а)

Целта на настоящите стандартни договорни клаузи е да се осигури съответствие с изискванията на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (Общ регламент относно защитата на данните) (1) по отношение на предаването на лични данни на трета държава.

б)

Страните:

се споразумяха за следните стандартни договорни клаузи (наричани по-нататък „клаузите“).

в)

Настоящите клаузи се прилагат по отношение на предаването на лични данни, посочено в приложение I.Б.

г)

Допълнението към настоящите клаузи, което съдържа посочените тук приложения, е неразделна част от клаузите.

а)

С настоящите клаузи се определят подходящите гаранции, включително приложимите права на субектите на данни и ефективните правни средства за защита съгласно член 46, параграф 1 и член 46, параграф 2, буква в) от Регламент (ЕС) 2016/679, а по отношение на предаването на данни от администратори на обработващи лични данни и/или от обработващи лични данни на обработващи лични данни — стандартните договорни клаузи съгласно член 28, параграф 7 от Регламент (ЕС) 2016/679, при условие че те не са променени, освен с цел да се избере подходящият(ите) модул(и) или да се добави или актуализира информация в допълнението. Това не пречи на страните да включат стандартните договорни клаузи, определени в настоящите клаузи, в по-широк договор и/или да добавят други клаузи или допълнителни гаранции, при условие че те не противоречат, пряко или непряко, на настоящите клаузи или не засягат основни права или свободи на субектите на данни.

б)

Настоящите клаузи не засягат задълженията на износителя на данни по силата на Регламент (ЕС) 2016/679.

а)

Субектите на данни, в качеството си на трети страни бенефициери, могат да се позовават на настоящите клаузи и да искат прилагането им спрямо износителя на данни и/или спрямо вносителя на данни, със следните изключения:

б)

Буква а) не засяга правата на субектите на данни съгласно Регламент (ЕС) 2016/679.

а)

Когато в настоящите клаузи се използват термини, определени в Регламент (ЕС) 2016/679, тези термини имат същото значение като в този регламент.

б)

Настоящите клаузи се четат и тълкуват в светлината на разпоредбите на Регламент (ЕС) 2016/679.

в)

Настоящите клаузи не трябва да се тълкуват по начин, който противоречи на правата и задълженията, предвидени в Регламент (ЕС) 2016/679.

а)

Структура, която не е страна по настоящите клаузи, може със съгласието на страните да се присъедини към настоящите клаузи по всяко време или като износител на данни, или като вносител на данни, като попълни допълнението и подпише приложение I.А.

б)

След като попълни допълнението и подпише приложение I.А, присъединяващата се структура става страна по настоящите клаузи и има правата и задълженията на износител на данни или на вносител на данни в съответствие с посоченото в приложение I.А.

в)

Настоящите клаузи не пораждат права или задължения за присъединяващата се структура за периода преди тя да стане страна.

i)

е получил предварителното съгласие на субекта на данни;

ii)

това е необходимо с цел установяване, упражняване или защита на правни претенции в контекста на конкретно административно, регулаторно или съдебно производство; или

iii)

това е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данни или на друго физическо лице.

а)

За да могат субектите на данни ефективно да упражняват правата си съгласно клауза 10, вносителят на данни ги уведомява пряко или чрез износителя на данни:

б)

Буква а) не се прилага, когато субектът на данни вече разполага с информацията, включително когато такава информация е вече предоставена от износителя на данни, или когато предоставянето на информацията се окаже невъзможно или изисква несъразмерно големи усилия от страна на вносителя на данни. В последния случай вносителят на данни, доколкото е възможно, предоставя публичен достъп до информацията.

в)

При поискване страните предоставят безплатно на субекта на данни копие от настоящите клаузи, включително от допълнението, попълнено от тях. До степента, необходима за защита на търговски тайни или друга поверителна информация, включително лични данни, страните могат да редактират част от текста на допълнението, преди да споделят негово копие, но трябва да предоставят съдържателно резюме, ако в противен случай субектът на данни не би могъл да разбере съдържанието му или да упражни правата си. При поискване страните предоставят на субекта на данни причините за редактирането, доколкото това е възможно, без да разкриват редактираната информация.

г)

Букви а)—в) не засягат задълженията на износителя на данни по членове 13 и 14 от Регламент (ЕС) 2016/679.

а)

Всяка от страните гарантира, че личните данни са точни и при необходимост, че са поддържани в актуален вид. Вносителят на данни предприема всички разумни мерки, за да гарантира своевременното изтриване или коригиране на неточни лични данни, като се има(т) предвид целта(ите), за която (които) се обработват.

б)

Ако една от страните узнае, че личните данни, които е предала или получила, са неточни или са остарели, тя уведомява другата страна без ненужно забавяне.

в)

Вносителят на данни гарантира, че личните данни са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват.

а)

Вносителят на данни, а по време на предаването също и износителят на данни, прилагат подходящи технически и организационни мерки, за да осигурят сигурността на личните данни, включително защита срещу нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп (наричано по-нататък „нарушение на сигурността на личните данни“). При оценката на подходящото ниво на сигурност те вземат предвид достиженията на техническия прогрес, разходите за прилагане, естеството, обхвата, контекста и целта(ите) на обработването, както и свързаните с обработването рискове за субекта на данни. По-специално страните обмислят възможността за използване на криптиране или псевдонимизация, включително по време на предаването, когато целта на обработването може да бъде постигната по такъв начин.

б)

Страните са се споразумели за техническите и организационните мерки, посочени в приложение II. Вносителят на данни извършва редовни проверки, за да гарантира, че тези мерки продължават да осигуряват подходящо ниво на сигурност.

в)

Вносителят на данни гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или по закон са длъжни да спазват поверителност.

г)

В случай на нарушение на сигурността на личните данни във връзка с лични данни, обработвани от вносителя на данни съгласно настоящите клаузи, той предприема подходящи мерки за справяне с нарушението на сигурността на личните данни, включително мерки за намаляване на евентуалните неблагоприятни последици.

д)

В случай на нарушение на сигурността на личните данни, което може да породи риск за правата и свободите на физическите лица, вносителят на данни без ненужно забавяне уведомява както износителя на данни, така и компетентния надзорен орган съгласно клауза 13. Уведомлението съдържа i) описание на естеството на нарушението (включително, ако е възможно, категориите и приблизителния брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни), ii) евентуалните последици от нарушението, iii) предприетите или предложените мерки за справяне с нарушението, и iv) координатите на лице за контакт, от което може да бъде получена повече информация. Доколкото за вносителя на данни не е възможно да подаде цялата информация едновременно, той може да я подаде поетапно без по-нататъшно ненужно забавяне.

е)

В случай на нарушение на сигурността на личните данни, което може да породи висок риск за правата и свободите на физическите лица, вносителят също така без ненужно забавяне съобщава на засегнатите субекти на данни за нарушението на сигурността на личните данни и неговото естество, ако е необходимо в сътрудничество с износителя на данни, както и информацията, посочена в буква д), подточки ii)—iv), освен ако вносителят на данни е въвел мерки за значително намаляване на риска за правата или свободите на физическите лица или ако уведомяването би довело до непропорционални усилия. В последния случай вносителят на данни вместо това прави публично съобщение или предприема друга подобна мярка, за да уведоми обществеността за нарушението на сигурността на личните данни.

ж)

Вносителят на данни документира всички съответни факти, свързани с нарушението на сигурността на личните данни, включително последиците от него и предприетите действия за справяне с него, и поддържа регистър на нарушенията.

i)

е към държава, по отношение на която е прието решение на Комисията относно адекватното ниво на защита съгласно член 45 от Регламент (ЕС) 2016/679, в което е включено последващо предаване;

ii)

третата страна осигури по друг начин подходящи гаранции съгласно член 46 или член 47 от Регламент (ЕС) 2016/679 по отношение на въпросното обработване;

iii)

третата страна сключи с вносителя на данни инструмент със задължителен характер, осигуряващ същото ниво на защита на данните, както съгласно настоящите клаузи, и вносителят на данни предостави копие от тези гаранции на износителя на данни;

iv)

това е необходимо с цел установяване, упражняване или защита на правни претенции в контекста на конкретно административно, регулаторно или съдебно производство;

v)

това е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данни или на друго физическо лице; или

vi)

когато не се прилага никое друго условие, вносителят на данни е получил изричното съгласие на субекта на данни за последващо предаване в конкретна ситуация, след като го е уведомил за целта(ите), за самоличността на получателя и за възможните рискове за него от такова предаване поради липсата на подходящи гаранции за защита на данните. В този случай вносителят на данни уведомява износителя на данни и по негово искане му предава копие от информацията, предоставена на субекта на данни.

а)

Всяка страна трябва да може да докаже, че спазва задълженията си по настоящите клаузи. По-специално вносителят на данни съхранява подходяща документация за дейностите по обработване, извършени под негова отговорност.

б)

Вносителят на данни е длъжен при поискване да предоставя такава документация на компетентния надзорен орган.

а)

Вносителят на данни обработва личните данни само по документирано нареждане на износителя на данни. Износителят на данни може да дава такива указания през целия срок на договора.

б)

Вносителят на данни незабавно уведомява износителя на данни, ако не е в състояние да изпълни тези указания.

а)

Вносителят на данни, а по време на предаването също и износителят на данни, прилагат подходящи технически и организационни мерки за осигуряване на сигурността на данните, включително защита срещу нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване на данните или достъп до тях (наричано по-нататък „нарушение на сигурността на личните данни“). При оценката на подходящото ниво на сигурност страните вземат предвид достиженията на техническия прогрес, разходите за прилагане, естеството, обхвата, контекста и целта(ите) на обработването, както и свързаните с обработването рискове за субектите на данни. По-специално страните обмислят възможността за използване на криптиране или псевдонимизация, включително по време на предаването, когато целта на обработването може да бъде постигната по такъв начин. В случай на псевдонимизация допълнителната информация за свързване на личните данни с конкретен субект на данни остава, когато е възможно, под изключителния контрол на износителя на данни. Във връзка с изпълнението на това задължение по настоящия параграф вносителят на данни прилага най-малко техническите и организационните мерки, посочени в приложение II. Вносителят на данни извършва редовни проверки, за да гарантира, че тези мерки продължават да осигуряват подходящо ниво на сигурност.

б)

Вносителят на данни предоставя на членовете на своя персонал достъп до личните данни само до степента, която е строго необходима за изпълнението, управлението и наблюдението на договора. Той гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са длъжни по закон да спазват поверителност.

в)

В случай на нарушение на сигурността на личните данни във връзка с лични данни, обработвани от вносителя на данни съгласно настоящите клаузи, той предприема подходящи мерки за справяне с нарушението, включително мерки за намаляване на неблагоприятните последици. След като узнае за нарушението вносителят на данни също така уведомява износителя на данни без ненужно забавяне. Уведомлението съдържа координатите на лице за контакт, от което може да бъде получена повече информация, описание на естеството на нарушението (включително, ако е възможно, категориите и приблизителния брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни), евентуалните последици от нарушението и предприетите или предложените мерки за справяне с нарушението, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици. Когато и доколкото не е възможно цялата информация да се подаде едновременно, първоначалното уведомление съдържа информацията, която е налична към момента, а допълнителната информация се предоставя впоследствие, когато стане налична, без ненужно забавяне.

г)

Вносителят на данни си сътрудничи с износителя на данни и го подпомага, за да му даде възможност да изпълни задълженията си по Регламент (ЕС) 2016/679, по-специално да уведоми компетентния надзорен орган и засегнатите субекти на данни, като се вземе предвид естеството на обработването и информацията, с която разполага вносителят на данни.

i)

последващото предаване е към държава, по отношение на която е прието решение на Комисията относно адекватното ниво на защита съгласно член 45 от Регламент (ЕС) 2016/679, в което е включено последващо предаване;

ii)

третата страна осигури по друг начин подходящи гаранции съгласно член 46 или член 47 от Регламент (ЕС) 2016/679 по отношение на въпросното обработване;

iii)

последващото предаване е необходимо с цел установяване, упражняване или защита на правни претенции в контекста на конкретно административно, регулаторно или съдебно производство; или

iv)

последващо предаване е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данни или на друго физическо лице.

а)

Вносителят на данни обработва своевременно и по подходящия начин всички запитвания от страна на износителя на данни, свързани с обработването съгласно настоящите клаузи.

б)

Страните трябва да могат да докажат, че спазват задълженията си по настоящите клаузи. По-специално вносителят на данни съхранява подходяща документация за дейностите по обработване, извършвани от името на износителя на данни.

в)

Вносителят на данни предоставя на износителя на данни цялата информация, необходима за доказване на спазването на задълженията, посочени в настоящите клаузи, и по искане на износителя на данни позволява и допринася за извършването на одити на обхванатите от настоящите клаузи дейности по обработване на разумни интервали или ако има основание да се смята, че е налице неспазване. Когато взема решение за извършване на проверка или одит, износителят на данни може да вземе предвид съответните сертификати, притежавани от вносителя на данни.

г)

Износителят на данни може да избере да извърши одита сам или да упълномощи независим одитор. Одитите могат да включват проверки в помещенията или физическите съоръжения на вносителя на данни и, когато е целесъобразно, се извършват с разумно предизвестие.

д)

При поискване страните предоставят информацията, посочена в букви б) и в), включително резултатите от одити, на компетентния надзорен орган.

а)

Износителят на данни е уведомил вносителя на данни, че действа като лице, обработващо данните, съгласно указанията на своя(ите) администратор(и) на данни, като предоставя тези указания на вносителя на данни преди обработването.

б)

Вносителят на данни обработва личните данни само по документирано нареждане на администратора на данни, съобщено от износителя на данни на вносителя на данни, и по всяко допълнително документирано нареждане на износителя на данни. Такова допълнително нареждане не трябва да противоречи на нареждането на администратора на данни. Администраторът или износителят на данни може да дава допълнителни документирани нареждания относно обработването на данните през целия срок на договора.

в)

Вносителят на данни незабавно уведомява износителя на данни, ако не е в състояние да изпълни тези указания. Когато вносителят на данни не е в състояние да изпълни указанията на администратора на данни, износителят на данни незабавно уведомява администратора.

г)

Износителят на данни гарантира, че е наложил на вносителя на данни същите задължения за защита на данните, както задълженията, предвидени в договора или друг правен акт съгласно правото на Съюза или на държава членка между администратора и износителя на данни (5).

а)

Вносителят на данни, а по време на предаването също и износителят на данни, прилагат подходящи технически и организационни мерки за осигуряване на сигурността на данните, включително защита срещу нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване на данните или достъп до тях (наричано по-нататък „нарушение на сигурността на личните данни“). При оценката на подходящото ниво на сигурност те вземат предвид достиженията на техническия прогрес, разходите за прилагане, естеството, обхвата, контекста и целта(ите) на обработването, както и свързаните с обработването рискове за субекта на данни. По-специално страните обмислят възможността за използване на криптиране или псевдонимизация, включително по време на предаването, когато целта на обработването може да бъде постигната по такъв начин. В случай на псевдонимизация допълнителната информация за свързване на личните данни с конкретен субект на данни остава, когато е възможно, под изключителния контрол на износителя на данни или на администратора на лични данни. Във връзка с изпълнението на това задължение по настоящия параграф вносителят на данни прилага най-малко техническите и организационните мерки, посочени в приложение II. Вносителят на данни извършва редовни проверки, за да гарантира, че тези мерки продължават да осигуряват подходящо ниво на сигурност.

б)

Вносителят на данни предоставя на членовете на своя персонал достъп до данните само до степента, която е строго необходима за изпълнението, управлението и наблюдението на договора. Той гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са длъжни по закон да спазват поверителност.

в)

В случай на нарушение на сигурността на личните данни във връзка с лични данни, обработвани от вносителя на данни съгласно настоящите клаузи, той предприема подходящи мерки за справяне с нарушението, включително мерки за намаляване на неблагоприятните последици. След като узнае за нарушението вносителят на данни също така уведомява без ненужно забавяне износителя на данни и когато това е уместно и осъществимо — администратора на данни. Уведомлението съдържа координатите на лице за контакт, от което може да бъде получена повече информация, описание на естеството на нарушението (включително, ако е възможно, категориите и приблизителния брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни), евентуалните последици от нарушението на сигурността на данните и предприетите или предложените мерки за справяне с нарушението, включително мерки за намаляване на евентуалните неблагоприятни последици. Когато и доколкото не е възможно цялата информация да се подаде едновременно, първоначалното уведомление съдържа информацията, която е налична към момента, а допълнителната информация се предоставя впоследствие, когато стане налична, без ненужно забавяне.

г)

Вносителят на данни си сътрудничи с износителя на данни и го подпомага, за да му даде възможност да изпълни задълженията си по Регламент (ЕС) 2016/679, по-специално да уведоми своя администратор на лични данни, така че той да може на свой ред да уведоми компетентния надзорен орган и засегнатите субекти на данни, като се вземе предвид естеството на обработването и информацията, с която разполага вносителят на данни.

i)

последващото предаване е към държава, по отношение на която е прието решение на Комисията относно адекватното ниво на защита съгласно член 45 от Регламент (ЕС) 2016/679, в което е включено последващо предаване;

ii)

третата страна осигури по друг начин подходящи гаранции съгласно член 46 или член 47 от Регламент (ЕС) 2016/679;

iii)

последващото предаване е необходимо с цел установяване, упражняване или защита на правни претенции в контекста на конкретно административно, регулаторно или съдебно производство; или

iv)

последващо предаване е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данни или на друго физическо лице.

а)

Вносителят на данни обработва своевременно и по подходящия начин всички запитвания от страна на износителя на данни или на администратора, свързани с обработването съгласно настоящите клаузи.

б)

Страните трябва да могат да докажат, че спазват задълженията си по настоящите клаузи. По-специално вносителят на данни съхранява подходяща документация за дейностите по обработване, извършвани от името на администратора на лични данни.

в)

Вносителят на данни предоставя на износителя на данни цялата информация, необходима за доказване на спазването на задълженията, посочени в настоящите клаузи, като износителят на данни предоставя тази информация на администратора.

г)

Вносителят на данни позволява и допринася за извършването от износителя на данни на одити на обхванатите от настоящите клаузи дейности по обработване на разумни интервали или ако има основание да се смята, че е налице неспазване. Същото се прилага, когато износителят на данни изисква одит по указания на администратора. Когато взема решение за извършване на одит, износителят на данни може да вземе предвид съответните сертификати, притежавани от вносителя на данни.

д)

Когато одитът се извършва по указания на администратора, износителят на данни предоставя резултатите на администратора.

е)

Износителят на данни може да избере да извърши одита сам или да упълномощи независим одитор. Одитите могат да включват проверки в помещенията или физическите съоръжения на вносителя на данни и, когато е целесъобразно, се извършват с разумно предизвестие.

ж)

При поискване страните предоставят информацията, посочена в букви б) и в), включително резултатите от одити, на компетентния надзорен орган.

а)

Износителят на данни обработва личните данни само по документирано нареждане на вносителя на данни, който действа като негов администратор.

б)

Износителят на данни незабавно уведомява вносителя на данни, ако не е в състояние да изпълни тези указания, ако указанията нарушават Регламент (ЕС) 2016/679 или на друго право за защита на личните данни на Съюза или на държава членка.

в)

Вносителят на данни се въздържа от всякакви действия, които биха попречили на износителя на данни да изпълни задълженията си по Регламент (ЕС) 2016/679, включително в контекста на обработването по договор за подизпълнение или по отношение на сътрудничеството с компетентните надзорни органи.

г)

При прекратяване на предоставянето на услугите по обработване износителят на данни, по избор на вносителя на данни, заличава всички лични данни, обработвани от името на вносителя на данни, и удостоверява пред вносителя на данни, че е направил това, или му връща всички лични данни, обработвани от негово име, и заличава съществуващите копия.

а)

Страните прилагат подходящи технически и организационни мерки, за да осигурят сигурността на данните, включително по време на предаване, и защитата им срещу нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп (наричани по-нататък „нарушение на сигурността на личните данни“). При оценката на подходящото ниво на сигурност те вземат предвид достиженията на техническия прогрес, разходите за прилагане, естеството на личните данни (7), естеството, обхвата, контекста и целта(ите) на обработването, както и свързаните с обработването рискове за субекта на данни, и по-специално обмислят възможността за използване на криптиране или псевдонимизация, включително по време на предаване, когато целта на обработването може да бъде постигната по такъв начин.

б)

Износителят на данни помага на вносителя на данни при осигуряване на подходяща сигурност на данните в съответствие с буква а). В случай на нарушение на сигурността на личните данни във връзка с лични данни, обработвани от износителя на данни съгласно настоящите клаузи, след като узнае за нарушението той уведомява вносителя на данни без ненужно забавяне и помага на вносителя на данни да се справи с нарушението.

в)

Износителят на данни гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са длъжни по закон да спазват поверителност.

а)

Страните трябва да могат да докажат, че спазват задълженията си по настоящите клаузи.

б)

Износителят на данни предоставя на вносителя на данни цялата информация, необходима за доказване на спазването на задълженията по настоящите клаузи, и позволява и допринася за извършването на одити.

а)

ВАРИАНТ 1: СПЕЦИФИЧНО ПРЕДВАРИТЕЛНО РАЗРЕШЕНИЕ Вносителят на данни няма да предава за подизпълнение на обработващ лични данни дейностите си по обработване, извършвани от името на износителя на данни съгласно настоящите клаузи, без специфичното предварително писмено разрешение на износителя на данни. Вносителят на данни подава искането за специфично разрешение най-малко [посочете период от време], преди да включи обработващия лични данни подизпълнител, заедно с информацията, необходима, за да може износителят на данни да вземе решение във връзка разрешението. Списъкът на обработващите лични данни подизпълнители, по отношение на които износителят на данни вече е дал разрешение, може да се намери в приложение III. Страните редовно актуализират приложение III.

ВАРИАНТ 2: ОБЩО ПИСМЕНО РАЗРЕШЕНИЕ Вносителят на данни има общото разрешение на износителя на данни да включва обработващ(и) лични данни подизпълнител(и) от съгласуван списък. Вносителят на данни изрично уведомява писмено износителя на данни за всички планирани промени в този списък чрез добавяне или замяна на обработващи лични данни подизпълнители най-малко [посочете период от време] предварително, като по този начин дава на износителя на данни достатъчно време, за да може да възрази срещу такива промени, преди включването на обработващия(ите) лични данни подизпълнител(и). Вносителят на данни предоставя на износителя на данни необходимата информация, за да може износителят на данни да упражни правото си на възражение.

б)

Когато вносителят на данни включва обработващ лични данни подизпълнител, който да извършва специфични дейности по обработване (от името на износителя на данни), той прави това чрез писмен договор, с който се налагат по същество същите задължения за защита на данните, както задълженията, предвидени в настоящите клаузи по отношение на вносителя на данни, включително по отношение на правата на трети страни бенефициери във връзка със субектите на данни (8). Страните се споразумяват, че като спазва настоящата клауза, вносителят на данни изпълнява задълженията си по клауза 8.8. Вносителят на данни осигурява спазването от обработващия лични данни подизпълнител на задълженията на вносителя на данни съгласно настоящите клаузи.

в)

Вносителят на данни предоставя на износителя на данни по негово искане копие от това споразумение с обработващия лични данни подизпълнител и всички негови последващи изменения. До степента, необходима за защита на търговски тайни или друга поверителна информация, включително лични данни, вносителят на данни може да редактира текста на споразумението, преди да сподели негово копие.

г)

Вносителят на данни носи пълната отговорност пред износителя на данни за изпълнението на задълженията на обработващия лични данни подизпълнител по неговия договор с вносителя на данни. Вносителят на данни уведомява износителя на данни за всяко неизпълнение от страна на обработващия лични данни подизпълнител на задълженията му по този договор.

д)

Вносителят на данни договаря с обработващия лични данни подизпълнител клауза за трети страни бенефициери, по силата на която, в случай че вносителят на данни е изчезнал фактически или е престанал да съществува юридически, или е изпаднал в несъстоятелност, износителят на данни има право да прекрати договора с обработващия лични данни подизпълнител и да му даде указания да изтрие или върне личните данни.

а)

ВАРИАНТ 1: СПЕЦИФИЧНО ПРЕДВАРИТЕЛНО РАЗРЕШЕНИЕ Вносителят на данни няма да предава за подизпълнение на обработващ лични данни дейностите си по обработване, извършвани от името на износителя на данни съгласно настоящите клаузи, без специфичното предварително писмено разрешение на администратора на лични данни. Вносителят на данни подава искането за специфично разрешение най-малко [посочете период от време], преди да включи обработващия лични данни подизпълнител, заедно с информацията, необходима, за да може администраторът на лични данни да вземе решение във връзка разрешението. Той уведомява износителя на данни за такова включване. Списъкът на обработващите лични данни подизпълнители, по отношение на които администраторът на лични данни вече е дал разрешение, може да се намери в приложение III. Страните редовно актуализират приложение III.

ВАРИАНТ 2: ОБЩО ПИСМЕНО РАЗРЕШЕНИЕ Вносителят на данни има общото разрешение на администратора на лични данни да включва обработващ(и) лични данни подизпълнител(и) от съгласуван списък. Вносителят на данни изрично уведомява писмено администратора на лични данни за всички планирани промени в този списък чрез добавяне или замяна на обработващи лични данни подизпълнители най-малко [посочете период от време] предварително, като по този начин дава на администратора на лични данни достатъчно време, за да може да възрази срещу такива промени преди включването на обработващия(ите) лични данни подизпълнител(и). Вносителят на данни предоставя на администратора на лични данни необходимата информация, за да може администраторът на лични данни да упражни правото си на възражение. Вносителят на данни уведомява износителя на данни за включването на обработващия(ите) лични данни подизпълнител(и).

б)

Когато вносителят на данни включва обработващ лични данни подизпълнител, който да извършва специфични дейности по обработване (от името на администратора на лични данни), той прави това чрез писмен договор, с който се налагат по същество същите задължения за защита на данните, както задълженията, предвидени в настоящите клаузи по отношение на вносителя на данни, включително по отношение на правата на трети страни бенефициери във връзка със субектите на данни (9). Страните се споразумяват, че като спазва настоящата клауза, вносителят на данни изпълнява задълженията си по клауза 8.8. Вносителят на данни осигурява спазването от обработващия лични данни подизпълнител на задълженията на вносителя на данни съгласно настоящите клаузи.

в)

Вносителят на данни предоставя по искане на износителя на данни или на администратора на лични данни копие от това споразумение с обработващия лични данни подизпълнител и всички негови последващи изменения. До степента, необходима за защита на търговски тайни или друга поверителна информация, включително лични данни, вносителят на данни може да редактира текста на споразумението, преди да сподели негово копие.

г)

Вносителят на данни носи пълната отговорност пред износителя на данни за изпълнението на задълженията на обработващия лични данни подизпълнител по неговия договор с вносителя на данни. Вносителят на данни уведомява износителя на данни за всяко неизпълнение от страна на обработващия лични данни подизпълнител на задълженията му по този договор.

д)

Вносителят на данни договаря с обработващия лични данни подизпълнител клауза за трети страни бенефициери, по силата на която, в случай че вносителят на данни е изчезнал фактически или е престанал да съществува юридически, или е изпаднал в несъстоятелност, износителят на данни има право да прекрати договора с обработващия лични данни подизпълнител и да му даде указания да изтрие или върне личните данни.

а)

Вносителят на данни, когато е уместно със съдействието на износителя на данни, обработва всички запитвания и искания, които получава от субекта на данни във връзка с обработването на личните му данни и упражняването на правата му по настоящите клаузи, без ненужно забавяне и най-късно в срок от един месец от получаването на запитването или искането (10). Вносителят на данни предприема подходящи мерки за улесняване на подобни запитвания, на искания и на упражняването на правата на субекта на данни. Всяка информация, предоставена на субекта на данни, трябва да бъде в разбираема и лесно достъпна форма, като се използва ясен и прост език.

б)

По-специално по искане на субекта на данни вносителят на данни безплатно:

в)

Когато вносителят на данни обработва личните данни за целите на директния маркетинг, той прекратява обработването за такива цели, ако субектът на данни възрази срещу него.

г)

Вносителят на данни не взема решение, основаващо се единствено на автоматизирано обработване на предадените лични данни (наричано по-нататък „автоматизирано решение“), което би имало правни последици за физическото лице или по подобен начин сериозно би го засегнало, освен с изричното съгласие на субекта на данни или ако законодателството на държавата на получаване позволява това, при условие че в това законодателство са предвидени подходящи мерки за гарантиране на правата и законните интереси на субекта на данни. В този случай при необходимост вносителят на данни в сътрудничество с износителя на данни:

д)

Когато исканията на субект на данни са прекомерни, по-специално поради своята повторяемост, вносителят на данни може или да наложи разумна такса, основана на административните разходи за обработване на искането, или да откаже да предприеме действия по искането.

е)

Вносителят на данни може да откаже да изпълни искането на субект на данни, ако такъв отказ е допустим съгласно законодателството на държавата на получаване и представлява необходима и пропорционална мярка в едно демократично общество за гарантиране на целите по член 23, параграф 1 от Регламент (ЕС) 2016/679.

ж)

Ако вносителят на данни възнамерява да откаже да изпълни искането на субект на данни, той уведомява субекта на данни за причините за отказа и за възможността да подаде жалба до компетентния надзорен орган и/или да поиска съдебна защита.

а)

Вносителят на данни своевременно уведомява износителя на данни за всяко искане, което е получил от субект на данни. Той не отговаря сам на това искане, освен ако не бъде оправомощен от износителя на данни.

б)

Вносителят на данни помага на износителя на данни да изпълни задълженията си да отговаря на исканията на субектите на данни за упражняване на техните права съгласно Регламент (ЕС) 2016/679. Във връзка с това страните определят в приложение II подходящите технически и организационни мерки, като вземат предвид естеството на обработването, посредством което се предоставя помощта, както и обхвата и степента на необходимата помощ.

в)

Когато изпълнява задълженията си по букви а) и б), вносителят на данни спазва указанията на износителя на данни.

а)

Вносителят на данни своевременно уведомява износителя на данни и когато е целесъобразно — администратора, за всяко искане, което е получил от субект на данни, без да отговаря на това искане, освен ако не е оправомощен от администратора.

б)

Вносителят на данни помага на администратора на лични данни, когато е необходимо в сътрудничество с износителя на данни, да изпълни задълженията си да отговаря на исканията на субектите на данни за упражняване на техните права съгласно Регламент (ЕС) 2016/679 или Регламент (ЕС) 2018/1725, според случая. Във връзка с това страните определят в приложение II подходящите технически и организационни мерки, като вземат предвид естеството на обработването, посредством което се предоставя помощта, както и обхвата и степента на необходимата помощ.

в)

Когато изпълнява задълженията си по букви а) и б), вносителят на данни спазва указанията на администратора на лични данни, както са му съобщени от износителя на данни.

а)

Вносителят на данни уведомява субектите на данни по прозрачен начин и в леснодостъпен формат, чрез индивидуално известие или на своя уебсайт, за точката за контакт, упълномощена да обработва жалби. Той своевременно обработва всички жалби, които получава от субекти на данни.

[ВАРИАНТ: Вносителят на данни приема, че субектите на данни могат също да подават жалби до независим орган за разрешаване на спорове (11) без разходи за субекта на данни. Той уведомява субектите на данни по начина, посочен в буква а), за този механизъм за защита, както и че те не са длъжни да го използват или да следват определена последователност при търсене на защита.]

б)

В случай на спор между субекта на данни и една от страните по отношение на спазването на настоящите клаузи тази страна полага максимални усилия за своевременно уреждане на спора по взаимно съгласие. Страните се уведомяват взаимно за такива спорове и когато е уместно, си сътрудничат при разрешаването им.

в)

Когато субектът на данни се позовава на право на трета страна бенефициер съгласно клауза 3, вносителят на данни приема решението на субекта на данни да:

г)

Страните приемат, че субектът на данни може да бъде представляван от структура, организация или сдружение с нестопанска цел при условията, посочени в член 80, параграф 1 от Регламент (ЕС) 2016/679.

д)

Вносителят на данни се съобразява с решение, което е обвързващо съгласно приложимото право на ЕС или на държава членка.

е)

Вносителят на данни приема, че направеният от субекта на данни избор няма да накърни неговите материални и процесуални права да търси средства за защита в съответствие с приложимото законодателство.

а)

Всяка страна носи отговорност пред другата(ите) страна(и) за всякакви вреди, причинени на другата(ите) страна(и) в резултат на нарушаване на настоящите клаузи.

б)

Всяка страна носи отговорност пред субекта на данни и субектът на данни има право да получи обезщетение за всякакви имуществени или неимуществени вреди, които страната му нанесе, нарушавайки правата на третата страна бенефициер съгласно настоящите клаузи. Това не засяга отговорността на износителя на данни съгласно Регламент (ЕС) 2016/679.

в)

Когато повече от една страна носи отговорност за вреди, причинени на субекта на данни в резултат на нарушение на настоящите клаузи, всички отговорни страни носят солидарна отговорност и субектът на данни има право да заведе дело в съда срещу която и да е от тези страни.

г)

Страните се споразумяват, че ако една от страните бъде подведена под отговорност съгласно буква в), тя ще има право да поиска обратно от другата(ите) страна(и) тази част от обезщетението, която съответства на отговорността на последната(ите) за вредите.

д)

Вносителят на данни не може да се позовава на поведението на обработващ лични данни или на обработващ лични данни подизпълнител, за да избегне собствената си отговорност.

а)

Всяка страна носи отговорност пред другата(ите) страна(и) за всякакви вреди, причинени на другата(ите) страна(и) в резултат на нарушаване на настоящите клаузи.

б)

Вносителят на данни носи отговорност пред субекта на данни и субектът на данни има право да получи обезщетение за всякакви имуществени или неимуществени вреди, които вносителят на данни или неговият обработващ лични данни подизпълнител му нанесе, нарушавайки правата на третата страна бенефициер съгласно настоящите клаузи.

в)

Независимо от буква б), износителят на данни носи отговорност пред субекта на данни и субектът на данни има право да получи обезщетение за всякакви имуществени или неимуществени вреди, които износителят на данни или вносителят на данни (или неговият обработващ лични данни подизпълнител) му нанесе, нарушавайки правата на третата страна бенефициер съгласно настоящите клаузи. Това не засяга отговорността на износителя на данни и когато износителят на данни е обработващ лични данни, който действа от името на администратор на лични данни — отговорността на администратора на лични данни съгласно Регламент (ЕС) 2016/679 или Регламент (ЕС) 2018/1725, според случая.

г)

Страните се споразумяват, че ако износителят на данни бъде подведен под отговорност съгласно буква в) за вреди, причинени от вносителя на данни (или от неговия обработващ лични данни подизпълнител), първият ще има право да поиска обратно от вносителя на данни тази част от обезщетението, която съответства на отговорността на последния за вредите.

д)

Когато повече от една страна носи отговорност за вреди, причинени на субекта на данни в резултат на нарушение на настоящите клаузи, всички отговорни страни носят солидарна отговорност и субектът на данни има право да заведе дело в съда срещу която и да е от тези страни.

е)

Страните се споразумяват, че ако една от страните бъде подведена под отговорност съгласно буква д), тя ще има право да поиска обратно от другата(ите) страна(и) тази част от обезщетението, която съответства на отговорността на последната(ите) за вредите.

ж)

Вносителят на данни не може да се позовава на поведението на обработващ лични данни подизпълнител, за да избегне собствената си отговорност.

а)

[Когато износителят на данни е установен в държава — членка на ЕС:] Надзорният орган, който отговаря за осигуряване на спазването на Регламент (ЕС) 2016/679 от износителя на данни по отношение на предаването на данни, както е посочен в приложение I.В, действа като компетентен надзорен орган.

[Когато износителят на данни не е установен в държава — членка на ЕС, но попада в териториалния обхват на прилагане на Регламент (ЕС) 2016/679 съгласно член 3, параграф 2 от него и е назначил представител в съответствие с член 27, параграф 1 от Регламент (ЕС) 2016/679:] Надзорният орган на държавата членка, в която е установен представителят по смисъла на член 27, параграф 1 от Регламент (ЕС) 2016/679, както е посочен в приложение I.В, действа като компетентен надзорен орган.

[Когато износителят на данни не е установен в държава — членка на ЕС, но попада в териториалния обхват на прилагане на Регламент (ЕС) 2016/679 съгласно член 3, параграф 2 от него, без обаче да е длъжен да назначи представител в съответствие с член 27, параграф 2 от Регламент (ЕС) 2016/679:] Надзорният орган на една от държавите членки, в които се намират субектите на данни, чиито лични данни се предават съгласно настоящите клаузи във връзка с предлагането на стоки или услуги за тях или чието поведение се наблюдава, както е посочено в приложение I.В, действа като компетентен надзорен орган.

б)

Вносителят на данни се съгласява да приеме юрисдикцията и да си сътрудничи с компетентния надзорен орган във всички производства, които имат за цел да осигурят спазването на настоящите клаузи. По-специално вносителят на данни приема да отговаря на запитвания, да бъде подлаган на одити и да спазва мерките, приети от надзорния орган, включително коригиращите и компенсаторните мерки. Той предоставя на надзорния орган писмено потвърждение, че са предприети необходимите действия.

а)

Страните гарантират, че нямат основание да смятат, че законите и практиките в третата държава на получаване, приложими по отношение на обработването на лични данни от вносителя на данни, включително всички изисквания за разкриване на лични данни или всички мерки, разрешаващи достъп от страна на публични органи, не позволяват на вносителя на данни да изпълнява задълженията си по настоящите клаузи. Това се основава на разбирането, че законите и практиките, които зачитат същността на основните права и свободи и са пропорционални, и не надхвърлят необходимото в едно демократично общество за защита на някоя от целите, изброени в член 23, параграф 1 от Регламент (ЕС) 2016/679, не са в противоречие с настоящите клаузи.

б)

Страните декларират, че при предоставянето на гаранцията по буква а) те са взели надлежно предвид по-специално следните елементи:

в)

Вносителят на данни гарантира, че при извършването на оценката съгласно буква б) е положил максимални усилия да предостави на износителя на данни необходимата информация, и приема да продължи да си сътрудничи с износителя на данни за осигуряване на спазването на настоящите клаузи.

г)

Страните се споразумяват да документират оценката съгласно буква б) и при поискване да я предоставят на компетентния надзорен орган.

д)

Вносителят на данни се съгласява да уведоми износителя на данни своевременно, ако, след като е приел настоящите клаузи и по време на срока на договора, има основания да смята, че е длъжен, или ако стане длъжен да спазва закони или практики, които не са в съответствие с изискванията по буква а), включително след промяна на законите на третата държава или на мярка (като например искане за разкриване), сочеща за прилагане на тези закони на практика, което не е в съответствие с изискванията по буква а). [За модул 3: Износителят на данни изпраща уведомлението на администратора на лични данни.]

е)

След уведомление съгласно буква д) или ако износителят на данни по друг начин има основания да смята, че вносителят на данни вече не може да изпълнява задълженията си по настоящите клаузи, износителят на данни своевременно определя подходящи мерки (напр. технически или организационни мерки за осигуряване на сигурност и поверителност), които да бъдат предприети от износителя на данни и/или от вносителя на данни за справяне със ситуацията [за модул 3:, ако е целесъобразно в консултации с администратора на лични данни]. Износителят на данни спира предаването на данни, ако прецени, че не могат да бъдат осигурени подходящи гаранции за такова предаване, или ако е получил указания от [за модул 3: администратора на лични данни или от] компетентния надзорен орган. В този случай износителят на данни има право да прекрати договора, доколкото той се отнася до обработването на лични данни съгласно настоящите клаузи. Ако договорът е сключен между повече от две страни, износителят на данни може да упражни това право на прекратяване само по отношение на съответната страна, освен ако страните не са се договорили за друго. Когато договорът бъде прекратен съгласно настоящата клауза, се прилагат букви г) и д) от клауза 16.

а)

Вносителят на данни се съгласява да уведоми износителя на данни, и когато е възможно — субекта на данни, своевременно (ако е необходимо с помощта на износителя на данни), ако:

[За модул 3: Износителят на данни изпраща уведомлението на администратора на лични данни.]

б)

Ако съгласно законодателството на държавата на получаване на вносителя на данни е забранено да уведомява износителя на данни и/или субекта на данни, вносителят на данни се съгласява да положи максимални усилия да получи освобождаване от забраната с цел да съобщи колкото е възможно повече информация във възможно най-кратък срок. Вносителят на данни приема да документира своите усилия, за да може да ги докаже при поискване от износителя на данни.

в)

Когато е допустимо съгласно законодателството на държавата на получаване, вносителят на данни приема да предоставя на износителя на данни периодично по време на срока на договора възможно най-много релевантна информация относно получените искания (по-специално броя на исканията, вида на исканите данни, отправилия(ите) искането орган(и), дали исканията са били оспорени и резултатите от такива оспорвания и т.н.). [За модул 3: Износителят на данни препраща информацията на администратора.]

г)

Вносителят на данни приема да съхранява информацията по букви а)—в) за срока на договора и при поискване да я предоставя на компетентния надзорен орган.

д)

Букви а)—в) не засягат задължението на вносителя на данни съгласно клауза 14, буква д) и клауза 16 своевременно да уведомява износителя на данни, когато не е в състояние да изпълни настоящите клаузи.

а)

Вносителят на данни приема да провери законосъобразността на искането за разкриване, по-специално дали то продължава да е в правомощията, предоставени на отправилия го публичен орган, както и да оспори искането, ако след внимателна преценка стигне до заключението, че има разумни основания да се смята, че искането е незаконосъобразно съгласно законодателството на държавата на получаване, приложимите задължения съгласно международното право и принципите на международната вежливост. Вносителят на данни следва при същите условия да търси възможности за обжалване. Когато оспорва искане, вносителят на данни подава молба за временни мерки с цел да се спре действието на искането, докато компетентният съдебен орган не вземе решение по същество. Той не разкрива исканите лични данни, докато това не бъде изискано съгласно приложимите процесуални правила. Тези изисквания не засягат задълженията на вносителя на данни по клауза 14, буква д).

б)

Вносителят на данни приема да документира своята правна оценка и всяко оспорване на искането за разкриване, и доколкото това е допустимо съгласно законодателството на държавата на получаване, да предостави документацията на износителя на данни. При поискване той също така предоставя документацията на компетентния надзорен орган. [За модул 3: Износителят на данни предоставя оценката на администратора на лични данни.]

в)

Вносителят на данни приема да предостави минимално допустимото количество информация, когато отговаря на искане за разкриване, въз основа на разумно тълкуване на искането.

а)

Вносителят на данни своевременно уведомява износителя на данни, ако не е в състояние да спазва настоящите клаузи, независимо от причината.

б)

В случай че вносителят на данни е допуснал нарушение на настоящите клаузи или не е в състояние да ги спазва, износителят на данни спира предаването на лични данни към вносителя на данни, докато отново не бъде осигурено спазване или договорът не бъде прекратен. Настоящият текст не засяга разпоредбите на клауза 14, буква е).

в)

Износителят на данни има право да прекрати договора, доколкото той се отнася до обработването на лични данни съгласно настоящите клаузи, когато:

В тези случаи той уведомява компетентния надзорен орган [за модул 3: и администратора] за такова неспазване. Когато договорът е сключен между повече от две страни, износителят на данни може да упражни това право на прекратяване само по отношение на съответната страна, освен ако страните не са се договорили за друго.

г)

[За модули 1, 2 и 3: Личните данни, които са били предадени преди прекратяването на договора съгласно буква в), по избор на износителя на данни незабавно се връщат на износителя на данни или се заличават изцяло. Същото се отнася за всички копия от данните.] [За модул 4: Личните данни, събрани от износителя на данни в ЕС, които са били предадени преди прекратяването на договора съгласно буква в), включително всички техни копия, незабавно се заличават изцяло.] Вносителят на данни удостоверява пред износителя на данни заличаването на данните. Докато данните не бъдат заличени или върнати, вносителят на данни продължава да осигурява спазването на настоящите клаузи. Когато съществува местно законодателство, приложимо по отношение на вносителя на данни, с което се забранява връщането или заличаването на предадените личните данни, вносителят на данни гарантира, че ще продължи да осигурява спазването на настоящите клаузи и ще обработва данните само до степента и за периода, изисквани от това местно законодателство.

д)

Всяка от страните може да оттегли своето съгласие да бъде обвързана от настоящите клаузи, когато i) Европейската комисия приеме решение съгласно член 45, параграф 3 от Регламент (ЕС) 2016/679, обхващащо предаването на лични данни, по отношение на които се прилагат настоящите клаузи; или ii) Регламент (ЕС) 2016/679 стане част от правната уредба на държавата, в която се предават личните данни. Това не засяга други задължения, приложими по отношение на въпросното обработване съгласно Регламент (ЕС) 2016/679.

а)

Всички спорове, произтичащи от настоящите клаузи, се разрешават от съдилищата на държава — членка на ЕС.

б)

Страните се споразумяват това да бъдат съдилищата на _____ (посочете държава членка).]

в)

Субект на данни може да започне съдебно производство срещу износителя на данни и/или вносителя на данни и пред съдилищата на държавата членка на обичайното си местопребиваване.

г)

Страните се споразумяват да приемат юрисдикцията на такива съдилища.

Всички спорове, произтичащи от настоящите клаузи, се разрешават от съдилищата на _____ (посочете държава)

1.

Адрес: …

Име, длъжност и координати за връзка с лицето за контакт: …

Дейности, свързани с предадените съгласно настоящите клаузи данни: …

Подпис и дата: …

Роля (администратор/обработващ данните) …

2.

1.

Адрес: …

Име, длъжност и координати за връзка с лицето за контакт: …

Дейности, свързани с предадените съгласно настоящите клаузи данни: …

Подпис и дата: …

Роля (администратор/обработващ данните) …

2.

1.

Адрес: …

Име, длъжност и координати за връзка с лицето за контакт: …

Описание на обработването (включително ясно разграничение на отговорностите в случай, че е разрешено използването на няколко обработващи лични данни подизпълнители): …

2.