EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32021D0915
Commission Implementing Decision (EU) 2021/915 of 4 June 2021 on standard contractual clauses between controllers and processors under Article 28(7) of Regulation (EU) 2016/679 of the European Parliament and of the Council and Article 29(7) of Regulation (EU) 2018/1725 of the European Parliament and of the Council (Text with EEA relevance)
Vykonávacie rozhodnutie Komisie (EÚ) 2021/915 zo 4. júna 2021 o štandardných zmluvných doložkách medzi prevádzkovateľmi a sprostredkovateľmi podľa článku 28 ods. 7 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 a článku 29 ods. 7 nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1725 (Text s významom pre EHP)
Vykonávacie rozhodnutie Komisie (EÚ) 2021/915 zo 4. júna 2021 o štandardných zmluvných doložkách medzi prevádzkovateľmi a sprostredkovateľmi podľa článku 28 ods. 7 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 a článku 29 ods. 7 nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1725 (Text s významom pre EHP)
C/2021/3701
Ú. v. EÚ L 199, 7.6.2021, p. 18–30
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
7.6.2021 |
SK |
Úradný vestník Európskej únie |
L 199/18 |
VYKONÁVACIE ROZHODNUTIE KOMISIE (EÚ) 2021/915
zo 4. júna 2021
o štandardných zmluvných doložkách medzi prevádzkovateľmi a sprostredkovateľmi podľa článku 28 ods. 7 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 a článku 29 ods. 7 nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1725
(Text s významom pre EHP)
EURÓPSKA KOMISIA,
so zreteľom na Zmluvu o fungovaní Európskej únie,
so zreteľom na nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (1), a najmä na jeho článok 28 ods. 7,
so zreteľom na nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1725 z 23. októbra 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES (2), a najmä na jeho článok 29 ods. 7,
keďže:
|
(1) |
pojmy prevádzkovateľ a sprostredkovateľ zohrávajú zásadnú úlohu pri uplatňovaní nariadenia (EÚ) 2016/679 a nariadenia (EÚ) 2018/1725. Prevádzkovateľ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov. Na účely nariadenia (EÚ) 2018/1725 je prevádzkovateľ inštitúcia alebo orgán Únie, alebo generálne riaditeľstvo alebo akákoľvek iná organizačná zložka, ktorá sama alebo spoločne s ostatnými určuje účely a prostriedky spracúvania osobných údajov. V prípade, že sa účely a prostriedky tohto spracúvania stanovujú v konkrétnom akte Únie, prevádzkovateľ alebo konkrétne kritériá jeho menovania môžu byť stanovené Úniou. Sprostredkovateľ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa. |
|
(2) |
Rovnaký súbor štandardných zmluvných doložiek by sa mal uplatňovať v súvislosti so vzťahom medzi prevádzkovateľmi a sprostredkovateľmi, na ktorých sa vzťahuje nariadenie (EÚ) 2016/679, ako aj v prípadoch, keď sa na nich vzťahuje nariadenie (EÚ) 2018/1725. Dôvodom je, že v záujme jednotného prístupu k ochrane osobných údajov v celej Únii a k voľnému pohybu osobných údajov v Únii boli v čo najväčšej možnej miere vzájomne zosúladené pravidlá ochrany údajov stanovené v nariadení (EÚ) 2016/679, ktoré sa vzťahujú na verejný sektor v členských štátoch, a pravidlá ochrany údajov stanovené v nariadení (EÚ) 2018/1725, ktoré sa vzťahujú na inštitúcie, orgány, úrady a agentúry Únie. |
|
(3) |
S cieľom zabezpečiť súlad s požiadavkami nariadení (EÚ) 2016/679 a (EÚ) 2018/1725 by mal prevádzkovateľ pri poverovaní sprostredkovateľa spracovateľskými činnosťami využívať len takých sprostredkovateľov, ktorí poskytujú dostatočné záruky, najmä pokiaľ ide o odborné znalosti, spoľahlivosť a zdroje, na to, že prijmú technické a organizačné opatrenia, ktoré budú spĺňať požiadavky nariadenia (EÚ) 2016/679 a nariadenia (EÚ) 2018/1725, vrátane požiadavky na bezpečnosť spracúvania. |
|
(4) |
Spracúvanie sprostredkovateľom sa má riadiť zmluvou alebo iným právnym aktom podľa práva Únie alebo práva členského štátu, ktoré zaväzuje sprostredkovateľa voči prevádzkovateľovi a ktorým sa stanovujú prvky uvedené v článku 28 ods. 3 a 4 nariadenia (EÚ) 2016/679 alebo v článku 29 ods. 3 a 4 nariadenia (EÚ) 2018/1725. Uvedená zmluva alebo akt sa vypracujú v písomnej podobe vrátane elektronickej podoby. |
|
(5) |
V súlade s článkom 28 ods. 6 nariadenia (EÚ) 2016/679 a článkom 29 ods. 6 nariadenia (EÚ) 2018/1725 sa prevádzkovateľ a sprostredkovateľ môžu rozhodnúť, že použijú individuálnu zmluvu obsahujúcu povinné prvky jednotlivo stanovené v článku 28 ods. 3 a 4 nariadenia (EÚ) 2016/679 alebo v článku 29 ods. 3 a 4 nariadenia (EÚ) 2018/1725, alebo úplne alebo čiastočne použijú štandardné zmluvné doložky prijaté Komisiou podľa článku 28 ods. 7 nariadenia (EÚ) 2016/679 a článku 29 ods. 7 nariadenia (EÚ) 2018/1725. |
|
(6) |
Prevádzkovateľ a sprostredkovateľ by mali mať možnosť zahrnúť štandardné zmluvné doložky stanovené v tomto rozhodnutí do širšej zmluvy a pridať ďalšie doložky alebo dodatočné záruky, pokiaľ nie sú priamo alebo nepriamo v rozpore so štandardnými zmluvnými doložkami alebo pokiaľ sa nedotýkajú základných práv alebo slobôd dotknutých osôb. Uplatňovaním štandardných zmluvných doložiek nie sú dotknuté zmluvné povinnosti prevádzkovateľa a/alebo sprostredkovateľa zabezpečiť dodržiavanie príslušných výsad a imunít. |
|
(7) |
Štandardné zmluvné doložky by mali zahŕňať hmotnoprávne aj procesnoprávne pravidlá. V súlade s článkom 28 ods. 3 nariadenia (EÚ) 2016/679 a článkom 29 ods. 3 nariadenia (EÚ) 2018/1725 by sa v štandardných zmluvných doložkách malo od prevádzkovateľa a sprostredkovateľa tiež vyžadovať, aby stanovili predmet a obdobie spracúvania, jeho povahu a účel, typ príslušných osobných údajov, kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa. |
|
(8) |
Podľa článku 28 ods. 3 nariadenia (EÚ) 2016/679 a podľa článku 29 ods. 3 nariadenia (EÚ) 2018/1725 musí sprostredkovateľ bezodkladne informovať prevádzkovateľa, ak sa podľa jeho názoru pokynom prevádzkovateľa porušuje nariadenie (EÚ) 2016/679, nariadenie (EÚ) 2018/1725 alebo iné právne predpisy Únie alebo členského štátu týkajúce sa ochrany údajov. |
|
(9) |
Ak sprostredkovateľ zapojí do vykonávania osobitných činností ďalšieho sprostredkovateľa, mali by sa uplatňovať osobitné požiadavky uvedené v článku 28 ods. 2 a 4 nariadenia (EÚ) 2016/679 alebo v článku 29 ods. 2 a 4 nariadenia (EÚ) 2018/1725. Vyžaduje sa najmä predchádzajúce osobitné alebo všeobecné písomné povolenie. Bez ohľadu na to, či je toto predchádzajúce povolenie osobitné alebo všeobecné, prvý sprostredkovateľ by mal pravidelne aktualizovať zoznam ďalších sprostredkovateľov. |
|
(10) |
S cieľom splniť požiadavky článku 46 ods. 1 nariadenia (EÚ) 2016/679 Komisia prijala štandardné zmluvné doložky podľa článku 46 ods. 2 písm. c) nariadenia (EÚ) 2016/679. Uvedené doložky spĺňajú aj požiadavky článku 28 ods. 3 a 4 nariadenia (EÚ) 2016/679, pokiaľ ide o prenos údajov od prevádzkovateľov podliehajúcich nariadeniu (EÚ) 2016/679 sprostredkovateľom mimo územného rozsahu pôsobnosti uvedeného nariadenia alebo od sprostredkovateľov podliehajúcich nariadeniu (EÚ) 2016/679 ďalším sprostredkovateľom mimo územného rozsahu pôsobnosti uvedeného nariadenia. Tieto štandardné zmluvné doložky nemôžu byť použité ako štandardné zmluvné doložky na účely kapitoly V nariadenia (EÚ) 2016/679. |
|
(11) |
Tretie strany by mali mať možnosť stať sa zmluvnou stranou štandardných zmluvných doložiek počas celého životného cyklu zmluvy. |
|
(12) |
Fungovanie štandardných zmluvných doložiek by sa malo hodnotiť v rámci podčasti pravidelného hodnotenia nariadenia (EÚ) 2016/679 podľa článku 97 uvedeného nariadenia. |
|
(13) |
V súlade s článkom 42 ods. 1 a 2 nariadenia (EÚ) 2018/1725 sa uskutočnili konzultácie s európskym dozorným úradníkom pre ochranu údajov a Európskym výborom pre ochranu údajov, ktorí 14. januára 2021 vydali spoločné stanovisko (3), ktoré bolo pri príprave tohto rozhodnutia zohľadnené. |
|
(14) |
Opatrenia stanovené v tomto rozhodnutí sú v súlade so stanoviskom výboru zriadeného podľa článku 93 nariadenia (EÚ) 2016/679 a článku 96 ods. 2 nariadenia (EÚ) 2018/1725. |
PRIJALA TOTO ROZHODNUTIE:
Článok 1
Štandardné zmluvné doložky stanovené v prílohe spĺňajú požiadavky na zmluvy medzi prevádzkovateľmi a sprostredkovateľmi stanovené v článku 28 ods. 3 a 4 nariadenia (EÚ) 2016/679 a článku 29 ods. 3 a 4 nariadenia (EÚ) 2018/1725.
Článok 2
Štandardné zmluvné doložky stanovené v prílohe sa môžu použiť v prípade zmlúv medzi prevádzkovateľom a sprostredkovateľom, ktorý spracúva osobné údaje v mene prevádzkovateľa.
Článok 3
V rámci pravidelného hodnotenia podľa článku 97 nariadenia (EÚ) 2016/679 Komisia hodnotí praktické uplatňovanie štandardných zmluvných doložiek stanovených v prílohe na základe všetkých dostupných informácií.
Článok 4
Toto rozhodnutie nadobúda účinnosť dvadsiatym dňom po jeho uverejnení v Úradnom vestníku Európskej únie.
V Bruseli 4. júna 2021
Za Komisiu
predsedníčka
Ursula VON DER LEYEN
(1) Ú. v. EÚ L 119, 4.5.2016, s. 1.
(2) Ú. v. EÚ L 295, 21.11.2018, s. 39.
(3) Spoločné stanovisko EDPB – EDPS 1/2021 k vykonávaciemu rozhodnutiu Európskej komisie o štandardných zmluvných doložkách medzi prevádzkovateľmi a sprostredkovateľmi pre záležitosti uvedené v článku 28 ods. 7 nariadenia (EÚ) 2016/679 a článku 29 ods. 7 nariadenia (EÚ) 2018/1725.
PRÍLOHA
Štandardné zmluvné doložky
ODDIEL I
Doložka 1
Účel a rozsah pôsobnosti
|
a) |
Účelom týchto štandardných zmluvných doložiek (ďalej len „doložky“) je zabezpečiť súlad s [vyberte príslušnú možnosť – MOŽNOSŤ 1: článkom 28 ods. 3 a 4 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)]/[MOŽNOSŤ 2: článkom 29 ods. 3 a 4 nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1725 z 23. októbra 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES]. |
|
b) |
Prevádzkovatelia a sprostredkovatelia uvedení v prílohe I súhlasili s týmito doložkami s cieľom zabezpečiť súlad s článkom 28 ods. 3 a 4 nariadenia (EÚ) 2016/679 a/alebo s článkom 29 ods. 3 a 4 nariadenia (EÚ) 2018/1725. |
|
c) |
Tieto doložky sa vzťahujú na spracúvanie osobných údajov, ako sa uvádza v prílohe II. |
|
d) |
Prílohy I až IV sú neoddeliteľnou súčasťou doložiek. |
|
e) |
Týmito doložkami nie sú dotknuté povinnosti, ktoré sa vzťahujú na prevádzkovateľa podľa nariadenia (EÚ) 2016/679 a/alebo nariadenia (EÚ) 2018/1725. |
|
f) |
Tieto doložky samy osebe nezabezpečujú dodržiavanie povinností týkajúcich sa medzinárodných prenosov v súlade s kapitolou V nariadenia (EÚ) 2016/679 a/alebo nariadenia (EÚ) 2018/1725. |
Doložka 2
Nemennosť doložiek
|
a) |
Zmluvné strany sa zaväzujú, že neupravia doložky s výnimkou doplnenia alebo aktualizácie informácií v prílohách. |
|
b) |
To zmluvným stranám nebráni v tom, aby zahrnuli štandardné zmluvné doložky uvedené v tomto rozhodnutí do širšej zmluvy alebo aby doplnili iné doložky alebo dodatočné záruky za predpokladu, že nie sú priamo ani nepriamo v rozpore s doložkami ani neobmedzujú základné práva alebo slobody dotknutých osôb. |
Doložka 3
Výklad
|
a) |
Ak sa v týchto doložkách používajú pojmy vymedzené v nariadení (EÚ) 2016/679 alebo v nariadení (EÚ) 2018/1725, tieto pojmy majú rovnaký význam ako v uvedenom nariadení. |
|
b) |
Tieto doložky sa chápu a vykladajú so zreteľom na ustanovenia nariadenia (EÚ) 2016/679 alebo nariadenia (EÚ) 2018/1725. |
|
c) |
Tieto doložky sa nesmú vykladať spôsobom, ktorý je v rozpore s právami a povinnosťami stanovenými v nariadení (EÚ) 2016/679/nariadení (EÚ) 2018/1725, ani tak, aby boli dotknuté základné práva alebo slobody dotknutých osôb. |
Doložka 4
Hierarchia
V prípade rozporu medzi týmito doložkami a ustanoveniami súvisiacich dohôd medzi zmluvnými stranami, ktoré existovali v čase, keď sa dohodli tieto doložky, alebo ktoré sa uzavreli neskôr, majú prednosť tieto doložky.
Doložka 5 – Nepovinná
Doložka o pristúpení
|
a) |
Každý subjekt, ktorý nie je zmluvnou stranou týchto doložiek, môže so súhlasom všetkých zmluvných strán kedykoľvek pristúpiť k týmto doložkám buď ako prevádzkovateľ, alebo ako sprostredkovateľ vyplnením príloh a podpísaním prílohy I. |
|
b) |
Po vyplnení a podpísaní príloh uvedených v písmene a) sa pristupujúci subjekt považuje za zmluvnú stranu týchto doložiek a má práva a povinnosti prevádzkovateľa alebo sprostredkovateľa v súlade s jeho určením v prílohe I. |
|
c) |
Pristupujúci subjekt nemá žiadne práva ani povinnosti vyplývajúce z týchto doložiek z obdobia pred tým, ako sa stal zmluvnou stranou. |
ODDIEL II
POVINNOSTI ZMLUVNÝCH STRÁN
Doložka 6
Opis spracúvania
Podrobnosti o operáciách spracovania, a najmä kategórie osobných údajov a účely, na ktoré sa osobné údaje spracúvajú v mene prevádzkovateľa, sú uvedené v prílohe II.
Doložka 7
Povinnosti zmluvných strán
7.1. Pokyny
|
a) |
Sprostredkovateľ spracúva osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa s výnimkou prípadov, keď si to vyžaduje právo Únie alebo právo členského štátu, ktorému sprostredkovateľ podlieha. V tom prípade sprostredkovateľ oznámi prevádzkovateľovi túto právnu požiadavku pred spracúvaním, pokiaľ to dané právo nezakazuje zo závažných dôvodov verejného záujmu. Prevádzkovateľ môže počas celého trvania spracúvania osobných údajov vydávať aj následné pokyny. Tieto pokyny sa vždy zdokumentujú. |
|
b) |
Sprostredkovateľ bezodkladne informuje prevádzkovateľa, ak sa podľa jeho názoru pokynmi vydanými prevádzkovateľom porušuje nariadenie (EÚ) 2016/679/nariadenie (EÚ) 2018/1725 alebo uplatniteľné ustanovenia Únie alebo členského štátu o ochrane údajov. |
7.2. Obmedzenie účelu
Sprostredkovateľ spracúva osobné údaje len na konkrétny účel, resp. účely spracúvania, ako sa stanovuje v prílohe II, pokiaľ nedostane od prevádzkovateľa ďalšie pokyny.
7.3. Trvanie spracúvania osobných údajov
Spracúvanie sprostredkovateľom sa uskutoční len počas obdobia uvedeného v prílohe II.
7.4. Bezpečnosť spracúvania
|
a) |
Sprostredkovateľ prijme aspoň technické a organizačné opatrenia uvedené v prílohe III s cieľom zaistiť bezpečnosť osobných údajov. To zahŕňa ochranu údajov pred narušením bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene či neoprávnenému zverejneniu údajov alebo prístupu k údajom (porušenie ochrany osobných údajov). Pri posudzovaní primeranej úrovne bezpečnosti zmluvné strany náležite zohľadnia najnovšie poznatky, náklady na vykonanie opatrení, ako aj povahu, rozsah, kontext a účely spracúvania a súvisiace riziká pre dotknuté osoby. |
|
b) |
Sprostredkovateľ poskytne svojim zamestnancom prístup k osobným údajom, ktoré sa spracúvajú, len v rozsahu, ktorý je nevyhnutne potrebný na plnenie, riadenie a monitorovanie zmluvy. Sprostredkovateľ zabezpečí, aby sa osoby oprávnené spracúvať poskytnuté osobné údaje zaviazali, že zachovajú dôvernosť informácií, alebo aby boli viazané vhodnou povinnosťou zachovávať dôvernosť informácií vyplývajúcou zo štatútu. |
7.5. Citlivé údaje
Ak spracúvanie zahŕňa osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, genetické údaje alebo biometrické údaje na individuálnu identifikáciu fyzickej osoby, údaje týkajúce sa zdravia alebo sexuálneho života či sexuálnej orientácie osoby alebo údaje týkajúce sa odsúdení za trestné činy a trestných činov (ďalej len „citlivé údaje“), sprostredkovateľ uplatní osobitné obmedzenia a/alebo dodatočné záruky.
7.6. Dokumentácia a súlad
|
a) |
Zmluvné strany musia byť schopné preukázať súlad s týmito doložkami. |
|
b) |
Sprostredkovateľ bezodkladne a primerane rieši otázky prevádzkovateľa týkajúce sa spracúvania údajov v súlade s týmito doložkami. |
|
c) |
Sprostredkovateľ sprístupní prevádzkovateľovi všetky informácie potrebné na preukázanie súladu s povinnosťami, ktoré sú stanovené v týchto doložkách a vyplývajú priamo z nariadenia (EÚ) 2016/679 a/alebo nariadenia (EÚ) 2018/1725. Na žiadosť prevádzkovateľa sprostredkovateľ takisto povolí audity spracovateľských činností, na ktoré sa vzťahujú tieto doložky, a prispeje k nim v primeraných intervaloch alebo ak existujú náznaky nesúladu. Pri rozhodovaní o preskúmaní alebo audite môže prevádzkovateľ zohľadniť príslušné osvedčenia, ktorými disponuje sprostredkovateľ. |
|
d) |
Prevádzkovateľ sa môže rozhodnúť vykonať audit sám alebo jeho vykonaním poveriť nezávislého audítora. Audity môžu zahŕňať aj inšpekcie v priestoroch alebo fyzických zariadeniach sprostredkovateľa a v prípade potreby sa primeraným spôsobom oznámi ich vykonanie. |
|
e) |
Zmluvné strany na požiadanie sprístupnia príslušnému dozornému orgánu informácie uvedené v tejto doložke vrátane výsledkov všetkých auditov. |
7.7. Využívanie služieb ďalších sprostredkovateľov
|
a) |
MOŽNOSŤ 1 – PREDCHÁDZAJÚCE OSOBITNÉ POVOLENIE: Sprostredkovateľ nesmie bez predchádzajúceho osobitného písomného povolenia prevádzkovateľa postúpiť ďalšiemu sprostredkovateľovi žiadnu zo svojich spracovateľských operácií vykonávaných v mene prevádzkovateľa v súlade s týmito doložkami. Sprostredkovateľ predloží žiadosť o osobitné povolenie aspoň [UVEĎTE OBDOBIE] pred zapojením príslušného ďalšieho sprostredkovateľa spolu s informáciami potrebnými na to, aby prevádzkovateľ mohol rozhodnúť o povolení. Zoznam ďalších sprostredkovateľov schválených prevádzkovateľom sa nachádza v prílohe IV. Zmluvné strany aktualizujú prílohu IV. MOŽNOSŤ 2 – VŠEOBECNÉ PÍSOMNÉ POVOLENIE: Sprostredkovateľ má všeobecné povolenie prevádzkovateľa na zapojenie ďalších sprostredkovateľov z dohodnutého zoznamu. Sprostredkovateľ osobitne a písomne informuje prevádzkovateľa o všetkých zamýšľaných zmenách uvedeného zoznamu prostredníctvom doplnenia alebo nahradenia ďalších sprostredkovateľov aspoň [UVEĎTE OBDOBIE] vopred, čím poskytne prevádzkovateľovi dostatočný čas na to, aby mohol proti takýmto zmenám vzniesť námietky pred zapojením príslušného ďalšieho sprostredkovateľa, resp. príslušných ďalších sprostredkovateľov. Sprostredkovateľ poskytne prevádzkovateľovi informácie potrebné na to, aby mohol uplatniť svoje právo namietať. |
|
b) |
Ak sprostredkovateľ zapojí do vykonávania osobitných spracovateľských činností (v mene prevádzkovateľa) ďalšieho sprostredkovateľa, uloží tomuto ďalšiemu sprostredkovateľovi prostredníctvom zmluvy v podstate rovnaké povinnosti v oblasti ochrany údajov, ako sú povinnosti uložené sprostredkovateľovi v súlade s týmito doložkami. Sprostredkovateľ zabezpečí, aby ďalší sprostredkovateľ dodržiaval povinnosti, ktoré sa na sprostredkovateľa vzťahujú podľa týchto doložiek a nariadenia (EÚ) 2016/679 a/alebo nariadenia (EÚ) 2018/1725. |
|
c) |
Sprostredkovateľ poskytne prevádzkovateľovi na jeho žiadosť kópiu takejto dohody s ďalším sprostredkovateľom a všetkých následných zmien. Sprostredkovateľ môže pred poskytnutím kópie upraviť znenie dohody v rozsahu potrebnom na ochranu obchodného tajomstva alebo ostatných dôverných informácií vrátane osobných údajov. |
|
d) |
Sprostredkovateľ zostáva plne zodpovedný voči prevádzkovateľovi za plnenie povinností ďalšieho sprostredkovateľa v súlade so zmluvou, ktorú s ním uzatvoril ďalší sprostredkovateľ. Sprostredkovateľ informuje prevádzkovateľa o akomkoľvek porušení zmluvných povinností ďalším sprostredkovateľom. |
|
e) |
Sprostredkovateľ sa dohodne s ďalším sprostredkovateľom na doložke o oprávnenosti tretej strany, podľa ktorej – v prípade, že sprostredkovateľ fakticky zmizne, prestal právne existovať alebo sa stal platobne neschopným – má prevádzkovateľ právo vypovedať zmluvu uzavretú s ďalším sprostredkovateľom a nariadiť ďalšiemu sprostredkovateľovi, aby vymazal alebo vrátil osobné údaje. |
7.8. Medzinárodné prenosy
|
a) |
Každý prenos údajov do tretej krajiny alebo medzinárodnej organizácii sprostredkovateľom sa realizuje len na základe zdokumentovaných pokynov prevádzkovateľa alebo s cieľom splniť konkrétnu požiadavku podľa práva Únie alebo práva členského štátu, ktoré sa vzťahuje na sprostredkovateľa, a uskutočňuje sa v súlade s kapitolou V nariadenia (EÚ) 2016/679 alebo nariadenia (EÚ) 2018/1725. |
|
b) |
Prevádzkovateľ súhlasí s tým, že ak sprostredkovateľ zapojí v súlade s doložkou 7.7 do vykonávania osobitných spracovateľských činností (v mene prevádzkovateľa) ďalšieho sprostredkovateľa, pričom tieto spracovateľské činnosti zahŕňajú prenos osobných údajov v zmysle kapitoly V nariadenia (EÚ) 2016/679, sprostredkovateľ a ďalší sprostredkovateľ môžu zabezpečiť súlad s kapitolou V nariadenia (EÚ) 2016/679 použitím štandardných zmluvných doložiek prijatých Komisiou na základe článku 46 ods. 2 nariadenia (EÚ) 2016/679 za predpokladu, že sú splnené podmienky týkajúce sa používania uvedených štandardných zmluvných doložiek. |
Doložka 8
Pomoc prevádzkovateľovi
|
a) |
Sprostredkovateľ bezodkladne informuje prevádzkovateľa o každej žiadosti, ktorú dostal od dotknutej osoby. Na žiadosť neodpovie sám, pokiaľ k tomu nedostal oprávnenie od prevádzkovateľa. |
|
b) |
Sprostredkovateľ pomáha prevádzkovateľovi pri plnení jeho povinnosti reagovať na žiadosti dotknutých osôb o výkon ich práv, pričom zohľadní povahu spracúvania. Sprostredkovateľ pri plnení svojich povinností v súlade s písmenami a) a b) dodržiava pokyny prevádzkovateľa. |
|
c) |
Okrem povinnosti pomáhať prevádzkovateľovi podľa doložky 8 písm. b) sprostredkovateľ pomáha prevádzkovateľovi zabezpečiť plnenie týchto povinností, pričom zohľadňuje povahu spracúvania údajov a informácie, ktoré má k dispozícii:
|
|
d) |
Zmluvné strany stanovia v prílohe III primerané technické a organizačné opatrenia, ktorými sa od sprostredkovateľa vyžaduje, aby pomáhal prevádzkovateľovi pri uplatňovaní tejto doložky, ako aj rozsah požadovanej pomoci. |
Doložka 9
Oznámenie porušenia ochrany osobných údajov
V prípade porušenia ochrany osobných údajov sprostredkovateľ spolupracuje s prevádzkovateľom a pomáha mu pri plnení jeho povinností podľa článkov 33 a 34 nariadenia (EÚ) 2016/679 alebo podľa článkov 34 a 35 nariadenia (EÚ) 2018/1725, pričom zohľadňuje povahu spracúvania a informácie, ktoré má k dispozícii.
9.1. Porušenie ochrany údajov spracúvaných prevádzkovateľom
V prípade porušenia ochrany osobných údajov spracúvaných prevádzkovateľom sprostredkovateľ pomáha prevádzkovateľovi:
|
a) |
pri oznamovaní porušenia ochrany osobných údajov príslušnému dozornému orgánu, a to bez zbytočného odkladu po tom, ako sa o ňom prevádzkovateľ dozvedel, ak je to relevantné/(s výnimkou prípadov, keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb); |
|
b) |
pri získavaní informácií, ktoré sa podľa článku 33 ods. 3 nariadenia (EÚ) 2016/679 [MOŽNOSŤ 1]/článku 34 ods. 3 nariadenia (EÚ) 2018/1725 [MOŽNOSŤ 2] uvedú v oznámení prevádzkovateľa, pričom sa musia uviesť aspoň tieto informácie:
|
Pokiaľ nie je možné poskytnúť všetky uvedené informácie súčasne, pôvodné oznámenie obsahuje informácie, ktoré sú v tom čase k dispozícii, a ďalšie informácie sa následne poskytnú bez zbytočného odkladu hneď, ako budú k dispozícii;
|
c) |
pri dodržiavaní povinnosti stanovenej v článku 34 nariadenia (EÚ) 2016/679 [MOŽNOSŤ 1]/v článku 35 nariadenia (EÚ) 2018/1725 [MOŽNOSŤ 2], t. j. povinnosti bez zbytočného odkladu oznámiť porušenie ochrany osobných údajov dotknutej osobe, ak je pravdepodobné, že porušenie ochrany osobných údajov povedie k vysokému riziku pre práva a slobody fyzických osôb. |
9.2. Porušenie ochrany údajov spracúvaných sprostredkovateľom
V prípade porušenia ochrany osobných údajov spracúvaných sprostredkovateľom sprostredkovateľ informuje prevádzkovateľa bez zbytočného odkladu po tom, ako sa dozvedel o porušení. Takéto oznámenie obsahuje aspoň:
|
a) |
opis povahy porušenia (podľa možnosti vrátane kategórií a približného počtu dotknutých osôb a záznamov o osobných údajoch); |
|
b) |
údaje o kontaktnom mieste, na ktorom možno získať viac informácií o porušení ochrany osobných údajov; |
|
c) |
pravdepodobné následky porušenia a prijaté alebo navrhované opatrenia na jeho riešenie vrátane opatrení na zmiernenie jeho možných nepriaznivých účinkov. |
Pokiaľ nie je možné poskytnúť všetky uvedené informácie súčasne, pôvodné oznámenie obsahuje informácie, ktoré sú v tom čase k dispozícii, a ďalšie informácie sa následne poskytnú bez zbytočného odkladu hneď, ako budú k dispozícii.
Zmluvné strany stanovia v prílohe III všetky ostatné prvky, ktoré má poskytnúť sprostredkovateľ pri poskytovaní pomoci prevádzkovateľovi pri plnení jeho povinností podľa článkov 33 a 34 nariadenia (EÚ) 2016/679 [MOŽNOSŤ 1]/článkov 34 a 35 nariadenia (EÚ) 2018/1725 [MOŽNOSŤ 2].
ODDIEL III
ZÁVEREČNÉ USTANOVENIA
Doložka 10
Nedodržiavanie doložiek a vypovedanie zmluvy
|
a) |
Bez toho, aby boli dotknuté akékoľvek ustanovenia nariadenia (EÚ) 2016/679 a/alebo nariadenia (EÚ) 2018/1725, môže prevádzkovateľ v prípade, že sprostredkovateľ porušuje svoje povinnosti stanovené v týchto doložkách, nariadiť sprostredkovateľovi, aby pozastavil spracúvanie osobných údajov dovtedy, kým nedodrží tieto doložky alebo kým sa nevypovedá zmluva. Sprostredkovateľ bezodkladne informuje prevádzkovateľa v prípade, že z akéhokoľvek dôvodu nie je schopný dodržiavať tieto doložky. |
|
b) |
Prevádzkovateľ je oprávnený vypovedať zmluvu, pokiaľ ide o spracúvanie osobných údajov v súlade s týmito doložkami, ak:
|
|
c) |
Sprostredkovateľ je oprávnený vypovedať zmluvu, pokiaľ ide o spracúvanie osobných údajov podľa týchto doložiek, ak prevádzkovateľ po tom, ako ho informoval, že jeho pokyny sú v rozpore s platnými právnymi požiadavkami podľa doložky 7.1 písm. b), trvá na dodržiavaní pokynov. |
|
d) |
Po vypovedaní zmluvy sprostredkovateľ podľa rozhodnutia prevádzkovateľa vymaže všetky osobné údaje spracované v mene prevádzkovateľa a prevádzkovateľovi potvrdí, že tak urobil, alebo vráti všetky osobné údaje prevádzkovateľovi a vymaže existujúce kópie, pokiaľ sa v práve Únie alebo členského štátu nevyžaduje uchovávanie osobných údajov. Sprostredkovateľ zabezpečuje dodržiavanie týchto doložiek dovtedy, kým nedôjde k vymazaniu alebo vráteniu údajov. |
PRÍLOHA I
Zoznam zmluvných strán
Prevádzkovateľ (prevádzkovatelia): [Totožnosť a kontaktné údaje prevádzkovateľa (prevádzkovateľov) a v príslušných prípadoch zodpovednej osoby]
|
1. |
Meno/názov: … |
|
|
Adresa: … |
|
|
Meno, funkcia a kontaktné údaje kontaktnej osoby: … |
|
|
Podpis a dátum pristúpenia: … |
|
2. |
|
…
Sprostredkovateľ (sprostredkovatelia): [Totožnosť a kontaktné údaje sprostredkovateľa (sprostredkovateľov) a v príslušných prípadoch zodpovednej osoby]
|
1. |
Meno/názov: … |
|
|
Adresa: … |
|
|
Meno, funkcia a kontaktné údaje kontaktnej osoby: … |
|
|
Podpis a dátum pristúpenia: … |
|
2. |
|
…
PRÍLOHA II
Opis spracúvania
Kategórie dotknutých osôb, ktorých osobné údaje sa spracúvajú
…
Kategórie spracúvaných osobných údajov
…
Spracúvané citlivé údaje (v relevantných prípadoch) a uplatňované obmedzenia alebo záruky, ktoré v plnej miere zohľadňujú povahu údajov a súvisiace riziká, ako napríklad prísne obmedzenie účelu, obmedzenia prístupu (vrátane prístupu len pre zamestnancov, ktorí absolvovali špecializovanú odbornú prípravu), vedenie záznamov o prístupe k údajom, obmedzenia následných prenosov alebo dodatočné bezpečnostné opatrenia.
…
Povaha spracúvania
…
Účel(-y), na ktorý(-é) sa osobné údaje spracúvajú v mene prevádzkovateľa
…
Trvanie spracúvania
…
…
V prípade spracúvania ďalšími sprostredkovateľmi uveďte aj predmet, povahu a trvanie spracúvania.
PRÍLOHA III
Technické a organizačné opatrenia vrátane technických a organizačných opatrení na zaistenie bezpečnosti údajov
VYSVETLIVKA:
Technické a organizačné opatrenia je potrebné opísať konkrétne, a nie všeobecným spôsobom.
Opis technických a organizačných bezpečnostných opatrení zavedených sprostredkovateľom (sprostredkovateľmi) (vrátane všetkých príslušných osvedčení) s cieľom zaistiť primeranú úroveň bezpečnosti, pričom sa zohľadní povaha, rozsah, kontext a účel spracúvania, ako aj riziká pre práva a slobody fyzických osôb. Príklady možných opatrení:
|
|
Opatrenia zamerané na pseudonymizáciu a šifrovanie osobných údajov |
|
|
Opatrenia na zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov a služieb spracúvania |
|
|
Opatrenia na zabezpečenie schopnosti včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu |
|
|
Procesy pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení v záujme zaistenia bezpečnosti spracúvania |
|
|
Opatrenia na identifikáciu používateľov a poskytovanie používateľských povolení |
|
|
Opatrenia na ochranu údajov počas prenosu |
|
|
Opatrenia na ochranu údajov počas uchovávania |
|
|
Opatrenia na zaistenie fyzickej bezpečnosti miest, na ktorých sa spracúvajú osobné údaje |
|
|
Opatrenia na zabezpečenie zaznamenávania udalostí |
|
|
Opatrenia na zabezpečenie konfigurácie systému vrátane predvolenej konfigurácie |
|
|
Opatrenia na vnútorné riadenie IT a bezpečnosti IT |
|
|
Opatrenia na certifikáciu/zabezpečenie procesov a produktov |
|
|
Opatrenia na zabezpečenie minimalizácie údajov |
|
|
Opatrenia na zabezpečenie kvality údajov |
|
|
Opatrenia na zabezpečenie obmedzeného uchovávania údajov |
|
|
Opatrenia na zabezpečenie zodpovednosti |
|
|
Opatrenia na umožnenie prenosnosti údajov a zabezpečenie výmazu |
V prípade prenosov ďalším sprostredkovateľom opíšte aj konkrétne technické a organizačné opatrenia, ktoré má prijať ďalší sprostredkovateľ, aby mohol poskytnúť pomoc prevádzkovateľovi.
Opis konkrétnych technických a organizačných opatrení, ktoré má sprostredkovateľ prijať, aby mohol poskytnúť pomoc prevádzkovateľovi.
PRÍLOHA IV
Zoznam ďalších sprostredkovateľov
VYSVETLIVKA:
Túto prílohu je potrebné vyplniť v prípade osobitného povolenia pre ďalších sprostredkovateľov [doložka 7.7 písm. a), možnosť 1].
Prevádzkovateľ povolil využitie služieb týchto ďalších sprostredkovateľov:
|
1. |
Meno/názov: … |
|
|
Adresa: … |
|
|
Meno, funkcia a kontaktné údaje kontaktnej osoby: … |
|
|
Opis spracúvania (vrátane jasného vymedzenia povinností v prípade, že je schválených niekoľko ďalších sprostredkovateľov): … |
|
2. |
… |