a)

Šiomis standartinėmis sutarčių sąlygomis siekiama užtikrinti, kad būtų laikomasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (Bendrasis duomenų apsaugos reglamentas) (1) reikalavimų perduodant asmens duomenis į trečiąją valstybę.

b)

Šalys:

susitarė dėl šių standartinių sutarčių sąlygų (toliau – sąlygos).

c)

Šios sąlygos taikomos, kai asmens duomenys perduodami kaip nurodyta I priedo B skyriuje.

d)

Šių sąlygų priedėlis, kuriame pateikti čia nurodyti priedai, yra neatskiriama šių sąlygų dalis.

a)

Šiose sąlygose nustatytos tinkamos apsaugos priemonės, įskaitant vykdytinas duomenų subjektų teises ir veiksmingas teisių gynimo priemones pagal Reglamento (ES) 2016/679 46 straipsnio 1 dalį ir 46 straipsnio 2 dalies c punktą, o duomenų valdytojams perduodant duomenis duomenų tvarkytojams ir (arba) duomenų tvarkytojams – duomenų tvarkytojams, standartinės sutarčių sąlygos pagal Reglamento (ES) 2016/679 28 straipsnio 7 dalį, su sąlyga, kad jos nėra keičiamos, išskyrus atvejus, kai pasirenkamas (-i) atitinkamas (-i) modulis (-iai) arba papildoma ar atnaujinama priedėlyje pateikta informacija. Tai neužkerta kelio šalims įtraukti šiose sąlygose nustatytas standartines sutarčių sąlygas į platesnę sutartį ir (arba) įtraukti kitas sąlygas ar papildomas apsaugos priemones su sąlyga, kad jos tiesiogiai ar netiesiogiai neprieštarauja šioms sąlygoms ir nepažeidžia pagrindinių duomenų subjektų teisių ar laisvių.

b)

Šios sąlygos nedaro poveikio prievolėms, kurios duomenų eksportuotojui taikomos pagal Reglamentą (ES) 2016/679.

a)

Duomenų subjektai, kaip trečiosios šalys naudos gavėjos, gali remtis šiomis sąlygomis ir reikalauti, kad duomenų eksportuotojas ir (arba) duomenų importuotojas jas vykdytų, išskyrus šias išimtis:

b)

a punktas nedaro poveikio duomenų subjektų teisėms pagal Reglamentą (ES) 2016/679.

a)

Kai šiose sąlygose vartojamos Reglamente (ES) 2016/679 apibrėžtos sąvokos, tos sąvokos turi tokią pat reikšmę, kaip tame reglamente.

b)

Šios sąlygos suprantamos ir aiškinamos atsižvelgiant į Reglamento (ES) 2016/679 nuostatas.

c)

Šios sąlygos negali būti aiškinamos taip, kad prieštarautų Reglamente (ES) 2016/679 numatytoms teisėms ir pareigoms.

a)

Subjektas, kuris nėra šių sąlygų šalis, šalių susitarimu gali bet kada prisijungti prie šių sąlygų kaip duomenų eksportuotojas arba duomenų importuotojas, užpildydamas priedėlį ir pasirašydamas I priedo A skyrių.

b)

Užpildęs priedėlį ir pasirašęs I priedo A skyrių, prisijungiantis subjektas tampa šių sąlygų šalimi ir turi duomenų eksportuotojo arba duomenų importuotojo teises ir pareigas pagal tai, kuriai grupei jis priskiriamas I priedo A skyriuje.

c)

Prisijungiantis subjektas neturi jokių teisių ar pareigų, kylančių pagal šias sąlygas tuo laikotarpiu, kuriuo jis nebuvo šalimi.

i)

jei gavo išankstinį duomenų subjekto sutikimą;

ii)

jei tai būtina siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus vykstant konkrečiai administracinei ar reguliavimo procedūrai arba teismo procesui arba

iii)

jei tai būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus.

a)

Tam, kad duomenų subjektai galėtų veiksmingai naudotis savo teisėmis pagal 10 sąlygą, duomenų importuotojas juos informuoja tiesiogiai arba per duomenų eksportuotoją:

b)

a punktas netaikomas, kai duomenų subjektas jau turi informaciją, įskaitant atvejus, kai tokią informaciją jau pateikė duomenų eksportuotojas, arba kai informacijos pateikti neįmanoma arba tai pareikalautų neproporcingai didelių duomenų importuotojo pastangų. Pastaruoju atveju duomenų importuotojas, kiek tai įmanoma, pateikia informaciją viešai.

c)

Duomenų subjektui paprašius, šalys nemokamai pateikia jam šių sąlygų, įskaitant jų užpildytą priedėlį, kopiją. Tiek, kiek tai būtina verslo paslaptims ar kitai konfidencialiai informacijai, įskaitant asmens duomenis, apsaugoti, šalys gali kupiūruoti priedėlio teksto dalį prieš pateikdamos jo kopiją, tačiau pateikia informatyvią santrauką, jei priešingu atveju duomenų subjektas negalėtų suprasti jo turinio arba naudotis savo teisėmis. Gavusios prašymą, šalys duomenų subjektui nurodo kupiūravimo priežastis, kiek tai įmanoma neatskleisdamos kupiūruotos informacijos.

d)

a–c punktai nedaro poveikio duomenų eksportuotojo prievolėms pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.

a)

Kiekviena šalis užtikrina, kad asmens duomenys būtų tikslūs ir, prireikus, atnaujinami. Duomenų importuotojas imasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie yra netikslūs, atsižvelgiant į jų tvarkymo tikslą (-us), būtų nedelsiant ištrinti arba ištaisyti.

b)

Jei viena iš šalių sužino, kad jos perduoti ar gauti asmens duomenys yra netikslūs arba paseno, ji nepagrįstai nedelsdama apie tai praneša kitai šaliai.

c)

Duomenų importuotojas užtikrina, kad asmens duomenys būtų adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslo (-ų), dėl kurio (-ių) jie tvarkomi.

a)

Duomenų importuotojas, o perduodant duomenis – ir duomenų eksportuotojas, įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų asmens duomenų saugumą, įskaitant apsaugą nuo saugumo pažeidimo, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami asmens duomenys arba prie jų be leidimo gaunama prieiga (toliau – asmens duomenų saugumo pažeidimas). Vertindami tinkamą saugumo lygį, jie tinkamai atsižvelgia į techninių galimybių pažangos lygį, įgyvendinimo sąnaudas, duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslą (-us), taip pat tvarkant duomenis duomenų subjektui kylančią riziką. Šalys visų pirma apsvarsto šifravimo arba pseudonimų suteikimo galimybę, įskaitant perduodant duomenis, jei tokiu būdu galima pasiekti duomenų tvarkymo tikslo.

b)

Šalys susitarė dėl II priede nustatytų techninių ir organizacinių priemonių. Duomenų importuotojas reguliariai tikrina, ar šios priemonės ir toliau užtikrina tinkamą saugumo lygį.

c)

Duomenų importuotojas užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama teisės aktais nustatyta konfidencialumo prievolė.

d)

Jei pažeidžiamas asmens duomenų, kuriuos duomenų importuotojas tvarko pagal šias sąlygas, saugumas, duomenų importuotojas imasi tinkamų priemonių asmens duomenų saugumo pažeidimui pašalinti, įskaitant priemones galimam neigiamam jo poveikiui sumažinti.

e)

Jei dėl asmens duomenų saugumo pažeidimo gali kilti pavojus fizinių asmenų teisėms ir laisvėms, duomenų importuotojas nepagrįstai nedelsdamas apie tai praneša duomenų eksportuotojui ir kompetentingai priežiūros institucijai pagal 13 sąlygą. Tokiame pranešime turi būti pateikiamas i) pažeidimo pobūdžio aprašymas (įskaitant, jei įmanoma, atitinkamų duomenų subjektų ir asmens duomenų įrašų kategorijas ir apytikslį skaičių), ii) tikėtinos jo pasekmės, iii) priemonės, kurių imtasi arba siūloma imtis pažeidimui pašalinti, ir iv) kontaktinio asmens, kuris gali suteikti daugiau informacijos, duomenys. Jei duomenų importuotojas negali pateikti visos informacijos vienu metu, jis gali tai daryti etapais toliau nepagrįstai nedelsdamas.

f)

Asmens duomenų saugumo pažeidimo, dėl kurio gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, atveju duomenų importuotojas taip pat nepagrįstai nedelsdamas praneša atitinkamiems duomenų subjektams apie asmens duomenų saugumo pažeidimą ir jo pobūdį, prireikus bendradarbiaudamas su duomenų eksportuotoju, kartu pateikdamas e punkto ii–iv papunkčiuose nurodytą informaciją, nebent duomenų importuotojas įgyvendino priemones, kuriomis gerokai sumažinamas pavojus fizinių asmenų teisėms ar laisvėms, arba pranešimas pareikalautų neproporcingai daug pastangų. Pastaruoju atveju duomenų importuotojas vietoje to paskelbia viešą pranešimą arba imasi panašių priemonių, kad informuotų visuomenę apie asmens duomenų saugumo pažeidimą.

g)

Duomenų importuotojas dokumentais pagrindžia visas atitinkamas faktines aplinkybes, susijusias su asmens duomenų saugumo pažeidimu, įskaitant jo pasekmes ir visus taisomuosius veiksmus, kurių buvo imtasi, ir juos registruoja.

i)

perduoda į šalį, kuriai taikomas sprendimas dėl tinkamumo pagal Reglamento (ES) 2016/679 45 straipsnį, apimantis tolesnį duomenų perdavimą;

ii)

trečioji šalis kitais atžvilgiais užtikrina tinkamas apsaugos priemones pagal Reglamento (ES) 2016/679 46 arba 47 straipsnį atitinkamo tvarkymo atžvilgiu;

iii)

trečioji šalis su duomenų importuotoju sudaro privalomą dokumentą, kuriuo užtikrinamas toks pat duomenų apsaugos lygis, kaip pagal šias sąlygas, o duomenų importuotojas šių apsaugos priemonių kopiją pateikia duomenų eksportuotojui;

iv)

jis yra būtinas siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus vykstant konkrečiai administracinei ar reguliavimo procedūrai arba teismo procesui

v)

jis yra būtinas siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus, arba

vi)

jei netaikoma nė viena kita sąlyga, duomenų importuotojas yra gavęs aiškų duomenų subjekto sutikimą dėl tolesnio duomenų perdavimo konkrečiomis aplinkybėmis, prieš tai jį informavęs apie perdavimo tikslą (-us), gavėjo tapatybę ir galimus tokio perdavimo pavojus jam dėl tinkamų duomenų apsaugos priemonių nebuvimo. Tokiu atveju duomenų importuotojas informuoja duomenų eksportuotoją ir, pastarojo prašymu, jam perduoda duomenų subjektui pateiktos informacijos kopiją.

a)

Kiekviena šalis turi galėti įrodyti, kad vykdo savo prievoles pagal šias sąlygas. Visų pirma, duomenų importuotojas saugo atitinkamus vykdomos duomenų tvarkymo veiklos, už kurią jis atsako, dokumentus.

b)

Kompetentingos priežiūros institucijos prašymu, duomenų importuotojas jai pateikia tokius dokumentus.

a)

Duomenų importuotojas tvarko asmens duomenis tik pagal duomenų eksportuotojo dokumentais įformintus nurodymus. Duomenų eksportuotojas gali duoti tokius nurodymus per visą sutarties galiojimo laikotarpį.

b)

Duomenų importuotojas nedelsdamas informuoja duomenų eksportuotoją, jei dėl kokių nors priežasčių negali laikytis šių nurodymų.

a)

Duomenų importuotojas, o perduodant duomenis – ir duomenų eksportuotojas, įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų asmens duomenų saugumą, įskaitant apsaugą nuo saugumo pažeidimo, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami tokie duomenys arba prie jų be leidimo gaunama prieiga (toliau – asmens duomenų saugumo pažeidimas). Vertindamos tinkamą saugumo lygį, šalys tinkamai atsižvelgia į techninių galimybių pažangos lygį, įgyvendinimo sąnaudas, duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslą (-us), taip pat tvarkant duomenis duomenų subjektams kylančią riziką. Šalys visų pirma apsvarsto šifravimo arba pseudonimų suteikimo galimybę, įskaitant perduodant duomenis, jei tokiu būdu galima pasiekti duomenų tvarkymo tikslo. Pseudonimų suteikimo atveju papildomą informaciją, pagal kurią asmens duomenys priskiriami konkrečiam duomenų subjektui, jei įmanoma, kontroliuoja tik duomenų eksportuotojas. Vykdydamas prievoles pagal šią dalį, duomenų importuotojas bent jau įgyvendina II priede nurodytas technines ir organizacines priemones. Duomenų importuotojas atlieka reguliarius patikrinimus siekdamas užtikrinti, kad šios priemonės ir toliau užtikrintų tinkamą saugumo lygį.

b)

Duomenų importuotojas suteikia prieigą prie asmens duomenų savo darbuotojams tik tiek, kiek tai būtina sutarčiai įgyvendinti, valdyti ir stebėti. Jis užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama įstatais nustatyta konfidencialumo prievolė.

c)

Jei pažeidžiamas asmens duomenų, kuriuos duomenų importuotojas tvarko pagal šias sąlygas, saugumas, duomenų importuotojas imasi tinkamų priemonių pažeidimui pašalinti, įskaitant priemones neigiamam jo poveikiui sumažinti. Sužinojęs apie pažeidimą, duomenų importuotojas taip pat nepagrįstai nedelsdamas apie tai praneša duomenų eksportuotojui. Tokiame pranešime turi būti pateikiami kontaktinio asmens, kuris gali suteikti daugiau informacijos, duomenys, pažeidimo pobūdžio aprašymas (įskaitant, jei įmanoma, atitinkamų duomenų subjektų ir asmens duomenų įrašų kategorijas ir apytikslį skaičių), tikėtinos jo pasekmės ir priemonės, kurių imtasi arba siūloma imtis pažeidimui pašalinti, įskaitant, kai tinkama, priemones galimam neigiamam jo poveikiui sumažinti. Kai ir jei visos informacijos neįmanoma pateikti tuo pačiu metu, pradiniame pranešime pateikiama tuo metu turima informacija, o papildoma informacija, kai ji sužinoma, vėliau pateikiama nepagrįstai nedelsiant.

d)

Duomenų importuotojas bendradarbiauja su duomenų eksportuotoju ir jam padeda, kad duomenų eksportuotojas galėtų įvykdyti savo prievoles pagal Reglamentą (ES) 2016/679, visų pirma informuoti kompetentingą priežiūros instituciją ir susijusius duomenų subjektus, atsižvelgdamas į duomenų tvarkymo pobūdį ir duomenų importuotojo turimą informaciją.

i)

duomenys toliau perduodami į valstybę, kuriai taikomas sprendimas dėl tinkamumo pagal Reglamento (ES) 2016/679 45 straipsnį, apimantis tolesnį duomenų perdavimą;

ii)

trečioji šalis kitais atžvilgiais užtikrina tinkamas apsaugos priemones pagal Reglamento (ES) 2016/679 46 arba 47 straipsnį atitinkamo tvarkymo atžvilgiu;

iii)

tolesnis perdavimas yra būtinas siekiant pareikšti, vykdyti arba ginti teisinius reikalavimus vykstant konkrečiai administracinei ar reguliavimo procedūrai arba teismo procesui arba

iv)

tolesnis perdavimas yra būtinas siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus.

a)

Duomenų importuotojas nedelsdamas ir tinkamai atsako į duomenų eksportuotojo užklausas, susijusias su duomenų tvarkymu pagal šias sąlygas.

b)

Šalys turi galėti įrodyti, kad laikosi šių sąlygų. Visų pirma, duomenų importuotojas saugo atitinkamus duomenų tvarkymo veiklos, kurią vykdo duomenų eksportuotojo vardu, dokumentus.

c)

Duomenų importuotojas pateikia duomenų eksportuotojui visą informaciją, būtiną siekiant įrodyti, kad vykdomos šiose sąlygose nustatytos prievolės, ir, duomenų eksportuotojo prašymu, sudaro sąlygas bei padeda atlikti duomenų tvarkymo veiklos, kuriai taikomos šios sąlygos, auditą pagrįstais laiko tarpais arba jei nustatoma, kad nesilaikoma reikalavimų. Priimdamas sprendimą dėl peržiūros ar audito, duomenų eksportuotojas gali atsižvelgti į atitinkamus duomenų importuotojo turimus sertifikatus.

d)

Duomenų eksportuotojas gali pats atlikti auditą arba įgalioti nepriklausomą auditorių. Auditas gali apimti patikrinimus duomenų importuotojo patalpose ar fiziniuose objektuose ir, jei tinkama, turi būti atliekamas tinkamai apie jį pranešus.

e)

Kompetentingos priežiūros institucijos prašymu, šalys pateikia b ir c punktuose nurodytą informaciją, įskaitant bet kokio audito rezultatus.

a)

Duomenų eksportuotojas yra informavęs duomenų importuotoją, kad jis veikia kaip duomenų tvarkytojas pagal duomenų valdytojo (-ų) nurodymus, kuriuos duomenų eksportuotojas pateikia duomenų importuotojui prieš pradedant tvarkyti duomenis.

b)

Duomenų importuotojas tvarko asmens duomenis tik pagal duomenų valdytojo dokumentais įformintus nurodymus, kuriuos duomenų eksportuotojas perdavė duomenų importuotojui, ir bet kokius papildomus dokumentais įformintus duomenų eksportuotojo nurodymus. Tokie papildomi nurodymai neprieštarauja duomenų valdytojo nurodymams. Duomenų valdytojas arba duomenų eksportuotojas gali duoti papildomų dokumentais įformintų nurodymų dėl duomenų tvarkymo per visą sutarties galiojimo laikotarpį.

c)

Duomenų importuotojas nedelsdamas informuoja duomenų eksportuotoją, jei dėl kokių nors priežasčių negali laikytis šių nurodymų. Jei duomenų importuotojas negali laikytis duomenų valdytojo nurodymų, duomenų eksportuotojas nedelsdamas apie tai praneša duomenų valdytojui.

d)

Duomenų eksportuotojas garantuoja, kad duomenų importuotojui nustatė tokias pačias duomenų apsaugos prievoles, kokios nustatytos duomenų valdytojo ir duomenų eksportuotojo sutartyje arba kitame teisės akte pagal Sąjungos arba valstybės narės teisę (5).

a)

Duomenų importuotojas, o perduodant duomenis – ir duomenų eksportuotojas, įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų asmens duomenų saugumą, įskaitant apsaugą nuo saugumo pažeidimo, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami tokie duomenys arba prie jų be leidimo gaunama prieiga (toliau – asmens duomenų saugumo pažeidimas). Vertindami tinkamą saugumo lygį, jie tinkamai atsižvelgia į techninių galimybių pažangos lygį, įgyvendinimo sąnaudas, duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslą (-us), taip pat tvarkant duomenis duomenų subjektui kylančią riziką. Šalys visų pirma apsvarsto šifravimo arba pseudonimų suteikimo galimybę, įskaitant perduodant duomenis, jei tokiu būdu galima pasiekti duomenų tvarkymo tikslo. Pseudonimų suteikimo atveju papildomą informaciją, pagal kurią asmens duomenys priskiriami konkrečiam duomenų subjektui, jei įmanoma, kontroliuoja tik duomenų eksportuotojas arba duomenų valdytojas. Vykdydamas prievoles pagal šią dalį, duomenų importuotojas bent jau įgyvendina II priede nurodytas technines ir organizacines priemones. Duomenų importuotojas atlieka reguliarius patikrinimus siekdamas užtikrinti, kad šios priemonės ir toliau užtikrintų tinkamą saugumo lygį.

b)

Duomenų importuotojas suteikia prieigą prie duomenų savo darbuotojams tik tiek, kiek tai būtina sutarčiai įgyvendinti, valdyti ir stebėti. Jis užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama įstatais nustatyta konfidencialumo prievolė.

c)

Jei pažeidžiamas asmens duomenų, kuriuos duomenų importuotojas tvarko pagal šias sąlygas, saugumas, duomenų importuotojas imasi tinkamų priemonių pažeidimui pašalinti, įskaitant priemones neigiamam jo poveikiui sumažinti. Sužinojęs apie pažeidimą, duomenų importuotojas taip pat nepagrįstai nedelsdamas apie tai praneša duomenų eksportuotojui ir, jei tinkama ir įmanoma, duomenų valdytojui. Tokiame pranešime turi būti pateikiami kontaktinio asmens, kuris gali suteikti daugiau informacijos, duomenys, pažeidimo pobūdžio aprašymas (įskaitant, jei įmanoma, atitinkamų duomenų subjektų ir asmens duomenų įrašų kategorijas ir apytikslį skaičių), tikėtinos jo pasekmės ir priemonės, kurių imtasi arba siūloma imtis duomenų saugumo pažeidimui pašalinti, įskaitant priemones galimam neigiamam jo poveikiui sumažinti. Kai ir jei visos informacijos neįmanoma pateikti tuo pačiu metu, pradiniame pranešime pateikiama tuo metu turima informacija, o papildoma informacija, kai ji sužinoma, vėliau pateikiama nepagrįstai nedelsiant.

d)

Duomenų importuotojas bendradarbiauja su duomenų eksportuotoju ir jam padeda, kad duomenų eksportuotojas galėtų įvykdyti savo prievoles pagal Reglamentą (ES) 2016/679, visų pirma informuoti savo duomenų valdytoją, kad pastarasis savo ruožtu galėtų informuoti kompetentingą priežiūros instituciją ir susijusius duomenų subjektus, atsižvelgdamas į duomenų tvarkymo pobūdį ir duomenų importuotojo turimą informaciją.

i)

duomenys toliau perduodami į valstybę, kuriai taikomas sprendimas dėl tinkamumo pagal Reglamento (ES) 2016/679 45 straipsnį, apimantis tolesnį duomenų perdavimą;

ii)

trečioji šalis kitais atžvilgiais užtikrina tinkamas apsaugos priemones pagal Reglamento (ES) 2016/679 46 arba 47 straipsnį;

iii)

tolesnis perdavimas yra būtinas siekiant pareikšti, vykdyti arba ginti teisinius reikalavimus vykstant konkrečiai administracinei ar reguliavimo procedūrai arba teismo procesui arba

iv)

tolesnis perdavimas yra būtinas siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus.

a)

Duomenų importuotojas nedelsdamas ir tinkamai atsako į duomenų eksportuotojo arba duomenų valdytojo užklausas, susijusias su duomenų tvarkymu pagal šias sąlygas.

b)

Šalys turi galėti įrodyti, kad laikosi šių sąlygų. Visų pirma, duomenų importuotojas saugo atitinkamus duomenų tvarkymo veiklos, kurią vykdo duomenų valdytojo vardu, dokumentus.

c)

Duomenų importuotojas pateikia visą informaciją, būtiną siekiant įrodyti, kad vykdomos šiose sąlygose nustatytos prievolės, duomenų eksportuotojui, kuris ją pateikia duomenų valdytojui.

d)

Duomenų importuotojas sudaro sąlygas ir padeda duomenų eksportuotojui atlikti duomenų tvarkymo veiklos, kuriai taikomos šios sąlygos, auditą pagrįstais laiko tarpais arba jei nustatoma, kad nesilaikoma reikalavimų. Tas pats taikoma ir tuo atveju, kai duomenų eksportuotojas prašo atlikti auditą duomenų valdytojo nurodymu. Priimdamas sprendimą dėl audito, duomenų eksportuotojas gali atsižvelgti į atitinkamus duomenų importuotojo turimus sertifikatus.

e)

Kai auditas atliekamas duomenų valdytojo nurodymu, duomenų eksportuotojas rezultatus pateikia duomenų valdytojui.

f)

Duomenų eksportuotojas gali pats atlikti auditą arba įgalioti nepriklausomą auditorių. Auditas gali apimti patikrinimus duomenų importuotojo patalpose ar fiziniuose objektuose ir, jei tinkama, turi būti atliekamas tinkamai apie jį pranešus.

g)

Kompetentingos priežiūros institucijos prašymu, šalys pateikia b ir c punktuose nurodytą informaciją, įskaitant bet kokio audito rezultatus.

a)

Duomenų eksportuotojas tvarko asmens duomenis tik pagal dokumentais įformintus duomenų importuotojo, kuris veikia kaip duomenų valdytojas, nurodymus.

b)

Duomenų eksportuotojas nedelsdamas informuoja duomenų importuotoją, jei negali laikytis tų nurodymų, įskaitant atvejus, kai tokiais nurodymais pažeidžiamas Reglamentas (ES) 2016/679 arba kitas Sąjungos ar valstybės narės duomenų apsaugos teisės aktas.

c)

Duomenų importuotojas nesiima jokių veiksmų, kurie trukdytų duomenų eksportuotojui vykdyti savo prievoles pagal Reglamentą (ES) 2016/679, įskaitant pagalbinio duomenų tvarkytojo pasitelkimą arba bendradarbiavimą su kompetentingomis priežiūros institucijomis.

d)

Pasibaigus duomenų tvarkymo paslaugų teikimui, duomenų eksportuotojas duomenų importuotojo pasirinkimu ištrina visus duomenų importuotojo vardu tvarkomus asmens duomenis ir patvirtina duomenų importuotojui, kad tai padarė, arba grąžina duomenų importuotojui visus jo vardu tvarkomus asmens duomenis ir ištrina esamas kopijas.

a)

Šalys įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų asmens duomenų saugumą, įskaitant juos perduodant, ir apsaugą nuo saugumo pažeidimo, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami duomenys arba prie jų be leidimo gaunama prieiga (toliau – asmens duomenų saugumo pažeidimas). Vertindamos tinkamą saugumo lygį, jos tinkamai atsižvelgia į techninių galimybių pažangos lygį, įgyvendinimo sąnaudas, asmens duomenų pobūdį (7), duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslą (-us), taip pat tvarkant duomenis duomenų subjektams kylančią riziką, ir visų pirma apsvarsto šifravimo arba pseudonimų suteikimo galimybę, įskaitant perduodant duomenis, jei tokiu būdu galima pasiekti duomenų tvarkymo tikslo.

b)

Duomenų eksportuotojas padeda duomenų importuotojui užtikrinti tinkamą duomenų saugumą pagal a punktą. Jei pažeidžiamas asmens duomenų, kuriuos duomenų eksportuotojas tvarko pagal šias sąlygas, saugumas, duomenų eksportuotojas nepagrįstai nedelsdamas po to, kai apie tai sužino, praneša apie tai duomenų importuotojui ir padeda duomenų importuotojui pašalinti pažeidimą.

c)

Duomenų eksportuotojas užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama įstatais nustatyta konfidencialumo prievolė.

a)

Šalys turi galėti įrodyti, kad laikosi šių sąlygų.

b)

Duomenų eksportuotojas pateikia duomenų importuotojui visą informaciją, būtiną siekiant įrodyti, kad jis vykdo savo prievoles pagal šias sąlygas, ir sudaro sąlygas auditui bei padeda jį atlikti.

a)

1 VARIANTAS. KONKRETUS IŠANKSTINIS LEIDIMAS. Be išankstinio konkretaus duomenų eksportuotojo rašytinio leidimo duomenų importuotojas neperduoda jokios duomenų eksportuotojo vardu pagal šias sąlygas vykdomos duomenų tvarkymo veiklos pagalbiniam duomenų tvarkytojui. Duomenų importuotojas pateikia prašymą dėl konkretaus leidimo likus ne mažiau kaip [nurodyti laikotarpį] iki pagalbinio duomenų tvarkytojo pasitelkimo kartu su informacija, kuri būtina duomenų eksportuotojui, kad jis galėtų priimti sprendimą dėl leidimo. Duomenų eksportuotojo jau įgaliotų pagalbinių duomenų tvarkytojų sąrašas pateiktas III priede. Šalys nuolat atnaujina III priedą.

2 VARIANTAS. BENDRAS RAŠYTINIS LEIDIMAS. Duomenų importuotojas turi bendrą duomenų eksportuotojo leidimą pasitelkti pagalbinį (-ius) duomenų tvarkytoją (-us) iš suderinto sąrašo. Duomenų importuotojas konkrečiai raštu informuoja duomenų eksportuotoją apie bet kokius numatomus to sąrašo pakeitimus įtraukiant ar pakeičiant pagalbinius duomenų tvarkytojus ne mažiau kaip prieš [nurodyti laikotarpį], taip suteikdamas duomenų eksportuotojui pakankamai laiko, kad jis galėtų prieštarauti tokiems pakeitimams iki pagalbinio (-ių) duomenų tvarkytojo (-ų) pasitelkimo. Duomenų importuotojas pateikia duomenų eksportuotojui informaciją, būtiną tam, kad duomenų eksportuotojas galėtų pasinaudoti savo teise prieštarauti.

b)

Kai duomenų importuotojas pasitelkia pagalbinį duomenų tvarkytoją konkrečiai duomenų tvarkymo veiklai vykdyti (duomenų eksportuotojo vardu), jis tai daro sudarydamas rašytinę sutartį, kurioje iš esmės numatomos tokios pačios duomenų apsaugos prievolės, kurių duomenų importuotojui privaloma laikytis pagal šias sąlygas, įskaitant duomenų subjektų trečiosios šalies naudos gavėjos teises (8). Šalys susitaria, kad duomenų importuotojas, laikydamasis šios sąlygos, vykdo savo įsipareigojimus pagal 8.8 sąlygą. Duomenų importuotojas užtikrina, kad pagalbinis duomenų tvarkytojas laikytųsi įsipareigojimų, kurie duomenų importuotojui taikomi pagal šias sąlygas.

c)

Duomenų eksportuotojo prašymu, duomenų importuotojas pateikia duomenų eksportuotojui tokio susitarimo su pagalbiniu duomenų tvarkytoju ir visų vėlesnių jo pakeitimų kopiją. Tiek, kiek būtina verslo paslaptims ar kitai konfidencialiai informacijai, įskaitant asmens duomenis, apsaugoti, duomenų importuotojas gali kupiūruoti susitarimo tekstą prieš pateikdamas jo kopiją.

d)

Duomenų importuotojas lieka visiškai atsakingas duomenų eksportuotojui už pagalbinio duomenų tvarkytojo įsipareigojimų, nustatytų jo sutartyje su duomenų importuotoju, vykdymą. Duomenų importuotojas praneša duomenų eksportuotojui apie bet kokį pagalbinio duomenų tvarkytojo įsipareigojimų pagal tą sutartį nevykdymą.

e)

Duomenų importuotojas suderina su pagalbiniu duomenų tvarkytoju trečiosios šalies naudos gavėjos sąlygą, pagal kurią duomenų importuotojui faktiškai dingus, teisiškai nutraukus veiklą arba tapus nemokiu duomenų eksportuotojas turi teisę nutraukti sutartį su pagalbiniu duomenų tvarkytoju ir nurodyti pagalbiniam duomenų tvarkytojui ištrinti arba grąžinti asmens duomenis.

a)

1 VARIANTAS. KONKRETUS IŠANKSTINIS LEIDIMAS. Be išankstinio konkretaus duomenų valdytojo rašytinio leidimo duomenų importuotojas neperduoda jokios duomenų eksportuotojo vardu pagal šias sąlygas vykdomos duomenų tvarkymo veiklos pagalbiniam duomenų tvarkytojui. Duomenų importuotojas pateikia prašymą dėl konkretaus leidimo likus ne mažiau kaip [nurodyti laikotarpį] iki atitinkamo pagalbinio duomenų tvarkytojo pasitelkimo kartu su informacija, kuri būtina duomenų valdytojui, kad jis galėtų priimti sprendimą dėl leidimo. Apie tokį pasitelkimą jis informuoja duomenų eksportuotoją. Duomenų valdytojo jau įgaliotų pagalbinių duomenų tvarkytojų sąrašas pateiktas III priede. Šalys nuolat atnaujina III priedą.

2 VARIANTAS. BENDRAS RAŠYTINIS LEIDIMAS. Duomenų importuotojas turi bendrą duomenų valdytojo leidimą pasitelkti pagalbinį (-ius) duomenų tvarkytoją (-us) iš suderinto sąrašo. Duomenų importuotojas konkrečiai raštu informuoja duomenų valdytoją apie bet kokius numatomus to sąrašo pakeitimus įtraukiant ar pakeičiant pagalbinius duomenų tvarkytojus ne mažiau kaip prieš [nurodyti laikotarpį], taip suteikdamas duomenų valdytojui pakankamai laiko, kad jis galėtų prieštarauti tokiems pakeitimams iki pagalbinio (-ių) duomenų tvarkytojo (-ų) pasitelkimo. Duomenų importuotojas pateikia duomenų valdytojui informaciją, būtiną tam, kad duomenų valdytojas galėtų pasinaudoti savo teise prieštarauti. Duomenų importuotojas informuoja duomenų eksportuotoją apie pagalbinio (-ių) duomenų tvarkytojo (-ų) pasitelkimą.

b)

Kai duomenų importuotojas pasitelkia pagalbinį duomenų tvarkytoją konkrečiai duomenų tvarkymo veiklai vykdyti (duomenų valdytojo vardu), jis tai daro sudarydamas rašytinę sutartį, kurioje iš esmės numatomos tokios pačios duomenų apsaugos prievolės, kurių duomenų importuotojui privaloma laikytis pagal šias sąlygas, įskaitant duomenų subjektų trečiosios šalies naudos gavėjos teises (9). Šalys susitaria, kad duomenų importuotojas, laikydamasis šios sąlygos, vykdo savo įsipareigojimus pagal 8.8 sąlygą. Duomenų importuotojas užtikrina, kad pagalbinis duomenų tvarkytojas laikytųsi įsipareigojimų, kurie duomenų importuotojui taikomi pagal šias sąlygas.

c)

Duomenų eksportuotojo arba duomenų valdytojo prašymu, duomenų importuotojas pateikia tokio susitarimo su pagalbiniu duomenų tvarkytoju ir visų vėlesnių jo pakeitimų kopiją. Tiek, kiek būtina verslo paslaptims ar kitai konfidencialiai informacijai, įskaitant asmens duomenis, apsaugoti, duomenų importuotojas gali kupiūruoti susitarimo tekstą prieš pateikdamas jo kopiją.

d)

Duomenų importuotojas lieka visiškai atsakingas duomenų eksportuotojui už pagalbinio duomenų tvarkytojo įsipareigojimų, nustatytų jo sutartyje su duomenų importuotoju, vykdymą. Duomenų importuotojas praneša duomenų eksportuotojui apie bet kokį pagalbinio duomenų tvarkytojo įsipareigojimų pagal tą sutartį nevykdymą.

e)

Duomenų importuotojas suderina su pagalbiniu duomenų tvarkytoju trečiosios šalies naudos gavėjos sąlygą, pagal kurią duomenų importuotojui faktiškai dingus, teisiškai nutraukus veiklą arba tapus nemokiu duomenų eksportuotojas turi teisę nutraukti sutartį su pagalbiniu duomenų tvarkytoju ir nurodyti pagalbiniam duomenų tvarkytojui ištrinti arba grąžinti asmens duomenis.

a)

Duomenų importuotojas, prireikus padedamas duomenų eksportuotojo, nepagrįstai nedelsdamas ir ne vėliau kaip per vieną mėnesį nuo užklausos ar prašymo gavimo dienos (10) išnagrinėja visas iš duomenų subjekto gautas užklausas ir prašymus, susijusius su jo asmens duomenų tvarkymu ir naudojimusi jo teisėmis pagal šias sąlygas. Duomenų importuotojas imasi tinkamų priemonių, kad sudarytų palankesnes sąlygas teikti tokias užklausas, prašymus ir naudotis duomenų subjekto teisėmis. Bet kokia duomenų subjektui teikiama informacija pateikiama suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba.

b)

Visų pirma, duomenų subjekto prašymu, duomenų importuotojas nemokamai:

c)

Jei duomenų importuotojas asmens duomenis tvarko tiesioginės rinkodaros tikslais, jis nutraukia duomenų tvarkymą tokiais tikslais, jei duomenų subjektas tam prieštarauja.

d)

Duomenų importuotojas nepriima vien tik automatizuotu perduotų asmens duomenų tvarkymu pagrįsto sprendimo (toliau – automatizuotas sprendimas), dėl kurio duomenų subjektui kiltų teisinių pasekmių arba kuris jam darytų panašų didelį poveikį, nebent yra gautas aiškus duomenų subjekto sutikimas arba tai leidžiama daryti pagal paskirties valstybės teisės aktus, jei tokiuose teisės aktuose nustatytos tinkamos priemonės, kuriomis saugomos duomenų subjekto teisės ir teisėti interesai. Tokiu atveju duomenų importuotojas, prireikus bendradarbiaudamas su duomenų eksportuotoju:

e)

Jei duomenų subjekto prašymai yra neproporcingi, visų pirma dėl jų pasikartojančio turinio, duomenų importuotojas gali imti pagrįstą mokestį, atsižvelgdamas į prašymo įvykdymo administracines išlaidas, arba atsisakyti imtis veiksmų pagal prašymą.

f)

Duomenų importuotojas gali atsisakyti tenkinti duomenų subjekto prašymą, jei toks atsisakymas leidžiamas pagal paskirties valstybės teisės aktus ir yra būtinas bei proporcingas demokratinėje visuomenėje siekiant apsaugoti vieną iš Reglamento (ES) 2016/679 23 straipsnio 1 dalyje išvardytų tikslų.

g)

Jei duomenų importuotojas ketina atsisakyti patenkinti duomenų subjekto prašymą, jis informuoja duomenų subjektą apie atsisakymo priežastis ir galimybę pateikti skundą kompetentingai priežiūros institucijai ir (arba) pasinaudoti teisminėmis teisių gynimo priemonėmis.

a)

Duomenų importuotojas nedelsdamas praneša duomenų eksportuotojui apie bet kokį iš duomenų subjekto gautą prašymą. Jis pats į tokį prašymą neatsako, nebent duomenų eksportuotojas jam leido tai daryti.

b)

Duomenų importuotojas padeda duomenų eksportuotojui vykdyti jo prievoles atsakyti į duomenų subjektų prašymus pasinaudoti savo teisėmis pagal Reglamentą (ES) 2016/679. Šiuo atžvilgiu šalys II priede, atsižvelgdamos į duomenų tvarkymo pobūdį, nustato atitinkamas technines ir organizacines priemones, kuriomis teikiama pagalba, taip pat reikiamos pagalbos apimtį ir mastą.

c)

Duomenų importuotojas, vykdydamas a ir b punktuose nustatytas prievoles, laikosi duomenų eksportuotojo nurodymų.

a)

Duomenų importuotojas nedelsdamas praneša duomenų eksportuotojui ir, kai tinkama, duomenų valdytojui apie bet kokį iš duomenų subjekto gautą prašymą, pats į tokį prašymą neatsakydamas, nebent duomenų valdytojas jam leido tai daryti.

b)

Duomenų importuotojas, kai tinkama bendradarbiaudamas su duomenų eksportuotoju, padeda duomenų valdytojui vykdyti jo prievoles atsakyti į duomenų subjektų prašymus pasinaudoti savo teisėmis pagal Reglamentą (ES) 2016/679 arba Reglamentą (ES) 2018/1725. Šiuo atžvilgiu šalys II priede, atsižvelgdamos į duomenų tvarkymo pobūdį, nustato atitinkamas technines ir organizacines priemones, kuriomis teikiama pagalba, taip pat reikiamos pagalbos apimtį ir mastą.

c)

Duomenų importuotojas, vykdydamas a ir b punktuose nustatytas prievoles, laikosi duomenų valdytojo nurodymų, kuriuos jam perdavė duomenų eksportuotojas.

a)

Duomenų importuotojas skaidriai ir lengvai prieinamu formatu atskiru pranešimu arba savo svetainėje informuoja duomenų subjektus apie kontaktinį asmenį, įgaliotą nagrinėti skundus. Jis nedelsdamas nagrinėja visus iš duomenų subjekto gautus skundus.

[VARIANTAS: Duomenų importuotojas sutinka, kad duomenų subjektai taip pat gali nemokamai pateikti skundą nepriklausomai ginčų sprendimo institucijai (11). Jis a punkte nurodytu būdu informuoja duomenų subjektus apie tokį teisių gynimo mechanizmą ir apie tai, kad jie neprivalo juo naudotis ar laikytis tam tikros sekos, kai siekia ginti savo teises].

b)

Kilus duomenų subjekto ir vienos iš šalių ginčui dėl šių sąlygų laikymosi, ta šalis deda visas pastangas, kad klausimas būtų taikiai išspręstas laiku. Šalys informuoja viena kitą apie tokius ginčus ir, prireikus, bendradarbiauja juos sprendžiant.

c)

Kai duomenų subjektas remiasi trečiosios šalies naudos gavėjos teise pagal 3 sąlygą, duomenų importuotojas sutinka su duomenų subjekto sprendimu:

d)

Šalys sutinka, kad duomenų subjektui gali atstovauti ne pelno įstaiga, organizacija ar asociacija Reglamento (ES) 2016/679 80 straipsnio 1 dalyje nustatytomis sąlygomis.

e)

Duomenų importuotojas laikosi sprendimo, kuris yra privalomas pagal taikytiną ES arba valstybės narės teisę.

f)

Duomenų importuotojas sutinka, kad duomenų subjekto pasirinkimas neturės poveikio jo materialinėms ir procesinėms teisėms siekti teisių gynimo pagal taikytinus teisės aktus.

a)

Kiekviena šalis yra atsakinga kitai šaliai (-ims) už bet kokią žalą, kurią ji padaro kitai šaliai (-ims) dėl bet kokio šių sąlygų pažeidimo.

b)

Kiekviena šalis yra atsakinga duomenų subjektui, o duomenų subjektas turi teisę gauti bet kokios turtinės ar neturtinės žalos, kurią šalis padaro duomenų subjektui pažeisdama trečiosios šalies naudos gavėjos teises pagal šias sąlygas, kompensaciją. Tai nedaro poveikio duomenų eksportuotojo atsakomybei pagal Reglamentą (ES) 2016/679.

c)

Jei už žalą, padarytą duomenų subjektui dėl šių sąlygų pažeidimo, atsako daugiau nei viena šalis, visos atsakingos šalys atsako solidariai, o duomenų subjektas turi teisę pareikšti ieškinį teisme bet kuriai iš šių šalių.

d)

Šalys susitaria, kad, jei viena šalis laikoma atsakinga pagal c punktą, ji turi teisę reikalauti, kad kita (-os) šalis (-ys) grąžintų kompensacijos dalį, atitinkančią jos (jų) atsakomybę už žalą.

e)

Duomenų importuotojas negali remtis duomenų tvarkytojo ar pagalbinio duomenų tvarkytojo elgesiu, kad išvengtų atsakomybės.

a)

Kiekviena šalis yra atsakinga kitai šaliai (-ims) už bet kokią žalą, kurią ji padaro kitai šaliai (-ims) dėl bet kokio šių sąlygų pažeidimo.

b)

Duomenų importuotojas yra atsakingas duomenų subjektui, o duomenų subjektas turi teisę gauti bet kokios turtinės ar neturtinės žalos, kurią duomenų importuotojas arba jo pagalbinis duomenų tvarkytojas padaro duomenų subjektui pažeisdamas trečiosios šalies naudos gavėjos teises pagal šias sąlygas, kompensaciją.

c)

Nepaisant b punkto, duomenų eksportuotojas yra atsakingas duomenų subjektui, o duomenų subjektas turi teisę gauti bet kokios turtinės ar neturtinės žalos, kurią duomenų eksportuotojas arba duomenų importuotojas (ar jo pagalbinis duomenų tvarkytojas) padaro duomenų subjektui pažeisdamas trečiosios šalies naudos gavėjos teises pagal šias sąlygas, kompensaciją. Tai nedaro poveikio duomenų eksportuotojo atsakomybei ir, kai duomenų eksportuotojas yra duomenų tvarkytojas, veikiantis duomenų valdytojo vardu, duomenų valdytojo atsakomybei pagal Reglamentą (ES) 2016/679 arba Reglamentą (ES) 2018/1725.

d)

Šalys susitaria, kad, jei duomenų eksportuotojas laikomas atsakingu pagal c punktą už duomenų importuotojo (arba jo pagalbinio duomenų tvarkytojo) padarytą žalą, jis turi teisę reikalauti, kad duomenų importuotojas grąžintų kompensacijos dalį, atitinkančią duomenų importuotojo atsakomybę už žalą.

e)

Jei už žalą, padarytą duomenų subjektui dėl šių sąlygų pažeidimo, atsako daugiau nei viena šalis, visos atsakingos šalys atsako solidariai, o duomenų subjektas turi teisę pareikšti ieškinį teisme bet kuriai iš šių šalių.

f)

Šalys susitaria, kad, jei viena šalis laikoma atsakinga pagal e punktą, ji turi teisę reikalauti, kad kita (-os) šalis (-ys) grąžintų kompensacijos dalį, atitinkančią jos (jų) atsakomybę už žalą.

g)

Duomenų importuotojas negali remtis pagalbinio duomenų tvarkytojo elgesiu, kad išvengtų atsakomybės.

a)

[Kai duomenų eksportuotojas yra įsisteigęs ES valstybėje narėje:] Priežiūros institucija, turinti užtikrinti, kad duomenų eksportuotojas laikytųsi Reglamento (ES) 2016/679 reikalavimų, taikomų duomenų perdavimui, nurodyta I priedo C skyriuje, yra kompetentinga priežiūros institucija.

[Jei duomenų eksportuotojas nėra įsisteigęs ES valstybėje narėje, tačiau patenka į Reglamento (ES) 2016/679 teritorinę taikymo sritį pagal jo 3 straipsnio 2 dalį ir yra paskyręs atstovą pagal Reglamento (ES) 2016/679 27 straipsnio 1 dalį:] Valstybės narės, kurioje įsisteigęs atstovas pagal Reglamento (ES) 2016/679 27 straipsnio 1 dalį, priežiūros institucija, nurodyta I priedo C skyriuje, yra kompetentinga priežiūros institucija.

[Jei duomenų eksportuotojas nėra įsisteigęs ES valstybėje narėje, tačiau patenka į Reglamento (ES) 2016/679 teritorinę taikymo sritį pagal jo 3 straipsnio 2 dalį, bet neprivalo paskirti atstovo pagal Reglamento (ES) 2016/679 27 straipsnio 2 dalį:] Vienos iš valstybių narių, kurioje yra duomenų subjektai, kurių asmens duomenys perduodami pagal šias sąlygas jiems siūlant prekes ar paslaugas arba kurių elgesys yra stebimas, priežiūros institucija, nurodyta I priedo C skyriuje, yra kompetentinga priežiūros institucija.

b)

Duomenų importuotojas sutinka pripažinti kompetentingos priežiūros institucijos jurisdikciją ir bendradarbiauti su ja atliekant bet kokias procedūras, kuriomis siekiama užtikrinti šių sąlygų laikymąsi. Visų pirma, duomenų importuotojas sutinka atsakyti į užklausas, leisti atlikti auditą ir laikytis priežiūros institucijos priimtų priemonių, įskaitant taisomąsias ir kompensacines priemones. Jis pateikia priežiūros institucijai rašytinį patvirtinimą, kad buvo imtasi būtinų veiksmų.

a)

Šalys garantuoja, kad neturi pagrindo manyti, jog paskirties trečiosios valstybės įstatymai ir praktika, taikomi duomenų importuotojo atliekamam asmens duomenų tvarkymui, įskaitant bet kokius reikalavimus atskleisti asmens duomenis arba priemones, kuriomis valdžios institucijoms suteikiama prieiga, trukdo duomenų importuotojui vykdyti jo prievoles pagal šias sąlygas. Tai grindžiama nuostata, kad teisės aktai ir praktika, kuriais paisoma pagrindinių teisių ir laisvių esmės ir kuriais neviršijama tai, kas būtina ir proporcinga demokratinėje visuomenėje siekiant apsaugoti vieną iš Reglamento (ES) 2016/679 23 straipsnio 1 dalyje išvardytų tikslų, neprieštarauja standartinėms sutarčių sąlygoms.

b)

Šalys pareiškia, kad, teikdamos a punkte nurodytą garantiją, jos tinkamai atsižvelgė visų pirma į šią informaciją:

c)

Duomenų importuotojas garantuoja, kad, atlikdamas vertinimą pagal b punktą, jis dėjo visas pastangas, kad duomenų eksportuotojui pateiktų atitinkamą informaciją, ir sutinka toliau bendradarbiauti su duomenų eksportuotoju, kad būtų užtikrintas šių sąlygų laikymasis.

d)

Šalys susitaria dokumentais įforminti vertinimą pagal b punktą ir, kompetentingos priežiūros institucijos prašymu, jai juos pateikti.

e)

Duomenų importuotojas sutinka nedelsdamas informuoti duomenų eksportuotoją, jei po to, kai susitarė dėl šių sąlygų, ir sutarties galiojimo laikotarpiu turi pagrindo manyti, kad jam taikomi arba pradėti taikyti teisės aktai ar praktika, kurie neatitinka a punkto reikalavimų, įskaitant pasikeitus trečiosios valstybės teisės aktams ar priemonei (pavyzdžiui, prašymą atskleisti informaciją), iš kurių matyti, kad tokie teisės aktai praktikoje taikomi nesilaikant a punkto reikalavimų. [Trečias modulis. Duomenų eksportuotojas persiunčia pranešimą duomenų valdytojui.]

f)

Gavęs pranešimą pagal e punktą arba jei duomenų eksportuotojas turi pagrindo manyti, kad duomenų importuotojas nebegali vykdyti savo prievolių pagal šias sąlygas, duomenų eksportuotojas nedelsdamas nustato tinkamas priemones (pvz., technines ar organizacines priemones saugumui ir konfidencialumui užtikrinti), kurias duomenų eksportuotojas ir (arba) duomenų importuotojas turi priimti susidariusiomis aplinkybėmis [trečias modulis –, prireikus konsultuojantis su duomenų valdytoju]. Duomenų eksportuotojas sustabdo duomenų perdavimą, jei mano, kad negalima užtikrinti tinkamų tokio perdavimo apsaugos priemonių, arba jei [trečias modulis – duomenų valdytojas arba] kompetentinga priežiūros institucija jam nurodė tai padaryti. Tokiu atveju duomenų eksportuotojas turi teisę nutraukti sutartį, kiek ji susijusi su asmens duomenų tvarkymu pagal šias sąlygas. Jei sutartį yra sudariusios daugiau nei dvi šalys, duomenų eksportuotojas gali pasinaudoti šia teise nutraukti sutartį tik atitinkamos šalies atžvilgiu, nebent šalys susitarė kitaip. Kai sutartis nutraukiama pagal šią sąlygą, taikomi 16 sąlygos d ir e punktai.

a)

Duomenų importuotojas sutinka nedelsdamas informuoti duomenų eksportuotoją ir, jei įmanoma, duomenų subjektą (jei reikia, padedant duomenų eksportuotojui), jei:

[Trečias modulis. Duomenų eksportuotojas persiunčia pranešimą duomenų valdytojui.]

b)

Jei pagal paskirties valstybės teisės aktus duomenų importuotojui draudžiama informuoti duomenų eksportuotoją ir (arba) duomenų subjektą, duomenų importuotojas sutinka dėti visas pastangas, kad būtų atleistas nuo šio draudimo ir galėtų kuo greičiau pateikti kuo daugiau informacijos. Duomenų importuotojas sutinka dokumentais įforminti savo pastangas, kad galėtų jas įrodyti duomenų eksportuotojo prašymu.

c)

Jei tai leidžiama pagal paskirties valstybės teisės aktus, duomenų importuotojas sutinka sutarties galiojimo laikotarpiu reguliariai teikti duomenų eksportuotojui kuo daugiau svarbios informacijos apie gautus prašymus (visų pirma prašymų skaičių, prašomų duomenų rūšį, prašymą teikiančią (-ias) instituciją (-as), ar prašymai buvo užginčyti ir tokio užginčijimo rezultatus ir pan.). [Trečias modulis. Duomenų eksportuotojas persiunčia informaciją duomenų valdytojui.]

d)

Duomenų importuotojas sutinka saugoti a–c punktuose nurodytą informaciją visą sutarties galiojimo laikotarpį ir, gavęs prašymą, pateikti ją kompetentingai priežiūros institucijai.

e)

a–c punktai nedaro poveikio duomenų importuotojo prievolei pagal 14 sąlygos e punktą ir 16 sąlygą nedelsiant informuoti duomenų eksportuotoją, jei jis negali laikytis šių sąlygų.

a)

Duomenų importuotojas sutinka peržiūrėti prašymo atskleisti informaciją teisėtumą, visų pirma, ar juo neviršijami prašymą pateikusiai valdžios institucijai suteikti įgaliojimai, ir užginčyti prašymą, jei atlikęs išsamų vertinimą prieina prie išvados, kad yra pagrindo manyti, jog prašymas yra neteisėtas pagal paskirties valstybės teisės aktus, taikytinus tarptautinės teisės įsipareigojimus ir tarptautinio mandagumo principus. Duomenų importuotojas tokiomis pačiomis sąlygomis naudojasi galimybėmis apskųsti prašymą. Užginčydamas prašymą, duomenų importuotojas prašo taikyti laikinąsias priemones, kad būtų sustabdytas prašymo poveikis, kol kompetentinga teisminė institucija priims sprendimą dėl jo pagrįstumo. Jis neatskleidžia prašomų asmens duomenų tol, kol to nereikalaujama pagal galiojančias procedūrines taisykles. Šie reikalavimai neturi poveikio duomenų importuotojo prievolėms pagal 14 sąlygos e punktą.

b)

Duomenų importuotojas sutinka dokumentais įforminti savo teisinį vertinimą ir bet kokį prašymo atskleisti informaciją užginčijimą ir, kiek tai leidžiama pagal paskirties valstybės teisės aktus, pateikti dokumentus duomenų eksportuotojui. Kompetentingos priežiūros institucijos prašymu, jis juos pateikia ir jai. [Trečias modulis. Duomenų eksportuotojas pateikia vertinimą duomenų valdytojui.]

c)

Duomenų importuotojas, atsakydamas į prašymą atskleisti informaciją, sutinka pateikti mažiausią leistiną informacijos kiekį, remiantis pagrįstu prašymo aiškinimu.

a)

Duomenų importuotojas nedelsdamas informuoja duomenų eksportuotoją, jei dėl kokių nors priežasčių negali laikytis šių sąlygų.

b)

Jei duomenų importuotojas pažeidžia šias sąlygas arba negali laikytis šių sąlygų, duomenų eksportuotojas laikinai sustabdo asmens duomenų perdavimą duomenų importuotojui, kol vėl bus užtikrintas jų laikymasis arba bus nutraukta sutartis. Tai nedaro poveikio 14 sąlygos f punktui.

c)

Duomenų eksportuotojas turi teisę nutraukti sutartį tiek, kiek ji susijusi su asmens duomenų tvarkymu pagal šias sąlygas, jei:

Tokiais atvejais jis informuoja kompetentingą priežiūros instituciją [trečias modulis – ir duomenų valdytoją] apie tokį nesilaikymą. Jei sutartį yra sudariusios daugiau nei dvi šalys, duomenų eksportuotojas gali pasinaudoti šia teise nutraukti sutartį tik atitinkamos šalies atžvilgiu, nebent šalys susitarė kitaip.

d)

[Pirmas, antras ir trečias modulis. Asmens duomenys, kurie buvo perduoti iki sutarties nutraukimo pagal c punktą, duomenų eksportuotojo pasirinkimu nedelsiant grąžinami duomenų eksportuotojui arba visiškai ištrinami. Tas pats taikoma ir visoms duomenų kopijoms.] [Ketvirtas modulis. Duomenų eksportuotojo ES surinkti asmens duomenys, kurie buvo perduoti iki sutarties nutraukimo pagal c punktą, nedelsiant visiškai ištrinami, įskaitant visas jų kopijas.] Duomenų importuotojas patvirtina duomenų eksportuotojui, kad duomenys ištrinti. Kol duomenys neištrinami ar negrąžinami, duomenų importuotojas ir toliau užtikrina, kad būtų laikomasi šių sąlygų. Tuo atveju, jei pagal duomenų importuotojui taikomus vietos teisės aktus draudžiama grąžinti arba ištrinti perduotus asmens duomenis, duomenų importuotojas garantuoja, kad jis ir toliau užtikrins šių sąlygų laikymąsi ir tvarkys duomenis tik tokia apimtimi ir tiek laiko, kiek to reikia pagal tokią vietos teisę.

e)

Bet kuri šalis gali atšaukti savo sutikimą laikytis šių sąlygų, jei i) Europos Komisija pagal Reglamento (ES) 2016/679 45 straipsnio 3 dalį priima sprendimą, apimantį asmens duomenų perdavimą, kuriam taikomos šios sąlygos, arba ii) Reglamentas (ES) 2016/679 tampa valstybės, į kurią perduodami asmens duomenys, teisinės sistemos dalimi. Tai nedaro poveikio kitoms prievolėms, kurios taikomos atitinkamam duomenų tvarkymui pagal Reglamentą (ES) 2016/679.

a)

Bet koks ginčas, kylantis dėl šių sąlygų, sprendžiamas ES valstybės narės teismuose.

b)

Šalys susitaria, kad tai yra _____ (nurodyti valstybę narę) teismai.

c)

Duomenų subjektas taip pat gali pradėti teismo procesą prieš duomenų eksportuotoją ir (arba) duomenų importuotoją valstybės narės, kurioje yra jo nuolatinė gyvenamoji vieta, teismuose.

d)

Šalys susitaria pripažinti tokių teismų jurisdikciją.

Bet koks ginčas, kylantis dėl šių sąlygų, sprendžiamas _____ (nurodyti valstybę) teismuose.

1.

Adresas: …

Kontaktinio asmens vardas ir pavardė, pareigos ir kontaktiniai duomenys: …

Veikla, susijusi su duomenų perdavimu pagal šias sąlygas: …

Parašas ir data: …

Funkcija (duomenų valdytojas/duomenų tvarkytojas) …

2.

1.

Adresas: …

Kontaktinio asmens vardas ir pavardė, pareigos ir kontaktiniai duomenys: …

Veikla, susijusi su duomenų perdavimu pagal šias sąlygas: …

Parašas ir data: …

Funkcija (duomenų valdytojas/duomenų tvarkytojas) …

2.

1.

Adresas: …

Kontaktinio asmens vardas ir pavardė, pareigos ir kontaktiniai duomenys: …

Tvarkymo aprašymas (įskaitant aiškų atsakomybės atskyrimą, jei leidimas suteiktas keliems pagalbiniams duomenų tvarkytojams): …

2.