Standardowe Klauzule Umowne Przekazywania Danych Osobowych Do Państw Trzecich

Standardowe klauzule umowne dotyczące przekazywania danych osobowych do państw trzecich na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (na podstawie decyzji wykonawczej Komisji (UE) 2021/914 z dnia 04.06.2021)

Niniejsze klauzule zostały opracowane na potrzeby przekazania danych osobowych przez podmiot przetwarzający mający siedzibę w UE do administratora mającego siedzibę w państwie trzecim¹.

SEKCJA I (Przekazywanie przez podmiot przetwarzający administratorowi)

Klauzula 1

Cel i zakres

a) Niniejsze standardowe klauzule umowne mają na celu zapewnienie zgodności z wymogami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych lub rozporządzenie (UE) 2016/679) w zakresie przekazywania danych osobowych do państwa trzeciego.

b) Strony:

i. osoby fizyczne lub prawne, organy publiczne, agencje lub inne organy (zwane dalej "podmiotami") przekazujące dane osobowe, wymienione w załączniku I część A (zwane dalej "podmiotem przekazującym dane") oraz

ii. podmioty w państwie trzecim otrzymujące dane osobowe od podmiotu przekazującego dane, bezpośrednio lub pośrednio za pośrednictwem innego podmiotu, będącego również Stroną niniejszych klauzul, umieszczone w wykazie w załączniku I część A (zwane dalej "podmiotem odbierającym dane")

uzgodniły niniejsze standardowe klauzule umowne (zwane dalej "klauzulami").

c) Niniejsze klauzule mają zastosowanie do przekazywania danych osobowych, jak określono w załączniku I część B.

d) Dodatek do niniejszych klauzul zawierający wymienione w nich załączniki stanowi integralną część niniejszych klauzul.

Klauzula 2

Skutek i niezmienność klauzul

a) Niniejsze klauzule określają odpowiednie zabezpieczenia, w tym egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej, zgodnie z art. 46 i art. 47 rozporządzenia (UE) 2016/679, oraz standardowe klauzule umowne zgodnie z art. 28 rozporządzenia (UE) 2016/679 w odniesieniu do przekazywania danych od administratorów do podmiotów przetwarzających lub od podmiotów przetwarzających do podmiotów przetwarzających, pod warunkiem że klauzule te nie są modyfikowane, z wyjątkiem modyfikowania w celu wyboru odpowiedniego modułu lub odpowiednich modułów lub w celu dodania informacji do dodatku lub aktualizacji takich informacji. Nie uniemożliwia to Stronom włączania standardowych klauzul umownych określonych w niniejszych klauzulach do szerszej umowy lub dodawania innych klauzul lub dodatkowych zabezpieczeń, pod warunkiem, że nie są one bezpośrednio ani pośrednio sprzeczne z niniejszymi klauzulami ani nie naruszają podstawowych praw lub wolności osób, których dane dotyczą.

b) Niniejsze klauzule nie naruszają obowiązków, którym podlega podmiot przekazujący dane na mocy rozporządzenia (UE) 2016/679.

¹ Tekst decyzji 2021/914 w pierwotnym brzmieniu może być stosowany do przekazania danych osobowych przez administratora lub podmiot przetwarzający mający siedzibę w UE do administratora lub podmiotu przetwarzającego mającego siedzibę poza EOG.

Klauzula 3

Osoby trzecie, na rzecz których zawarto umowę

a) Osoby, których dane dotyczą, mogą powoływać się na niniejsze klauzule i egzekwować je, jako osoby trzecie, na rzecz których zawarto umowę, względem podmiotu przekazującego dane lub podmiotu odbierającego dane, z następującymi wyjątkami:

i. klauzula 5, klauzula 7, klauzula 11, klauzula 14, klauzula 15;

ii. klauzula 16 oraz klauzula 17;

iii. klauzula 18;

iv. klauzula 19;

v. klauzula 20;

b) Lit. a) pozostaje bez uszczerbku dla praw osób, których dane dotyczą, w trybie rozporządzenia (UE) 2016/679.

Klauzula 4

Interpretacja

a) W przypadku gdy w niniejszych klauzulach stosuje się terminy zdefiniowane w rozporządzeniu (UE) 2016/679, terminy te mają znaczenie nadane im w tym rozporządzeniu.

b) Niniejsze klauzule należy odczytywać i interpretować w świetle przepisów rozporządzenia (UE) 2016/679.

c) Klauzul tych nie należy interpretować w sposób sprzeczny z prawami i obowiązkami określonymi w rozporządzeniu (UE) 2016/679.

Klauzula 5

Hierarchia

W przypadku sprzeczności między niniejszymi klauzulami a postanowieniami powiązanych umów między Stronami, obowiązujących w chwili uzgodnienia niniejszych klauzul lub zawartych w późniejszym terminie, niniejsze klauzule mają pierwszeństwo.

Klauzula 6

Opis przekazywania danych

Szczegóły dotyczące przekazywania danych, w szczególności kategorie przekazywanych danych osobowych oraz cel lub cele ich przekazywania, określono w załączniku I część B.

Klauzula 7 - Nieobowiązkowa

Klauzula przystąpienia

a) Podmiot, który nie jest Stroną niniejszych klauzul, może za zgodą Stron przystąpić do tych klauzul w dowolnym momencie albo jako podmiot przekazujący dane, albo jako podmiot odbierający dane, wypełniając dodatek i podpisując załącznik I część A.

b) Po wypełnieniu dodatku i podpisaniu załącznika I część A podmiot przystępujący staje się Stroną niniejszych klauzul oraz nabywa prawa i obowiązki podmiotu przekazującego dane lub podmiotu odbierającego dane, zgodnie z jego określeniem w załączniku I część A.

c) Podmiot przystępujący nie ma żadnych praw ani obowiązków wynikających z niniejszych klauzul w odniesieniu do okresu, zanim został ich Stroną.

SEKCJA II - OBOWIĄZKI STRON

Klauzula 8

Przekazywanie przez administratora podmiotowi przetwarzającemu

8.1. Polecenie

a) Podmiot przekazujący dane przetwarza dane osobowe wyłącznie na udokumentowane polecenie podmiotu odbierającego dane występującego w roli administratora.

b) Podmiot przekazujący dane niezwłocznie powiadamia podmiot odbierający dane, jeżeli nie może wykonać tego polecenia, w tym, jeżeli takie polecenie narusza przepisy rozporządzenia (UE) 2016/679 lub inne przepisy prawa Unii lub państwa członkowskiego dotyczące ochrony danych.

c) Podmiot odbierający dane powinien zaniechać wszelkich działań, które uniemożliwiłyby podmiotowi przekazującemu dane wywiązanie się z obowiązków ciążących na nim na podstawie rozporządzenia (UE) 2016/679, w tym w kontekście podwykonawstwa przetwarzania lub w odniesieniu do współpracy z właściwymi organami nadzorczymi.

d) Po zakończeniu świadczenia usług przetwarzania podmiot przekazujący dane, zgodnie z wyborem podmiotu odbierającego dane albo usuwa wszystkie dane osobowe przetworzone w imieniu podmiotu odbierającego dane i potwierdza podmiotowi odbierającemu dane ich usunięcie, albo zwraca podmiotowi odbierającemu dane wszystkie dane osobowe przetworzone w jego imieniu i usuwa istniejące kopie.

8.2. Bezpieczeństwo przetwarzania

a) Strony wdrażają odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych, w tym podczas przesyłania, oraz ochrony przeciwko naruszeniu bezpieczeństwa prowadzącego do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu (zwanego dalej "naruszeniem ochrony danych osobowych"). Przy ocenie odpowiedniego poziomu bezpieczeństwa podmioty te uwzględniają stan wiedzy technicznej, koszty wdrażania oraz charakter danych osobowych, charakter, zakres, kontekst i cel lub cele przetwarzania, a także ryzyko wynikające z przetwarzania dla osoby, której dane dotyczą, a w szczególności rozważają posłużenie się szyfrowaniem lub pseudonimizacją, w tym podczas przesyłania, w przypadkach, gdy cel przetwarzania może być spełniony w ten sposób.

b) Podmiot przekazujący dane pomaga podmiotowi odbierającemu dane zapewnić odpowiednie bezpieczeństwo danych zgodnie z lit. a). W przypadku naruszenia ochrony danych osobowych dotyczącego danych osobowych przetwarzanych przez podmiot przekazujący dane na mocy niniejszych klauzul podmiot przekazujący dane niezwłocznie powiadamia podmiot odbierający dane, kiedy tylko dowie się, że doszło do takiego naruszenia, i pomaga podmiotowi przekazującemu dane w zaradzeniu temu naruszeniu.

c) Podmiot przekazujący dane zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania poufności.

8.3. Dokumentacja i zgodność

a) Strony będą w stanie wykazać przestrzeganie niniejszych klauzul.

b) Podmiot przekazujący dane udostępnia podmiotowi odbierającemu dane wszelkie informacje niezbędne do wykazania przestrzegania obowiązków określonych w niniejszych klauzulach oraz do umożliwienia przeprowadzania audytów, a także wniesienia wkładu w te audyty.

Klauzula 9

Prawa osoby, której dane dotyczą

Strony udzielają sobie wzajemnej pomocy w zakresie zapytań i żądań ze strony osób, których dane dotyczą, zgodnie z lokalnym prawem, któremu podlega podmiot odbierający dane, lub - w przypadku przetwarzania danych w Unii przez podmiot przekazujący dane - zgodnie z rozporządzeniem (UE) 2016/679.

Klauzula 10

Dochodzenie roszczeń

a) Podmiot odbierający dane - w sposób przejrzysty i łatwo dostępny w drodze indywidualnego zawiadomienia lub na swojej stronie internetowej - informuje osoby, których dane dotyczą, o tym, który punkt kontaktowy jest upoważniony do rozpatrywania skarg. Podmiot ten niezwłocznie rozpatruje wszelkie skargi otrzymane od osoby, której dane dotyczą.

[WARIANT: Podmiot odbierający dane wyraża zgodę, aby osoby, których dane dotyczą, mogły złożyć skargę również do niezależnego organu rozstrzygania sporów² bez obciążania kosztami osoby, której dane dotyczą. W sposób określony w lit. a) informuje on osoby, których dane dotyczą, o takim mechanizmie dochodzenia roszczeń oraz o tym, że nie mają one obowiązku korzystać z niego ani postępować zgodnie z konkretną procedurą podczas dochodzenia roszczeń.]

Klauzula 11

Odpowiedzialność

a) Każda Strona ponosi odpowiedzialność wobec podmiotu lub podmiotów będących drugą Stroną za wszelkie wyrządzone im przez siebie szkody wynikające z naruszenia niniejszych klauzul.

b) Każda Strona ponosi odpowiedzialność wobec osoby, której dane dotyczą, a osobie, której danym