Standardowe Klauzule Umowne Przekazywanie Danych Osobowych Do Państwa Trzeciego

Umowa o przekazywaniu do państwa trzeciego danych osobowych

(Przekazywanie między podmiotami przetwarzającymi)

SEKCJA I

Klauzula 1Cel i zakres

a) Niniejsze standardowe klauzule umowne mają na celu zapewnienie zgodności z wymogami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych) w zakresie przekazywania danych osobowych do państwa trzeciego.

b) Strony:(i) osoby fizyczne lub prawne, organy publiczne, agencje lub inne organy (zwane dalej „podmiotami”) przekazujące dane osobowe, wymienione w załączniku I część A (zwane dalej „podmiotem przekazującym dane”) oraz(ii) podmioty w państwie trzecim otrzymujące dane osobowe od podmiotu przekazującego dane, bezpośrednio lub pośrednio za pośrednictwem innego podmiotu, będącego również Stroną niniejszych klauzul, umieszczone w wykazie w załączniku I część A (zwane dalej „podmiotem odbierającym dane”) uzgodniły niniejsze standardowe klauzule umowne (zwane dalej „klauzulami”).

c) Niniejsze klauzule mają zastosowanie do przekazywania danych osobowych, jak określono w załączniku I część B.

d) Dodatek do niniejszych klauzul zawierający wymienione w nich załączniki stanowi integralną część niniejszych klauzul.

Klauzula 2Skutek i niezmienność klauzul

a) Niniejsze klauzule określają odpowiednie zabezpieczenia, w tym egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej, zgodnie z art. 46 ust. 1 i art. 46 ust. 2 lit. c rozporządzenia (UE) 2016/679, oraz standardowe klauzule umowne zgodnie z art. 28 ust. 7 rozporządzenia (UE) 2016/679 w odniesieniu do przekazywania danych od administratorów do podmiotów przetwarzających lub od podmiotów przetwarzających do podmiotów przetwarzających, pod warunkiem że klauzule te nie są modyfikowane, z wyjątkiem modyfikowania w celu wyboru odpowiedniego modułu lub odpowiednich modułów lub w celu dodania informacji do dodatku lub aktualizacji takich informacji. Nie uniemożliwia to Stronom włączania standardowych klauzul umownych określonych w niniejszych klauzulach do szerszej umowy lub dodawania innych klauzul lub dodatkowych zabezpieczeń, pod warunkiem że nie są one bezpośrednio ani pośrednio sprzeczne z niniejszymi klauzulami ani nie naruszają podstawowych praw lub wolności osób, których dane dotyczą.

b) Niniejsze klauzule nie naruszają obowiązków, którym podlega podmiot przekazujący dane na mocy rozporządzenia (UE) 2016/679.

Klauzula 3Osoby trzecie, na rzecz których zawarto umowę

a) Osoby, których dane dotyczą, mogą powoływać się na niniejsze klauzule i egzekwować je, jako osoby trzecie, na rzecz których zawarto umowę, względem podmiotu przekazującego dane lub podmiotu odbierającego dane, z następującymi wyjątkami:(i) klauzula 5, klauzula 6, klauzula 7, klauzula 9, klauzula 15;(ii) klauzula 12 lit. a, b i c oraz klauzula 13 lit. a, c, d, e, f i g);(iii) klauzula 14 lit. a, b, c i d);(iv) klauzula 16 lit. a, b i c);(v) klauzula 17;(vi) klauzula 18 lit. a, b i c);(vii) klauzula 19 lit. a);(viii) klauzula 20 lit. a i b).

b) Lit. a) pozostaje bez uszczerbku dla praw osób, których dane dotyczą, w trybie rozporządzenia (UE) 2016/679.

Klauzula 4Interpretacja

a) W przypadku gdy w niniejszych klauzulach stosuje się terminy zdefiniowane w rozporządzeniu (UE) 2016/679, terminy te mają znaczenie nadane im w tym rozporządzeniu.

b) Niniejsze klauzule należy odczytywać i interpretować w świetle przepisów rozporządzenia (UE) 2016/679.

c) Klauzul tych nie należy interpretować w sposób sprzeczny z prawami i obowiązkami określonymi w rozporządzeniu (UE) 2016/679.

Klauzula 5Hierarchia

W przypadku sprzeczności między niniejszymi klauzulami a postanowieniami powiązanych umów między Stronami, obowiązujących w chwili uzgodnienia niniejszych klauzul lub zawartych w późniejszym terminie, niniejsze klauzule mają pierwszeństwo.

Klauzula 6Opis przekazywania danych

Szczegóły dotyczące przekazywania danych, w szczególności kategorie przekazywanych danych osobowych oraz cel lub cele ich przekazywania, określono w załączniku I część C.

Klauzula 7Klauzula przystąpienia

a) Podmiot, który nie jest Stroną niniejszych klauzul, może za zgodą Stron przystąpić do tych klauzul w dowolnym momencie albo jako podmiot przekazujący dane, albo jako podmiot odbierający dane, wypełniając dodatek i podpisując załącznik I część D.

b) Po wypełnieniu dodatku i podpisaniu załącznika I część D podmiot przystępujący staje się Stroną niniejszych klauzul oraz nabywa prawa i obowiązki podmiotu przekazującego dane lub podmiotu odbierającego dane, zgodnie z jego określeniem w załączniku I część A.

c) Podmiot przystępujący nie ma żadnych praw ani obowiązków wynikających z niniejszych klauzul w odniesieniu do okresu sprzed przystąpienia, zanim został ich Stroną.

SEKCJA II – OBOWIĄZKI STRON

Klauzula 8Zabezpieczenia służące ochronie danych

Podmiot przekazujący dane gwarantuje, że dołożył zasadnych starań w celu ustalenia, że podmiot odbierający dane jest w stanie – dzięki wdrożeniu odpowiednich środków technicznych i organizacyjnych – wypełnić swoje obowiązki określone w niniejszych klauzulach.

8.1. Poleceniea) Podmiot przekazujący dane poinformował podmiot odbierający dane, że działa jako podmiot przetwarzający na polecenie administratora/administratorów danych, które to polecenie podmiot przekazujący dane udostępnia podmiotowi odbierającemu dane przed ich przetwarzaniem.b) Podmiot odbierający dane przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora, zakomunikowane podmiotowi odbierającemu dane przez podmiot przekazujący dane, oraz na każde dodatkowe udokumentowane polecenia podmiotu przekazującego dane. Takie dodatkowe polecenia nie mogą być sprzeczne z poleceniami administratora. Administrator lub podmiot przekazujący dane może wydawać dalsze udokumentowane polecenia dotyczące przetwarzania danych w czasie obowiązywania umowy.c) Podmiot odbierający dane niezwłocznie informuje podmiot przekazujący dane, jeżeli nie może wykonać tego polecenia. Jeżeli podmiot odbierający dane nie może wykonać polecenia administratora, podmiot przekazujący dane niezwłocznie zgłasza ten fakt administratorowi.d) Podmiot przekazujący gwarantuje, że na podmiot odbierający dane nałożył takie same obowiązki ochrony danych – na mocy prawa Unii lub prawa państwa członkowskiego – jak w umowie lub innym akcie prawnym między administratorem a podmiotem przekazującym dane.

8.2. Ograniczenie celuPodmiot odbierający dane przetwarza dane osobowe wyłącznie w określonym celu/określonych celach przekazywania, jak wskazano w załączniku I część B, chyba że działa na podstawie dalszych poleceń administratora wydanych podmiotowi odbierającemu dane przez podmiot przekazujący dane lub dalszych poleceń podmiotu przekazującego dane.

8.3. PrzejrzystośćPodmiot przekazujący dane udostępnia bezpłatnie na żądanie osobie, której dane dotyczą, kopię niniejszych klauzul, w tym dodatku wypełnionego przez Strony. W zakresie koniecznym w celu ochrony tajemnic handlowych lub innych informacji poufnych, w tym danych osobowych, podmiot przekazujący dane może częściowo zredagować tekst dodatku przed udostępnieniem jego kopii, lecz przekazuje stosowne streszczenie, jeżeli bez takiego streszczenia osoba, której dane dotyczą, nie byłaby w stanie zrozumieć treści takiego tekstu lub korzystać ze swoich praw. Na żądanie Strony przekazują osobie, której dane dotyczą, powody zredagowania tekstu, w miarę możliwości bez ujawniania utajnionych informacji.

8.4. PrawidłowośćJeżeli podmiot odbierający dane zda sobie sprawę, że otrzymane przez niego dane osobowe są nieprawidłowe lub nieaktualne, powiadamia o tym bez zbędnej zwłoki podmiot przekazujący dane. W takim przypadku podmiot odbierający dane współpracuje z podmiotem przekazującym dane w celu ich sprostowania lub usunięcia.

8.5. Czas trwania przetwarzania oraz usuwanie lub zwrot danychPrzetwarzanie danych przez podmiot odbierający dane odbywa się wyłącznie przez okres 2 lat określony w załączniku I część E. Po zakończeniu świadczenia usług przetwarzania podmiot odbierający dane, zgodnie z wyborem podmiotu przekazującego dane, albo usuwa wszystkie dane osobowe przetworzone w imieniu administratora i potwierdza podmiotowi przekazującemu dane ich usunięcie, albo zwraca podmiotowi przekazującemu dane wszystkie dane osobowe przetworzone w jego imieniu i usuwa istniejące kopie. Do czasu usunięcia lub zwrotu danych podmiot odbierający dane nadal zapewnia zgodność z niniejszymi klauzulami. Jeżeli prawo lokalne obowiązujące podmiot odbierający dane zabrania zwrotu lub usunięcia danych osobowych, podmiot odbierający dane gwarantuje, że będzie w dalszym ciągu zapewniał przestrzeganie niniejszych klauzul oraz że będzie przetwarzał je wyłącznie w zakresie i w czasie wymaganym przez to prawo lokalne. Zasada ta pozostaje bez uszczerbku dla klauzuli 12, w szczególności wymogu określonego w klauzuli 12 lit. a, aby podmiot odbierający dane zgłaszał w czasie obowiązywania umowy podmiotowi przekazującemu dane, jeżeli ma powody, aby sądzić, że podlega lub zaczął podlegać przepisom lub praktykom niezgodnym z wymogami określonymi w klauzuli 12 lit. b.

8.6. Bezpieczeństwo przetwarzaniaa) Podmiot odbierający dane, a podczas przesyłania również podmiot przekazujący dane, wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych, w tym ochrony przeciwko naruszeniu bezpieczeństwa prowadzącego do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do tych danych (zwanego dalej „naruszeniem ochrony danych osobowych”). Przy ocenie odpowiedniego poziomu bezpieczeństwa podmioty te uwzględniają stan wiedzy technicznej, koszty wdrażania oraz charakter, zakres, kontekst i cel lub cele przetwarzania, a także ryzyko wynikające z przetwarzania dla osoby, której dane dotyczą. Strony rozważą w szczególności posłużenie się szyfrowaniem lub pseudonimizacją, w tym podczas przesyłania, w przypadkach, gdy cel przetwarzania może być spełniony w ten sposób. W przypadku pseudonimizacji dodatkowe informacje do celu przypisania danych osobowych konkretnej osobie, której dane dotyczą, pozostają, jeżeli jest to możliwe, pod wyłączną kontrolą podmiotu przekazującego dane lub administratora. W ramach obowiązków w trybie niniejszej lit. a) podmiot odbierający dane wdraża co najmniej środki techniczne i organizacyjne określone w załączniku II. Podmiot odbierający dane przeprowadza regularne kontrole, aby zagwarantować, że środki te wciąż zapewniają odpowiedni poziom bezpieczeństwa.b) Podmiot odbierający dane udziela dostępu do danych członkom swojego personelu wyłącznie w zakresie ściśle niezbędnym do wykonania umowy, zarządzania umową oraz jej monitorowania. Zapewnia on, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania poufności.c) W przypadku naruszenia ochrony danych osobowych dotyczącego danych osobowych przetwarzanych przez podmiot odbierający dane na podstawie niniejszych klauzul podmiot odbierający dane stosuje odpowiednie środki w celu zaradzenia temu naruszeniu, w tym środki w celu zminimalizowania jego negatywnych skutków. Po stwierdzeniu naruszenia podmiot odbierający dane zgłasza je również bez zbędnej zwłoki podmiotowi przekazującemu dane oraz – w razie potrzeby i w miarę możliwości – administratorowi. Zgłoszenie takie zawiera szczegóły dotyczące numeru kontaktowego +48 123 456 789, w którym można uzyskać więcej informacji, opis charakteru naruszenia (w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie), jego możliwe konsekwencje oraz środki zastosowane lub proponowane w celu zaradzenia naruszeniu ochrony danych, w tym środki w celu zminimalizowania jego ewentualnych negatywnych skutków. Jeżeli oraz w zakresie, w jakim niemożliwe jest udzielenie wszystkich informacji w tym samym czasie, pierwotne zgłoszenie zawiera informacje dostępne w danym momencie, a dalszych informacji udziela się sukcesywnie, bez zbędnej zwłoki w miarę, jak staną się one dostępne.d) Podmiot odbierający dane współpracuje z podmiotem przekazującym dane i pomaga mu, aby umożliwić podmiotowi przekazującemu dane wypełnienie obowiązków określonych w rozporządzeniu (UE) 2016/679, w szczególności obowiązku powiadomienia administratora, aby ten mógł z kolei powiadomić właściwy organ nadzorczy i poszkodowane osoby, których dane dotyczą, uwzględniając charakter przetwarzania oraz informacje, do których podmiot odbierający dane ma dostęp.

8.7. Dane wrażliweGdy przekazywanie obejmuje dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne lub dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby lub dane dotyczące wyroków skazujących i czynów zabronionych (zwane dalej „danymi wrażliwymi”), podmiot odbierający dane stosuje szczególne ograniczenia lub dodatkowe zabezpieczenia określone w załączniku I część F.

8.8. Dalsze przekazywanie danychPodmiot odbierający dane ujawnia dane osobowe stronie trzeciej wyłącznie na podstawie udokumentowanego polecenia administratora przekazanego podmiotowi odbierającemu dane przez podmiot przekazujący dane. Ponadto dane mogą zostać ujawnione stronie trzeciej zlokalizowanej poza terytorium Unii Europejskiej (Stany Zjednoczone)(w tym samym państwie co podmiot odbierający dane lub w innym państwie trzecim; dalej „dalsze przekazanie”) wyłącznie wówczas, gdy strona trzecia jest związana niniejszymi klauzulami bądź zgadza się im podlegać na mocy odpowiedniego modułu lub jeżeli:(i) dalsze przekazanie odbywa się do państwa objętego decyzją stwierdzającą odpowiedni stopień ochrony, zgodnie z art. 45 rozporządzenia (UE) 2016/679, obejmującą dalsze przekazywanie;(ii) strona trzecia w inny sposób zapewnia odpowiednie zabezpieczenia zgodnie z art. 46 lub 47 rozporządzenia (UE) 2016/679;(iii) dalsze przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń w kontekście konkretnego postępowania administracyjnego, regulacyjnego lub sądowego; lub(iv) dalsze przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.Wszelkie dalsze przekazanie odbywa się pod warunkiem przestrzegania przez podmiot odbierający dane wszystkich pozostałych zabezpieczeń na mocy niniejszych klauzul, w szczególności ograniczenia celu.

8.9. Dokumentacja i zgodnośća) Podmiot odbierający dane niezwłocznie i w odpowiedni sposób rozpatruje zapytania podmiotu przekazującego dane lub administratora dotyczące przetwarzania na mocy niniejszych klauzul.b) Strony będą w stanie wykazać przestrzeganie niniejszych klauzul. W szczególności podmiot odbierający dane przechowuje odpowiednią dokumentację czynności przetwarzania wykonanych w imieniu administratora.c) Podmiot odbierający dane udostępnia podmiotowi przekazującemu dane wszelkie informacje niezbędne, aby wykazać przestrzeganie obowiązków określonych w niniejszych klauzulach, a podmiot przekazujący dane przekazuje te informacje administratorowi.d) Podmiot odbierający dane umożliwia przeprowadzanie przez podmiot przekazujący dane audytów czynności przetwarzania objętych niniejszymi klauzulami w regularnych odstępach czasu lub w przypadku wystąpienia oznak niespełnienia tych obowiązków, a także wnosi wkład w te audyty. Dotyczy to również sytuacji, w których podmiot przekazujący dane żąda audytu wykonania polecenia administratora. Podejmując decyzję dotyczącą przeprowadzenia audytu, podmiot przekazujący dane może uwzględnić odpowiednie certyfikacje posiadane przez podmiot odbierający dane.e) Jeżeli audyt dotyczy polecenia administratora, podmiot przekazujący dane udostępnia wyniki administratorowi.f) Podmiot przekazujący dane może przeprowadzić audyt samodzielnie lub zlecić jego przeprowadzenie firmie audytorskiej "Audyt Sp. z o.o.". Audyty mogą obejmować kontrole w siedzibie firmy lub obiektach podmiotu odbierającego dane i, w stosownych przypadkach, przeprowadzane są po powiadomieniu z dwutygodniowym wyprzedzeniem.g) Strony udostępniają właściwym organom nadzorczym na żądanie informacje, o których mowa w lit. c) i d), w tym wyniki wszelkich audytów.

Klauzula 9Korzystanie z usług podwykonawców przetwarzania

a) WARIANT 1: WYRAŹNA ZGODA. Podmiot odbierający dane nie może zlecać w ramach podwykonawstwa żadnych czynności przetwarzania realizowanych w imieniu podmiotu przekazującego dane na podstawie niniejszych klauzul podwykonawcy przetwarzania bez uzyskania uprzedniej wyraźnej pisemnej zgody administratora. Podmiot odbierający dane przedstawia wniosek o udzielenie takiej zgody przynajmniej miesiąc przed zaangażowaniem podwykonawcy przetwarzania, wraz z informacjami, których administrator potrzebuje do podjęcia decyzji w sprawie wydania zgody. Podmiot ten informuje o takim zaangażowaniu podmiot przekazujący dane. Załącznik III zawiera wykaz podwykonawców przetwarzania już upoważnionych przez administratora. Strony są obowiązane do aktualizacji załącznika III.WARIANT 2: OGÓLNA PISEMNA ZGODA. Podmiot odbierający dane ma ogólną zgodę administratora na angażowanie podwykonawców przetwarzania widniejących w uzgodnionym wykazie. Podmiot odbierający dane wyraźnie informuje administratora na piśmie o wszelkich zamierzonych zmianach w tym wykazie polegających na dodaniu lub zastąpieniu podwykonawców przetwarzania z wyprzedzeniem wynoszącym co najmniej dwa tygodnie, dając w ten sposób administratorowi wystarczający czas na wyrażenie sprzeciwu wobec takich zmian przed zaangażowaniem podwykonawcy lub podwykonawców przetwarzania. Podmiot odbierający dane dostarcza administratorowi informacje niezbędne do umożliwienia mu wykonania prawa do sprzeciwu. Podmiot odbierający dane informuje podmiot przekazujący dane o zaangażowaniu podwykonawcy lub podwykonawców przetwarzania.

b) Jeżeli podmiot odbierający dane angażuje podwykonawcę przetwarzania do celów wykonania określonych czynności przetwarzania (w imieniu administratora), czyni to na podstawie pisemnej umowy, która zasadniczo przewiduje takie same obowiązki w odniesieniu do ochrony danych, jakie wiążą podmiot odbierający dane na mocy niniejszych klauzul, w tym w zakresie praw osób, których dane dotyczą, przysługujących im jako osobom trzecim, na rzecz których zawarto umowę. Strony uzgadniają, że przestrzegając niniejszej klauzuli, podmiot odbierający dane wypełnia swoje obowiązki wynikające z klauzuli 8. Podmiot odbierający dane zapewnia, aby podwykonawca przetwarzania wywiązywał się z obowiązków, którym podmiot odbierający dane podlega na podstawie niniejszych klauzul.

c) Na żądanie podmiotu przekazującego dane lub administratora podmiot odbierający dane przekazuje kopię umowy dotyczącej podwykonawstwa przetwarzania oraz wszelkich późniejszych zmian. W zakresie koniecznym do zapewnienia ochrony tajemnic handlowych lub innych informacji poufnych, w tym danych osobowych, podmiot odbierający dane może zredagować tekst umowy przed udostępnieniem jej kopii.

d) Podmiot odbierający dane pozostaje w pełni odpowiedzialny wobec podmiotu przekazującego dane za wykonywanie obowiązków podwykonawcy przetwarzania wynikających z umowy zawartej przez niego z podmiotem odbierającym dane. Podmiot odbierający dane powiadamia podmiot przekazujący dane o każdym przypadku niewypełnienia przez podwykonawcę przetwarzania obowiązków wynikających z tej umowy.

e) Podmiot odbierający dane uzgadnia z podwykonawcą przetwarzania klauzulę na rzecz osoby trzeciej, na rzecz której zawarto umowę, na mocy której to klauzuli – w przypadku gdy podmiot odbierający dane przestał istnieć faktycznie lub formalnie lub stał się niewypłacalny – podmiot przekazujący dane ma prawo rozwiązać umowę dotyczącą podwykonawstwa przetwarzania i polecić podwykonawcy przetwarzania usunięcie lub zwrot danych osobowych.

Klauzula 10Prawa osoby, której dane dotyczą

a) Podmiot odbierający dane bezzwłocznie powiadamia podmiot przekazujący dane i – w stosownych przypadkach – administratora o każdym żądaniu otrzymanym od osoby, której dane dotyczą, i nie odpowiada na to żądanie, chyba że został do tego upoważniony przez administratora.

b) Podmiot odbierający dane pomaga administratorowi, w razie potrzeby we współpracy z podmiotem przekazującym dane, w wypełnianiu jego obowiązków w zakresie odpowiadania na żądania osób, których dane dotyczą, związane z wykonywaniem praw przysługujących tym osobom na podstawie rozporządzenia (UE) 2016/679 lub w stosownych przypadkach rozporządzenia (UE) 2016/680. W związku z tym Strony określają w załączniku IV odpowiednie środki techniczne i organizacyjne, uwzględniając charakter przetwarzania, w drodze których zapewniana będzie pomoc, jak również zakres wymaganej pomocy.

c) Wywiązując się z obowiązków spoczywających na nim na podstawie lit. a) i b), podmiot odbierający dane postępuje zgodnie z poleceniem administratora przekazanym przez podmiot przekazujący dane.

Klauzula 11Dochodzenie roszczeń

a) Podmiot odbierający dane – w sposób przejrzysty i łatwo dostępny w drodze pisemnego zawiadomienia lub na swojej stronie internetowej – informuje osoby, której…