Standardowe Klauzule Umowne Przekazywania Danych Osobowych Do Państw Trzecich

Standardowe klauzule umowne dotyczące przekazywania danych osobowych do państw trzecich na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (na podstawie decyzji wykonawczej Komisji (UE) 2021/914 z dnia 04.06.2021)

Niniejsze klauzule zostały opracowane na potrzeby przekazania danych osobowych przez administratora mającego siedzibę w UE do podmiotu przetwarzającego mającego siedzibę w państwie trzecim¹.

SEKCJA I (Przekazywanie przez administratora podmiotowi przetwarzającemu)

Klauzula 1

Cel i zakres

a) Niniejsze standardowe klauzule umowne mają na celu zapewnienie zgodności z wymogami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych lub rozporządzenie (UE) 2016/679) w zakresie przekazywania danych osobowych do państwa trzeciego.

b) Strony:

i. osoby fizyczne lub prawne, organy publiczne, agencje lub inne organy (zwane dalej "podmiotami") przekazujące dane osobowe, wymienione w załączniku I część A (zwane dalej "podmiotem przekazującym dane") oraz

ii. podmioty w państwie trzecim otrzymujące dane osobowe od podmiotu przekazującego dane, bezpośrednio lub pośrednio za pośrednictwem innego podmiotu, będącego również Stroną niniejszych klauzul, umieszczone w wykazie w załączniku I część A (zwane dalej "podmiotem odbierającym dane")

uzgodniły niniejsze standardowe klauzule umowne (zwane dalej "klauzulami").

c) Niniejsze klauzule mają zastosowanie do przekazywania danych osobowych, jak określono w załączniku I część B.

d) Dodatek do niniejszych klauzul zawierający wymienione w nich załączniki stanowi integralną część niniejszych klauzul.

Klauzula 2

Skutek i niezmienność klauzul

a) Niniejsze klauzule określają odpowiednie zabezpieczenia, w tym egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej, zgodnie z art. 46 i art. 47 rozporządzenia (UE) 2016/679, oraz standardowe klauzule umowne zgodnie z art. 28 rozporządzenia (UE) 2016/679 w odniesieniu do przekazywania danych od administratorów do podmiotów przetwarzających lub od podmiotów przetwarzających do podmiotów przetwarzających, pod warunkiem że klauzule te nie są modyfikowane, z wyjątkiem modyfikowania w celu wyboru odpowiedniego modułu lub odpowiednich modułów lub w celu dodania informacji do dodatku lub aktualizacji takich informacji. Nie uniemożliwia to Stronom włączania standardowych klauzul umownych określonych w niniejszych klauzulach do szerszej umowy lub dodawania innych klauzul lub dodatkowych zabezpieczeń, pod warunkiem, że nie są one bezpośrednio ani pośrednio sprzeczne z niniejszymi klauzulami ani nie naruszają podstawowych praw lub wolności osób, których dane dotyczą.

b) Niniejsze klauzule nie naruszają obowiązków, którym podlega podmiot przekazujący dane na mocy rozporządzenia (UE) 2016/679.

Klauzula 3

Osoby trzecie na rzecz, których zawarto umowę

a) Osoby, których dane dotyczą, mogą powoływać się na niniejsze klauzule i egzekwować je, jako osoby trzecie, na rzecz których zawarto umowę, względem podmiotu przekazującego dane lub podmiotu odbierającego dane, z następującymi wyjątkami:

i. klauzula 5, klauzula 7, klauzula 9, klauzula 12, klauzula 13;

ii. klauzula 14, klauzula 15;

iii. klauzula 16;

iv. klauzula 17;

v. klauzula 18;

vi. klauzula 19;

vii. klauzula 20;

viii. klauzula 21;

b) Lit. a) pozostaje bez uszczerbku dla praw osób, których dane dotyczą, w trybie rozporządzenia (UE) 2016/679.

Klauzula 4

Interpretacja

a) W przypadku gdy w niniejszych klauzulach stosuje się terminy zdefiniowane w rozporządzeniu (UE) 2016/679, terminy te mają znaczenie nadane im w tym rozporządzeniu.

b) Niniejsze klauzule należy odczytywać i interpretować w świetle przepisów rozporządzenia (UE) 2016/679.

c) Klauzul tych nie należy interpretować w sposób sprzeczny z prawami i obowiązkami określonymi w rozporządzeniu (UE) 2016/679.

Klauzula 5

Hierarchia

W przypadku sprzeczności między niniejszymi klauzulami a postanowieniami powiązanych umów między Stronami, obowiązujących w chwili uzgodnienia niniejszych klauzul lub zawartych w późniejszym terminie, niniejsze klauzule mają pierwszeństwo.

Klauzula 6

Opis przekazywania danych

Szczegóły dotyczące przekazywania danych, w szczególności kategorie przekazywanych danych osobowych oraz cel lub cele ich przekazywania, określono w załączniku I część B.

Klauzula 7 - Nieobowiązkowa

Klauzula przystąpienia

a) Podmiot, który nie jest Stroną niniejszych klauzul, może za zgodą Stron przystąpić do tych klauzul w dowolnym momencie albo jako podmiot przekazujący dane, albo jako podmiot odbierający dane, wypełniając dodatek i podpisując załącznik I część A.

b) Po wypełnieniu dodatku i podpisaniu załącznika I część A podmiot przystępujący staje się Stroną niniejszych klauzul oraz nabywa prawa i obowiązki podmiotu przekazującego dane lub podmiotu odbierającego dane, zgodnie z jego określeniem w załączniku I część A.

c) Podmiot przystępujący nie ma żadnych praw ani obowiązków wynikających z niniejszych klauzul w odniesieniu do okresu, zanim został ich Stroną.

SEKCJA II - OBOWIĄZKI STRON

Klauzula 8

Przekazywanie przez administratora podmiotowi przetwarzającemu

8.1. Polecenie

a) Podmiot odbierający dane przetwarza dane osobowe wyłącznie na udokumentowane polecenie podmiotu przekazującego dane. Podmiot przekazujący dane może wydawać takie polecenia w całym okresie obowiązywania umowy.

b) Podmiot odbierający dane niezwłocznie informuje podmiot przekazujący dane, jeżeli nie może wykonać tego polecenia.

8.2. Ograniczenie celu

Podmiot odbierający dane przetwarza dane osobowe wyłącznie w określonym celu/określonych celach przekazywania, jak wskazano w załączniku I część B, chyba że działa na podstawie dalszych poleceń wydanych przez podmiot przekazujący dane.

8.3. Przejrzystość

Podmiot przekazujący dane udostępnia bezpłatnie na żądanie osobie, której dane dotyczą, kopię niniejszych klauzul, w tym dodatku wypełnionego przez Strony. W zakresie koniecznym w celu ochrony tajemnic handlowych lub innych informacji poufnych, w tym środków opisanych w załączniku II i danych osobowych, podmiot przekazujący dane może częściowo zredagować tekst dodatku do tych klauzul przed udostępnieniem jego kopii, lecz przekazuje stosowne streszczenie, jeżeli bez takiego streszczenia osoba, której dane dotyczą, nie byłaby w stanie zrozumieć treści takiego tekstu lub korzystać ze swoich praw. Na żądanie Strony przekazują osobie, której dane dotyczą, powody zredagowania tekstu, w miarę możliwości bez ujawniania utajnionych informacji. Klauzula ta pozostaje bez uszczerbku dla obowiązków spoczywających na podmiocie przekazującym dane na mocy art. 13 rozporządzenia (UE) 2016/679.

8.4. Prawidłowość

Jeżeli podmiot odbierający dane zda sobie sprawę, że otrzymane przez niego dane osobowe są nieprawidłowe lub nieaktualne, powiadamia o tym bez zbędnej zwłoki podmiot przekazujący dane. W takim przypadku podmiot odbierający dane współpracuje z podmiotem przekazującym dane w celu ich usunięcia lub sprostowania.

8.5. Czas trwania przetwarzania oraz usuwanie lub zwrot danych

Przetwarzanie danych przez podmiot odbierający dane odbywa się wyłącznie przez czas określony w załączniku I część B. Po zakończeniu świadczenia usług przetwarzania podmiot odbierający dane, zgodnie z wyborem podmiotu przekazującego dane, albo usuwa wszystkie dane osobowe przetworzone w imieniu podmiotu przekazującego dane i potwierdza podmiotowi przekazującemu dane ich usunięcie, albo zwraca podmiotowi przekazującemu dane wszystkie dane osobowe przetworzone w jego imieniu i usuwa istniejące kopie. Do czasu usunięcia lub zwrotu danych podmiot odbierający dane nadal zapewnia zgodność z niniejszymi klauzulami. Jeżeli lokalne prawo obowiązujące podmiot odbierający dane zabrania zwrotu lub usunięcia danych osobowych, podmiot odbierający dane gwarantuje, że będzie w dalszym ciągu zapewniał przestrzeganie niniejszych klauzul oraz że będzie przetwarzał je wyłącznie w zakresie i w czasie wymaganym przez to prawo lokalne. Zasada ta pozostaje bez uszczerbku dla klauzuli 15, w szczególności wymogu określonego w klauzuli 15.4 aby podmiot odbierający dane zgłaszał w okresie obowiązywania umowy podmiotowi przekazującemu dane, jeżeli ma powody, aby sądzić, że podlega lub zaczął podlegać przepisom lub praktykom niezgodnym z wymogami określonymi w klauzuli 15.3.

8.6. Bezpieczeństwo przetwarzania

a) Podmiot odbierający dane, a podczas przesyłania również podmiot przekazujący dane, wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych, w tym ochrony przeciwko naruszeniu bezpieczeństwa prowadzącego do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do tych danych (zwanego dalej "naruszeniem ochrony danych osobowych"). Przy ocenie odpowiedniego poziomu bezpieczeństwa Strony uwzględniają stan wiedzy technicznej, koszty wdrażania oraz charakter, zakres, kontekst i cel lub cele przetwarzania, a także ryzyko wynikające z przetwarzania dla osób, których dane dotyczą. Strony rozważą w szczególności posłużenie się szyfrowaniem lub pseudonimizacją, w tym podczas przesyłania, w przypadkach, gdy cel przetwarzania może być spełniony w ten sposób. W przypadku pseudonimizacji dodatkowe informacje w celu przypisania danych osobowych konkretnej osobie, której dane dotyczą, pozostają, jeżeli jest to możliwe, pod wyłączną kontrolą podmiotu przekazującego dane. W ramach obowiązków w trybie niniejszej litery podmiot odbierający dane wdraża co najmniej środki techniczne i organizacyjne określone w załączniku II. Podmiot odbierający dane przeprowadza regularne kontrole, aby zagwarantować, że środki te wciąż zapewniają odpowiedni poziom bezpieczeństwa.

b) Podmiot odbierający dane udziela dostępu do danych osobowych członkom swojego personelu wyłącznie w zakresie ściśle niezbędnym do wykonywania umowy, zarządzania umową oraz jej monitorowania. Zapewnia on, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania poufności.

c) W przypadku naruszenia ochrony danych osobowych dotyczącego danych osobowych przetwarzanych przez podmiot odbierający dane na podstawie niniejszych klauzul podmiot odbierający dane stosuje odpowiednie środki w celu zaradzenia temu naruszeniu, w tym środki w celu zminimalizowania jego negatywnych skutków. Po stwierdzeniu naruszenia podmiot odbierający dane zgłasza je również bez zbędnej zwłoki podmiotowi przekazującemu dane. Zgłoszenie takie zawiera szczegóły dotyczące punktu kontaktowego, w którym można uzyskać więcej informacji, opis charakteru naruszenia (w tym, gdy jest to możliwe, kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie), jego możliwe konsekwencje oraz środki zastosowane lub proponowane w celu zaradzenia naruszeniu, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków. Jeżeli oraz w zakresie, w jakim niemożliwe jest udzielenie wszystkich informacji w tym samym czasie, pierwotne zgłoszenie zawiera informacje dostępne w danym momencie, a dalszych informacji udziela się sukcesywnie, bez zbędnej zwłoki w miarę, jak staną się one dostępne.

d) Podmiot odbierający dane współpracuje z podmiotem przekazującym dane i pomaga mu, aby umożliwić podmiotowi przekazującemu dane wypełnienie obowiązków określonych w rozporządzeniu (UE) 2016/679, w szczególności obowiązku powiadomienia właściwego organu nadzorczego oraz poszkodowanych osób, których dane dotyczą, uwzględniając charakter przetwarzania oraz informacje, do których podmiot odbierający dane ma dostęp.

8.7. Dane szczególnych kategorii

Gdy przekazywanie obejmuje dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne lub dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby lub dane dotyczące wyroków skazujących i czynów zabronionych (zwane dalej "danymi szczególnych kategorii"), podmiot odbierający dane stosuje szczególne ograniczenia lub dodatkowe zabezpieczenia opisane w załączniku I część B.

8.8. Dalsze przekazywanie danych

Podmiot odbierający dane ujawnia dane osobowe stronie trzeciej wyłącznie na podstawie udokumentowanego polecenia podmiotu przekazującego dane. Ponadto dane mogą zostać ujawnione stronie trzeciej zlokalizowanej poza terytorium Unii Europejskiej² (w tym samym państwie co podmiot odbierający dane lub w innym państwie trzecim; dalej "dalsze przekazanie") wyłącznie wówczas, gdy strona trzecia jest związana niniejszymi klauzulami bądź zgadza się im podlegać na mocy odpowiedniego modułu lub jeżeli:

i. dalsze przekazanie odbywa się do państwa objętego decyzją stwierdzającą odpowiedni stopień ochrony, zgodnie z art. 45 rozporządzenia (UE) 2016/679, obejmującą dalsze przekazywanie;

ii. strona trzecia zapewnia w inny sposób odpowiednie zabezpieczenia w odniesieniu do przedmiotowego przetwarzania zgodnie z art. 46 rozporządzenia (UE) 2016/679;

iii. dalsze przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń w kontekście szczególnego postępowania sądowego; lub

iv. dalsze przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.

Wszelkie dalsze przekazanie odbywa się pod warunkiem przestrzegania przez podmiot odbierający dane wszystkich pozostałych zabezpieczeń na mocy niniejszych klauzul, w szczególności ograniczenia celu.

8.9. Dokumentacja i zgodność

a) Podmiot odbierający dane niezwłocznie i w odpowiedni sposób rozpatruje sformułowane przez podmiot przekazujący dane zapytania dotyczące przetwarzania na mocy niniejszych klauzul.

b) Strony będą w stanie wykazać przestrzeganie niniejszych klauzul. W szczególności podmiot odbierający dane przechowuje odpowiednią dokumentację czynności przetwarzania wykonanych w imieniu podmiotu przekazującego dane.

c) Podmiot odbierający dane udostępnia podmiotowi przekazującemu dane wszelkie informacje niezbędne, aby wykazać przestrzeganie obowiązków określonych w niniejszych klauzulach oraz aby na żądanie podmiotu przekazującego dane umożliwić przeprowadzenie audytów czynności przetwarzania objętych niniejszymi klauzulami w rozsądnych odstępach czasu lub w przypadku wystąpienia oznak niespełnienia tych obowiązków, a także aby wnieść wkład w te audyty. Podejmując decyzję dotyczącą przeprowadzenia przeglądu lub audytu podmiot przekazujący dane może uwzględnić certyfikacje posiadane przez podmiot odbierający dane.

d) Podmiot przekazujący dane może przeprowadzić audyt samodzielnie lub zlecić jego przeprowadzenie niezależnemu audytorowi. Audyty mogą obejmować kontrole w siedzibie lub obiektach podmiotu odbierającego dane i w stosownych przypadkach, przeprowadzane są po powiadomieniu z rozsądnym wyprzedzeniem.

e) Strony udostępniają właściwym organom nadzorczym na żądanie informacje, o których mowa w lit. b) i c), w tym wyniki wszelkich audytów.

Klauzula 9

Korzystanie z usług podwykonawców przetwarzania

a) WARIANT 1: UPRZEDNIA SZCZEGÓŁOWA ZGODA Podmiot odbierający dane nie może zlecać w ramach podwykonawstwa żadnych czynności przetwarzania realizowanych w imieniu podmiotu przekazującego dane na podstawie niniejszych klauzul podwykonawcy przetwarzania bez uzyskania uprzedniej szczegółowej pisemnej zgody podmiotu przekazującego dane. Podmiot odbierający dane przedstawia wniosek o udzielenie szczegółowej zgody przynajmniej 30 dni przed zaangażowaniem podwykonawcy przetwarzania, wraz z informacjami, których podmiot przekazujący dane potrzebuje do podjęcia decyzji w sprawie wydania zgody. Załącznik III zawiera wykaz podwykonawców przetwarzania już upoważnionych przez podmiot przekazujący dane. Strony są obowiązane do aktualizacji załącznika III. WARIANT 2: OGÓLNA PISEMNA ZGODA Podmiot odbierający dane ma ogólną zgodę podmiotu przekazującego dane na angażowanie podwykonawców przetwarzania widniejących w uzgodnionym wykazie. Podmiot odbierający dane wyraźnie informuje na piśmie podmiot przekazujący dane o wszelkich zamierzonych zmianach w tym wykazie polegających na dodaniu lub zastąpieniu podwykonawców przetwarzania z wyprzedzeniem wynoszącym co najmniej 60 dni, dając w ten sposób podmiotowi przekazującemu dane wystarczający czas na wyrażenie sprzeciwu wobec takich zmian przed zaangażowaniem podwykonawcy lub podwykonawców przetwarzania. Podmiot odbierający dane dostarcza podmiotowi przekazującemu dane informacje niezbędne do umożliwienia mu wykonania prawa do sprzeciwu.

b) Jeżeli podmiot odbierający dane angażuje podwykonawcę przetwarzania do celów wykonania określonych czynności przetwarzania (w imieniu podmiotu przekazującego dane), czyni to na podstawie pisemnej umowy, która zasadniczo przewiduje takie same obowiązki w odniesieniu do ochrony danych, jakie wiążą podmiot odbierający dane na mocy niniejszych klauzul, w tym w zakresie praw osób, których dane dotyczą, przysługujących im jako osobom trzecim, na rzecz których zawarto umowę³. Strony uzgadniają, że przestrzegając niniejszej klauzuli, podmiot odbierający dane wypełnia swoje obowiązki wynikające z klauzuli 8.6. Podmiot odbierający dane zapewnia, aby podwykonawca przetwarzania wywiązywał się z obowiązków, którym podmiot odbierający dane podlega na podstawie niniejszych klauzul.

c) Na żądanie podmiotu przekazującego dane podmiot odbierający dane przekazuje podmiotowi przekazującemu dane kopię umowy dotyczącej podwykonawstwa przetwarzania oraz wszelkich późniejszych zmian. W zakresie koniecznym do zapewnienia ochrony tajemnic handlowych lub innych informacji poufnych, w tym danych osobowych, podmiot odbierający dane może zredagować tekst umowy przed udostępnieniem jej kopii.

d) Podmiot odbierający dane pozostaje w pełni odpowiedzialny wobec podmiotu przekazującego dane za wykonywanie obowiązków podwykonawcy przetwarzania wynikających z umowy zawartej przez niego z podmiotem odbierającym dane. Podmiot odbierający dane powiadamia podmiot przekazujący dane o każdym przypadku niewypełnienia przez podwykonawcę przetwarzania obowiązków wynikających z tej umowy.

e) Podmiot odbierający dane uzgadnia z podwykonawcą przetwarzania klauzulę na rzecz osoby trzeciej, na rzecz, której zawarto umowę, na mocy której to klauzuli - w przypadku, gdy podmiot odbierający dane przestał istnieć faktycznie lub formalnie lub stał się niewypłacalny - podmiot przekazujący dane ma prawo rozwiązać umowę dotyczącą podwykonawstwa przetwarzania i polecić podwykonawcy przetwarzania usunięcie lub zwrot danych osobowych.

Klauzula 10

Prawa osoby, której dane dotyczą

a) Podmiot odbierający dane bezzwłocznie powiadamia podmiot przekazujący dane o każdym żądaniu otrzymanym od osoby, której dane dotyczą. Nie odpowiada on na to żądanie samodzielnie, chyba że został do tego upoważniony przez podmiot przekazujący dane.

b) Podmiot odbierający dane pomaga podmiotowi przekazującemu dane w wypełnianiu jego obowiązków w zakresie odpowiadania na żądania osób, których dane dotyczą, związane z wykonywaniem praw przysługujących tym osobom na podstawie rozporządzenia (UE) 2016/679. W związku z tym Strony określają w załączniku II odpowiednie środki techniczne i organizacyjne, uwzględniając charakter przetwarzania, w drodze których zapewniana będzie pomoc, jak również zakres wymaganej pomocy.

c) Wywiązując się z obowiązków spoczywających na nim na podstawie lit. a) i b), podmiot odbierający dane postępuje zgodnie z poleceniem podmiotu przekazującego dane.

Klauzula 11

Dochodzenie roszczeń

a) Podmiot odbierający dane - w sposób przejrzysty i łatwo dostępny w drodze indywidualnego zawiadomienia lub na swojej stronie internetowej - informuje osoby, których dane dotyczą, o tym, który punkt kontaktowy jest upoważniony do rozpatrywania skarg. Podmiot ten niezwłocznie rozpatruje wszelkie skargi otrzymane od osoby, której dane dotyczą. [WARIANT: Podmiot odbierający dane wyraża zgodę, aby osoby, których dane dotyczą, mogły złożyć skargę również do niezależnego organu rozstrzygania sporów⁴ bez obciążania kosztami osoby, której dane dotyczą. W sposób określony w lit. a) informuje on osoby, których dane dotyczą, o takim mechanizmie dochodzenia roszczeń oraz o tym, że nie mają one obowiązku korzystać z niego ani postępować zgodnie z konkretną procedurą podczas dochodzenia roszczeń.]

b) W przypadku gdy między osobą, której dane dotyczą, a jedną ze Stron wystąpi spór co do przestrzegania klauzul, Strona ta dokłada wszelkich starań, aby rozwiązać spór w sposób polubowny i terminowy. Strony na bieżąco przekazują sobie informacje na temat pojawienia się takich sporów i w stosownych przypadkach współpracują, by je rozwiązać.

c) W przypadku gdy osoba, której dane dotyczą, powoła się na wynikające z klauzuli 3 prawo przysługujące jej jako osobie trzeciej, na rzecz, której zawarto umowę, podmiot odbierający dane akceptuje decyzję osoby, której dane dotyczą, aby:

i. złożyć skargę do organu nadzorczego w państwie członkowskim miejsca zwykłego pobytu lub miejsca pracy tej osoby lub do właściwego organu nadzorczego zgodnie z klauzulą 13;

ii. skierować spór do sądów właściwych w rozumieniu klauzuli 14.

d) Strony akceptują, że osobę, której dane dotyczą, mogą reprezentować Federacja Konsumentów, Stowarzyszenie Ochrony Danych Osobowych lub Fundacja Panoptykon, które nie mają charakteru zarobkowego, na warunkach określonych w art. 80 rozporządzenia (UE) 2016/679.

e) Podmiot odbierający dane stosuje się do decyzji wiążącej na podstawie obowiązującego prawa Unii lub państwa członkowskiego.

f) Podmiot odbierający dane potwierdza, że wybór, jakiego dokona osoba, której dane dotyczą, pozostanie bez uszczerbku dla praw podmiotowych lub procesowych przysługujących jej zgodnie z mającymi zastosowanie przepisami.

Klauzula 12

Odpowiedzialność

a) Każda Strona ponosi odpowiedzialność wobec podmiotu lub podmiotów będących drugą Stroną za wszelkie wyrządzone im przez siebie szkody wynikające z naruszenia niniejszych klauzul.

b) Podmiot odbierający dane ponosi odpowiedzialność wobec osoby, której dane dotyczą, a osobie, której dane dotyczą, przysługuje prawo do odszkodowania z tytułu jakichkolwiek szkód majątkowych lub niemajątkowych wyrządzonych osobie, której dane dotyczą, przez podmiot odbierający dane lub jego podwykonawcę przetwarzania w wyniku naruszenia praw przysługujących jej jako osobie trzeciej na rzecz, której zawarto umowę, na podstawie niniejszych klauzul.

c) Niezależnie od postanowień lit. b) podmiot przekazujący dane ponosi odpowiedzialność wobec osoby, której dane dotyczą, a osobie, której dane dotyczą, przysługuje prawo do odszkodowania z tytułu jakichkolwiek szkód majątkowych lub niemajątkowych wyrządzonych osobie, której dane dotyczą, przez podmiot przekazujący dane lub podmiot odbierający dane (lub jego podwykonawcę przetwarzania) w wyniku naruszenia praw przysługujących jej jako osobie trzeciej, na rzecz której zawarto umowę, na podstawie niniejszych klauzul. Zasada ta pozostaje bez uszczerbku dla odpowiedzialności spoczywającej na podmiocie przekazującym dane, a w przypadku, gdy podmiot przekazujący dane jest podmiotem przetwarzającym działającym w imieniu administratora - bez uszczerbku dla odpowiedzialności administratora na podstawie rozporządzenia (UE) 2016/679 lub w stosownych przypadkach rozporządzenia (UE) 2018/1725.

d) Strony uzgadniają, że w przypadku pociągnięcia na podstawie postanowień lit. c) podmiotu przekazującego dane do odpowiedzialności za szkody wyrządzone przez podmiot odbierający dane (lub jego podwykonawcę przetwarzania) przysługuje mu prawo do żądania od podmiotu odbierającego dane odszkodowania w wysokości odpowiadającej stopniowi odpowiedzialności podmiotu odbierającego dane za wyrządzoną szkodę.

e) W przypadku gdy za jakiekolwiek szkody wobec osoby, której dane dotyczą, wynikające z naruszenia niniejszych klauzul, odpowiedzialność ponosi więcej niż jedna Strona, wszystkie odpowiedzialne Strony ponoszą odpowiedzialność solidarną, a osobie, której dane dotyczą, przysługuje prawo do wystąpienia do sądu przeciwko którejkolwiek z tych Stron.

f) Strony uzgadniają, że w przypadku pociągnięcia na podstawie postanowień lit. e) jednej Strony do odpowiedzialności przysługuje jej prawo do żądania od podmiotu lub podmiotów będących drugą Stroną odszkodowania w wysokości odpowiadającej stopniowi odpowiedzialności za wyrządzoną szkodę.

g) Podmiot odbierający dane nie może powołać się na postępowanie podwykonawcy przetwarzania, aby uniknąć własnej odpowiedzialności.

Klauzula 13

Nadzór

a) [W przypadku, gdy podmiot przekazujący dane posiada jednostkę organizacyjną w państwie członkowskim UE:] Prezes Urzędu Ochrony Danych Osobowych za zapewnianie, aby podmiot przekazujący dane przestrzegał przepisów rozporządzenia (UE) 2016/679 w odniesieniu do przekazywania danych, jak wskazano w załączniku I część C, działa w charakterze właściwego organu nadzorczego. [W przypadku gdy podmiot przekazujący dane nie ma jednostki organizacyjnej w państwie członkowskim UE, lecz jest objęty terytorialnym zakresem stosowania rozporządzenia (UE) 2016/679 zgodnie z art. 3 tego rozporządzenia i wyznaczył przedstawiciela na podstawie art. 27 rozporządzenia (UE) 2016/679:] Belgijski organ ochrony danych państwa członkowskiego, w którym przedstawiciel w rozumieniu art. 27 rozporządzenia (UE) 2016/679 posiada jednostkę organizacyjną, jak wskazano w załączniku I część C, działa w charakterze właściwego organu nadzorczego. [W przypadku gdy podmiot przekazujący dane nie ma jednostki organizacyjnej w państwie członkowskim UE, lecz jest objęty terytorialnym zakresem stosowania rozporządzenia (UE) 2016/679 zgodnie ¹ Tekst decyzji 2021/914 w pierwotnym brzmieniu może być stosowany do przekazania danych osobowych przez administratora lub podmiot przetwarzający mający siedzibę w UE do administratora lub podmiotu przetwarzającego mającego siedzibę poza EOG. ² W Porozumieniu o Europejskim Obszarze Gospodarczym (Porozumienie EOG) przewidziano rozszerzenie rynku wewnętrznego Unii Europejskiej na trzy państwa EFTA – Islandię, Norwegię i Liechtenstein. Unijne prawodawstwo dotyczące ochrony danych, w tym rozporządzenie (UE) 2016/679, jest objęte Porozumieniem EOG i zostało włączone do jego załącznika XI. W związku z tym wszelkie ujawnianie danych stronie trzeciej zlokalizowanej w EOG przez podmiot odbierający dane nie kwalifikuje się jako dalsze przekazanie do celów niniejszych klauzul. ³ Podwykonawca przetwarzania może spełnić ten wymóg, przystępując do niniejszych klauzul na podstawie odpowiedniego modułu zgodnie z klauzulą 7. ⁴ Podmiot odbierający dane może zaoferować możliwość niezależnego rozwiązywania sporów za pośrednictwem Sądu Arbitrażowego przy Krajowej Izbie Gospodarczej wyłącznie wówczas, gdy posiada jednostkę organizacy