STANDARDOWE KLAUZULE UMOWNE
Kontroler do procesora
SEKCJA I
Klauzula 1
Cel i zakres
(a) Celem niniejszych standardowych klauzul umownych jest zapewnienie zgodności z wymogami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych) w zakresie przekazywania danych do państwa trzeciego.
(b) Strony:
(i) osoby fizyczne lub prawne, organy publiczne, agencje lub inne podmioty (zwane dalej "podmiotami") przekazujące dane osobowe, wymienione w załączniku I.A (zwane dalej "podmiotami przekazującymi dane"), oraz
(ii) podmiot/podmioty w państwie trzecim otrzymujące dane osobowe od podmiotu przekazującego dane, bezpośrednio lub pośrednio za pośrednictwem innego podmiotu będącego również Stroną niniejszych klauzul, wymienionego w załączniku I.A (zwanego dalej "podmiotem odbierającym dane")
wyrazili zgodę na niniejsze standardowe klauzule umowne (dalej: "Klauzule").
(c) Niniejsze klauzule mają zastosowanie w odniesieniu do przekazywania danych osobowych określonych w Załączniku I.B.
(d) Załącznik do niniejszych Klauzul zawierający Załączniki, o których w nim mowa, stanowi integralną część niniejszych Klauzul.
Klauzula 2
Skutek i niezmienność klauzul
(a) Niniejsze klauzule określają odpowiednie zabezpieczenia, w tym egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej, zgodnie z art. 46 ust. 1 i art. 46 ust. 2 lit. c) rozporządzenia (UE) 2016/679 oraz, w odniesieniu do przekazywania danych od administratorów do podmiotów przetwarzających i/lub od podmiotów przetwarzających do podmiotów przetwarzających, standardowe klauzule umowne zgodnie z art. 28 ust. 7 rozporządzenia (UE) 2016/679, pod warunkiem że nie zostaną one zmodyfikowane, z wyjątkiem wyboru odpowiedniego modułu (modułów) lub dodania lub aktualizacji informacji w Załączniku. Nie uniemożliwia to Stronom włączenia standardowych klauzul umownych określonych w niniejszych klauzulach do szerszej umowy i/lub dodania innych klauzul lub dodatkowych zabezpieczeń, pod warunkiem że nie są one sprzeczne, bezpośrednio lub pośrednio, z niniejszymi klauzulami ani nie naruszają podstawowych praw lub wolności osób, których dane dotyczą.
(b) Niniejsze klauzule pozostają bez uszczerbku dla obowiązków, którym podlega podmiot przekazujący dane na mocy rozporządzenia (UE) 2016/679.
Klauzula 3
Beneficjenci będący osobami trzecimi
(a) Osoby, których dane dotyczą, mogą powoływać się na niniejsze klauzule i egzekwować je jako beneficjenci zewnętrzni wobec podmiotu przekazującego i/lub odbierającego dane, z następującymi wyjątkami:
(i) Klauzula 1, Klauzula 2, Klauzula 3, Klauzula 6, Klauzula 7;
(ii) Klauzula 8.1(b), 8.9(a), (c), (d) i (e);
(iii) Klauzula 9 lit. a), c), d) i e);
(iv) Klauzula 12(a), (d) i (f);
(v) Klauzula 13;
(vi) Klauzula 15.1(c), (d) i (e);
(vii) Klauzula 16(e);
(viii) Klauzula 18(a) i (b).
(b) Ustęp (a) pozostaje bez uszczerbku dla praw osób, których dane dotyczą, na mocy rozporządzenia (UE) 2016/679.
Klauzula 4
Interpretacja
(a) W przypadku użycia w niniejszych klauzulach terminów zdefiniowanych w rozporządzeniu (UE) 2016/679, terminy te mają takie samo znaczenie jak w tym rozporządzeniu.
(b) Niniejsze klauzule należy odczytywać i interpretować w świetle przepisów rozporządzenia (UE) 2016/679.
(c) Niniejsze klauzule nie mogą być interpretowane w sposób sprzeczny z prawami i obowiązkami przewidzianymi w rozporządzeniu (UE) 2016/679.
Klauzula 5
Hierarchia
W przypadku sprzeczności między niniejszymi Klauzulami a postanowieniami powiązanych umów między Stronami, istniejących w momencie uzgodnienia niniejszych Klauzul lub zawartych później, pierwszeństwo mają niniejsze Klauzule.
Klauzula 6
Opis transferu(-ów)
Szczegóły dotyczące przekazywania danych, a w szczególności kategorie danych osobowych, które są przekazywane, oraz cel(e), dla których są one przekazywane, są określone w załączniku I.B.
Klauzula 7 - Opcjonalne
Klauzula dokowania
(a) Podmiot, który nie jest Stroną niniejszych klauzul, może, za zgodą Stron, przystąpić do niniejszych klauzul w dowolnym momencie, zarówno jako eksporter danych, jak i importer danych, poprzez wypełnienie Dodatku i podpisanie Załącznika I.A.
(b) Po wypełnieniu Dodatku i podpisaniu Załącznika I.A, podmiot przystępujący staje się Stroną niniejszych klauzul i posiada prawa i obowiązki podmiotu przekazującego lub odbierającego dane zgodnie z jego oznaczeniem w Załączniku I.A.
(c) Podmiotowi przystępującemu nie przysługują żadne prawa ani obowiązki wynikające z niniejszych klauzul z okresu przed uzyskaniem statusu Strony.
SEKCJA II - OBOWIĄZKI STRON
Klauzula 8
Zabezpieczenia ochrony danych
Podmiot przekazujący dane gwarantuje, że dołożył należytych starań w celu ustalenia, czy podmiot odbierający dane jest w stanie, poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych, spełnić swoje zobowiązania wynikające z niniejszych klauzul.
8.1 Instrukcje
(a) Podmiot odbierający dane przetwarza dane osobowe wyłącznie na udokumentowane polecenie podmiotu przekazującego dane. Przekazujący dane może wydawać takie instrukcje przez cały okres obowiązywania umowy.
(b) Odbierający dane niezwłocznie informuje przekazującego dane, jeśli nie jest w stanie zastosować się do tych instrukcji.
8.2 Ograniczenie celu
Podmiot odbierający dane przetwarza dane osobowe wyłącznie w określonym celu (celach) przekazania, jak określono w załączniku I.B, chyba że zgodnie z dalszymi instrukcjami podmiotu przekazującego dane.
8.3 Przejrzystość
Na wniosek osoby, której dane dotyczą, podmiot przekazujący dane udostępnia jej bezpłatnie kopię niniejszych klauzul, w tym dodatku uzupełnionego przez Strony. W zakresie niezbędnym do ochrony tajemnic handlowych lub innych informacji poufnych, w tym środków opisanych w załączniku II i danych osobowych, podmiot przekazujący dane może przed udostępnieniem kopii przeredagować część tekstu dodatku do niniejszych klauzul, ale udostępnia istotne streszczenie w przypadku, gdy osoba, której dane dotyczą, nie byłaby w stanie zrozumieć jego treści lub skorzystać ze swoich praw. Na żądanie Strony podadzą osobie, której dane dotyczą, powody redakcji, w zakresie, w jakim jest to możliwe bez ujawniania redagowanych informacji. Niniejsza klauzula pozostaje bez uszczerbku dla obowiązków podmiotu przekazującego dane wynikających z art. 13 i 14 rozporządzenia (UE) 2016/679.
8.4 Dokładność
Jeśli podmiot odbierający dane dowie się, że otrzymane przez niego dane osobowe są niedokładne lub nieaktualne, bez zbędnej zwłoki poinformuje o tym podmiot przekazujący dane. W takim przypadku odbierający dane współpracuje z przekazującym dane w celu usunięcia lub poprawienia danych.
8.5 Czas trwania przetwarzania oraz usunięcie lub zwrot danych
Przetwarzanie przez podmiot odbierający dane odbywa się wyłącznie przez czas określony w załączniku I.B. Po zakończeniu świadczenia usług przetwarzania podmiot odbierający dane, zgodnie z wyborem podmiotu przekazującego dane, usuwa wszystkie dane osobowe przetwarzane w imieniu podmiotu przekazującego dane i zaświadcza podmiotowi przekazującemu dane, że to zrobił, lub zwraca podmiotowi przekazującemu dane wszystkie dane osobowe przetwarzane w jego imieniu i usuwa istniejące kopie. Dopóki dane nie zostaną usunięte lub zwrócone, podmiot odbierający dane będzie nadal zapewniał zgodność z niniejszymi klauzulami. W przypadku lokalnych przepisów mających zastosowanie do podmiotu odbierającego dane, które zabraniają zwrotu lub usunięcia danych osobowych, podmiot odbierający dane gwarantuje, że będzie nadal zapewniał zgodność z niniejszymi klauzulami i będzie je przetwarzał wyłącznie w zakresie i tak długo, jak wymaga tego lokalne prawo. Pozostaje to bez uszczerbku dla klauzuli 14, w szczególności wymogu, aby podmiot odbierający dane zgodnie z klauzulą 14(e) powiadamiał podmiot przekazujący dane przez cały okres obowiązywania umowy, jeśli ma powody sądzić, że podlega lub zaczął podlegać przepisom lub praktykom niezgodnym z wymogami określonymi w klauzuli 14(a).
8.6 Bezpieczeństwo przetwarzania
(a) Podmiot odbierający dane, a podczas ich przekazywania również podmiot przekazujący dane, wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych, w tym ochrony przed naruszeniem bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do tych danych (zwanym dalej "naruszeniem ochrony danych osobowych"). Oceniając odpowiedni poziom bezpieczeństwa, Strony należycie uwzględniają aktualny stan wiedzy, koszty wdrożenia, charakter, zakres, kontekst i cel(e) przetwarzania oraz ryzyko związane z przetwarzaniem dla osób, których dane dotyczą. Strony rozważają w szczególności zastosowanie szyfrowania lub pseudonimizacji, w tym podczas przesyłania, jeżeli cel przetwarzania może być w ten sposób osiągnięty. W przypadku pseudonimizacji dodatkowe informacje umożliwiające przypisanie danych osobowych do konkretnej osoby, której dane dotyczą, pozostają w miarę możliwości pod wyłączną kontrolą podmiotu przekazującego dane. Wypełniając swoje obowiązki wynikające z niniejszego ustępu, podmiot odbierający dane wdraża co najmniej środki techniczne i organizacyjne określone w załączniku II. Odbierający dane przeprowadza regularne kontrole w celu zapewnienia, że środki te nadal zapewniają odpowiedni poziom bezpieczeństwa.
(b) Podmiot odbierający dane udziela dostępu do danych osobowych członkom swojego personelu wyłącznie w zakresie ściśle niezbędnym do realizacji, zarządzania i monitorowania umowy. Zapewnia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności.
(c) W przypadku naruszenia ochrony danych osobowych w odniesieniu do danych osobowych przetwarzanych przez podmiot odbierający dane na mocy niniejszych klauzul, podmiot odbierający dane podejmuje odpowiednie środki w celu zaradzenia naruszeniu, w tym środki mające na celu złagodzenie jego negatywnych skutków. Odbierający dane powiadamia również przekazującego dane bez zbędnej zwłoki po uzyskaniu informacji o naruszeniu. Takie powiadomienie zawiera dane punktu kontaktowego, w którym można uzyskać więcej informacji, opis charakteru naruszenia (w tym, w miarę możliwości, kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz rekordy danych osobowych, których dotyczy naruszenie), jego prawdopodobne konsekwencje oraz środki podjęte lub zaproponowane w celu zaradzenia naruszeniu, w tym, w stosownych przypadkach, środki mające na celu złagodzenie jego ewentualnych negatywnych skutków. W przypadku, gdy i w zakresie, w jakim nie jest możliwe przekazanie wszystkich informacji w tym samym czasie, wstępne zawiadomienie zawiera informacje dostępne w danym momencie, a dalsze informacje, w miarę ich udostępniania, są przekazywane bez zbędnej zwłoki.
(d) Podmiot odbierający dane współpracuje z podmiotem przekazującym dane i udziela mu pomocy, aby umożliwić podmiotowi przekazującemu dane wywiązanie się z obowiązków wynikających z rozporządzenia (UE) 2016/679, w szczególności w celu powiadomienia właściwego organu nadzorczego i osób, których dane dotyczą, z uwzględnieniem charakteru przetwarzania i informacji dostępnych podmiotowi odbierającemu dane.
8.7 Dane wrażliwe
Jeżeli przekazanie obejmuje dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych, dane genetyczne lub dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia lub życia seksualnego lub orientacji seksualnej osoby lub dane dotyczące wyroków skazujących i naruszeń prawa (zwane dalej "danymi szczególnie chronionymi"), podmiot odbierający dane stosuje szczególne ograniczenia i/lub dodatkowe zabezpieczenia opisane w załączniku I.B.
8.8 Dalsze transfery
Podmiot odbierający dane ujawnia dane osobowe stronie trzeciej wyłącznie na udokumentowane polecenie podmiotu przekazującego dane. Ponadto dane mogą być ujawniane stronie trzeciej znajdującej się poza Unią Europejską (w tym samym kraju co podmiot odbierający dane lub w innym kraju trzecim, zwanym dalej "dalszym przekazaniem") tylko wtedy, gdy strona trzecia jest lub zgadza się być związana niniejszymi klauzulami, w ramach odpowiedniego modułu, lub jeśli:
(i) dalsze przekazanie odbywa się do państwa korzystającego z decyzji stwierdzającej odpowiedni stopień ochrony zgodnie z art. 45 rozporządzenia (UE) 2016/679, która obejmuje dalsze przekazanie;
(ii) strona trzecia w inny sposób zapewnia odpowiednie zabezpieczenia zgodnie z art. 46 lub 47 rozporządzenia (UE) 2016/679 w odniesieniu do danego przetwarzania;
(iii) dalsze przekazanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń prawnych w kontekście konkretnego postępowania administracyjnego, regulacyjnego lub sądowego; lub
(iv) dalsze przekazanie jest konieczne w celu ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.
Wszelkie dalsze przekazywanie danych podlega przestrzeganiu przez podmiot odbierający dane wszystkich innych zabezpieczeń wynikających z niniejszych klauzul, w szczególności ograniczenia celu.
8.9 Dokumentacja i zgodność
(a) Podmiot odbierający dane niezwłocznie i odpowiednio rozpatruje zapytania od podmiotu przekazującego dane, które odnoszą się do przetwarzania na mocy niniejszych klauzul.
(b) Strony muszą być w stanie wykazać zgodność z niniejszymi klauzulami. W szczególności podmiot odbierający dane przechowuje odpowiednią dokumentację dotyczącą działań związanych z przetwarzaniem danych prowadzonych w imieniu podmiotu przekazującego dane.
(c) Podmiot odbierający dane udostępnia podmiotowi przekazującemu dane wszelkie informacje niezbędne do wykazania zgodności z obowiązkami określonymi w niniejszych klauzulach, a na wniosek podmiotu przekazującego dane umożliwia i uczestniczy w audytach czynności przetwarzania objętych niniejszymi klauzulami, w rozsądnych odstępach czasu lub jeśli istnieją przesłanki wskazujące na niezgodność. Podejmując decyzję o przeglądzie lub audycie, podmiot przekazujący dane może wziąć pod uwagę odpowiednie certyfikaty posiadane przez podmiot odbierający dane.
(d) Przekazujący dane może przeprowadzić audyt samodzielnie lub zlecić go niezależnemu audytorowi. Audyty mogą obejmować inspekcje w pomieszczeniach lub obiektach fizycznych podmiotu odbierającego dane i, w stosownych przypadkach, są przeprowadzane z odpowiednim wyprzedzeniem.
(e) Strony udostępniają informacje, o których mowa w lit. b) i c), w tym wyniki wszelkich audytów, właściwemu organowi nadzorczemu na jego żądanie.
Klauzula 9
Korzystanie z podprzetwarzających
(a) OPCJA 1: SZCZEGÓLNE WCZEŚNIEJSZE ZEZWOLENIE Odbierający dane nie podzleca żadnych czynności przetwarzania danych wykonywanych w imieniu przekazującego dane na mocy niniejszych klauzul podwykonawcy przetwarzania danych bez uprzedniego szczegółowego pisemnego zezwolenia przekazującego dane. Odbierający dane składa wniosek o specjalne zezwolenie co najmniej [Określić okres] przed zaangażowaniem podwykonawcy przetwarzania, wraz z informacjami niezbędnymi do umożliwienia podmiotowi przekazującemu dane podjęcia decyzji w sprawie zezwolenia. Wykaz podwykonawców przetwarzania już upoważnionych przez podmiot przekazujący dane znajduje się w załączniku III. Strony aktualizują załącznik III.
OPCJA 2: OGÓLNE PISEMNE UPOWAŻNIENIE Odbierający dane posiada ogólne upoważnienie przekazującego dane do angażowania podwykonawców przetwarzania z uzgodnionej listy. Odbierający dane wyraźnie informuje przekazującego dane na piśmie o wszelkich zamierzonych zmianach w tym wykazie poprzez dodanie lub zastąpienie podwykonawców przetwarzania co najmniej [Określić okres] z wyprzedzeniem, dając tym samym przekazującemu dane wystarczająco dużo czasu na zgłoszenie sprzeciwu wobec takich zmian przed zaangażowaniem podwykonawcy(-ów) przetwarzania. Podmiot odbierający dane przekazuje podmiotowi przekazującemu dane informacje niezbędne do umożliwienia podmiotowi przekazującemu dane skorzystania z prawa do sprzeciwu.
(b) W przypadku, gdy podmiot odbierający dane angażuje podwykonawcę przetwarzania do wykonywania określonych czynności przetwarzania (w imieniu podmiotu przekazującego dane), czyni to w drodze pisemnej umowy, która przewiduje, co do istoty, takie same obowiązki w zakresie ochrony danych, jak te wiążące podmiot odbierający dane na mocy niniejszych klauzul, w tym w zakresie praw beneficjenta będącego osobą trzecią dla osób, których dane dotyczą. Strony uzgadniają, że przestrzegając niniejszego punktu, odbierający dane wypełnia swoje zobowiązania wynikające z punktu 8.8. Podmiot odbierający dane dopilnuje, aby podwykonawca przetwarzania przestrzegał obowiązków, którym podlega podmiot odbierający dane zgodnie z niniejszymi klauzulami.
(c) Podmiot odbierający dane dostarcza podmiotowi przekazującemu dane, na jego żądanie, kopię takiej umowy z podwykonawcą przetwarzania wraz z wszelkimi późniejszymi zmianami. W zakresie niezbędnym do ochrony tajemnic handlowych lub innych informacji poufnych, w tym danych osobowych, odbierający dane może zredagować tekst umowy przed udostępnieniem jej kopii.
(d) Odbierający dane pozostaje w pełni odpowiedzialny wobec przekazującego dane za wykonanie zobowiązań podwykonawcy przetwarzania wynikających z umowy zawartej z odbierającym dane. Odbierający dane powiadamia przekazującego dane o każdym przypadku niewypełnienia przez podwykonawcę przetwarzania jego zobowiązań wynikających z tej umowy.
(e) Podmiot odbierający dane uzgadnia z podwykonawcą przetwarzania klauzulę beneficjenta będącego osobą trzecią, zgodnie z którą - w przypadku gdy podmiot odbierający dane faktycznie zniknął, przestał istnieć prawnie lub stał się niewypłacalny - podmiot przekazujący dane ma prawo rozwiązać umowę z podwykonawcą przetwarzania i nakazać podwykonawcy przetwarzania usunięcie lub zwrot danych osobowych.
Klauzula 10
Prawa osób, których dane dotyczą
(a) Odbierający dane niezwłocznie powiadamia przekazującego dane o każdym wniosku otrzymanym od osoby, której dane dotyczą. Nie odpowiada na taki wniosek samodzielnie, chyba że został do tego upoważniony przez podmiot przekazujący dane.
(b) Podmiot odbierający dane pomaga podmiotowi przekazującemu dane w wypełnianiu jego obowiązków w zakresie udzielania odpowiedzi na wnioski osób, których dane dotyczą, dotyczące wykonywania ich praw na mocy rozporządzenia (UE) 2016/679. W tym względzie Strony określają w załączniku II odpowiednie środki techniczne i organizacyjne, biorąc pod uwagę charakter przetwarzania, za pomocą których udzielana jest pomoc, a także zakres i zasięg wymaganej pomocy.
(c) Wypełniając swoje obowiązki wynikające z lit. a) i b), odbierający dane stosuje się do instrukcji przekazującego dane.
Klauzula 11
Zadośćuczynienie
(a) Podmiot odbierający dane informuje osoby, których dane dotyczą, w przejrzystym i łatwo dostępnym formacie, poprzez indywidualne zawiadomienie lub na swojej stronie internetowej, o punkcie kontaktowym upoważnionym do rozpatrywania skarg. Podmiot odbierający dane niezwłocznie rozpatruje wszelkie skargi otrzymane od osób, których dane dotyczą.
[OPCJA: Podmiot odbierający dane zgadza się, że osoby, których dane dotyczą, mogą również złożyć skargę do niezależnego organu rozstrzygającego spory bez ponoszenia kosztów przez osobę, której dane dotyczą. Informuje on osoby, których dane dotyczą, w sposób określony w lit. a), o takim mechanizmie dochodzenia roszczeń oraz o tym, że nie są one zobowiązane do korzystania z niego ani do przestrzegania określonej kolejności w dochodzeniu roszczeń].
(b) W przypadku sporu między osobą, której dane dotyczą, a jedną ze Stron w odniesieniu do zgodności z niniejszymi klauzulami, Strona ta dołoży wszelkich starań, aby rozwiązać kwestię polubownie w odpowiednim czasie. Strony będą się wzajemnie informować o takich sporach i, w stosownych przypadkach, współpracować przy ich rozwiązywaniu.
(c) Jeżeli osoba, której dane dotyczą, powołuje się na prawo beneficjenta będącego osobą trzecią zgodnie z klauzulą 3, podmiot odbierający dane akceptuje decyzję osoby, której dane dotyczą:
(i) złożyć skargę do organu nadzorczego w państwie członkowskim swojego zwykłego pobytu lub miejsca pracy lub do właściwego organu nadzorczego zgodnie z klauzulą 13;
(ii) przekazać spór do właściwego sądu w rozumieniu klauzuli 18.
(d) Strony akceptują, że osoba, której dane dotyczą, może być reprezentowana przez podmiot, organizację lub stowarzyszenie nienastawione na zysk na warunkach określonych w art. 80 ust. 1 rozporządzenia (UE) 2016/679.
(e) Podmiot odbierający dane stosuje się do decyzji, która jest wiążąca na mocy obowiązującego prawa UE lub państwa członkowskiego.
(f) Podmiot odbierający dane zgadza się, że wybór dokonany przez osobę, której dane dotyczą, nie naruszy jej materialnych i proceduralnych praw do dochodzenia roszczeń zgodnie z obowiązującymi przepisami.
Klauzula 12
Odpowiedzialność
(a) Każda ze Stron ponosi odpowiedzialność wobec drugiej Strony za wszelkie szkody wyrządzone drugiej Stronie w wyniku naruszenia niniejszych klauzul.
(b) Odbierający dane ponosi odpowiedzialność wobec osoby, której dane dotyczą, a osoba, której dane dotyczą, jest uprawniona do otrzymania odszkodowania za wszelkie szkody materialne lub niematerialne, które odbierający dane lub jego podwykonawca przetwarzania wyrządza osobie, której dane dotyczą, poprzez naruszenie praw beneficjenta będącego osobą trzecią wynikających z niniejszych klauzul.
(c) Niezależnie od postanowień lit. b), przekazujący dane ponosi odpowiedzialność wobec osoby, której dane dotyczą, a osoba, której dane dotyczą, jest uprawniona do otrzymania odszkodowania za wszelkie szkody materialne lub niematerialne, które przekazujący dane lub odbierający dane (lub jego podwykonawca przetwarzania) wyrządza osobie, której dane dotyczą, naruszając prawa beneficjenta będącego osobą trzecią wynikające z niniejszych klauzul. Pozostaje to bez uszczerbku dla odpowiedzialności podmiotu przekazującego dane oraz, w przypadku gdy podmiot przekazujący dane jest podmiotem przetwarzającym dane działającym w imieniu administratora danych, dla odpowiedzialności administratora danych na mocy, odpowiednio, rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725.
(d) Strony uzgadniają, że jeśli podmiot przekazujący dane zostanie pociągnięty do odpowiedzialności na mocy lit. c) za szkody spowodowane przez podmiot odbierający dane (lub jego podwykonawcę przetwarzania), będzie on uprawniony do żądania od podmiotu odbierającego dane zwrotu części odszkodowania odpowiadającej odpowiedzialności podmiotu odbierającego dane za szkodę.
(e) W przypadku, gdy więcej niż jedna Strona jest odpowiedzialna za jakąkolwiek szkodę wyrządzoną osobie, której dane dotyczą, w wyniku naruszenia niniejszych klauzul, wszystkie odpowiedzialne Strony ponoszą odpowiedzialność solidarną, a osoba, której dane dotyczą, jest uprawniona do wniesienia powództwa do sądu przeciwko którejkolwiek z tych Stron.
(f) Strony uzgadniają, że jeśli jedna ze Stron zostanie uznana za odpowiedzialną na mocy ustępu (e), będzie ona uprawniona do żądania od drugiej Strony (Stron) zwrotu części odszkodowania odpowiadającej jej (ich) odpowiedzialności za szkodę.
(g) Podmiot odbierający dane nie może powoływać się na zachowanie podwykonawcy przetwarzania w celu uniknięcia własnej odpowiedzialności.
Klauzula 13
Nadzór
(a) [Jeżeli podmiot przekazujący dane ma siedzibę w państwie członkowskim UE:] Organ nadzorczy odpowiedzialny za zapewnienie przestrzegania przez podmiot przekazujący dane rozporządzenia (UE) 2016/679 w odniesieniu do przekazywania danych, wskazany w załączniku I.C, działa jako właściwy organ nadzorczy.
[Jeżeli podmiot przekazujący dane nie ma siedziby w państwie członkowskim UE, ale jest objęty terytorialnym zakresem stosowania rozporządzenia (UE) 2016/679 zgodnie z jego art. 3 ust. 2 i wyznaczył przedstawiciela zgodnie z art. 27 ust. 1 rozporządzenia (UE) 2016/679:] Organ nadzorczy państwa członkowskiego, w którym ma siedzibę przedstawiciel w rozumieniu art. 27 ust. 1 rozporządzenia (UE) 2016/679, wskazany w załączniku I.C, działa jako właściwy organ nadzorczy.
[W przypadku gdy podmiot przekazujący dane nie ma siedziby w państwie członkowskim UE, ale jest objęty terytorialnym zakresem stosowania rozporządzenia (UE) 2016/679 zgodnie z jego art. 3 ust. 2, bez konieczności wyznaczenia przedstawiciela na podstawie art. 27 ust. 2 rozporządzenia (UE) 2016/679]. Organ nadzorczy jednego z państw członkowskich, w którym znajdują się osoby, których dane dotyczą, których dane osobowe są przekazywane na mocy niniejszych klauzul w związku z oferowaniem im towarów lub usług lub których zachowanie jest monitorowane, jak wskazano w załączniku I.C, działa jako właściwy organ nadzorczy.
(b) Odbierający dane zgadza się poddać jurysdykcji właściwego organu nadzorczego i współpracować z nim w ramach wszelkich procedur mających na celu zapewnienie zgodności z niniejszymi klauzulami. W szczególności podmiot odbierający dane zgadza się odpowiadać na zapytania, poddawać się audytom i stosować się do środków przyjętych przez organ nadzorczy, w tym środków naprawczych i kompensacyjnych. Dostarczy organowi nadzorczemu pisemne potwierdzenie podjęcia niezbędnych działań.
SEKCJA III - LOKALNE PRZEPISY PRAWA I OBOWIĄZKI W PRZYPADKU DOSTĘPU WŁADZ PUBLICZNYCH
Klauzula 14
Lokalne przepisy i praktyki wpływające na zgodność z klauzulami
(a) Strony gwarantują, że nie mają powodu, aby sądzić, że przepisy i praktyki w docelowym państwie trzecim mające zastosowanie do przetwarzania danych osobowych przez podmiot odbierający dane, w tym wszelkie wymogi dotyczące ujawniania danych osobowych lub środki umożliwiające dostęp organom publicznym, uniemożliwiają podmiotowi odbierającemu dane wypełnienie jego zobowiązań wynikających z niniejszych klauzul. Opiera się to na założeniu, że przepisy i praktyki, które szanują istotę podstawowych praw i wolności oraz nie wykraczają poza to, co jest konieczne i proporcjonalne w demokratycznym społeczeństwie do ochrony jednego z celów wymienionych w art. 23 ust. 1 rozporządzenia (UE) 2016/679, nie są sprzeczne z niniejszymi klauzulami.
(b) Strony oświadczają, że udzielając gwarancji, o której mowa w punkcie (a), należycie uwzględniły w szczególności następujące elementy:
(i) szczególne okoliczności przekazania, w tym długość łańcucha przetwarzania, liczba zaangażowanych podmiotów i wykorzystywane kanały transmisji; zamierzone dalsze przekazanie; rodzaj odbiorcy; cel przetwarzania; kategorie i format przekazywanych danych osobowych; sektor gospodarki, w którym następuje przekazanie; miejsce przechowywania przekazanych danych;
(ii) przepisy i praktyki państwa trzeciego przeznaczenia - w tym przepisy i praktyki wymagające ujawnienia danych organom publicznym lub zezwalające takim organom na dostęp - istotne w świetle szczególnych okoliczności przekazania oraz obowiązujących ograniczeń i zabezpieczeń;
(iii) wszelkie odpowiednie zabezpieczenia umowne, techniczne lub organizacyjne wprowadzone w celu uzupełnienia zabezpieczeń wynikających z niniejszych klauzul, w tym środki stosowane podczas przesyłania i przetwarzania danych osobowych w kraju przeznaczenia.
(c) Podmiot odbierający dane gwarantuje, że przeprowadzając ocenę zgodnie z ustępem (b), dołożył wszelkich starań, aby dostarczyć podmiotowi przekazującemu dane odpowiednie informacje i zgadza się, że będzie nadal współpracować z podmiotem przekazującym dane w celu zapewnienia zgodności z niniejszymi klauzulami.
(d) Strony postanawiają udokumentować ocenę przeprowadzoną zgodnie z lit. b) i udostępnić ją właściwemu organowi nadzorczemu na jego żądanie.
(e) Podmiot odbierający dane zgadza się niezwłocznie powiadomić podmiot przekazujący dane, jeśli po wyrażeniu zgody na niniejsze klauzule i w okresie obowiązywania umowy ma powody, by sądzić, że podlega lub zaczął podlegać przepisom lub praktykom niezgodnym z wymogami określonymi w ust. a), w tym w wyniku zmiany przepisów prawa państwa trzeciego lub środka (takiego jak wniosek o ujawnienie) wskazującego na stosowanie takich przepisów w praktyce, które nie są zgodne z wymogami określonymi w ust. a).
(f) W następstwie powiadomienia zgodnie z lit. e) lub jeśli przekazujący dane ma inne powody, by sądzić, że odbierający dane nie może już wypełniać swoich obowiązków wynikających z niniejszych klauzul, przekazujący dane niezwłocznie określa odpowiednie środki (np. środki techniczne lub organizacyjne w celu zapewnienia bezpieczeństwa i poufności), które mają zostać przyjęte przez przekazującego dane i/lub odbierającego dane w celu zaradzenia tej sytuacji. Przekazujący dane zawiesza przekazywanie danych, jeśli uzna, że nie można zapewnić odpowiednich zabezpieczeń takiego przekazywania lub jeśli zostanie o to poproszony przez właściwy organ nadzorczy. W takim przypadku podmiot przekazujący dane będzie uprawniony do rozwiązania umowy w zakresie, w jakim dotyczy ona przetwarzania danych osobowych na mocy niniejszych klauzul. Jeśli umowa obejmuje więcej niż dwie Strony, podmiot przekazujący dane może skorzystać z tego prawa do rozwiązania umowy tylko w odniesieniu do odpowiedniej Strony, chyba że Strony uzgodniły inaczej. W przypadku rozwiązania umowy zgodnie z niniejszą klauzulą zastosowanie ma klauzula 16(d) i (e).
Klauzula 15
Obowiązki podmiotu odbierającego dane w przypadku dostępu organów publicznych
15.1 Powiadomienie
(a) Podmiot odbierający dane zgadza się niezwłocznie powiadomić podmiot przekazujący dane oraz, w miarę możliwości, osobę, której dane dotyczą (w razie potrzeby z pomocą podmiotu przekazującego dane), jeżeli:
(i) otrzymuje prawnie wiążący wniosek od organu publicznego, w tym organów sądowych, zgodnie z prawem kraju docelowego, o ujawnienie danych osobowych przekazanych zgodnie z niniejszymi klauzulami; takie powiadomienie zawiera informacje o żądanych danych osobowych, organie wnioskującym, podstawie prawnej wniosku i udzielonej odpowiedzi; lub
(ii) dowie się o jakimkolwiek bezpośrednim dostępie organów publicznych do danych osobowych przekazywanych na mocy niniejszych klauzul zgodnie z prawem kraju przeznaczenia; takie powiadomienie powinno zawierać wszystkie informacje dostępne importerowi.
(b) Jeśli odbierający dane ma zakaz powiadamiania przekazującego dane i/lub osoby, której dane dotyczą, zgodnie z prawem kraju przeznaczenia, odbierający dane zgadza się dołożyć wszelkich starań, aby uzyskać zwolnienie z zakazu, w celu jak najszybszego przekazania jak największej ilości informacji. Odbierający dane zgadza się udokumentować swoje starania, aby móc je wykazać na żądanie przekazującego dane.
(c) O ile jest to dopuszczalne na mocy prawa kraju przeznaczenia, podmiot odbierający dane zgadza się dostarczać podmiotowi przekazującemu dane, w regularnych odstępach czasu w okresie obowiązywania umowy, jak najwięcej istotnych informacji na temat otrzymanych wniosków (w szczególności liczba wniosków, rodzaj żądanych danych, organ wnioskujący / organy wnioskujące, czy wnioski zostały zakwestionowane i wynik takich skarg itp.)
(d) Podmiot odbierający dane zgadza się przechowywać informacje zgodnie z lit. a)-c) przez okres obowiązywania umowy i udostępniać je właściwemu organowi nadzorczemu na żądanie.
(e) Ustępy (a) do (c) pozostają bez uszczerbku dla obowiązku podmiotu odbierającego dane zgodnie z klauzulą 14(e) i klauzulą 16 do niezwłocznego poinformowania podmiotu przekazującego dane, jeżeli nie jest on w stanie zastosować się do tych klauzul.
15.2 Przegląd legalności i minimalizacji danych
(a) Podmiot odbierający dane zgadza się sprawdzić zgodność z prawem wniosku o ujawnienie danych, w szczególności, czy mieści się on w zakresie uprawnień przyznanych organowi publicznemu składającemu wniosek, oraz zakwestionować wniosek, jeśli po dokładnej ocenie dojdzie do wniosku, że istnieją uzasadnione podstawy, aby uznać, że wniosek jest niezgodny z prawem na mocy przepisów kraju przeznaczenia, mających zastosowanie zobowiązań wynikających z prawa międzynarodowego i zasad współżycia międzynarodowego. Na tych samych warunkach odbierający dane korzysta z możliwości odwołania. W przypadku zakwestionowania wniosku odbierający dane dąży do zastosowania środków tymczasowych w celu zawieszenia skutków wniosku do czasu podjęcia przez właściwy organ sądowy decyzji co do jego zasadności. Nie ujawnia żądanych danych osobowych, dopóki nie jest do tego zobowiązany zgodnie z obowiązującymi przepisami proceduralnymi. Wymogi te pozostają bez uszczerbku dla obowiązków podmiotu odbierającego dane wynikających z klauzuli 14(e).
(b) Podmiot odbierający dane zgadza się udokumentować swoją ocenę prawną i wszelkie kwestionowanie wniosku o ujawnienie oraz, w zakresie dopuszczalnym przez prawo kraju przeznaczenia, udostępnić dokumentację podmiotowi przekazującemu dane. Na żądanie udostępni ją również właściwemu organowi nadzorczemu.
(c) Podmiot odbierający dane zgadza się dostarczyć minimalną dopuszczalną ilość informacji w odpowiedzi na wniosek o ujawnienie, w oparciu o rozsądną interpretację wniosku.
SEKCJA IV - POSTANOWIENIA KOŃCOWE
Klauzula 16
Nieprzestrzeganie klauzul i rozwiązanie umowy
(a) Podmiot odbierający dane niezwłocznie poinformuje podmiot przekazujący dane, jeśli z jakiegokolwiek powodu nie będzie w stanie zastosować się do niniejszych klauzul.
(b) W przypadku, gdy podmiot odbierający dane narusza niniejsze klauzule lub nie jest w stanie ich przestrzegać, podmiot przekazujący dane zawiesza przekazywanie danych osobowych podmiotowi odbierającemu dane do czasu ponownego zapewnienia zgodności lub rozwiązania umowy. Pozostaje to bez uszczerbku dla klauzuli 14(f).
(c) Przekazujący dane jest uprawniony do rozwiązania umowy w zakresie, w jakim dotyczy ona przetwarzania danych osobowych na podstawie niniejszych klauzul, w przypadku gdy:
(i) podmiot przekazujący dane zawiesił przekazywanie danych osobowych podmiotowi odbierającemu dane zgodnie z lit. b), a zgodność z niniejszymi klauzulami nie została przywrócona w rozsądnym terminie, a w każdym razie w ciągu jednego miesiąca od zawieszenia;
(ii) podmiot odbierający dane narusza niniejsze klauzule w sposób istotny lub uporczywy; lub
(iii) podmiot odbierający dane nie zastosuje się do wiążącej decyzji właściwego sądu lub organu nadzorczego dotyczącej jego obowiązków wynikających z niniejszych klauzul.
W takich przypadkach informuje on właściwy organ nadzorczy o takiej niezgodności. W przypadku, gdy umowa obejmuje więcej niż dwie Strony, podmiot przekazujący dane może skorzystać z prawa do rozwiązania umowy wyłącznie w odniesieniu do odpowiedniej Strony, chyba że Strony uzgodniły inaczej.
(d) Dane osobowe, które zostały przekazane przed rozwiązaniem umowy zgodnie z ustępem (c), zostaną niezwłocznie zwrócone przekazującemu dane lub usunięte w całości, zgodnie z wyborem przekazującego dane. To samo dotyczy wszelkich kopii danych. Podmiot odbierający dane poświadcza usunięcie danych podmiotowi przekazującemu dane. Dopóki dane nie zostaną usunięte lub zwrócone, odbierający dane będzie nadal zapewniał zgodność z niniejszymi klauzulami. W przypadku lokalnych przepisów mających zastosowanie do podmiotu odbierającego dane, które zabraniają zwrotu lub usunięcia przekazanych danych osobowych, podmiot odbierający dane gwarantuje, że będzie nadal zapewniał zgodność z niniejszymi klauzulami i będzie przetwarzał dane wyłącznie w zakresie i tak długo, jak wymaga tego lokalne prawo.
(e) Każda ze Stron może cofnąć swoją zgodę na związanie się niniejszymi klauzulami, jeżeli (i) Komisja Europejska przyjmie decyzję zgodnie z art. 45 ust. 3 rozporządzenia (UE) 2016/679, która obejmuje przekazywanie danych osobowych, do których mają zastosowanie niniejsze klauzule; lub (ii) rozporządzenie (UE) 2016/679 stanie się częścią ram prawnych kraju, do którego przekazywane są dane osobowe. Pozostaje to bez uszczerbku dla innych obowiązków mających zastosowanie do danego przetwarzania na mocy rozporządzenia (UE) 2016/679.
Klauzula 17
Prawo właściwe
[OPCJA 1: Niniejsze klauzule podlegają prawu jednego z państw członkowskich UE, pod warunkiem, że prawo to zezwala na prawa beneficjenta będącego osobą trzecią. Strony uzgadniają, że będzie to prawo _______ (podać państwo członkowskie).]
[OPCJA 2: Niniejsze klauzule podlegają prawu państwa członkowskiego UE, w którym podmiot przekazujący dane ma siedzibę. W przypadku, gdy takie prawo nie zezwala na prawa beneficjenta będącego osobą trzecią, podlegają one prawu innego państwa członkowskiego UE, które zezwala na prawa beneficjenta będącego osobą trzecią. Strony uzgadniają, że będzie to prawo _______ (podać państwo członkowskie).]
Klauzula 18
Wybór forum i jurysdykcji
(a) Wszelkie spory wynikające z niniejszych klauzul będą rozstrzygane przez sądy państwa członkowskiego UE.
(b) Strony uzgadniają, że będą to sądy w następujących państwach _____ (podać państwo członkowskie).
(c) Osoba, której dane dotyczą, może również wszcząć postępowanie sądowe przeciwko podmiotowi przekazującemu i/lub odbierającemu dane przed sądami państwa członkowskiego, w którym ma miejsce zwykłego pobytu.
(d) Strony zgadzają się poddać jurysdykcji takich sądów.
DODATEK
NOTA WYJAŚNIAJĄCA:
Musi istnieć możliwość wyraźnego rozróżnienia informacji mających zastosowanie do każdego przekazania lub kategorii przekazań oraz, w tym względzie, określenia odpowiedniej roli (ról) Stron jako podmiotów przekazujących dane i/lub podmiotów odbierających dane. Nie musi to wymagać wypełniania i podpisywania oddzielnych załączników dla każdego przekazania/kategorii przekazań i/lub stosunku umownego, w przypadku gdy przejrzystość można osiągnąć za pomocą jednego załącznika. Jednak tam, gdzie jest to konieczne dla zapewnienia wystarczającej jasności, należy stosować oddzielne załączniki.
ZAŁĄCZNIK I
A. LISTA STRON
Eksporter(zy) danych:
Nazwa podmiotu przekazującego dane (klienta): Patrz podpisana oferta i umowa
Adres podmiotu przekazującego dane (klienta): Patrz podpisana oferta i umowa
Telefon i e-mail (klienta): Patrz podpisana oferta i umowa
Podpis i data: Patrz podpisana propozycja i umowa
Rola (kontroler)
Importer(zy) danych:
BigTime Software
Adres: 311 South Wacker Dr. Suite 2300, Chicago, IL 60606
Tel: +1 (312) 346-4646
e-mail: legal@bigtime.net
B. OPIS PRZENIESIENIA
MODUŁ DRUGI: Przeniesienie kontrolera do procesora
C. WŁAŚCIWY ORGAN NADZORCZY
BigTime software współpracuje z zewnętrznymi dostawcami usług prawnych i audytowych, aby zapewnić kompetentny nadzór nad naszą zgodnością z przepisami.
ZAŁĄCZNIK II
ŚRODKI TECHNICZNE I ORGANIZACYJNE, W TYM ŚRODKI TECHNICZNE I ORGANIZACYJNE ZAPEWNIAJĄCE BEZPIECZEŃSTWO DANYCH
NOTA WYJAŚNIAJĄCA:
Środki techniczne i organizacyjne muszą być opisane w sposób szczegółowy (a nie ogólny). Zob. również ogólna uwaga na pierwszej stronie dodatku, w szczególności dotycząca potrzeby wyraźnego wskazania, które środki mają zastosowanie do każdego transferu/zestawu transferów.
Opis środków technicznych i organizacyjnych wdrożonych przez podmiot(-y) odbierający(-e) dane (w tym wszelkich stosownych certyfikatów) w celu zapewnienia odpowiedniego poziomu bezpieczeństwa, z uwzględnieniem charakteru, zakresu, kontekstu i celu przetwarzania oraz zagrożeń dla praw i wolności osób fizycznych.
Przetwarzanie danych odbywa się w systemach przetwarzania danych, dla których wdrożono techniczne i organizacyjne środki ochrony danych osobowych. W tym kontekście IMPORTER DANYCH zapewnia EKSPORTERA DANYCH, że wdroży odpowiednie środki dotyczące ochrony danych opisane w aktualnym raporcie SOC IMPORTERA DANYCH, który jest dostępny dla EKSPORTERA DANYCH na żądanie.
W przypadku przekazywania danych (pod)podmiotom przetwarzającym dane należy również opisać konkretne środki techniczne i organizacyjne, które mają zostać podjęte przez (pod)podmiot przetwarzający dane, aby był on w stanie udzielić pomocy administratorowi danych oraz, w przypadku przekazywania danych przez podmiot przetwarzający podprzetwarzającemu dane, przekazującemu dane.
ZAŁĄCZNIK III
LISTA PODPROCESORÓW
Administrator zezwolił na korzystanie z następujących podprocesorów:
Wszystkie podprocesory są utrzymywane i wymienione tutaj:
https://www.bigtime.net/subprocessors