Standardowe klauzule umowne dotyczące przekazywania danych osobowych do państw trzecich

Standardowe klauzule umowne dotyczące przekazywania danych osobowych do państw trzecich na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679

(na podstawie decyzji wykonawczej Komisji (UE) 2021/914 z dnia 04 czerwca 2021 r.)

Niniejsze klauzule zostały opracowane na potrzeby przekazania danych osobowych przez podmiot przetwarzający mający siedzibę w UE do podmiotu przetwarzającego mającego siedzibę w państwie trzecim¹.

SEKCJA I (Przekazywanie pomiędzy podmiotami przetwarzającymi)

Klauzula 1

Cel i zakres

   a) Niniejsze standardowe klauzule umowne mają na celu zapewnienie zgodności z wymogami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych lub rozporządzenie (UE) 2016/679) w zakresie przekazywania danych osobowych do państwa trzeciego.

   b) Strony:

     i. osoby fizyczne lub prawne, organy publiczne, agencje lub inne organy (zwane dalej „podmiotami”) przekazujące dane osobowe, wymienione w załączniku I część A (zwane dalej „podmiotem przekazującym dane”) oraz

     ii. podmioty w państwie trzecim otrzymujące dane osobowe od podmiotu przekazującego dane, bezpośrednio lub pośrednio za pośrednictwem innego podmiotu, będącego również Stroną niniejszych klauzul, umieszczone w wykazie w załączniku I część A (zwane dalej „podmiotem odbierającym dane”)

     uzgodniły niniejsze standardowe klauzule umowne (zwane dalej „klauzulami”).

   c) Niniejsze klauzule mają zastosowanie do przekazywania danych osobowych, jak określono w załączniku I część B.

   d) Dodatek do niniejszych klauzul zawierający wymienione w nich załączniki stanowi integralną część niniejszych klauzul.

Klauzula 2

Skutek i niezmienność klauzul

   a) Niniejsze klauzule określają odpowiednie zabezpieczenia, w tym egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej, zgodnie z art. 46 ust. 1 i art. 46 ust. 2 rozporządzenia (UE) 2016/679, oraz standardowe klauzule umowne zgodnie z art. 46 ust. 2 lit. c) rozporządzenia (UE) 2016/679 w odniesieniu do przekazywania danych od administratorów do podmiotów przetwarzających lub od podmiotów przetwarzających do podmiotów przetwarzających, pod warunkiem że klauzule te nie są modyfikowane, z wyjątkiem modyfikowania w celu wyboru odpowiedniego modułu lub odpowiednich modułów lub w celu dodania informacji do dodatku lub aktualizacji takich informacji. Nie uniemożliwia to Stronom włączania standardowych klauzul umownych określonych w niniejszych klauzulach do szerszej umowy lub dodawania innych klauzul lub dodatkowych zabezpieczeń, pod warunkiem, że nie są one bezpośrednio ani pośrednio sprzeczne z niniejszymi klauzulami ani nie naruszają podstawowych praw lub wolności osób, których dane dotyczą.

   b) Niniejsze klauzule nie naruszają obowiązków, którym podlega podmiot przekazujący dane na mocy rozporządzenia (UE) 2016/679.

Klauzula 3

Osoby trzecie, na rzecz których zawarto umowę

   a) Osoby, których dane dotyczą, mogą powoływać się na niniejsze klauzule i egzekwować je, jako osoby trzecie, na rzecz których zawarto umowę, względem podmiotu przekazującego dane lub podmiotu odbierającego dane, z następującymi wyjątkami:

     i. klauzula 5, klauzula 7, klauzula 9 lit. a) wariant 2, klauzula 13 lit. a), klauzula 17;

     ii. klauzula 18;

     iii. klauzula 19;

     iv. klauzula 20;

     v. klauzula 21;

     vi. klauzula 22;

     vii. klauzula 23;

     viii. klauzula 24;

   b) Lit. a) pozostaje bez uszczerbku dla praw osób, których dane dotyczą, w trybie rozporządzenia (UE) 2016/679.

Klauzula 4

Interpretacja

   a) W przypadku gdy w niniejszych klauzulach stosuje się terminy zdefiniowane w rozporządzeniu (UE) 2016/679, terminy te mają znaczenie nadane im w tym rozporządzeniu.

   b) Niniejsze klauzule należy odczytywać i interpretować w świetle przepisów rozporządzenia (UE) 2016/679.

   c) Klauzul tych nie należy interpretować w sposób sprzeczny z prawami i obowiązkami określonymi w rozporządzeniu (UE) 2016/679.

Klauzula 5

Hierarchia

W przypadku sprzeczności między niniejszymi klauzulami a postanowieniami powiązanych umów między Stronami, obowiązujących w chwili uzgodnienia niniejszych klauzul lub zawartych w późniejszym terminie, niniejsze klauzule mają pierwszeństwo.

Klauzula 6

Opis przekazywania danych

Szczegóły dotyczące przekazywania danych, w szczególności kategorie przekazywanych danych osobowych oraz cel lub cele ich przekazywania, określono w załączniku I część B.

Klauzula 7 – Nieobowiązkowa

Klauzula przystąpienia

   a) Podmiot, który nie jest Stroną niniejszych klauzul, może za zgodą Stron przystąpić do tych klauzul w dowolnym momencie albo jako podmiot przekazujący dane, albo jako podmiot odbierający dane, wypełniając dodatek i podpisując załącznik I część A.

   b) Po wypełnieniu dodatku i podpisaniu załącznika I część A podmiot przystępujący staje się Stroną niniejszych klauzul oraz nabywa prawa i obowiązki podmiotu przekazującego dane lub podmiotu odbierającego dane, zgodnie z jego określeniem w załączniku I część A.

   c) Podmiot przystępujący nie ma żadnych praw ani obowiązków wynikających z niniejszych klauzul w odniesieniu do okresu, zanim został ich Stroną.

SEKCJA II – OBOWIĄZKI STRON

Klauzula 8

Przekazywanie przez administratora podmiotowi przetwarzającemu

8.1. Polecenie

   a) Podmiot przekazujący dane "Data Transfer Solutions Sp. z o.o." poinformował podmiot odbierający dane "Cloud Computing Inc.", że działa jako podmiot przetwarzający na polecenie administratora/administratorów danych "Innovative Marketing Ltd.", które to polecenie podmiot przekazujący dane udostępnia podmiotowi odbierającemu dane przed ich przetwarzaniem.

   b) Podmiot odbierający dane przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora, zakomunikowane podmiotowi odbierającemu dane przez podmiot przekazujący dane oraz na każde dodatkowe udokumentowane polecenia podmiotu przekazującego dane. Takie dodatkowe polecenia nie mogą być sprzeczne z poleceniami administratora. Administrator lub podmiot przekazujący dane może wydawać dalsze udokumentowane polecenia dotyczące przetwarzania danych w okresie obowiązywania umowy.

   c) Podmiot odbierający dane niezwłocznie informuje podmiot przekazujący dane, jeżeli nie może wykonać tego polecenia. Jeżeli podmiot odbierający dane nie może wykonać polecenia administratora, podmiot przekazujący dane niezwłocznie zgłasza ten fakt administratorowi.

   d) Podmiot przekazujący gwarantuje, że na podmiot odbierający dane nałożył takie same obowiązki ochrony danych – na mocy prawa Unii lub prawa państwa członkowskiego – jak w umowie lub innym akcie prawnym między administratorem a podmiotem przekazującym dane.

8.2. Ograniczenie celu

Podmiot odbierający dane przetwarza dane osobowe wyłącznie w określonym celu/określonych celach przekazywania, jak wskazano w załączniku I część B, chyba że działa na podstawie dalszych poleceń administratora wydanych podmiotowi odbierającemu dane przez podmiot przekazujący dane lub dalszych poleceń podmiotu przekazującego dane.

8.3. Przejrzystość

Podmiot przekazujący dane udostępnia bezpłatnie na żądanie osobie, której dane dotyczą, kopię niniejszych klauzul, w tym dodatku wypełnionego przez Strony. W zakresie koniecznym w celu ochrony tajemnic handlowych lub innych informacji poufnych, w tym danych osobowych, podmiot przekazujący dane może częściowo zredagować tekst dodatku przed udostępnieniem jego kopii, lecz przekazuje stosowne streszczenie, jeżeli bez takiego streszczenia osoba, której dane dotyczą, nie byłaby w stanie zrozumieć treści takiego tekstu lub korzystać ze swoich praw. Na żądanie Strony przekazują osobie, której dane dotyczą, powody zredagowania tekstu, w miarę możliwości bez ujawniania utajnionych informacji.

8.4. Prawidłowość

Jeżeli podmiot odbierający dane zda sobie sprawę, że otrzymane przez niego dane osobowe są nieprawidłowe lub nieaktualne, powiadamia o tym bez zbędnej zwłoki podmiot przekazujący dane. W takim przypadku podmiot odbierający dane współpracuje z podmiotem przekazującym dane w celu ich sprostowania lub usunięcia.

8.5. Czas trwania przetwarzania oraz usuwanie lub zwrot danych

Przetwarzanie danych przez podmiot odbierający dane odbywa się wyłącznie przez czas określony w załączniku I część B. Po zakończeniu świadczenia usług przetwarzania podmiot odbierający dane, zgodnie z wyborem podmiotu przekazującego dane albo usuwa wszystkie dane osobowe przetworzone w imieniu administratora i potwierdza podmiotowi przekazującemu dane ich usunięcie, albo zwraca podmiotowi przekazującemu dane wszystkie dane osobowe przetworzone w jego imieniu i usuwa istniejące kopie. Do czasu usunięcia lub zwrotu danych podmiot odbierający dane nadal zapewnia zgodność z niniejszymi klauzulami. Jeżeli prawo lokalne obowiązujące podmiot odbierający dane zabrania zwrotu lub usunięcia danych osobowych, podmiot odbierający dane gwarantuje, że będzie w dalszym ciągu zapewniał przestrzeganie niniejszych klauzul oraz że będzie przetwarzał je wyłącznie w zakresie i w czasie wymaganym przez to prawo lokalne. Zasada ta pozostaje bez uszczerbku dla klauzuli 15, w szczególności wymogu określonego w klauzuli 15 lit. a), aby podmiot odbierający dane zgłaszał w okresie obowiązywania umowy podmiotowi przekazującemu dane, jeżeli ma powody, aby sądzić, że podlega lub zaczął podlegać przepisom lub praktykom niezgodnym z wymogami określonymi w klauzuli 15.

8.6. Bezpieczeństwo przetwarzania

   a) Podmiot odbierający dane, a podczas przesyłania również podmiot przekazujący dane, wdraża odpowiednie środki technicz