Duomenų apdorojimo priedas

Pridedamas duomenų apdorojimas

 

Šis Pridedamas yra neatskiriama Sutarties dalis ir yra sudarytas tarp:

 

  1. (i) Kliento („Duomenų eksportuotojas“)
  2. (ii) IQUALIF („Duomenų importuotojas“)

 

Kiekvienas yra „Šalis“ ir dažnai „Šalys“.

 

Įžanga

KAI duomenų importuotojas teikia profesionalias programinės įrangos paslaugas, kompiuterines ir susijusias paslaugas (pavyzdžiui, naršykles su pažangiosiomis paieškos funkcijomis);

KAI pagal Sutartį duomenų importuotojas sutiko teikti Duomenų eksportuotojui nurodytas paslaugas (toliau – „Paslaugos“);

KAI, teikdamas Paslaugas, duomenų importuotojas gauna arba gauna naudą iš prieigos prie Duomenų eksportuotojo informacijos arba kitų asmenų, turinčių (potencialią) ryšį su Duomenų eksportuotoju, informacijos, kuri gali būti kvalifikuojama kaip asmens duomenys pagal Europos Parlamento ir Tarybos Reglamentą (ES) 2016/679 dėl asmenų apsaugos ir laisvo jų duomenų judėjimo („BDAR“) ir kitus taikomus duomenų apsaugos įstatymus.

KAI šis Pridedamas apima sąlygas ir nuostatas, taikomas duomenų rinkimui, apdorojimui ir naudojimui pagal Duomenų importuotojo kaip įgalioto duomenų tvarkymo agento, veikiančio Duomenų eksportuotojo vardu, sąlygas, siekiant užtikrinti, kad Šalys laikytųsi taikomų duomenų apsaugos įstatymų.

 

TODĖL, ir norint leisti Šalims teisėtai tęsti savo santykius, Šalys sudarė šį Pridedamą kaip nurodyta toliau:

1 dalis

 

1. Dokumento struktūra ir apibrėžimai

1.1 Struktūra

Šis Pridedamas susideda iš skirtingų dalių, kaip nurodyta toliau:

 

1 dalis: 

apima bendras nuostatas, pvz., dėl naudojamų apibrėžimų šiame Pridedamame, atitikties vietos įstatymams, terminų ir nutraukimo;

 
2 dalis:

apima nepakitusių Standartinių sutarčių sąlygų dokumento turinį;

 
Priedas 1.1 prie 2 dalies:

apima duomenų apdorojimo operacijų detales, kurias teikia Duomenų importuotojas Duomenų eksportuotojui kaip įgaliotam duomenų tvarkymo agentui (įskaitant apdorojimo pobūdį, tikslą ir apimtį, asmens duomenų tipą ir duomenų subjektų kategorijas) pagal šį Pridedamą;

 
Priedas 2 prie 2 dalies:

apima Duomenų importuotojo technines ir organizacines saugumo priemones, taikomas visoms apdorojimo veikloms, aprašytoms Priedo 1.1 2 dalyje;

 
3 dalis:

apima Šalių parašus, kurie įsipareigoja laikytis šio Pridedamo ir identifikuoja kiekvieną Duomenų importuotoją;

 

 

1.2 Terminologija ir apibrėžimai

Šio Pridedamo tikslais taikomi BDAR naudojami terminai ir apibrėžimai (Standartinių sutarčių sąlygų dokumento 2 dalyje, kur apibrėžti terminai nėra rašomi didžiosiomis raidėmis). 

 

"Nario valstybė"

reiškia šalį, priklausančią Europos Sąjungai arba Europos Ekonominei Erikai

 
"Specialiosios (asmenų) duomenų kategorijos"

nurodo asmens duomenis, atskleidžiančius rasinį ar etninį kilmės, politines pažiūras, religinius ar filosofinius įsitikinimus arba profesinių sąjungų narystę, genetinius duomenis, biometrinius duomenis, jei jie apdorojami siekiant unikalios asmens identifikacijos, sveikatos duomenis, duomenis apie asmens lytinį gyvenimą ar seksualinę orientaciją

 
"Standartinės sutarčių sąlygos"

reiškia standartines sutarčių sąlygas, skirtas perduoti asmens duomenis trečiųjų šalių duomenų tvarkytojams, įsteigtoms trečiosiose šalyse, pagal Komisijos sprendimą 2010/87/ES, priimtą 2010 m. vasario 5 d., kurį vėliau pakeitė Komisijos įgyvendinimo sprendimas (ES) 2016/2297, priimtas 2016 m. gruodžio 16 d.

 
„Duomenų tvarkytojas“

reiškia bet kurį tvarkymo agentą, esančią Europos Sąjungos / Europos Ekonominės Erijos viduje ar už jos ribų, kuris sutinka gauti iš Duomenų importuotojo arba iš kito Duomenų importuotojo, asmens duomenis tikslui, kuriuo Duomenų eksportuotojas juos apdoroja po perdavimo, vadovaudamasis šio Pridedamo ir Sutarties sąlygomis, ir kuris nėra taikomos trečiosios šalies mechanizmo, užtikrinančio pakankamą apsaugą pagal 95/46/EBT 25 straipsnį.

 

 

 

2. Duomenų eksportuotojo įsipareigojimai

2.1 Duomenų eksportuotojas privalo užtikrinti, kad būtų laikomasi visų taikomų BDAR ir kitų taikomų duomenų apsaugos įstatymų, ir parodyti tokią atitiktį, kaip reikalaujama pagal BDAR 5 straipsnio 2 dalį. Duomenų eksportuotojas garantuoja, kad Duomenų importuotojas gavo iš duomenų subjektų išankstinį sutikimą pagal BDAR 6 straipsnio a punktą ir laikėsi įsipareigojimo informuoti duomenų subjektus pagal BDAR 13 ir 14 straipsnius.

2.2 Duomenų eksportuotojas turi pateikti Duomenų importuotojui atitinkamus duomenų apdorojimo operacijų failus pagal BDAR 30 straipsnio 1 dalį, susijusius su Paslaugomis pagal šį Pridedamą, kiek tai būtina Duomenų importuotojui įvykdyti įsipareigojimus pagal BDAR 30 straipsnio 2 dalį.

2.3 Duomenų eksportuotojas privalo paskirti duomenų apsaugos pareigūną arba atstovą, kiek tai reikalaujama taikytinuose duomenų apsaugos įstatymuose. Duomenų eksportuotojas privalo pateikti Duomenų importuotojui duomenų apsaugos agento ar atstovo kontaktinius duomenis, jei tokių yra.

2.4. Duomenų eksportuotojas patvirtina, prieš užbaigiant apdorojimą, priimdamas šį Pridedamą, kad Duomenų importuotojo techninės ir organizacinės saugumo priemonės, kaip nurodyta Priedo 2 2 dalyje, yra tinkamos ir pakankamos apsaugoti duomenų subjekto teises ir patvirtina, kad Duomenų importuotojas teikia pakankamas apsaugos priemones šiuo atveju.

 

3. Vietinių įstatymų laikymasis

Siekiant įvykdyti 28 straipsnio reikalavimus dėl apdorojimo agentų įgyvendinimo, taikomos šios pataisos:

 

3.1 Instrukcijos

  1. (i) Duomenų eksportuotojas nurodo Duomenų importuotojui apdoroti asmens duomenis tik Duomenų eksportuotojo vardu. Duomenų eksportuotojo instrukcijos pateikiamos šiame Pridedamame ir Sutartyje. Duomenų eksportuotojas privalo užtikrinti, kad visos instrukcijos, pateiktos Duomenų importuotojui, atitiktų taikomus duomenų apsaugos įstatymus. Duomenų importuotojas turi apdoroti asmens duomenis tik pagal Duomenų eksportuotojo pateiktas instrukcijas, nebent kitaip reikalauja Europos Sąjunga ar valstybės narės įstatymai (tuo atveju taikoma 1 dalies 3.2 punktas (iv) c punktas).
  2. (ii) Visos kitos instrukcijos, viršijančios šio Pridedamo ar Sutarties instrukcijas, turi būti įtrauktos į šio Pridedamo ir Sutarties temą. Jei įgyvendinimas papildomų instrukcijų sukelia išlaidų Duomenų importuotojui, jis turi informuoti Duomenų eksportuotoją apie tokias išlaidas ir pateikti paaiškinimą prieš įgyvendindamas instrukciją. Tik gavus Duomenų eksportuotojo patvirtinimą dėl šių išlaidų, Duomenų importuotojas įgyvendins papildomas instrukcijas. Duomenų eksportuotojas turi raštu pateikti papildomas instrukcijas, nebent skubumas ar kitos ypatingos aplinkybės reikalauja kitokios formos (pvz., žodžiu, elektroniniu būdu). Instrukcijos kitokia nei rašytinė forma turi būti patvirtintos raštu ir nedelsiant.
  3. 1. Jei Duomenų eksportuotojas gali pats atlikti duomenų koregavimą, ištrynimą ar apribojimą, instrukcijos gali būti susijusios ir su duomenų koregavimu, ištrynimu ar apribojimu, kaip nurodyta 1 dalies 3.3 punkte.
  4. 2. Duomenų importuotojas nedelsiant informuoja Duomenų eksportuotoją, jei mano, kad instrukcija pažeidžia BDAR ar kitus taikomus Europos Sąjungos ar valstybės narės duomenų apsaugos nuostatus („Ginčytina instrukcija“). Jei Duomenų importuotojas mano, kad instrukcija pažeidžia BDAR ar kitus taikomus Europos Sąjungos ar valstybės narės duomenų apsaugos nuostatus, jis nėra įpareigotas vykdyti Ginčytinos instrukcijos. Jei Duomenų eksportuotojas patvirtina Ginčytiną instrukciją gavęs Duomenų importuotojo informaciją ir pripažįsta atsakomybę už ją, Duomenų importuotojas įgyvendins Ginčytiną instrukciją, nebent ji susijusi su (i) techninių ir organizacinių priemonių įgyvendinimu, (ii) duomenų subjektų teisėmis ar (iii) duomenų tvarkytojų įtraukimu. Tokiu atveju Duomenų importuotojas gali susisiekti su kompetentinga priežiūros institucija, kad teisėtai įvertintų ginčytiną instrukciją. Jei priežiūros institucija paskelbia ginčytiną instrukciją teisėtą, Duomenų importuotojas ją įgyvendins. 1 dalies 3.1 punktas (ii) lieka galioti.

 

3.2 Duomenų importuotojo įsipareigojimai

  1. (i) Duomenų importuotojas turi užtikrinti, kad asmenys, įgalioti apdoroti asmens duomenis Duomenų eksportuotojo vardu, ypač darbuotojai ir subrangovų darbuotojai, įsipareigoję laikytis konfidencialumo arba turintys atitinkamą įstatyminį konfidencialumo pareigą, ir kad tokie asmenys, turintys prieigą prie asmens duomenų, juos apdoroja pagal Duomenų eksportuotojo instrukcijas.
  2. (ii) Duomenų importuotojas turi įgyvendinti technines ir organizacines saugumo priemones, kaip nurodyta Priedo 2 2 dalyje, prieš pradėdamas apdoroti asmens duomenis Duomenų eksportuotojo vardu. Duomenų importuotojas gali keisti technines ir organizacines saugumo priemones, jei jos nesumažina apsaugos lygio, nurodyto Priedo 2 2 dalyje.
  3. (iii) Duomenų importuotojas turi pateikti Duomenų eksportuotojui informaciją, įrodančią, kad jis laikosi šio Pridedamo įsipareigojimų, pvz., pateikdamas audito ataskaitą („Audito ataskaita“). Jei teisės aktai reikalauja papildomų audito veiklų, Duomenų eksportuotojas gali prašyti atlikti patikrinimus, kuriuos vykdys pats arba paskirtas nepriklausomas auditorius, pasirašęs konfidencialumo susitarimą su Duomenų importuotoju. Auditas vykdomas pagal šias sąlygas: (i) išankstinis rašytinis Duomenų importuotojo sutikimas; (ii) visas su auditu susijusias išlaidas apmoka Duomenų eksportuotojas. Duomenų eksportuotojas sudaro audito ataskaitą, apimančią rezultatus ir pastebėjimus („Vietinio audito ataskaita“). Vietiniai audito ataskaitos ir audito ataskaitos yra konfidenciali informacija, kuri neturi būti atskleista tretiesiems asmenims, išskyrus atvejus, kai tai reikalaujama taikant duomenų apsaugos įstatymus arba sutikus Duomenų importuotojui.
  4. (iv) Duomenų importuotojas privalo nedelsiant informuoti Duomenų eksportuotoją apie:
    1. a. bet kokį teisėtą prašymą atskleisti asmens duomenis iš teisėsaugos institucijos, nebent tai draudžiama, pvz., baudžiamojo įstatymo, siekiant apsaugoti teisėsaugos tyrimo konfidencialumą;
    2. b. bet kokią skundą ar prašymą, gautą tiesiogiai iš duomenų subjekto (pvz., dėl prieigos, pataisymo, ištrynimo, apdorojimo apribojimo, duomenų perkeliamumo, prieštaravimo duomenų apdorojimui, automatizuoto sprendimo), neatsakant į jį, nebent Duomenų importuotojas yra įgaliotas tai daryti;
    3. c. jei Duomenų importuotojas ar duomenų tvarkytojas pagal Europos Sąjungos ar valstybės narės, kuriai jis priklauso, įstatymus privalo apdoroti asmens duomenis virš Duomenų eksportuotojo instrukcijų, prieš atliekant tokį apdorojimą, nebent įstatymai draudžia tai daryti dėl gyvybinių viešojo intereso priežasčių, ir nurodyti teisės reikalavimą pagal tą įstatymą;
    4. d. jei Duomenų importuotojas įgyvendina duomenų pažeidimą, tik dėl savęs ar subrangovo, kuris gali paveikti Duomenų eksportuotojo duomenis, šiuo atveju Duomenų importuotojas padeda Duomenų eksportuotojui įvykdyti įsipareigojimus pagal BDAR, informuojant duomenų subjektus ir, jei taikoma, priežiūros institucijas, pateikiant turimą informaciją pagal 33 straipsnio 3 dalį.
  5. (v) Duomenų eksportuotojo prašymu, Duomenų importuotojas privalo padėti Duomenų eksportuotojui atlikti duomenų apsaugos poveikio vertinimą pagal BDAR 35 straipsnį ir išankstinę konsultaciją pagal BDAR 36 straipsnį, teikdamas reikalingą informaciją. Duomenų importuotojas įsipareigoja teikti pagalbą tik tada, kai Duomenų eksportuotojas negali to padaryti kitaip. Duomenų eksportuotojas informuoja Duomenų importuotoją apie šios pagalbos kainą. Kai Duomenų eksportuotojas patvirtina, kad gali padengti šias išlaidas, Duomenų importuotojas teikia pagalbą.
  6. (vi) Pasibaigus paslaugų teikimui, Duomenų eksportuotojas gali prašyti grąžinti apdorotus duomenis per vieną mėnesį po paslaugų pabaigos. Nebent teisės aktai reikalauja, kad Duomenų importuotojas saugotų ar išsaugotų tokius duomenis, jis juos ištrina po vieno mėnesio, nepriklausomai nuo to, ar jie buvo grąžinti, ar ne.

 

3.3 Duomenų subjektų teisės

  1.  
    1. (i) Duomenų eksportuotojas tvarko ir atsako į duomenų subjektų pateiktus prašymus. Duomenų importuotojas nėra įpareigotas tiesiogiai atsakyti duomenų subjektams.
    2. (ii) Jei Duomenų eksportuotojas prašo Duomenų importuotojo pagalbos tvarkant ir atsakant į duomenų subjektų prašymus, jis išduoda papildomas instrukcijas pagal 3.1 (ii) punktą 1 dalyje. Duomenų importuotojas padeda Duomenų eksportuotojui taikydamas tinkamas ir technines organizacines priemones, kad atsakytų į duomenų subjektų teisių įgyvendinimo prašymus pagal BDAR III skyrių, kaip nurodyta:
    3. a. Dėl informacijos prašymų, Duomenų importuotojas teikia tik tą informaciją, kurią reikalauja BDAR 13 ir 14 straipsniai, jei Duomenų eksportuotojas pats jos neranda.
    4. b. Dėl prieigos prašymų (BDAR 15 straipsnis), Duomenų importuotojas teikia tik tą informaciją, kuri turėtų būti pateikta duomenų subjektui, jei jis pats jos neranda.
    5. c. Dėl pataisymo (BDAR 16 straipsnis), ištrynimo (BDAR 17 straipsnis), apdorojimo apribojimo (BDAR 18 straipsnis) ar perkeliamumo (BDAR 20 straipsnis) prašymų, ir tik jei Duomenų eksportuotojas pats negali pataisyti, ištrinti, apriboti ar perduoti duomenis kitai šaliai, Duomenų importuotojas siūlo galimybę pataisyti ar ištrinti, apriboti ar perduoti duomenis kitai šaliai, arba jei tai neįmanoma, teikia pagalbą šiuo klausimu.
    6. d. Dėl pranešimo apie pataisymą, ištrynimą ar apdorojimo apribojimą, Duomenų importuotojas padeda Duomenų eksportuotojui pranešdami visiems duomenų gavėjams, jei to prašo Duomenų eksportuotojas, ir jei jis pats negali to padaryti.
    7. e. Dėl duomenų subjekto teisės prieštarauti (BDAR 21 ir 22 straipsniai), Duomenų eksportuotojas nuspręs, ar prieštaravimas yra teisėtas ir kaip su juo elgtis.
    8. (iii) Duomenų importuotojo pagalbos įsipareigojimai apima tik duomenis, apdorojamus jo infrastruktūroje (pvz., duomenų bazės, sistemos, programėlės, priklausančios ar teikiamos Duomenų importuotojo).
    9. (iv) Duomenų eksportuotojas nuspręs, ar duomenų subjektas gali naudotis savo teisėmis pagal 3.1 punktą 1 dalyje, ir informuos Duomenų importuotoją, kiek pagalba yra reikalinga.
    10. (v) Jei Duomenų eksportuotojas prašo papildomų ar pakeistų techninių ir organizacinių priemonių, kad įgyvendintų duomenų subjektų teises, viršijančias pagalbą pagal 3.3 (ii), (iii) punktus, jis informuoja Duomenų importuotoją apie jų įgyvendinimo kainą. Kai Duomenų eksportuotojas patvirtina galintis padengti šias išlaidas, Duomenų importuotojas jas įgyvendina.
    11. (vi) Be to, Duomenų eksportuotojas privalo atlyginti Duomenų importuotojo pagrįstas išlaidas, susijusias su duomenų subjektų prašymų vykdymu.

 

3.4 Subrangovų naudojimas

  1.  
    1. (i) Duomenų eksportuotojas leidžia Duomenų importuotojui naudoti subrangovus paslaugoms teikti pagal šį Pridedamą. Duomenų importuotojas kruopščiai atrenka tokius duomenų tvarkytojus. Duomenų eksportuotojas patvirtina sąrašą, pateiktą Priedo 1.1 pabaigoje 2 dalies.
    2. (ii) Duomenų importuotojas perduoda savo įsipareigojimus pagal šį Pridedamą duomenų tvarkytojui (-ams), kiek tai taikoma subrangovų paslaugoms.
    3. (iii) Duomenų importuotojas gali atleisti, pakeisti ar paskirti kitą patikimą duomenų tvarkytoją (-us). Jei Duomenų eksportuotojas raštu to prašo, Duomenų importuotojas privalo laikytis žemiau nurodytos procedūros:
  2.  
    1. a. Duomenų importuotojas turi informuoti Duomenų eksportuotoją prieš bet kokius pakeitimus, susijusius su duomenų tvarkytojų sąrašu, nurodytu 3.4 punktu 1 dalyje. Jei per trisdešimt dienų nuo pranešimo Duomenų eksportuotojas nesutinka, papildomi duomenų tvarkytojai laikomi priimtais.
    2. b. Jei Duomenų eksportuotojas turi teisėtą prieštaravimą dėl papildomo duomenų tvarkytojo, jis raštu apie tai praneša per trisdešimt dienų nuo pranešimo gavimo ir prieš paslaugos pradžią. Jei prieštarauja, Duomenų importuotojas gali atmesti prašymą naudoti papildomą tvarkytoją, pasirinkdamas vieną iš šių būdų: (A) atšaukti planus naudoti papildomą tvarkytoją; (B) įgyvendinti Duomenų eksportuotojo prašytus pataisymus ir naudoti papildomą tvarkytoją; (C) sustabdyti paslaugą arba sutikti, kad ji nebūtų naudojama, jei tai susiję su papildomu duomenų tvarkytoju.
  3.  
    1. (iv) Jei duomenų tvarkytojas yra už ES/EEE ribų ir nėra pripažintas kaip pakankamai saugus pagal Europos Komisijos sprendimą, Duomenų importuotojas imsis priemonių užtikrinti pakankamą duomenų apsaugos lygį pagal BDAR (pvz., naudodamas duomenų tvarkymo sutarčių standartines sąlygas, pervedimus į savanoriškai sertifikuotus duomenų tvarkytojus pagal ES-JAV Duomenų apsaugos apsaugos rėmą, ar panašias programas).

 

3.5 Pasibaigimas

Šio Pridedamo pasibaigimo data sutampa su atitinkamos Sutarties pasibaigimo data. Nebent šiame Pridedamame nurodyta kitaip, teisės ir pareigos dėl nutraukimo yra tokios pačios kaip ir Sutartyje.

 

4. Atsakomybės apribojimas

4.1 Kiekviena šalis atsako už savo įsipareigojimus pagal šį Pridedamą ir taikomus duomenų apsaugos įstatymus.

4.2 Bet kokia atsakomybė už pažeidimą pagal šį Pridedamą ar taikomus duomenų apsaugos įstatymus yra reglamentuojama ir taikoma pagal Sutartyje nustatytas ar taikomas atsakomybės nuostatas, išskyrus atvejus, kai šiame Pridedamame nurodyta kitaip. Jei atsakomybė reglamentuojama pagal Sutartyje nustatytas ar taikomas nuostatas, bet kokia atsakomybė pagal šį Pridedamą laikoma atsakomybe pagal Sutartį, įskaitant ribojimus ir išimtis.

 

5. Bendrosios nuostatos

5.1 Jei yra prieštaravimų tarp 1 ir 2 šio Pridedamo dalių, pirmenybė teikiama 2 daliai. Net ir tokiu atveju, 1 dalis, kuri papildo 2 dalį (t. y. Standartinių sutarčių sąlygų nuostatos), bet nesutampa, lieka galiojanti.

5.2 Jei yra prieštaravimų tarp šio Pridedamo ir kitų šalių sudarytų sutarčių, šis Pridedamas turi pirmenybę duomenų apsaugos įsipareigojimų srityje. Jei kyla abejonių, ar kitų sutarčių nuostatos susijusios su duomenų apsauga, pirmenybė teikiama šiam Pridedamui.

5.3 Jei kuri nors šio Pridedamo nuostata yra negaliojanti ar neįgyvendinama, likusios nuostatos lieka galiojančios. Negaliojanti ar neįgyvendinama nuostata bus pakeista arba aiškinama taip, kad ji būtų galiojanti ir įgyvendinama, išlaikant šalių ketinimus, arba, jei tai neįmanoma, laikoma, kad ji niekada nebuvo dalis sutarties. Tai galioja ir tais atvejais, kai šiame Pridedamame yra praleidimas.

5.5 Jei reikia, Šalys gali prašyti pakeisti 1 dalies 3 punktą (Vietinių įstatymų laikymasis) ar kitus šio Pridedamo skyrius, kad atitiktų teisės aktų, direktyvų ar įsakymų, išduotų kompetentingų institucijų, nurodymus ar kitus teisės pokyčius, susijusius su BDAR ar duomenų tvarkymo delegavimu. Standartinių sutarčių sąlygų pakeitimas ar keitimas galimas tik su Europos Komisijos išankstiniu sutikimu (pvz., naujomis pakankamomis nuostatomis ar duomenų apsaugos standartais).

5.6 Bet koks nuoroda šiame Pridedamame į „Nuostatos“ reiškia visas šio Pridedamo nuostatas, nebent nurodyta kitaip.

5.7 Teisės pasirinkimas 2 dalies 9 punkte taikomas visam sutarčiai.

 

6. Asmens duomenys, perduodami ir apdorojami šalių asmeninėms reikmėms (perdavimas iš duomenų valdytojo duomenų valdytojui)

6.1 Šalys visiškai žino, kad tam tikri asmens duomenys bus perduoti iš Duomenų eksportuotojo į Duomenų importuotoją ir atvirkščiai, ir kad tokie duomenys yra apdorojami kiekvienos šalies savo reikmėms. Dėl tokių asmens duomenų tai neturi įtakos kitoms šio Pridedamo nuostatoms (išskyrus šį 6 punktą).

6.2 Duomenų eksportuotojas gali perduoti asmens duomenis, susijusius su Duomenų importuotojo darbuotojais, įskaitant saugumo incidentų informaciją ar kitus dokumentus ar failus, sukurtus ar sudarytus Duomenų eksportuotojo, susijusiu su Duomenų importuotojo darbuotojų teikiamomis paslaugomis. Duomenų importuotojas gali apdoroti tokius duomenis savo reikmėms, ypač profesinėse santykiuose su Duomenų importuotojo personalu, kokybės kontrolės ir mokymo tikslais ar verslo reikmėms.

6.3 Duomenų importuotojas gali perduoti asmens duomenis, įskaitant Duomenų importuotojo darbuotojų vardą ir kontaktinius duomenis, Duomenų eksportuotojui. Duomenų eksportuotojas gali juos apdoroti savo reikmėms.

6.4 Abi šalys turi laikytis taikomų duomenų apsaugos įstatymų, įskaitant BDAR, renkant, apdorojant ir naudojant tokius duomenis, gautus iš kitos šalies pagal 1 punktą. Ypač abi šalys turi taikyti tinkamas saugumo priemones, užtikrinančias panašų apsaugos lygį kaip ir Priedo 2 2 dalyje nurodytos priemonės. Prieiga prie tokių duomenų turi būti ribojama pagal poreikį.

6.5 Abi šalys turi kuo greičiau ištrinti tokius duomenis, kai tik tikslai bus pasiekti.

2 dalis

 

PRANEŠIMAS IŠ KOMISIJOS

2010 m. vasario 5 d.

Standartinės sutarčių sąlygos asmens duomenų perdavimui trečiųjų šalių duomenų tvarkytojams pagal 95/46/EB direktyvą

 

 

 

1 punktas

Apibrėžimai

Šių nuostatų prasme:

a) „asmens duomenys“, „specialiosios duomenų kategorijos“, „apdorojimas“, „duomenų valdytojas“, „duomenų tvarkytojas“, „duomenų subjektas“ ir „priežiūros institucija“ turi tą patį reikšmę kaip ir 95/46/EB direktyvos 24 spalio 1995 d. nuostatos dėl asmenų apsaugos ir laisvo jų duomenų judėjimo;

b) „Duomenų eksportuotojas“ – duomenų valdytojas, perduodantis asmens duomenis;

c) „Duomenų importuotojas“ – duomenų tvarkytojas, kuris sutinka gauti iš Duomenų eksportuotojo asmens duomenis, skirtus apdoroti jo vardu po perdavimo, vadovaudamasis šių nuostatų sąlygomis, ir kuris nėra taikomas trečiosios šalies mechanizmui, užtikrinančiam pakankamą apsaugą pagal 95/46/EB direktyvos 25 straipsnio 1 dalį; (d) „duomenų tvarkytojas“ – duomenų tvarkytojas, įtrauktas pagal Duomenų importuotoją arba kitą Duomenų importuotojo duomenų tvarkytoją, kuris sutinka gauti iš Duomenų importuotojo ar kito Duomenų importuotojo asmens duomenis tik apdorojimo veikloms, vykdomoms jo vardu po perdavimo, vadovaudamasis Duomenų eksportuotojo instrukcijomis, pagal šių nuostatų sąlygas ir rašytinį duomenų tvarkymo sutarties subrangos susitarimą;

e) „taikomi duomenų apsaugos įstatymai“ – įstatymai, ginantys pagrindines asmenų teises ir laisves, įskaitant teisę į privatumą, susijusią su asmens duomenų apdorojimu, ir taikomi valdytojui, kur jis įsteigtas pagal valstybės narės įstatymus;

f) „techninės ir organizacinės saugumo priemonės“ – priemonės, skirtos apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo ar atsitiktinio praradimo, pakeitimo, neleistino atskleidimo ar prieigos, ypač kai apdorojimas apima duomenų perdavimą per tinklus, ir nuo kitų neteisėtų apdorojimo formų.

2 punktas

Perdavimo detalės

Perdavimo detalės, įskaitant, jei taikoma, specialias asmens duomenų kategorijas, yra nurodytos Priedo 1, kuris yra šių nuostatų neatskiriama dalis.

3 punktas

Trečiųjų šalių naudotojų nuostata

1. Duomenų subjektas gali įgyvendinti šį Nuostatą, 4(b) iki (i), 5(a) iki (e) ir (g) iki (j), 6(1) ir (2), 7, 8(2) ir 9–12 punktus kaip trečiosios šalies naudotojas prieš Duomenų eksportuotoją.

2. Duomenų subjektas gali įgyvendinti šį Nuostatą, 5(a) iki (e) ir (g), 6, 7, 8(2) ir 9–12 punktus prieš Duomenų importuotoją, jei Duomenų eksportuotojas fiziškai išnyko arba nebeegzistuoja pagal įstatymą, nebent visi jo teisiniai įsipareigojimai buvo perleisti įpėdiniui ar kitai įmonei, kuri įgyja teises ir pareigas, ir prieš kurį duomenų subjektas gali įgyvendinti šiuos nuostatus.

Ši atsakomybė turi būti ribojama iki savo veiklos pagal šias nuostatas.

4. Šalys nesutinka, kad duomenų subjektą atstovautų asociacija ar kita organizacija, jei jis to nori ir jei nacionaliniai įstatymai tai leidžia.

4 punktas

Duomenų eksportuotojo įsipareigojimai

Duomenų eksportuotojas priima ir garantuoja, kad:

a) apdorojimas, įskaitant asmens duomenų perdavimą, buvo ir bus vykdomas pagal taikomus duomenų apsaugos įstatymus (ir, jei taikoma, buvo pranešta kompetentingoms institucijoms toje valstybėje narėje, kur jis įsteigtas) ir nesukelia pažeidimų;

b) jis nurodė ir nurodys visą apdorojimo paslaugų laikotarpiu, kad Duomenų importuotojas apdorotų perduotus asmens duomenis tik Duomenų eksportuotojo vardu ir pagal taikomus duomenų apsaugos įstatymus bei šias nuostatas;

c) Duomenų importuotojas teiks pakankamas apsaugos priemones, kaip nurodyta Priedo 2 2 dalyje;

d) įvertinęs taikomų duomenų apsaugos įstatymų reikalavimus, saugumo priemonės yra pakankamos apsaugoti duomenis nuo atsitiktinio ar neteisėto sunaikinimo ar praradimo, pakeitimo, neleistino atskleidimo ar prieigos, ypač kai apdorojimas apima duomenų perdavimą per tinklą, ir užtikrina tinkamą saugumo lygį, atsižvelgiant į apdorojimo riziką ir duomenų pobūdį;

e) jie užtikrins saugumo priemonių laikymąsi;

f) jei perdavimas susijęs su specialių kategorijų duomenimis, duomenų subjektas buvo informuotas arba bus informuotas prieš perdavimą, kad jo duomenys gali būti perduoti trečiajai šaliai, kuri nesuteikia pakankamos apsaugos pagal 95/46/EB direktyvą;

g) jie perduos bet kokius pranešimus, gautus iš Duomenų importuotojo ar duomenų tvarkytojo pagal 5(b) ir 8(3) punktus, duomenų apsaugos priežiūros institucijai, jei nuspręs tęsti perdavimą ar atšaukti sustabdymą;

h) jie suteiks duomenų subjektams, jei jie to pageidauja, kopiją šių Nuostatų, išskyrus Priedą 2, ir trumpą saugumo priemonių aprašymą, ir bet kokią papildomą subrangovų sutartį, sudarytą pagal šias nuostatas, nebent nuostatos ar sutartis turi komercinę informaciją, kurią galima atskirti;

i) jei vykdoma subrangovų duomenų apdorojimo paslauga, veikla vykdoma pagal 11 punktą ir duomenų tvarkytojas užtikrina bent tokį patį duomenų apsaugos lygį kaip ir Duomenų importuotojas;

j) jis užtikrina, kad laikomasi 4 punktų (a)–(i).

5 punktas

Duomenų importuotojo įsipareigojimai

Duomenų importuotojas prisiima ir garantuoja, kad:

a) apdoroja asmens duomenis tik Duomenų eksportuotojo vardu ir pagal jo instrukcijas, ir jei dėl kokių nors priežasčių negali to daryti, nedelsiant informuoja Duomenų eksportuotoją, kuris gali sustabdyti duomenų perdavimą arba nutraukti sutartį;

b) neturi pagrindo manyti, kad taikomi įstatymai trukdo įgyvendinti Duomenų eksportuotojo instrukcijas ir įsipareigojimus pagal sutartį, ir jei įstatymai pasikeičia ir tai gali turėti reikšmingą neigiamą poveikį garantijoms ir įsipareigojimams, jis nedelsiant apie tai praneša Duomenų eksportuotojui, ir šiuo atveju jis gali sustabdyti duomenų perdavimą arba nutraukti sutartį;

d) įgyvendina technines ir organizacines saugumo priemones, kaip nurodyta Priedo 2 2 dalyje, prieš pradėdamas apdoroti duomenis;

e) nedelsiant praneša Duomenų eksportuotojui apie:

i) bet kokį teisėtą prašymą atskleisti duomenis iš teisėsaugos institucijos, nebent tai draudžiama, pvz., baudžiamojo įstatymo, siekiant išsaugoti tyrimo konfidencialumą;

ii) bet kokį neteisėtą ar neleistiną prieigą;

iii) bet kokį tiesioginį prašymą iš duomenų subjektų, neatsakant į jį, nebent jis yra įgaliotas tai daryti;

f) operatyviai ir tinkamai tvarko visus Duomenų eksportuotojo užklausimus dėl apdorojimo ir veikia pagal priežiūros institucijos nuomonę;

g) atlieka auditą pagal Duomenų eksportuotojo užsakymą ar nepriklausomą auditorių grupę, pasirašiusią konfidencialumo susitarimą, ir pateikia duomenų subjektui kopiją šių nuostatų ar bet kokios subrangovų sutarties, išskyrus komercinę informaciją;

h) informuoja Duomenų eksportuotoją iš anksto ir gauna jo rašytinį sutikimą dėl konfidencialių subrangovų, kurie vykdo duomenų apdorojimą;

i) užtikrina, kad duomenų tvarkymo paslaugos atitiktų 11 punktą;

j) nedelsiant siunčia kopiją bet kokios subrangos sutarties, sudarytos pagal šias nuostatas.

6 punktas

Atsakomybė

1. Šalys sutaria, kad bet kuris duomenų subjektas, patyręs žalą dėl pažeidimo pagal 3 ar 11 punktus, gali reikalauti kompensacijos iš Duomenų eksportuotojo.

2. Jei duomenų subjektas negali pareikšti ieškinio dėl žalos pagal 1 punktą prieš Duomenų eksportuotoją, nes Duomenų importuotojas ar jo duomenų tvarkytojas nesilaikė įsipareigojimų pagal 3 ar 11 punktus, nes Duomenų eksportuotojas fiziškai išnyko ar nebeegzistuoja, duomenų subjektas gali pareikšti pretenziją prieš jį kaip prieš Duomenų eksportuotoją, nebent visi jo teisiniai įsipareigojimai buvo perleisti įpėdiniui ar kitai įmonei, kuri įgyja teises ir pareigas, ir prieš kurią duomenų subjektas gali įgyvendinti savo teises. Duomenų importuotojas negali remtis duomenų tvarkytojo pažeidimu, kad išvengtų savo atsakomybės.

3. Jei duomenų subjektas negali pareikšti ieškinio prieš Duomenų eksportuotoją ar importuotoją dėl duomenų tvarkytojo pažeidimo, nes šios šalys fiziškai išnyko ar nebeegzistuoja, duomenų tvarkytojas sutinka, kad duomenų subjektas gali pareikšti pretenziją dėl savo veiklos pagal šias nuostatas, kaip ir prieš Duomenų eksportuotoją ar importuotoją, ir jo atsakomybė yra ribojama iki savo veiklos pagal šias nuostatas.

 

 

7 punktas

Tarpusavio ginčų sprendimas ir jurisdikcija

1. Duomenų importuotojas sutinka, kad jei pagal šias nuostatas duomenų subjektas pareikš teisę trečiosios šalies naudotojo naudai ir/ar reikalauja kompensacijos už patirtą žalą, jis priims duomenų subjekto sprendimą:

a) perduoti ginčą tarpininkui ar, jei taikoma, priežiūros institucijai;

b) spręsti ginčą teisme toje valstybėje narėje, kur yra Duomenų eksportuotojas.

2. Šalys sutaria, kad duomenų subjekto pasirinkimas neturi įtakos jo teisėms gauti teisinę apsaugą pagal kitus nacionalinius ar tarptautinius įstatymus.

8 punktas

Bendradarbiavimas su priežiūros institucijomis

1. Duomenų eksportuotojas sutinka pateikti kopiją šioje sutartyje, jei to reikalauja priežiūros institucija arba jei taikomi įstatymai tai numato.

2. Šalys sutaria, kad priežiūros institucija gali atlikti patikrinimus Duomenų importuotojo ir bet kurio duomenų tvarkytojo atžvilgiu tokiomis pačiomis sąlygomis kaip ir patikrinimus Duomenų eksportuotojo atžvilgiu, pagal taikomus duomenų apsaugos įstatymus.

3. Duomenų importuotojas nedelsiant informuos Duomenų eksportuotoją apie bet kokią teisės aktų, susijusių su Duomenų importuotoju ar bet kuriuo duomenų tvarkytoju, galiojimą, kuris trukdo patikrinti jų veiklą pagal 2 punktą. Tokiu atveju Duomenų eksportuotojas gali imtis priemonių pagal 5 punktą (b).

9 punktas

Taikytina teisė

Nuostatos taikomos ir yra reglamentuojamos pagal teisę valstybės narės, kurioje yra Duomenų eksportuotojas.

10 punktas

Sutarties keitimas

Šalys įsipareigoja ne keisti šių nuostatų. Jos gali įtraukti kitų komercinių nuostatų, kurios jų manymu, yra būtinos, jei jos nesutampa su šiomis nuostatomis.

11 punktas

Papildomas subrangovų naudojimas

1. Duomenų importuotojas neturi sudaryti jokių savo apdorojimo veiklų, vykdomų jo vardu pagal šias nuostatas, be išankstinio rašytinio Duomenų eksportuotojo sutikimo. Duomenų importuotojas gali subrangovus naudoti tik pagal rašytinį susitarimą su Duomenų eksportuotoju, kuris nustato tas pačias įsipareigojimų sąlygas kaip ir šios nuostatos. Jei duomenų tvarkytojas negali įvykdyti savo įsipareigojimų pagal šį rašytinį susitarimą, jis lieka visiškai atsakingas Duomenų eksportuotojui.

  • 2. Rašytinis susitarimas tarp Duomenų importuotojo ir duomenų tvarkytojo turi apimti trečiosios šalies naudotojo nuostatą, kaip nurodyta 3 punkte, kai duomenų subjektas negali pareikšti ieškinio dėl žalos, kaip nurodyta 6 punkte, nes Duomenų eksportuotojas ar importuotojas fiziškai išnyko ar nebeegzistuoja, ir visi teisiniai įsipareigojimai nebuvo perleisti įpėdiniui ar kitai įmonei, kuri įgyja teises ir pareigas, ir prieš kurią duomenų subjektas gali įgyvendinti savo teises. Atsakomybė turi būti ribojama iki savo veiklos pagal šias nuostatas.
  • 3. Duomenų apsaugos aspektų nuostatos dėl subrangovų, vykdančių duomenų apdorojimą pagal šį sutarties 1 punktą, yra taikomos pagal teisę valstybės, kurioje yra įsteigtas Duomenų eksportuotojas.
  • 4. Duomenų eksportuotojas turi sudaryti sąrašą subrangovų, kurie sudaro sutartis pagal šį Pridedamą, ir jį atnaujinti bent kartą per metus. Šis sąrašas turi būti pateiktas Duomenų eksportuotojo duomenų apsaugos priežiūros institucijai.
  •  
    1. 12 punktas
    2. Įsipareigojimai po duomenų apdorojimo paslaugų pabaigos
    3. 1. Šalys sutaria, kad pasibaigus duomenų apdorojimo paslaugoms, Duomenų importuotojas ir duomenų tvarkytojas, pagal Duomenų eksportuotojo pageidavimą, grąžins visus perduotus duomenis ir jų kopijas arba sunaikins juos ir pateiks įrodymus apie sunaikinimą, nebent teisės aktai draudžia grąžinti ar sunaikinti duomenis. Tokiu atveju Duomenų importuotojas užtikrins duomenų konfidencialumą ir jų nebesinaudos.
    4. 2. Duomenų importuotojas ir duomenų tvarkytojas užtikrins, kad, jei to paprašys Duomenų eksportuotojas ar priežiūros institucija, jie patikrins savo duomenų apdorojimo priemones, kaip nurodyta 1 punkte.