ISSN 1977-0847
Službeni list
Europske unije
L 199
Hrvatsko izdanje
Zakonodavstvo
Godište 64.
7. lipnja 2021.
|
ISSN 1977-0847 |
||
|
Službeni list Europske unije |
L 199 |
|
|
|
||
|
Hrvatsko izdanje |
Zakonodavstvo |
Godište 64. |
|
|
|
|
|
(1) Tekst značajan za EGP. |
|
HR |
Akti čiji su naslovi tiskani običnim slovima su oni koji se odnose na svakodnevno upravljanje poljoprivrednim pitanjima, a općenito vrijede ograničeno razdoblje. Naslovi svih drugih akata tiskani su masnim slovima, a prethodi im zvjezdica. |
II. Nezakonodavni akti
UREDBE
|
7.6.2021 |
HR |
Službeni list Europske unije |
L 199/1 |
PROVEDBENA UREDBA KOMISIJE (EU) 2021/909
оd 31. svibnja 2021.
o razvrstavanju određene robe u kombiniranu nomenklaturu
EUROPSKA KOMISIJA,
uzimajući u obzir Ugovor o funkcioniranju Europske unije,
uzimajući u obzir Uredbu (EU) br. 952/2013 Europskog parlamenta i Vijeća od 9. listopada 2013. o Carinskom zakoniku Unije (1), a posebno njezin članak 57. stavak 4. i članak 58. stavak 2.,
budući da:
|
(1) |
Radi osiguravanja jedinstvene primjene kombinirane nomenklature priložene Uredbi Vijeća (EEZ) br. 2658/87 (2) potrebno je donijeti mjere za razvrstavanje robe iz Priloga ovoj Uredbi. |
|
(2) |
Uredbom (EEZ) br. 2658/87 utvrđena su opća pravila za tumačenje kombinirane nomenklature. Ta se pravila primjenjuju i na svaku drugu nomenklaturu koja se u cijelosti ili djelomično temelji na njoj ili kojom se uvodi daljnja podjela i koja je utvrđena posebnim odredbama Unije radi primjene tarifnih i drugih mjera povezanih s trgovinom robom. |
|
(3) |
U skladu s navedenim općim pravilima robu opisanu u stupcu (1) tablice u Prilogu ovoj Uredbi trebalo bi na temelju obrazloženja navedenog u stupcu (3) razvrstati u odgovarajuću oznaku KN iz stupca (2). |
|
(4) |
Primjereno je odrediti da u skladu s člankom 34. stavkom 9. Uredbe (EU) br. 952/2013 osoba kojoj su dane obvezujuće tarifne informacije za robu na koju se odnosi ova Uredba, a koje nisu u skladu s ovom Uredbom, može nastaviti navoditi te informacije tijekom određenog razdoblja. Trebalo bi odrediti da to razdoblje traje tri mjeseca. |
|
(5) |
Mjere predviđene u ovoj Uredbi u skladu su s mišljenjem Odbora za carinski zakonik, |
DONIJELA JE OVU UREDBU:
Članak 1.
Roba opisana u stupcu (1) tablice u Prilogu razvrstava se u kombiniranu nomenklaturu u oznaku KN iz stupca (2) te tablice.
Članak 2.
U skladu s člankom 34. stavkom 9. Uredbe (EU) br. 952/2013 obvezujuće tarifne informacije koje nisu u skladu s ovom Uredbom mogu se nastaviti navoditi tijekom razdoblja od tri mjeseca od datuma stupanja na snagu ove Uredbe.
Članak 3.
Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.
Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.
Sastavljeno u Bruxellesu 31. svibnja 2021.
Za Komisiju,
u ime predsjednice,
Gerassimos THOMAS
Glavni direktor
Glavna uprava za oporezivanje i carinsku uniju
(1) SL L 269, 10.10.2013., str. 1.
(2) Uredba Vijeća (EEZ) br. 2658/87 od 23. srpnja 1987. o tarifnoj i statističkoj nomenklaturi i o Zajedničkoj carinskoj tarifi (SL L 256, 7.9.1987., str. 1.).
PRILOG
|
Opis robe |
Razvrstavanje (oznaka KN) |
Obrazloženje |
|
(1) |
(2) |
(3) |
|
Fleksibilan proizvod (takozvana cijev za plivanje) od celularne plastične mase (plastične pjene) u obliku šuplje cijevi dužine približno 1 m i promjera približno 8 cm. Proizvod pluta na vodi i predstavljen je kao plutajuće pomagalo koje zadovoljava europsku normu za plutajuća pomagala za poduku plivanja (EN 13138-2:2014). Proizvod usto apsorbira udare i toplinski izolira. Vidjeti slike (*1). |
3926 90 97 |
Razvrstavanje se utvrđuje u skladu s općim pravilima 1 i 6 za tumačenje kombinirane nomenklature i nazivima oznaka KN 3926 , 3926 90 i 3926 90 97 . Razvrstavanje u tarifni broj 9506 kao proizvodi i oprema za sve vrste tjelovježbi, gimnastiku, atletiku, ostale sportove ili igre na otvorenom isključeno je jer se zbog svojeg jednostavnog i uobičajenog oblika proizvod ne može identificirati kao proizvod namijenjen za tjelovježbu ili sport iz tarifnog broja 9506 , iako zbog svojstva plutanja proizvod zadovoljava normu za plutajuća pomagala za poduku plivanja. Usto, proizvod bi se zbog jednostavnog oblika i uobičajenog materijala mogao upotrebljavati u različite svrhe (na primjer kao zaštitni proizvodi omotani oko stupova za apsorbiranje udara, proizvodi za toplinsku izolaciju omotani oko cijevi, proizvodi za zabavu djece). Isto tako, isključeno je razvrstavanje u tarifni broj 9503 kao ostale igračke jer se proizvod s obzirom na njegov dizajn ne može jasno identificirati kao proizvod za zabavu djece ili odraslih. Stoga se proizvod razvrstava u skladu s materijalom od kojeg je izrađen (plastična masa). Proizvod se stoga razvrstava pod oznaku KN 3926 90 97 kao ostali proizvodi od plastičnih masa. |
(*1) Slike služe isključivo u informativne svrhe.
|
7.6.2021 |
HR |
Službeni list Europske unije |
L 199/4 |
PROVEDBENA UREDBA KOMISIJE (EU) 2021/910
оd 31. svibnja 2021.
o razvrstavanju određene robe u kombiniranu nomenklaturu
EUROPSKA KOMISIJA,
uzimajući u obzir Ugovor o funkcioniranju Europske unije,
uzimajući u obzir Uredbu (EU) br. 952/2013 Europskog parlamenta i Vijeća od 9. listopada 2013. o Carinskom zakoniku Unije (1), a posebno njezin članak 57. stavak 4. i članak 58. stavak 2.,
budući da:
|
(1) |
Radi osiguravanja jedinstvene primjene kombinirane nomenklature priložene Uredbi Vijeća (EEZ) br. 2658/87 (2) potrebno je donijeti mjere za razvrstavanje robe iz Priloga ovoj Uredbi. |
|
(2) |
Uredbom (EEZ) br. 2658/87 utvrđena su opća pravila za tumačenje kombinirane nomenklature. Ta se pravila primjenjuju i na svaku drugu nomenklaturu koja se u cijelosti ili djelomično temelji na njoj ili kojom se uvodi daljnja podjela i koja je utvrđena posebnim odredbama Unije radi primjene tarifnih i drugih mjera povezanih s trgovinom robom. |
|
(3) |
U skladu s navedenim općim pravilima robu opisanu u stupcu 1. tablice u Prilogu ovoj Uredbi trebalo bi na temelju obrazloženja navedenog u stupcu 3. razvrstati u odgovarajuću oznaku KN iz stupca 2. |
|
(4) |
Primjereno je odrediti da u skladu s člankom 34. stavkom 9. Uredbe (EU) br. 952/2013 osoba kojoj su dane obvezujuće tarifne informacije za robu na koju se odnosi ova Uredba, a koje nisu u skladu s ovom Uredbom, može nastaviti navoditi te informacije tijekom određenog razdoblja. Trebalo bi odrediti da to razdoblje traje tri mjeseca. |
|
(5) |
Mjere predviđene u ovoj Uredbi u skladu su s mišljenjem Odbora za carinski zakonik, |
DONIJELA JE OVU UREDBU:
Članak 1.
Roba opisana u stupcu 1. tablice u Prilogu razvrstava se u kombiniranu nomenklaturu u oznaku KN iz stupca 2. te tablice.
Članak 2.
U skladu s člankom 34. stavkom 9. Uredbe (EU) br. 952/2013 obvezujuće tarifne informacije koje nisu u skladu s ovom Uredbom mogu se nastaviti navoditi tijekom razdoblja od tri mjeseca od datuma stupanja na snagu ove Uredbe.
Članak 3.
Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.
Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.
Sastavljeno u Bruxellesu 31. svibnja 2021.
Za Komisiju
u ime predsjednice,
Gerassimos THOMAS
Glavni direktor
Glavna uprava za oporezivanje i carinsku uniju
(1) SL L 269, 10.10.2013., str. 1.
(2) Uredba Vijeća (EEZ) br. 2658/87 od 23. srpnja 1987. o tarifnoj i statističkoj nomenklaturi i o Zajedničkoj carinskoj tarifi (SL L 256, 7.9.1987., str. 1.).
PRILOG
|
Opis robe |
Razvrstavanje (oznaka KN) |
Obrazloženje |
|
1. |
2. |
3. |
|
Štapići od kermeta s jednakim kružnim poprečnim presjekom. Proizvodi različitih duljina i promjera mogu biti punog presjeka ili biti perforirani i imati kanale za hlađenje te imaju tupe krajeve. Neki proizvodi mogu biti i oborenih bridova. Proizvodi su izrađeni od kermeta, tj. od sinteriranih kovinskih karbida na osnovi volframova karbida s kobaltom kao vezivom tvari. Sa svojim niskim stupnjem obrade i jednostavnim oblikom, proizvodi se mogu upotrebljavati za širok raspon namjena, na primjer kao ojačavajući elementi. Ako su dalje obrađeni, predmeti se mogu koristiti za alate i kao alati. |
8113 00 90 |
Razvrstavanje se temelji na općim pravilima 1. i 6. za tumačenje kombinirane nomenklature, napomeni 4. uz odsjek XV. i nazivima oznaka KN 8113 00 i 8113 00 90 . Razvrstavanje u oznaku KN 8209 00 80 kao štapići i slično za alate, neugrađeno, od kermeta, isključeno je jer se proizvodi mogu upotrebljavati za alate i kao alati samo ako su dalje obrađeni, a prikladni su i za druge namjene. Proizvodi su obuhvaćeni tarifnim brojem 8113 , koji obuhvaća kermete, neovisno jesu li u sirovim oblicima ili u obliku proizvoda nespomenutih na drugom mjestu u kombiniranoj nomenklaturi (vidjeti i Objašnjenja Harmoniziranog sustava za tarifni broj 8113 , šesti stavak). Proizvod se stoga razvrstava u oznaku KN 8113 00 90 kao kermeti i ostali proizvodi od kermeta. |
|
7.6.2021 |
HR |
Službeni list Europske unije |
L 199/7 |
PROVEDBENA UREDBA KOMISIJE (EU) 2021/911
оd 31. svibnja 2021.
o razvrstavanju određene robe u kombiniranu nomenklaturu
EUROPSKA KOMISIJA,
uzimajući u obzir Ugovor o funkcioniranju Europske unije,
uzimajući u obzir Uredbu (EU) br. 952/2013 Europskog parlamenta i Vijeća od 9. listopada 2013. o Carinskom zakoniku Unije (1), a posebno njezin članak 57. stavak 4. i članak 58. stavak 2.,
budući da:
|
(1) |
Radi osiguravanja jedinstvene primjene kombinirane nomenklature priložene Uredbi Vijeća (EEZ) br. 2658/87 (2) potrebno je donijeti mjere za razvrstavanje robe iz Priloga ovoj Uredbi. |
|
(2) |
Uredbom (EEZ) br. 2658/87 utvrđena su opća pravila za tumačenje kombinirane nomenklature. Ta se pravila primjenjuju i na svaku drugu nomenklaturu koja se u cijelosti ili djelomično temelji na njoj ili kojom se uvodi daljnja podjela i koja je utvrđena posebnim odredbama Unije radi primjene tarifnih i drugih mjera povezanih s trgovinom robom. |
|
(3) |
U skladu s navedenim općim pravilima robu opisanu u stupcu (1) tablice u Prilogu ovoj Uredbi trebalo bi na temelju obrazloženja navedenog u stupcu (3) razvrstati u odgovarajuću oznaku KN iz stupca (2). |
|
(4) |
Primjereno je odrediti da u skladu s člankom 34. stavkom 9. Uredbe (EU) br. 952/2013 osoba kojoj su dane obvezujuće tarifne informacije za robu na koju se odnosi ova Uredba, a koje nisu u skladu s ovom Uredbom, može nastaviti navoditi te informacije tijekom određenog razdoblja. Trebalo bi odrediti da to razdoblje traje tri mjeseca. |
|
(5) |
Mjere predviđene u ovoj Uredbi u skladu su s mišljenjem Odbora za carinski zakonik, |
DONIJELA JE OVU UREDBU:
Članak 1.
Roba opisana u stupcu (1) tablice u Prilogu razvrstava se u kombiniranu nomenklaturu u oznaku KN iz stupca (2) te tablice.
Članak 2.
U skladu s člankom 34. stavkom 9. Uredbe (EU) br. 952/2013 obvezujuće tarifne informacije koje nisu u skladu s ovom Uredbom mogu se nastaviti navoditi tijekom razdoblja od tri mjeseca od datuma stupanja na snagu ove Uredbe.
Članak 3.
Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.
Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.
Sastavljeno u Bruxellesu 31. svibnja 2021.
Za Komisiju,
u ime predsjednice,
Gerassimos THOMAS
Glavni direktor
Glavna uprava za oporezivanje i carinsku uniju
(1) SL L 269, 10.10.2013., str. 1.
(2) Uredba Vijeća (EEZ) br. 2658/87 od 23. srpnja 1987. o tarifnoj i statističkoj nomenklaturi i o Zajedničkoj carinskoj tarifi (SL L 256, 7.9.1987., str. 1.).
PRILOG
|
Opis robe |
Razvrstavanje (oznaka KN) |
Obrazloženje |
||||||||
|
(1) |
(2) |
(3) |
||||||||
|
Ploča s kotačićima, za premještanje namještaja, koja se sastoji od:
Proizvod ima prorez za rukohvat kojim se proizvod može nositi u ruci ili objesiti na zid. Proizvod je namijenjen za prijevoz različitih predmeta, posebno pokućstva i drugih teških predmeta. (Vidjeti sliku) (*1). |
4421 99 10 |
Razvrstavanje se temelji na općim pravilima 1, 3 (b) i 6 za tumačenje kombinirane nomenklature, napomeni 3 uz poglavlje 44 i nazivima oznaka KN 4421 , 4421 99 i 4421 99 10 . Razvrstavanje u oznaku KN 8716 80 00 kao ostala vozila bez vlastitog pogona isključeno je jer objektivne značajke i svojstva proizvoda ne odgovaraju u potpunosti nazivima tarifnog broja 8716 i oznake KN 8716 80 00 . S obzirom na objektivne značajke i svojstva proizvoda, uključujući prorez za rukohvat koji se ne upotrebljava za guranje proizvoda nogom ili rukom te njegovu konstrukciju za prijevoz teških predmeta kao što je pokućstvo guranjem predmeta, proizvod nije konstruiran tako da ga vuče drugo vozilo, da se gura ili vuče rukom, gura nogom ili da ga vuku životinje (vidjeti i Objašnjenja Harmoniziranog sustava za tarifni broj 8716 , drugi stavak). Proizvod se ne može smatrati vozilom jer nema određene značajke i svojstva vozila na ručni ili nožni pogon iz tarifnog broja 8716 jer nije kolica, ručna kolica, kolica s platformom ili građevinska kolica ili se ne sastoji od određenog dijela vozila kao što je šasija. Stoga se proizvod razvrstava u skladu s materijalom od kojeg je izrađen. Proizvod je složeni proizvod izrađen od različitih materijala (drvo, plastična masa i metal). Sastavni dio koji proizvodu daje bitnu značajku je drvo jer je drvena ploča glavni dio složenog proizvoda i najvažnija za predviđenu namjenu proizvoda. Proizvod se stoga razvrstava u oznaku KN 4421 99 10 kao ostali proizvodi od ploča vlaknatica. |
(*1) Slika je samo informativna.
|
7.6.2021 |
HR |
Službeni list Europske unije |
L 199/10 |
PROVEDBENA UREDBA KOMISIJE (EU) 2021/912
оd 4. lipnja 2021.
o odobravanju izmjena specifikacija nove hrane lakto-N-neotetraoze (mikrobni izvor) i o izmjeni Provedbene uredbe (EU) 2017/2470
(Tekst značajan za EGP)
EUROPSKA KOMISIJA,
uzimajući u obzir Ugovor o funkcioniranju Europske unije,
uzimajući u obzir Uredbu (EU) 2015/2283 Europskog parlamenta i Vijeća od 25. studenoga 2015. o novoj hrani, o izmjeni Uredbe (EU) br. 1169/2011 Europskog parlamenta i Vijeća i o stavljanju izvan snage Uredbe (EZ) br. 258/97 Europskog parlamenta i Vijeća i Uredbe Komisije (EZ) br. 1852/2001 (1), a posebno njezin članak 12.,
budući da:
|
(1) |
Uredbom (EU) 2015/2283 predviđeno je da se samo nova hrana koja je odobrena i uvrštena na popis Unije smije stavljati na tržište u Uniji. |
|
(2) |
U skladu s člankom 8. Uredbe (EU) 2015/2283 donesena je Provedbena uredba Komisije (EU) 2017/2470 (2), kojom je utvrđen Unijin popis odobrene nove hrane. |
|
(3) |
Komisija na temelju članka 12. Uredbe (EU) 2015/2283 podnosi nacrt provedbenog akta kojim se odobrava stavljanje nove hrane na tržište Unije i ažurira popis Unije. |
|
(4) |
Provedbenom odlukom Komisije (EU) 2016/375 (3) odobreno je, u skladu s Uredbom (EZ) br. 258/97 Europskog parlamenta i Vijeća (4), stavljanje na tržište kemijski sintetizirane lakto-N-neotetraoze kao novog sastojka hrane. |
|
(5) |
U skladu s člankom 5. Uredbe (EZ) br. 258/97 društvo Glycom A/S 1. rujna 2016. obavijestilo je Komisiju da namjerava na tržište staviti lakto-N-neotetraozu iz mikrobnog izvora dobivenu s pomoću bakterije Escherichia coli soj K-12 kao novi sastojak hrane. |
|
(6) |
U obavijesti Komisiji društvo Glycom A/S dostavilo je i izvješće koje je izdalo nadležno tijelo Irske u skladu s člankom 3. stavkom 4. Uredbe (EZ) br. 258/97, u kojem je na temelju znanstvenih dokaza koje je dostavilo to društvo zaključeno da je lakto-N-neotetraoza dobivena s pomoću bakterije Escherichia coli soj K-12 u osnovi istovjetna sintetičkoj lakto-N-neotetraozi koja je odobrena Provedbenom odlukom (EU) 2016/375. Stoga je lakto-N-neotetraoza iz mikrobnog izvora uvrštena na Unijin popis nove hrane. |
|
(7) |
Dana 23. lipnja 2019. društvo Chr. Hansen A/S („podnositelj zahtjeva”) podnijelo je zahtjev Komisiji u skladu s člankom 10. stavkom 1. Uredbe (EU) 2015/2283 za odobrenje lakto-N-neotetraoze (mikrobni izvor) proizvedene kombiniranom aktivnošću izvedenih sojeva PS-LNnT-JBT i DS-LNnT-JBT bakterije Escherichia coli soj BL21(DE3) kao nove hrane pod istim uvjetima uporabe kao i oni koji su trenutačno odobreni za sintetičku lakto-N-neotetraozu iz mikrobnog izvora. Podnositelj zahtjeva zatražio je ažuriranje Unijina popisa u pogledu novog izvora te nove hrane. |
|
(8) |
Osim toga, podnositelj zahtjeva predložio je ažuriranje određenih specifikacija lakto-N-neotetraoze (mikrobni izvor) proizvedene iz tog novog izvora, s obzirom na to da se razlikuju od specifikacija odobrene lakto-N-neotetraoze iz mikrobiološkog izvora dobivene s pomoću bakterije Escherichia coli soj K-12, i to u pogledu povećanja razine pepela s ≤ 0,4 % na ≤ 1,0 %; više razine prisutnosti kvasaca i plijesni, i to s postojećih ≤ 10 jedinica koje tvore kolonije („CFU”)/g nove hrane za svaku vrstu mikroorganizma na ≤ 50 CFU/g za njihovu kombinaciju; te odsutnosti metanola (s postojećih ≤ 100 mg/kg) i izomera fruktoze lakto-N-neotetraoze (s postojećih ≤ 1,0 %). |
|
(9) |
Komisija je 17. siječnja 2020. od Europske agencije za sigurnost hrane („Agencija”) zatražila da provede ocjenu lakto-N-neotetraoze proizvedene kombiniranom aktivnošću izvedenih sojeva PS-LNnT-JBT i DS-LNnT-JBT bakterije Escherichia coli soj BL21(DE3) u skladu sa zahtjevima iz članka 11. Uredbe (EU) 2015/2283. |
|
(10) |
Agencija je 22. listopada 2020. donijela znanstveno mišljenje „Sigurnost lakto-N-neotetraoze (LNnT) dobivene iz izvedenih sojeva bakterije E. coli BL21 kao nove hrane u skladu s Uredbom (EU) 2015/2283” (5). |
|
(11) |
Agencija je u svojem znanstvenom mišljenju zaključila da je lakto-N-neotetraoza (LNnT) proizvedena kombiniranom aktivnošću izvedenih sojeva PS-LNnT-JBT i DS-LNnT-JBT bakterije Escherichia coli soj BL21(DE3) kao nova hrana u skladu s Uredbom (EU) 2015/2283 sigurna za trenutačno odobrene uvjete uporabe. U mišljenju se iznosi dovoljno informacija na temelju kojih se stoga može utvrditi da je lakto-N-neotetraoza (LNnT) proizvedena kombiniranom aktivnošću izvedenih sojeva PS-LNnT-JBT i DS-LNnT-JBT bakterije Escherichia coli soj BL21(DE3) u skladu s člankom 12. stavkom 1. Uredbe (EU) 2015/2283. |
|
(12) |
Stoga je primjereno izmijeniti specifikacije mikrobiološki proizvedene lakto-N-neotetraoze kako bi se uz odobreni Escherichia coli soj K12 uključili i izvedeni sojevi PS-LNnT-JBT i DS-LNnT-JBT bakterije Escherichia coli soj BL21(DE3) kao izvor nove hrane te kako bi se izmijenile predložene razine prisutnosti pepela i plijesni te kvasca. |
|
(13) |
Prilog Uredbi (EU) 2017/2470 trebalo bi stoga na odgovarajući način izmijeniti. |
|
(14) |
Mjere predviđene u ovoj Uredbi u skladu su s mišljenjem Stalnog odbora za bilje, životinje, hranu i hranu za životinje, |
DONIJELA JE OVU UREDBU:
Članak 1.
Unos na Unijin popis odobrene nove hrane kako je predviđeno člankom 6. Uredbe (EU) 2015/2283 koji se odnosi na tvar lakto-N-neotetraoza (mikrobni izvor) mijenja se kako je navedeno u Prilogu ovoj Uredbi.
Članak 2.
Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.
Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.
Sastavljeno u Bruxellesu 4. lipnja 2021.
Za Komisiju
Predsjednica
Ursula VON DER LEYEN
(1) SL L 327, 11.12.2015., str. 1.
(2) Provedbena uredba Komisije (EU) 2017/2470 оd 20. prosinca 2017. o utvrđivanju Unijina popisa nove hrane u skladu s Uredbom (EU) 2015/2283 Europskog parlamenta i Vijeća o novoj hrani (SL L 351, 30.12.2017., str. 72.).
(3) Provedbena odluka Komisije (EU) 2016/375 оd 11. ožujka 2016. o odobravanju stavljanja na tržište lakto-N-neotetraoze kao sastojka nove hrane u skladu s Uredbom (EZ) br. 258/97 Europskog parlamenta i Vijeća (SL L 70, 16.3.2016., str. 22.).
(4) Uredba (EZ) br. 258/97 Europskog parlamenta i Vijeća od 27. siječnja 1997. o novoj hrani i sastojcima nove hrane (SL L 43, 14.2.1997., str. 1.).
(5) EFSA Journal 2020.;18(11):6305.
PRILOG
U tablici 2. (Specifikacije) Priloga Provedbenoj uredbi (EU) 2017/2470 unos za „Lakto-N-neotetraoza (mikrobni izvor)” zamjenjuje se sljedećim:
|
„Lakto-N-neotetraoza (mikrobni izvor) |
Definicija: Kemijski naziv: β-D-Galaktopiranozil-(1→4)-2-acetamido-2-deoksi-β-D-glukopiranozil-(1→3)-β-D-galaktopiranozil-(1→4)-D-glukopiranoza Kemijska formula: C26H45NO21 CAS br.: 13007-32-4 Molekulska masa: 707,63 g/mol Izvor:
Opis: Lakto-N-neotetraoza je prah bijele do sivobijele boje koji se proizvodi mikrobiološkim postupkom. Čistoća: Analiza (bez vode): ≥ 80 % D-laktoza: ≤ 10,0 % Lakto-N-trioza II: ≤ 3,0 % para-lakto-N-neoheksaoza: ≤ 5,0 % Izomer fruktoze lakto-N-neotetraoze: ≤ 1,0 % Zbroj saharida (lakto-N-neotetraoza, D-laktoza, lakto-N-trioza II, para-lakto-N-neoheksaoza, izomer fruktoze lakto-N-neotetraoze): ≥ 92 % (% m/m suhe tvari) pH (20 °C, 5 %-tna otopina): 4,0–7,0 Voda: ≤ 9,0 % Sulfatni pepeo: ≤ 1,0 % Ostaci otapala (metanol): ≤ 100 mg/kg Ostaci bjelančevina: ≤ 0,01 % Mikrobiološki kriteriji: Ukupan broj aerobnih mezofilnih bakterija: ≤ 500 CFU/g Kvasci i plijesni: ≤ 50 CFU/g Ostaci endotoksina: ≤ 10 EU/mg CFU: jedinice koje tvore kolonije; EU: jedinice endotoksina” |
ODLUKE
|
7.6.2021 |
HR |
Službeni list Europske unije |
L 199/13 |
PROVEDBENA ODLUKA KOMISIJE (EU) 2021/913
оd 3. lipnja 2021.
o usklađenim normama za kućanske perilice posuđa izrađenima za potrebe Uredbe (EU) 2019/2022 i Delegirane uredbe (EU) 2019/2017
EUROPSKA KOMISIJA,
uzimajući u obzir Ugovor o funkcioniranju Europske unije,
uzimajući u obzir Uredbu (EU) br. 1025/2012 Europskog parlamenta i Vijeća od 25. listopada 2012. o europskoj normizaciji, o izmjeni direktiva Vijeća 89/686/EEZ i 93/15/EEZ i direktiva 94/9/EZ, 94/25/EZ, 95/16/EZ, 97/23/EZ, 98/34/EZ, 2004/22/EZ, 2007/23/EZ, 2009/23/EZ i 2009/105/EZ Europskog parlamenta i Vijeća te o stavljanju izvan snage Odluke Vijeća 87/95/EEZ i Odluke br. 1673/2006/EZ Europskog parlamenta i Vijeća (1), a posebno njezin članak 10. stavak 6.,
budući da:
|
(1) |
U skladu s člankom 9. stavkom 2. Direktive 2009/125/EZ Europskog parlamenta i Vijeća (2) države članice smatraju da je proizvod na koji su primijenjene usklađene norme, čiji su referentni brojevi objavljeni u Službenom listu Europske unije, sukladan svim odgovarajućim zahtjevima primjenljive provedbene mjere na koju se takve norme odnose. U članku 4. Uredbe Komisije (EU) 2019/2022 (3) i njezinom Prilogu III. utvrđuju se relevantni zahtjevi u pogledu mjerenja i izračuna za kućanske perilice posuđa. |
|
(2) |
U skladu s člankom 13. Uredbe (EU) 2017/1369 Europskog parlamenta i Vijeća (4), nakon donošenja delegiranog akta na temelju članka 16. te uredbe kojim se utvrđuju posebni zahtjevi za označivanje, Komisija u Službenom listu Europske unije objavljuje upućivanja na usklađene norme koje ispunjavaju relevantne zahtjeve mjerenja i izračuna iz delegiranog akta. Ako se tijekom ocjenjivanja usklađenosti proizvoda primjenjuju takve usklađene norme, za model se pretpostavlja da je usklađen s relevantnim zahtjevima mjerenja i izračuna iz delegiranog akta. U članku 3. Delegirane uredbe Komisije (EU) 2019/2017 (5) i njezinom Prilogu IV. utvrđuju se zahtjevi u pogledu mjerenja i izračuna za kućanske perilice posuđa. |
|
(3) |
Provedbenom odlukom C(2020) 4329 (6) Komisija je Europskom odboru za normizaciju (CEN), Europskom odboru za elektrotehničku normizaciju (Cenelec) i Europskom institutu za telekomunikacijske norme (ETSI) podnijela zahtjev za reviziju postojećih usklađenih normi za kućanske perilice posuđa, kućanske perilice rublja i kućanske perilice-sušilice rublja za potrebe uredbi (EU) 2019/2022 i (EU) 2019/2023 te delegiranih uredbi (EU) 2019/2017 i (EU) 2019/2014. |
|
(4) |
Cenelec je na temelju zahtjeva iz Provedbene odluke C(2020) 4329 izradio usklađenu normu EN 60436:2020 kako bi se uzeo u obzir tehnički i znanstveni napredak. Cenelec je donio i izmjenu EN 60436:2020/A11:2020 i ispravak EN 60436:2020/AC:2020-6 te norme. |
|
(5) |
Komisija je zajedno s Cenelec-om ocijenila je li usklađena norma EN 60436:2020, kako je izmijenjena normom EN 60436:2020/A11:2020 i ispravljena normom EN 60436:2020/AC:2020-6, u skladu sa zahtjevom iz Provedbene odluke C(2020) 4329. |
|
(6) |
Usklađena norma EN 60436:2020, kako je izmijenjena normom EN 60436:2020/A11:2020 i ispravljena normom EN 60436:2020/AC:2020-6, ispunjava zahtjeve koje joj je cilj obuhvatiti i koji su navedeni u Uredbi (EU) 2019/2022 i Delegiranoj uredbi (EU) 2019/2017. |
|
(7) |
Potrebno je pojasniti koje se verzije normi na koje se upućuje u klauzuli ‚3. Izmjena klauzule 2. „Normativni referentni dokumenti”’ norme EN 60436:2020 trebaju primijeniti za potrebe pretpostavke sukladnosti. |
|
(8) |
Stupac „Napomene/bilješke*” u tablici ZZA.1 usklađene norme EN 60436:2020 za potrebe Delegirane uredbe (EU) 2019/2017 i stupac „Napomene/bilješke*” u tablici ZZB.1 te norme za potrebe Uredbe (EU) 2019/2022 trebali bi biti isključeni iz objave zbog neusklađenosti tih stupaca sa zahtjevima u glavnom normativnom dijelu norme i zbog pravne nesigurnosti koja proizlazi iz tumačenja pravnih učinaka pretpostavke sukladnosti iz bilješke za te stupce. |
|
(9) |
Stoga je primjereno u Službenom listu Europske unije uz ograničenje objaviti upućivanje na usklađenu normu EN 60436:2020, kako je izmijenjena normom EN 60436:2020/A11:2020 i ispravljena normom EN 60436:2020/AC:2020-6. |
|
(10) |
Usklađena norma EN 60436:2020 zamjenjuje usklađenu normu EN 50242:2016, objavljenu u Komunikaciji Komisije 2016/C 416/05 (7). Stoga je primjereno tu Komunikaciju staviti izvan snage. |
|
(11) |
Sukladnost s usklađenom normom stvara pretpostavku sukladnosti s odgovarajućim zahtjevima iz zakonodavstva Unije o usklađivanju od datuma objave upućivanja na tu normu u Službenom listu Europske unije. Ova bi Odluka stoga trebala stupiti na snagu na dan objave, |
DONIJELA JE OVU ODLUKU:
Članak 1.
Upućivanje na usklađenu normu za označivanje energetske učinkovitosti kućanskih perilica posuđa izrađenu za potrebe Delegirane uredbe (EU) 2019/2017 navedeno u Prilogu I. ovoj Odluci objavljuje se u Službenom listu Europske unije uz ograničenje.
Upućivanje na usklađenu normu za ekološki dizajn kućanskih perilica posuđa izrađenu za potrebe Uredbe (EU) 2019/2022 navedeno u Prilogu II. ovoj Odluci objavljuje se u Službenom listu Europske unije uz ograničenje.
Članak 2.
Komunikacija 2016/C 416/05 stavlja se izvan snage.
Članak 3.
Ova Odluka stupa na snagu na dan objave u Službenom listu Europske unije.
Sastavljeno u Bruxellesu 3. lipnja 2021.
Za Komisiju
Predsjednica
Ursula VON DER LEYEN
(1) SL L 316, 14.11.2012., str. 12.
(2) Direktiva 2009/125/EZ Europskog parlamenta i Vijeća od 21. listopada 2009. o uspostavi okvira za utvrđivanje zahtjeva za ekološki dizajn proizvoda koji koriste energiju (SL L 285, 31.10.2009., str. 10.).
(3) Uredba Komisije (EU) 2019/2022 оd 1. listopada 2019. o utvrđivanju zahtjeva za ekološki dizajn kućanskih perilica posuđa u skladu s Direktivom 2009/125/EZ Europskog parlamenta i Vijeća, o izmjeni Uredbe Komisije (EZ) br. 1275/2008 te o stavljanju izvan snage Uredbe Komisije (EU) br. 1016/2010 (SL L 315, 5.12.2019., str. 267.).
(4) Uredba (EU) 2017/1369 Europskog parlamenta i Vijeća od 4. srpnja 2017. o utvrđivanju okvira za označivanje energetske učinkovitosti i o stavljanju izvan snage Direktive 2010/30/EU (SL L 198, 28.7.2017., str. 1.).
(5) Delegirana uredba Komisije (EU) 2019/2017 оd 11. ožujka 2019. o dopuni Uredbe (EU) 2017/1369 Europskog parlamenta i Vijeća u pogledu označivanja energetske učinkovitosti kućanskih perilica posuđa te o stavljanju izvan snage Delegirane uredbe Komisije (EU) br. 1059/2010 (SL L 315, 5.12.2019., str. 134.).
(6) Provedbena odluka Komisije C(2020) 4329 od 1. srpnja 2020. o zahtjevu za normizaciju upućenom Europskom odboru za normizaciju, Europskom odboru za elektrotehničku normizaciju i Europskom institutu za telekomunikacijske norme u pogledu zahtjeva za ekološki dizajn i označivanje energetske učinkovitosti kućanskih perilica posuđa, kućanskih perilica rublja i kućanskih perilica-sušilica rublja za potrebe uredbi Komisije (EU) 2019/2022 i (EU) 2019/2023 te delegiranih uredbi Komisije (EU) 2019/2017 i (EU) 2019/2014.
(7) Komunikacija Komisije u okviru provedbe Uredbe Komisije (EU) br. 1016/2010 o provedbi Direktive 2009/125/EZ Europskog parlamenta i Vijeća o zahtjevima za ekološki dizajn kućanskih perilica posuđa, i Delegirane uredbe Komisije (EU) br. 1059/2010 o dopuni Direktive 2010/30/EU Europskog parlamenta i Vijeća u pogledu označivanja energetske učinkovitosti kućanskih perilica posuđa (Objava naslova usklađenih normi i upućivanja na njih u okviru zakonodavstva Unije o usklađivanju) (SL C 416, 11.11.2016., str. 14.).
PRILOG I.
Upućivanje na usklađenu normu izrađenu za potrebe Delegirane uredbe (EU) 2019/2017
|
EN 60436:2020 Električne perilice posuđa za kućansku uporabu – metode mjerenja učinkovitosti EN 60436:2020/A11:2020 EN 60436:2020/AC:2020-6 Ograničenja:
|
PRILOG II.
Upućivanje na usklađenu normu izrađenu za potrebe Uredbe (EU) 2019/2022
|
EN 60436:2020 Električne perilice posuđa za kućansku uporabu – metode mjerenja učinkovitosti EN 60436:2020/A11:2020 EN 60436:2020/AC:2020-6 Ograničenja:
|
|
7.6.2021 |
HR |
Službeni list Europske unije |
L 199/18 |
PROVEDBENA ODLUKA KOMISIJE (EU) 2021/915
оd 4. lipnja 2021.
o standardnim ugovornim klauzulama između voditeljâ obrade i izvršiteljâ obrade iz članka 28. stavka 7. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća i članka 29. stavka 7. Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća
(Tekst značajan za EGP)
EUROPSKA KOMISIJA,
uzimajući u obzir Ugovor o funkcioniranju Europske unije,
uzimajući u obzir Uredbu (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (1), a posebno njezin članak 28. stavak 7.,
uzimajući u obzir Uredbu (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (Uredba EU-a o zaštiti podataka) (2), a posebno njezin članak 29. stavak 7.,
budući da:
|
(1) |
Pojmovi voditelja obrade i izvršitelja obrade imaju ključnu ulogu u primjeni Uredbe (EU) 2016/679 i Uredbe (EU) 2018/1725. Voditelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka. Za potrebe Uredbe (EU) 2018/1725 voditelj obrade znači institucija ili tijelo Unije ili glavna uprava ili bilo koji drugi organizacijski subjekt koji samostalno ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka. Ako su svrhe i sredstva te obrade određeni posebnim aktom Unije, Unija može odrediti voditelja obrade ili posebne kriterije za njegovo imenovanje. Izvršitelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade. |
|
(2) |
Isti skup standardnih ugovornih klauzula trebao bi se primjenjivati na odnos između voditeljâ obrade podataka i izvršiteljâ obrade podataka koji podliježu Uredbi (EU) 2016/679 i kada podliježu Uredbi (EU) 2018/1725. Razlog tomu je što su, kako bi se osigurao dosljedan pristup zaštiti osobnih podataka širom Unije i slobodno kretanje osobnih podataka u Uniji, pravila o zaštiti podataka u Uredbi (EU) 2016/679, koja se primjenjuju na javni sektor u državama članicama, i pravila o zaštiti podataka u Uredbi (EU) 2018/1725, koja se primjenjuju na institucije, tijela, urede i agencije Unije, međusobno usklađena koliko god je to moguće. |
|
(3) |
Kako bi se osiguralo poštovanje zahtjeva iz Uredbe (EU) 2016/679 i Uredbe (EU) 2018/1725, pri povjeravanju aktivnosti obrade izvršitelju obrade, voditelj obrade trebao bi angažirati samo izvršitelje obrade koji u zadovoljavajućoj mjeri jamče, osobito u pogledu stručnog znanja, pouzdanosti i resursa, provedbu tehničkih i organizacijskih mjera koje udovoljavaju zahtjevima Uredbe (EU) 2016/679 i Uredbe (EU) 2018/1725, među ostalim u pogledu sigurnosti obrade. |
|
(4) |
Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, koji izvršitelja obrade obvezuje prema voditelju obrade, a u kojem se navode elementi navedeni u članku 28. stavcima 3. i 4. Uredbe (EU) 2016/679 ili članku 29. stavcima 3. i 4. Uredbe (EU) 2018/1725. Taj ugovor ili akt mora biti u pisanom obliku, uključujući elektronički oblik. |
|
(5) |
U skladu s člankom 28. stavkom 6. Uredbe (EU) 2016/679 i člankom 29. stavkom 6. Uredbe (EU) 2018/1725 voditelj obrade i izvršitelj obrade mogu, ako tako odluče, dogovoriti pojedinačni ugovor koji sadržava obvezne elemente iz članka 28. stavaka 3. i 4. Uredbe (EU) 2016/679 odnosno članka 29. stavaka 3. i 4. Uredbe (EU) 2018/1725, ili upotrijebiti, djelomično ili u cijelosti, standardne ugovorne klauzule koje je donijela Komisija u skladu s člankom 28. stavkom 7. Uredbe (EU) 2016/679 i člankom 29. stavkom 7. Uredbe (EU) 2018/1725. |
|
(6) |
Voditelj obrade i izvršitelj obrade trebali bi smjeti uključiti standardne ugovorne klauzule iz ove Odluke u širi ugovor, te dodati druge klauzule ili dodatne zaštitne mjere, pod uvjetom da one izravno ili neizravno ne proturječe standardnim ugovornim klauzulama te da ne dovode u pitanje temeljna prava ili slobode ispitanika. Upotreba standardnih ugovornih klauzula ne dovodi u pitanje eventualne ugovorne obveze voditelja obrade i/ili izvršitelja obrade kojima je cilj osigurati poštovanje primjenjivih povlastica i imuniteta. |
|
(7) |
Standardne ugovorne klauzule trebale bi obuhvaćati materijalna i postupovna pravila. U skladu s člankom 28. stavkom 3. Uredbe (EU) 2016/679 i člankom 29. stavkom 3. Uredbe (EU) 2018/1725, standardne ugovorne klauzule trebale bi uključivati zahtjev da voditelj obrade i izvršitelj obrade navedu predmet i trajanje obrade, prirodu i svrhu obrade, vrstu osobnih podataka na koje se to odnosi i kategorije ispitanika te obveze i prava voditelja obrade. |
|
(8) |
U skladu s člankom 28. stavkom 3. Uredbe (EU) 2016/679 i u skladu s člankom 29. stavkom 3. Uredbe (EU) 2018/1725 izvršitelj obrade bez odgode obavješćuje voditelja obrade ako se prema njegovu mišljenju određenom uputom voditelja obrade krši Uredba (EU) 2016/679 ili Uredba (EU) 2018/1725 ili druge odredbe Unije ili države članice o zaštiti podataka. |
|
(9) |
Ako izvršitelj obrade angažira drugog izvršitelja obrade za provođenje određenih aktivnosti, primjenjuju se posebni zahtjevi iz članka 28. stavaka 2. i 4. Uredbe (EU) 2016/679 ili članka 29. stavaka 2. i 4. Uredbe (EU) 2018/1725. Prije svega je potrebno prethodno posebno ili opće pisano odobrenje. Bez obzira je li to prethodno odobrenje posebno ili opće, prvi izvršitelj obrade trebao bi ažurirati popis drugih izvršitelja obrade. |
|
(10) |
Kako bi se ispunili zahtjevi iz članka 46. stavka 1. Uredbe (EU) 2016/679, Komisija je donijela standardne ugovorne klauzule u skladu s člankom 46. stavkom 2. točkom (c) Uredbe (EU) 2016/679. Te klauzule ispunjavaju i zahtjeve iz članka 28. stavaka 3. i 4. Uredbe (EU) 2016/679 za prijenose podataka od voditeljâ obrade u skladu s Uredbom (EU) 2016/679 izvršiteljima obrade izvan teritorijalnog područja primjene te uredbe ili od izvršitelja obrade u skladu s Uredbom (EU) 2016/679 podizvršiteljima obrade izvan teritorijalnog područja primjene te uredbe. Te standardne ugovorne klauzule ne mogu se upotrebljavati kao standardne ugovorne klauzule za potrebe poglavlja V. Uredbe (EU) 2016/679. |
|
(11) |
Treće strane trebale bi moći postati stranke u standardnim ugovornim klauzulama tijekom cijelog trajanja ugovora. |
|
(12) |
Funkcioniranje standardnih ugovornih klauzula trebalo bi ocjenjivati u okviru redovite ocjene Uredbe (EU) 2016/679 iz članka 97. te uredbe. |
|
(13) |
Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka i Europskim odborom za zaštitu podataka u skladu s člankom 42. stavcima 1. i 2. Uredbe (EU) 2018/1725 te su oni 14. siječnja 2021. (3) dali zajedničko mišljenje, koje je uzeto u obzir u pripremi ove Odluke. |
|
(14) |
Mjere iz ove Odluke u skladu su s mišljenjem odbora uspostavljenog u skladu s člankom 93. Uredbe (EU) 2016/679 i člankom 96. stavkom 2. Uredbe (EU) 2018/1725, |
DONIJELA JE OVU ODLUKU:
Članak 1.
Standardne ugovorne klauzule iz Priloga ispunjavaju zahtjeve za ugovore između voditeljâ obrade i izvršiteljâ obrade iz članka 28. stavaka 3. i 4. Uredbe (EU) 2016/679 i članka 29. stavaka 3. i 4. Uredbe (EU) 2018/1725.
Članak 2.
Standardne ugovorne klauzule iz Priloga mogu se upotrebljavati u ugovorima između voditelja obrade i izvršitelja obrade koji obrađuje osobne podatke u ime voditelja obrade.
Članak 3.
Komisija u okviru redovite ocjene iz članka 97. Uredbe (EU) 2016/679 ocjenjuje praktičnu primjenu standardnih ugovornih klauzula iz Priloga na temelju svih dostupnih informacija.
Članak 4.
Ova Odluka stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.
Sastavljeno u Bruxellesu 4. lipnja 2021.
Za Komisiju
Predsjednica
Ursula VON DER LEYEN
(1) SL L 119, 4.5.2016., str. 1.
(2) SL L 295, 21.11.2018., str. 39.
(3) Zajedničko mišljenje 1/2021 Europskog odbora za zaštitu podataka i Europskog nadzornika za zaštitu podataka o Provedbenoj odluci Europske komisije o standardnim ugovornim klauzulama između voditelja obrade i izvršitelja obrade u pogledu pitanja iz članka 28. stavka 7. Uredbe (EU) 2016/679 i članka 29. stavka 7. Uredbe (EU) 2018/1725.
PRILOG
Standardne ugovorne klauzule
ODJELJAK I.
Klauzula 1.
Svrha i područje primjene
|
(a) |
Svrha je ovih Standardnih ugovornih klauzula (dalje u tekstu: „Klauzule”) osiguravanje usklađenosti s [odaberite relevantnu opciju: OPCIJA 1.: člankom 28. stavcima 3. i 4. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka)] / [OPCIJA 2.: člankom 29. stavcima 3. i 4. Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ]. |
|
(b) |
Voditelji obrade i izvršitelji obrade s popisa u Prilogu I. suglasili su se s ovim Klauzulama kako bi se osigurala usklađenost s člankom 28. stavcima 3. i 4. Uredbe (EU) 2016/679 i/ili člankom 29. stavcima 3. i 4. Uredbe (EU) 2018/1725. |
|
(c) |
Ove se Klauzule primjenjuju na obradu osobnih podataka kako je navedeno u Prilogu II. |
|
(d) |
Prilozi od I. do IV. čine sastavni dio Klauzula. |
|
(e) |
Ovim se Klauzulama ne dovode u pitanje obveze voditelja obrade iz Uredbe (EU) 2016/679 i/ili Uredbe (EU) 2018/1725. |
|
(f) |
Ove Klauzule same po sebi ne osiguravaju usklađenost s obvezama povezanima s međunarodnim prijenosima iz poglavlja V. Uredbe (EU) 2016/679 i/ili Uredbe (EU) 2018/1725. |
Klauzula 2.
Nepromjenjivost Klauzula
|
(a) |
Stranke se obvezuju da neće mijenjati Klauzule, osim radi dodavanja informacija u priloge ili ažuriranja informacija u njima. |
|
(b) |
To ne sprječava stranke da uključe standardne ugovorne klauzule iz ovih Klauzula u širi ugovor ili da dodaju druge klauzule ili dodatne zaštitne mjere, pod uvjetom da one izravno ili neizravno ne proturječe Klauzulama te da ne dovode u pitanje temeljna prava ili slobode ispitanika. |
Klauzula 3.
Tumačenje
|
(a) |
Ako se u ovim Klauzulama upotrebljavaju termini definirani u Uredbi (EU) 2016/679 odnosno Uredbi (EU) 2018/1725, ti termini imaju isto značenje kao i u tim uredbama. |
|
(b) |
Ove se Klauzule tumače u svjetlu odredaba Uredbe (EU) 2016/679 odnosno Uredbe (EU) 2018/1725. |
|
(c) |
Ove se Klauzule ne smiju tumačiti na način koji je protivan pravilima i obvezama iz Uredbe (EU) 2016/679 / Uredbe (EU) 2018/1725 ili na način kojim se dovode u pitanje temeljna prava ili slobode ispitanika. |
Klauzula 4.
Hijerarhija
U slučaju proturječnosti između ovih Klauzula i odredaba povezanih sporazuma između Stranaka koji postoje u trenutku kada su ove Klauzule dogovorene ili su sklopljeni nakon toga, ove Klauzule imaju prednost.
Klauzula 5. – neobavezna
Klauzula o pristupanju
|
(a) |
Svaki subjekt koji nije Stranka ovih Klauzula može, ako se sve stranke s time slažu, pristupiti ovim Klauzulama u bilo kojem trenutku kao voditelj obrade ili kao izvršitelj obrade, popunjavanjem prilogâ i potpisivanjem Priloga I. |
|
(b) |
Nakon što su prilozi iz točke (a) popunjeni i potpisani, subjekt koji pristupa smatra se Strankom ovih Klauzula i ima prava i obveze voditelja obrade ili izvršitelja obrade, u skladu s imenovanjem iz Priloga I. |
|
(c) |
Subjekt koji pristupa nema prava ni obveze koje proizlaze iz ovih Klauzula za razdoblje prije nego što je postao Stranka. |
ODJELJAK II.
OBVEZE STRANAKA
Klauzula 6.
Opis obrade
Detalji postupaka obrade, a posebno kategorije osobnih podataka i svrhe za koje se osobni podaci obrađuju u ime voditelja obrade, navode se u Prilogu II.
Klauzula 7.
Obveze Stranaka
7.1. Upute
|
(a) |
Izvršitelj obrade obrađuje osobne podatke samo prema dokumentiranim uputama voditelja obrade, osim ako to nalaže pravo Unije ili pravo države članice kojem podliježe izvršitelj obrade. U tom slučaju izvršitelj obrade obavješćuje voditelja obrade o tom pravnom zahtjevu prije obrade, osim ako se pravom to zabranjuje zbog važnih razloga od javnog interesa. Voditelj obrade može dati daljnje upute tijekom cijelog trajanja obrade osobnih podataka. Te upute uvijek moraju biti zabilježene. |
|
(b) |
Izvršitelj obrade odmah obavješćuje voditelja obrade ako izvršitelj obrade smatra da se uputama voditelja obrade krše Uredba (EU) 2016/679 / Uredba (EU) 2018/1725 ili primjenjive odredbe Unije ili države članice o zaštiti podataka. |
7.2. Ograničavanje svrhe
Izvršitelj obrade obrađuje osobne podatke samo za svrhe obrade koje su navedene u Prilogu II., osim ako od voditelja obrade dobije daljnje upute.
7.3. Trajanje obrade osobnih podataka
Obrada koju obavlja izvršitelj obrade traje samo onoliko dugo koliko je navedeno u Prilogu II.
7.4. Sigurnost obrade
|
(a) |
Kako bi se zajamčila sigurnost osobnih podataka, izvršitelj obrade primjenjuje barem tehničke i organizacijske mjere navedene u Prilogu III. To obuhvaća zaštitu podataka od kršenja sigurnosti koje vodi do slučajnog ili nezakonitog uništenja, gubitka, promjene, neovlaštenog otkrivanja ili pristupa podacima (povreda osobnih podataka). Pri ocjenjivanju odgovarajuće razine sigurnosti Stranke moraju voditi računa o tehnologiji, troškovima provedbe, prirodi, opsegu, kontekstu i svrhama obrade te rizicima za ispitanike. |
|
(b) |
Izvršitelj obrade daje pristup osobnim podacima koji se obrađuju svojem osoblju samo u mjeri u kojoj je to nužno kako bi se proveo ugovor, upravljalo ugovorom i nadzirao ugovor. Izvršitelj obrade osigurava da su se osobe ovlaštene za obradu zaprimljenih osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti. |
7.5. Osjetljivi podaci
Ako obrada uključuje otkrivanje osobnih podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu, genetske ili biometrijske podatke u svrhu jedinstvene identifikacije fizičke osobe, podatke koji se odnose na zdravlje ili spolni život ili seksualnu orijentaciju pojedinca, ili kaznene osude i kažnjiva djela („osjetljivi podaci”), izvršitelj obrade primjenjuje posebna ograničenja i/ili dodatne zaštitne mjere.
7.6. Dokumentacija i poštovanje obveza
|
(a) |
Stranke moraju moći dokazati da poštuju ove Klauzule. |
|
(b) |
Izvršitelj obrade mora bez odgode i na odgovarajući način reagirati na upite voditelja obrade o obradi podataka u skladu s ovim Klauzulama. |
|
(c) |
Izvršitelj obrade stavlja voditelju obrade na raspolaganje sve informacije koje su potrebne za dokazivanje poštovanja obveza iz ovih Klauzula i koje proizlaze izravno iz Uredbe (EU) 2016/679 i/ili Uredbe (EU) 2018/1725. Na zahtjev voditelja obrade izvršitelj obrade dopušta revizije aktivnosti obrade obuhvaćenih ovim Klauzulama te doprinosi tim revizijama, u razumnim intervalima ili ako postoje naznake kršenja obveza. Pri odluci o preispitivanju ili reviziji voditelj obrade može uzeti u obzir relevantne certifikate izvršitelja obrade. |
|
(d) |
Voditelj obrade može odlučiti da će reviziju provesti sam ili je povjeriti neovisnom revizoru. Revizije mogu također obuhvaćati inspekcije u prostorijama ili fizičkim objektima izvršitelja obrade i, prema potrebi, obavljati se uz prethodnu obavijest u razumnom roku. |
|
(e) |
Na zahtjev nadležnog nadzornog tijela/nadležnih nadzornih tijela, stranke tom tijelu/tim tijelima stavljaju na raspolaganje informacije iz ove Klauzule, uključujući i rezultate eventualnih revizija. |
7.7. Angažiranje podizvršitelja obrade
|
(a) |
OPCIJA 1.: PRETHODNO POSEBNO ODOBRENJE: Izvršitelj obrade ne smije svoje postupke obrade koje izvršava u ime voditelja obrade u skladu s ovim Klauzulama podugovoriti podizvršitelju obrade ako za to od voditelja obrade ne dobije prethodno posebno pisano odobrenje. Izvršitelj obrade podnosi zahtjev za posebno odobrenje najmanje [NAVESTI VREMENSKO RAZDOBLJE] prije angažiranja predmetnog podizvršitelja obrade, zajedno s informacijama koje su potrebne da bi voditelj obrade mogao odlučiti hoće li dati odobrenje. Popis podizvršitelja obrade koje je voditelj obrade odobrio nalazi se u Prilogu IV. Stranke su odgovorne za ažuriranje Priloga IV. OPCIJA 2.: OPĆE PISANO ODOBRENJE: Izvršitelj obrade ima opće odobrenje voditelja obrade da može angažirati podizvršitelje obrade s popisa koji je voditelj odobrio. Izvršitelj obrade posebno, u pisanom obliku, najmanje [NAVESTI VREMENSKO RAZDOBLJE] unaprijed obavještava voditelja obrade o svim izmjenama tog popisa ako namjerava dodati ili zamijeniti podizvršitelje obrade, kako bi voditelj obrade imao dovoljno vremena da podnese prigovor prije angažiranja predmetnog podizvršitelja obrade. Izvršitelj obrade pruža voditelju obrade informacije koje su mu potrebne da bi mogao ostvariti svoje pravo na prigovor. |
|
(b) |
Ako izvršitelj obrade angažira drugog podizvršitelja obrade za izvođenje određenih aktivnosti obrade (u ime voditelja obrade), za to mora s podizvršiteljem obrade sklopiti ugovor kojim se podizvršitelj obvezuje da u suštini ima iste obveze zaštite podataka kao i izvršitelj obrade u skladu s ovim Klauzulama. Izvršitelj obrade mora osigurati da podizvršitelj obrade poštuje obveze kojima podliježe izvršitelj obveze u skladu s ovim Klauzulama te Uredbom (EU) 2016/679 i/ili Uredbom (EU) 2018/1725. |
|
(c) |
Izvršitelj obrade na zahtjev voditelja obrade stavlja voditelju obrade na raspolaganje kopiju ugovora s podizvršiteljem obrade i sve naknadne izmjene tog ugovora. Izvršitelj obrade smije, u mjeri u kojoj je to potrebno da bi se zaštitile poslovne tajne i druge povjerljive informacije te osobni podaci, izbrisati dijelove teksta ugovora prije stavljanja kopije na raspolaganje. |
|
(d) |
Izvršitelj obrade ostaje u potpunosti odgovoran prema voditelju obrade za izvršavanje obveza podizvršitelja obrade u skladu s njegovim ugovorom s izvršiteljem obrade. Izvršitelj obrade obavješćuje voditelja obrade o svakom nepostupanju podizvršitelja obrade u skladu s ugovornim obvezama. |
|
(e) |
Izvršitelj obrade s podizvršiteljem obrade ugovara klauzulu u korist treće strane, u kojoj se navodi da ako izvršitelj obrade u praksi nestane, pravno prestane postojati ili postane nesolventan, voditelj obrade ima pravo raskinuti ugovor s podizvršiteljem obrade i naložiti podizvršitelju obrade da izbriše ili vrati osobne podatke. |
7.8. Međunarodni prijenos podataka
|
(a) |
Ako izvršitelj obrade prenosi bilo kakve podatke trećoj zemlji ili međunarodnoj organizaciji, to smije učiniti samo na temelju dokumentiranih uputa voditelja obrade ili ako je to potrebno radi ispunjavanja određene odredbe prava Unije ili prava države članice kojem izvršitelj obrade podliježe, a taj se prijenos obavlja u skladu s poglavljem V. Uredbe (EU) 2016/679 ili Uredbe (EU) 2018/1725. |
|
(b) |
Voditelj obrade se slaže da ako izvršitelj obrade angažira podizvršitelja obrade u skladu s Klauzulom 7.7. radi izvršavanja određenih aktivnosti obrade (u ime voditelja obrade) i te aktivnosti obrade uključuju prijenos osobnih podataka u smislu poglavlja V. Uredbe (EU) 2016/679, izvršitelj obrade i podizvršitelj obrade mogu osigurati usklađenost s poglavljem V. Uredbe (EU) 2016/679 upotrebom standardnih ugovornih klauzula koje je donijela Komisija u skladu s člankom 46. stavkom 2. Uredbe (EU) 2016/679, pod uvjetom da su ispunjeni uvjeti za upotrebu tih standardnih ugovornih klauzula. |
Klauzula 8.
Pomoć voditelju obrade
|
(a) |
Izvršitelj obrade odmah obavješćuje voditelja obrade o svakom zahtjevu koji zaprimi od ispitanika. Izvršitelj obrade sam ne odgovara na taj zahtjev, osim ako ga za to ne ovlasti voditelj obrade. |
|
(b) |
Izvršitelj obrade pomaže voditelju obrade u ispunjavanju njegovih obveza da odgovori na zahtjeve ispitanika da ostvare svoja prava, uzimajući u obzir prirodu obrade. Pri ispunjavanju svojih obveza u skladu s točkama (a) i (b) izvršitelj obrade pridržava se uputa voditelja obrade. |
|
(c) |
Uz obvezu da pomaže voditelju obrade u skladu s Klauzulom 8. točkom (b), izvršitelj obrade pomaže voditelju obrade i u osiguravanju usklađenosti sa sljedećim obvezama, uzimajući u obzir prirodu obrade i informacije koje su dostupne izvršitelju obrade:
|
|
(d) |
Stranke u Prilogu III. utvrđuju odgovarajuće tehničke i organizacijske mjere s pomoću kojih izvršitelj obrade pomaže voditelju obrade u primjeni ove Klauzule te opseg i razmjere potrebne pomoći. |
Klauzula 9.
Izvješćivanje o povredi osobnih podataka
U slučaju povrede osobnih podataka izvršitelj obrade surađuje s voditeljem obrade i pomaže mu u poštovanju obveza iz članaka 33. i 34. Uredbe (EU) 2016/679 ili članaka 34. i 35. Uredbe (EU) 2018/1725, ovisno što je primjenjivo, uzimajući u obzir prirodu obrade i informacije koje su dostupne izvršitelju obrade.
9.1. Povreda podataka koja se odnosi na podatke koje obrađuje voditelj obrade
U slučaju povrede osobnih podataka koja se odnosi na podatke koje obrađuje voditelj obrade, izvršitelj obrade pomaže voditelju obrade:
|
(a) |
u obavješćivanju nadležnog nadzornog tijela/nadležnih nadzornih tijela o povredi osobnih podataka, bez nepotrebne odgode nakon što je voditelj obrade za tu povredu saznao, prema potrebi/(osim ako nije vjerojatno da će ta povreda osobnih podataka prouzročiti rizik za prava i slobode fizičkih osoba); |
|
(b) |
u dobivanju sljedećih informacija koje se, u skladu s [OPCIJA 1.] člankom 33. stavkom 3. Uredbe (EU) 2016/679/ [OPCIJA 2.] člankom 34. stavkom 3. Uredbe (EU) 2018/1725, navode u obavijesti voditelja obrade i moraju uključivati barem:
|
Ako nije moguće istodobno pružiti sve te informacije, i u onoj mjeri u kojoj to nije moguće, početna obavijest sadržava informacije koje su u tom trenutku dostupne, a daljnje informacije se, bez nepotrebne odgode, šalju kada postanu dostupne.
|
(c) |
u poštovanju, u skladu s [OPCIJA 1.] člankom 34. Uredbe (EU) 2016/679 / [OPCIJA 2.] člankom 35. Uredbe (EU) 2018/1725, obveze da se ispitanika bez nepotrebne odgode obavijesti o povredi osobnih podataka, ako je vjerojatno da će ta povreda osobnih podataka prouzročiti visok rizik za prava i slobode fizičkih osoba. |
9.2. Povreda podataka koja se odnosi na podatke koje obrađuje izvršitelj obrade
U slučaju povrede osobnih podataka koja se odnosi na podatke koje obrađuje izvršitelj obrade, izvršitelj obrade nakon što sazna za povredu osobnih podataka o tome bez nepotrebnog odgađanja obavještava voditelja obrade. Ta obavijest sadržava barem:
|
(a) |
opis prirode povrede (uključujući, ako je moguće, kategorije i približan broj ispitanika i evidencija podataka o kojima je riječ); |
|
(b) |
podatke o kontaktnoj točki gdje se može dobiti više informacija o povredi osobnih podataka; |
|
(c) |
vjerojatne posljedice povrede i mjere koje su poduzete ili predložene za rješavanje problema povrede, uključujući mjere za umanjivanje njezinih mogućih štetnih posljedica. |
Ako nije moguće istodobno pružiti sve te informacije, i u onoj mjeri u kojoj to nije moguće, početna obavijest sadržava informacije koje su u tom trenutku dostupne, a daljnje informacije se, bez nepotrebne odgode, šalju kada postanu dostupne.
U Prilogu III. stranke utvrđuju sve druge elemente koje izvršitelj obrade treba staviti na raspolaganje kada pomaže voditelju obrade da ispuni obveze voditelja obrade iz [OPCIJA 1.] članka 33. i članka 34. Uredbe (EU) 2016/679 / [OPCIJA 2.] članka 34. i članka 35. Uredbe (EU) 2018/1725.
ODJELJAK III.
ZAVRŠNE ODREDBE
Klauzula 10.
Neusklađenost s Klauzulama i raskid
|
(a) |
Ne dovodeći u pitanje odredbe Uredbe (EU) 2016/679 i/ili Uredbe (EU) 2018/1725, ako izvršitelj obrade prekrši obveze iz ovih Klauzula, voditelj obrade može naložiti izvršitelju obrade da prekine obradu osobnih podataka dok izvršitelj obrade ne osigura pridržavanje ovih Klauzula ili do raskida ugovora. Izvršitelj obrade bez odgode obavješćuje voditelja obrade ako se zbog bilo kojeg razloga ne može pridržavati ovih Klauzula. |
|
(b) |
Voditelj obrade ima pravo raskinuti ugovor u mjeri u kojoj se to odnosi na obradu osobnih podataka u skladu s ovim Klauzulama ako je:
|
|
(c) |
Izvršitelj obrade smije raskinuti ugovor u mjeri u kojoj se to odnosi na obradu osobnih podataka u skladu s ovim Klauzulama ako, nakon što je obavijestio voditelja obrade da njegove upute krše primjenjive pravne zahtjeve iz Klauzule 7.1. točke (b), voditelj obrade ustrajava na poštovanju tih uputa. |
|
(d) |
Nakon raskida ugovora izvršitelj obrade mora, prema izboru voditelja obrade, izbrisati sve osobne podatke koje je obrađivao u ime voditelja obrade i potvrditi voditelju obrade da je to učinio, ili vratiti voditelju obrade sve osobne podatke i izbrisati sve kopije, osim ako je pravom Unije ili države članice propisana obveza pohrane osobnih podataka. Dok se podaci ne izbrišu ili ne vrate, izvršitelj obrade nastavlja osiguravati usklađenost s ovim Klauzulama. |
PRILOG I.
Popis stranaka
Voditelj(i) obrade: [Ime i kontaktni podaci voditelja obrade i, ako je primjenjivo, službenika za zaštitu podataka voditelja obrade]
|
1. |
Ime: … |
|
|
Adresa: … |
|
|
Ime, funkcija i kontaktni podaci osobe za kontakt: … |
|
|
Potpis i datum pristupanja: … |
|
2. |
|
…
Izvršitelj(i) obrade: [Ime i kontaktni podaci izvršitelja obrade i, ako je primjenjivo, službenika za zaštitu podataka izvršitelja obrade]
|
1. |
Ime: … |
|
|
Adresa: … |
|
|
Ime, funkcija i kontaktni podaci osobe za kontakt: … |
|
|
Potpis i datum pristupanja: … |
|
2. |
|
…
PRILOG II.
Opis obrade
Kategorije ispitanika čiji se osobni podaci obrađuju
…
Kategorije osobnih podataka koji se obrađuju
…
Osjetljivi podaci koji se obrađuju (ako je primjenjivo) i primijenjena ograničenja ili zaštitne mjere kojima se u potpunosti vodi računa o prirodi podataka i rizicima, kao na primjer strogo ograničenje svrhe, ograničenja pristupa (uključujući pristup samo osoblja koje je prošlo specijalizirano osposobljavanje), evidencija pristupa podacima, ograničenja daljnjih prijenosa ili dodatne mjere sigurnosti.
…
Priroda obrade
…
Svrha za koju se osobni podaci obrađuju u ime voditelja obrade
…
Trajanje obrade
…
…
Ako obradu vrše (pod)izvršitelji, navedite i predmet, prirodu i trajanje obrade
PRILOG III.
Tehničke i organizacijske mjere uključujući tehničke i organizacijske mjere za jamčenje sigurnosti podataka
NAPOMENA S OBJAŠNJENJEM:
Tehničke i organizacijske mjere treba opisati konkretno, a ne općenito
Opis tehničkih i organizacijskih mjera koje je primijenio izvršitelj obrade / koje su primijenili izvršitelji obrade (uključujući sve relevantne certifikate) kako bi se osigurala odgovarajuća razina sigurnosti, uzimajući u obzir prirodu, opseg, kontekst i svrhu obrade, kao i rizike za prava i slobode fizičkih osoba. Primjeri mogućih mjera:
|
|
mjere pseudonimizacije i enkripcije osobnih podataka |
|
|
mjere za osiguravanje trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade |
|
|
mjere za osiguravanje sposobnosti pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta |
|
|
postupci za redovito testiranje, procjenu i evaluaciju djelotvornosti tehničkih i organizacijskih mjera za jamčenje sigurnosti obrade |
|
|
mjere za identifikaciju i autorizaciju korisnika |
|
|
mjere za zaštitu podataka tijekom prijenosa |
|
|
mjere za zaštitu podataka tijekom pohrane |
|
|
mjere za osiguravanje fizičke zaštite lokacija na kojima se obrađuju osobni podaci |
|
|
mjere za osiguravanje zapisivanja podataka o događajima |
|
|
mjere za osiguravanje konfiguracije sustava, uključujući zadanu konfiguraciju |
|
|
mjere za interno vođenje i upravljanje IT-om i sigurnošću IT-a |
|
|
mjere za certifikaciju/osiguravanje postupaka i proizvoda |
|
|
mjere za osiguravanje smanjenja količine podataka |
|
|
mjere za osiguravanje kvalitete podataka |
|
|
mjere za osiguravanje vremenskog ograničenja pohrane podataka |
|
|
mjere za osiguravanje odgovornosti |
|
|
mjere za osiguravanje prenosivosti podataka i osiguravanje brisanja] |
Za prijenose (pod)izvršiteljima obrade, opišite i konkretne tehničke i organizacijske mjere koje će poduzeti (pod)izvršitelj obrade kako bi mogao pomagati voditelju obrade
Opis konkretnih tehničkih i organizacijskih mjera koje će poduzeti izvršitelj obrade kako bi mogao pomagati voditelju obrade.
PRILOG IV.
Popis podizvršitelja obrade
NAPOMENA S OBJAŠNJENJEM:
Ovaj se Prilog popunjava ako se traži posebno odobrenje za podizvršitelje obrade (Klauzula 7.7. točka (a), opcija 1.).
Voditelj obrade je odobrio angažiranje sljedećih podizvršitelja obrade:
|
1. |
Ime: … |
|
|
Adresa: … |
|
|
Ime, funkcija i kontaktni podaci osobe za kontakt: … |
|
|
Opis obrade (uključujući jasno razgraničenje odgovornosti ako se odobrava više podizvršitelja obrade): … |
|
2. |
… |
|
7.6.2021 |
HR |
Službeni list Europske unije |
L 199/31 |
PROVEDBENA ODLUKA KOMISIJE (EU) 2021/914
оd 4. lipnja 2021.
o standardnim ugovornim klauzulama za prijenos osobnih podataka u treće zemlje u skladu s Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća
(Tekst značajan za EGP)
EUROPSKA KOMISIJA,
uzimajući u obzir Ugovor o funkcioniranju Europske unije,
uzimajući u obzir Uredbu (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (1), a posebno njezin članak 28. stavak 7. i članak 46. stavak 2. točku (c),
budući da:
|
(1) |
Tehnološki razvoj olakšava prekogranični protok podataka potreban za širenje međunarodne suradnje i međunarodne trgovine. Potrebno je osigurati da se ne ugrozi razina zaštite pojedinaca zajamčena Uredbom (EU) 2016/679 kad se osobni podaci prenose u treće zemlje, među ostalim u slučajevima daljnjeg prijenosa (2). Odredbama o prijenosu podataka iz poglavlja V. Uredbe (EU) 2016/679 nastoji se osigurati kontinuitet te visoke razine zaštite kad se osobni podaci prenose u treću zemlju (3). |
|
(2) |
U skladu s člankom 46. stavkom 1. Uredbe (EU) 2016/679, ako Komisija nije donijela odluku o primjerenosti u skladu s člankom 45. stavkom 3., voditelj obrade ili izvršitelj obrade trećoj zemlji ili međunarodnoj organizaciji osobne podatke može prenijeti samo ako je predvidio odgovarajuće zaštitne mjere i pod uvjetom da su ispitanicima na raspolaganju provediva prava i učinkoviti pravni lijekovi. Takve zaštitne mjere mogu se predvidjeti standardnim klauzulama o zaštiti podataka koje donosi Komisija u skladu s člankom 46. stavkom 2. točkom (c). |
|
(3) |
Uloga standardnih ugovornih klauzula ograničena je na osiguravanje odgovarajućih mjera za zaštitu podataka pri međunarodnim prijenosima podataka. Stoga voditelj obrade ili izvršitelj obrade koji prenosi osobne podatke u treću zemlju („izvoznik podataka”) i voditelj obrade ili izvršitelj obrade koji prima osobne podatke („uvoznik podataka”) mogu uključiti te standardne ugovorne klauzule u širi ugovor i dodati druge klauzule ili dodatne zaštitne mjere pod uvjetom da one izravno ili neizravno ne proturječe standardnim ugovornim klauzulama niti ne dovode u pitanje temeljna prava ili slobode ispitanika. Voditelje obrade i izvršitelje obrade potiče se da osiguraju dodatne zaštitne mjere ugovornim obvezama koje dopunjuju standardne ugovorne klauzule (4). Upotrebom standardnih ugovornih klauzula ne dovode se u pitanje ugovorne obveze izvoznika i/ili uvoznika podataka da osiguraju poštovanje primjenjivih povlastica i imuniteta. |
|
(4) |
Osim što upotrebljava standardne ugovorne klauzule kako bi osigurao odgovarajuće zaštitne mjere za prijenose u skladu s člankom 46. stavkom 1. Uredbe (EU) 2016/679, izvoznik podataka mora ispuniti svoje opće odgovornosti kao voditelj obrade ili izvršitelj obrade u skladu s Uredbom (EU) 2016/679. Te odgovornosti uključuju obvezu voditelja obrade da obavijesti ispitanike o činjenici da namjerava prenijeti njihove osobne podatke u treću zemlju u skladu s člankom 13. stavkom 1. točkom (f) i člankom 14. stavkom 1. točkom (f) Uredbe (EU) 2016/679. U slučaju prijenosa na temelju članka 46. Uredbe (EU) 2016/679 te informacije moraju uključivati upućivanje na odgovarajuće zaštitne mjere i načine pribavljanja njihove kopije ili informacija o mjestu na kojem su stavljeni na raspolaganje. |
|
(5) |
Odluke Komisije 2001/497/EZ (5) i 2010/87/EU (6) sadržavaju standardne ugovorne klauzule za olakšavanje prijenosa osobnih podataka od voditelja obrade podataka s poslovnim nastanom u Uniji do voditelja obrade ili izvršitelja obrade s poslovnim nastanom u trećoj zemlji koja ne pruža odgovarajuću razinu zaštite. Te su odluke donesene na temelju Direktive 95/46/EZ Europskog parlamenta i Vijeća (7). |
|
(6) |
U skladu s člankom 46. stavkom 5. Uredbe (EU) 2016/679 Odluka 2001/497/EZ i Odluka 2010/87/EU ostaju na snazi dok se prema potrebi ne izmijene, zamijene ili stave izvan snage odlukom Komisije donesenom u skladu s člankom 46. stavkom 2. te uredbe. Standardne ugovorne klauzule u odlukama bilo je potrebno ažurirati s obzirom na nove zahtjeve iz Uredbe (EU) 2016/679. Nadalje, od donošenja tih odluka došlo je do važnih promjena u digitalnom gospodarstvu pa se sve više primjenjuju novi i složeniji postupci obrade, koji često uključuju više uvoznika i izvoznika podataka, duge i složene lance obrade te razvoj poslovnih odnosa. Stoga je potrebno modernizirati standardne ugovorne klauzule kako bi se te okolnosti bolje uzele u obzir obuhvaćanjem dodatnih situacija obrade i prijenosa te kako bi se omogućio fleksibilniji pristup, primjerice u pogledu broja stranaka koje mogu pristupiti ugovoru. |
|
(7) |
Voditelj obrade ili izvršitelj obrade može primijeniti standardne ugovorne klauzule utvrđene u Prilogu ovoj Odluci kako bi se osigurale odgovarajuće zaštitne mjere u smislu članka 46. stavka 1. Uredbe (EU) 2016/679 za prijenos osobnih podataka izvršitelju obrade ili voditelju obrade s poslovnim nastanom u trećoj zemlji, ne dovodeći u pitanje tumačenje pojma međunarodnog prijenosa iz Uredbe (EU) 2016/679. Standardne ugovorne klauzule mogu se primjenjivati za takve prijenose samo ako obrada koju uvoznik obavlja nije obuhvaćena područjem primjene Uredbe (EU) 2016/679. To se odnosi i na prijenos osobnih podataka koji obavlja voditelj obrade ili izvršitelj obrade bez poslovnog nastana u Uniji ako se na obradu primjenjuje Uredba (EU) 2016/679 (u skladu s njezinim člankom 3. stavkom 2.) jer se odnosi na nuđenje robe ili usluga ispitanicima u Uniji ili praćenje njihova ponašanja dok se ono odvija unutar Unije. |
|
(8) |
S obzirom na opću usklađenost Uredbe (EU) 2016/679 i Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća (8) standardne ugovorne klauzule trebale bi se moći primjenjivati i u kontekstu ugovora, kako je navedeno u članku 29. stavku 4. Uredbe (EU) 2018/1725, kad izvršitelj obrade koji nije institucija ili tijelo Unije, ali se na njega primjenjuje Uredba (EU) 2016/679, i koji obrađuje osobne podatke u ime institucije ili tijela Unije u skladu s člankom 29. Uredbe (EU) 2018/1725, prenosi osobne podatke podizvršitelju obrade u trećoj zemlji. Ako taj ugovor sadržava iste obveze zaštite podataka koje su utvrđene u ugovoru ili drugom pravnom aktu između voditelja obrade i izvršitelja obrade u skladu s člankom 29. stavkom 3. Uredbe (EU) 2018/1725, a posebno ako su u njemu predviđena dostatna jamstva za tehničke i organizacijske mjere kako bi se osiguralo da obrada ispunjava zahtjeve te uredbe, time će se osigurati usklađenost s člankom 29. stavkom 4. Uredbe (EU) 2018/1725. To će posebno biti slučaj kad voditelj obrade i izvršitelj obrade upotrebljavaju standardne ugovorne klauzule iz Provedbene odluke Komisije o standardnim ugovornim klauzulama između voditelja obrade i izvršitelja obrade u skladu s člankom 28. stavkom 7. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća i člankom 29. stavkom 7. Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća (9). |
|
(9) |
Ako obrada uključuje prijenose podataka od voditelja obrade na koje se primjenjuje Uredba (EU) 2016/679 do izvršitelja obrade izvan njezina teritorijalnog područja primjene ili od izvršitelja obrade na koje se primjenjuje Uredba (EU) 2016/679 do podizvršitelja obrade izvan njezina teritorijalnog područja primjene, standardnim ugovornim klauzulama utvrđenima u Prilogu ovoj Odluci trebalo bi se isto tako omogućiti ispunjavanje zahtjeva iz članka 28. stavaka3. i 4. Uredbe (EU) 2016/679. |
|
(10) |
Standardne ugovorne klauzule utvrđene u Prilogu ovoj Odluci povezuju opće klauzule s modularnim pristupom kako bi se uzeli u obzir različiti scenariji prijenosa i složenost suvremenih lanaca obrade. Osim općih klauzula, voditelji obrade i izvršitelji obrade trebali bi odabrati modul primjenjiv na svoju situaciju kako bi obveze iz standardnih ugovornih klauzula prilagodili svojoj ulozi i odgovornostima u odnosu na predmetnu obradu podataka. Trebalo bi omogućiti da se više od dvije stranke pridržava standardnih ugovornih klauzula. Nadalje, trebalo bi dopustiti dodatnim voditeljima obrade i izvršiteljima obrade da pristupe standardnim ugovornim klauzulama kao izvoznici ili uvoznici podataka tijekom cijelog životnog vijeka ugovora koji ih sadržava. |
|
(11) |
Kako bi se osigurale odgovarajuće zaštitne mjere, standardnim ugovornim klauzulama trebalo bi zajamčiti da osobni podaci koji se na toj osnovi prenose imaju razinu zaštite koja je u osnovi ekvivalentna onoj zajamčenoj u okviru Unije (10). Kako bi se osigurala transparentnost obrade, ispitanicima bi trebalo dostaviti kopiju standardnih ugovornih klauzula te bi ih posebno trebalo obavijestiti o kategorijama osobnih podataka koji se obrađuju, pravu na dobivanje kopije standardnih ugovornih klauzula i svakom daljnjem prijenosu. Daljnji prijenosi od uvoznika podataka do treće strane u nekoj drugoj trećoj zemlji trebali bi biti dopušteni samo ako ta treća strana pristupi standardnim ugovornim klauzulama, ako je kontinuitet zaštite osiguran na drugi način ili u posebnim situacijama, primjerice na temelju izričite informirane privole ispitanika. |
|
(12) |
Uz neke iznimke, posebno kad je riječ o određenim obvezama koje se odnose isključivo na odnos između izvoznika podataka i uvoznika podataka, ispitanici bi se trebali moći pozvati na standardne ugovorne klauzule i prema potrebi ih provoditi kao treće strane. Stoga, iako bi strankama trebalo dopustiti da odaberu pravo jedne od država članica kojim se uređuju standardne ugovorne klauzule, tim pravom moraju biti omogućena prava u korist treće strane. Kako bi se olakšala pojedinačna pravna zaštita, standardnim ugovornim klauzulama trebalo bi od uvoznika podataka zahtijevati da obavijesti ispitanike o kontaktnoj točki i da brzo odgovori na sve pritužbe ili zahtjeve. U slučaju spora između uvoznika podataka i ispitanika koji se poziva na svoja prava kao treća strana ispitanik bi trebao moći podnijeti pritužbu nadležnom nadzornom tijelu ili uputiti spor nadležnim sudovima u EU-u. |
|
(13) |
Kako bi se osiguralo djelotvorno izvršenje, od uvoznika podataka trebalo bi zahtijevati da prihvati nadležnost tog tijela i sudova te da se obveže da će poštovati sve obvezujuće odluke u skladu s primjenjivim pravom države članice. Uvoznik podataka trebao bi pristati na odgovaranje na upite, podvrgavanje revizijama i postupanje u skladu s mjerama koje je donijelo nadzorno tijelo, uključujući korektivne i kompenzacijske mjere. Osim toga, uvoznik podataka trebao bi moći ispitanicima omogućiti da besplatno zatraže pravnu zaštitu pred neovisnim tijelom za rješavanje sporova. U skladu s člankom 80. stavkom 1. Uredbe (EU) 2016/679 ispitanicima bi trebalo omogućiti da ih u sporovima protiv uvoznika podataka zastupaju udruženja ili druga tijela ako to žele. |
|
(14) |
Standardnim ugovornim klauzulama trebalo bi predvidjeti pravila o odgovornosti među strankama i u odnosu na ispitanike te pravila o naknadi štete među strankama. Ako ispitanik pretrpi materijalnu ili nematerijalnu štetu kao posljedicu povrede prava u korist treće strane u okviru standardnih ugovornih klauzula, trebao bi imati pravo na naknadu. Time se ne bi trebala dovoditi u pitanje bilo koja odgovornost u skladu s Uredbom (EU) 2016/679. |
|
(15) |
U slučaju prijenosa uvozniku podataka koji djeluje kao izvršitelj obrade ili podizvršitelj obrade trebali bi se primjenjivati posebni zahtjevi u skladu s člankom 28. stavkom 3. Uredbe (EU) 2016/679. Standardnim ugovornim klauzulama trebalo bi se od uvoznika podataka zahtijevati da stavi na raspolaganje sve informacije potrebne za dokazivanje usklađenosti s obvezama utvrđenima u klauzulama i da izvozniku podataka omogući provedbu revizija svojih aktivnosti obrade te da pridonosi tim revizijama. U slučaju da uvoznik podataka angažira bilo kojeg podizvršitelja obrade, u skladu s člankom 28. stavcima 2. i 4. Uredbe (EU) 2016/679, standardnim ugovornim klauzulama trebalo bi posebice utvrditi postupak za opće ili posebno odobrenje izvoznika podataka i zahtjev u pogledu pisanog ugovora s podizvršiteljem obrade kojim se osigurava jednaka razina zaštite kao u okviru tih klauzula. |
|
(16) |
Primjereno je u standardnim ugovornim klauzulama predvidjeti različite zaštitne mjere koje obuhvaćaju posebnu situaciju u kojoj izvršitelj obrade u Uniji prenosi osobne podatke svojem voditelju obrade u trećoj zemlji i odražavaju ograničene samostalne obveze izvršitelja obrade u skladu s Uredbom (EU) 2016/679. Standardnim ugovornim klauzulama trebalo bi od izvršitelja obrade zahtijevati da obavijesti voditelja obrade ako ne može slijediti njegove upute, među ostalim ako bi se njima kršilo zakonodavstvo Unije o zaštiti podataka, a od voditelja obrade zahtijevati da se suzdrži od svih radnji kojima bi se izvršitelja obrade spriječilo u ispunjavanju njegovih obveza u skladu s Uredbom (EU) 2016/679. Klauzulama bi se od stranaka trebalo zahtijevati i da jedna drugoj pomažu u odgovaranju na upite i zahtjeve ispitanika u skladu s lokalnim pravom koje se primjenjuje na uvoznika podataka ili, za obradu podataka u Uniji, u skladu s Uredbom (EU) 2016/679. Ako izvršitelj obrade iz Unije kombinira osobne podatke primljene od voditelja obrade u trećoj zemlji s osobnim podacima koje je prikupio izvršitelj obrade u Uniji, trebali bi se primjenjivati dodatni zahtjevi za uzimanje u obzir učinaka zakonâ treće zemlje odredišta na usklađenost voditelja obrade s klauzulama, a posebno za postupanje s obvezujućim zahtjevima tijela javne vlasti u trećoj zemlji za otkrivanje prenesenih osobnih podataka. S druge strane, takvi zahtjevi nisu opravdani ako eksternalizacija uključuje samo obradu i vraćanje osobnih podataka primljenih od voditelja obrade i za koje će u svakom slučaju biti nadležna predmetna treća zemlja. |
|
(17) |
Stranke bi trebale moći dokazati usklađenost sa standardnim ugovornim klauzulama. Od uvoznika podataka posebno bi se trebalo zahtijevati da vodi odgovarajuću dokumentaciju o aktivnostima obrade za koje je odgovoran te da odmah obavijesti izvoznika podataka ako zbog bilo kojeg razloga ne može poštovati klauzule. S druge strane, izvoznik podataka trebao bi obustaviti prijenos i imati pravo u posebno ozbiljnim slučajevima raskinuti ugovor kad je riječ o obradi osobnih podataka na temelju standardnih ugovornih klauzula ako uvoznik podataka krši te klauzule ili ih ne može poštovati. Trebala bi se primjenjivati posebna pravila ako lokalni propisi utječu na usklađenost s klauzulama. Osobne podatke koji su preneseni prije raskida ugovora i sve njihove kopije trebalo bi, ovisno o odluci izvoznika podataka, vratiti izvozniku podataka ili u cijelosti uništiti. |
|
(18) |
Standardnim ugovornim klauzulama trebalo bi predvidjeti posebne zaštitne mjere, osobito s obzirom na sudsku praksu Suda (11), za uzimanje u obzir svih učinaka zakonâ treće zemlje odredišta na usklađenost uvoznika podataka s klauzulama, a posebno za postupanje s obvezujućim zahtjevima tijela javne vlasti u toj zemlji za otkrivanje prenesenih osobnih podataka. |
|
(19) |
Prijenos i obrada osobnih podataka na temelju standardnih ugovornih klauzula ne bi se trebali provoditi ako zakoni i prakse treće zemlje odredišta sprečavaju uvoznika podataka da poštuje klauzule. U tom kontekstu ne bi trebalo smatrati da su propisi i prakse kojima se poštuje bit temeljnih prava i sloboda i koji ne prelaze ono što je nužno i razmjerno u demokratskom društvu za zaštitu jednog od ciljeva navedenih u članku 23. stavku 1. Uredbe (EU) 2016/679 u suprotnosti sa standardnim ugovornim klauzulama. Stranke bi trebale jamčiti da u trenutku pristanka na standardne ugovorne klauzule nemaju razloga vjerovati da zakoni i prakse koji se primjenjuju na uvoznika podataka nisu u skladu s navedenim zahtjevima. |
|
(20) |
Stranke bi posebno trebale uzeti u obzir posebne okolnosti prijenosa (kao što su sadržaj i trajanje ugovora, priroda podataka koje treba prenijeti, vrsta primatelja i svrha obrade), relevantne propise i prakse treće zemlje odredišta s obzirom na okolnosti prijenosa i sve zaštitne mjere uvedene kako bi se dopunile mjere u okviru standardnih ugovornih klauzula (uključujući relevantne ugovorne, tehničke i organizacijske mjere koje se odnose na prijenos i obradu osobnih podataka u zemlji odredišta). Kad je riječ o učinku takvih propisa i praksi na usklađenost sa standardnim ugovornim klauzulama, u okviru ukupne procjene mogu se razmatrati različiti elementi, uključujući pouzdane informacije o primjeni zakona u praksi (kao što su sudska praksa i izvješća neovisnih nadzornih tijela), postojanje ili nepostojanje zahtjeva u istom sektoru i, pod strogim uvjetima, zabilježeno praktično iskustvo izvoznika podataka i/ili uvoznika podataka. |
|
(21) |
Uvoznik podataka trebao bi obavijestiti izvoznika podataka ako, nakon što je pristao na standardne ugovorne klauzule, ima razloga vjerovati da ih ne može poštovati. Ako izvoznik podataka primi takvu obavijest ili na neki drugi način sazna da uvoznik podataka više ne može poštovati standardne ugovorne klauzule, trebao bi utvrditi odgovarajuće mjere za rješavanje tog problema te se, ako je to potrebno, o tome savjetovati s nadležnim nadzornim tijelom. Takve mjere mogu uključivati dopunske mjere koje je donio izvoznik podataka i/ili uvoznik podataka, kao što su tehničke ili organizacijske mjere za osiguravanje sigurnosti i povjerljivosti. Od izvoznika podataka trebalo bi zahtijevati da obustavi prijenos ako smatra da nije moguće osigurati odgovarajuće zaštitne mjere ili ako to zatraži nadležno nadzorno tijelo. |
|
(22) |
Ako je to moguće, uvoznik podataka trebao bi obavijestiti izvoznika podataka i ispitanika ako od javnog tijela (uključujući pravosudna tijela) u skladu s pravom zemlje odredišta primi pravno obvezujući zahtjev za otkrivanje osobnih podataka prenesenih u skladu sa standardnim ugovornim klauzulama. Isto tako, trebao bi ih obavijestiti ako sazna za izravan pristup tijela javne vlasti takvim osobnim podacima u skladu s pravom treće zemlje odredišta. Ako uvoznik podataka unatoč trudu ne može obavijestiti izvoznika podataka i/ili ispitanika o posebnim zahtjevima za otkrivanje podataka, trebao bi izvozniku podataka dostaviti što više relevantnih informacija o tim zahtjevima. Osim toga, uvoznik podataka trebao bi izvozniku podataka redovito dostavljati agregirane informacije. Od uvoznika podataka trebalo bi zahtijevati i da dokumentira svaki primljeni zahtjev za otkrivanje podataka i dostavljeni odgovor i da te informacije na zahtjev stavi na raspolaganje izvozniku podataka ili nadležnom nadzornom tijelu ili oboma. Ako nakon preispitivanja zakonitosti takvog zahtjeva u skladu sa zakonima zemlje odredišta uvoznik podataka zaključi da postoje opravdani razlozi na temelju kojih se može smatrati da je zahtjev nezakonit prema zakonima treće zemlje odredišta, trebao bi ga osporiti, prema potrebi i iskorištavanjem svih dostupnih mogućnosti žalbe. U svakom slučaju, ako uvoznik podataka više ne može poštovati standardne ugovorne klauzule, trebao bi o tome obavijestiti izvoznika podataka, među ostalim u slučajevima kad je to posljedica zahtjeva za otkrivanje podataka. |
|
(23) |
Budući da se potrebe dionika, tehnologije i postupci obrade mogu promijeniti, Komisija bi u okviru periodične ocjene Uredbe (EU) 2016/679 iz članka 97. te uredbe trebala ocijeniti funkcioniranje standardnih ugovornih klauzula s obzirom na iskustvo. |
|
(24) |
Odluku 2001/497/EZ i Odluku 2010/87/EU trebalo bi staviti izvan snage tri mjeseca nakon stupanja na snagu ove Odluke. U tom razdoblju izvoznici podataka i uvoznici podataka trebali bi za potrebe članka 46. stavka 1. Uredbe (EU) 2016/679 i dalje moći primjenjivati standardne ugovorne klauzule utvrđene u odlukama 2001/497/EZ i 2010/87/EU. U dodatnom razdoblju od 15 mjeseci izvoznici podataka i uvoznici podataka trebali bi se za potrebe članka 46. stavka 1. Uredbe (EU) 2016/679 i dalje moći oslanjati na standardne ugovorne klauzule utvrđene u odlukama 2001/497/EZ i 2010/87/EU za izvršenje ugovora koje su sklopili prije datuma stavljanja izvan snage tih odluka, pod uvjetom da postupci obrade koji su predmet ugovora ostanu nepromijenjeni i da se oslanjanjem na te klauzule osigurava primjena odgovarajućih zaštitnih mjera u smislu članka 46. stavka 1. Uredbe (EU) 2016/679 na prijenos osobnih podataka. U slučaju relevantnih izmjena ugovora od izvoznika podataka trebalo bi zahtijevati da počne primjenjivati novu osnovu za prijenos podataka na temelju ugovora, prije svega tako što će postojeće standardne ugovorne klauzule zamijeniti standardnim ugovornim klauzulama navedenima u Prilogu ovoj Odluci. Isto bi se trebalo primjenjivati na podugovaranje postupaka obrade u okviru ugovora s (pod)izvršiteljem obrade. |
|
(25) |
Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka i Europskim odborom za zaštitu podataka u skladu s člankom 42. stavcima 1. i 2. Uredbe (EU) 2018/1725 te su oni 14. siječnja 2021. dali zajedničko mišljenje (12), koje je uzeto u obzir u pripremi ove Odluke. |
|
(26) |
Mjere predviđene u ovoj Odluci u skladu su s mišljenjem Odbora osnovanog na temelju članka 93. Uredbe (EU) 2016/679, |
DONIJELA JE OVU ODLUKU:
Članak 1.
1. Smatra se da se standardnim ugovornim klauzulama iz Priloga osiguravaju odgovarajuće zaštitne mjere u smislu članka 46. stavka 1. i stavka 2. točke (c) Uredbe (EU) 2016/679 za prijenos osobnih podataka od voditelja obrade ili izvršitelja obrade na koje se primjenjuje ta uredba (izvoznik podataka) do voditelja obrade ili (pod)izvršitelja obrade na čiju se obradu podataka ne primjenjuje ta uredba (uvoznik podataka).
2. Standardnim ugovornim klauzulama utvrđuju se i prava i obveze voditelja obrade i izvršitelja obrade u odnosu na pitanja iz članka 28. stavaka 3. i 4. Uredbe (EU) 2016/679 kad je riječ o prijenosu osobnih podataka od voditelja obrade do izvršitelja obrade ili od izvršitelja obrade do podizvršitelja obrade.
Članak 2.
Kad nadležna tijela država članica izvršavaju korektivne ovlasti u skladu s člankom 58. Uredbe (EU) 2016/679 jer se na uvoznika podataka primjenjuju ili počinju primjenjivati zakoni ili prakse u trećoj zemlji odredišta koji ga sprečavaju u poštovanju standardnih ugovornih klauzula iz Priloga, što dovodi do obustave ili zabrane prijenosa podataka u treće zemlje, predmetna država članica bez odgode obavješćuje Komisiju, koja te informacije prosljeđuje drugim državama članicama.
Članak 3.
Komisija ocjenjuje praktičnu primjenu standardnih ugovornih klauzula iz Priloga na temelju svih dostupnih informacija u okviru periodične ocjene koja se zahtijeva člankom 97. Uredbe (EU) 2016/679.
Članak 4.
1. Ova Odluka stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.
2. Odluka 2001/497/EZ stavlja se izvan snage s učinkom od 27. rujna 2021.
3. Odluka 2010/87/EU stavlja se izvan snage s učinkom od 27. rujna 2021.
4. Smatra se da ugovori sklopljeni prije 27. rujna 2021. na temelju Odluke 2001/497/EZ ili Odluke 2010/87/EU osiguravaju odgovarajuće zaštitne mjere u smislu članka 46. stavka 1. Uredbe (EU) 2016/679 do 27. prosinca 2022. pod uvjetom da postupci obrade koji su predmet ugovora ostanu nepromijenjeni i da se oslanjanjem na te klauzule osigurava da se na prijenos osobnih podataka primjenjuju odgovarajuće zaštitne mjere.
Sastavljeno u Bruxellesu 4. lipnja 2021.
Za Komisiju
Predsjednica
Ursula VON DER LEYEN
(1) SL L 119, 4.5.2016., str. 1.
(2) Članak 44. Uredbe (EU) 2016/679.
(3) Vidjeti i presudu Suda od 16. srpnja 2020. u predmetu C-311/18, Data Protection Commissioner protiv Facebook Ireland Ltd i Maximilliana Schremsa („Schrems II”), ECLI:EU:C:2020:559, točku 93.
(4) Uvodna izjava 109. Uredbe (EU) 2016/679.
(5) Odluka Komisije 2001/497/EZ od 15. lipnja 2001. o standardnim ugovornim klauzulama za prijenos osobnih podataka u treće zemlje, u skladu s Direktivom 95/46/EZ (SL L 181, 4.7.2001., str. 19.).
(6) Odluka Komisije 2010/87/EU od 5. veljače 2010. o standardnim ugovornim klauzulama za prijenos osobnih podataka obrađivačima u trećim zemljama u skladu s Direktivom 95/46/EZ Europskog parlamenta i Vijeća (SL L 39, 12.2.2010., str. 5.).
(7) Direktiva 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (SL L 281, 23.11.1995., str. 31.).
(8) Uredba (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (SL L 295, 21.11.2018., str. 39.); vidjeti uvodnu izjavu 5.
(9) C(2021) 3701.
(10) Schrems II, točke 96. i 103. Vidjeti i Uredbu (EU) 2016/679, uvodne izjave 108. i 114.
(11) Schrems II.
(12) Zajedničko mišljenje Europskog odbora za zaštitu podataka i Europskog nadzornika za zaštitu podataka 2/2021 o Provedbenoj odluci Europske komisije o standardnim ugovornim klauzulama za prijenos osobnih podataka u treće zemlje u pogledu pitanja iz članka 46. stavka 2. točke (c) Uredbe (EU) 2016/679.
PRILOG
STANDARDNE UGOVORNE KLAUZULE
ODJELJAK I.
Klauzula 1.
Svrha i područje primjene
|
(a) |
Svrha je ovih standardnih ugovornih klauzula osigurati usklađenost sa zahtjevima Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (Opća uredba o zaštiti podataka) (1) pri prijenosu osobnih podataka u treću zemlju. |
|
(b) |
Stranke:
suglasne su s ovim standardnim ugovornim klauzulama (dalje u tekstu „klauzule”). |
|
(c) |
Ove se klauzule primjenjuju na prijenos osobnih podataka kako je navedeno u Prilogu I.B. |
|
(d) |
Dodatak ovim klauzulama koji sadržava priloge na koje se u njima upućuje sastavni je dio ovih klauzula. |
Klauzula 2.
Učinak i nepromjenjivost klauzula
|
(a) |
Ovim se klauzulama utvrđuju odgovarajuće zaštitne mjere, uključujući provediva prava ispitanika i učinkovite pravne lijekove, u skladu s člankom 46. stavkom 1. i člankom 46. stavkom 2. točkom (c) Uredbe (EU) 2016/679 te, kad je riječ o prijenosima podataka od voditelja obrade do izvršitelja obrade i/ili od izvršitelja obrade do izvršitelja obrade, standardne ugovorne klauzule u skladu s člankom 28. stavkom 7. Uredbe (EU) 2016/679, pod uvjetom da nisu izmijenjene, osim u svrhu odabira odgovarajućih modula ili dodavanja odnosno ažuriranja informacija u Dodatku. To ne sprečava stranke da standardne ugovorne klauzule utvrđene u ovim klauzulama uključe u širi ugovor i/ili da dodaju druge klauzule ili dodatne zaštitne mjere pod uvjetom da one izravno ili neizravno ne proturječe ovim klauzulama niti ne dovode u pitanje temeljna prava ili slobode ispitanika. |
|
(b) |
Ove klauzule ne dovode u pitanje obveze izvoznika podataka na temelju Uredbe (EU) 2016/679. |
Klauzula 3.
Korisnici koji su treće strane
|
(a) |
Ispitanici se mogu pozvati na ove klauzule i provoditi ih kao treće strane protiv izvoznika podataka i/ili uvoznika podataka, uz sljedeće iznimke:
|
|
(b) |
Točkom (a) ne dovode se u pitanje prava ispitanika na temelju Uredbe (EU) 2016/679. |
Klauzula 4.
Tumačenje
|
(a) |
Ako se u ovim klauzulama upotrebljavaju pojmovi definirani u Uredbi (EU) 2016/679, ti pojmovi imaju isto značenje kao u toj uredbi. |
|
(b) |
Ove se klauzule čitaju i tumače u skladu s odredbama Uredbe (EU) 2016/679. |
|
(c) |
Ove se klauzule ne tumače na način koji je u suprotnosti s pravima i obvezama predviđenima Uredbom (EU) 2016/679. |
Klauzula 5.
Hijerarhija
U slučaju da su ove klauzule u suprotnosti s odredbama povezanih sporazuma među strankama koji postoje u trenutku dogovaranja ovih klauzula ili su sklopljeni nakon toga, prednost imaju ove klauzule.
Klauzula 6.
Opis prijenosa
Pojedinosti prijenosa, a posebno kategorije osobnih podataka koji se prenose i svrhe prijenosa, navedene su u Prilogu I.B.
Klauzula 7. – neobvezna
Klauzula o pristupanju
|
(a) |
Subjekt koji nije stranka ovih klauzula može uz suglasnost stranaka pristupiti ovim klauzulama u bilo kojem trenutku kao izvoznik podataka ili uvoznik podataka popunjavanjem Dodatka i potpisivanjem Priloga I.A. |
|
(b) |
Nakon što popuni Dodatak i potpiše Prilog I.A., subjekt koji pristupa postaje stranka ovih klauzula te ima prava i obveze izvoznika podataka ili uvoznika podataka u skladu sa svojom oznakom iz Priloga I.A. |
|
(c) |
Subjekt koji pristupa nema prava ni obveze koji proizlaze iz ovih klauzula za razdoblje prije nego što je postao stranka. |
ODJELJAK II. – OBVEZE STRANAKA
Klauzula 8.
Mjere za zaštitu podataka
Izvoznik podataka jamči da je poduzeo sve razumne mjere kako bi utvrdio sposobnost uvoznika podataka da provedbom odgovarajućih tehničkih i organizacijskih mjera ispuni svoje obveze iz ovih klauzula.
MODUL 1.: Prijenos od voditelja obrade do voditelja obrade
8.1. Ograničenje svrhe
Uvoznik podataka obrađuje osobne podatke samo u posebne svrhe prijenosa kako je utvrđeno u Prilogu I.B. Može obrađivati osobne podatke u druge svrhe isključivo:
|
i. |
ako je dobio prethodnu privolu ispitanika; |
|
ii. |
ako je to potrebno za postavljanje, ostvarivanje ili obranu pravnih zahtjeva u kontekstu posebnih upravnih, regulatornih ili sudskih postupaka; ili |
|
iii. |
ako je to potrebno za zaštitu životno važnih interesa ispitanika ili druge fizičke osobe. |
8.2. Transparentnost
|
(a) |
Kako bi se ispitanicima omogućilo da učinkovito ostvare svoja prava u skladu s klauzulom 10., uvoznik podataka obavješćuje ih, izravno ili preko izvoznika podataka:
|
|
(b) |
Točka (a) ne primjenjuje se ako ispitanik već raspolaže informacijama, među ostalim ako je izvoznik podataka već pružio takve informacije, ili ako pružanje tih informacija nije moguće ili bi zahtijevalo nerazmjeran napor od uvoznika podataka. U potonjem slučaju uvoznik podataka u mjeri u kojoj je to moguće stavlja te informacije na raspolaganje javnosti. |
|
(c) |
Stranke će ispitaniku na zahtjev besplatno staviti na raspolaganje kopiju ovih klauzula, uključujući Dodatak kako su ga popunile. Ako je to potrebno za zaštitu poslovnih tajni ili drugih povjerljivih informacija, uključujući osobne podatke, stranke mogu ispustiti dio teksta Dodatka prije dijeljenja kopije, ali moraju dostaviti smislen sažetak ako ispitanik inače ne bi mogao razumjeti njegov sadržaj ili ostvariti svoja prava. Stranke ispitaniku na zahtjev priopćuju razloge za ispuštanje, u mjeri u kojoj je to moguće bez otkrivanja ispuštenih informacija. |
|
(d) |
Točke od (a) do (c) ne dovode u pitanje obveze izvoznika podataka u skladu s člancima 13. i 14. Uredbe (EU) 2016/679. |
8.3. Točnost i smanjenje količine podataka
|
(a) |
Svaka stranka osigurava da su osobni podaci točni i prema potrebi ažurirani. Uvoznik podataka poduzima sve razumne mjere kako bi osigurao da se osobni podaci koji nisu točni s obzirom na svrhe obrade bez odgode izbrišu ili isprave. |
|
(b) |
Ako jedna od stranaka utvrdi da su osobni podaci koje je prenijela ili primila netočni ili zastarjeli, o tome bez nepotrebne odgode obavješćuje drugu stranku. |
|
(c) |
Uvoznik podataka osigurava da su osobni podaci primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe obrade. |
8.4. Ograničenje pohrane
Uvoznik podataka ne čuva osobne podatke dulje nego što je potrebno za svrhe u koje se obrađuju. Uvodi odgovarajuće tehničke ili organizacijske mjere kako bi se osiguralo poštovanje te obveze, uključujući brisanje ili anonimizaciju (2) podataka i svih sigurnosnih kopija na kraju razdoblja zadržavanja.
8.5. Sigurnost obrade
|
(a) |
Uvoznik podataka, a pri prijenosu i izvoznik podataka, provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao sigurnost osobnih podataka, uključujući zaštitu od povrede sigurnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa (dalje u tekstu „povreda osobnih podataka”). Pri procjeni odgovarajuće razine sigurnosti uzima u obzir najnovija dostignuća, troškove provedbe, prirodu, opseg, kontekst i svrhe obrade te rizike za ispitanika povezane s obradom. Stranke posebno razmatraju primjenu enkripcije ili pseudonimizacije, među ostalim pri prijenosu, ako se svrha obrade može ispuniti na taj način. |
|
(b) |
Stranke su postigle dogovor o tehničkim i organizacijskim mjerama navedenima u Prilogu II. Uvoznik podataka izvršava redovite provjere kako bi osigurao da te mjere i dalje pružaju odgovarajuću razinu sigurnosti. |
|
(c) |
Uvoznik podataka osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti. |
|
(d) |
U slučaju povrede osobnih podataka koje uvoznik podataka obrađuje u skladu s ovim klauzulama, uvoznik podataka poduzima odgovarajuće mjere za uklanjanje povrede osobnih podataka, uključujući mjere za ublažavanje mogućih štetnih posljedica. |
|
(e) |
U slučaju povrede osobnih podataka koja će vjerojatno prouzročiti rizik za prava i slobode fizičkih osoba uvoznik podataka bez nepotrebne odgode obavješćuje izvoznika podataka i nadležno nadzorno tijelo u skladu s klauzulom 13. Takva obavijest sadržava i. opis prirode povrede (uključujući, ako je moguće, kategorije i približan broj predmetnih ispitanika i evidencija osobnih podataka); ii. vjerojatne posljedice; iii. mjere koje su poduzete ili predložene za uklanjanje povrede; i iv. podatke o kontaktnoj točki od koje se može dobiti još informacija. Ako uvoznik podataka ne može istodobno pružiti sve informacije, može ih postupno pružati bez nepotrebne daljnje odgode. |
|
(f) |
U slučaju povrede osobnih podataka koja će vjerojatno prouzročiti znatan rizik za prava i slobode fizičkih osoba uvoznik podataka bez nepotrebne odgode obavješćuje i predmetne ispitanike o povredi osobnih podataka i njezinoj prirodi, prema potrebi u suradnji s izvoznikom podataka, te o informacijama iz točke (e), podtočaka od ii. do iv., osim ako je uvoznik podataka proveo mjere za znatno smanjenje rizika za prava ili slobode fizičkih osoba ili ako bi za obavješćivanje bio potreban nerazmjeran napor. U potonjem slučaju uvoznik podataka umjesto toga izdaje priopćenje ili poduzima sličnu mjeru kako bi obavijestio javnost o povredi osobnih podataka. |
|
(g) |
Uvoznik podataka dokumentira sve relevantne činjenice povezane s povredom osobnih podataka, uključujući njezine učinke i sve poduzete korektivne mjere, te vodi evidenciju o tome. |
8.6. Osjetljivi podaci
Ako prijenos uključuje osobne podatke koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu, genetske podatke ili biometrijske podatke u svrhu jedinstvene identifikacije pojedinca, podatke koji se odnose na zdravlje, spolni život ili spolnu orijentaciju osobe ili podatke koji se odnose na osuđujuće presude ili kaznena djela (dalje u tekstu „osjetljivi podaci”), uvoznik podataka primjenjuje posebna ograničenja i/ili dodatne zaštitne mjere prilagođene posebnoj prirodi podataka i povezanim rizicima. To može uključivati ograničavanje osoblja kojem je dopušten pristup osobnim podacima, dodatne sigurnosne mjere (kao što je pseudonimizacija) i/ili dodatna ograničenja u pogledu daljnjeg otkrivanja.
8.7. Daljnji prijenosi
Uvoznik podataka ne otkriva osobne podatke trećoj strani koja se nalazi izvan Europske unije (3) (u istoj zemlji kao uvoznik podataka ili u drugoj trećoj zemlji, dalje u tekstu „daljnji prijenos”) osim ako je treća strana obvezana ovim klauzulama ili pristane biti obvezana njima u skladu s odgovarajućim modulom. U protivnom uvoznik podataka može obavljati daljnji prijenos isključivo:
|
i. |
ako je riječ o prijenosu u zemlju na koju se primjenjuje odluka o primjerenosti u skladu s člankom 45. Uredbe (EU) 2016/679 kojom je obuhvaćen daljnji prijenos; |
|
ii. |
ako treća strana na drugi način osigurava odgovarajuće zaštitne mjere u skladu s člancima 46. ili 47. Uredbe (EU) 2016/679 u pogledu predmetne obrade; |
|
iii. |
ako treća strana sklopi obvezujući instrument s uvoznikom podataka kojim se osigurava jednaka razina zaštite podataka kao i ovim klauzulama, a uvoznik podataka dostavi kopiju tih zaštitnih mjera izvozniku podataka; |
|
iv. |
ako je to potrebno za postavljanje, ostvarivanje ili obranu pravnih zahtjeva u kontekstu posebnih upravnih, regulatornih ili sudskih postupaka; |
|
v. |
ako je to potrebno za zaštitu životno važnih interesa ispitanika ili druge fizičke osobe; ili |
|
vi. |
u slučaju se de ne primjenjuje ni jedan od ostalih uvjeta, ako je uvoznik podataka dobio izričitu privolu ispitanika za daljnji prijenos u određenoj situaciji nakon što ga je obavijestio o svrhama prijenosa, identitetu primatelja i mogućim rizicima takvog prijenosa za ispitanika zbog nedostatka odgovarajućih mjera za zaštitu podataka. U tom slučaju uvoznik podataka obavješćuje izvoznika podataka i na njegov zahtjev šalje mu kopiju informacija dostavljenih ispitaniku. |
Daljnji prijenos može se izvršiti pod uvjetom da uvoznik podataka poštuje sve druge zaštitne mjere iz ovih klauzula, a posebno ograničenje svrhe.
8.8. Obrada pod vodstvom uvoznika podataka
Uvoznik podataka osigurava da bilo koja osoba koja djeluje pod njegovim vodstvom, uključujući voditelje obrade, obrađuje podatke isključivo ako on to zatraži.
8.9. Dokumentacija i usklađenost
|
(a) |
Svaka stranka mora moći dokazati da ispunjava svoje obveze iz ovih klauzula. Uvoznik podataka vodi odgovarajuću dokumentaciju o aktivnostima obrade za koje je odgovoran. |
|
(b) |
Uvoznik podataka na zahtjev stavlja tu dokumentaciju na raspolaganje nadležnom nadzornom tijelu. |
MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade
8.1. Upute
|
(a) |
Uvoznik podataka obrađuje osobne podatke samo prema zabilježenim uputama izvoznika podataka. Izvoznik podataka može dati takve upute za cijelo vrijeme trajanja ugovora. |
|
(b) |
Uvoznik podataka odmah obavješćuje izvoznika podataka ako ne može slijediti te upute. |
8.2. Ograničenje svrhe
Uvoznik podataka obrađuje osobne podatke samo u posebne svrhe prijenosa kako je utvrđeno u Prilogu I.B., osim ako izvoznik podataka izda nove upute.
8.3. Transparentnost
Izvoznik podataka ispitaniku će na zahtjev besplatno staviti na raspolaganje kopiju ovih klauzula, uključujući Dodatak kako su ga popunile stranke. Ako je to potrebno za zaštitu poslovnih tajni ili drugih povjerljivih informacija, uključujući mjere opisane u Prilogu II. i osobne podatke, izvoznik podataka može ispustiti dio teksta Dodatka ovim klauzulama prije dijeljenja kopije, ali mora dostaviti smislen sažetak ako ispitanik inače ne bi mogao razumjeti njegov sadržaj ili ostvariti svoja prava. Stranke ispitaniku na zahtjev priopćuju razloge za ispuštanje, u mjeri u kojoj je to moguće bez otkrivanja ispuštenih informacija. Ovom se klauzulom ne dovode u pitanje obveze izvoznika podataka u skladu s člancima 13. i 14. Uredbe (EU) 2016/679.
8.4. Točnost
Ako uvoznik podataka utvrdi da su osobni podaci koje je primio netočni ili zastarjeli, o tome bez nepotrebne odgode obavješćuje izvoznika podataka. U tom slučaju uvoznik podataka surađuje s izvoznikom podataka kako bi se podaci izbrisali ili ispravili.
8.5. Trajanje obrade i brisanje ili vraćanje podataka
Uvoznik podataka obrađuje podatke samo u trajanju navedenom u Prilogu I.B. Nakon završetka pružanja usluga obrade uvoznik podataka ovisno o odluci izvoznika podataka briše sve osobne podatke obrađene u ime izvoznika podataka i potvrđuje izvozniku podataka da je to učinio ili mu vraća sve osobne podatke koji su obrađeni u njegovo ime i briše postojeće kopije. Dok se podaci ne izbrišu ili ne vrate, uvoznik podataka nastavlja osiguravati usklađenost s ovim klauzulama. Kad se na uvoznika podataka primjenjuju lokalni propisi kojima se zabranjuje vraćanje ili brisanje osobnih podataka, uvoznik podataka jamči da će nastaviti osiguravati usklađenost s ovim klauzulama i da će obrađivati podatke samo u mjeri i trajanju koji su u skladu s tim lokalnim zakonodavstvom. Time se ne dovodi u pitanje klauzula 14., osobito zahtjev da uvoznik podataka u skladu s klauzulom 14. točkom (e) za trajanja ugovora obavijesti izvoznika podataka ako ima razloga vjerovati da se na njega primjenjuju ili su se počeli primjenjivati zakoni ili prakse koji nisu u skladu sa zahtjevima iz klauzule 14. točke (a).
8.6. Sigurnost obrade
|
(a) |
Uvoznik podataka, a pri prijenosu i izvoznik podataka, provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao sigurnost podataka, uključujući zaštitu od povrede sigurnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene i neovlaštenog otkrivanja tih podataka ili pristupa njima (dalje u tekstu „povreda osobnih podataka”). Pri procjeni odgovarajuće razine sigurnosti stranke uzimaju u obzir najnovija dostignuća, troškove provedbe, prirodu, opseg, kontekst i svrhe obrade te rizike za ispitanike povezane s obradom. Stranke posebno razmatraju primjenu enkripcije ili pseudonimizacije, među ostalim pri prijenosu, ako se svrha obrade može ispuniti na taj način. U slučaju pseudonimizacije dodatne informacije za pripisivanje osobnih podataka određenom ispitaniku ostaju pod isključivom kontrolom izvoznika podataka kad god je to moguće. Pri ispunjavanju obveza iz ovog stavka uvoznik podataka provodi barem tehničke i organizacijske mjere navedene u Prilogu II. Uvoznik podataka izvršava redovite provjere kako bi osigurao da te mjere i dalje pružaju odgovarajuću razinu sigurnosti. |
|
(b) |
Uvoznik podataka članovima svojeg osoblja odobrava pristup osobnim podacima samo u mjeri nužnoj za provedbu i praćenje ugovora te upravljanje njime. Osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti. |
|
(c) |
U slučaju povrede osobnih podataka koje uvoznik podataka obrađuje u skladu s ovim klauzulama, uvoznik podataka poduzima odgovarajuće mjere za uklanjanje povrede, uključujući mjere za ublažavanje njezinih štetnih posljedica. Uvoznik podataka bez nepotrebne odgode obavješćuje i izvoznika podataka o povredi nakon što sazna za nju. Takva obavijest sadržava pojedinosti o kontaktnoj točki od koje se može dobiti još informacija, opis prirode povrede (uključujući, ako je moguće, kategorije i približan broj predmetnih ispitanika i evidencija osobnih podataka), vjerojatne posljedice i poduzete ili predložene mjere za uklanjanje povrede, uključujući, prema potrebi, mjere za ublažavanje njezinih mogućih štetnih posljedica. Ako i u onoj mjeri u kojoj nije moguće istodobno pružiti sve informacije, prvotna obavijest sadržava informacije koje su dostupne u tom trenutku, a daljnje informacije pružaju se naknadno bez nepotrebne odgode čim postanu dostupne. |
|
(d) |
Uvoznik podataka surađuje s izvoznikom podataka i pomaže mu u ispunjavanju njegovih obveza na temelju Uredbe (EU) 2016/679, a posebno obveze da obavijesti nadležno nadzorno tijelo i pogođene ispitanike, vodeći računa o prirodi obrade i informacijama koje su dostupne uvozniku podataka. |
8.7. Osjetljivi podaci
Ako prijenos uključuje osobne podatke koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu, genetske podatke ili biometrijske podatke u svrhu jedinstvene identifikacije pojedinca, podatke koji se odnose na zdravlje, spolni život ili spolnu orijentaciju osobe ili podatke koji se odnose na osuđujuće presude i kaznena djela (dalje u tekstu „osjetljivi podaci”), uvoznik podataka primjenjuje posebna ograničenja i/ili dodatne zaštitne mjere navedene u Prilogu I.B.
8.8. Daljnji prijenosi
Uvoznik podataka otkriva osobne podatke trećoj strani isključivo prema zabilježenim uputama izvoznika podataka. Osim toga, podaci se smiju otkriti trećoj strani koja se nalazi izvan Europske unije (4) (u istoj zemlji kao uvoznik podataka ili u drugoj trećoj zemlji, dalje u tekstu „daljnji prijenos”) samo ako je treća strana obvezana ovim klauzulama ili pristane biti obvezana njima u skladu s odgovarajućim modulom, ili:
|
i. |
ako je riječ o daljnjem prijenosu u zemlju na koju se primjenjuje odluka o primjerenosti u skladu s člankom 45. Uredbe (EU) 2016/679 kojom je obuhvaćen daljnji prijenos; |
|
ii. |
ako treća strana na drugi način osigurava odgovarajuće zaštitne mjere u skladu s člancima 46. ili 47. Uredbe (EU) 2016/679 u pogledu predmetne obrade; |
|
iii. |
ako je daljnji prijenos potreban za postavljanje, ostvarivanje ili obranu pravnih zahtjeva u kontekstu posebnih upravnih, regulatornih ili sudskih postupaka; ili |
|
iv. |
ako je daljnji prijenos potreban za zaštitu životno važnih interesa ispitanika ili druge fizičke osobe. |
Daljnji prijenos može se izvršiti pod uvjetom da uvoznik podataka poštuje sve druge zaštitne mjere iz ovih klauzula, a posebno ograničenje svrhe.
8.9. Dokumentacija i usklađenost
|
(a) |
Uvoznik podataka odmah i na odgovarajući način odgovara na upite izvoznika podataka koji se odnose na obradu u skladu s ovim klauzulama. |
|
(b) |
Stranke moraju moći dokazati usklađenost s ovim klauzulama. Uvoznik podataka vodi odgovarajuću dokumentaciju o aktivnostima obrade provedenima u ime izvoznika podataka. |
|
(c) |
Uvoznik podataka izvozniku podataka stavlja na raspolaganje sve informacije potrebne za dokazivanje usklađenosti s obvezama utvrđenima u ovim klauzulama te na zahtjev izvoznika podataka omogućuje provedbu revizija aktivnosti obrade obuhvaćenih ovim klauzulama i pridonosi im u razumnim vremenskim razmacima ili ako postoje naznake neusklađenosti. Pri odlučivanju o preispitivanju ili reviziji izvoznik podataka može uzeti u obzir relevantne certifikate uvoznika podataka. |
|
(d) |
Izvoznik podataka može sam provesti reviziju ili za to ovlastiti neovisnog revizora. Revizije mogu uključivati inspekcije u prostorima ili fizičkim objektima uvoznika podataka te se, kad je to primjereno, provode uz prethodnu obavijest. |
|
(e) |
Stranke nadležnom nadzornom tijelu na zahtjev stavljaju na raspolaganje informacije iz točki (b) i (c), uključujući rezultate svih revizija. |
MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade
8.1. Upute
|
(a) |
Izvoznik podataka obavijestio je uvoznika podataka da djeluje kao izvršitelj obrade prema uputama svojih voditelja obrade, koje izvoznik podataka prije obrade stavlja na raspolaganje uvozniku podataka. |
|
(b) |
Uvoznik podataka obrađuje osobne podatke isključivo prema zabilježenim uputama voditelja obrade, koje mu dostavlja izvoznik podataka, i prema svim dodatnim zabilježenim uputama izvoznika podataka. Takve dodatne upute ne smiju biti u suprotnosti s uputama voditelja obrade. Voditelj obrade ili izvoznik podataka može dati daljnje zabilježene upute za obradu podataka za trajanja ugovora. |
|
(c) |
Uvoznik podataka odmah obavješćuje izvoznika podataka ako ne može slijediti te upute. Ako uvoznik podataka ne može slijediti upute voditelja obrade, izvoznik podataka odmah obavješćuje voditelja obrade. |
|
(d) |
Izvoznik podataka jamči da je uvozniku podataka nametnuo iste obveze zaštite podataka kao one koje su utvrđene ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice između voditelja obrade i izvoznika podataka (5). |
8.2. Ograničenje svrhe
Uvoznik podataka obrađuje osobne podatke samo u posebne svrhe prijenosa kako je utvrđeno u Prilogu I.B., osim ako uvoznik podataka dobije nove upute od voditelja obrade preko izvoznika podataka ili od samog izvoznika podataka.
8.3. Transparentnost
Izvoznik podataka ispitaniku će na zahtjev besplatno staviti na raspolaganje kopiju ovih klauzula, uključujući Dodatak kako su ga popunile stranke. Ako je to potrebno za zaštitu poslovnih tajni ili drugih povjerljivih informacija, uključujući osobne podatke, izvoznik podataka može ispustiti dio teksta Dodatka prije dijeljenja kopije, ali mora dostaviti smislen sažetak ako ispitanik inače ne bi mogao razumjeti njegov sadržaj ili ostvariti svoja prava. Stranke ispitaniku na zahtjev priopćuju razloge za ispuštanje, u mjeri u kojoj je to moguće bez otkrivanja ispuštenih informacija.
8.4. Točnost
Ako uvoznik podataka utvrdi da su osobni podaci koje je primio netočni ili zastarjeli, o tome bez nepotrebne odgode obavješćuje izvoznika podataka. U tom slučaju uvoznik podataka surađuje s izvoznikom podataka kako bi se podaci ispravili ili izbrisali.
8.5. Trajanje obrade i brisanje ili vraćanje podataka
Uvoznik podataka obrađuje podatke samo u trajanju navedenom u Prilogu I.B. Nakon završetka pružanja usluga obrade uvoznik podataka ovisno o odluci izvoznika podataka briše sve osobne podatke obrađene u ime voditelja obrade i potvrđuje izvozniku podataka da je to učinio ili mu vraća sve osobne podatke koji su obrađeni u njegovo ime i briše postojeće kopije. Dok se podaci ne izbrišu ili ne vrate, uvoznik podataka nastavlja osiguravati usklađenost s ovim klauzulama. Kad se na uvoznika podataka primjenjuju lokalni propisi kojima se zabranjuje vraćanje ili brisanje osobnih podataka, uvoznik podataka jamči da će nastaviti osiguravati usklađenost s ovim klauzulama i da će obrađivati podatke samo u mjeri i trajanju koji su u skladu s tim lokalnim zakonodavstvom. Time se ne dovodi u pitanje klauzula 14., osobito zahtjev da uvoznik podataka u skladu s klauzulom 14. točkom (e) za trajanja ugovora obavijesti izvoznika podataka ako ima razloga vjerovati da se na njega primjenjuju ili su se počeli primjenjivati zakoni ili prakse koji nisu u skladu sa zahtjevima iz klauzule 14. točke (a).
8.6. Sigurnost obrade
|
(a) |
Uvoznik podataka, a pri prijenosu i izvoznik podataka, provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao sigurnost podataka, uključujući zaštitu od povrede sigurnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene i neovlaštenog otkrivanja tih podataka ili pristupa njima (dalje u tekstu „povreda osobnih podataka”). Pri procjeni odgovarajuće razine sigurnosti uzima u obzir najnovija dostignuća, troškove provedbe, prirodu, opseg, kontekst i svrhe obrade te rizike za ispitanika povezane s obradom. Stranke posebno razmatraju primjenu enkripcije ili pseudonimizacije, među ostalim pri prijenosu, ako se svrha obrade može ispuniti na taj način. U slučaju pseudonimizacije dodatne informacije za pripisivanje osobnih podataka određenom ispitaniku ostaju pod isključivom kontrolom izvoznika podataka ili voditelja obrade kad god je to moguće. Pri ispunjavanju obveza iz ovog stavka uvoznik podataka provodi barem tehničke i organizacijske mjere navedene u Prilogu II. Uvoznik podataka izvršava redovite provjere kako bi osigurao da te mjere i dalje pružaju odgovarajuću razinu sigurnosti. |
|
(b) |
Uvoznik podataka članovima svojeg osoblja odobrava pristup podacima samo u mjeri nužnoj za provedbu i praćenje ugovora te upravljanje njime. Osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti. |
|
(c) |
U slučaju povrede osobnih podataka koje uvoznik podataka obrađuje u skladu s ovim klauzulama, uvoznik podataka poduzima odgovarajuće mjere za uklanjanje povrede, uključujući mjere za ublažavanje njezinih štetnih posljedica. Uvoznik podataka bez nepotrebne odgode obavješćuje i izvoznika podataka i, ako je to primjereno i izvedivo, voditelja obrade o povredi nakon što sazna za nju. Takva obavijest sadržava pojedinosti o kontaktnoj točki od koje se može dobiti još informacija, opis prirode povrede (uključujući, ako je moguće, kategorije i približan broj predmetnih ispitanika i evidencija osobnih podataka), vjerojatne posljedice i poduzete ili predložene mjere za uklanjanje povrede osobnih podataka, uključujući mjere za ublažavanje njezinih mogućih štetnih posljedica. Ako i u onoj mjeri u kojoj nije moguće istodobno pružiti sve informacije, prvotna obavijest sadržava informacije koje su dostupne u tom trenutku, a daljnje informacije pružaju se naknadno bez nepotrebne odgode čim postanu dostupne. |
|
(d) |
Uvoznik podataka surađuje s izvoznikom podataka i pomaže mu u ispunjavanju njegovih obveza na temelju Uredbe (EU) 2016/679, a posebno obveze da obavijesti svojeg voditelja obrade kako bi on mogao obavijestiti nadležno nadzorno tijelo i pogođene ispitanike, vodeći računa o prirodi obrade i informacijama koje su dostupne uvozniku podataka. |
8.7. Osjetljivi podaci
Ako prijenos uključuje osobne podatke koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu, genetske podatke ili biometrijske podatke u svrhu jedinstvene identifikacije pojedinca, podatke koji se odnose na zdravlje, spolni život ili spolnu orijentaciju osobe ili podatke koji se odnose na osuđujuće presude i kaznena djela (dalje u tekstu „osjetljivi podaci”), uvoznik podataka primjenjuje posebna ograničenja i/ili dodatne zaštitne mjere navedene u Prilogu I.B.
8.8. Daljnji prijenosi
Uvoznik podataka otkriva osobne podatke trećoj strani isključivo prema zabilježenim uputama voditelja obrade koje mu dostavlja izvoznik podataka. Osim toga, podaci se smiju otkriti trećoj strani koja se nalazi izvan Europske unije (6) (u istoj zemlji kao uvoznik podataka ili u drugoj trećoj zemlji, dalje u tekstu „daljnji prijenos”) samo ako je treća strana obvezana ovim klauzulama ili pristane biti obvezana njima u skladu s odgovarajućim modulom, ili:
|
i. |
ako je riječ o daljnjem prijenosu u zemlju na koju se primjenjuje odluka o primjerenosti u skladu s člankom 45. Uredbe (EU) 2016/679 kojom je obuhvaćen daljnji prijenos; |
|
ii. |
ako treća strana na drugi način osigurava odgovarajuće zaštitne mjere u skladu s člancima 46. ili 47. Uredbe (EU) 2016/679; |
|
iii. |
ako je daljnji prijenos potreban za postavljanje, ostvarivanje ili obranu pravnih zahtjeva u kontekstu posebnih upravnih, regulatornih ili sudskih postupaka; ili |
|
iv. |
ako je daljnji prijenos potreban za zaštitu životno važnih interesa ispitanika ili druge fizičke osobe. |
Daljnji prijenos može se izvršiti pod uvjetom da uvoznik podataka poštuje sve druge zaštitne mjere iz ovih klauzula, a posebno ograničenje svrhe.
8.9. Dokumentacija i usklađenost
|
(a) |
Uvoznik podataka odmah i na odgovarajući način odgovara na upite izvoznika podataka ili voditelja obrade koji se odnose na obradu u skladu s ovim klauzulama. |
|
(b) |
Stranke moraju moći dokazati usklađenost s ovim klauzulama. Uvoznik podataka vodi odgovarajuću dokumentaciju o aktivnostima obrade provedenima u ime voditelja obrade. |
|
(c) |
Uvoznik podataka stavlja na raspolaganje sve informacije potrebne za dokazivanje usklađenosti s obvezama utvrđenima u ovim klauzulama izvozniku podataka, koji ih dostavlja voditelju obrade. |
|
(d) |
Uvoznik podataka omogućuje izvozniku podataka provedbu revizija aktivnosti obrade koje su obuhvaćene ovim klauzulama i pridonosi im u razumnim vremenskim razmacima ili ako postoje naznake neusklađenosti. Isto vrijedi i u slučaju da izvoznik podataka zatraži reviziju na temelju uputa voditelja obrade. Pri odlučivanju o reviziji izvoznik podataka može uzeti u obzir relevantne certifikate uvoznika podataka. |
|
(e) |
Ako se revizija provodi prema uputama voditelja obrade, izvoznik podataka stavlja rezultate na raspolaganje voditelju obrade. |
|
(f) |
Izvoznik podataka može sam provesti reviziju ili za to ovlastiti neovisnog revizora. Revizije mogu uključivati inspekcije u prostorima ili fizičkim objektima uvoznika podataka te se, kad je to primjereno, provode uz prethodnu obavijest. |
|
(g) |
Stranke nadležnom nadzornom tijelu na zahtjev stavljaju na raspolaganje informacije iz točki (b) i (c), uključujući rezultate svih revizija. |
MODUL 4.: Prijenos od izvršitelja obrade do voditelja obrade
8.1. Upute
|
(a) |
Izvoznik podataka obrađuje osobne podatke samo prema zabilježenim uputama uvoznika podataka koji djeluje kao njegov voditelj obrade. |
|
(b) |
Izvoznik podataka odmah obavješćuje uvoznika podataka ako ne može slijediti te upute, među ostalim ako se takvim uputama krši Uredba (EU) 2016/679 ili drugo zakonodavstvo Unije ili države članice o zaštiti podataka. |
|
(c) |
Uvoznik podataka suzdržava se od svih radnji kojima bi se izvršitelja obrade spriječilo u ispunjavanju njegovih obveza u skladu s Uredbom (EU) 2016/679, među ostalim u kontekstu podobrade ili u pogledu suradnje s nadležnim nadzornim tijelima. |
|
(d) |
Nakon završetka pružanja usluga obrade izvoznik podataka ovisno o odluci uvoznika podataka briše sve osobne podatke obrađene u ime uvoznika podataka i potvrđuje uvozniku podataka da je to učinio ili mu vraća sve osobne podatke koji su obrađeni u njegovo ime i briše postojeće kopije. |
8.2. Sigurnost obrade
|
(a) |
Stranke provode odgovarajuće tehničke i organizacijske mjere kako bi osigurale sigurnost podataka, među ostalim pri prijenosu, i zaštitu od povrede sigurnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa (dalje u tekstu „povreda osobnih podataka”). Pri procjeni odgovarajuće razine sigurnosti uzimaju u obzir najnovija dostignuća, troškove provedbe, prirodu osobnih podataka (7), prirodu, opseg, kontekst i svrhe obrade te rizike za ispitanike povezane s obradom, a posebno razmatraju primjenu enkripcije ili pseudonimizacije, među ostalim pri prijenosu, ako se svrha obrade može ispuniti na taj način. |
|
(b) |
Izvoznik podataka pomaže uvozniku podataka osigurati odgovarajuću sigurnost podataka u skladu s točkom (a). U slučaju povrede osobnih podataka koje izvoznik podataka obrađuje u skladu s ovim klauzulama, izvoznik podataka bez nepotrebne odgode obavješćuje uvoznika podataka o povredi nakon što sazna za nju i pomaže mu u uklanjanju povrede. |
|
(c) |
Izvoznik podataka osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti. |
8.3. Dokumentacija i usklađenost
|
(a) |
Stranke moraju moći dokazati usklađenost s ovim klauzulama. |
|
(b) |
Izvoznik podataka uvozniku podataka stavlja na raspolaganje sve informacije potrebne za dokazivanje usklađenosti s obvezama utvrđenima u ovim klauzulama te omogućuje provedbu revizija i pridonosi im. |
Klauzula 9.
Angažiranje podizvršitelja obrade
MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade
|
(a) |
MOGUĆNOST 1.: POSEBNO PRETHODNO ODOBRENJE Uvoznik podataka ne smije povjeriti nijednu od svojih aktivnosti obrade koje obavlja u ime izvoznika podataka u skladu s ovim klauzulama podizvršitelju obrade bez prethodnog posebnog pisanog odobrenja izvoznika podataka. Uvoznik podataka podnosi zahtjev za posebno odobrenje najmanje [navesti razdoblje] prije angažiranja podizvršitelja obrade zajedno s informacijama potrebnima da bi izvoznik podataka mogao donijeti odluku o odobrenju. Popis podizvršitelja obrade koje je izvoznik podataka već odobrio nalazi se u Prilogu III. Stranke redovito ažuriraju Prilog III. MOGUĆNOST 2.: OPĆE PISANO ODOBRENJE Uvoznik podataka ima opće odobrenje izvoznika podataka za angažiranje podizvršitelja obrade s dogovorenog popisa. Uvoznik podataka pisanim putem izričito obavješćuje izvoznika podataka o svim planiranim izmjenama tog popisa dodavanjem ili zamjenom podizvršitelja obrade najmanje [navesti razdoblje] unaprijed kako bi izvozniku podataka omogućio dovoljno vremena da uloži prigovor na takve izmjene prije angažiranja podizvršitelja obrade. Uvoznik podataka izvozniku podataka dostavlja informacije potrebne da bi izvoznik podataka mogao ostvariti svoje pravo na prigovor. |
|
(b) |
Ako uvoznik podataka angažira podizvršitelja obrade za obavljanje određenih aktivnosti obrade (u ime izvoznika podataka), to čini pisanim ugovorom u kojem su predviđene sadržajno iste obveze zaštite podataka kao one koje obvezuju uvoznika podataka u skladu s ovim klauzulama, među ostalim u smislu prava u korist treće strane za ispitanike. (8) Stranke dogovaraju da uvoznik podataka postupanjem u skladu s ovom klauzulom ispunjava svoje obveze u skladu s klauzulom 8.8. Uvoznik podataka osigurava da podizvršitelj obrade poštuje obveze koje se primjenjuju na uvoznika podataka u skladu s ovim klauzulama. |
|
(c) |
Uvoznik podataka na zahtjev izvoznika podataka dostavlja kopiju takvog ugovora s podizvršiteljem obrade i sve naknadne izmjene izvozniku podataka. Ako je to potrebno za zaštitu poslovnih tajni ili drugih povjerljivih informacija, uključujući osobne podatke, uvoznik podataka može ispustiti tekst sporazuma prije dijeljenja kopije. |
|
(d) |
Uvoznik podataka ostaje u potpunosti odgovoran izvozniku podataka za izvršavanje obveza podizvršitelja obrade na temelju njegova ugovora s uvoznikom podataka. Uvoznik podataka obavješćuje izvoznika podataka o svakom neispunjavanju obveza podizvršitelja obrade iz tog ugovora. |
|
(e) |
Uvoznik podataka dogovara klauzulu u korist treće strane s podizvršiteljem obrade u skladu s kojom, u slučaju da je uvoznik podataka prestao postojati ili prestao postojati pred zakonom ili postao nesolventan, izvoznik podataka ima pravo raskinuti ugovor s podizvršiteljem obrade i zatražiti od podizvršitelja obrade da izbriše ili vrati osobne podatke. |
MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade
|
(a) |
MOGUĆNOST 1.: POSEBNO PRETHODNO ODOBRENJE Uvoznik podataka ne smije povjeriti nijednu od svojih aktivnosti obrade koje obavlja u ime izvoznika podataka u skladu s ovim klauzulama podizvršitelju obrade bez prethodnog posebnog pisanog odobrenja voditelja obrade. Uvoznik podataka podnosi zahtjev za posebno odobrenje najmanje [navesti razdoblje] prije angažiranja podizvršitelja obrade zajedno s informacijama potrebnima da bi voditelj obrade mogao donijeti odluku o odobrenju. O takvom angažiranju obavješćuje izvoznika podataka. Popis podizvršitelja obrade koje je voditelj obrade već odobrio nalazi se u Prilogu III. Stranke redovito ažuriraju Prilog III. MOGUĆNOST 2.: OPĆE PISANO ODOBRENJE Uvoznik podataka ima opće odobrenje voditelja obrade za angažiranje podizvršitelja obrade s dogovorenog popisa. Uvoznik podataka pisanim putem izričito obavješćuje voditelja obrade o svim planiranim izmjenama tog popisa dodavanjem ili zamjenom podizvršitelja obrade najmanje [navesti razdoblje] unaprijed kako bi voditelju obrade omogućio dovoljno vremena da uloži prigovor na takve izmjene prije angažiranja podizvršitelja obrade. Uvoznik podataka voditelju obrade dostavlja informacije potrebne da bi voditelj obrade mogao ostvariti svoje pravo na prigovor. Uvoznik podataka obavješćuje izvoznika podataka o angažiranju podizvršitelja obrade. |
|
(b) |
Ako uvoznik podataka angažira podizvršitelja obrade za obavljanje određenih aktivnosti obrade (u ime voditelja obrade), to čini pisanim ugovorom u kojem su predviđene sadržajno iste obveze zaštite podataka kao one koje obvezuju uvoznika podataka u skladu s ovim klauzulama, među ostalim u smislu prava u korist treće strane za ispitanike. (9) Stranke dogovaraju da uvoznik podataka postupanjem u skladu s ovom klauzulom ispunjava svoje obveze u skladu s klauzulom 8.8. Uvoznik podataka osigurava da podizvršitelj obrade poštuje obveze koje se primjenjuju na uvoznika podataka u skladu s ovim klauzulama. |
|
(c) |
Uvoznik podataka na zahtjev izvoznika podataka ili voditelja obrade dostavlja kopiju takvog ugovora s podizvršiteljem obrade i sve naknadne izmjene. Ako je to potrebno za zaštitu poslovnih tajni ili drugih povjerljivih informacija, uključujući osobne podatke, uvoznik podataka može ispustiti tekst sporazuma prije dijeljenja kopije. |
|
(d) |
Uvoznik podataka ostaje u potpunosti odgovoran izvozniku podataka za izvršavanje obveza podizvršitelja obrade na temelju njegova ugovora s uvoznikom podataka. Uvoznik podataka obavješćuje izvoznika podataka o svakom neispunjavanju obveza podizvršitelja obrade iz tog ugovora. |
|
(e) |
Uvoznik podataka dogovara klauzulu u korist treće strane s podizvršiteljem obrade u skladu s kojom, u slučaju da je uvoznik podataka prestao postojati ili prestao postojati pred zakonom ili postao nesolventan, izvoznik podataka ima pravo raskinuti ugovor s podizvršiteljem obrade i zatražiti od podizvršitelja obrade da izbriše ili vrati osobne podatke. |
Klauzula 10.
Prava ispitanika
MODUL 1.: Prijenos od voditelja obrade do voditelja obrade
|
(a) |
Uvoznik podataka, prema potrebi uz pomoć izvoznika podataka, odgovara na sve upite i zahtjeve koje primi od ispitanika u vezi s obradom njegovih osobnih podataka i ostvarivanjem njegovih prava u skladu s ovim klauzulama bez nepotrebne odgode i najkasnije u roku od mjesec dana od primitka upita ili zahtjeva. (10) Uvoznik podataka poduzima odgovarajuće mjere kako bi olakšao takve upite, zahtjeve i ostvarivanje prava ispitanika. Sve informacije koje se pružaju ispitaniku moraju biti u razumljivom i lako dostupnom obliku uz uporabu jasnog i jednostavnog jezika. |
|
(b) |
Uvoznik podataka na zahtjev ispitanika besplatno:
|
|
(c) |
Uvoznik podataka prestaje obrađivati osobne podatke za potrebe izravnog marketinga ako se ispitanik protivi takvoj obradi. |
|
(d) |
Uvoznik podataka ne donosi odluke koje se temelje isključivo na automatiziranoj obradi prenesenih osobnih podataka (dalje u tekstu „automatizirana odluka”) koje bi proizvele pravne učinke za ispitanika ili na sličan način znatno utjecale na njega, osim uz izričitu privolu ispitanika ili ako je za to ovlašten u skladu s propisima zemlje odredišta, pod uvjetom da su tim propisima predviđene prikladne mjere zaštite ispitanikovih prava i legitimnih interesa. U tom slučaju uvoznik podataka, prema potrebi u suradnji s izvoznikom podataka:
|
|
(e) |
Ako su zahtjevi ispitanika pretjerani, osobito zbog učestalog ponavljanja, uvoznik podataka može naplatiti razumnu naknadu na temelju administrativnih troškova ispunjavanja zahtjeva ili odbiti postupiti po zahtjevu. |
|
(f) |
Uvoznik podataka može odbiti zahtjev ispitanika ako je takvo odbijanje dopušteno u skladu sa zakonima zemlje odredišta te ako je nužno i razmjerno u demokratskom društvu radi zaštite jednog od ciljeva navedenih u članku 23. stavku 1. Uredbe (EU) 2016/679. |
|
(g) |
Ako uvoznik podataka namjerava odbiti zahtjev ispitanika, obavješćuje ispitanika o razlozima odbijanja i mogućnosti podnošenja pritužbe nadležnom nadzornom tijelu i/ili traženja sudske zaštite. |
MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade
|
(a) |
Uvoznik podataka odmah obavješćuje izvoznika podataka o svakom zahtjevu koji je primio od ispitanika. On sam ne odgovara na taj zahtjev osim ako ga je za to ovlastio izvoznik podataka. |
|
(b) |
Uvoznik podataka pomaže izvozniku podataka u ispunjavanju njegove obveze da odgovori na zahtjeve ispitanika za ostvarivanje njihovih prava na temelju Uredbe (EU) 2016/679. U tom pogledu stranke u Prilogu II., vodeći računa o prirodi obrade, utvrđuju odgovarajuće tehničke i organizacijske mjere za pružanje pomoći te opseg i razmjere potrebne pomoći. |
|
(c) |
Pri ispunjavanju svojih obveza iz točki (a) i (b) uvoznik podataka postupa u skladu s uputama izvoznika podataka. |
MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade
|
(a) |
Uvoznik podataka odmah obavješćuje izvoznika podataka i, ako je to potrebno, voditelja obrade o svakom zahtjevu koji je primio od ispitanika bez odgovaranja na taj zahtjev osim ako ga je za to ovlastio voditelj obrade. |
|
(b) |
Uvoznik podataka pomaže voditelju obrade, prema potrebi u suradnji s izvoznikom podataka, u ispunjavanju njegove obveze da odgovori na zahtjeve ispitanika za ostvarivanje njihovih prava na temelju Uredbe (EU) 2016/679 ili Uredbe (EU) 2018/1725, ovisno o tome koja je uredba primjenjiva. U tom pogledu stranke u Prilogu II., vodeći računa o prirodi obrade, utvrđuju odgovarajuće tehničke i organizacijske mjere za pružanje pomoći te opseg i razmjere potrebne pomoći. |
|
(c) |
Pri ispunjavanju svojih obveza iz točki (a) i (b) uvoznik podataka postupa u skladu s uputama voditelja obrade koje mu dostavlja izvoznik podataka. |
MODUL 4.: Prijenos od izvršitelja obrade do voditelja obrade
Stranke jedna drugoj pomažu u odgovaranju na upite i zahtjeve ispitanika u skladu s lokalnim pravom koje se primjenjuje na uvoznika podataka ili, za obradu podataka koju provodi izvoznik podataka u EU-u, u skladu s Uredbom (EU) 2016/679.
Klauzula 11.
Pravna zaštita
|
(a) |
Uvoznik podataka obavješćuje ispitanike o kontaktnoj točki ovlaštenoj za rješavanje pritužbi pojedinačnim obavijestima ili na svojim internetskim stranicama u transparentnom i lako dostupnom obliku. Odmah odgovara na sve pritužbe koje primi od ispitanika. [MOGUĆNOST: Uvoznik podataka suglasan je i s tim da ispitanici mogu besplatno podnijeti pritužbu neovisnom tijelu za rješavanje sporova (11). Obavješćuje ispitanike, na način utvrđen u točki (a), o tom mehanizmu pravne zaštite i o tome da ga nisu dužni iskoristiti ili pratiti određeni redoslijed pri traženju pravne zaštite.] |
MODUL 1.: Prijenos od voditelja obrade do voditelja obrade
MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade
MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade
|
(b) |
U slučaju spora između ispitanika i jedne od stranaka u vezi s poštovanjem ovih klauzula ta stranka nastoji sporazumno i pravodobno riješiti taj problem. Stranke se redovito međusobno obavješćuju o takvim sporovima i prema potrebi surađuju u njihovu rješavanju. |
|
(c) |
Ako se ispitanik pozove na pravo u korist treće strane u skladu s klauzulom 3., uvoznik podataka prihvaća odluku ispitanika:
|
|
(d) |
Stranke prihvaćaju da ispitanika može zastupati neprofitno tijelo, organizacija ili udruženje pod uvjetima utvrđenima u članku 80. stavku 1. Uredbe (EU) 2016/679. |
|
(e) |
Uvoznik podataka dužan je poštovati odluku koja je obvezujuća u skladu s primjenjivim pravom EU-a ili države članice. |
|
(f) |
Uvoznik podataka suglasan je s tim da izbor ispitanika neće dovesti u pitanje njegova materijalna i postupovna prava na traženje pravnih lijekova u skladu s primjenjivim zakonima. |
Klauzula 12.
Odgovornost
MODUL 1.: Prijenos od voditelja obrade do voditelja obrade
MODUL 4.: Prijenos od izvršitelja obrade do voditelja obrade
|
(a) |
Svaka stranka odgovorna je drugim strankama za bilo kakvu štetu koju prouzroči drugim strankama bilo kakvom povredom ovih klauzula. |
|
(b) |
Svaka stranka odgovorna je ispitaniku, a ispitanik ima pravo na naknadu za svaku materijalnu ili nematerijalnu štetu koju mu stranka prouzroči povredom prava u korist treće strane u okviru ovih klauzula. Time se ne dovodi u pitanje odgovornost izvoznika podataka u skladu s Uredbom (EU) 2016/679. |
|
(c) |
Ako je više od jedne stranke odgovorno za bilo koju štetu nanesenu ispitaniku zbog povrede ovih klauzula, sve su predmetne stranke solidarno odgovorne, a ispitanik ima pravo pokrenuti sudski postupak protiv bilo koje od tih stranaka. |
|
(d) |
Stranke su suglasne s tim da, ako se jedna stranka smatra odgovornom u skladu s točkom (c), ona ima pravo od drugih stranaka tražiti povrat dijela naknade koji odgovara njihovoj odgovornosti za štetu. |
|
(e) |
Uvoznik podataka ne može se pozvati na ponašanje izvršitelja obrade ili podizvršitelja obrade kako bi izbjegao vlastitu odgovornost. |
MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade
MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade
|
(a) |
Svaka stranka odgovorna je drugim strankama za bilo kakvu štetu koju prouzroči drugim strankama bilo kakvom povredom ovih klauzula. |
|
(b) |
Uvoznik podataka odgovoran je ispitaniku, a ispitanik ima pravo na naknadu za svaku materijalnu ili nematerijalnu štetu koju mu prouzroči uvoznik podataka ili njegov podizvršitelj obrade povredom prava u korist treće strane u okviru ovih klauzula. |
|
(c) |
Neovisno o točki (b) izvoznik podataka odgovoran je ispitaniku, a ispitanik ima pravo na naknadu za svaku materijalnu ili nematerijalnu štetu koju mu prouzroči izvoznik podataka ili uvoznik podataka (ili njegov podizvršitelj obrade) povredom prava u korist treće strane u okviru ovih klauzula. Time se ne dovodi u pitanje odgovornost izvoznika podataka i, ako je izvoznik podataka izvršitelj obrade koji djeluje u ime voditelja obrade, odgovornost voditelja obrade u skladu s Uredbom (EU) 2016/679 ili Uredbom (EU) 2018/1725, ovisno o tome koja je uredba primjenjiva. |
|
(d) |
Stranke su suglasne s tim da, ako se izvoznik podataka u skladu s točkom (c) smatra odgovornim za štetu koju je prouzročio uvoznik podataka (ili njegov podizvršitelj obrade), on ima pravo od uvoznika podataka tražiti povrat dijela naknade koji odgovara odgovornosti uvoznika podataka za štetu. |
|
(e) |
Ako je više od jedne stranke odgovorno za bilo koju štetu nanesenu ispitaniku zbog povrede ovih klauzula, sve su predmetne stranke solidarno odgovorne, a ispitanik ima pravo pokrenuti sudski postupak protiv bilo koje od tih stranaka. |
|
(f) |
Stranke su suglasne s tim da, ako se jedna stranka smatra odgovornom u skladu s točkom (e), ona ima pravo od drugih stranaka tražiti povrat dijela naknade koji odgovara njihovoj odgovornosti za štetu. |
|
(g) |
Uvoznik podataka ne može se pozvati na ponašanje podizvršitelja obrade kako bi izbjegao vlastitu odgovornost. |
Klauzula 13.
Nadzor
MODUL 1.: Prijenos od voditelja obrade do voditelja obrade
MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade
MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade
|
(a) |
[Ako izvoznik podataka ima poslovni nastan u državi članici EU-a:] Nadzorno tijelo odgovorno za osiguravanje da izvoznik podataka poštuje Uredbu (EU) 2016/679 u pogledu prijenosa podataka, kako je navedeno u Prilogu I.C., djeluje kao nadležno nadzorno tijelo. [Ako izvoznik podataka nema poslovni nastan u državi članici EU-a, ali je obuhvaćen teritorijalnim područjem primjene Uredbe (EU) 2016/679 u skladu s njezinim člankom 3. stavkom 2. i imenovao je predstavnika u skladu s člankom 27. stavkom 1. Uredbe (EU) 2016/679:] Nadzorno tijelo države članice u kojoj predstavnik u smislu članka 27. stavka 1. Uredbe (EU) 2016/679 ima poslovni nastan, kako je navedeno u Prilogu I.C., djeluje kao nadležno nadzorno tijelo. [Ako izvoznik podataka nema poslovni nastan u državi članici EU-a, ali je obuhvaćen teritorijalnim područjem primjene Uredbe (EU) 2016/679 u skladu s njezinim člankom 3. stavkom 2. a da ne mora imenovati predstavnika u skladu s člankom 27. stavkom 2. Uredbe (EU) 2016/679:] Nadzorno tijelo jedne od država članica u kojoj se nalaze ispitanici čiji se osobni podaci prenose u skladu s ovim klauzulama u vezi s nuđenjem robe ili usluga ili čije se ponašanje prati, kako je navedeno u Prilogu I.C., djeluje kao nadležno nadzorno tijelo. |
|
(b) |
Uvoznik podataka prihvaća nadležnost nadležnog nadzornog tijela i suglasan je surađivati s njim u svim postupcima kojima je cilj osigurati usklađenost s ovim klauzulama. Uvoznik podataka suglasan je s tim da odgovara na upite, da se podvrgava revizijama i da postupa u skladu s mjerama koje je donijelo nadzorno tijelo, uključujući korektivne i kompenzacijske mjere. Nadzornom tijelu dostavlja pisanu potvrdu o tome da su poduzete potrebne mjere. |
ODJELJAK III. – LOKALNI PROPISI I OBVEZE U SLUČAJU PRISTUPA TIJELA JAVNE VLASTI
Klauzula 14.
Lokalni propisi i prakse koji utječu na usklađenost s klauzulama
MODUL 1.: Prijenos od voditelja obrade do voditelja obrade
MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade
MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade
MODUL 4.: Prijenos od izvršitelja obrade do voditelja obrade (ako izvršitelj obrade iz EU-a kombinira osobne podatke primljene od voditelja obrade iz treće zemlje s osobnim podacima koje je izvršitelj obrade prikupio u EU-u)
|
(a) |
Stranke jamče da nemaju razloga vjerovati da zakoni i prakse u trećoj zemlji odredišta koji se primjenjuju na obradu osobnih podataka koju provodi uvoznik podataka, uključujući sve zahtjeve za otkrivanje osobnih podataka ili mjere kojima se odobrava pristup tijelima javne vlasti, sprečavaju uvoznika podataka u ispunjavanju njegovih obveza u skladu s ovim klauzulama. To se temelji na pretpostavci da zakoni i prakse kojima se poštuje bit temeljnih prava i sloboda i koji ne prelaze ono što je nužno i razmjerno u demokratskom društvu za zaštitu jednog od ciljeva navedenih u članku 23. stavku 1. Uredbe (EU) 2016/679 nisu u suprotnosti sa standardnim ugovornim klauzulama. |
|
(b) |
Stranke izjavljuju da su pri pružanju jamstva iz točke (a) posebno uzele u obzir sljedeće elemente:
|
|
(c) |
Uvoznik podataka jamči da je pri provedbi procjene iz točke (b) učinio sve što je u njegovoj moći kako bi izvozniku podataka dostavio relevantne informacije i suglasan je s tim da će nastaviti surađivati s izvoznikom podataka kako bi osigurao usklađenost s ovim klauzulama. |
|
(d) |
Stranke su suglasne s tim da će dokumentirati procjenu iz točke (b) i na zahtjev je staviti na raspolaganje nadležnom nadzornom tijelu. |
|
(e) |
Uvoznik podataka suglasan je s tim da će odmah obavijestiti izvoznika podataka ako, nakon što je pristao na ove klauzule i za vrijeme trajanja ugovora ima razloga vjerovati da se na njega primjenjuju ili su se počeli primjenjivati zakoni ili prakse koji nisu u skladu sa zahtjevima iz točke (a), među ostalim zbog promjene zakona treće zemlje ili mjere (kao što je zahtjev za otkrivanje) koja podrazumijeva primjenu takvih zakona u praksi koja nije u skladu sa zahtjevima iz točke (a). [Za modul 3.: Izvoznik podataka prosljeđuje obavijest voditelju obrade.] |
|
(f) |
Ako primi obavijest u skladu s točkom (e) ili ima drugog razloga vjerovati da uvoznik podataka više ne može ispunjavati svoje obveze u skladu s ovim klauzulama, izvoznik podataka odmah utvrđuje odgovarajuće mjere (na primjer tehničke ili organizacijske mjere za osiguravanje sigurnosti i povjerljivosti) koje izvoznik podataka i/ili uvoznik podataka treba donijeti za rješavanje tog problema [za modul 3.:, prema potrebi uz savjetovanje s voditeljem obrade]. Izvoznik podataka obustavlja prijenos podataka ako smatra da nije moguće osigurati odgovarajuće zaštitne mjere za takav prijenos ili ako to zatraži [za modul 3.: voditelj obrade ili] nadležno nadzorno tijelo. U tom slučaju izvoznik podataka ima pravo raskinuti ugovor ako se odnosi na obradu osobnih podataka u skladu s ovim klauzulama. Ako u ugovoru sudjeluje više od dvije stranke, izvoznik podataka može iskoristiti to pravo na raskid samo u odnosu na relevantnu stranku, osim ako su se stranke drukčije dogovorile. Kad se ugovor raskine u skladu s ovom klauzulom, primjenjuje se klauzula 16. točke (d) i (e). |
Klauzula 15.
Obveze uvoznika podataka u slučaju pristupa tijela javne vlasti
MODUL 1.: Prijenos od voditelja obrade do voditelja obrade
MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade
MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade
MODUL 4.: Prijenos od izvršitelja obrade do voditelja obrade (ako izvršitelj obrade iz EU-a kombinira osobne podatke primljene od voditelja obrade iz treće zemlje s osobnim podacima koje je izvršitelj obrade prikupio u EU-u)
15.1. Obavijest
|
(a) |
Uvoznik podataka suglasan je s tim da će odmah obavijestiti izvoznika podataka i, ako je moguće, ispitanika (ako je potrebno uz pomoć izvoznika podataka):
[Za modul 3.: Izvoznik podataka prosljeđuje obavijest voditelju obrade.] |
|
(b) |
Ako je uvozniku podataka u skladu sa zakonima zemlje odredišta zabranjeno obavijestiti izvoznika podataka i/ili ispitanika, uvoznik podataka suglasan je s tim da će učiniti sve što je u njegovoj moći da dobije izuzeće od zabrane kako bi što prije dostavio što više informacija. Uvoznik podataka suglasan je s tim da će dokumentirati taj proces kako bi ga mogao dokazati na zahtjev izvoznika podataka. |
|
(c) |
Ako je to dopušteno zakonima zemlje odredišta, uvoznik podataka suglasan je s tim da će izvozniku podataka za vrijeme trajanja ugovora u redovitim vremenskim razmacima dostavljati najveću moguću količinu relevantnih informacija o primljenim zahtjevima (osobito broj zahtjeva, vrstu traženih podataka, tijelo ili tijela koja su podnijela zahtjev, jesu li zahtjevi osporavani i ishod takvih osporavanja itd.). [Za modul 3.: Izvoznik podataka prosljeđuje informacije voditelju obrade.] |
|
(d) |
Uvoznik podataka suglasan je s tim da će za vrijeme trajanja ugovora čuvati informacije u skladu s točkama od (a) do (c) i na zahtjev ih staviti na raspolaganje nadležnom nadzornom tijelu. |
|
(e) |
Točkama od (a) do (c) ne dovodi se u pitanje obveza uvoznika podataka u skladu s klauzulom 14. točkom (e) i klauzulom 16. da odmah obavijesti izvoznika podataka ako ne može poštovati ove klauzule. |
15.2. Preispitivanje zakonitosti i smanjenje količine podataka
|
(a) |
Uvoznik podataka suglasan je preispitati zakonitost zahtjeva za otkrivanje, a posebno je li on obuhvaćen ovlastima tijela javne vlasti koje je podnijelo zahtjev, te osporiti zahtjev ako nakon pažljive procjene zaključi da postoje opravdani razlozi na temelju kojih se može smatrati da je zahtjev u suprotnosti sa zakonima zemlje odredišta, primjenjivim obvezama u skladu s međunarodnim pravom i načelima međunarodne kurtoazije. Uvoznik podataka pod istim uvjetima iskorištava mogućnosti žalbe. Pri osporavanju zahtjeva uvoznik podataka traži privremene mjere kako bi se odgodili učinci zahtjeva dok nadležno pravosudno tijelo ne odluči o njegovoj osnovanosti. Ne otkriva tražene osobne podatke sve dok se to ne zahtijeva na temelju primjenjivih postupovnih pravila. Ti zahtjevi ne dovode u pitanje obveze uvoznika podataka u skladu s klauzulom 14. točkom (e). |
|
(b) |
Uvoznik podataka suglasan je s tim da će dokumentirati svoju pravnu ocjenu i svako osporavanje zahtjeva za otkrivanje te tu dokumentaciju staviti na raspolaganje izvozniku podataka ako je to dopušteno zakonima zemlje odredišta. Tu dokumentaciju na zahtjev stavlja na raspolaganje i nadležnom nadzornom tijelu. [Za modul 3.: Izvoznik podataka stavlja ocjenu na raspolaganje voditelju obrade.] |
|
(c) |
Uvoznik podataka suglasan je s tim da će pružiti najmanju dopuštenu količinu informacija pri odgovaranju na zahtjev za otkrivanje na temelju razumnog tumačenja zahtjeva. |
ODJELJAK IV. – ZAVRŠNE ODREDBE
Klauzula 16.
Neusklađenost s klauzulama i raskid
|
(a) |
Uvoznik podataka odmah obavješćuje izvoznika podataka ako zbog bilo kojeg razloga ne može poštovati klauzule. |
|
(b) |
U slučaju da je uvoznik podataka prekršio ove klauzule ili ih ne može poštovati, izvoznik podataka obustavlja prijenos osobnih podataka uvozniku podataka dok se ponovno ne osigura poštovanje klauzula ili dok se ugovor ne raskine. To ne dovodi u pitanje klauzulu 14. točku (f). |
|
(c) |
Izvoznik podataka ima pravo raskinuti ugovor u dijelu koji se odnosi na obradu osobnih podataka u skladu s ovim klauzulama:
U tim slučajevima obavješćuje nadležno nadzorno tijelo [za modul 3.: i voditelja obrade] o takvoj neusklađenosti. Ako u ugovoru sudjeluje više od dvije stranke, izvoznik podataka može iskoristiti to pravo na raskid samo u odnosu na relevantnu stranku, osim ako su se stranke drukčije dogovorile. |
|
(d) |
[Za module 1., 2. i 3.: Osobni podaci koji su preneseni prije raskida ugovora u skladu s točkom (c) ovisno o odluci izvoznika podataka odmah se vraćaju izvozniku podataka ili u cijelosti brišu. Isto se primjenjuje na sve kopije podataka.] [Za modul 4.: Osobni podaci koje je izvoznik podataka prikupio u EU-u i koji su preneseni prije raskida ugovora u skladu s točkom (c) odmah se u cijelosti brišu zajedno sa svim njihovim kopijama.] Uvoznik podataka izvozniku podataka potvrđuje da su podaci izbrisani. Dok se podaci ne izbrišu ili ne vrate, uvoznik podataka nastavlja osiguravati usklađenost s ovim klauzulama. Kad se na uvoznika podataka primjenjuju lokalni propisi kojima se zabranjuje vraćanje ili brisanje prenesenih osobnih podataka, uvoznik podataka jamči da će nastaviti osiguravati usklađenost s ovim klauzulama i da će obrađivati podatke samo u mjeri i trajanju koji su u skladu s tim lokalnim zakonodavstvom. |
|
(e) |
Svaka stranka može povući svoju suglasnost s tim da bude obvezana ovim klauzulama ako i. Europska komisija donese odluku u skladu s člankom 45. stavkom 3. Uredbe (EU) 2016/679 koja obuhvaća prijenos osobnih podataka na koji se ove klauzule primjenjuju; ili ii. Uredba (EU) 2016/679 postane dio pravnog okvira zemlje u koju se osobni podaci prenose. Time se ne dovode u pitanje druge obveze koje se odnose na predmetnu obradu u skladu s Uredbom (EU) 2016/679. |
Klauzula 17.
Mjerodavno pravo
MODUL 1.: Prijenos od voditelja obrade do voditelja obrade
MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade
MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade
[MOGUĆNOST 1.: Ove su klauzule uređene pravom jedne od država članica EU-a pod uvjetom da se tim pravom omogućuju prava u korist treće strane. Stranke su suglasne da je to pravo _______ (navesti državu članicu).]
[MOGUĆNOST 2. (za modul 2. i modul 3.): Ove su klauzule uređene pravom države članice EU-a u kojoj izvoznik podataka ima poslovni nastan. Ako se tim pravom ne omogućuju prava u korist treće strane, klauzule se uređuju pravom druge države članice EU-a koje omogućuje prava u korist treće strane. Stranke su suglasne da je to pravo _______ (navesti državu članicu).]
MODUL 4.: Prijenos od izvršitelja obrade do voditelja obrade
Ove su klauzule uređene pravom zemlje koja omogućuje prava u korist treće strane. Stranke su suglasne da je to pravo _______ (navesti zemlju).
Klauzula 18.
Odabir suda i nadležnosti
MODUL 1.: Prijenos od voditelja obrade do voditelja obrade
MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade
MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade
|
(a) |
Sve sporove koji proizlaze iz ovih klauzula rješavaju sudovi države članice EU-a. |
|
(b) |
Stranke su suglasne da su to sudovi _______ (navesti državu članicu). |
|
(c) |
Ispitanik može i pokrenuti sudski postupak protiv izvoznika podataka i/ili uvoznika podataka pred sudovima države članice u kojoj ispitanik ima uobičajeno boravište. |
|
(d) |
Stranke prihvaćaju nadležnost tih sudova. |
MODUL 4.: Prijenos od izvršitelja obrade do voditelja obrade
|
|
Sve sporove koji proizlaze iz ovih klauzula rješavaju sudovi _____ (navesti zemlju). |
(1) Ako je izvoznik podataka izvršitelj obrade na kojeg se primjenjuje Uredba (EU) 2016/679 i koji djeluje u ime institucije ili tijela Unije kao voditelj obrade, oslanjanjem na ove klauzule pri angažiranju drugog izvršitelja obrade (podobrada) na kojeg se ne primjenjuje Uredba (EU) 2016/679 osigurava se i poštovanje članka 29. stavka 4. Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (SL L 295, 21.11.2018., str. 39.) u mjeri u kojoj su usklađene ove klauzule i obveze zaštite podataka utvrđene u ugovoru ili drugom pravnom aktu između voditelja obrade i izvršitelja obrade u skladu s člankom 29. stavkom 3. Uredbe (EU) 2018/1725. To će posebno biti slučaj kad se voditelj obrade i izvršitelj obrade oslanjaju na standardne ugovorne klauzule iz Odluke 2021/915.
(2) Za to je potrebno anonimizirati podatke tako da nitko više ne može utvrditi identitet pojedinca u skladu s uvodnom izjavom 26. Uredbe (EU) 2016/679.
(3) U Sporazumu o Europskom gospodarskom prostoru (Sporazum o EGP-u) predviđeno je proširenje unutarnjeg tržišta Europske unije na tri države EGP-a: Island, Lihtenštajn i Norvešku. Zakonodavstvo Unije o zaštiti podataka, uključujući Uredbu (EU) 2016/679, obuhvaćeno je Sporazumom o EGP-u i uključeno u Prilog XI. tom sporazumu. Stoga se bilo kakvo otkrivanje uvoznika podataka trećoj strani koja se nalazi u EGP-u ne smatra daljnjim prijenosom za potrebe ovih klauzula.
(4) U Sporazumu o Europskom gospodarskom prostoru (Sporazum o EGP-u) predviđeno je proširenje unutarnjeg tržišta Europske unije na tri države EGP-a: Island, Lihtenštajn i Norvešku. Zakonodavstvo Unije o zaštiti podataka, uključujući Uredbu (EU) 2016/679, obuhvaćeno je Sporazumom o EGP-u i uključeno u Prilog XI. tom sporazumu. Stoga se bilo kakvo otkrivanje uvoznika podataka trećoj strani koja se nalazi u EGP-u ne smatra daljnjim prijenosom za potrebe ovih klauzula.
(5) Vidjeti članak 28. stavak 4. Uredbe (EU) 2016/679 i, ako je voditelj obrade institucija ili tijelo EU-a, članak 29. stavak 4. Uredbe (EU) 2018/1725.
(6) U Sporazumu o Europskom gospodarskom prostoru (Sporazum o EGP-u) predviđeno je proširenje unutarnjeg tržišta Europske unije na tri države EGP-a: Island, Lihtenštajn i Norvešku. Zakonodavstvo Unije o zaštiti podataka, uključujući Uredbu (EU) 2016/679, obuhvaćeno je Sporazumom o EGP-u i uključeno u Prilog XI. tom sporazumu. Stoga se bilo kakvo otkrivanje uvoznika podataka trećoj strani koja se nalazi u EGP-u ne smatra daljnjim prijenosom za potrebe ovih klauzula.
(7) To uključuje i procjenu obuhvaćaju li prijenos li daljnja obrada osobne podatke koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu, genetske podatke ili biometrijske podatke u svrhu jedinstvene identifikacije pojedinca, podatke koji se odnose na zdravlje, spolni život ili spolnu orijentaciju osobe ili podatke koji se odnose na osuđujuće presude ili kaznena djela.
(8) Ovaj zahtjev može ispuniti podizvršitelj obrade koji pristupa ovim klauzulama prema odgovarajućem modulu, u skladu s klauzulom 7.
(9) Ovaj zahtjev može ispuniti podizvršitelj obrade koji pristupa ovim klauzulama prema odgovarajućem modulu, u skladu s klauzulom 7.
(10) Taj se rok može produljiti za najviše dva dodatna mjeseca ako je to potrebno s obzirom na složenost i broj zahtjeva. Uvoznik podataka propisno i bez odgode obavješćuje ispitanika o svakom takvom produljenju.
(11) Uvoznik podataka može ponuditi neovisno rješavanje sporova pred arbitražnim sudom samo ako ima poslovni nastan u zemlji koja je ratificirala Njujoršku konvenciju o priznanju i izvršenju inozemnih arbitražnih odluka.
(12) Kad je riječ o učinku takvih zakona i praksi na usklađenost s ovim klauzulama, u okviru ukupne procjene mogu se razmatrati različiti elementi. Ti elementi mogu uključivati relevantno i zabilježeno praktično iskustvo s prethodnim zahtjevima tijela javne vlasti za otkrivanje ili izostankom takvih zahtjeva u dovoljno reprezentativnom vremenskom okviru. To se posebno odnosi na internu evidenciju ili drugu dokumentaciju koja se kontinuirano izrađuje s dužnom pažnjom i potvrđuje na razini višeg rukovodstva, pod uvjetom da se te informacije mogu zakonito dijeliti s trećim stranama. Ako se na temelju tog praktičnog iskustva zaključi da uvozniku podataka neće biti onemogućeno usklađivanje s ovim klauzulama, to je potrebno potkrijepiti drugim relevantnim i objektivnim elementima, a stranke trebaju pažljivo razmotriti jesu li ti elementi zajedno dovoljno pouzdani i reprezentativni da bi potkrijepili taj zaključak. Stranke posebno moraju uzeti u obzir je li njihovo praktično iskustvo potkrijepljeno i u skladu s javno ili na drugi način dostupnim pouzdanim informacijama o postojanju ili nepostojanju zahtjeva unutar istog sektora i/ili primjenom zakona u praksi, kao što su sudska praksa i izvješća neovisnih nadzornih tijela.
DODATAK
OBJAŠNJENJE:
Mora biti moguće jasno razlikovati informacije koje se primjenjuju na svaki prijenos ili kategoriju prijenosa i u tom pogledu utvrditi odgovarajuće uloge stranaka kao izvoznika podataka i/ili uvoznika podataka. Za to nije nužno popuniti i potpisati zasebne dodatke za svaki prijenos/kategoriju prijenosa i/ili ugovorni odnos ako se ta transparentnost može postići jednim dodatkom. No ako je to potrebno da bi se osigurala dostatna jasnoća, trebalo bi primjenjivati zasebne dodatke.
PRILOG I.
A POPIS STRANAKA
MODUL 1.: Prijenos od voditelja obrade do voditelja obrade
MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade
MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade
MODUL 4.: Prijenos od izvršitelja obrade do voditelja obrade
Izvoznik/izvoznici podataka: [Identitet i podaci za kontakt izvoznika podataka i, ako je primjenjivo, njegova službenika za zaštitu podataka i/ili predstavnika izvoznika podataka u Europskoj uniji]
|
1. |
Ime: …
Adresa: … Ime, položaj i kontaktni podaci osobe za kontakt: … Aktivnosti koje su relevantne za podatke prenesene u skladu s ovim klauzulama: … Potpis i datum: … Uloga (voditelj obrade/izvršitelj obrade): … |
|
2. |
… |
Uvoznik/uvoznici podataka: [Identitet i podaci za kontakt uvoznika podataka, uključujući sve osobe za kontakt odgovorne za zaštitu podataka]
|
1. |
Ime: …
Adresa: … Ime, položaj i kontaktni podaci osobe za kontakt: … Aktivnosti koje su relevantne za podatke prenesene u skladu s ovim klauzulama: … Potpis i datum: … Uloga (voditelj obrade/izvršitelj obrade): … |
|
2. |
… |
B OPIS PRIJENOSA
MODUL 1.: Prijenos od voditelja obrade do voditelja obrade
MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade
MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade
MODUL 4.: Prijenos od izvršitelja obrade do voditelja obrade
Kategorije ispitanika čiji se osobni podaci prenose
….
Kategorije osobnih podataka koji se prenose
…
Osjetljivi podaci koji se prenose (ako je primjenjivo) i primijenjena ograničenja ili zaštitne mjere kojima se u potpunosti uzimaju u obzir priroda podataka i povezani rizici, kao što su stroga ograničenja svrhe, ograničenja pristupa (uključujući pristup samo za osoblje koje je prošlo posebno osposobljavanje), vođenje evidencije o pristupu podacima, ograničenja za daljnje prijenose ili dodatne sigurnosne mjere.
….
Učestalost prijenosa (npr. prenose li se podaci jednokratno ili kontinuirano)
…
Priroda obrade
…
Svrha/svrhe prijenosa podataka i daljnje obrade
….
Razdoblje u kojem će se osobni podaci čuvati ili, ako to nije moguće, kriteriji na temelju kojih se utvrđuje to razdoblje
…
Za prijenose (pod)izvršiteljima obrade isto tako navesti predmet, prirodu i trajanje obrade
…
C NADLEŽNO NADZORNO TIJELO
MODUL 1.: Prijenos od voditelja obrade do voditelja obrade
MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade
MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade
Navesti nadležna nadzorna tijela u skladu s klauzulom 13.
…
PRILOG II.
TEHNIČKE I ORGANIZACIJSKE MJERE, UKLJUČUJUĆI TEHNIČKE I ORGANIZACIJSKE MJERE ZA JAMČENJE SIGURNOSTI PODATAKA
MODUL 1.: Prijenos od voditelja obrade do voditelja obrade
MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade
MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade
OBJAŠNJENJE:
Tehničke i organizacijske mjere moraju biti opisane na konkretan (a ne na općenit) način. Vidjeti i opću napomenu na prvoj stranici Dodatka, a posebno dio o potrebi za jasnim navođenjem mjera koje se primjenjuju na svaki prijenos/skup prijenosa.
Opis tehničkih i organizacijskih mjera koje provode uvoznici podataka (uključujući sve relevantne certifikate) kako bi se zajamčila odgovarajuća razina sigurnosti, vodeći računa o prirodi, opsegu, kontekstu i svrsi obrade te riziku za prava i slobode pojedinaca.
[Primjeri mogućih mjera:
Mjere pseudonimizacije i enkripcije osobnih podataka
Mjere za osiguravanje trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade
Mjere za osiguravanje sposobnosti pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta
Procesi za redovito testiranje, procjenu i evaluaciju učinkovitosti tehničkih i organizacijskih mjera kako bi se zajamčila sigurnost obrade
Mjere za identifikaciju i odobrenje korisnika
Mjere za zaštitu podataka pri prijenosu
Mjere za zaštitu podataka pri pohrani
Mjere za jamčenje fizičke sigurnosti lokacija na kojima se obrađuju osobni podaci
Mjere za osiguravanje bilježenja događaja
Mjere za osiguravanje konfiguracije sustava, uključujući zadanu konfiguraciju
Mjere za unutarnje upravljanje informacijskim tehnologijama i njihovom sigurnošću
Mjere za certificiranje/osiguravanje postupaka i proizvoda
Mjere za osiguravanje smanjenja količine podataka
Mjere za osiguravanje kvalitete podataka
Mjere za osiguravanje ograničenog zadržavanja podataka
Mjere za osiguravanje odgovornosti
Mjere kojima se omogućuje prenosivost podataka i osigurava brisanje podataka]
Za prijenose (pod)izvršiteljima obrade opisati i posebne tehničke i organizacijske mjere koje (pod)izvršitelj obrade treba poduzeti kako bi mogao pružiti pomoć voditelju obrade i, u slučaju prijenosa s izvršitelja na podizvršitelja obrade, izvozniku podataka
PRILOG III.
POPIS PODIZVRŠITELJA OBRADE
MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade
MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade
OBJAŠNJENJE:
Ovaj Prilog mora se popuniti za modul 2. i modul 3. u slučaju posebnog odobrenja podizvršitelja obrade (klauzula 9. točka (a), mogućnost 1.).
Voditelj obrade odobrio je angažiranje sljedećih podizvršitelja obrade:
|
1. |
Ime: …
Adresa: … Ime, položaj i kontaktni podaci osobe za kontakt: … Opis obrade (uključujući jasno razgraničenje odgovornosti ako je odobreno nekoliko podizvršitelja obrade): … |
|
2. |
… |