L_2021199HR.01001801.xml

PROVEDBENA ODLUKA KOMISIJE (EU) 2021/915

оd 4. lipnja 2021.

o standardnim ugovornim klauzulama između voditeljâ obrade i izvršiteljâ obrade iz članka 28. stavka 7. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća i članka 29. stavka 7. Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća

(Tekst značajan za EGP)

EUROPSKA KOMISIJA,

uzimajući u obzir Ugovor o funkcioniranju Europske unije,

uzimajući u obzir Uredbu (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (1), a posebno njezin članak 28. stavak 7.,

uzimajući u obzir Uredbu (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (Uredba EU-a o zaštiti podataka) (2), a posebno njezin članak 29. stavak 7.,

budući da:

(1)

Pojmovi voditelja obrade i izvršitelja obrade imaju ključnu ulogu u primjeni Uredbe (EU) 2016/679 i Uredbe (EU) 2018/1725. Voditelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka. Za potrebe Uredbe (EU) 2018/1725 voditelj obrade znači institucija ili tijelo Unije ili glavna uprava ili bilo koji drugi organizacijski subjekt koji samostalno ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka. Ako su svrhe i sredstva te obrade određeni posebnim aktom Unije, Unija može odrediti voditelja obrade ili posebne kriterije za njegovo imenovanje. Izvršitelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.

(2)

Isti skup standardnih ugovornih klauzula trebao bi se primjenjivati na odnos između voditeljâ obrade podataka i izvršiteljâ obrade podataka koji podliježu Uredbi (EU) 2016/679 i kada podliježu Uredbi (EU) 2018/1725. Razlog tomu je što su, kako bi se osigurao dosljedan pristup zaštiti osobnih podataka širom Unije i slobodno kretanje osobnih podataka u Uniji, pravila o zaštiti podataka u Uredbi (EU) 2016/679, koja se primjenjuju na javni sektor u državama članicama, i pravila o zaštiti podataka u Uredbi (EU) 2018/1725, koja se primjenjuju na institucije, tijela, urede i agencije Unije, međusobno usklađena koliko god je to moguće.

(3)

Kako bi se osiguralo poštovanje zahtjeva iz Uredbe (EU) 2016/679 i Uredbe (EU) 2018/1725, pri povjeravanju aktivnosti obrade izvršitelju obrade, voditelj obrade trebao bi angažirati samo izvršitelje obrade koji u zadovoljavajućoj mjeri jamče, osobito u pogledu stručnog znanja, pouzdanosti i resursa, provedbu tehničkih i organizacijskih mjera koje udovoljavaju zahtjevima Uredbe (EU) 2016/679 i Uredbe (EU) 2018/1725, među ostalim u pogledu sigurnosti obrade.

(4)

Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, koji izvršitelja obrade obvezuje prema voditelju obrade, a u kojem se navode elementi navedeni u članku 28. stavcima 3. i 4. Uredbe (EU) 2016/679 ili članku 29. stavcima 3. i 4. Uredbe (EU) 2018/1725. Taj ugovor ili akt mora biti u pisanom obliku, uključujući elektronički oblik.

(5)

U skladu s člankom 28. stavkom 6. Uredbe (EU) 2016/679 i člankom 29. stavkom 6. Uredbe (EU) 2018/1725 voditelj obrade i izvršitelj obrade mogu, ako tako odluče, dogovoriti pojedinačni ugovor koji sadržava obvezne elemente iz članka 28. stavaka 3. i 4. Uredbe (EU) 2016/679 odnosno članka 29. stavaka 3. i 4. Uredbe (EU) 2018/1725, ili upotrijebiti, djelomično ili u cijelosti, standardne ugovorne klauzule koje je donijela Komisija u skladu s člankom 28. stavkom 7. Uredbe (EU) 2016/679 i člankom 29. stavkom 7. Uredbe (EU) 2018/1725.

(6)

Voditelj obrade i izvršitelj obrade trebali bi smjeti uključiti standardne ugovorne klauzule iz ove Odluke u širi ugovor, te dodati druge klauzule ili dodatne zaštitne mjere, pod uvjetom da one izravno ili neizravno ne proturječe standardnim ugovornim klauzulama te da ne dovode u pitanje temeljna prava ili slobode ispitanika. Upotreba standardnih ugovornih klauzula ne dovodi u pitanje eventualne ugovorne obveze voditelja obrade i/ili izvršitelja obrade kojima je cilj osigurati poštovanje primjenjivih povlastica i imuniteta.

(7)

Standardne ugovorne klauzule trebale bi obuhvaćati materijalna i postupovna pravila. U skladu s člankom 28. stavkom 3. Uredbe (EU) 2016/679 i člankom 29. stavkom 3. Uredbe (EU) 2018/1725, standardne ugovorne klauzule trebale bi uključivati zahtjev da voditelj obrade i izvršitelj obrade navedu predmet i trajanje obrade, prirodu i svrhu obrade, vrstu osobnih podataka na koje se to odnosi i kategorije ispitanika te obveze i prava voditelja obrade.

(8)

U skladu s člankom 28. stavkom 3. Uredbe (EU) 2016/679 i u skladu s člankom 29. stavkom 3. Uredbe (EU) 2018/1725 izvršitelj obrade bez odgode obavješćuje voditelja obrade ako se prema njegovu mišljenju određenom uputom voditelja obrade krši Uredba (EU) 2016/679 ili Uredba (EU) 2018/1725 ili druge odredbe Unije ili države članice o zaštiti podataka.

(9)

Ako izvršitelj obrade angažira drugog izvršitelja obrade za provođenje određenih aktivnosti, primjenjuju se posebni zahtjevi iz članka 28. stavaka 2. i 4. Uredbe (EU) 2016/679 ili članka 29. stavaka 2. i 4. Uredbe (EU) 2018/1725. Prije svega je potrebno prethodno posebno ili opće pisano odobrenje. Bez obzira je li to prethodno odobrenje posebno ili opće, prvi izvršitelj obrade trebao bi ažurirati popis drugih izvršitelja obrade.

(10)

Kako bi se ispunili zahtjevi iz članka 46. stavka 1. Uredbe (EU) 2016/679, Komisija je donijela standardne ugovorne klauzule u skladu s člankom 46. stavkom 2. točkom (c) Uredbe (EU) 2016/679. Te klauzule ispunjavaju i zahtjeve iz članka 28. stavaka 3. i 4. Uredbe (EU) 2016/679 za prijenose podataka od voditeljâ obrade u skladu s Uredbom (EU) 2016/679 izvršiteljima obrade izvan teritorijalnog područja primjene te uredbe ili od izvršitelja obrade u skladu s Uredbom (EU) 2016/679 podizvršiteljima obrade izvan teritorijalnog područja primjene te uredbe. Te standardne ugovorne klauzule ne mogu se upotrebljavati kao standardne ugovorne klauzule za potrebe poglavlja V. Uredbe (EU) 2016/679.

(11)	Treće strane trebale bi moći postati stranke u standardnim ugovornim klauzulama tijekom cijelog trajanja ugovora.

(12)	Funkcioniranje standardnih ugovornih klauzula trebalo bi ocjenjivati u okviru redovite ocjene Uredbe (EU) 2016/679 iz članka 97. te uredbe.

(13)	Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka i Europskim odborom za zaštitu podataka u skladu s člankom 42. stavcima 1. i 2. Uredbe (EU) 2018/1725 te su oni 14. siječnja 2021. (3) dali zajedničko mišljenje, koje je uzeto u obzir u pripremi ove Odluke.

(14)	Mjere iz ove Odluke u skladu su s mišljenjem odbora uspostavljenog u skladu s člankom 93. Uredbe (EU) 2016/679 i člankom 96. stavkom 2. Uredbe (EU) 2018/1725,

DONIJELA JE OVU ODLUKU:

Članak 1.

Standardne ugovorne klauzule iz Priloga ispunjavaju zahtjeve za ugovore između voditeljâ obrade i izvršiteljâ obrade iz članka 28. stavaka 3. i 4. Uredbe (EU) 2016/679 i članka 29. stavaka 3. i 4. Uredbe (EU) 2018/1725.

Članak 2.

Standardne ugovorne klauzule iz Priloga mogu se upotrebljavati u ugovorima između voditelja obrade i izvršitelja obrade koji obrađuje osobne podatke u ime voditelja obrade.

Članak 3.

Komisija u okviru redovite ocjene iz članka 97. Uredbe (EU) 2016/679 ocjenjuje praktičnu primjenu standardnih ugovornih klauzula iz Priloga na temelju svih dostupnih informacija.

Članak 4.

Ova Odluka stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

Sastavljeno u Bruxellesu 4. lipnja 2021.

Za Komisiju

Predsjednica

Ursula VON DER LEYEN

(1) SL L 119, 4.5.2016., str. 1.

(2) SL L 295, 21.11.2018., str. 39.

(3) Zajedničko mišljenje 1/2021 Europskog odbora za zaštitu podataka i Europskog nadzornika za zaštitu podataka o Provedbenoj odluci Europske komisije o standardnim ugovornim klauzulama između voditelja obrade i izvršitelja obrade u pogledu pitanja iz članka 28. stavka 7. Uredbe (EU) 2016/679 i članka 29. stavka 7. Uredbe (EU) 2018/1725.

PRILOG

Standardne ugovorne klauzule

ODJELJAK I.

Klauzula 1.

Svrha i područje primjene

(a)

Svrha je ovih Standardnih ugovornih klauzula (dalje u tekstu: „Klauzule”) osiguravanje usklađenosti s [odaberite relevantnu opciju: OPCIJA 1.: člankom 28. stavcima 3. i 4. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka)] / [OPCIJA 2.: člankom 29. stavcima 3. i 4. Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ].

(b)	Voditelji obrade i izvršitelji obrade s popisa u Prilogu I. suglasili su se s ovim Klauzulama kako bi se osigurala usklađenost s člankom 28. stavcima 3. i 4. Uredbe (EU) 2016/679 i/ili člankom 29. stavcima 3. i 4. Uredbe (EU) 2018/1725.

(c)	Ove se Klauzule primjenjuju na obradu osobnih podataka kako je navedeno u Prilogu II.

(d)	Prilozi od I. do IV. čine sastavni dio Klauzula.

(e)	Ovim se Klauzulama ne dovode u pitanje obveze voditelja obrade iz Uredbe (EU) 2016/679 i/ili Uredbe (EU) 2018/1725.

(f)	Ove Klauzule same po sebi ne osiguravaju usklađenost s obvezama povezanima s međunarodnim prijenosima iz poglavlja V. Uredbe (EU) 2016/679 i/ili Uredbe (EU) 2018/1725.

Klauzula 2.

Nepromjenjivost Klauzula

(a)	Stranke se obvezuju da neće mijenjati Klauzule, osim radi dodavanja informacija u priloge ili ažuriranja informacija u njima.

(b)	To ne sprječava stranke da uključe standardne ugovorne klauzule iz ovih Klauzula u širi ugovor ili da dodaju druge klauzule ili dodatne zaštitne mjere, pod uvjetom da one izravno ili neizravno ne proturječe Klauzulama te da ne dovode u pitanje temeljna prava ili slobode ispitanika.

Klauzula 3.

Tumačenje

(a)	Ako se u ovim Klauzulama upotrebljavaju termini definirani u Uredbi (EU) 2016/679 odnosno Uredbi (EU) 2018/1725, ti termini imaju isto značenje kao i u tim uredbama.

(b)	Ove se Klauzule tumače u svjetlu odredaba Uredbe (EU) 2016/679 odnosno Uredbe (EU) 2018/1725.

(c)	Ove se Klauzule ne smiju tumačiti na način koji je protivan pravilima i obvezama iz Uredbe (EU) 2016/679 / Uredbe (EU) 2018/1725 ili na način kojim se dovode u pitanje temeljna prava ili slobode ispitanika.

Klauzula 4.

Hijerarhija

U slučaju proturječnosti između ovih Klauzula i odredaba povezanih sporazuma između Stranaka koji postoje u trenutku kada su ove Klauzule dogovorene ili su sklopljeni nakon toga, ove Klauzule imaju prednost.

Klauzula 5. – neobavezna

Klauzula o pristupanju

(a)	Svaki subjekt koji nije Stranka ovih Klauzula može, ako se sve stranke s time slažu, pristupiti ovim Klauzulama u bilo kojem trenutku kao voditelj obrade ili kao izvršitelj obrade, popunjavanjem prilogâ i potpisivanjem Priloga I.

(b)	Nakon što su prilozi iz točke (a) popunjeni i potpisani, subjekt koji pristupa smatra se Strankom ovih Klauzula i ima prava i obveze voditelja obrade ili izvršitelja obrade, u skladu s imenovanjem iz Priloga I.

(c)	Subjekt koji pristupa nema prava ni obveze koje proizlaze iz ovih Klauzula za razdoblje prije nego što je postao Stranka.

ODJELJAK II.

OBVEZE STRANAKA

Klauzula 6.

Opis obrade

Detalji postupaka obrade, a posebno kategorije osobnih podataka i svrhe za koje se osobni podaci obrađuju u ime voditelja obrade, navode se u Prilogu II.

Klauzula 7.

Obveze Stranaka

7.1. Upute

(a)

Izvršitelj obrade obrađuje osobne podatke samo prema dokumentiranim uputama voditelja obrade, osim ako to nalaže pravo Unije ili pravo države članice kojem podliježe izvršitelj obrade. U tom slučaju izvršitelj obrade obavješćuje voditelja obrade o tom pravnom zahtjevu prije obrade, osim ako se pravom to zabranjuje zbog važnih razloga od javnog interesa. Voditelj obrade može dati daljnje upute tijekom cijelog trajanja obrade osobnih podataka. Te upute uvijek moraju biti zabilježene.

(b)	Izvršitelj obrade odmah obavješćuje voditelja obrade ako izvršitelj obrade smatra da se uputama voditelja obrade krše Uredba (EU) 2016/679 / Uredba (EU) 2018/1725 ili primjenjive odredbe Unije ili države članice o zaštiti podataka.

7.2. Ograničavanje svrhe

Izvršitelj obrade obrađuje osobne podatke samo za svrhe obrade koje su navedene u Prilogu II., osim ako od voditelja obrade dobije daljnje upute.

7.3. Trajanje obrade osobnih podataka

Obrada koju obavlja izvršitelj obrade traje samo onoliko dugo koliko je navedeno u Prilogu II.

7.4. Sigurnost obrade

(a)

Kako bi se zajamčila sigurnost osobnih podataka, izvršitelj obrade primjenjuje barem tehničke i organizacijske mjere navedene u Prilogu III. To obuhvaća zaštitu podataka od kršenja sigurnosti koje vodi do slučajnog ili nezakonitog uništenja, gubitka, promjene, neovlaštenog otkrivanja ili pristupa podacima (povreda osobnih podataka). Pri ocjenjivanju odgovarajuće razine sigurnosti Stranke moraju voditi računa o tehnologiji, troškovima provedbe, prirodi, opsegu, kontekstu i svrhama obrade te rizicima za ispitanike.

(b)

Izvršitelj obrade daje pristup osobnim podacima koji se obrađuju svojem osoblju samo u mjeri u kojoj je to nužno kako bi se proveo ugovor, upravljalo ugovorom i nadzirao ugovor. Izvršitelj obrade osigurava da su se osobe ovlaštene za obradu zaprimljenih osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti.

7.5. Osjetljivi podaci

Ako obrada uključuje otkrivanje osobnih podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu, genetske ili biometrijske podatke u svrhu jedinstvene identifikacije fizičke osobe, podatke koji se odnose na zdravlje ili spolni život ili seksualnu orijentaciju pojedinca, ili kaznene osude i kažnjiva djela („osjetljivi podaci”), izvršitelj obrade primjenjuje posebna ograničenja i/ili dodatne zaštitne mjere.

7.6. Dokumentacija i poštovanje obveza

(a)	Stranke moraju moći dokazati da poštuju ove Klauzule.

(b)	Izvršitelj obrade mora bez odgode i na odgovarajući način reagirati na upite voditelja obrade o obradi podataka u skladu s ovim Klauzulama.

(c)

Izvršitelj obrade stavlja voditelju obrade na raspolaganje sve informacije koje su potrebne za dokazivanje poštovanja obveza iz ovih Klauzula i koje proizlaze izravno iz Uredbe (EU) 2016/679 i/ili Uredbe (EU) 2018/1725. Na zahtjev voditelja obrade izvršitelj obrade dopušta revizije aktivnosti obrade obuhvaćenih ovim Klauzulama te doprinosi tim revizijama, u razumnim intervalima ili ako postoje naznake kršenja obveza. Pri odluci o preispitivanju ili reviziji voditelj obrade može uzeti u obzir relevantne certifikate izvršitelja obrade.

(d)	Voditelj obrade može odlučiti da će reviziju provesti sam ili je povjeriti neovisnom revizoru. Revizije mogu također obuhvaćati inspekcije u prostorijama ili fizičkim objektima izvršitelja obrade i, prema potrebi, obavljati se uz prethodnu obavijest u razumnom roku.

(e)	Na zahtjev nadležnog nadzornog tijela/nadležnih nadzornih tijela, stranke tom tijelu/tim tijelima stavljaju na raspolaganje informacije iz ove Klauzule, uključujući i rezultate eventualnih revizija.

7.7. Angažiranje podizvršitelja obrade

(a)

OPCIJA 1.: PRETHODNO POSEBNO ODOBRENJE: Izvršitelj obrade ne smije svoje postupke obrade koje izvršava u ime voditelja obrade u skladu s ovim Klauzulama podugovoriti podizvršitelju obrade ako za to od voditelja obrade ne dobije prethodno posebno pisano odobrenje. Izvršitelj obrade podnosi zahtjev za posebno odobrenje najmanje [NAVESTI VREMENSKO RAZDOBLJE] prije angažiranja predmetnog podizvršitelja obrade, zajedno s informacijama koje su potrebne da bi voditelj obrade mogao odlučiti hoće li dati odobrenje. Popis podizvršitelja obrade koje je voditelj obrade odobrio nalazi se u Prilogu IV. Stranke su odgovorne za ažuriranje Priloga IV.

OPCIJA 2.: OPĆE PISANO ODOBRENJE: Izvršitelj obrade ima opće odobrenje voditelja obrade da može angažirati podizvršitelje obrade s popisa koji je voditelj odobrio. Izvršitelj obrade posebno, u pisanom obliku, najmanje [NAVESTI VREMENSKO RAZDOBLJE] unaprijed obavještava voditelja obrade o svim izmjenama tog popisa ako namjerava dodati ili zamijeniti podizvršitelje obrade, kako bi voditelj obrade imao dovoljno vremena da podnese prigovor prije angažiranja predmetnog podizvršitelja obrade. Izvršitelj obrade pruža voditelju obrade informacije koje su mu potrebne da bi mogao ostvariti svoje pravo na prigovor.

(b)

Ako izvršitelj obrade angažira drugog podizvršitelja obrade za izvođenje određenih aktivnosti obrade (u ime voditelja obrade), za to mora s podizvršiteljem obrade sklopiti ugovor kojim se podizvršitelj obvezuje da u suštini ima iste obveze zaštite podataka kao i izvršitelj obrade u skladu s ovim Klauzulama. Izvršitelj obrade mora osigurati da podizvršitelj obrade poštuje obveze kojima podliježe izvršitelj obveze u skladu s ovim Klauzulama te Uredbom (EU) 2016/679 i/ili Uredbom (EU) 2018/1725.

(c)

Izvršitelj obrade na zahtjev voditelja obrade stavlja voditelju obrade na raspolaganje kopiju ugovora s podizvršiteljem obrade i sve naknadne izmjene tog ugovora. Izvršitelj obrade smije, u mjeri u kojoj je to potrebno da bi se zaštitile poslovne tajne i druge povjerljive informacije te osobni podaci, izbrisati dijelove teksta ugovora prije stavljanja kopije na raspolaganje.

(d)	Izvršitelj obrade ostaje u potpunosti odgovoran prema voditelju obrade za izvršavanje obveza podizvršitelja obrade u skladu s njegovim ugovorom s izvršiteljem obrade. Izvršitelj obrade obavješćuje voditelja obrade o svakom nepostupanju podizvršitelja obrade u skladu s ugovornim obvezama.

(e)

Izvršitelj obrade s podizvršiteljem obrade ugovara klauzulu u korist treće strane, u kojoj se navodi da ako izvršitelj obrade u praksi nestane, pravno prestane postojati ili postane nesolventan, voditelj obrade ima pravo raskinuti ugovor s podizvršiteljem obrade i naložiti podizvršitelju obrade da izbriše ili vrati osobne podatke.

7.8. Međunarodni prijenos podataka

(a)

Ako izvršitelj obrade prenosi bilo kakve podatke trećoj zemlji ili međunarodnoj organizaciji, to smije učiniti samo na temelju dokumentiranih uputa voditelja obrade ili ako je to potrebno radi ispunjavanja određene odredbe prava Unije ili prava države članice kojem izvršitelj obrade podliježe, a taj se prijenos obavlja u skladu s poglavljem V. Uredbe (EU) 2016/679 ili Uredbe (EU) 2018/1725.

(b)

Voditelj obrade se slaže da ako izvršitelj obrade angažira podizvršitelja obrade u skladu s Klauzulom 7.7. radi izvršavanja određenih aktivnosti obrade (u ime voditelja obrade) i te aktivnosti obrade uključuju prijenos osobnih podataka u smislu poglavlja V. Uredbe (EU) 2016/679, izvršitelj obrade i podizvršitelj obrade mogu osigurati usklađenost s poglavljem V. Uredbe (EU) 2016/679 upotrebom standardnih ugovornih klauzula koje je donijela Komisija u skladu s člankom 46. stavkom 2. Uredbe (EU) 2016/679, pod uvjetom da su ispunjeni uvjeti za upotrebu tih standardnih ugovornih klauzula.

Klauzula 8.

Pomoć voditelju obrade

(a)	Izvršitelj obrade odmah obavješćuje voditelja obrade o svakom zahtjevu koji zaprimi od ispitanika. Izvršitelj obrade sam ne odgovara na taj zahtjev, osim ako ga za to ne ovlasti voditelj obrade.

(b)	Izvršitelj obrade pomaže voditelju obrade u ispunjavanju njegovih obveza da odgovori na zahtjeve ispitanika da ostvare svoja prava, uzimajući u obzir prirodu obrade. Pri ispunjavanju svojih obveza u skladu s točkama (a) i (b) izvršitelj obrade pridržava se uputa voditelja obrade.

(c)

Uz obvezu da pomaže voditelju obrade u skladu s Klauzulom 8. točkom (b), izvršitelj obrade pomaže voditelju obrade i u osiguravanju usklađenosti sa sljedećim obvezama, uzimajući u obzir prirodu obrade i informacije koje su dostupne izvršitelju obrade:

(1)	obveza provođenja procjene učinka predviđenih postupaka obrade na zaštitu osobnih podataka („procjena učinka na zaštitu podataka”) kada je vjerojatno da će vrsta obrade prouzročiti visok rizik za prava i slobode fizičkih osoba;

(2)	obveza savjetovanja s nadležnim nadzornim tijelom/nadležnim nadzornim tijelima prije obrade ako procjena učinka na zaštitu podataka pokazuje da bi, u slučaju da voditelj obrade ne donese mjere za ublažavanje rizika, obrada dovela do visokog rizika;

(3)	obveza osiguravanja da su osobni podaci točni i ažurni, obavješćivanjem voditelja obrade bez odgode ako izvršitelj obrade sazna da su osobni podaci koji se obrađuju netočni ili zastarjeli;

(4)	obveze iz [OPCIJA 1.] članka 32. Uredbe (EU) 2016/679/ [OPCIJA 2.] članka 33. i članaka od 36. do 38. Uredbe (EU) 2018/1725.

(d)	Stranke u Prilogu III. utvrđuju odgovarajuće tehničke i organizacijske mjere s pomoću kojih izvršitelj obrade pomaže voditelju obrade u primjeni ove Klauzule te opseg i razmjere potrebne pomoći.

Klauzula 9.

Izvješćivanje o povredi osobnih podataka

U slučaju povrede osobnih podataka izvršitelj obrade surađuje s voditeljem obrade i pomaže mu u poštovanju obveza iz članaka 33. i 34. Uredbe (EU) 2016/679 ili članaka 34. i 35. Uredbe (EU) 2018/1725, ovisno što je primjenjivo, uzimajući u obzir prirodu obrade i informacije koje su dostupne izvršitelju obrade.

9.1. Povreda podataka koja se odnosi na podatke koje obrađuje voditelj obrade

U slučaju povrede osobnih podataka koja se odnosi na podatke koje obrađuje voditelj obrade, izvršitelj obrade pomaže voditelju obrade:

(a)	u obavješćivanju nadležnog nadzornog tijela/nadležnih nadzornih tijela o povredi osobnih podataka, bez nepotrebne odgode nakon što je voditelj obrade za tu povredu saznao, prema potrebi/(osim ako nije vjerojatno da će ta povreda osobnih podataka prouzročiti rizik za prava i slobode fizičkih osoba);

(b)

u dobivanju sljedećih informacija koje se, u skladu s [OPCIJA 1.] člankom 33. stavkom 3. Uredbe (EU) 2016/679/ [OPCIJA 2.] člankom 34. stavkom 3. Uredbe (EU) 2018/1725, navode u obavijesti voditelja obrade i moraju uključivati barem:

(1)	prirodu osobnih podataka, uključujući, ako je to moguće, kategorije i približan broj ispitanika o kojima je riječ te kategorije i približan broj evidencija osobnih podataka o kojima je riječ;

(2)	vjerojatne posljedice povrede osobnih podataka;

(3)	mjere koje je voditelj obrade poduzeo ili predložio poduzeti za rješavanje problema povrede osobnih podataka, uključujući prema potrebi mjere umanjivanja njezinih mogućih štetnih posljedica.

Ako nije moguće istodobno pružiti sve te informacije, i u onoj mjeri u kojoj to nije moguće, početna obavijest sadržava informacije koje su u tom trenutku dostupne, a daljnje informacije se, bez nepotrebne odgode, šalju kada postanu dostupne.

(c)

u poštovanju, u skladu s [OPCIJA 1.] člankom 34. Uredbe (EU) 2016/679 / [OPCIJA 2.] člankom 35. Uredbe (EU) 2018/1725, obveze da se ispitanika bez nepotrebne odgode obavijesti o povredi osobnih podataka, ako je vjerojatno da će ta povreda osobnih podataka prouzročiti visok rizik za prava i slobode fizičkih osoba.

9.2. Povreda podataka koja se odnosi na podatke koje obrađuje izvršitelj obrade

U slučaju povrede osobnih podataka koja se odnosi na podatke koje obrađuje izvršitelj obrade, izvršitelj obrade nakon što sazna za povredu osobnih podataka o tome bez nepotrebnog odgađanja obavještava voditelja obrade. Ta obavijest sadržava barem:

(a)	opis prirode povrede (uključujući, ako je moguće, kategorije i približan broj ispitanika i evidencija podataka o kojima je riječ);

(b)	podatke o kontaktnoj točki gdje se može dobiti više informacija o povredi osobnih podataka;

(c)	vjerojatne posljedice povrede i mjere koje su poduzete ili predložene za rješavanje problema povrede, uključujući mjere za umanjivanje njezinih mogućih štetnih posljedica.

U Prilogu III. stranke utvrđuju sve druge elemente koje izvršitelj obrade treba staviti na raspolaganje kada pomaže voditelju obrade da ispuni obveze voditelja obrade iz [OPCIJA 1.] članka 33. i članka 34. Uredbe (EU) 2016/679 / [OPCIJA 2.] članka 34. i članka 35. Uredbe (EU) 2018/1725.

ODJELJAK III.

ZAVRŠNE ODREDBE

Klauzula 10.

Neusklađenost s Klauzulama i raskid

(a)

Ne dovodeći u pitanje odredbe Uredbe (EU) 2016/679 i/ili Uredbe (EU) 2018/1725, ako izvršitelj obrade prekrši obveze iz ovih Klauzula, voditelj obrade može naložiti izvršitelju obrade da prekine obradu osobnih podataka dok izvršitelj obrade ne osigura pridržavanje ovih Klauzula ili do raskida ugovora. Izvršitelj obrade bez odgode obavješćuje voditelja obrade ako se zbog bilo kojeg razloga ne može pridržavati ovih Klauzula.

(b)

Voditelj obrade ima pravo raskinuti ugovor u mjeri u kojoj se to odnosi na obradu osobnih podataka u skladu s ovim Klauzulama ako je:

(1)	voditelj obrade u skladu s točkom (a) prekinuo izvršitelja obrade u obradi osobnih podataka i ako usklađenost s ovim Klauzulama nije uspostavljena u razumnom vremenskom razdoblju, a u svakom slučaju u roku od mjesec dana nakon prekida;

(2)	izvršitelj obrade znatno ili uporno krši ove Klauzule ili svoje obveze iz Uredbe (EU) 2016/679 i/ili Uredbe (EU) 2018/1725;

(3)	izvršitelj obrade ne poštuje obvezujuću odluku nadležnog suda ili nadležnog nadzornog tijela/nadležnih nadzornih tijela koja se odnosi na njegove obveze iz ovih Klauzula ili Uredbe (EU) 2016/679 i/ili Uredbe (EU) 2018/1725.

(c)	Izvršitelj obrade smije raskinuti ugovor u mjeri u kojoj se to odnosi na obradu osobnih podataka u skladu s ovim Klauzulama ako, nakon što je obavijestio voditelja obrade da njegove upute krše primjenjive pravne zahtjeve iz Klauzule 7.1. točke (b), voditelj obrade ustrajava na poštovanju tih uputa.

(d)

Nakon raskida ugovora izvršitelj obrade mora, prema izboru voditelja obrade, izbrisati sve osobne podatke koje je obrađivao u ime voditelja obrade i potvrditi voditelju obrade da je to učinio, ili vratiti voditelju obrade sve osobne podatke i izbrisati sve kopije, osim ako je pravom Unije ili države članice propisana obveza pohrane osobnih podataka. Dok se podaci ne izbrišu ili ne vrate, izvršitelj obrade nastavlja osiguravati usklađenost s ovim Klauzulama.