.). [Za modul tri: Izvoznik podatkov informacije posreduje upravljavcu.] |
|
(d) |
Uvoznik podatkov se strinja, da bo informacije v skladu z odstavki (a) do (c) hranil za čas trajanja pogodbe in jih dal na voljo pristojnemu nadzornemu organu, če bo ta tako zahteval. |
|
(e) |
Odstavki (a) do (c) ne posegajo v obveznost uvoznika podatkov v skladu z določilom 14(e) in določilom 16, da nemudoma obvesti izvoznika podatkov, kadar teh določil ne more spoštovati. |
15.2 Pregled zakonitosti in najmanjši obseg podatkov
|
(a) |
Uvoznik podatkov se strinja, da bo pregledal zakonitost zahteve za razkritje, zlasti, ali zahteva ostaja v okviru pooblastil, ki jih ima javni organ prosilec, in da jo bo izpodbijal, če bo po skrbni oceni ugotovil obstoj utemeljenih razlogov za domnevo, da je zahteva nezakonita v skladu z zakoni namembne države, veljavnimi obveznostmi po mednarodnem pravu in načeli mednarodne pravne kurtoazije. Uvoznik podatkov si pod enakimi pogoji prizadeva za možnost pritožbe. Pri izpodbijanju zahteve uvoznik podatkov zahteva začasne ukrepe za začasno prekinitev učinkov zahteve, dokler pristojni sodni organ ne odloči o vsebini. Zahtevanih osebnih podatkov ne razkrije, dokler ni k temu primoran v skladu z veljavnimi postopkovnimi pravili. Te zahteve ne posegajo v obveznosti uvoznika podatkov na podlagi določila 14(e). |
|
(b) |
Uvoznik podatkov se strinja, da bo dokumentiral svojo pravno oceno in kakršno koli izpodbijanje zahteve za razkritje ter v obsegu, ki ga dovoljujejo zakoni namembne države, dokumentacijo dal na voljo izvozniku podatkov. Prav tako jo bo dal na voljo pristojnemu nadzornemu organu, če bo ta tako zahteval. [Za modul tri: Izvoznik podatkov da oceno na voljo upravljavcu.] |
|
(c) |
Uvoznik podatkov se strinja, da bo pri odgovoru na zahtevo za razkritje na podlagi razumne razlage zahteve zagotovil minimalno dopustljivo količino informacij. |
ODDELEK IV – KONČNE DOLOČBE
Določilo 16
Neskladnost z določili in odpoved
|
(a) |
Uvoznik podatkov nemudoma obvesti izvoznika podatkov, če iz kakršnega koli razloga ne more zagotoviti skladnosti s temi določili. |
|
(b) |
Če uvoznik podatkov krši ta določila ali jih ne more spoštovati, lahko izvoznik podatkov začasno ustavi prenos osebnih podatkov uvozniku podatkov, dokler ni skladnost ponovno zagotovljena ali dokler ni pogodba odpovedana. To ne posega v določilo 14(f). |
|
(c) |
Izvoznik podatkov ima pravico odpovedati pogodbo, če ta zadeva obdelavo osebnih podatkov na podlagi teh določil, kadar:
V navedenih primerih izvoznik podatkov o takšni neskladnosti obvesti pristojni nadzorni organ [za modul tri: in upravljavca]. Če pogodba vključuje več kot dve pogodbenici, lahko izvoznik podatkov uveljavlja to pravico do odpovedi le v zvezi z zadevno pogodbenico, razen če so se pogodbenice dogovorile drugače. |
|
(d) |
[Za module ena, dva in tri: Osebne podatke, ki so bili preneseni pred odpovedjo pogodbe na podlagi odstavka (c), bi bilo treba v skladu z odločitvijo izvoznika podatkov bodisi takoj vrniti izvozniku podatkov bodisi jih v celoti izbrisati. Enako velja za vse kopije podatkov.] [Za modul štiri: Osebni podatki, ki jih je zbral izvoznik podatkov v EU in so bili preneseni pred odpovedjo pogodbe na podlagi odstavka (c), se takoj v celoti izbrišejo, vključno z njihovimi kopijami.] Uvoznik podatkov izvozniku podatkov potrdi izbris podatkov. Dokler se podatki ne izbrišejo ali vrnejo, uvoznik podatkov še naprej zagotavlja skladnost s temi določili. Če se za uvoznika podatkov uporabljajo lokalni zakoni, ki prepovedujejo vračanje ali izbris prenesenih osebnih podatkov, uvoznik podatkov jamči, da bo še naprej zagotavljal skladnost s temi določili in bo zadevne podatke obdeloval le v obsegu in tako dolgo, kot se zahteva v skladu z navedeno lokalno zakonodajo. |
|
(e) |
Vsaka pogodbenica lahko prekliče svoje strinjanje, da jo ta določila zavezujejo, če (i) Evropska komisija sprejme sklep v skladu s členom 45(3) Uredbe (EU) 2016/679, ki zajema prenos osebnih podatkov, za katerega se uporabljajo ta določila, ali če (ii) postane Uredba (EU) 2016/679 del pravnega okvira države, v katero se prenesejo osebni podatki. To ne posega v druge obveznosti, ki se uporabljajo za zadevno obdelavo na podlagi Uredbe (EU) 2016/679. |
Določilo 17
Pravo, ki se uporablja
MODUL ENA: Prenos od upravljavca upravljavcu
MODUL DVA: Prenos od upravljavca obdelovalcu
MODUL TRI: Prenos od obdelovalca obdelovalcu
[MOŽNOST 1: Ta določila ureja pravo ene od držav članic EU, če tako pravo dopušča pravice upravičenih tretjih oseb. Pogodbenice se strinjajo, da je to pravo ___ (navedite državo članico).]
[MOŽNOST 2 (za modula dva in tri): Ta določila ureja pravo države članice EU, v kateri ima izvoznik podatkov ustanovitev. Če tako pravo ne dopušča pravic upravičenih tretjih oseb, ta določila ureja pravo druge države članice EU, ki dopušča pravice upravičenih tretjih oseb. Pogodbenice se strinjajo, da je to pravo ___ (navedite državo članico).]
MODUL ŠTIRI: Prenos od obdelovalca upravljavcu
Ta določila ureja pravo države, ki dopušča pravice upravičenih tretjih oseb. Pogodbenice se strinjajo, da je to pravo ___ (navedite državo).
Določilo 18
Izbira sodišča in pristojnosti
MODUL ENA: Prenos od upravljavca upravljavcu
MODUL DVA: Prenos od upravljavca obdelovalcu
MODUL TRI: Prenos od obdelovalca obdelovalcu
|
(a) |
Vse spore, ki izhajajo iz teh določil, rešujejo sodišča države članice EU. |
|
(b) |
Pogodbenice se strinjajo, da so to sodišča ___ (navedite državo članico). |
|
(c) |
Posameznik, na katerega se nanašajo osebni podatki, lahko začne sodni postopek proti izvozniku podatkov in/ali uvozniku podatkov tudi pred sodišči države članice, v kateri ima običajno prebivališče. |
|
(d) |
Pogodbenice se strinjajo, da se bodo podvrgle pristojnosti takih sodišč. |
MODUL ŠTIRI: Prenos od obdelovalca upravljavcu
|
|
Vse spore, ki izhajajo iz teh določil, rešujejo sodišča _____ (navedite državo). |
(1) Kadar je izvoznik podatkov obdelovalec, za katerega se uporablja Uredba (EU) 2016/679, in deluje kot upravljavec v imenu institucije ali organa Unije, opiranje na ta določila pri zaposlitvi drugega obdelovalca (podobdelava), za katerega se Uredba (EU) 2016/679 ne uporablja, zagotavlja tudi skladnost s členom 29(4) Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (UL L 295, 21.11.2018, str. 39), kolikor so ta določila usklajena z obveznostmi glede varstva podatkov, kot so določene v pogodbi ali drugem pravnem aktu med upravljavcem in obdelovalcem v skladu s členom 29(3) Uredbe (EU) 2018/1725. To velja zlasti v primeru, ko se upravljavec in obdelovalec opirata na standardna pogodbena določila iz Sklepa (EU) 2021/915
(2) Za to je potrebno, da se podatki anonimizirajo tako, da v skladu z uvodno izjavo 26 Uredbe (EU) 2016/679 posameznik ni več določljiv in da je ta postopek nepovraten.
(3) Sporazum o Evropskem gospodarskem prostoru (Sporazum EGP) določa razširitev notranjega trga Evropske unije na tri države EGP, tj. Islandijo, Lihtenštajn in Norveško. Zakonodaja Unije na področju varstva podatkov, vključno z Uredbo (EU) 2016/679, je zajeta v Sporazumu EGP in je bila vključena v Prilogo XI k Sporazumu. Zato se kakršno koli razkritje s strani uvoznika podatkov tretji osebi, ki se nahaja v EGP, ne šteje za nadaljnji prenos za namene teh določil.
(4) Sporazum o Evropskem gospodarskem prostoru (Sporazum EGP) določa razširitev notranjega trga Evropske unije na tri države EGP, tj. Islandijo, Lihtenštajn in Norveško. Zakonodaja Unije na področju varstva podatkov, vključno z Uredbo (EU) 2016/679, je zajeta v Sporazumu EGP in je bila vključena v Prilogo XI k Sporazumu. Zato se kakršno koli razkritje s strani uvoznika podatkov tretji osebi, ki se nahaja v EGP, ne šteje za nadaljnji prenos za namene teh določil.
(5) Glej člen 28(4) Uredbe (EU) 2016/679 in, kadar je upravljavec institucija ali organ EU, člen 29(4) Uredbe (EU) 2018/1725.
(6) Sporazum o Evropskem gospodarskem prostoru (Sporazum EGP) določa razširitev notranjega trga Evropske unije na tri države EGP, tj. Islandijo, Lihtenštajn in Norveško. Zakonodaja Unije na področju varstva podatkov, vključno z Uredbo (EU) 2016/679, je zajeta v Sporazumu EGP in je bila vključena v Prilogo XI k Sporazumu. Zato se kakršno koli razkritje s strani uvoznika podatkov tretji osebi, ki se nahaja v EGP, ne šteje za nadaljnji prenos za namene teh določil.
(7) Vključno s tem, ali prenos in nadaljnja obdelava vključujeta osebne podatke, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, genske podatke ali biometrične podatke za namene edinstvene identifikacije posameznika, podatke v zvezi z zdravjem ali spolnim življenjem ali spolno usmerjenostjo posameznika ali podatke v zvezi s kazenskimi obsodbami ali kaznivimi dejanji.
(8) Ta zahteva je lahko izpolnjena tudi, če se podobdelovalec v skladu z določilom 7 pridruži k tem določilom na podlagi ustreznega modula.
(9) Ta zahteva je lahko izpolnjena tudi, če se podobdelovalec v skladu z določilom 7 pridruži k tem določilom na podlagi ustreznega modula.
(10) To obdobje se lahko podaljša za največ dva meseca, če je to potrebno zaradi kompleksnosti in števila zahtev. Uvoznik podatkov o vsakem takem podaljšanju ustrezno in nemudoma obvesti posameznika, na katerega se nanašajo osebni podatki.
(11) Uvoznik podatkov lahko neodvisno reševanje sporov prek arbitražnega organa ponudi le, če ima ustanovitev v državi, ki je ratificirala Konvencijo o priznavanju in izvrševanju tujih arbitražnih odločb.
(12) Kar zadeva vpliv takih zakonov in praks na skladnost s temi določili, se lahko kot del splošne ocene upoštevajo različni elementi. Taki elementi lahko vključujejo relevantne in dokumentirane praktične izkušnje s predhodnimi primeri zahtev za razkritje s strani javnih organov ali odsotnost takih zahtev v dovolj reprezentativnem časovnem okviru. To se nanaša zlasti na notranje evidence ali drugo dokumentacijo, ki se stalno pripravlja v skladu s potrebno skrbnostjo in je potrjena na ravni višjega vodstva, pod pogojem, da se te informacije lahko zakonito posredujejo tretjim osebam. Kadar se na podlagi teh praktičnih izkušenj sklepa, da uvozniku podatkov ne bo preprečeno spoštovanje teh določil, je to treba podpreti z drugimi ustreznimi objektivnimi elementi, pogodbenice pa morajo skrbno preučiti, ali imajo ti elementi skupaj zadostno težo, kar zadeva njihovo zanesljivost in reprezentativnost, da bi podprli tak sklep. Pogodbenice bi morale zlasti upoštevati, ali so njihove praktične izkušnje podprte in da niso v nasprotju z javno ali drugače dostopnimi, zanesljivimi informacijami o obstoju ali neobstoju zahtev v istem sektorju in/ali uporabi prava v praksi, kot so sodna praksa in poročila neodvisnih nadzornih organov.
DODATEK
POJASNJEVALNA OPOMBA:
Omogočiti je treba jasno razlikovanje med informacijami, ki se uporabljajo za posamezne prenose ali kategorije prenosov, in v zvezi s tem določiti vloge, ki jih imajo pogodbenice kot izvozniki podatkov in/ali uvozniki podatkov. To ne pomeni nujno, da je treba izpolniti in podpisati ločene dodatke za vsak prenos/kategorijo prenosov in/ali pogodbeno razmerje, če je to preglednost mogoče doseči z enim dodatkom. Kadar pa je to potrebno za zagotovitev zadostne jasnosti, je treba uporabiti ločene dodatke.
PRILOGA I
A. SEZNAM POGODBENIC
MODUL ENA: Prenos od upravljavca upravljavcu
MODUL DVA: Prenos od upravljavca obdelovalcu
MODUL TRI: Prenos od obdelovalca obdelovalcu
MODUL ŠTIRI: Prenos od obdelovalca upravljavcu
Izvoznik(-i) podatkov: [Identiteta in kontaktni podatki izvoznikov podatkov ter po potrebi njihove pooblaščene osebe za varstvo podatkov in/ali predstavnika v Evropski uniji]
|
1. |
Ime: …
Naslov: … Ime, položaj in kontaktni podatki kontaktne osebe: … Dejavnosti, relevantne za podatke, ki se prenesejo na podlagi teh določil: … Podpis in datum: … Vloga (upravljavec/obdelovalec): … |
|
2. |
… |
Uvoznik(-i) podatkov: [Identiteta in kontaktni podatki uvoznikov podatkov, vključno z vsemi kontaktnimi osebami, odgovornimi za varstvo podatkov]
|
1. |
Ime: …
Naslov: … Ime, položaj in kontaktni podatki kontaktne osebe: … Dejavnosti, relevantne za podatke, ki se prenesejo na podlagi teh določil: … Podpis in datum: … Vloga (upravljavec/obdelovalec): … |
|
2. |
… |
B. OPIS PRENOSA
MODUL ENA: Prenos od upravljavca upravljavcu
MODUL DVA: Prenos od upravljavca obdelovalcu
MODUL TRI: Prenos od obdelovalca obdelovalcu
MODUL ŠTIRI: Prenos od obdelovalca upravljavcu
Kategorije posameznikov, na katere se nanašajo osebni podatki, ki se prenesejo
…
Kategorije osebnih podatkov, ki se prenesejo
…
Preneseni občutljivi podatki (če je primerno) in uporabljene omejitve ali zaščitni ukrepi, ki v celoti upoštevajo naravo podatkov in povezana tveganja, kot so na primer stroga omejitev namena, omejitve dostopa (vključno z dostopom samo za osebje, ki se je udeležilo posebnega usposabljanja), vodenje evidence dostopa do podatkov, omejitve za nadaljnje prenose ali dodatni varnostni ukrepi
…
Pogostost prenosa (npr. ali gre za enkraten ali stalen prenos osebnih podatkov)
…
Narava obdelave
…
Namen ali nameni prenosa in nadaljnje obdelave podatkov
…
Obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja
…
Za prenose (pod)obdelovalcem je treba navesti tudi predmet, naravo in trajanje obdelave.
…
C. PRISTOJNI NADZORNI ORGAN
MODUL ENA: Prenos od upravljavca upravljavcu
MODUL DVA: Prenos od upravljavca obdelovalcu
MODUL TRI: Prenos od obdelovalca obdelovalcu
Navedba pristojnih nadzornih organov v skladu z določilom 13
…
PRILOGA II
TEHNIČNI IN ORGANIZACIJSKI UKREPI, VKLJUČNO S TEHNIČNIMI IN ORGANIZACIJSKIMI UKREPI ZA ZAGOTOVITEV VARNOSTI PODATKOV
MODUL ENA: Prenos od upravljavca upravljavcu
MODUL DVA: Prenos od upravljavca obdelovalcu
MODUL TRI: Prenos od obdelovalca obdelovalcu
POJASNJEVALNA OPOMBA:
Tehnične in organizacijske ukrepe je treba opisati s posebnimi (in ne splošnimi) izrazi. Glej tudi splošno opombo na prvi strani Dodatka, zlasti o potrebi po jasni navedbi ukrepov, ki se uporabljajo za vsak prenos/sklop prenosov.
Opis tehničnih in organizacijskih ukrepov, ki jih izvajajo uvozniki podatkov (vključno z vsemi ustreznimi certifikati), da se zagotovi ustrezna raven varnosti, ob upoštevanju narave, obsega, okoliščin in namena obdelave ter tveganj za pravice in svoboščine posameznikov.
[Primeri možnih ukrepov:
ukrepi za psevdonimizacijo in šifriranje osebnih podatkov;
ukrepi za zagotovitev stalne zaupnosti, celovitosti, dostopnosti in odpornosti sistemov in storitev za obdelavo;
ukrepi za zagotovitev zmožnosti pravočasne povrnitve razpoložljivosti in dostopa do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;
postopki rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotovitev varnosti obdelave;
ukrepi za identifikacijo uporabnika in izdajo dovoljenja uporabniku;
ukrepi za varstvo podatkov med prenosom;
ukrepi za varstvo podatkov med hrambo;
ukrepi za zagotavljanje fizične varnosti lokacij, na katerih se obdelujejo osebni podatki;
ukrepi za zagotavljanje beleženja dogodkov;
ukrepi za zagotavljanje konfiguracije sistema, vključno s privzeto konfiguracijo;
ukrepi za notranje upravljanje in vodenje IT in varnosti IT;
ukrepi za certificiranje / izdajanje zagotovil za postopke in proizvode;
ukrepi za zagotavljanje najmanjšega obsega podatkov;
ukrepi za zagotavljanje kakovosti podatkov;
ukrepi za zagotavljanje omejene hrambe podatkov;
ukrepi za zagotavljanje odgovornosti;
ukrepi za omogočanje prenosljivosti podatkov in zagotavljanje izbrisa.]
Za prenose (pod)obdelovalcem je treba opisati tudi posebne tehnične in organizacijske ukrepe, ki jih mora sprejeti (pod)obdelovalec, da lahko zagotovi pomoč upravljavcu in – za prenose od obdelovalca podobdelovalcu – izvozniku podatkov.
PRILOGA III
SEZNAM PODOBDELOVALCEV
MODUL DVA: Prenos od upravljavca obdelovalcu
MODUL TRI: Prenos od obdelovalca obdelovalcu
POJASNJEVALNA OPOMBA:
To prilogo je treba izpolniti za modul dva in modul tri v primeru posebnega dovoljenja za podobdelovalce (določilo 9(a), možnost 1).
Upravljavec je odobril uporabo naslednjih podobdelovalcev:
|
1. |
Ime: …
Naslov: … Ime, položaj in kontaktni podatki kontaktne osebe: … Opis obdelave (vključno z jasno razmejitvijo odgovornosti, če je odobrenih več podobdelovalcev): … |
|
2. |
… |