ISSN 1977-0715
Eiropas Savienības
Oficiālais Vēstnesis
L 199
Izdevums latviešu valodā
Tiesību akti
64. gadagājums
2021. gada 7. jūnijs
|
ISSN 1977-0715 |
||
|
Eiropas Savienības Oficiālais Vēstnesis |
L 199 |
|
|
|
||
|
Izdevums latviešu valodā |
Tiesību akti |
64. gadagājums |
|
|
|
|
|
(1) Dokuments attiecas uz EEZ. |
|
LV |
Tiesību akti, kuru virsraksti ir gaišajā drukā, attiecas uz kārtējiem jautājumiem lauksaimniecības jomā un parasti ir spēkā tikai ierobežotu laika posmu. Visu citu tiesību aktu virsraksti ir tumšajā drukā, un pirms tiem ir zvaigznīte. |
II Neleģislatīvi akti
REGULAS
|
7.6.2021 |
LV |
Eiropas Savienības Oficiālais Vēstnesis |
L 199/1 |
KOMISIJAS ĪSTENOŠANAS REGULA (ES) 2021/909
(2021. gada 31. maijs)
par atsevišķu preču klasifikāciju kombinētajā nomenklatūrā
EIROPAS KOMISIJA,
ņemot vērā Līgumu par Eiropas Savienības darbību,
ņemot vērā Eiropas Parlamenta un Padomes Regulu (ES) Nr. 952/2013 (2013. gada 9. oktobris), ar ko izveido Savienības Muitas kodeksu (1), un jo īpaši tās 57. panta 4. punktu un 58. panta 2. punktu,
tā kā:
|
(1) |
Lai nodrošinātu Padomes Regulai (EEK) Nr. 2658/87 (2) pievienotās kombinētās nomenklatūras vienveidīgu piemērošanu, nepieciešams pieņemt noteikumus par šīs regulas pielikumā minēto preču klasifikāciju. |
|
(2) |
Regulā (EEK) Nr. 2658/87 ir izklāstīti vispārīgie kombinētās nomenklatūras interpretācijas noteikumi. Minētie noteikumi attiecas arī uz jebkuru citu nomenklatūru, kas pilnīgi vai daļēji balstās uz KN vai pievieno tai papildu apakšnodaļas un ir izveidota ar īpašiem Savienības noteikumiem, lai piemērotu tarifu un citus pasākumus, kas saistīti ar preču tirdzniecību. |
|
(3) |
Šīs regulas pielikuma tabulas 1. ailē aprakstītās preces saskaņā ar minētajiem vispārīgajiem noteikumiem būtu jāklasificē ar minētās tabulas 2. ailē norādīto KN kodu atbilstīgi 3. ailē noteiktajam pamatojumam. |
|
(4) |
Ir lietderīgi noteikt, ka saistošo izziņu par tarifu, kas izdota attiecībā uz precēm, uz kurām attiecas šī regula, bet kas neatbilst šīs regulas noteikumiem, izziņas turētājs var turpināt izmantot noteiktu laikposmu saskaņā ar Regulas (ES) Nr. 952/2013 34. panta 9. punktu. Būtu jānosaka, ka minētais laikposms ir trīs mēneši. |
|
(5) |
Šajā regulā paredzētie pasākumi ir saskaņā ar Muitas kodeksa komitejas atzinumu, |
IR PIEŅĒMUSI ŠO REGULU.
1. pants
Pielikuma tabulas 1. ailē aprakstītās preces kombinētajā nomenklatūrā klasificē ar tabulas 2. ailē norādīto KN kodu.
2. pants
Saistošo izziņu par tarifu, kas neatbilst šīs regulas noteikumiem, saskaņā ar Regulas (ES) Nr. 952/2013 34. panta 9. punktu var turpināt izmantot trīs mēnešus no šīs regulas spēkā stāšanās dienas.
3. pants
Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.
Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.
Briselē, 2021. gada 31. maijā
Komisijas
un tās priekšsēdētājas vārdā –
Nodokļu politikas un muitas savienības ģenerāldirektorāta
ģenerāldirektors
Gerassimos THOMAS
(1) OV L 269, 10.10.2013., 1. lpp.
(2) Padomes Regula (EEK) Nr. 2658/87 (1987. gada 23. jūlijs) par tarifu un statistikas nomenklatūru un kopējo muitas tarifu (OV L 256, 7.9.1987., 1. lpp.).
PIELIKUMS
|
Preču apraksts |
Klasifikācija (KN kods) |
Pamatojums |
|
(1) |
(2) |
(3) |
|
Elastīgs izstrādājums (tā dēvētā “peldēšanas nūdele”), kas izgatavots no porainas plastmasas (putuplasta), doba cilindra formā, aptuveni 1 m garš, ar aptuveni 8 cm diametru. Izstrādājums peld pa ūdens virsu un ir paredzēts izmantošanai par peldētmācīšanās palīglīdzekli, un atbilst peldētmācīšanās palīglīdzekļu Eiropas standartam (EN 13138-2:2014). Izstrādājums ir arī amortizējošs un siltumizolējošs. Sk. attēlus (*1). |
3926 90 97 |
Klasifikācija noteikta, ievērojot kombinētās nomenklatūras 1. un 6. vispārīgo interpretācijas noteikumu un KN kodu 3926 , 3926 90 un 3926 90 97 formulējumu. Klasificēšana pozīcijā 9506 pie vingrošanas, vieglatlētikas, smagatlētikas, citu sporta veidu, brīvā dabā spēlējamo spēļu rīkiem un inventāra nav iespējama, jo vienkāršās un parastās formas dēļ izstrādājumu nevar identificēt par pozīcijas 9506 rīku, kas paredzēts vingrošanai vai sportam, lai gan peldspējas dēļ izstrādājums atbilst peldētmācīšanās palīglīdzekļu Eiropas standartam. Turklāt vienkāršās formas un parastā materiāla dēļ izstrādājumu varētu izmantot dažādiem mērķiem (piemēram, par amortizējošu aizsarglīdzekli, ko aptin ap stabiem, siltumizolācijas izstrādājumu, ko aptin ap caurulēm, izstrādājumu bērnu izklaidei). Nav iespējama arī klasificēšana pozīcijā 9503 pie citādām rotaļlietām, jo izstrādājumu nevar skaidri identificēt par priekšmetu bērnu vai pieaugušo izklaidei, ņemot vērā tā dizainu. Tādējādi izstrādājums ir klasificējams atbilstīgi materiālam, no kā tas sastāv (plastmasai). Tāpēc izstrādājums ir klasificējams ar KN kodu 3926 90 97 pie citādiem plastmasas izstrādājumiem. |
(*1) Attēli pievienoti tikai informācijai.
|
7.6.2021 |
LV |
Eiropas Savienības Oficiālais Vēstnesis |
L 199/4 |
KOMISIJAS ĪSTENOŠANAS REGULA (ES) 2021/910
(2021. gada 31. maijs)
par atsevišķu preču klasifikāciju kombinētajā nomenklatūrā
EIROPAS KOMISIJA,
ņemot vērā Līgumu par Eiropas Savienības darbību,
ņemot vērā Eiropas Parlamenta un Padomes Regulu (ES) Nr. 952/2013 (2013. gada 9. oktobris), ar ko izveido Savienības Muitas kodeksu (1), un jo īpaši tās 57. panta 4. punktu un 58. panta 2. punktu,
tā kā:
|
(1) |
Lai nodrošinātu Padomes Regulai (EEK) Nr. 2658/87 (2) pievienotās kombinētās nomenklatūras vienveidīgu piemērošanu, ir jāpieņem noteikumi par šīs regulas pielikumā minēto preču klasifikāciju. |
|
(2) |
Regulā (EEK) Nr. 2658/87 ir izklāstīti vispārīgie kombinētās nomenklatūras interpretācijas noteikumi. Minētie noteikumi attiecas arī uz jebkuru citu nomenklatūru, kura pilnīgi vai daļēji pamatojas uz KN vai pievieno tai papildu apakšnodaļas un ir izveidota ar īpašiem Savienības noteikumiem, lai piemērotu tarifu un citus pasākumus, kas saistīti ar preču tirdzniecību. |
|
(3) |
Šīs regulas pielikuma tabulas 1. ailē aprakstītās preces saskaņā ar minētajiem vispārīgajiem noteikumiem būtu jāklasificē ar minētās tabulas 2. ailē norādīto KN kodu atbilstīgi 3. ailē noteiktajam pamatojumam. |
|
(4) |
Ir lietderīgi noteikt, ka saistošo izziņu par tarifu, kas izdota attiecībā uz precēm, uz kurām attiecas šī regula, bet kas neatbilst šīs regulas noteikumiem, izziņas turētājs var turpināt izmantot noteiktu laikposmu saskaņā ar Regulas (ES) Nr. 952/2013 34. panta 9. punktu. Būtu jānosaka, ka minētais laikposms ir trīs mēneši. |
|
(5) |
Šajā regulā paredzētie pasākumi ir saskaņā ar Muitas kodeksa komitejas atzinumu, |
IR PIEŅĒMUSI ŠO REGULU.
1. pants
Pielikuma tabulas 1. ailē aprakstītās preces kombinētajā nomenklatūrā klasificē ar tabulas 2. ailē norādīto KN kodu.
2. pants
Saistošo izziņu par tarifu, kas neatbilst šīs regulas noteikumiem, saskaņā ar Regulas (ES) Nr. 952/2013 34. panta 9. punktu var turpināt izmantot trīs mēnešus no šīs regulas spēkā stāšanās dienas.
3. pants
Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.
Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.
Briselē, 2021. gada 31. maijā
Komisijas
un tās priekšsēdētājas vārdā –
Nodokļu politikas un muitas savienības ģenerāldirektorāta
ģenerāldirektors
Gerassimos THOMAS
(1) OV L 269, 10.10.2013., 1. lpp.
(2) Padomes Regula (EEK) Nr. 2658/87 (1987. gada 23. jūlijs) par tarifu un statistikas nomenklatūru un kopējo muitas tarifu (OV L 256, 7.9.1987., 1. lpp.).
PIELIKUMS
|
Preču apraksts |
Klasifikācija (KN kods) |
Pamatojums |
|
(1) |
(2) |
(3) |
|
Metālkeramikas stieņi ar vienmērīgu apaļu šķērsgriezumu. Dažādu garumu un diametru izstrādājumi, kas var būt pilni vai perforēti un ar dzesēšanas kanāliem, un kam ir plakani gali. Daži izstrādājumi var būt arī ar nošķēlumu. Izstrādājumi ir no metālkeramikas, proti, no cietkausējuma metāla karbīda uz volframa karbīda bāzes un ar kobaltu kā saistvielu. Ņemot vērā zemo apstrādes pakāpi, vienkāršu formu, izstrādājumiem ir plašs pielietojums, piemēram, tos var izmantot kā stiprinājuma elementus. Pēc tālākas apstrādes tos var izmantot priekš instrumentiem un par instrumentiem. |
8113 00 90 |
Klasifikācija noteikta, ievērojot kombinētās nomenklatūras 1. un 6. vispārīgo interpretācijas noteikumu, XV sadaļas 4. piezīmi un KN kodu 8113 00 un 8113 00 90 formulējumu. Klasificēšana ar KN kodu 8209 00 80 pie metālkeramikas stienīšiem un tamlīdzīgiem instrumentiem, kas ir atsevišķi, nav iespējama, jo izstrādājumus var izmantot priekš instrumentiem un par instrumentiem tikai pēc tālākas apstrādes, un tie ir piemēroti arī citiem pielietojumiem. Uz izstrādājumiem attiecas pozīcija 8113 , kas ietver metālkeramiku, kas ir vai nu neapstrādāta, vai tādu izstrādājumu veidā, kas nav minēti citur Kombinētajā nomenklatūrā (sk. arī Harmonizētās sistēmas skaidrojumu pozīcijai 8113 sesto rindkopu). Tāpēc izstrādājums klasificējams ar KN kodu 8113 00 90 pie “metālkeramikas un citādiem tās izstrādājumiem”. |
|
7.6.2021 |
LV |
Eiropas Savienības Oficiālais Vēstnesis |
L 199/7 |
KOMISIJAS ĪSTENOŠANAS REGULA (ES) 2021/911
(2021. gada 31. maijs)
par atsevišķu preču klasifikāciju kombinētajā nomenklatūrā
EIROPAS KOMISIJA,
ņemot vērā Līgumu par Eiropas Savienības darbību,
ņemot vērā Eiropas Parlamenta un Padomes Regulu (ES) Nr. 952/2013 (2013. gada 9. oktobris), ar ko izveido Savienības Muitas kodeksu (1), un jo īpaši tās 57. panta 4. punktu un 58. panta 2. punktu,
tā kā:
|
(1) |
Lai nodrošinātu Padomes Regulai (EEK) Nr. 2658/87 (2) pievienotās kombinētās nomenklatūras vienveidīgu piemērošanu, nepieciešams pieņemt noteikumus par šīs regulas pielikumā minēto preču klasifikāciju. |
|
(2) |
Regulā (EEK) Nr. 2658/87 ir izklāstīti vispārīgie kombinētās nomenklatūras interpretācijas noteikumi. Minētie noteikumi attiecas arī uz jebkuru citu nomenklatūru, kas pilnīgi vai daļēji balstās uz KN vai pievieno tai papildu apakšnodaļas un ir izveidota ar īpašiem Savienības noteikumiem, lai piemērotu tarifu un citus pasākumus, kas saistīti ar preču tirdzniecību. |
|
(3) |
Šīs regulas pielikuma tabulas 1. ailē aprakstītās preces saskaņā ar minētajiem vispārīgajiem noteikumiem būtu jāklasificē ar minētās tabulas 2. ailē norādīto KN kodu atbilstīgi 3. ailē noteiktajam pamatojumam. |
|
(4) |
Ir lietderīgi noteikt, ka saistošo izziņu par tarifu, kas izdota attiecībā uz precēm, uz kurām attiecas šī regula, bet kas neatbilst šīs regulas noteikumiem, izziņas turētājs var turpināt izmantot noteiktu laikposmu saskaņā ar Regulas (ES) Nr. 952/2013 34. panta 9. punktu. Būtu jānosaka, ka minētais laikposms ir trīs mēneši. |
|
(5) |
Šajā regulā paredzētie pasākumi ir saskaņā ar Muitas kodeksa komitejas atzinumu, |
IR PIEŅĒMUSI ŠO REGULU.
1. pants
Pielikuma tabulas 1. ailē aprakstītās preces kombinētajā nomenklatūrā klasificē ar tabulas 2. ailē norādīto KN kodu.
2. pants
Saistošo izziņu par tarifu, kas neatbilst šīs regulas noteikumiem, saskaņā ar Regulas (ES) Nr. 952/2013 34. panta 9. punktu var turpināt izmantot trīs mēnešus no šīs regulas spēkā stāšanās dienas.
3. pants
Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.
Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.
Briselē, 2021. gada 31. maijā
Komisijas vārdā –
Nodokļu politikas un muitas savienības
ģenerāldirektorāta
ģenerāldirektors
Gerassimos THOMAS
(1) OV L 269, 10.10.2013., 1. lpp.
(2) Padomes Regula (EEK) Nr. 2658/87 (1987. gada 23. jūlijs) par tarifu un statistikas nomenklatūru un kopējo muitas tarifu (OV L 256, 7.9.1987., 1. lpp.).
PIELIKUMS
|
Preču apraksts |
Klasifikācija (KN kods) |
Pamatojums |
||||||||
|
(1) |
(2) |
(3) |
||||||||
|
Mēbeļu pārvietošanas paliktnis ar ritenīšiem, kas sastāv no:
Izstrādājumā ir roktura izgriezums, lai izstrādājumu varētu nest, piemēram, rokās vai lai izstrādājumu piekārtu pie sienas. Izstrādājums ir paredzēts dažādu priekšmetu, jo īpaši mēbeļu un citu smagu priekšmetu transportēšanai. (Sk. attēlu) (*1). |
4421 99 10 |
Klasifikācija noteikta, ievērojot kombinētās nomenklatūras 1., 3. b) un 6. vispārīgo interpretācijas noteikumu, 44. nodaļas 3. piezīmi un KN kodu 4421 , 4421 99 un 4421 99 10 formulējumu. Klasifikācija ar KN kodu 8716 80 00 pie citādiem transportlīdzekļiem bez mehāniskās piedziņas nav iespējama, jo izstrādājuma objektīvās īpašības un pazīmes nav pilnībā atbilstošas pozīcijas 8716 un KN koda 8716 80 00 formulējumam. Ņemot vērā izstrādājuma objektīvās īpašības un pazīmes, t. sk. roktura izgriezumu, ko neizmanto izstrādājuma stumšanai ar kāju vai roku, un tā konstrukciju smagu priekšmetu, piemēram, mēbeļu, transportēšanai, priekšmetus stumjot, izstrādājums nav paredzēts vilkšanai ar citiem transportlīdzekļiem, stumšanai vai vilkšanai ar roku, stumšanai ar kāju vai lai to vilktu dzīvnieki (sk. arī Harmonizētās sistēmas skaidrojumus pozīcijai 8716 , otro rindkopu). Izstrādājumu nevar uzskatīt par transportlīdzekli, jo tam trūkst dažu pozīcijas 8716 ar roku vai kāju darbināma transportlīdzekļa īpašību un pazīmju, tie nav rati, vilcējs, velkamie ratiņi vai stumjamie ratiņi, un tas nav veidots no konkrētas transportlīdzekļa daļas, piemēram, šasijas. Tādējādi izstrādājums ir klasificējams atbilstīgi materiālam, no kā tas sastāv. Izstrādājums ir salikts izstrādājums, kas sastāv no dažādiem materiāliem (koka, plastmasas un metāla). Komponents, kas nosaka izstrādājuma pamatīpašības, ir koks, jo koka plātne ir saliktā izstrādājuma galvenā daļa un koka plātnei ir vislielākā nozīme izstrādājuma paredzētajam lietojumam. Tāpēc izstrādājums klasificējams ar KN kodu 4421 99 10 pie citādiem izstrādājumiem no kokšķiedru plātnēm. |
(*1) Attēls pievienots tikai informācijai.
|
7.6.2021 |
LV |
Eiropas Savienības Oficiālais Vēstnesis |
L 199/10 |
KOMISIJAS ĪSTENOŠANAS REGULA (ES) 2021/912
(2021. gada 4. jūnijs),
ar ko atļauj mainīt jaunā pārtikas produkta lakto-N-neotetraozes (no mikrobiāla avota) specifikācijas un groza Īstenošanas regulu (ES) 2017/2470
(Dokuments attiecas uz EEZ)
EIROPAS KOMISIJA,
ņemot vērā Līgumu par Eiropas Savienības darbību,
ņemot vērā Eiropas Parlamenta un Padomes Regulu (ES) 2015/2283 (2015. gada 25. novembris) par jauniem pārtikas produktiem un ar ko groza Eiropas Parlamenta un Padomes Regulu (ES) Nr. 1169/2011 un atceļ Eiropas Parlamenta un Padomes Regulu (EK) Nr. 258/97 un Komisijas Regulu (EK) Nr. 1852/2001 (1), un jo īpaši tās 12. pantu,
tā kā:
|
(1) |
Regula (ES) 2015/2283 paredz, ka Savienības tirgū drīkst laist tikai tādus jaunus pārtikas produktus, kas ir atļauti un iekļauti Savienības sarakstā. |
|
(2) |
Ievērojot Regulas (ES) 2015/2283 8. pantu, ir pieņemta Komisijas Īstenošanas regula (ES) 2017/2470 (2), ar ko izveido atļauto jauno pārtikas produktu Savienības sarakstu. |
|
(3) |
Saskaņā ar Regulas (ES) 2015/2283 12. pantu Komisijai jāiesniedz īstenošanas akta projekts, ar ko jaunu pārtikas produktu atļauj laist Savienības tirgū un atjaunina Savienības sarakstu. |
|
(4) |
Ar Komisijas Īstenošanas lēmumu (ES) 2016/375 (3) atbilstoši Eiropas Parlamenta un Padomes Regulai (EK) Nr. 258/97 (4) ir atļauts kā jaunu pārtikas produktu sastāvdaļu laist tirgū ķīmiski sintezētu lakto-N-neotetraozi. |
|
(5) |
2016. gada 1. septembrī uzņēmums Glycom A/S saskaņā ar Regulas (EK) Nr. 258/97 5. pantu informēja Komisiju par savu nodomu kā jaunu pārtikas produktu sastāvdaļu laist tirgū Escherichia coli celma K-12 producētu lakto-N-neotetraozi no mikrobiāla avota. |
|
(6) |
Paziņojumā Komisijai uzņēmums Glycom A/S saskaņā ar Regulas (EK) Nr. 258/97 3. panta 4. punktu iesniedza arī Īrijas kompetentās iestādes izdotu ziņojumu, kurā, pamatojoties uz minētā uzņēmuma iesniegtajiem zinātniskajiem pierādījumiem, secināts, ka Escherichia coli celma K-12 producēta lakto-N-neotetraoze būtībā ir līdzvērtīga sintētiskajai lakto-N-neotetraozei, kas atļauta ar Īstenošanas lēmumu (ES) 2016/375. Tāpēc lakto-N-neotetraoze no mikrobiāla avota tika iekļauta jauno pārtikas produktu Savienības sarakstā. |
|
(7) |
2019. gada 23. jūnijā uzņēmums Chr. Hansen A/S (“pieteikuma iesniedzējs”) Komisijai saskaņā ar Regulas (ES) 2015/2283 10. panta 1. punktu iesniedza pieteikumu uz atļaujas piešķiršanu lakto-N-neotetraozei (no mikrobiāla avota), kas producēta no Escherichia coli celma BL21(DE3) atvasināto celmu PS-LNnT-JBT un DS-LNnT-JBT kopējā darbībā, kā jaunam pārtikas produktam ar tādiem pašiem lietošanas nosacījumiem, kādi pašreiz ir atļauti sintētiskai un mikrobiāla avota iegūtai lakto-N-neotetraozei. Pieteikuma iesniedzējs lūdza atjaunināt Savienības sarakstu attiecībā uz minētā jaunā pārtikas produkta jauno avotu. |
|
(8) |
Turklāt pieteikuma iesniedzējs ierosināja dažas no minētā jaunā avota producētās lakto-N-neotetraozes (no mikrobiāla avota) specifikācijām atjaunināt, jo tās no atļautās mikrobioloģiski iegūtās lakto-N-neotetraozes, kas producēta ar Escherichia coli celmu K-12, specifikācijām atšķiras ar to, ka specificē lielāku pelnu saturu (nevis ≤ 0,4 %, bet ≤ 1,0 %), lielāku rauga un pelējuma sēnīšu klātbūtni (nevis ≤ 10 kolonijas veidojošo vienību (“KVV”) uz gramu jaunā pārtikas produkta, skatot katru mikroorganismu veidu atsevišķi, kā specificēts tagad, bet ≤ 50 KVV uz gramu, skatot abus kopā), kā arī metanola neesību (patlaban ≤ 100 mg/kg) un lakto-N-neotetraozes fruktozes izomēra neesību (patlaban ≤ 1,0 %). |
|
(9) |
2020. gada 17. janvārī Komisija lūdza Eiropas Pārtikas nekaitīguma iestādi (“Iestāde”) saskaņā ar Regulas (ES) 2015/2283 11. panta prasībām novērtēt lakto-N-neotetraozi, kas producēta no Escherichia coli celma BL21(DE3) atvasināto celmu PS-LNnT-JBT un DS-LNnT-JBT kopējā darbībā. |
|
(10) |
2020. gada 22. oktobrī Iestāde pieņēma zinātnisko atzinumu “No E. coli celma BL21 atvasinātu celmu producētas lakto-N-neotetraozes (LNnT) kā jauna pārtikas produkta nekaitīgums saskaņā ar Regulu (ES) 2015/2283” (5). |
|
(11) |
Savā zinātniskajā atzinumā iestāde ir secinājusi, ka lakto-N-neotetraoze (LNnT), kas producēta no Escherichia coli celma BL21(DE3) atvasināto celmu PS-LNnT-JBT un DS-LNnT-JBT kopējā darbībā, kā jauns pārtikas produkts saskaņā ar Regulu (ES) 2015/2283 ir nekaitīga, ievērojot patlaban atļautos lietošanas nosacījumus. Tāpēc ar minēto zinātnisko atzinumu pietiek, lai varētu konstatēt, ka lakto-N-neotetraoze (LNnT), kas producēta no Escherichia coli celma BL21(DE3) atvasināto celmu PS-LNnT-JBT un DS-LNnT-JBT kopējā darbībā, atbilst Regulas (ES) 2015/2283 12. panta 1. punkta prasībām. |
|
(12) |
Tāpēc ir lietderīgi grozīt mikrobioloģiski producētās lakto-N-neotetraozes specifikācijas, lai kā jaunā pārtikas produkta avotu papildus atļautajam Escherichia coli celmam K12 iekļautu no Escherichia coli celma BL21(DE3) atvasinātos celmus PS-LNnT-JBT un DS-LNnT-JBT un lai grozītu ierosinātos līmeņus attiecībā uz pelnu, pelējuma un rauga sēnīšu klātbūtni. |
|
(13) |
Tāpēc Regulas (ES) 2017/2470 pielikums būtu attiecīgi jāgroza. |
|
(14) |
Šajā regulā paredzētie pasākumi ir saskaņā ar Augu, dzīvnieku, pārtikas aprites un dzīvnieku barības pastāvīgās komitejas atzinumu, |
IR PIEŅĒMUSI ŠO REGULU.
1. pants
Savienības atļauto jauno pārtikas produktu sarakstā, kas noteikts Regulas (ES) 2015/2283 6. pantā, ierakstu par vielu lakto-N-neotetraoze (no mikrobiāla avota) groza, kā norādīts šīs regulas pielikumā.
2. pants
Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.
Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.
Briselē, 2021. gada 4. jūnijā
Komisijas vārdā –
priekšsēdētāja
Ursula VON DER LEYEN
(1) OV L 327, 11.12.2015., 1. lpp.
(2) Komisijas Īstenošanas regula (ES) 2017/2470 (2017. gada 20. decembris), ar ko saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2015/2283 izveido jauno pārtikas produktu Savienības sarakstu (OV L 351, 30.12.2017., 72. lpp.).
(3) Komisijas Īstenošanas lēmums (ES) 2016/375 (2016. gada 11. marts), ar ko atbilstīgi Eiropas Parlamenta un Padomes Regulai (EK) Nr. 258/97 atļauj laist tirgū lakto-N-neotetraozi kā jaunu pārtikas produktu sastāvdaļu (OV L 70, 16.3.2016., 22. lpp.).
(4) Eiropas Parlamenta un Padomes Regula (EK) Nr. 258/97, kas attiecas uz jauniem pārtikas produktiem un jaunām pārtikas produktu sastāvdaļām (OV L 43, 14.2.1997., 1. lpp.).
(5) EFSA Journal 2020;18(11):6305.
PIELIKUMS
Īstenošanas regulas (ES) 2017/2470 pielikuma 2. tabulā (“Specifikācijas”) ierakstu par vielu “Lakto-N-neotetraoze (no mikrobiāla avota)” aizstāj ar šādu:
|
“Lakto-N-neotetraoze (no mikrobiāla avota) |
Definīcija Ķīmiskais nosaukums: β-D-galaktopiranozil-(1→4)-2-acetamido-2-dezoksi-β-D-glikopiranozil-(1→3)-β-D-galaktopiranozil-(1→4)-D-glikopiranoze Ķīmiskā formula: C26H45NO21 CAS Nr.: 13007-32-4 Molekulmasa: 707,63 g/mol Avots
Apraksts Lakto-N-neotetraoze ir balts līdz netīri balts pulveris, ko iegūst mikrobioloģiskā procesā. Tīrība Pamatviela (bezūdens): ≥ 80 % D-laktoze: ≤ 10,0 % Lakto-N-trioze II: ≤ 3,0 % para-lakto-N-neoheksaoze: ≤ 5,0 % Lakto-N-neotetraozes fruktozes izomērs: ≤ 1,0 % Saharīdu summa (lakto-N-neotetraoze, D-laktoze, lakto-N-trioze II, para-lakto-N-neoheksaoze, lakto-N-neotetraozes fruktozes izomērs): ≥ 92 % (masas % no sausnas) pH (20 °C, 5 % šķīdums): 4,0–7,0 Ūdens: ≤ 9,0 % Sulfātpelni: ≤ 1,0 % Šķīdinātāju atlikums (metanols): ≤ 100 mg/kg Proteīnu atlikums: ≤ 0,01 % Mikrobioloģiskie kritēriji Kopējais aerobo mezofilo baktēriju skaits: ≤ 500 KVV/g Rauga un pelējuma sēnītes: ≤ 50 KVV/g Endotoksīnu atlikums: ≤ 10 EV/mg KVV: kolonijas veidojošās vienības; EV: endotoksīnu vienības” |
LĒMUMI
|
7.6.2021 |
LV |
Eiropas Savienības Oficiālais Vēstnesis |
L 199/13 |
KOMISIJAS ĪSTENOŠANAS LĒMUMS (ES) 2021/913
(2021. gada 3. jūnijs)
par sadzīves trauku mazgāšanas mašīnu saskaņotajiem standartiem, kas izstrādāti Regulas (ES) 2019/2022 un Deleģētās regulas (ES) 2019/2017 īstenošanas vajadzībām
EIROPAS KOMISIJA,
ņemot vērā Līgumu par Eiropas Savienības darbību,
ņemot vērā Eiropas Parlamenta un Padomes Regulu (ES) Nr. 1025/2012 (2012. gada 25. oktobris) par Eiropas standartizāciju, ar ko groza Padomes Direktīvas 89/686/EEK un 93/15/EEK un Eiropas Parlamenta un Padomes Direktīvas 94/9/EK, 94/25/EK, 95/16/EK, 97/23/EK, 98/34/EK, 2004/22/EK, 2007/23/EK, 2009/23/EK un 2009/105/EK, un ar ko atceļ Padomes Lēmumu 87/95/EEK un Eiropas Parlamenta un Padomes Lēmumu Nr. 1673/2006/EK (1), un jo īpaši tās 10. panta 6. punktu,
tā kā:
|
(1) |
Saskaņā ar Eiropas Parlamenta un Padomes Direktīvas 2009/125/EK (2) 9. panta 2. punktu dalībvalstīm ražojums jāuzskata par atbilstīgu visām piemērojamā īstenošanas pasākuma attiecīgajām prasībām, ja attiecībā uz to ir piemēroti saskaņotie standarti, kuri attiecas uz šādu pasākumu un kuru atsauces numuri ir publicēti Eiropas Savienības Oficiālajā Vēstnesī. Komisijas Regulas (ES) 2019/2022 (3) 4. pantā un tās III pielikumā noteiktas attiecīgās mērījumu un aprēķinu prasības sadzīves trauku mazgāšanas mašīnām. |
|
(2) |
Saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) 2017/1369 (4) 13. pantu pēc tam, kad, ievērojot minētās regulas 16. pantu, ir pieņemts deleģētais akts, kurā noteiktas konkrētas marķējuma prasības, Komisijai Eiropas Savienības Oficiālajā Vēstnesī jāpublicē atsauces uz saskaņotajiem standartiem, kas atbilst attiecīgajām deleģētajā aktā noteiktajām mērījumu un aprēķinu prasībām. Ja ražojuma atbilstības novērtēšanā tiek piemēroti šādi saskaņotie standarti, tiek pieņemts, ka modelis atbilst attiecīgajām deleģētajā aktā noteiktajām mērījumu un aprēķinu prasībām. Komisijas Deleģētās regulas (ES) 2019/2017 (5) 3. pantā un tās IV pielikumā ir noteiktas mērījumu un aprēķinu prasības sadzīves trauku mazgāšanas mašīnām. |
|
(3) |
Ar Īstenošanas lēmumu C(2020) 4329 (6) Komisija Eiropas Standartizācijas komitejai (CEN), Eiropas Elektrotehniskās standartizācijas komitejai (Cenelec) un Eiropas Telesakaru standartu institūtam (ETSI) iesniedza pieprasījumu Regulas (ES) 2019/2022 un (ES) 2019/2023 un Deleģētās regulas (ES) 2019/2017 un (ES) 2019/2014 īstenošanas vajadzībām pārskatīt spēkā esošos saskaņotos standartus par sadzīves trauku mazgāšanas mašīnām, sadzīves veļas mazgāšanas mašīnām un sadzīves veļas mazgāšanas un žāvēšanas mašīnām. |
|
(4) |
Pamatojoties uz Īstenošanas lēmumā C(2020) 4329 izteikto pieprasījumu, Cenelec izstrādāja saskaņoto standartu EN 60436:2020, lai ņemtu vērā zinātnes un tehnikas attīstību. Cenelec pieņēma arī minētā standarta grozījumu EN 60436:2020/A11:2020 un labojumu EN 60436:2020/AC:2020-6. |
|
(5) |
Komisija kopā ar Cenelec ir novērtējusi, vai saskaņotais standarts EN 60436:2020, kas grozīts ar EN 60436:2020/A11:2020 un labots ar EN 60436:2020/AC:2020-6, atbilst Īstenošanas lēmumā C(2020)4329 izteiktajam pieprasījumam. |
|
(6) |
Saskaņotais standarts EN 60436:2020, kas grozīts ar EN 60436:2020/A11:2020 un labots ar EN 60436:2020/AC:2020-6, atbilst Regulā (ES) 2019/2022 un Deleģētajā regulā (ES) 2019/2017 noteiktajām prasībām, uz kurām to paredzēts attiecināt. |
|
(7) |
Ir jāprecizē, kuras standartu versijas, kas minētas standarta EN 60436:2020 3. punktā “2. punkta “Normatīvās atsauces” grozījums”, jāpiemēro atbilstības prezumpcijas nolūkā. |
|
(8) |
ZZA.1 tabulas sleja “Piezīmes*” standartā EN 60436:2020 Deleģētās regulas (ES) 2019/2017 vajadzībām un ZZB.1 tabulas sleja “Piezīmes*” standartā EN 60436:2020 Regulas (ES) 2019/2022 vajadzībām būtu jāizslēdz no publicēšanas, jo trūkst konsekvences starp minētajām slejām un prasībām standarta galvenajā normatīvajā daļā un juridiskās nenoteiktības dēļ, kas izriet no minēto sleju zemsvītras piezīmē iekļautās atbilstības prezumpcijas juridisko seku interpretācijas. |
|
(9) |
Tāpēc atsauci uz saskaņoto standartu EN 60436:2020, kas grozīts ar EN 60436:2020/A11:2020 un labots ar EN 60436:2020/AC:2020-6, Eiropas Savienības Oficiālajā Vēstnesī ir lietderīgi publicēt ar ierobežojumu. |
|
(10) |
Saskaņotais standarts EN 60436:2020 aizstāj saskaņoto standartu EN 50242:2016, kas publicēts ar Komisijas paziņojumu 2016/C 416/05 (7). Tāpēc ir lietderīgi minēto paziņojumu atcelt. |
|
(11) |
No dienas, kad atsauce uz šādu standartu ir publicēta Eiropas Savienības Oficiālajā Vēstnesī, šāda standarta ievērošana ļauj izdarīt pieņēmumu par atbilstību attiecīgajām Savienības saskaņošanas tiesību aktu prasībām. Tāpēc šim lēmumam būtu jāstājas spēkā tā publicēšanas dienā, |
IR PIEŅĒMUSI ŠO LĒMUMU.
1. pants
Ar šo Eiropas Savienības Oficiālajā Vēstnesī ar ierobežojumu tiek publicēta atsauce uz sadzīves trauku mazgāšanas mašīnu energomarķējuma saskaņoto standartu, kas izstrādāts Deleģētās regulas (ES) 2019/2017 īstenošanas vajadzībām un norādīts šā lēmuma I pielikumā.
Ar šo Eiropas Savienības Oficiālajā Vēstnesī ar ierobežojumu tiek publicēta atsauce uz sadzīves trauku mazgāšanas mašīnu ekodizaina saskaņoto standartu, kas izstrādāts Deleģētās regulas (ES) 2019/2022 īstenošanas vajadzībām un norādīts šā lēmuma II pielikumā.
2. pants
Paziņojumu 2016/C 416/05 atceļ.
3. pants
Šis lēmums stājas spēkā dienā, kad to publicē Eiropas Savienības Oficiālajā Vēstnesī.
Briselē, 2021. gada 3. jūnijā
Komisijas vārdā –
priekšsēdētāja
Ursula VON DER LEYEN
(1) OV L 316, 14.11.2012., 12. lpp.
(2) Eiropas Parlamenta un Padomes Direktīva 2009/125/EK (2009. gada 21. oktobris), ar ko izveido sistēmu, lai noteiktu ekodizaina prasības ar enerģiju saistītiem ražojumiem (OV L 285, 31.10.2009., 10. lpp.).
(3) Komisijas Regula (ES) 2019/2022 (2019. gada 1. oktobris), ar ko saskaņā ar Eiropas Parlamenta un Padomes Direktīvu 2009/125/EK nosaka ekodizaina prasības sadzīves trauku mazgāšanas mašīnām, groza Komisijas Regulu (EK) Nr. 1275/2008 un atceļ Komisijas Regulu (ES) Nr. 1016/2010 (OV L 315, 5.12.2019., 267. lpp.).
(4) Eiropas Parlamenta un Padomes Regula (ES) 2017/1369 (2017. gada 4. jūlijs), ar ko izveido energomarķējuma satvaru un atceļ Direktīvu 2010/30/ES (OV L 198, 28.7.2017., 1. lpp.).
(5) Komisijas Deleģētā regula (ES) 2019/2017 (2019. gada 11. marts), ar ko attiecībā uz sadzīves trauku mazgāšanas mašīnu energomarķējumu papildina Eiropas Parlamenta un Padomes Regulu (ES) 2017/1369 un atceļ Komisijas Deleģēto regulu (ES) Nr. 1059/2010 (OV L 315, 5.12.2019., 134. lpp.).
(6) Komisijas Īstenošanas lēmums C(2020) 4329 (2020. gada 1. jūlijs) par standartizācijas pieprasījumu Eiropas Standartizācijas komitejai, Eiropas Elektrotehnikas standartizācijas komitejai un Eiropas Telesakaru standartu institūtam attiecībā uz ekodizaina un energomarķējuma prasībām sadzīves trauku mazgāšanas mašīnām, sadzīves veļas mazgāšanas mašīnām un sadzīves veļas mazgāšanas un žāvēšanas mašīnām Komisijas Regulas (ES) 2019/2022 un (ES) 2019/2023 un Komisijas Deleģētās regulas (ES) 2019/2017 un (ES) 2019/2014 īstenošanas vajadzībām.
(7) Komisijas paziņojums par to, kā īstenojama Komisijas Regula (ES) Nr. 1016/2010, ar ko Eiropas Parlamenta un Padomes Direktīvu 2009/125/EK īsteno attiecībā uz ekodizaina prasībām sadzīves trauku mazgāšanas mašīnām, un par Komisijas Deleģēto regulu (ES) Nr. 1059/2010, ar ko papildina Eiropas Parlamenta un Padomes Direktīvu 2010/30/ES attiecībā uz sadzīves trauku mazgāšanas mašīnu energomarķējumu (Saskaņoto standartu nosaukumu un numuru publicēšana saskaņā ar Savienības saskaņošanas tiesību aktiem) (OV C 416, 11.11.2016., 14. lpp.).
I PIELIKUMS
Atsauce uz saskaņoto standartu, kas izstrādāts Deleģētās regulas (ES) 2019/2017 īstenošanas vajadzībām
|
EN 60436:2020 Mājsaimniecības elektriskās trauku mazgājamās mašīnas. Veiktspējas mērīšanas metodes EN 60436:2020/A11:2020 EN 60436:2020/AC:2020-6 Ierobežojumi:
|
II PIELIKUMS
Atsauce uz saskaņoto standartu, kas izstrādāts Regulas (ES) 2019/2022 īstenošanas vajadzībām
|
EN 60436:2020 Mājsaimniecības elektriskās trauku mazgājamās mašīnas. Veiktspējas mērīšanas metodes EN 60436:2020/A11:2020 EN 60436:2020/AC:2020-6 Ierobežojumi:
|
|
7.6.2021 |
LV |
Eiropas Savienības Oficiālais Vēstnesis |
L 199/18 |
KOMISIJAS ĪSTENOŠANAS LĒMUMS (ES) 2021/915
(2021. gada 4. jūnijs)
par līguma standartklauzulām starp pārziņiem un apstrādātājiem saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 28. panta 7. punktu un Eiropas Parlamenta un Padomes Regulas (ES) 2018/1725 29. panta 7. punktu
(Dokuments attiecas uz EEZ)
EIROPAS KOMISIJA,
ņemot vērā Līgumu par Eiropas Savienības darbību,
ņemot vērā Eiropas Parlamenta un Padomes Regulu (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (1), un jo īpaši tās 28. panta 7. punktu,
ņemot vērā Eiropas Parlamenta un Padomes Regulu (ES) 2018/1725 (2018. gada 23. oktobris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK (“ESDAR”) (2), un jo īpaši tās 29. panta 7. punktu,
tā kā:
|
(1) |
Pārziņa un apstrādātāja jēdzieniem ir izšķiroša nozīme Regulas (ES) 2016/679 un Regulas (ES) 2018/1725 piemērošanā. Pārzinis ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus. Regulā (ES) 2018/1725 pārzinis ir Savienības iestāde vai struktūra, ģenerāldirektorāts vai jebkura cita organizatoriska vienība, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus. Ja šādas apstrādes nolūkus un līdzekļus nosaka ar konkrētu Savienības tiesību aktu, Savienība var nodrošināt pārzini vai tā iecelšanas konkrētos kritērijus. Apstrādātājs ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kura pārziņa vārdā apstrādā personas datus. |
|
(2) |
Attiecībām starp datu pārziņiem un datu apstrādātājiem, uz kuriem attiecas Regula (ES) 2016/679, arī gadījumos, kad uz tiem attiecas Regula (ES) 2018/1725, būtu jāpiemēro tas pats līguma standartklauzulu kopums. Tas ir tāpēc, ka, lai nodrošinātu saskaņotu pieeju personas datu aizsardzībai visā Savienībā un personas datu brīvai apritei Savienībā, datu aizsardzības noteikumi Regulā (ES) 2016/679, kas piemērojami publiskajam sektoram dalībvalstīs, un datu aizsardzības noteikumi Regulā (ES) 2018/1725, kuri piemērojami Savienības iestādēm, struktūrām, birojiem un aģentūrām, ciktāl iespējams, ir savstarpēji saskaņoti. |
|
(3) |
Lai nodrošinātu atbilstību Regulas (ES) 2016/679 un Regulas (ES) 2018/1725 prasībām, uzticot apstrādātājam apstrādes darbības, pārzinim būtu jāizmanto tikai tādi apstrādātāji, kas sniedz pietiekamas garantijas, jo īpaši attiecībā uz ekspertu zināšanām, uzticamību un resursiem, lai īstenotu tehniskos un organizatoriskos pasākumus, kuri atbilst Regulas (ES) 2016/679 un Regulas (ES) 2018/1725 prasībām, tostarp attiecībā uz apstrādes drošību. |
|
(4) |
Apstrādi, ko veic apstrādātājs, reglamentē ar līgumu vai citu juridisku aktu saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kurš ir saistošs apstrādātājam attiecībā uz pārzini un kurā izklāstīti Regulas (ES) 2016/679 28. panta 3. un 4. punktā vai Regulas (ES) 2018/1725 29. panta 3. un 4. punktā uzskaitītie elementi. Minēto līgumu vai aktu sagatavo rakstiski, t. sk. elektroniskā formātā. |
|
(5) |
Saskaņā ar Regulas (ES) 2016/679 28. panta 6. punktu un Regulas (ES) 2018/1725 29. panta 6. punktu pārzinis un apstrādātājs var izvēlēties risināt sarunas par atsevišķu līgumu, kurā ietverti obligātie elementi, kas izklāstīti attiecīgi Regulas (ES) 2016/679 28. panta 3. un 4. punktā vai Regulas (ES) 2018/1725 29. panta 3. un 4. punktā, vai pilnībā vai daļēji izmantot līguma standartklauzulas, kuras Komisija pieņēmusi saskaņā ar Regulas (ES) 2016/679 28. panta 7. punktu un Regulas (ES) 2018/1725 29. panta 7. punktu. |
|
(6) |
Pārzinim un apstrādātājam vajadzētu būt iespējai iekļaut šajā lēmumā minētās līguma standartklauzulas plašākā līgumā un pievienot citas klauzulas vai papildu aizsardzības pasākumus ar nosacījumu, ka tās nav tieši vai netieši pretrunā līguma standartklauzulām un neskar datu subjektu pamattiesības vai pamatbrīvības. Līguma standartklauzulu izmantošana notiek neatkarīgi no pārziņa un/vai apstrādātāja līgumsaistībām nodrošināt piemērojamo privilēģiju un imunitātes ievērošanu. |
|
(7) |
Līguma standartklauzulās būtu jāietver gan materiālie, gan procesuālie noteikumi. Saskaņā ar Regulas (ES) 2016/679 28. panta 3. punktu un Regulas (ES) 2018/1725 29. panta 3. punktu līguma standartklauzulās būtu arī jāprasa pārzinim un apstrādātājam noteikt apstrādes priekšmetu un ilgumu, tās raksturu un nolūku, attiecīgo personas datu veidu, datu subjektu kategorijas un pārziņa pienākumus un tiesības. |
|
(8) |
Saskaņā ar Regulas (ES) 2016/679 28. panta 3. punktu un saskaņā ar Regulas (ES) 2018/1725 29. panta 3. punktu apstrādātājam nekavējoties jāinformē pārzinis, ja apstrādātājs uzskata, ka pārziņa norādījums pārkāpj Regulu (ES) 2016/679 vai Regulu (ES) 2018/1725, vai citus Savienības vai dalībvalstu datu aizsardzības noteikumus. |
|
(9) |
Ja apstrādātājs konkrētu darbību veikšanai iesaista citu apstrādātāju, būtu jāpiemēro īpašās prasības, kas minētas Regulas (ES) 2016/679 28. panta 2. un 4. punktā vai Regulas (ES) 2018/1725 29. panta 2. un 4. punktā. Proti, ir vajadzīga iepriekšēja konkrēta vai vispārēja rakstiska atļauja. Neatkarīgi no tā, vai šī iepriekšējā atļauja ir konkrēta vai vispārēja, pirmapstrādātājam būtu jāatjaunina citu pārstrādātāju saraksts. |
|
(10) |
Lai izpildītu Regulas (ES) 2016/679 46. panta 1. punkta prasības, Komisija pieņēma līguma standartklauzulas saskaņā ar Regulas (ES) 2016/679 46. panta 2. punkta c) apakšpunktu. Minētās klauzulas atbilst arī Regulas (ES) 2016/679 28. panta 3. un 4. punkta prasībām attiecībā uz datu nosūtīšanu no pārziņiem, uz kuriem attiecas Regula (ES) 2016/679, apstrādātājiem ārpus minētās regulas teritoriālās piemērošanas jomas vai no apstrādātājiem, uz kuriem attiecas Regula (ES) 2016/679, apakšapstrādātājiem, kuri neietilpst minētās regulas teritoriālajā piemērošanas jomā. Šīs līguma standartklauzulas nevar izmantot kā līguma standartklauzulas Regulas (ES) 2016/679 V nodaļas vajadzībām. |
|
(11) |
Trešām personām vajadzētu būt iespējai pievienoties līguma standartklauzulām visā līguma darbības ciklā. |
|
(12) |
Līguma standartklauzulu darbība būtu jāizvērtē kā daļa no Regulas (ES) 2016/679 97. pantā minētās periodiskās novērtēšanas. |
|
(13) |
Saskaņā ar Regulas (ES) 2018/1725 42. panta 1. un 2. punktu notika apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju un Eiropas Datu aizsardzības kolēģiju, un 2021. gada 14. janvārī tika sniegts kopīgs atzinums (3), kas tika ņemts vērā šā lēmuma sagatavošanā. |
|
(14) |
Šajā lēmumā paredzētie pasākumi ir saskaņā ar atzinumu, ko sniegusi komiteja, kas izveidota saskaņā ar Regulas (ES) 2016/679 93. pantu un Regulas (ES) 2018/1725 96. panta 2. punktu, |
IR PIEŅĒMUSI ŠO LĒMUMU.
1. pants
Pielikumā izklāstītās līguma standartklauzulas atbilst prasībām attiecībā uz līgumiem starp pārziņiem un apstrādātājiem, kas noteiktas Regulas (ES) 2016/679 28. panta 3. un 4. punktā un Regulas (ES) 2018/1725 29. panta 3. un 4. punktā.
2. pants
Pielikumā izklāstītās līguma standartklauzulas var izmantot līgumos starp pārzini un apstrādātāju, kurš pārziņa vārdā apstrādā personas datus.
3. pants
Komisija, pamatojoties uz visu pieejamo informāciju, izvērtē pielikumā izklāstīto līguma standartklauzulu praktisko piemērošanu Regulas (ES) 2016/679 97. pantā paredzētās periodiskās novērtēšanas ietvaros.
4. pants
Šis lēmums stājas spēkā divdesmitajā dienā pēc tā publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.
Briselē, 2021. gada 4. jūnijā
Komisijas vārdā –
priekšsēdētāja
Ursula VON DER LEYEN
(1) OV L 119, 4.5.2016., 1. lpp.
(2) OV L 295, 21.11.2018., 39. lpp.
(3) EDAU un EDAK Kopīgais atzinums 1/2021 par Eiropas Komisijas Īstenošanas lēmumu par līguma standartklauzulām starp pārziņiem un apstrādātājiem attiecībā uz jautājumiem, kas minēti Regulas (ES) 2016/679 28. panta 7. punktu un Regulas (ES) 2018/1725 29. panta 7. punktu.
PIELIKUMS
Līguma standartklauzulas
I IEDAĻA
1. klauzula
Nolūks un darbības joma
|
a) |
Šo līguma standartklauzulu (“Klauzulas”) nolūks ir nodrošināt atbilstību [izvēlēties attiecīgo iespēju: 1. IZVĒLE. 28. panta 3. un 4. punktam Eiropas Parlamenta un Padomes Regulā (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula)] / [2. IZVĒLE. 29. panta 3. un 4. punktam Eiropas Parlamenta un Padomes Regulā (ES) 2018/1725 (2018. gada 23. oktobris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK]. |
|
b) |
I pielikumā uzskaitītie pārziņi un apstrādātāji ir piekrituši šīm Klauzulām, lai nodrošinātu atbilstību Regulas (ES) 2016/679 28. panta 3. un 4. punktam un/vai Regulas (ES) 2018/1725 29. panta 3. un 4. punktam. |
|
c) |
Šīs Klauzulas attiecas uz personas datu apstrādi, kā norādīts II pielikumā. |
|
d) |
I līdz IV pielikums ir Klauzulu neatņemama sastāvdaļa. |
|
e) |
Šīs Klauzulas neskar pienākumus, kas pārzinim jāpilda saskaņā ar Regulu (ES) 2016/679 un/vai Regulu (ES) 2018/1725. |
|
f) |
Šīs Klauzulas pašas par sevi nenodrošina atbilstību pienākumiem, kas saistīti ar starptautisku nosūtīšanu saskaņā ar Regulas (ES) 2016/679 un/vai Regulas (ES) 2018/1725 V nodaļu. |
2. klauzula
Klauzulu nemainība
|
a) |
Puses apņemas negrozīt Klauzulas, izņemot gadījumus, kad pielikumos jāpievieno informācija vai tā jāatjauno. |
|
b) |
Tas neliedz Pusēm iekļaut šajās Klauzulās minētās līguma standartklauzulas plašākā līgumā vai pievienot citas klauzulas vai papildu garantijas, ar noteikumu, ka tās tieši vai netieši nav pretrunā Klauzulām un nemazina datu subjektu pamattiesības vai pamatbrīvības. |
3. klauzula
Interpretācija
|
a) |
Ja Klauzulās izmantoti attiecīgi Regulā (ES) 2016/679 vai Regulā (ES) 2018/1725 definētie termini, šiem terminiem ir tāda pati nozīme kā minētajā regulā. |
|
b) |
Šīs Klauzulas lasa un interpretē, ņemot vērā attiecīgi Regulas (ES) 2016/679 vai Regulas (ES) 2018/1725 noteikumus. |
|
c) |
Šīs Klauzulas neinterpretē tādā veidā, kas ir pretrunā Regulā (ES) 2016/679 vai Regulā (ES) 2018/1725 paredzētajām tiesībām un pienākumiem, vai veidā, kas ierobežo datu subjektu pamattiesības vai brīvības. |
4. klauzula
Hierarhija
Ja rodas pretruna starp šīm Klauzulām un saistīto nolīgumu starp Pusēm noteikumiem, kas pastāv laikā, kad šīs Klauzulas tiek saskaņotas vai noslēgtas pēc tam, šīs Klauzulas prevalē.
5. klauzula – fakultatīvi
Pievienošanās klauzula
|
a) |
Jebkurš subjekts, kas nav šo Klauzulu Puse, ar visu Pušu piekrišanu var jebkurā laikā pievienoties šīm Klauzulām kā pārzinis vai apstrādātājs, aizpildot pielikumus un parakstot I pielikumu. |
|
b) |
Tiklīdz a) punktā minētie pielikumi ir aizpildīti un parakstīti, subjektu, kas pievienojas, uzskata par šo Klauzulu Pusi, un tam ir pārziņa vai apstrādātāja tiesības un pienākumi saskaņā ar tā iekļaušanu I pielikumā. |
|
c) |
Subjektam, kas pievienojas, nav no šīm Klauzulām izrietošu tiesību vai pienākumu laikposmā pirms kļūšanas par Pusi. |
II IEDAĻA
PUŠU SAISTĪBAS
6. klauzula
Apstrādes(-žu) apraksts
Sīkāka informācija par apstrādes darbībām, jo īpaši par personas datu kategorijām un apstrādes nolūkiem, kādiem personas dati tiek apstrādāti pārziņa vārdā, ir norādīti II pielikumā.
7. klauzula
Pušu pienākumi
7.1. Norādījumi
|
a) |
Apstrādātājs personas datus apstrādā tikai pēc dokumentētiem pārziņa norādījumiem, izņemot, ja tas ir jādara saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami apstrādātājam. Šajā gadījumā apstrādātājs pirms apstrādes informē pārzini par šo juridisko prasību, ja vien attiecīgie tiesību akti to neaizliedz svarīgu sabiedrības interešu dēļ. Papildu norādījumus datu pārzinis var sniegt arī visā personas datu apstrādes laikā. Šos norādījumus vienmēr dokumentē. |
|
b) |
Apstrādātājs nekavējoties informē pārzini, ja apstrādātājs uzskata, ka pārziņa sniegtie norādījumi pārkāpj Regulu (ES) 2016/679 vai Regulu (ES) 2018/1725 vai piemērojamos Savienības vai dalībvalstu datu aizsardzības noteikumus. |
7.2. Mērķa ierobežojums
Apstrādātājs apstrādā personas datus tikai konkrētajam(-iem) apstrādes nolūkam(-iem), kā noteikts II pielikumā, ja vien no pārziņa netiek saņemti turpmāki norādījumi.
7.3. Personas datu apstrādes ilgums
Apstrādātājs datu apstrādi veic tikai tik ilgi, cik norādīts II pielikumā.
7.4. Apstrādes drošība
|
a) |
Apstrādātājs īsteno vismaz III pielikumā norādītos tehniskos un organizatoriskos pasākumus, lai nodrošinātu personas datu drošību. Tas ietver datu aizsardzību pret drošības pārkāpumiem, kuru rezultātā notiek nejauša vai nelikumīga iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve datiem (personas datu aizsardzības pārkāpums). Novērtējot atbilstīgo drošības līmeni, Puses pienācīgi ņem vērā jaunākos sasniegumus, īstenošanas izmaksas, apstrādes raksturu, tvērumu, kontekstu un nolūkus, kā arī datu subjektiem radītos riskus. |
|
b) |
Apstrādātājs piešķir saviem darbiniekiem piekļuvi apstrādē esošajiem personas datiem tikai tiktāl, ciktāl tas ir absolūti nepieciešams līguma īstenošanai, pārvaldībai un uzraudzībai. Apstrādātājs nodrošina, ka personas, kuras ir pilnvarotas apstrādāt saņemtos personas datus, ir apņēmušās ievērot konfidencialitāti vai tām ir noteikts attiecīgs likumisks pienākums ievērot konfidencialitāti. |
7.5. Sensitīvi dati
Ja apstrāde ietver personas datus, kas atklāj rasi vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, ģenētiskos datus vai biometriskos datus nolūkā veikt fiziskas personas viennozīmīgu identifikāciju, datus par veselību vai personas dzimumdzīvi vai seksuālo orientāciju, vai datus par sodāmību un pārkāpumiem (“sensitīvi dati”), apstrādātājs piemēro īpašus ierobežojumus un/vai papildu garantijas.
7.6. Dokumentācija un atbilstība
|
a) |
Puses uzskatāmi pierāda atbilstību šīm Klauzulām. |
|
b) |
Apstrādātājs nekavējoties un pienācīgi izskata pārziņa pieprasījumus par datu apstrādi saskaņā ar šīm Klauzulām. |
|
c) |
Apstrādātājs dara pieejamu pārzinim visu informāciju, kas nepieciešama, lai uzskatāmi pierādītu, ka ir izpildīti šajās Klauzulās noteiktie pienākumi, kas tieši izriet no Regulas (ES) 2016/679 un/vai Regulas (ES) 2018/1725. Pēc pārziņa pieprasījuma apstrādātājs arī atļauj un sniedz ieguldījumu to apstrādes darbību revīzijās, uz kurām attiecas šīs Klauzulas, saprātīgos intervālos vai ja ir norādes par neatbilstību. Lemjot par pārskatīšanu vai revīziju, pārzinis var ņemt vērā apstrādātāja attiecīgos sertifikātus. |
|
d) |
Pārzinis var izvēlēties veikt revīziju pats vai pilnvarot neatkarīgu revidentu. Revīzijas var ietvert arī pārbaudes pārstrādātāja telpās vai fiziskajās iekārtās, un vajadzības gadījumā tās veic, par to savlaicīgi paziņojot. |
|
e) |
Puses šajā klauzulā minēto informāciju, t. sk. revīziju rezultātus, pēc pieprasījuma dara pieejamu kompetentajai(-ām) uzraudzības iestādei(-ēm). |
7.7. Apakšapstrādātāju izmantošana
|
a) |
1. IZVĒLE. IEPRIEKŠĒJA ĪPAŠA ATĻAUJA: apstrādātājs bez iepriekšējas īpašas rakstiskas atļaujas nevienu no apstrādes darbībām, kas pārziņa vārdā veiktas saskaņā ar šīm Klauzulām, nenodod izpildei apakšapstrādātājam. Apstrādātājs iesniedz īpašas atļaujas pieprasījumu vismaz [NORĀDĪT LAIKPOSMU] pirms attiecīgā apakšapstrādātāja iesaistīšanas, pievienojot informāciju, kas vajadzīga, lai pārzinis varētu lemt par atļauju. Pārziņa atļauto apakšapstrādātāju saraksts ir atrodams IV pielikumā. Puses regulāri atjaunina IV pielikumu. 2. IZVĒLE. VISPĀRĒJA RAKSTISKA ATĻAUJA: apstrādātājam ir pārziņa vispārēja atļauja piesaistīt apakšapstrādātājus no saraksta, par kuru panākta vienošanās. Apstrādātājs īpaši rakstiski informē pārzini par jebkādām iecerētām pārmaiņām minētajā sarakstā, pievienojot vai aizstājot apakšapstrādātājus, vismaz [NORĀDĪT LAIKPOSMU] iepriekš, tādējādi dodot pārzinim pietiekami daudz laika, lai varētu iebilst pret šādām izmaiņām pirms attiecīgā(-o) apakšapstrādātāja(-u) iesaistīšanas. Apstrādātājs sniedz pārzinim informāciju, kas vajadzīga, lai pārzinis varētu izmantot tiesības iebilst. |
|
b) |
Ja apstrādātājs piesaista apakšapstrādātāju konkrētu apstrādes darbību veikšanai (pārziņa vārdā), apstrādātājs to dara, noslēdzot līgumu, ar kuru apakšapstrādātājam būtībā uzliek tādus pašus datu aizsardzības pienākumus kā tie, kas datu apstrādātājam uzlikti saskaņā ar šīm Klauzulām. Apstrādātājs nodrošina, ka apakšapstrādātājs pilda pienākumus, kas uz apstrādātāju attiecas saskaņā ar šīm Klauzulām un Regulu (ES) 2016/679 un/vai Regulu (ES) 2018/1725. |
|
c) |
Pēc pārziņa pieprasījuma apstrādātājs iesniedz pārzinim šādas apakšapstrādātāja vienošanās kopiju un visus turpmākos grozījumus. Ciktāl tas vajadzīgs, lai aizsargātu komercnoslēpumu vai citu konfidenciālu informāciju, tai skaitā personas datus, apstrādātājs pirms kopijas iesniegšanas var rediģēt vienošanās tekstu. |
|
d) |
Apstrādātājs paliek pilnībā atbildīgs pārzinim par apakšapstrādātāja pienākumu izpildi saskaņā ar tā līgumu ar apstrādātāju. Apstrādātājs paziņo pārzinim, ja apakšapstrādātājs nepilda savas līgumsaistības. |
|
e) |
Apstrādātājs ar apakšapstrādātāju vienojas par ieinteresētās trešās personas klauzulu, saskaņā ar kuru gadījumā, ja apstrādātājs ir faktiski zudis, juridiski beidzis pastāvēt vai ir kļuvis maksātnespējīgs, pārzinim ir tiesības izbeigt apakšapstrādātāja līgumu un dot norādījumus apakšapstrādātājam dzēst vai atdot personas datus. |
7.8. Starptautiska nosūtīšana
|
a) |
Apstrādātājs nosūta datus trešai valstij vai starptautiskai organizācijai, tikai pamatojoties uz pārziņa dokumentētiem norādījumiem vai lai izpildītu konkrētu prasību saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami apstrādātājam, un to veic saskaņā ar Regulas (ES) 2016/679 vai Regulas (ES) 2018/1725 V nodaļu. |
|
b) |
Pārzinis piekrīt, ka tad, ja apstrādātājs saskaņā ar 7.7. klauzulu iesaista apakšapstrādātāju konkrētu apstrādes darbību veikšanai (pārziņa vārdā) un ja minētās apstrādes darbības ietver personas datu nosūtīšanu Regulas (ES) 2016/679 V nodaļas nozīmē, apstrādātājs un apakšapstrādātājs var nodrošināt atbilstību Regulas (ES) 2016/679 V nodaļai, izmantojot līguma standartklauzulas, ko Komisija pieņēmusi saskaņā ar Regulas (ES) 2016/679 46. panta 2. punktu, ar noteikumu, ka ir izpildīti šo līguma standartklauzulu izmantošanas nosacījumi. |
8. klauzula
Palīdzība pārzinim
|
a) |
Apstrādātājs nekavējoties paziņo pārzinim par jebkuru pieprasījumu, ko tas ir saņēmis no datu subjekta. Viņš pats nesniedz atbildi uz šo pieprasījumu, ja vien pārzinis to nav atļāvis darīt. |
|
b) |
Apstrādātājs palīdz pārzinim pildīt tā pienākumus atbildēt uz datu subjektu pieprasījumiem izmantot savas tiesības, ņemot vērā apstrādes raksturu. Pildot savus pienākumus saskaņā ar a) un b) punktu, apstrādātājs ievēro pārziņa norādījumus. |
|
c) |
Papildus apstrādātāja pienākumam palīdzēt pārzinim saskaņā ar 8. klauzulas b) punktu apstrādātājs arī palīdz pārzinim nodrošināt šādu pienākumu izpildi, ņemot vērā datu apstrādes raksturu un apstrādātājam pieejamo informāciju:
|
|
d) |
Puses III pielikumā paredz atbilstīgus tehniskus un organizatoriskus pasākumus, ar kuriem apstrādātājam ir jāpalīdz pārzinim piemērot šo klauzulu, kā arī nosaka pieprasītās palīdzības tvērumu un apjomu. |
9. klauzula
Ziņošana par personas datu aizsardzības pārkāpumu
Personas datu aizsardzības pārkāpuma gadījumā apstrādātājs sadarbojas ar pārzini un palīdz tam attiecīgā gadījumā izpildīt savus pienākumus saskaņā ar Regulas (ES) 2016/679 33. un 34. pantu vai Regulas (ES) 2018/1725 34. un 35. pantu, ņemot vērā apstrādes raksturu un apstrādātājam pieejamo informāciju.
9.1. Datu aizsardzības pārkāpums, kas saistīts ar pārziņa apstrādātajiem datiem
Personas datu aizsardzības pārkāpuma gadījumā attiecībā uz pārziņa apstrādātajiem datiem apstrādātājs palīdz pārzinim:
|
a) |
attiecīgā gadījumā bez nepamatotas kavēšanās paziņojot kompetentajai(-ām) uzraudzības iestādei(-ēm) par personas datu aizsardzības pārkāpumu pēc tam, kad pārzinis par to ir uzzinājis (izņemot gadījumus, kad ir maz ticams, ka personas datu aizsardzības pārkāpums varētu radīt risku fizisku personu tiesībām un brīvībām); |
|
b) |
iegūstot turpmāk minēto informāciju, kas saskaņā ar [1. IZVĒLE] Regulas (ES) 2016/679 33. panta 3. punktu / [2. IZVĒLE] Regulas (ES) 2018/1725 34. panta 3. punktu ir jānorāda pārziņa paziņojumā, un tajā jāiekļauj vismaz:
|
Ja un ciktāl visu šo informāciju nav iespējams sniegt vienlaikus, sākotnējā paziņojumā ietver tobrīd pieejamo informāciju, un pēc tam bez nepamatotas kavēšanās sniedz papildu informāciju, tiklīdz tā kļūst pieejama.
|
c) |
saskaņā ar [1. IZVĒLE] Regulas (ES) 2016/679 34. pantu / [2. IZVĒLE] Regulas (ES) 2018/1725 35. pantu ievērojot pienākumu bez nepamatotas kavēšanās paziņot datu subjektam par personas datu aizsardzības pārkāpumu, ja personas datu aizsardzības pārkāpums varētu radīt augstu risku fizisku personu tiesībām un brīvībām. |
9.2. Datu aizsardzības pārkāpums, kas saistīts ar apstrādātāja apstrādātajiem datiem
Ja attiecībā uz apstrādātāja apstrādātiem datiem ir noticis personas datu pārkāpums, apstrādātājs bez nepamatotas kavēšanās paziņo par to pārzinim pēc tam, kad apstrādātājs ir uzzinājis par pārkāpumu. Šādā paziņojumā ietver vismaz:
|
a) |
pārkāpuma rakstura aprakstu (t. sk., ja iespējams, attiecīgo datu subjektu un datu ierakstu kategorijas un aptuveno skaitu); |
|
b) |
informāciju par kontaktpunktu, kur var iegūt papildu informāciju par personas datu aizsardzības pārkāpumu; |
|
c) |
pārkāpuma iespējamās sekas un pasākumus, kas veikti vai kurus ierosināts veikt, lai novērstu pārkāpumu, t. sk., lai mazinātu tā iespējamās nelabvēlīgās sekas. |
Ja un ciktāl visu šo informāciju nav iespējams sniegt vienlaikus, sākotnējā paziņojumā ietver tobrīd pieejamo informāciju, un pēc tam bez nepamatotas kavēšanās sniedz papildu informāciju, tiklīdz tā kļūst pieejama.
Puses III pielikumā nosaka visus pārējos elementus, kas apstrādātājam jāsniedz, palīdzot pārzinim izpildīt pārziņa pienākumus saskaņā ar [1. IZVĒLE] Regulas (ES) 2016/679 33. un 34. pantu / [2. IZVĒLE] Regulas (ES) 2018/1725 34. un 35. pantu.
III IEDAĻA
NOBEIGUMA NOTEIKUMI
10. klauzula
Neatbilstība Klauzulām un izbeigšana
|
a) |
Neskarot Regulas (ES) 2016/679 un/vai Regulas (ES) 2018/1725 noteikumus, gadījumā, ja apstrādātājs nepilda savus pienākumus saskaņā ar šīm Klauzulām, pārzinis var dot rīkojumu apstrādātājam apturēt personas datu apstrādi līdz brīdim, kad apstrādātājs ievēro šīs Klauzulas vai līgums tiek izbeigts. Apstrādātājs nekavējoties informē pārzini, ja tas jebkāda iemesla dēļ nespēj ievērot šīs Klauzulas. |
|
b) |
Pārzinis ir tiesīgs izbeigt līgumu, ciktāl tas attiecas uz personas datu apstrādi saskaņā ar šīm Klauzulām, ja:
|
|
c) |
Apstrādātājam ir tiesības izbeigt līgumu, ciktāl tas attiecas uz personas datu apstrādi saskaņā ar šīm Klauzulām, ja pārzinis pēc tam, kad apstrādātājs ir informējis pārzini, ka tā norādījumi pārkāpj piemērojamās juridiskās prasības saskaņā ar 7.1. klauzulas b) punktu, uzstāj, ka norādījumi ir jāievēro. |
|
d) |
Pēc līguma izbeigšanas apstrādātājs pēc pārziņa izvēles dzēš visus pārziņa vārdā apstrādātos personas datus un apliecina pārzinim, ka tas ir izdarīts, vai atdod visus personas datus pārzinim un dzēš esošās kopijas, ja vien Savienības vai dalībvalsts tiesību akti neparedz personas datu glabāšanu. Līdz brīdim, kad dati tiek dzēsti vai atdoti, apstrādātājs turpina nodrošināt atbilstību šīm Klauzulām. |
I PIELIKUMS
Pušu saraksts
Pārzinis(-i): [Pārziņa(-u) un attiecīgā gadījumā pārziņa datu aizsardzības speciālista identitāte un kontaktinformācija]
|
1. |
Nosaukums: … |
|
|
Adrese: … |
|
|
Kontaktpersonas vārds, amats un kontaktinformācija: … |
|
|
Paraksts un pievienošanās datums: … |
|
2. |
|
…
Apstrādātājs(-i): [Apstrādātāja(-u) un attiecīgā gadījumā apstrādātāja datu aizsardzības speciālista identitāte un kontaktinformācija]
|
1. |
Nosaukums: … |
|
|
Adrese: … |
|
|
Kontaktpersonas vārds, amats un kontaktinformācija: … |
|
|
Paraksts un pievienošanās datums: … |
|
2. |
|
…
II PIELIKUMS
Apstrādes apraksts
To datu subjektu kategorijas, kuru personas dati tiek apstrādāti
…
Apstrādāto personas datu kategorijas
…
Apstrādāti sensitīvi dati (attiecīgā gadījumā) un piemēroti ierobežojumi vai garantijas, kuros pilnībā ņemts vērā datu raksturs un saistītie riski, piemēram, stingrs mērķa ierobežojums, piekļuves ierobežojumi (tostarp tikai tiem darbiniekiem, kas saņēmuši specializētu apmācību), piekļuves datiem reģistrēšana, ierobežojumi tālākai nosūtīšanai vai papildu drošības pasākumi.
…
Apstrādes raksturs
…
Nolūks(-i), kādā(-os) personas dati tiek apstrādāti pārziņa vārdā
…
Apstrādes ilgums
…
…
Apstrādei, ko veic (apakš)apstrādātāji, norādīt arī apstrādes priekšmetu, raksturu un ilgumu.
III PIELIKUMS
Tehniskie un organizatoriskie pasākumi, tostarp tehniskie un organizatoriskie pasākumi datu drošības nodrošināšanai
PASKAIDROJUMS:
Tehniskie un organizatoriskie pasākumi ir jāapraksta konkrēti, nevis vispārīgi.
Apstrādātāja(-u) īstenoto tehnisko un organizatorisko drošības pasākumu (tostarp jebkādu attiecīgu apliecinājumu) apraksts, lai nodrošinātu pienācīgu drošības līmeni, kurā ņemts vērā apstrādes raksturs, apmērs, konteksts un nolūks, kā arī riski fizisku personu tiesībām un brīvībām. Iespējamo pasākumu piemēri:
|
|
personas datu pseidonimizācijas un šifrēšanas pasākumi |
|
|
pasākumi apstrādes sistēmu un pakalpojumu nepārtrauktas konfidencialitātes, integritātes, pieejamības un noturības nodrošināšanai |
|
|
pasākumi, ar ko nodrošina spēju laicīgi atjaunot personas datu pieejamību un piekļuvi tiem gadījumā, ja ir noticis fizisks vai tehnisks negadījums |
|
|
procesi regulārai tehnisko un organizatorisko pasākumu efektivitātes testēšanai, novērtēšanai un izvērtēšanai nolūkā nodrošināt apstrādes drošību |
|
|
lietotāju identifikācijas un autorizācijas pasākumi |
|
|
datu aizsardzības pasākumi nosūtīšanas laikā |
|
|
datu aizsardzības pasākumi glabāšanas laikā |
|
|
pasākumi, ar ko nodrošina to vietu fizisko drošību, kurās apstrādā personas datus |
|
|
pasākumi, ar ko nodrošina notikumu reģistrēšanu |
|
|
pasākumi, ar ko nodrošina sistēmu konfigurāciju, t. sk. noklusējuma konfigurāciju |
|
|
iekšējo IT un IT drošības pārvaldības un vadības pasākumi |
|
|
procesu un produktu sertificēšanas/apliecināšanas pasākumi |
|
|
datu minimizēšanas nodrošināšanas pasākumi |
|
|
datu kvalitātes nodrošināšanas pasākumi |
|
|
pasākumi, ar ko nodrošina datu ierobežotu saglabāšanu |
|
|
pārskatatbildības nodrošināšanas pasākumi |
|
|
pasākumi datu pārnesamības atļaušanai un dzēšanas nodrošināšanai |
Attiecībā uz nosūtīšanu (apakš)apstrādātājiem aprakstiet arī konkrētos tehniskos un organizatoriskos pasākumus, kas jāveic (apakš)apstrādātājam, lai varētu sniegt palīdzību pārzinim.
To konkrēto tehnisko un organizatorisko pasākumu apraksts, kas jāveic apstrādātājam, lai varētu sniegt palīdzību pārzinim.
IV PIELIKUMS
Apakšapstrādātāju saraksts
PASKAIDROJUMS:
Šis pielikums jāaizpilda gadījumā, ja nepieciešama īpaša atļauja apakšapstrādātājiem (7.7. klauzulas a) punkta 1. izvēle).
Pārzinis ir atļāvis izmantot šādus apakšapstrādātājus:
|
1. |
Nosaukums: … |
|
|
Adrese: … |
|
|
Kontaktpersonas vārds, amats un kontaktinformācija: … |
|
|
Apstrādes apraksts (t. sk. skaidri norobežoti pienākumi, ja atļauts izmantot vairākus apakšapstrādātājus): … |
|
2. |
… |
|
7.6.2021 |
LV |
Eiropas Savienības Oficiālais Vēstnesis |
L 199/31 |
KOMISIJAS ĪSTENOŠANAS LĒMUMS (ES) 2021/914
(2021. gada 4. jūnijs)
par līguma standartklauzulām attiecībā uz personas datu nosūtīšanu trešām valstīm saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2016/679
(Dokuments attiecas uz EEZ)
EIROPAS KOMISIJA,
ņemot vērā Līgumu par Eiropas Savienības darbību,
ņemot vērā Eiropas Parlamenta un Padomes Regulu (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (1), un jo īpaši tās 28. panta 7. punktu un 46. panta 2. punkta c) apakšpunktu,
tā kā:
|
(1) |
Tehnoloģiju attīstība veicina pārrobežu datu plūsmas, kas vajadzīgas starptautiskās sadarbības un starptautiskās tirdzniecības paplašināšanai. Tajā pašā laikā ir jānodrošina, lai netiktu ietekmēts fizisku personu aizsardzības līmenis, kādu garantē Regula (ES) 2016/679, ja personas dati tiek nosūtīti trešām valstīm, tostarp tālākas nosūtīšanas gadījumos (2). Regulas (ES) 2016/679 V nodaļas noteikumu par datu nosūtīšanu mērķis ir nodrošināt personas datu nepārtrauktu augsta līmeņa aizsardzību gadījumos, ja dati tiek nosūtīti trešām valstīm (3). |
|
(2) |
Saskaņā ar Regulas (ES) 2016/679 46. panta 1. punktu, ja nav pieņemts Komisijas lēmums par aizsardzības līmeņa pietiekamību saskaņā ar 45. panta 3. punktu, pārzinis vai apstrādātājs var nosūtīt personas datus uz trešo valsti tikai tad, ja tas ir sniedzis atbilstošas garantijas, un ar nosacījumu, ka datu subjektiem ir pieejamas īstenojamas tiesības un efektīvi tiesiskās aizsardzības līdzekļi. Šādas garantijas var nodrošināt standarta datu aizsardzības klauzulas, ko pieņēmusi Komisija saskaņā ar 46. panta 2. punkta c) apakšpunktu. |
|
(3) |
Līguma standartklauzulas ir paredzētas tikai, lai nodrošinātu atbilstošas datu aizsardzības garantijas starptautiskai datu nosūtīšanai. Tādēļ pārzinis vai apstrādātājs, kas nosūta personas datus trešām valstīm (“datu nosūtītājs”), un pārzinis vai apstrādātājs, kas saņem personas datus (“datu saņēmējs”), drīkst brīvi iekļaut šīs līguma standartklauzulas plašākā līgumā un pievienot citas klauzulas vai papildu garantijas, ja tās tieši vai netieši nav pretrunā līguma standartklauzulām vai neierobežo datu subjekta pamattiesības vai brīvības. Pārziņi un apstrādātāji tiek mudināti nodrošināt papildu garantijas, izmantojot līgumsaistības, ar kurām papildina līguma standartklauzulas (4). Līguma standartklauzulu izmantošana neskar datu nosūtītāja un/vai saņēmēja jebkuras līgumsaistības nodrošināt piemērojamo privilēģiju un imunitātes ievērošanu. |
|
(4) |
Papildus līguma standartklauzulu izmantošanai, lai nodrošinātu atbilstošas garantijas datu nosūtīšanai saskaņā ar Regulas (ES) 2016/679 46. panta 1. punktu, datu nosūtītājam ir jāizpilda pārziņa vai apstrādātāja vispārīgie pienākumi saskaņā ar Regulu (ES) 2016/679. Minētie pienākumi cita starpā ir pārziņa pienākums sniegt datu subjektiem informāciju par to, ka pārzinis paredz nosūtīt to personas datus uz trešo valsti saskaņā ar Regulas (ES) 2016/679 13. panta 1. punkta f) apakšpunktu un 14. panta 1. punkta f) apakšpunktu. Tādas nosūtīšanas gadījumā, kas atbilst Regulas (ES) 2016/679 46. pantam, šādai informācijai jāietver atsauce uz atbilstošām garantijām un informācija par to, kā saņemt garantiju kopiju, vai to, kur tās ir darītas pieejamas. |
|
(5) |
Komisijas Lēmumā 2001/497/EK (5) un Lēmumā 2010/87/ES (6) ir ietvertas līguma standartklauzulas, lai veicinātu personas datu nosūtīšanu no Savienībā iedibināta datu pārziņa tādam pārzinim vai apstrādātājam, kas iedibināts trešā valstī, kura nenodrošina pietiekamu aizsardzības līmeni. Minēto lēmumu pamatā bija Eiropas Parlamenta un Padomes Direktīva 95/46/EK (7). |
|
(6) |
Saskaņā ar Regulas (ES) 2016/679 46. panta 5. punktu Lēmums 2001/497/EK un Lēmums 2010/87/ES ir spēkā, kamēr tās vajadzības gadījumā netiek grozītas, aizstātas vai atceltas ar Komisijas lēmumu, kas pieņemts saskaņā ar minētās regulas 46. panta 2. punktu. Lēmumos paredzētās līguma standartklauzulas bija jāatjaunina, ņemot vērā Regulas (ES) 2016/679 jaunās prasības. Turklāt kopš lēmumu pieņemšanas ir notikušas būtiskas izmaiņas digitālās ekonomikas jomā līdz ar tādu jaunu un sarežģītākas apstrādes darbību plašāku izmantošanu, kurās bieži vien piedalās vairāki datu saņēmēji un nosūtītāji, garu un sarežģītu ražošanas ķēžu izmantošanu un izmaiņām darījumdarbības attiecībās. Tādēļ nepieciešams modernizēt līguma standartklauzulas, lai tās labāk atbilstu faktiskajai situācijai, ņemot vērā papildu apstrādi un nosūtīšanas gadījumus, un lai ļautu izmantot elastīgāku pieeju, piemēram, attiecībā uz pušu skaitu, kuras var pievienoties līgumam. |
|
(7) |
Pārzinis vai apstrādātājs var izmantot līguma standartklauzulas, kas paredzētas šā lēmuma pielikumā, lai nodrošinātu atbilstošas garantijas Regulas (ES) 2016/679 46. panta 1. punkta izpratnē attiecībā uz personas datu nosūtīšanu trešā valstī iedibinātam apstrādātājam vai pārzinim, neskarot starptautiskās nosūtīšanas jēdziena interpretāciju saskaņā ar Regulu (ES) 2016/679. Līguma standartklauzulas var izmantot attiecībā uz šādu nosūtīšanu, tikai ciktāl saņēmēja veiktā apstrāde neietilpst Regulas (ES) 2016/679 piemērošanas jomā. Tas ietver arī personas datu nodošanu, kuru īsteno pārzinis vai apstrādātājs, kas nav iedibināts Savienībā, ciktāl apstrādei piemēro Regulu (ES) 2016/679 saskaņā ar tās 3. panta 2. punktu, jo tā ir saistīta ar preču un pakalpojumu piedāvāšanu datu subjektiem Savienībā vai to uzvedības novērošanu, ciktāl tā notiek Savienībā. |
|
(8) |
Ņemot vērā Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 un Regulas (ES) 2018/1725 vispārējo saskaņotību (8), līguma standartklauzulas jābūt iespējams izmantot arī tāda līguma kontekstā, kas minēts Regulas (ES) 2018/1725 29. panta 4. punktā, attiecībā uz tādu personas datu nosūtīšanu apakšapstrādātājam trešā valstī, ko īsteno apstrādātājs, kurš nav Savienības iestāde vai struktūra, bet uz kuru attiecas Regula (ES) 2016/679, un kurš apstrādā personas datus Savienības iestādes vai struktūras vārdā saskaņā ar Regulas (ES) 2018/1725 29. pantu. Ja šajā līgumā ir paredzēti tādi paši datu aizsardzības pienākumi, kas noteikti līgumā vai citā juridiskā dokumentā starp pārzini un apstrādātāju saskaņā ar Regulas (ES) 2018/1725 29. panta 3. punktu, jo īpaši sniedzot pietiekamas garantijas tehniskajiem un organizatoriskajiem pasākumiem, lai nodrošinātu, ka apstrāde atbilst regulas prasībām, tiek nodrošināta atbilstība Regulas (ES) 2018/1725 29. panta 4. punktam. Tas jo īpaši attieksies uz gadījumiem, kad pārzinis un apstrādātājs izmanto līguma standartklauzulas Komisijas Īstenošanas lēmumā par līguma standartklauzulām starp pārziņiem un apstrādātājiem saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 28. panta 7. punktu un Eiropas Parlamenta un Padomes Regulas (ES) 2018/1725 29. panta 7. punktu (9). |
|
(9) |
Ja apstrāde ietver datu nosūtīšanu no pārziņiem, uz kuriem attiecas Regula (ES) 2016/679, tādiem apstrādātājiem, kuri ir ārpus tās teritoriālās piemērošanas jomas, vai no apstrādātājiem, uz kuriem attiecas Regula (ES) 2016/679, tādiem apakšapstrādātājiem, kuri ir ārpus tās teritoriālās piemērošanas jomas, šā lēmuma pielikumā izklāstītajām līguma standartklauzulām arī būtu jāsniedz iespēja izpildīt Regulas (ES) 2016/679 28. panta 3. un 4. punkta prasības. |
|
(10) |
Šā lēmuma pielikumā izklāstītajās līguma standartklauzulās ir apvienoti vispārīgi noteikumi ar moduļveida pieeju, lai ņemtu vērā dažādus nosūtīšanas scenārijus un mūsdienu ražošanas ķēžu sarežģītību. Papildus vispārīgajiem noteikumiem pārziņiem un apstrādātājiem būtu jāizvēlas konkrētajai situācijai piemērots modulis, lai pielāgotu to saistības, kas paredzētas līguma standartklauzulās, to lomai un pienākumiem saistībā ar attiecīgo datu apstrādi. Ir jābūt iespējai ievērot līguma standartklauzulas vairāk nekā divām pusēm. Turklāt papildu pārziņiem un apstrādātājiem būtu jāļauj pievienoties līguma standartklauzulām kā datu nosūtītājiem vai saņēmējiem visā tāda līguma darbības cikla laikā, kurā tās ietilpst. |
|
(11) |
Lai sniegtu atbilstošas garantijas, līguma standartklauzulām būtu jānodrošina, ka personas datiem, kuri nosūtīti uz attiecīgā pamata, tiek nodrošināts aizsardzības līmenis, kurš pēc būtības ir līdzvērtīgs Savienībā garantētajam līmenim (10). Lai nodrošinātu apstrādes pārredzamību, datu subjektiem būtu jāsaņem līguma standartklauzulu kopija un tie jo īpaši būtu jāinformē par apstrādāto personas datu kategorijām, tiesībām iegūt līguma standartklauzulu kopiju un par jebkādu tālāku nosūtīšanu. Datu saņēmēja īstenota tālāka nosūtīšana trešai personai citā trešā valstī būtu jāatļauj tikai tad, ja šāda trešā persona pievienojas līguma standartklauzulām, ja tiek citā veidā nodrošināta nepārtraukta aizsardzība vai konkrētos gadījumos, piemēram, pamatojoties uz datu subjekta tiešu, informētu piekrišanu. |
|
(12) |
Izņemot dažus gadījumus, jo īpaši saistībā ar konkrētiem pienākumiem, kuri attiecas tikai uz attiecībām starp datu nosūtītāju un datu saņēmēju, datu subjektiem vajadzētu būt iespējai atsaukties uz līguma standartklauzulām un nepieciešamības gadījumā īstenot tās kā ieinteresētajai trešai personai. Tādēļ, lai gan pusēm būtu jāsniedz iespēja izvēlēties kādas dalībvalsts tiesību aktus, kas regulē līguma standartklauzulas, šādos tiesību aktos jābūt paredzētām ieinteresēto trešo personu tiesībām. Lai veicinātu individuālu tiesisko aizsardzību, līguma standartklauzulās būtu jāparedz prasība datu saņēmējam informēt datu subjektus par kontaktpunktu un ātri izskatīt jebkādas sūdzības vai pieprasījumus. Strīda gadījumā starp datu saņēmēju un datu subjektu, kas atsaucas uz savām ieinteresētās trešās personas tiesībām, datu subjektam būtu jābūt iespējai iesniegt sūdzību kompetentai uzraudzības iestādei vai lūgt, lai strīdu izskata kompetentās tiesas Eiropas Savienībā. |
|
(13) |
Lai nodrošinātu efektīvu izpildi, datu saņēmējam būtu jāpakļaujas šādas iestādes un tiesu jurisdikcijai un jāapņemas ievērot jebkādus saistošus lēmumus saskaņā ar piemērojamiem dalībvalsts tiesību aktiem. Konkrētāk, datu saņēmējam jāpiekrīt atbildēt uz jautājumiem, atļaut veikt revīzijas un ievērot uzraudzības iestādes pieņemtos pasākumus, tostarp korektīvos un kompensējošos pasākumus. Turklāt datu saņēmējam jābūt izvēles iespējai piedāvāt datu subjektiem iespēju bez maksas vērsties pēc palīdzības neatkarīgā strīdu izšķiršanas struktūrā. Saskaņā ar Regulas (ES) 2016/679 80. panta 1. punktu asociācijām vai citām institūcijām jāļauj pārstāvēt datu subjektus, ja tie to vēlas, strīdos pret datu saņēmēju. |
|
(14) |
Līguma standartklauzulās jābūt paredzētiem noteikumiem par pušu atbildību attiecībā uz datu subjektiem, kā arī noteikumiem par savstarpējām kompensācijām starp pusēm. Ja līguma standartklauzulās paredzēto ieinteresēto trešo personu tiesību jebkāda pārkāpuma rezultātā datu subjektam ir nodarīts materiāls vai nemateriāls kaitējums, tam ir tiesības saņemt kompensāciju.- Tas neskar Regulā (ES) 2016/679 paredzēto atbildību. |
|
(15) |
Ja dati tiek nosūtīti datu saņēmējam, kas rīkojas kā apstrādātājs vai apakšapstrādātājs, ir jāpiemēro īpašas prasības saskaņā ar Regulas (ES) 2016/679 28. panta 3. punktu. Līguma standartklauzulās būtu jāparedz prasība datu saņēmējam darīt pieejamu visu informāciju, kas nepieciešama, lai apliecinātu atbilstību klauzulās noteiktajiem pienākumiem un sniegtu iespēju, kā arī palīdzētu datu nosūtītājam īstenot datu saņēmēja apstrādes darbību pārbaudi. Attiecībā uz jebkādu apakšapstrādātāju piesaistīšanu, ko veic datu saņēmējs, saskaņā ar Regulas (ES) 2016/679 28. panta 2. un 4. punktu, līguma standartklauzulās jo īpaši jāparedz procedūra vispārējas vai konkrētas atļaujas saņemšanai no datu nosūtītāja, kā arī prasība par rakstisku līgumu ar apakšapstrādātāju, nodrošinot tādu pašu aizsardzības līmeni kā attiecīgās klauzulas. |
|
(16) |
Ir lietderīgi līguma standartklauzulās paredzēt dažādas tādas garantijas, kuras attiecas uz konkrētu gadījumu, kad personas datu nosūtīšanu veic apstrādātājs Savienībā pārzinim trešā valstī, un kuras atspoguļo ierobežotos patstāvīgos apstrādātāju pienākumus saskaņā ar Regulu (ES) 2016/679. Konkrētāk, līguma standartklauzulās būtu jāparedz prasība informēt pārzini, ja tas nevar ievērot norādījumus, tostarp gadījumā, ja ar šādiem norādījumiem tiktu pārkāptas Savienības datu aizsardzības tiesības, un prasība pārziņiem neveikt nekādas darbības, kuras liegtu apstrādātājam īstenot Regulā (ES) 2016/679 paredzētos pienākumus. Tajās arī būtu jāparedz prasība pusēm sniegt savstarpēju palīdzību, atbildot uz datu subjektu jautājumiem un pieprasījumiem, saskaņā ar vietējiem tiesību aktiem, kas attiecas uz datu saņēmēju, vai – ja tiek veikta datu apstrāde Savienībā – saskaņā ar Regulu (ES) 2016/679. Ja Savienības apstrādātājs apvieno personas datus, kas saņemti no pārziņa trešā valstī, ar personas datiem, kurus savācis apstrādātājs Savienībā, būtu jāpiemēro papildu prasības, lai risinātu jautājumus saistībā ar situāciju, ko izraisa galamērķa trešās valsts tiesību aktu ietekme uz pārziņa atbilstību klauzulām, jo īpaši to, kā rīkoties saistošu pieprasījumu gadījumā no trešās valsts publiskām iestādēm par nosūtīto personas datu izpaušanu. Savukārt šādas prasības nav pamatotas, ja ārpakalpojuma ietvaros tiek veikta tikai tādu personas datu apstrāde un atpakaļnosūtīšana, kuri saņemti no pārziņa un uz kuriem jebkurā gadījumā attiecās un arī turpmāk attieksies konkrētās trešās valsts jurisdikcija. |
|
(17) |
Pusēm jāspēj apliecināt atbilstību līguma standartklauzulām. Konkrētāk, datu saņēmējam būtu jāglabā attiecīgā dokumentācija par tā pārziņā esošajām apstrādes darbībām un nekavējoties jāinformē datu nosūtītājs, ja tas kādu iemeslu dēļ nevar nodrošināt atbilstību klauzulām. Savukārt datu nosūtītājam būtu jāaptur nosūtīšana un īpaši nopietnos gadījumos būtu jābūt tiesībām izbeigt līgumu, ciktāl tas attiecas uz personas datu apstrādi saskaņā ar līguma standartklauzulām, ja datu saņēmējs pārkāpj klauzulas vai nespēj tās izpildīt. Ja vietējie tiesību akti ietekmē klauzulu izpildi, ir jāpiemēro īpaši noteikumi. Personas dati, kas tika nosūtīti pirms līguma izbeigšanas, un to kopijas pēc datu nosūtītāja izvēles jāatgriež datu nosūtītājam vai pilnībā jāiznīcina. |
|
(18) |
Līguma standartklauzulām būtu jānodrošina īpašas garantijas, jo īpaši ņemot vērā Tiesas judikatūru (11), lai risinātu problēmas, ko izraisa galamērķa trešās valsts tiesību aktu ietekme uz datu saņēmēja atbilstību klauzulām, jo īpaši to, kā rīkoties saistošu pieprasījumu gadījumā no attiecīgās valsts publiskām iestādēm par nosūtīto personas datu izpaušanu. |
|
(19) |
Personas datu nosūtīšanu un apstrādi saskaņā ar līguma standartklauzulām nedrīkst veikt, ja galamērķa trešās valsts tiesību akti un prakse liedz datu saņēmējam nodrošināt klauzulu izpildi. Šajā saistībā tiesību akti un prakse, ar ko tiek ievērota pamattiesību un pamatbrīvību būtība un netiek pārsniegts līmenis, kas ir nepieciešams un samērīgs demokrātiskā sabiedrībā, lai garantētu kādu no Regulas (ES) 2016/679 23. panta 1. punktā minētajiem mērķiem, nav uzskatāmi par neatbilstošiem līguma standartklauzulām. Pusēm jāgarantē, ka brīdī, kad tās vienojas par līguma standartklauzulām, tām nav pamata uzskatīt, ka tiesību akti un prakse, kas attiecas uz datu saņēmēju, neatbilst šīm prasībām. |
|
(20) |
Pusēm jo īpaši jāņem vērā nosūtīšanas konkrētie apstākļi (piemēram, līguma saturs un darbības ilgums, nosūtīto datu raksturs, saņēmēja veids, apstrādes mērķis), galamērķa trešās valsts tiesību akti un prakse, kas ir nozīmīga saistībā ar nosūtīšanas apstākļiem, un jebkādas garantijas, kas ieviestas, lai papildinātu līguma standartklauzulās noteiktās garantijas (tostarp attiecīgie līgumiskie, tehniskie un organizatoriskie pasākumi, kas tiek piemēroti attiecībā uz personas datu nosūtīšanu un to apstrādi galamērķa valstī). Attiecībā uz šādu tiesību aktu un prakses ietekmi uz atbilstību līguma standartklauzulām vispārējā novērtējuma ietvaros var ņemt vērā dažādus elementus, tostarp uzticamu informāciju par tiesību aktu īstenošanu praksē (piemēram, judikatūra, neatkarīgu pārraudzības struktūru ziņojumi), pieprasījumu esību vai neesību tajā pašā nozarē un, piemērojot stingrus nosacījumus, datu nosūtītāja un/vai datu saņēmēja dokumentētu praktisko pieredzi. |
|
(21) |
Datu saņēmējam jāinformē datu nosūtītājs, ja pēc līguma standartklauzulu apstiprināšanas tam radies iemesls uzskatīt, ka tas nespēj nodrošināt līguma standartklauzulu izpildi. Ja datu nosūtītājs saņem šādu paziņojumu vai tam citā veidā kļūst zināms, ka datu saņēmējs vairs nevar nodrošināt līguma standartklauzulu izpildi, tam jānosaka atbilstošie pasākumi, lai rastu risinājumu attiecīgajā situācijā, nepieciešamības gadījumā apspriežoties ar kompetento uzraudzības iestādi. Šādi pasākumi cita starpā var būt datu nosūtītāja un/vai datu saņēmēja pieņemti papildu pasākumi, piemēram, tehniski vai organizatoriski pasākumi, lai nodrošinātu drošību un konfidencialitāti. Datu nosūtītājam būtu jāaptur nosūtīšana, ja tas uzskata, ka nav iespējams nodrošināt atbilstošas garantijas, vai arī ja tiek saņemts attiecīgs kompetentās uzraudzības iestādes rīkojums. |
|
(22) |
Ja iespējams, datu saņēmējam jāinformē datu nosūtītājs un datu subjekts, ja tas saņem juridiski saistošu pieprasījumu no publiskas (tostarp tiesu) iestādes saskaņā ar galamērķa valsts tiesību aktiem par tādu personas datu izpaušanu, kuri nosūtīti atbilstoši līguma standartklauzulām. Datu saņēmējam ir jāinformē minētās personas arī gadījumā, ja tam kļūst zināms par publisko iestāžu jebkādu tiešu piekļuvi šādiem personas datiem saskaņā ar galamērķa valsts tiesību aktiem. Ja, neraugoties uz datu saņēmēja visrūpīgākajiem centieniem, tas nevar paziņot datu nosūtītājam un/vai datu subjektam par konkrētiem datu izpaušanas pieprasījumiem, tam ir jāsniedz datu nosūtītājam pēc iespējas vairāk būtiskas informācijas par pieprasījumiem. Turklāt datu saņēmējam regulāri jāsniedz datu nosūtītājam apkopota informācija. Būtu arī jāparedz prasība datu saņēmējam dokumentēt visus saņemtos datu izpaušanas pieprasījumus un sniegtās atbildes, kā arī pēc pieprasījuma darīt šo informāciju pieejamu datu nosūtītājam un/vai kompetentajai uzraudzības iestādei. Ja pēc šāda pieprasījuma likumības pārbaudes saskaņā ar galamērķa valsts tiesību aktiem datu saņēmējs secina, ka pastāv pamats uzskatīt, ka pieprasījums nav likumīgs saskaņā ar galamērķa trešās valsts tiesību aktiem, tas ir jāapstrīd, tostarp attiecīgajos gadījumos izmantojot pieejamās apelācijas iespējas. Jebkurā gadījumā, ja datu saņēmējs vairs nespēj nodrošināt līguma standartklauzulu izpildi, tam attiecīgi jāinformē datu nosūtītājs, tostarp gadījumos, ja to izraisījis datu izpaušanas pieprasījums. |
|
(23) |
Tā kā ieinteresēto personu vajadzības, tehnoloģijas un apstrādes darbības var mainīties, Komisijai jāvērtē līguma standartklauzulu darbība, ņemot vērā pieredzi, Regulas (ES) 2016/679 periodiskās novērtēšanas ietvaros, kas minēta regulas 97. pantā. |
|
(24) |
Lēmums 2001/497/EK un Lēmums 2010/87/ES ir jāatceļ trīs mēnešus pēc šā lēmuma stāšanās spēkā. Šajā periodā datu nosūtītāji un datu saņēmēji Regulas (ES) 2016/679 46. panta 1. punkta izpratnē var turpināt izmantot līguma standartklauzulas, kuras izklāstītas Lēmumos 2001/497/EK un 2010/87/ES. Vēl papildus 15 mēnešus datu nosūtītāji un datu saņēmēji Regulas (ES) 2016/679 46. panta 1. punkta izpratnē var turpināt atsaukties uz līguma standartklauzulām, kuras izklāstītas Lēmumos 2001/497/EK un 2010/87/ES, tādu līgumu izpildei, kas starp tiem noslēgts pirms minēto lēmumu atcelšanas datuma, ja apstrādes darbības, uz kurām attiecas konkrētais līgums, nemainās un ja paļaušanās uz šīm klauzulām nodrošina, ka uz personas datu nosūtīšanu attiecas atbilstošas garantijas Regulas (ES) 2016/679 46. panta 1. punkta izpratnē. Būtisku līguma izmaiņu gadījumā datu nosūtītājam jāatsaucas uz jauno datu nosūtīšanas pamatojumu atbilstoši līgumam, konkrētāk, aizstājot esošās līguma standartklauzulas ar līguma standartklauzulām, kuras izklāstītas šā lēmuma pielikumā. Tā pati prasība jāpiemēro visiem līgumā paredzēto apstrādes darbību apakšlīgumiem ar (apakš-)apstrādātājiem. |
|
(25) |
Tika veikta apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju un Eiropas Datu aizsardzības kolēģiju saskaņā ar Regulas (ES) 2018/1725 42. panta 1. un 2. punktu, un tie sniedza kopīgu atzinumu 2021. gada 14. janvārī (12), kurš ir ņemts vērā, sagatavojot šo lēmumu. |
|
(26) |
Šajā lēmumā paredzētie pasākumi ir saskaņā ar atzinumu, ko sniegusi komiteja, kura izveidota ar Regulas (ES) 2016/679 93. pantu. |
IR PIEŅĒMUSI ŠO LĒMUMU.
1. pants
1. Uzskata, ka pielikumā noteiktās līguma standartklauzulas nodrošina atbilstošas garantijas Regulas (ES) 2016/679 46. panta 1. punkta un 2. punkta c) apakšpunkta nozīmē pārziņa vai apstrādātāja veiktai tādu apstrādājamu personas datu nosūtīšanai, uz kuriem attiecas minētā regula (datu nosūtītājs), pārzinim vai (apakš-)apstrādātājam, uz kuru veiktu datu apstrādi neattiecas minētā regula (datu saņēmējs).
2. Līguma standartklauzulās arī ir izklāstītas pārziņu un apstrādātāju tiesības un pienākumi attiecībā uz Regulas (ES) 2016/679 28. panta 3. un 4. punktā minētajiem jautājumiem, ja tiek veikta personas datu nosūtīšana no pārziņa apstrādātājam vai no apstrādātāja apakšapstrādātājam.
2. pants
Ja kompetentās dalībvalstu iestādes īsteno korektīvās pilnvaras saskaņā ar Regulas (ES) 2016/679 58. pantu, reaģējot uz to, ka uz datu saņēmēju attiecas vai turpmāk attieksies galamērķa trešās valsts tiesību akti vai prakse, kas liedz tam nodrošināt pielikumā izklāstīto līguma standartklauzulu izpildi, tādējādi izraisot datu nosūtīšanas trešām valstīm apturēšanu vai aizliegšanu, attiecīgās dalībvalstis nekavējoties informē par to Komisiju, kas nosūta šo informāciju pārējām dalībvalstīm.
3. pants
Komisija novērtē pielikumā izklāstīto līguma standartklauzulu praktisko izmantošanu, pamatojoties uz pieejamo informāciju, kas sniegta periodiskās novērtēšanas ietvaros, kura jāveic saskaņā ar Regulas (ES) 2016/679 97. pantu.
4. pants
1. Šis lēmums stājas spēkā divdesmitajā dienā pēc tā publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.
2. Lēmumu 2001/497/EK atceļ no 2021. gada 27. septembra.
3. Lēmumu 2010/87/ES atceļ no 2021. gada 27. septembra.
4. Uzskatāms, ka līgumi, kas noslēgti līdz 2021. gada 27. septembrim, pamatojoties uz Lēmumu 2001/497/EK vai Lēmumu 2010/87/ES, nodrošina atbilstošas garantijas Regulas (ES) 2016/679 46. panta 1. punkta izpratnē līdz 2022. gada 27. decembrim, ja apstrādes darbības, uz kurām attiecas minētais līgums, nemainās un ja paļaušanās uz šīm klauzulām nodrošina, ka uz personas datu nosūtīšanu attiecas atbilstošas garantijas.
Briselē, 2021. gada 4. jūnijā
Komisijas vārdā –
priekšsēdētāja
Ursula VON DER LEYEN
(1) OV L 119, 4.5.2016., 1. lpp.
(2) Regulas (ES) 2016/679 44. pants.
(3) Sk. arī Tiesas 2020. gada 16. jūlija spriedumu lietā C-311/18, Data Protection Commissioner/Facebook Ireland Ltd un Maximillian Schrems (“Schrems II”), ECLI:EU:C:2020:559, 93. punkts.
(4) Regulas (ES) 2016/679 109. apsvērums.
(5) Komisijas 2001. gada 15. jūnija Lēmums 2001/497/EK par līguma standartklauzulām attiecībā uz personas datu nosūtīšanu trešām valstīm saskaņā ar Direktīvu 95/46/EK (OV L 181., 4.7.2001., 19. lpp.).
(6) Komisijas Lēmums 2010/87/ES (2010. gada 5. februāris) par līguma standartklauzulām attiecībā uz personas datu pārsūtīšanu trešās valstīs reģistrētiem apstrādātājiem saskaņā ar Eiropas Parlamenta un Padomes Direktīvu 95/46/EK (OV L 39., 12.2.2010., 5. lpp.).
(7) Eiropas Parlamenta un Padomes Direktīva 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (OV L 281, 23.11.1995., 31. lpp.).
(8) 5. apsvērums Eiropas Parlamenta un Padomes Regulā (ES) 2018/1725 (2018. gada 23. oktobris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK (OV L 295, 21.11.2018., 39. lpp.). Sk. 5. apsvērumu.
(9) C(2021)3701.
(10) Schrems II, 96. un 103. punkts. Sk. arī Regulas (ES) 2016/679 108. un 114. apsvērumu.
(11) Schrems II.
(12) EDAU un EDAK Kopīgais atzinums 2/2021 par Eiropas Komisijas Īstenošanas lēmumu par līguma standartklauzulām attiecībā uz personas datu nosūtīšanu trešām valstīm saistībā ar Regulas (ES) 2016/679 46. panta 2. punkta c) apakšpunktā minētajiem jautājumiem.
PIELIKUMS
LĪGUMA STANDARTKLAUZULAS
I IEDAĻA
1. klauzula
Mērķis un darbības joma
|
a) |
Šo līguma standartklauzulu mērķis ir nodrošināt atbilstību prasībām, kas paredzētas Eiropas Parlamenta un Padomes Regulā (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (Vispārīgā datu aizsardzības regula) (1), attiecībā uz personas datu nosūtīšanu trešām valstīm. |
|
b) |
Puses:
ir vienojušās par šīm līguma standartklauzulām (turpmāk “klauzulas”). |
|
c) |
Šīs klauzulas attiecas uz personas datu nosūtīšanu atbilstoši I.B pielikumam. |
|
d) |
Šo klauzulu papildinājums, kurā ietverti tajās minētie pielikumi, ir šo klauzulu neatņemama sastāvdaļa. |
2. klauzula
Klauzulu ietekme un nemainība
|
a) |
Šajās klauzulās ir noteiktas atbilstošas garantijas, tostarp īstenojamas datu subjekta tiesības un efektīvi tiesiskās aizsardzības līdzekļi, saskaņā ar Regulas (ES) 2016/679 46. panta 1. punktu un 2. punkta c) apakšpunktu un – attiecībā uz datu nosūtīšanu apstrādātājiem no pārziņiem un/vai apstrādātājiem no apstrādātājiem – līguma standartklauzulas saskaņā ar Regulas (ES) 2016/679 28. panta 7. punktu ar nosacījumu, ka tās netiek mainītas, izņemot gadījumus, lai izvēlētos atbilstošo(-os) moduli(-us) vai lai pievienotu vai atjauninātu informāciju papildinājumā. Tas neliedz pusēm iekļaut šajās klauzulās noteiktās līguma standartklauzulas plašākā līgumā un/vai pievienot citas klauzulas vai papildu garantijas, ja tās tieši vai netieši nav pretrunā šīm klauzulām vai neierobežo datu subjekta pamattiesības vai brīvības. |
|
b) |
Šīs klauzulas neskar pienākumus, kuri attiecas uz datu nosūtītāju saskaņā ar Regulu (ES) 2016/679. |
3. klauzula
Ieinteresētās trešās personas
|
a) |
Datu subjekti var atsaukties uz šīm klauzulām un īstenot tās kā ieinteresētās trešās personas pret datu nosūtītāju un/vai datu saņēmēju ar šādiem izņēmumiem:
|
|
b) |
Šīs klauzulas a) punkts neskar datus subjektu tiesības saskaņā ar Regulu (ES) 2016/679. |
4. klauzula
Interpretācija
|
a) |
Ja šajās klauzulās ir izmantoti Regulā (ES) 2016/679 definēti termini, tiem ir tāda pati nozīme, kāda tiem ir attiecīgajā regulā. |
|
b) |
Klauzulas lasa un interpretē, ņemot vērā Regulas (ES) 2016/679 prasības. |
|
c) |
Šīm klauzulām neizmanto interpretāciju, kas neatbilst Regulā (ES) 2016/679 paredzētajām tiesībām un pienākumiem. |
5. klauzula
Hierarhija
Ja pastāv pretruna starp šīm klauzulām un starp pusēm noslēgtajiem saistītajiem nolīgumiem, kuri ir spēkā brīdī, kad šīs klauzulas tiek apstiprinātas vai kad puses par tām vienojas, šīm klauzulām ir augstāka prioritāte.
6. klauzula
Nosūtīšanas apraksts
Informācija par nosūtīšanu un jo īpaši nosūtīto personas datu kategorijām un to nosūtīšanas mērķi(-iem) ir norādīta I.B pielikumā.
7. klauzula – neobligāta
Pievienošanās klauzula
|
a) |
Vienība, kas nav šo klauzulu parakstītāja puse, ar pušu piekrišanu ar pievienoties šīm klauzulām jebkurā laikā gan kā datu nosūtītājs, gan kā datu saņēmējs, aizpildot papildinājumu un parakstot I.A pielikumu. |
|
b) |
Pēc tam, kad vienība, kas pievienojas, ir aizpildījusi papildinājumu un parakstījusi I.A pielikumu, tā kļūst par šo klauzulu parakstītāju pusi un tai ir datu nosūtītāja vai datu saņēmēja tiesības un pienākumi saskaņā ar tā apzīmējumu I.A pielikumā. |
|
c) |
Vienībai, kas pievienojas, nav tiesību vai pienākumu, kuri izriet no šīm klauzulām par laikposmu pirms kļūšanas par klauzulu parakstītāju pusi. |
II IEDAĻA. PUŠU PIENĀKUMI
8. klauzula
Datu aizsardzības garantijas
Datu nosūtītājs garantē, ka ir veicis saprātīgi vajadzīgos pasākumus, lai noskaidrotu, vai datu saņēmējs spēj pildīt savus pienākumus saskaņā ar šīm klauzulām, īstenojot atbilstošus tehniskos un organizatoriskos pasākumus.
PIRMAIS MODULIS. Nosūtīšana no pārziņa pārzinim
8.1. Mērķa ierobežojums
Datu saņēmējs apstrādā personas datus tikai konkrētajam(-iem) mērķim(-iem), kuram(-iem) tie nosūtīti, saskaņā ar I.B pielikumu. Tas var apstrādāt personas datus citam mērķim vienīgi šādos gadījumos:
|
i) |
ja tas ir ieguvis datu subjekta iepriekšēju atļauju; |
|
ii) |
ja tas ir vajadzīgs likumīgu prasību celšanai, īstenošanai vai aizstāvēšanai konkrētu administratīvo procesu, regulatīvo procesu vai tiesvedības procesu kontekstā; vai |
|
iii) |
ja tas ir vajadzīgs, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses. |
8.2. Pārredzamība
|
a) |
Lai sniegtu datu subjektiem iespēju efektīvi izmantot savas tiesības saskaņā ar 10. klauzulu, datu saņēmējs tiem tieši vai ar datu nosūtītāja starpniecību sniedz šādu informāciju:
|
|
b) |
Šīs klauzulas a) punkts neattiecas uz gadījumiem, kad datu subjektam jau ir attiecīgā informācija, tostarp, ja šādu informāciju jau ir sniedzis datu nosūtītājs vai arī ja šādas informācijas sniegšana nav iespējama vai tai būtu nepieciešamas datu saņēmēja nesamērīgas pūles. Pēdējā no minētajiem gadījumiem datu saņēmējam, ciktāl iespējams, jānodrošina informācijas publiska pieejamība. |
|
c) |
Puses pēc pieprasījuma bez maksas dara datu subjektam pieejamu šo klauzulu, tostarp pušu aizpildītā papildinājuma, kopiju. Ciktāl tas nepieciešams komercnoslēpuma vai citas konfidenciālas informācijas, tostarp personas datu, aizsardzībai, puses var daļēji rediģēt šā papildinājuma tekstu pirms tā kopijas kopīgošanas, taču tās sniedz jēgpilnu kopsavilkumu, ja datu subjektam citādi nebūtu iespējams izprast tā saturu vai izmantot savas tiesības. Puses pēc pieprasījuma atklāj datu subjektam rediģēšanas iemeslus, ciktāl tas iespējams, neatklājot rediģēto informāciju. |
|
d) |
Šīs klauzulas a)–c) punkts neskar datu nosūtītāja pienākumus saskaņā ar Regulas (ES) 2016/679 13. un 14. pantu. |
8.3. Precizitāte un datu minimizēšana
|
a) |
Katra puses nodrošina, lai personas dati būtu precīzi un vajadzības gadījumā tiktu atjaunināti. Datu saņēmējs veic saprātīgus pasākumus, lai nodrošinātu, ka neprecīzi personas dati, ņemot vērā nolūku(-us), kādā(-os) tie tiek apstrādāti, bez kavēšanās tiktu dzēsti vai laboti. |
|
b) |
Ja vienai no pusēm kļūst zināms, ka personas dati, kas tiek nosūtīti vai saņemti, nav precīzi vai arī tie ir novecojuši, tā nekavējoties informē otru pusi. |
|
c) |
Datu saņēmējs nodrošina, lai personas dati būtu atbilstoši, būtiski un tikai tie, kas nepieciešami saistībā ar apstrādes mērķi(-iem). |
8.4. Glabāšanas ierobežojums
Datu saņēmējs glabā personas datus ne ilgāk kā nepieciešams tāda(-u) mērķa(-u) īstenošanai, kuram(-iem) tie tiek apstrādāti. Tas veic atbilstošus tehniskos un organizatoriskos pasākumus, lai nodrošinātu atbilstību šim pienākumam, tostarp datu un visu rezerves kopiju dzēšanu vai anonimizāciju (2) glabāšanas perioda beigās.
8.5. Apstrādes drošība
|
a) |
Datu saņēmējs un nosūtīšanas laikā arī datu nosūtītājs īsteno atbilstošus tehniskos un organizatoriskos pasākumus, lai nodrošinātu personas datu drošību, tostarp aizsardzību pret drošības pārkāpumiem, kuru rezultātā var notikt nejauša vai nelikumīga datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem (turpmāk tekstā – “personas datu aizsardzības pārkāpums”). Novērtējot atbilstošu drošības līmeni, tiem ir pienācīgi jāņem vērā tehniskās iespējas, īstenošanas izmaksas, apstrādes raksturs, apmērs, konteksts un nolūks un ar apstrādi saistītie riski datu subjektam. Pusēm jo īpaši jāapsver iespēja izmantot šifrēšanu vai pseidonimizāciju, tostarp nosūtīšanas laikā, ja tādējādi var sasniegt apstrādes mērķi. |
|
b) |
Puses ir vienojušās par tehniskajiem un organizatoriskajiem pasākumiem, kas paredzēti II pielikumā. Datu saņēmējs veic regulāras pārbaudes, lai nodrošinātu, ka šādi pasākumi turpina nodrošināt atbilstošu drošības līmeni. |
|
c) |
Datu saņēmējs nodrošina, ka personas, kuras ir pilnvarotas apstrādāt personas datus, ir apņēmušās ievērot konfidencialitāti vai tām ir noteikts attiecīgs likumisks pienākums ievērot konfidencialitāti. |
|
d) |
Personas datu aizsardzības pārkāpuma gadījumā, kas attiecas uz personas datiem, ko apstrādā datu saņēmējs saskaņā ar šīm klauzulām, datu saņēmējs veic atbilstošus pasākumus, lai novērstu personas datu aizsardzības pārkāpumu, tostarp pasākumus, lai mazinātu iespējamo nelabvēlīgo ietekmi. |
|
e) |
Tāda personas datu aizsardzības pārkāpuma gadījumā, kas var radīt risku fizisku personu tiesībām un brīvībām, datu saņēmējs bez nepamatotas kavēšanās par to paziņo gan datu nosūtītājam, gan kompetentajai uzraudzības iestādei saskaņā ar 13. klauzulu. Šādā paziņojumā norāda i) aprakstu par pārkāpuma raksturu (tostarp, ja iespējams, attiecīgo datu subjektu un personas datu ierakstu kategorijas un aptuveno skaitu), ii) tā iespējamās sekas, iii) veiktos vai ierosinātos pasākumus, lai novērstu pārkāpumu, un iv) datus par kontaktpunktu papildu informācijas saņemšanai. Ciktāl datu saņēmējam nav iespējams sniegt visu informāciju vienlaikus, to var sniegt pa posmiem bez turpmākas nepamatotas kavēšanās. |
|
f) |
Gadījumā, ja personas datu aizsardzības pārkāpums varētu radīt augstu risku fizisku personu tiesībām un brīvībām, datu saņēmējs arī bez nepamatotas kavēšanās paziņo attiecīgajiem datu subjektiem par personas datu aizsardzības pārkāpumu un tā raksturu, nepieciešamības gadījumā sadarbojoties ar datu nosūtītāju, kā arī informāciju, kas minēta e) punkta ii)–iv) apakšpunktā, ja vien datu saņēmējs nav veicis pasākumus, lai būtiski samazinātu risku fizisku personu tiesībām un brīvībām, vai paziņošana neprasa nesamērīgi lielas pūles. Datu saņēmēja jau ieviestu pasākumu vai nesamērīgi lielu pūļu gadījumā datu saņēmējs izdod publisku paziņojumu vai īsteno līdzīgu pasākumu, lai informētu sabiedrību par personas datu aizsardzības pārkāpumu. |
|
g) |
Datu saņēmējs dokumentē visus attiecīgos faktus saistībā ar personas datu aizsardzības pārkāpumu, tostarp tā sekas un visas veiktās koriģējošās darbības, un veic attiecīgu uzskaiti. |
8.6. Sensitīvi dati
Gadījumā, ja tiek nosūtīti personas dati, kuri atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, ģenētiskie dati vai biometriskie dati fiziskas personas unikālai identifikācijai, veselības dati vai dati par fiziskas personas dzimumdzīvi vai seksuālo orientāciju, vai dati par sodāmību vai pārkāpumiem (turpmāk tekstā – “sensitīvi dati”), datu saņēmējs piemēro konkrētus ierobežojumus un/vai papildu garantijas, kas piemērotas datu un saistīto risku īpatnībām. Tie cita starpā var būt ierobežojumi attiecībā uz darbiniekiem, kuriem atļauts piekļūt personas datiem, papildu drošības pasākumi (piemēram, pseidonimizācija) un/vai papildu ierobežojumi saistībā ar tālāku izpaušanu.
8.7. Tālāka nosūtīšana
Datu saņēmējs neizpauž personas datus trešām personām, kas atrodas ārpus Eiropas Savienības (3) (tajā pašā valstī, kurā atrodas datu saņēmējs, vai citā trešā valstī, turpmāk tekstā – “tālāka nosūtīšana”), ja vien trešai personai nav saistošas šīs klauzulas vai arī tā nepiekrīt, ka tai ir saistošas šīs klauzulas, saskaņā ar atbilstošo moduli. Pretējā gadījumā datu saņēmējs drīkst veikt tālāku nosūtīšanu tikai ar šādiem nosacījumiem:
|
i) |
ja to veic uz valsti, attiecībā uz kuru ir pieņemts lēmums par aizsardzības līmeņa pietiekamību saskaņā ar (ES) 2016/679 45. pantu, kurš attiecas uz tālāku nosūtīšanu; |
|
ii) |
ja trešā persona citādi nodrošina atbilstošas garantijas saskaņā ar Regulas (ES) 2016/679 46. vai 47. pantu attiecībā uz konkrēto apstrādi; |
|
iii) |
ja trešā persona vienojas ar datu saņēmēju par saistošu instrumentu, kas nodrošina tādu pašu datu aizsardzības līmeni kā šīs klauzulas, un datu saņēmējs datu nosūtītājam dara pieejamu attiecīgo garantiju kopiju; |
|
iv) |
ja tā ir vajadzīga likumīgu prasību celšanai, īstenošanai vai aizstāvēšanai konkrētu administratīvo procesu, regulatīvo procesu vai tiesvedības procesu kontekstā; |
|
v) |
ja tā ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses; vai, |
|
vi) |
neesot spēkā nevienam citam nosacījumam, – ja datu saņēmējs ir ieguvis datu subjekta nepārprotamu piekrišanu tālākai nosūtīšanai konkrētā situācijā pēc tam, kad tas ir informējis datu subjektu par tālākas nosūtīšanas mērķi(-iem), saņēmēja identitāti un iespējamiem riskiem, ko šāda nosūtīšana rada datu subjektam atbilstošu datu aizsardzības garantiju neesības dēļ. Šādā gadījumā datu saņēmējs informē datu nosūtītāju un pēc datu nosūtītāja pieprasījuma nosūta tam datu subjektam sniegtās informācijas kopiju; |
Jebkuras tālākas nosūtīšanas gadījumā datu saņēmējam jāievēro visas pārējās garantijas atbilstoši šīm klauzulām, jo īpaši nolūka ierobežojumi.
8.8. Apstrāde datu saņēmēja pakļautībā
Datu saņēmējs nodrošina, ka ikviena persona, kas darbojas tā pakļautībā, tostarp apstrādātājs, apstrādā minētos datus vienīgi saskaņā ar datu saņēmēja norādījumiem.
8.9. Dokumentācija un atbilstība
|
a) |
Visām pusēm jāspēj apliecināt atbilstību šajās klauzulās paredzētajiem pienākumiem. Konkrētāk, datu saņēmējs glabā atbilstošo dokumentāciju par veiktajām apstrādes darbībām, par ko tas ir atbildīgs. |
|
b) |
Datu saņēmējs dara šādu dokumentāciju pieejamu pēc kompetentās uzraudzības iestādes pieprasījuma. |
OTRAIS MODULIS. Nosūtīšana no pārziņa apstrādātājam
8.1. Norādījumi
|
a) |
Datu saņēmējs apstrādā personas datus tikai pēc datu nosūtītāja dokumentētiem norādījumiem. Datu nosūtītājs var sniegt šādus norādījumus visā līguma darbības laikā. |
|
b) |
Datu saņēmējs nekavējoties informē datu nosūtītāju, ja tas nevar izpildīt minētos norādījumus. |
8.2. Mērķa ierobežojums
Datu saņēmējs apstrādā personas datus tikai konkrētajam(-iem) mērķim(-iem), kuram(-iem) tie nosūtīti, saskaņā ar I.B pielikumu, ja vien datu nosūtītājs nav sniedzis papildu norādījumus.
8.3. Pārredzamība
Pēc pieprasījuma datu nosūtītājs bez maksas dara datu subjektam pieejamu šo klauzulu, tostarp pušu aizpildītā papildinājuma, kopiju. Ciktāl tas nepieciešams komercnoslēpuma vai citas konfidenciālas informācijas, tostarp II pielikumā aprakstīto pasākumu un personas datu, aizsardzībai, datu nosūtītājs var rediģēt šo klauzulu papildinājuma tekstu pirms tā kopijas kopīgošanas, taču tas sniedz jēgpilnu kopsavilkumu, ja datu subjektam citādi nebūtu iespējams izprast tā saturu vai izmantot savas tiesības. Puses pēc pieprasījuma atklāj datu subjektam rediģēšanas iemeslus, ciktāl tas iespējams, neatklājot rediģēto informāciju. Šī klauzula neskar datu nosūtītāja pienākumus saskaņā ar Regulas (ES) 2016/679 13. un 14. pantu.
8.4. Precizitāte
Ja datu saņēmējam kļūst zināms, ka personas dati, kurus tas saņēmis, nav precīzi vai arī tie ir novecojuši, tas nekavējoties informē datu nosūtītāju. Šādā gadījumā datu saņēmējs sadarbojas ar datu nosūtītāju, lai dzēstu vai labotu datus.
8.5. Apstrādes ilgums un datu dzēšana vai atdošana
Datu saņēmējs veic apstrādi tikai laikposmā, kas norādīts I.B pielikumā. Pēc apstrādes pakalpojumu sniegšanas beigām datu saņēmējs pēc datu nosūtītāja izvēles dzēš visus personas datus, kas apstrādāti datu nosūtītāja vārdā, un apliecina datu nosūtītājam šādas darbības veikšanu vai atdod datu nosūtītājam visus tā vārdā apstrādātos datus un dzēš esošās kopijas. Līdz brīdim, kad dati tiek dzēsti vai nodoti atpakaļ, datu saņēmējs turpina nodrošināt atbilstību šīm klauzulām. Ja vietējos tiesību aktos attiecībā uz datu saņēmēju tiek aizliegta personas datu atdošana vai dzēšana, datu saņēmējs garantē, ka tas turpinās nodrošināt atbilstību šīm klauzulām un veiks datu apstrādi tikai tādā apmērā un tik ilgi, kā noteikts vietējos tiesību aktos. Tas neskar 14. klauzulu, jo īpaši 14. klauzulas e) punktā paredzēto prasību datu saņēmējiem visā līguma darbības laikā sniegt paziņojumu datu nosūtītājam, ja tam ir iemesls uzskatīt, ka uz to attiecas vai turpmāk attieksies tiesību akti vai prakse, kas neatbilst 14. klauzulas e) punktā paredzētajām prasībām.
8.6. Apstrādes drošība
|
a) |
Datu saņēmējs un nosūtīšanas laikā arī datu nosūtītājs īsteno atbilstošus tehniskos un organizatoriskos pasākumus, lai nodrošinātu datu drošību, tostarp aizsardzību pret drošības pārkāpumiem, kuru rezultātā var notikt nejauša vai nelikumīga datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem (turpmāk tekstā – “personas datu aizsardzības pārkāpums”). Novērtējot atbilstošu drošības līmeni, pusēm ir pienācīgi jāņem vērā tehniskās iespējas, īstenošanas izmaksas, apstrādes raksturs, apmērs, konteksts un nolūks un ar apstrādi saistītie riski datu subjektiem. Pusēm jo īpaši jāapsver iespēja izmantot šifrēšanu vai pseidonimizāciju, tostarp nosūtīšanas laikā, ja tādējādi var sasniegt apstrādes mērķi. Ja iespējams, pseidonimizācijas gadījumā papildu informācija personas datu sasaistei ar konkrētu datu subjektu paliek datu nosūtītāja ekskluzīvā kontrolē. Nodrošinot savu pienākumu izpildi saskaņā ar šo punktu, datu saņēmējam jāīsteno vismaz II pielikumā minētie tehniskie un organizatoriskie pasākumi. Datu saņēmējs veic regulāras pārbaudes, lai nodrošinātu, ka šādi pasākumi turpina sniegt atbilstošu drošības līmeni. |
|
b) |
Datu saņēmējs saviem darbiniekiem nodrošina piekļuvi personas datiem vienīgi tādā apmērā, kas ir obligāti vajadzīgs līguma īstenošanai, pārvaldībai un uzraudzībai. Tas nodrošina, ka personas, kuras ir pilnvarotas apstrādāt personas datus, ir apņēmušās ievērot konfidencialitāti vai tām ir noteikts attiecīgs likumisks pienākums ievērot konfidencialitāti. |
|
c) |
Personas datu aizsardzības pārkāpuma gadījumā, kas attiecas uz personas datiem, ko apstrādā datu saņēmējs saskaņā ar šīm klauzulām, datu saņēmējs veic atbilstošus pasākumus, lai novērstu personas datu aizsardzības pārkāpumu, tostarp pasākumus, lai mazinātu nelabvēlīgo ietekmi. Datu saņēmējs arī bez nepamatotas kavēšanās informē datu nosūtītāju pēc tam, kad tam kļuvis zināms par pārkāpumu. Šādā paziņojumā norāda datus par kontaktpunktu papildu informācijas saņemšanai, aprakstu par pārkāpuma raksturu (tostarp, ja iespējams, attiecīgo datu subjektu un personas datu ierakstu kategorijas un aptuveno skaitu), tā iespējamās sekas un veiktos vai ierosinātos pasākumus, lai novērstu pārkāpumu, tostarp attiecīgajos gadījumos pasākumus tā iespējamās nelabvēlīgās ietekmes mazināšanai. Ja un ciktāl nav iespējams sniegt visu informāciju vienlaikus, sākotnējā paziņojumā jānorāda visa attiecīgajā brīdī pieejamā informācija un pēc tam bez nepamatotas kavēšanās jāsniedz papildu informācija, tiklīdz tā kļūst pieejama. |
|
d) |
Datu saņēmējs sadarbojas ar datu nosūtītāju un palīdz tam, lai nodrošinātu iespēju datu nosūtītājam izpildīt Regulā (ES) 2016/679 paredzētos pienākumus, jo īpaši paziņot kompetentajai uzraudzības iestādei un skartajiem datu subjektiem, ņemot vērā apstrādes veidu un datu saņēmējam pieejamo informāciju. |
8.7. Sensitīvi dati
Gadījumā, ja tiek nosūtīti personas dati, kuri atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, ģenētiskie dati vai biometriskie dati fiziskas personas unikālai identifikācijai, veselības dati vai dati par fiziskas personas dzimumdzīvi vai seksuālo orientāciju, vai dati par sodāmību un pārkāpumiem (turpmāk tekstā – “sensitīvi dati”), datu saņēmējs piemēro konkrētus ierobežojumus un/vai papildu garantijas, kas aprakstītas I.B pielikumā.
8.8. Tālāka nosūtīšana
Datu saņēmējs izpauž personas datus trešai personai vienīgi saskaņā ar datu nosūtītāja dokumentētiem norādījumiem. Turklāt izpaust datus trešām personām, kas atrodas ārpus Eiropas Savienības (4) (tajā pašā valstī, kurā atrodas datu saņēmējs, vai citā trešā valstī, turpmāk tekstā – “tālāka nosūtīšana”), drīkst tikai tad, ja trešai personai ir saistošas šīs klauzulas vai arī tā piekrīt, ka tai ir saistošas šīs klauzulas, saskaņā ar atbilstošo moduli, vai ja:
|
i) |
tālāku nosūtīšanu veic uz valsti, attiecībā uz kuru ir pieņemts lēmums par aizsardzības līmeņa pietiekamību saskaņā ar (ES) 2016/679 45. pantu, kurš attiecas uz tālāku nosūtīšanu; |
|
ii) |
trešā persona citādi nodrošina atbilstošas garantijas saskaņā ar Regulas (ES) 2016/679 46. vai 47. pantu attiecībā uz konkrēto apstrādi; |
|
iii) |
tālāka nosūtīšana ir vajadzīga likumīgu prasību celšanai, īstenošanai vai aizstāvēšanai konkrētu administratīvo procesu, regulatīvo procesu vai tiesvedības procesu kontekstā; vai |
|
iv) |
tālāka nosūtīšana ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses. |
Jebkuras tālākas nosūtīšanas gadījumā datu saņēmējam jāievēro visas pārējās garantijas atbilstoši šīm klauzulām, jo īpaši nolūka ierobežojumi.
8.9. Dokumentācija un atbilstība
|
a) |
Datu saņēmējs ātri un pienācīgi izskata no datu nosūtītāja saņemtus jautājumus, kas saistīti ar apstrādi saskaņā ar šīm klauzulām. |
|
b) |
Pusēm jāspēj apliecināt atbilstību šīm klauzulām. Konkrētāk, datu saņēmējs glabā atbilstošo dokumentāciju par datu nosūtītāja vārdā veiktajām apstrādes darbībām. |
|
c) |
Datu saņēmējs sniedz datu nosūtītājam visu informāciju, kas nepieciešama, lai apliecinātu atbilstību šajās klauzulās noteiktajiem pienākumiem, un pēc datu nosūtītāja pieprasījuma ļauj un palīdz veikt tādu apstrādes darbību revīzijas, uz kurām attiecas šīs klauzulas, ar pamatotu regularitāti vai ja pastāv norādes uz neatbilstību. Pieņemot lēmumu par pārbaudi vai revīziju, datu nosūtītājs var ņemt vērā atbilstīgos datu saņēmēja sertifikātus. |
|
d) |
Datu nosūtītājs var izvēlēties veikt revīziju pats vai pilnvarot neatkarīgu revidentu. Revīzijas var ietvert pārbaudes datu saņēmēja telpās vai fiziskos objektos un attiecīgajos gadījumos tikt veiktas, par to paziņojot saprātīgā termiņā. |
|
e) |
Puses pēc kompetentās uzraudzības iestādes pieprasījuma sniedz b) un c) punktā minēto informāciju, tostarp jebkādu revīziju rezultātus. |
TREŠAIS MODULIS. Nosūtīšana no apstrādātāja apstrādātājam
8.1. Norādījumi
|
a) |
Datu nosūtītājs ir informējis datu saņēmēju, ka tas rīkojas kā apstrādātājs saskaņā ar pārziņa(-u) norādījumiem, kurus datu nosūtītājs sniedz datu saņēmējam pirms apstrādes. |
|
b) |
Datu saņēmējs apstrādā personas datus tikai pēc pārziņa dokumentētiem norādījumiem, kurus datu saņēmējam sniedzis datu nosūtītājs, kā arī pēc jebkādiem datu nosūtītāja sniegtiem papildu dokumentētiem norādījumiem. Šādi papildu norādījumi nedrīkst būt pretrunā pārziņa norādījumiem. Pārzinis vai datu nosūtītājs var sniegt papildu dokumentētus norādījumus par datu apstrādi visā līguma darbības laikā. |
|
c) |
Datu saņēmējs nekavējoties informē datu nosūtītāju, ja tas nevar izpildīt minētos norādījumus. Gadījumā, ja datu saņēmējs nevar izpildīt pārziņa norādījumus, datu nosūtītājs nekavējoties par to informē pārzini. |
|
d) |
Datu saņēmējs garantē, ka tas ir noteicis datu saņēmējam tādus pašus datu aizsardzības pienākumus, kādi ir paredzēti līgumā vai citā juridiskā dokumentā atbilstoši Savienības vai dalībvalsts tiesību aktiem starp pārzini un datu nosūtītāju (5). |
8.2. Mērķa ierobežojums
Datu saņēmējs apstrādā personas datus tikai konkrētajam(-iem) mērķim(-iem), kuram(-iem) tie nosūtīti, saskaņā ar I.B pielikumu, ja vien nav saņemti papildu norādījumi no pārziņa (kurus datu saņēmējam sniedzis datu nosūtītājs) vai no datu nosūtītāja.
8.3. Pārredzamība
Pēc pieprasījuma datu nosūtītājs bez maksas dara datu subjektam pieejamu šo klauzulu, tostarp pušu aizpildītā papildinājuma, kopiju. Ciktāl tas nepieciešams komercnoslēpuma vai citas konfidenciālas informācijas, tostarp personas datu, aizsardzībai, datu nosūtītājs var daļēji rediģēt šā papildinājuma tekstu pirms tā kopijas kopīgošanas, taču tas sniedz jēgpilnu kopsavilkumu, ja datu subjektam citādi nebūtu iespējams izprast tā saturu vai izmantot savas tiesības. Puses pēc pieprasījuma atklāj datu subjektam rediģēšanas iemeslus, ciktāl tas iespējams, neatklājot rediģēto informāciju.
8.4. Precizitāte
Ja datu saņēmējam kļūst zināms, ka personas dati, kurus tas saņēmis, nav precīzi vai arī tie ir novecojuši, tas nekavējoties informē datu nosūtītāju. Šādā gadījumā datu saņēmējs sadarbojas ar datu nosūtītāju, lai labotu vai dzēstu datus.
8.5. Apstrādes ilgums un datu dzēšana vai atdošana
Datu saņēmējs veic apstrādi tikai laikposmā, kas norādīts I.B pielikumā. Pēc apstrādes pakalpojumu sniegšanas beigām datu saņēmējs pēc datu nosūtītāja izvēles dzēš visus personas datus, kas apstrādāti pārziņa vārdā, un apliecina datu nosūtītājam šādas darbības veikšanu vai atdod datu nosūtītājam visus tā vārdā apstrādātos personas datus un dzēš esošās kopijas. Līdz brīdim, kad dati tiek dzēsti vai nodoti atpakaļ, datu saņēmējs turpina nodrošināt atbilstību šīm klauzulām. Ja vietējos tiesību aktos attiecībā uz datu saņēmēju tiek aizliegta personas datu atdošana vai dzēšana, datu saņēmējs garantē, ka tas turpinās nodrošināt atbilstību šīm klauzulām un veiks datu apstrādi tikai tādā apmērā un tik ilgi, kā noteikts vietējos tiesību aktos. Tas neskar 14. klauzulu, jo īpaši 14. klauzulas e) punktā paredzēto prasību datu saņēmējiem visā līguma darbības laikā sniegt paziņojumu datu nosūtītājam, ja tam ir iemesls uzskatīt, ka uz to attiecas vai turpmāk attieksies tiesību akti vai prakse, kas neatbilst 14. klauzulas e) punktā paredzētajām prasībām.
8.6. Apstrādes drošība
|
a) |
Datu saņēmējs un nosūtīšanas laikā arī datu nosūtītājs īsteno atbilstošus tehniskos un organizatoriskos pasākumus, lai nodrošinātu datu drošību, tostarp aizsardzību pret drošības pārkāpumiem, kuru rezultātā var notikt nejauša vai nelikumīga datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem (turpmāk tekstā – “personas datu aizsardzības pārkāpums”). Novērtējot atbilstošu drošības līmeni, tiem ir pienācīgi jāņem vērā tehniskās iespējas, īstenošanas izmaksas, apstrādes raksturs, apmērs, konteksts un nolūks un ar apstrādi saistītie riski datu subjektam. Pusēm jo īpaši jāapsver iespēja izmantot šifrēšanu vai pseidonimizāciju, tostarp nosūtīšanas laikā, ja tādējādi var sasniegt apstrādes mērķi. Ja iespējams, pseidonimizācijas gadījumā papildu informācija personas datu sasaistei ar konkrētu datu subjektu paliek datu nosūtītāja vai pārziņa ekskluzīvā kontrolē. Nodrošinot savu pienākumu izpildi saskaņā ar šo punktu, datu saņēmējam jāīsteno vismaz II pielikumā minētie tehniskie un organizatoriskie pasākumi. Datu saņēmējs veic regulāras pārbaudes, lai nodrošinātu, ka šādi pasākumi turpina sniegt atbilstošu drošības līmeni. |
|
b) |
Datu saņēmējs saviem darbiniekiem nodrošina piekļuvi datiem vienīgi tādā apmērā, kas ir obligāti nepieciešams līguma īstenošanai, pārvaldībai un uzraudzībai. Datu nosūtītājs nodrošina, ka personas, kuras ir pilnvarotas apstrādāt personas datus, ir apņēmušās ievērot konfidencialitāti vai tām ir noteikts attiecīgs likumisks pienākums ievērot konfidencialitāti. |
|
c) |
Personas datu aizsardzības pārkāpuma gadījumā, kas attiecas uz personas datiem, ko apstrādā datu saņēmējs saskaņā ar šīm klauzulām, datu saņēmējs veic atbilstošus pasākumus, lai novērstu personas datu aizsardzības pārkāpumu, tostarp pasākumus, lai mazinātu tā nelabvēlīgo ietekmi. Pēc tam, kad tam kļuvis zināms par pārkāpumu, datu saņēmējs bez nepamatotas kavēšanās arī informē datu nosūtītāju un, ja tas ir piemēroti un iespējami, – pārzini. Šādā paziņojumā norāda datus par kontaktpunktu papildu informācijas saņemšanai, aprakstu par pārkāpuma raksturu (tostarp, ja iespējams, attiecīgo datu subjektu un personas datu ierakstu kategorijas un aptuveno skaitu), tā iespējamās sekas un veiktos vai ierosinātos pasākumus, lai novērstu datu aizsardzības pārkāpumu, tostarp pasākumus tā iespējamās nelabvēlīgās ietekmes mazināšanai. Ja un ciktāl nav iespējams sniegt visu informāciju vienlaikus, sākotnējā paziņojumā jānorāda visa attiecīgajā brīdī pieejamā informācija un pēc tam bez nepamatotas kavēšanās jāsniedz papildu informācija, tiklīdz tā kļūst pieejama. |
|
d) |
Datu saņēmējs sadarbojas ar datu nosūtītāju un palīdz tam, lai nodrošinātu iespēju datu nosūtītājam izpildīt Regulā (ES) 2016/679 paredzētos pienākumus, jo īpaši informēt pārzini, lai tas savukārt varētu informēt kompetento uzraudzības iestādi un skartos datu subjektus, ņemot vērā apstrādes veidu un datu saņēmējam pieejamo informāciju. |
8.7. Sensitīvi dati
Gadījumā, ja tiek nosūtīti personas dati, kuri atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, ģenētiskie dati vai biometriskie dati fiziskas personas unikālai identifikācijai, veselības dati vai dati par fiziskas personas dzimumdzīvi vai seksuālo orientāciju, vai dati par sodāmību un pārkāpumiem (turpmāk tekstā – “sensitīvi dati”), datu saņēmējs piemēro konkrētus ierobežojumus un/vai papildu garantijas, kas aprakstītas I.B pielikumā.
8.8. Tālāka nosūtīšana
Datu saņēmējs izpauž personas datus trešai personai vienīgi saskaņā ar pārziņa dokumentētiem norādījumiem, kurus datu saņēmējam sniedzis datu nosūtītājs. Turklāt izpaust datus trešām personām, kas atrodas ārpus Eiropas Savienības (6) (tajā pašā valstī, kurā atrodas datu saņēmējs, vai citā trešā valstī, turpmāk tekstā – “tālāka nosūtīšana”), drīkst tikai tad, ja trešai personai ir saistošas šīs klauzulas vai arī tā piekrīt, ka tai ir saistošas šīs klauzulas, saskaņā ar atbilstošo moduli, vai ja:
|
i) |
tālāku nosūtīšanu veic uz valsti, attiecībā uz kuru ir pieņemts lēmums par aizsardzības līmeņa pietiekamību saskaņā ar (ES) 2016/679 45. pantu, kurš attiecas uz tālāku nosūtīšanu; |
|
ii) |
trešā persona citādi nodrošina atbilstošas garantijas saskaņā ar Regulas (ES) 2016/679 46. vai 47. pantu; |
|
iii) |
tālāka nosūtīšana ir vajadzīga likumīgu prasību celšanai, īstenošanai vai aizstāvēšanai konkrētu administratīvo procesu, regulatīvo procesu vai tiesvedības procesu kontekstā; vai |
|
iv) |
tālāka nosūtīšana ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses. |
Jebkuras tālākas nosūtīšanas gadījumā datu saņēmējam jāievēro visas pārējās garantijas atbilstoši šīm klauzulām, jo īpaši nolūka ierobežojumi.
8.9. Dokumentācija un atbilstība
|
a) |
Datu saņēmējs ātri un pienācīgi izskata no datu nosūtītāja vai pārziņa saņemtus jautājumus, kas saistīti ar apstrādi saskaņā ar šīm klauzulām. |
|
b) |
Pusēm jāspēj apliecināt atbilstību šīm klauzulām. Konkrētāk, datu saņēmējs glabā atbilstošo dokumentāciju par pārziņa vārdā veiktajām apstrādes darbībām. |
|
c) |
Datu saņēmējs sniedz datu nosūtītājam visu informāciju, kas nepieciešama, lai apliecinātu atbilstību šajās klauzulās noteiktajiem pienākumiem, un datu nosūtītājs sniedz šo informāciju pārzinim. |
|
d) |
Datu saņēmējs ļauj un palīdz datu nosūtītājam veikt tādu apstrādes darbību revīzijas, uz kurām attiecas šīs klauzulas, ar pamatotu regularitāti vai ja pastāv norādes uz neatbilstību. Tā pati prasība attiecas uz gadījumiem, kad datu nosūtītājs pieprasa revīziju saskaņā ar pārziņa norādījumiem. Pieņemot lēmumu par revīziju, datu nosūtītājs var ņemt vērā atbilstīgos datu saņēmēja sertifikātus. |
|
e) |
Ja revīzija tiek veikta saskaņā ar pārziņa norādījumiem, datu nosūtītājs nodrošina rezultātu pieejamību pārzinim. |
|
f) |
Datu nosūtītājs var izvēlēties veikt revīziju pats vai pilnvarot neatkarīgu revidentu. Revīzijas var ietvert pārbaudes datu saņēmēja telpās vai fiziskos objektos un attiecīgajos gadījumos tikt veiktas, par to paziņojot saprātīgā termiņā. |
|
g) |
Puses pēc kompetentās uzraudzības iestādes pieprasījuma sniedz b) un c) punktā minēto informāciju, tostarp jebkādu revīziju rezultātus. |
CETURTAIS MODULIS. Nosūtīšana no apstrādātāja pārzinim
8.1. Norādījumi
|
a) |
Datu nosūtītājs apstrādā personas datus tikai pēc datu saņēmēja, kas rīkojas kā to pārzinis, dokumentētiem norādījumiem. |
|
b) |
Datu nosūtītājs nekavējoties informē datu saņēmēju, ja tas nevar izpildīt attiecīgos norādījumus, tostarp tad, ja šādi norādījumi pārkāpj Regulu (ES) 2016/679 vai citus Savienības vai dalībvalsts datu aizsardzības tiesību aktus. |
|
c) |
Datu saņēmējam jāatturas veikt jebkādas darbības, kuras traucētu datu nosūtītājam izpildīt Regulā (ES) 2016/679 paredzētos pienākumus, tostarp saistībā ar apakšapstrādi vai attiecībā uz sadarbību ar kompetentajām uzraudzības iestādēm. |
|
d) |
Pēc apstrādes pakalpojumu sniegšanas beigām datu nosūtītājs pēc datu saņēmēja izvēles dzēš visus personas datus, kas apstrādāti datu saņēmēja vārdā, un apliecina datu saņēmējam šādas darbības veikšanu vai atdod datu saņēmējam visus tā vārdā apstrādātos datus un dzēš esošās kopijas. |
8.2. Apstrādes drošība
|
a) |
Puses īsteno atbilstošus tehniskos un organizatoriskos pasākumus, lai nodrošinātu datu drošību, tostarp nosūtīšanas laikā, un aizsardzību pret drošības pārkāpumiem, kuru rezultātā var notikt nejauša vai nelikumīga datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem (turpmāk tekstā – “personas datu aizsardzības pārkāpums”). Novērtējot atbilstošu drošības līmeni, tiem ir pienācīgi jāņem vērā tehniskās iespējas, īstenošanas izmaksas, personas datu raksturs (7), apstrādes raksturs, apmērs, konteksts un nolūks un ar apstrādi saistītie riski datu subjektam, un jo īpaši jāapsver iespēja izmantot šifrēšanu vai pseidonimizāciju, tostarp nosūtīšanas laikā, ja tādējādi var sasniegt apstrādes mērķi. |
|
b) |
Datu nosūtītājs palīdz datu saņēmējam nodrošināt pienācīgu datu drošību saskaņā ar a) punktu. Personas datu aizsardzības pārkāpuma gadījumā, kas attiecas uz personas datiem, ko apstrādā datu nosūtītājs saskaņā ar šīm klauzulām, datu nosūtītājs bez nepamatotas kavēšanās informē datu saņēmēju pēc tam, kad tam kļuvis zināms par pārkāpumu, un palīdz datu saņēmējam novērst attiecīgo pārkāpumu. |
|
c) |
Datu nosūtītājs nodrošina, ka personas, kuras ir pilnvarotas apstrādāt personas datus, ir apņēmušās ievērot konfidencialitāti vai tām ir noteikts attiecīgs likumisks pienākums ievērot konfidencialitāti. |
8.3. Dokumentācija un atbilstība
|
a) |
Pusēm jāspēj apliecināt atbilstību šīm klauzulām. |
|
b) |
Datu nosūtītājs sniedz datu saņēmējam visu informāciju, kas nepieciešama, lai apliecinātu atbilstību šajās klauzulās noteiktajiem pienākumiem, kā arī ļauj un palīdz veikt revīzijas. |
9. klauzula
Apakšapstrādātāju izmantošana
OTRAIS MODULIS. Nosūtīšana no pārziņa apstrādātājam
|
a) |
1. IZVĒLE. KONKRĒTA IEPRIEKŠĒJA ATĻAUJA. Datu saņēmējs ne par vienu no savām apstrādes darbībām, kuras tiek veiktas datu nosūtītāja vārdā saskaņā ar šīm klauzulām, neslēdz apakšlīgumu ar apakšapstrādātāju bez datu nosūtītāja iepriekšējas konkrētas rakstiskas atļaujas. Datu saņēmējs iesniedz konkrētas atļaujas pieprasījumu vismaz [Norādīt laika periodu] pirms apakšapstrādātāja piesaistīšanas kopā ar informāciju, kas nepieciešama, lai sniegtu datu nosūtītājam iespēju pieņemt lēmumu par atļaujas piešķiršanu. Tādu apakšapstrādātāju saraksts, kurus datu nosūtītājs jau ir apstiprinājis, ir atrodams III pielikumā. Puses atjaunina III pielikumu. 2. IZVĒLE. VISPĀRĒJA RAKSTISKA ATĻAUJA. Datu saņēmējam ir datu nosūtītāja vispārējā atļauja apakšapstrādātāja(-u) piesaistīšanai no apstiprināta saraksta. Datu saņēmējs īpaši paziņo datu nosūtītājam rakstveidā par jebkādām paredzētām izmaiņām minētajā sarakstā, pievienojot vai aizstājot apakšapstrādātājus, vismaz [Norādīt laika periodu] iepriekš, tādējādi nodrošinot datu nosūtītājam pietiekami daudz laika, lai tas varētu iebilst pret šādām izmaiņām pirms apakšapstrādātāja(-u) piesaistīšanas. Datu saņēmējs sniedz datu nosūtītājam informāciju, kas nepieciešama, lai ļautu datu nosūtītājam izmantot savas tiesības iebilst. |
|
b) |
Ja datu saņēmējs piesaista apakšapstrādātāju konkrētu apstrādes darbību īstenošanai (datu nosūtītāja vārdā), to veic, izmantojot rakstisku līgumu, kurā pēc būtības noteikti tādi paši datu aizsardzības pienākumi kā līgumos, kuri ir saistoši datu saņēmējam saskaņā ar šīm klauzulām, tostarp attiecībā uz ieinteresēto trešo personu tiesībām datu subjektiem (8). Puses vienojas, ka, nodrošinot atbilstību šai klauzulai, datu saņēmējs izpilda 8.8. klauzulā paredzētos pienākumus. Datu saņēmējs nodrošina, ka apakšapstrādātājs izpilda pienākumus, kuri attiecas uz datu saņēmēju saskaņā ar šīm klauzulām. |
|
c) |
Datu saņēmējs pēc datu nosūtītāja pieprasījuma datu nosūtītājam dara pieejamu šāda apakšapstrādātāja līguma un jebkādu turpmāko grozījumu kopiju. Ciktāl tas nepieciešams komercnoslēpuma vai citas konfidenciālas informācijas, tostarp personas datu, aizsardzībai, datu saņēmējs var rediģēt līguma tekstu pirms kopijas kopīgošanas. |
|
d) |
Datu saņēmējs saglabā pilnu atbildību datu nosūtītāja priekšā par apakšapstrādātāja pienākumu īstenošanu atbilstoši līgumam ar datu saņēmēju. Datu saņēmējs informē datu nosūtītāju, ja apakšapstrādātājs jebkādā veidā nav izpildījis minētajā līgumā paredzētos pienākumus. |
|
e) |
Datu saņēmējs vienojas ar apakšapstrādātāju par ieinteresēto trešo personu klauzulu, tādējādi gadījumā, ja datu saņēmējs ir faktiski zudis, juridiski beidzis pastāvēt vai arī ir kļuvis maksātnespējīgs, datu nosūtītājam ir tiesības izbeigt apakšapstrādātāja līgumu un dot apakšapstrādātājam rīkojumu dzēst vai atdot personas datus. |
TREŠAIS MODULIS. Nosūtīšana no apstrādātāja apstrādātājam
|
a) |
1. IZVĒLE. KONKRĒTA IEPRIEKŠĒJA ATĻAUJA. Datu saņēmējs ne par vienu no savām apstrādes darbībām, kuras tiek veiktas datu nosūtītāja vārdā saskaņā ar šīm klauzulām, neslēdz apakšlīgumu ar apakšapstrādātāju bez pārziņa iepriekšējas konkrētas rakstiskas atļaujas. Datu saņēmējs iesniedz konkrētas atļaujas pieprasījumu vismaz [Norādīt laika periodu] pirms apakšapstrādātāja piesaistīšanas kopā ar informāciju, kas nepieciešama, lai sniegtu pārzinim iespēju pieņemt lēmumu par atļaujas piešķiršanu. Tas informē datu nosūtītāju par šādu piesaistīšanu. Tādu apakšapstrādātāju saraksts, kurus pārzinis jau ir apstiprinājis, ir atrodams III pielikumā. Puses atjaunina III pielikumu. 2. IZVĒLE. VISPĀRĒJA RAKSTISKA ATĻAUJA. Datu saņēmējam ir pārziņa vispārējā atļauja apakšapstrādātāja(-u) piesaistīšanai no apstiprināta saraksta. Datu saņēmējs īpaši paziņo pārzinim rakstveidā par jebkādām paredzētām izmaiņām minētajā sarakstā, pievienojot vai aizstājot apakšapstrādātājus, vismaz [Norādīt laika periodu] iepriekš, tādējādi nodrošinot pārzinim pietiekami daudz laika, lai tas varētu iebilst pret šādām izmaiņām pirms apakšapstrādātāja(-u) piesaistīšanas. Pārzinis sniedz datu nosūtītājam informāciju, kas nepieciešama, lai ļautu pārzinim izmantot savas tiesības iebilst. Datu saņēmējs informē datu nosūtītāju par apakšapstrādātāja(-u) piesaistīšanu. |
|
b) |
Ja datu saņēmējs piesaista apakšapstrādātāju konkrētu apstrādes darbību īstenošanai (pārziņa vārdā), to veic, izmantojot rakstisku līgumu, kurā pēc būtības noteikti tādi paši datu aizsardzības pienākumi kā līgumos, kuri ir saistoši datu saņēmējam saskaņā ar šīm klauzulām, tostarp attiecībā uz ieinteresēto trešo personu tiesībām datu subjektiem (9). Puses vienojas, ka, nodrošinot atbilstību šai klauzulai, datu saņēmējs izpilda 8.8. klauzulā paredzētos pienākumus. Datu saņēmējs nodrošina, ka apakšapstrādātājs izpilda pienākumus, kuri attiecas uz datu saņēmēju saskaņā ar šīm klauzulām. |
|
c) |
Datu saņēmējs pēc datu nosūtītāja vai pārziņa pieprasījuma sniedz šāda apakšapstrādātāja līguma un jebkādu turpmāko grozījumu kopiju. Ciktāl tas nepieciešams komercnoslēpuma vai citas konfidenciālas informācijas, tostarp personas datu, aizsardzībai, datu saņēmējs var rediģēt līguma tekstu pirms kopijas kopīgošanas. |
|
d) |
Datu saņēmējs saglabā pilnu atbildību datu nosūtītāja priekšā par apakšapstrādātāja pienākumu īstenošanu atbilstoši līgumam ar datu saņēmēju. Datu saņēmējs informē datu nosūtītāju, ja apakšapstrādātājs jebkādā veidā nav izpildījis minētajā līgumā paredzētos pienākumus. |
|
e) |
Datu saņēmējs vienojas ar apakšapstrādātāju par ieinteresēto trešo personu klauzulu, tādējādi gadījumā, ja datu saņēmējs ir faktiski zudis, juridiski beidzis pastāvēt vai arī ir kļuvis maksātnespējīgs, datu nosūtītājam ir tiesības izbeigt apakšapstrādātāja līgumu un dot apakšapstrādātājam rīkojumu dzēst vai atdot personas datus. |
10. klauzula
Datu subjekta tiesības
PIRMAIS MODULIS. Nosūtīšana no pārziņa pārzinim
|
a) |
Datu saņēmējs attiecīgajos gadījumos ar datu nosūtītāja palīdzību bez nepamatotas kavēšanās un ne ilgāk kā viena mēneša laikā pēc jebkura jautājuma vai pieprasījuma saņemšanas izskata jautājumus un pieprasījumus, kurus tas saņem no datu subjekta saistībā ar tā personas datu apstrādi un tiesību izmantošanu saskaņā ar šīm klauzulām (10). Datu saņēmējs veic atbilstošus pasākumus, lai sekmētu šādus jautājumus, pieprasījumus un datu subjekta tiesību izmantošanu. Jebkura datu subjektam nodrošinātā informācija jāsniedz saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu. |
|
b) |
Konkrētāk, pēc datu subjekta pieprasījuma datu saņēmējs bez maksas:
|
|
c) |
Ja datu saņēmējs apstrādā personas datus tiešās tirgvedības nolūkos, tas pārtrauc apstrādi šādiem mērķiem, ja datu subjekts pret to iebilst. |
|
d) |
Datu saņēmējs nepieņem lēmumu, pamatojoties vienīgi uz automatizētu nosūtīto personas datu apstrādi (turpmāk tekstā – “automatizēts lēmums”), kas datu subjektam radītu tiesiskas sekas vai līdzīgi būtiski to ietekmētu, ja vien tas nav darīts ar datu subjekta nepārprotamu piekrišanu vai ja datu saņēmējs nav pilnvarots šādi rīkoties saskaņā ar galamērķa valsts tiesību aktiem, ar nosacījumu, ka šādi tiesību akti paredz piemērotus pasākumus datu subjekta tiesību un interešu aizsardzībai. Šādā gadījumā datu saņēmējs, nepieciešamības gadījumā sadarbojoties ar datu nosūtītāju:
|
|
e) |
Ja datu subjekta pieprasījumi ir pārmērīgi, jo īpaši to regulāras atkārtošanās dēļ, datu saņēmējs var iekasēt saprātīgu samaksu, ņemot vērā pieprasījuma administratīvās izmaksas, vai atteikties veikt pieprasīto darbību. |
|
f) |
Datu saņēmējs var noraidīt datu subjekta pieprasījumu, ja šāds atteikums ir atļauts saskaņā ar galamērķa valsts tiesību aktiem un ja tas demokrātiskā sabiedrībā ir nepieciešami un samērīgi, lai aizsargātu kādu no mērķiem, kuri minēti Regulas (ES) 2016/679 23. panta 1. punktā. |
|
g) |
Ja datu saņēmējs ir paredzējis noraidīt datu subjekta pieprasījumu, tas informē datu subjektu par atteikuma iemesliem un par iespēju iesniegt sūdzību kompetentajai uzraudzības iestādei un/vai tiesiskās aizsardzības saņemšanu. |
OTRAIS MODULIS. Nosūtīšana no pārziņa apstrādātājam
|
a) |
Datu saņēmējs nekavējoties informē datu nosūtītāju par jebkuru pieprasījumu, kuru tas saņēmis no datu subjekta. Datu saņēmējs pats nesniedz atbildi uz šo pieprasījumu, ja vien datu nosūtītājs to nav atļāvis darīt. |
|
b) |
Datu saņēmējs palīdz datu nosūtītājam izpildīt pienākumus atbildēt uz datu subjektu pieprasījumiem, īstenojot to tiesības saskaņā ar Regulu (ES) 2016/679. Šajā saistībā puses II pielikumā nosaka tādus atbilstošus tehniskos un organizatoriskos pasākumus, ņemot vērā apstrādes raksturu, kuri tiks izmantoti palīdzības sniegšanai, kā arī vajadzīgās palīdzības tvērumu un apjomu. |
|
c) |
Izpildot savus pienākumus saskaņā ar a) un b) punktu, datu saņēmējam jāievēro datu nosūtītāja norādījumi. |
TREŠAIS MODULIS. Nosūtīšana no apstrādātāja apstrādātājam
|
a) |
Datu saņēmējs nekavējoties informē datu nosūtītāju un attiecīgos gadījumos pārzini par jebkuru pieprasījumu, kuru tas saņēmis no datu subjekta, pats nesniedzot atbildi uz šo pieprasījumu, ja vien pārzinis to nav atļāvis darīt. |
|
b) |
Datu saņēmējs, attiecīgos gadījumos sadarbojoties ar datu nosūtītāju, palīdz pārzinim izpildīt pienākumus atbildēt uz datu subjektu pieprasījumiem, īstenojot to tiesības saskaņā ar Regulu (ES) 2016/679 vai Regulu (ES) 2018/1725. Šajā saistībā puses II pielikumā nosaka tādus atbilstošus tehniskos un organizatoriskos pasākumus, ņemot vērā apstrādes raksturu, kuri tiks izmantoti palīdzības sniegšanai, kā arī nepieciešamās palīdzības tvērumu un apjomu. |
|
c) |
Izpildot savus pienākumus saskaņā ar a) un b) punktu, datu saņēmējam jāievēro pārziņa norādījumi, kuri sniegti ar datu nosūtītāja starpniecību. |
CETURTAIS MODULIS. Nosūtīšana no apstrādātāja pārzinim
Puses sniedz savstarpēju palīdzību, atbildot uz jautājumiem un pieprasījumiem, kurus datu subjekti iesniedz saskaņā ar vietējiem tiesību aktiem, kas attiecas uz datu saņēmēju, vai – ja datu nosūtītājs veic datu apstrādi Eiropas Savienībā – saskaņā ar Regulu (ES) 2016/679.
11. klauzula
Tiesiskās aizsardzības līdzekļi
|
a) |
Datu saņēmējs informē datu subjektus pārredzamā un viegli pieejamā veidā ar atsevišķu paziņojumu starpniecību vai savā tīmekļa vietnē par kontaktpunktu, kas pilnvarots izskatīt sūdzības. Tas nekavējoties izskata visas no datu subjektiem saņemtās sūdzības. [IZVĒLE. Datu saņēmējs piekrīt, ka datu subjekti var arī iesniegt sūdzību neatkarīgai strīdu izšķiršanas struktūrai (11), datu subjektam saistībā ar to nerodoties nekādām izmaksām. Tas informē datu subjektus a) punktā minētajā veidā par šādu tiesiskās aizsardzības mehānismu un par to, ka tiem nav obligāti tas jāizmanto vai jāievēro noteikta procedūra, cenšoties saņemt tiesisko aizsardzību.] |
PIRMAIS MODULIS. Nosūtīšana no pārziņa pārzinim
OTRAIS MODULIS. Nosūtīšana no pārziņa apstrādātājam
TREŠAIS MODULIS. Nosūtīšana no apstrādātāja apstrādātājam
|
b) |
Ja rodas domstarpības starp datu subjektu un vienu no pusēm attiecībā uz atbilstību šīm klauzulām, attiecīgā puse dara visu iespējamo, lai savlaicīgi atrisinātu jautājumu un panāktu izlīgumu. Puses savstarpēji sniedz informāciju par šādām domstarpībām un attiecīgos gadījumos sadarbojas, lai tās atrisinātu. |
|
c) |
Ja datu subjekts atsaucas uz ieinteresētās trešās personas tiesībām saskaņā ar 3. klauzulu, datu saņēmējs pieņem datu subjekta lēmumu:
|
|
d) |
Puses pieņem, ka datu subjektu var pārstāvēt bezpeļņas struktūra, organizācija vai apvienība saskaņā ar nosacījumiem, kuri izklāstīti Regulas (ES) 2016/679 80. panta 1. punktā. |
|
e) |
Datu saņēmējs ievēro lēmumu, kas ir saistošs saskaņā ar piemērojamiem ES/dalībvalsts tiesību aktiem. |
|
f) |
Datu saņēmējs apstiprina, ka datu subjekta veiktā izvēle neskars viņa materiālās un procesuālās tiesības saņemt tiesisko aizsardzību saskaņā ar piemērojamiem tiesību aktiem. |
12. klauzula
Atbildība
PIRMAIS MODULIS. Nosūtīšana no pārziņa pārzinim
CETURTAIS MODULIS. Nosūtīšana no apstrādātāja pārzinim
|
a) |
Katra puse ir atbildīga citu pušu priekšā par jebkuru kaitējumu, ko tā nodarījusi citām pusēm, jebkādā veidā pārkāpjot šīs klauzulas. |
|
b) |
Katra puse ir atbildīga datu subjekta priekšā, un datu subjektam ir tiesības saņemt kompensāciju par jebkādu materiālo vai nemateriālo kaitējumu, ko attiecīgā puse izraisījusi datu subjektam, pārkāpjot ieinteresēto trešo personu tiesības saskaņā ar šīm klauzulām. Tas neskar datu nosūtītāja atbildību saskaņā ar Regulu (ES) 2016/679. |
|
c) |
Ja par jebkādu datu subjektam nodarīto kaitējumu, kas izriet no šo klauzulu pārkāpuma, ir atbildīga vairāk nekā viena puse, visas atbildīgās puses ir solidāri atbildīgas un datu subjektam ir tiesības uzsākt tiesvedību pret jebkuru no šīm pusēm. |
|
d) |
Puses vienojas, ka gadījumā, ja viena puse ir uzskatāma par atbildīgu saskaņā ar c) punktu, tai ir tiesības pieprasīt no citas(-ām) puses(-ēm) kompensācijas daļu, kas atbilst tās(-o) atbildībai par kaitējumu. |
|
e) |
Datu saņēmējs nedrīkst atsaukties uz apstrādātāja vai apakšapstrādātāja rīcību, lai izvairītos no savas atbildības. |
OTRAIS MODULIS. Nosūtīšana no pārziņa apstrādātājam
TREŠAIS MODULIS. Nosūtīšana no apstrādātāja apstrādātājam
|
a) |
Katra puse ir atbildīga citu pušu priekšā par jebkādu kaitējumu, ko tā nodarījusi citām pusēm, jebkādā veidā pārkāpjot šīs klauzulas. |
|
b) |
Datu saņēmējs ir atbildīgs datu subjekta priekšā, un datu subjektam ir tiesības saņemt kompensāciju par jebkādu materiālo vai nemateriālo kaitējumu, ko datu saņēmējs vai tā piesaistītais apakšapstrādātājs izraisījis datu subjektam, pārkāpjot ieinteresēto trešo personu tiesības saskaņā ar šīm klauzulām. |
|
c) |
Neatkarīgi no b) punkta datu nosūtītājs ir atbildīgs datu subjekta priekšā, un datu subjektam ir tiesības saņemt kompensāciju par jebkādu materiālo vai nemateriālo kaitējumu, ko datu nosūtītājs vai datu saņēmējs (vai tā piesaistītais apakšapstrādātājs) izraisa datu subjektam, pārkāpjot ieinteresēto trešo personu tiesības saskaņā ar šīm klauzulām. Tas neskar datu nosūtītāja atbildību un – ja datu nosūtītājs ir apstrādātājs, kas rīkojas pārziņa vārdā, – pārziņa atbildību saskaņā ar Regulu (ES) 2016/679 vai Regulu (ES) 2018/1725. |
|
d) |
Puses vienojas, ka tad, ja datu nosūtītājs uzskatāms par atbildīgu saskaņā ar c) punktu par kaitējumu, ko izraisījis datu saņēmējs (vai tā apakšapstrādātājs), tam ir tiesības pieprasīt no datu saņēmēja kompensācijas daļu, kas atbilst datu saņēmēja atbildībai par kaitējumu. |
|
e) |
Ja par jebkādu datu subjektam nodarīto kaitējumu, kas izriet no šo klauzulu pārkāpuma, ir atbildīga vairāk nekā viena puse, visas atbildīgās puses ir solidāri atbildīgas un datu subjektam ir tiesības uzsākt tiesvedību pret jebkuru no šīm pusēm. |
|
f) |
Puses vienojas, ka gadījumā, ja viena puse ir uzskatāma par atbildīgu saskaņā ar e) punktu, tai ir tiesības pieprasīt no citas(-ām) puses(-ēm) kompensācijas daļu, kas atbilst tās(-o) atbildībai par kaitējumu. |
|
g) |
Datu saņēmējs nedrīkst atsaukties uz apakšapstrādātāja rīcību, lai izvairītos no savas atbildības. |
13. klauzula
Uzraudzība
PIRMAIS MODULIS. Nosūtīšana no pārziņa pārzinim
OTRAIS MODULIS. Nosūtīšana no pārziņa apstrādātājam
TREŠAIS MODULIS. Nosūtīšana no apstrādātāja apstrādātājam
|
a) |
[Ja datu nosūtītājs ir iedibināts ES dalībvalstī:] Kompetentās uzraudzības iestādes funkciju īsteno uzraudzības iestāde, kura ir atbildīga par to, lai nodrošinātu datu nosūtītāja atbilstību Regulai (ES) 2016/679 datu nosūtīšanas jomā, kā norādīts I.C pielikumā. [Ja datu nosūtītājs nav iedibināts ES dalībvalstī, bet ietilpst Regulas (ES) 2016/679 teritoriālās piemērošanas jomā saskaņā ar 3. panta 2. punktu un ir iecēlis pārstāvi saskaņā ar Regulas (ES) 2016/679 27. panta 1. punktu:] Kompetentās uzraudzības iestādes funkciju īsteno tās dalībvalsts uzraudzības iestāde, kurā ir iedibināts pārstāvis Regulas (ES) 2016/679 27. panta 1. punkta izpratnē, kā norādīts I.C pielikumā. [Ja datu nosūtītājs nav iedibināts ES dalībvalstī, bet ietilpst Regulas (ES) 2016/679 teritoriālās piemērošanas jomā saskaņā ar 3. panta 2. punktu, tomēr neieceļot pārstāvi saskaņā ar Regulas (ES) 2016/679 27. panta 2. punktu:] Kompetentās uzraudzības iestādes funkciju īsteno uzraudzības iestāde vienā no dalībvalstīm, kurās atrodas datu subjekti, kuru personas dati tiek nosūtīti saskaņā ar šīm klauzulām saistībā ar preču un pakalpojumu piedāvāšanu tiem vai kuru rīcība tiek novērota, kā norādīts I.C pielikumā. |
|
b) |
Datu saņēmējs piekrīt pakļauties kompetentās uzraudzības iestādes jurisdikcijai un sadarboties ar to jebkuru procedūru ietvaros, kuru mērķis ir nodrošināt atbilstību šīm klauzulām. Konkrētāk, datu saņēmējs piekrīt atbildēt uz jautājumiem, atļaut veikt revīzijas un ievērot uzraudzības iestādes pieņemtos pasākumus, tostarp korektīvos un kompensējošos pasākumus. Tas sniedz uzraudzības iestādei rakstisku apstiprinājumu, ka ir veiktas vajadzīgās darbības. |
III IEDAĻA. VIETĒJIE TIESĪBU AKTI UN PIENĀKUMI PUBLISKU IESTĀŽU VEIKTAS PIEKĻUVES GADĪJUMĀ
14. klauzula
Vietējie tiesību akti un prakse, kas ietekmē atbilstību klauzulām
PIRMAIS MODULIS. Nosūtīšana no pārziņa pārzinim
OTRAIS MODULIS. Nosūtīšana no pārziņa apstrādātājam
TREŠAIS MODULIS. Nosūtīšana no apstrādātāja apstrādātājam
CETURTAIS MODULIS. Nosūtīšana no apstrādātāja pārzinim (ja ES apstrādātājs apvieno personas datus, kas saņemti no pārziņa trešā valstī, ar personas datiem, kurus savācis apstrādātājs Eiropas Savienībā)
|
a) |
Puses garantē, ka tām nav iemesla uzskatīt, ka galamērķa trešās valsts tiesību akti un prakse, kas attiecas uz datu saņēmēja veiktu personas datu apstrādi, tostarp jebkādas prasības izpaust personas datus vai pasākumi, ar kuriem tiek atļauta publisku iestāžu veikta piekļuve, neliedz datu saņēmējam īstenot šajās klauzulās paredzētos pienākumus. Tas balstās uz izpratni, ka tiesību akti un prakse, ar kuriem tiek ievērota pamattiesību un pamatbrīvību būtība un netiek pārsniegts līmenis, kas ir nepieciešams un samērīgs demokrātiskā sabiedrībā, lai garantētu kādu no Regulas (ES) 2016/679 23. panta 1. punktā minētajiem mērķiem, nav pretrunā šīm klauzulām. |
|
b) |
Puses paziņo, ka, sniedzot a) punktā minēto garantiju, tās ir pienācīgi ņēmušas vērā šādus elementus:
|
|
c) |
Datu saņēmējs garantē, ka, veicot b) punktā minēto novērtējumu, tas ir darījis visu iespējamo, lai nodrošinātu datu nosūtītājam atbilstīgo informāciju, un apņemas turpināt sadarbību ar datu nosūtītāju, lai nodrošinātu atbilstību šīm klauzulām. |
|
d) |
Puses vienojas dokumentēt b) punktā minēto novērtējumu un pēc pieprasījuma darīt to pieejamu kompetentajai uzraudzības iestādei. |
|
e) |
Datu saņēmējs apņemas nekavējoties informēt datu nosūtītāju, ja pēc šo klauzulu apstiprināšanas un visā līguma darbības laikā tam ir iemesls uzskatīt, ka uz to attiecas vai turpmāk attieksies tiesību akti vai prakse, kas neatbilst a) punktā paredzētajām prasībām, tostarp pēc trešās valsts tiesību aktu grozījumiem vai pasākuma (piemēram, datu izpaušanas pieprasījums), kas liecina par tādu tiesību aktu īstenošanu praksē, kuri neatbilst a) punktā minētajām prasībām. [Trešajam modulim: datu nosūtītājs pārsūta paziņojumu pārzinim.] |
|
f) |
Pēc e) punktā minētā paziņojuma vai tad, ja datu nosūtītājam ir cits iemesls uzskatīt, ka datu saņēmējs vairs nevar pildīt savus pienākumus atbilstoši šīm klauzulām, datu nosūtītājs nekavējoties nosaka atbilstošus pasākumus (piemēram, tehniskus vai organizatoriskus pasākumus, lai nodrošinātu drošību un konfidencialitāti), kuri jāpieņem datu nosūtītājam un/vai datu saņēmējam situācijas risināšanai [trešajam modulim: attiecīgajos gadījumos veic apspriešanos ar pārzini]. Datu nosūtītājs aptur datu nosūtīšanu, ja tas uzskata, ka nav iespējams nodrošināt atbilstošas aizsardzības garantijas šādai nosūtīšanai vai arī pēc attiecīgu [trešajam modulim: pārziņa vai] kompetentās uzraudzības iestādes norādījumu saņemšanas. Šādā gadījumā datu nosūtītājam ir tiesības izbeigt līgumu, ciktāl tas attiecas uz personas datu apstrādi atbilstoši šīm klauzulām. Ja līgumu noslēgušas vairāk nekā divas puses, datu nosūtītājs var izmantot izbeigšanas tiesības tikai attiecībā uz konkrētu pusi, ja vien puses nav vienojušās citādi. Izbeidzot līgumu saskaņā ar šo klauzulu, tiek piemērots 16. klauzulas d) un e) punkts. |
15. klauzula
Datu saņēmēja pienākumi publisku iestāžu veiktas piekļuves gadījumā
PIRMAIS MODULIS. Nosūtīšana no pārziņa pārzinim
OTRAIS MODULIS. Nosūtīšana no pārziņa apstrādātājam
TREŠAIS MODULIS. Nosūtīšana no apstrādātāja apstrādātājam
CETURTAIS MODULIS. Nosūtīšana no apstrādātāja pārzinim (gadījumā, ja ES apstrādātājs apvieno personas datus, kas saņemti no pārziņa trešā valstī, ar personas datiem, kurus savācis apstrādātājs Eiropas Savienībā)
15.1. Paziņošana
|
a) |
Datu saņēmējs apņemas nekavējoties informēt datu nosūtītāju un, ja iespējams, datu subjektu (nepieciešamības gadījumā ar datu nosūtītāja palīdzību), ja:
[Trešajam modulim: datu nosūtītājs pārsūta paziņojumu pārzinim.] |
|
b) |
Ja datu saņēmējam ir aizliegts informēt datu nosūtītāju un/vai datu subjektu saskaņā ar galamērķa valsts tiesību aktiem, datu saņēmējs apņemas darīt visu iespējamo, lai panāktu aizlieguma atcelšanu, ar mērķi paziņot pēc iespējas vairāk informācijas pēc iespējas ātrāk. Datu saņēmējs apņemas dokumentēt savas darbības, lai varētu tās apliecināt pēc datu nosūtītāja pieprasījuma. |
|
c) |
Ja tas ir atļauts saskaņā ar galamērķa valsts tiesību aktiem, datu saņēmējs apņemas regulāri visā līguma darbības laikā sniegt datu nosūtītājam pēc iespējas vairāk būtiskas informācijas par saņemtajiem pieprasījumiem (konkrētāk, pieprasījumu skaits, pieprasīto datu veids, pieprasītāja(-as) iestādes(-es), tas, vai pieprasījumi ir apstrīdēti, un šādas apstrīdēšanas iznākums utt.). [Trešajam modulim: datu nosūtītājs pārsūta informāciju pārzinim.] |
|
d) |
Datu saņēmējs apņemas glabāt a)–c) punktā minēto informāciju līguma darbības laikā un pēc pieprasījuma darīt to pieejamu kompetentajai uzraudzības iestādei. |
|
e) |
Minētais a)–c) punkts neskar datu saņēmēja pienākumu saskaņā ar 14. klauzulas e) punktu un 16. klauzulu nekavējoties informēt datu nosūtītāju, ja nav iespējams nodrošināt atbilstību šīm klauzulām. |
15.2. Likumības pārbaude un datu minimizēšana
|
a) |
Datu saņēmējs apņemas pārbaudīt datu izpaušanas pieprasījuma likumību, jo īpaši, vai tas ietilpst pieprasītājas publiskās iestādes pilnvarās, un apstrīdēt pieprasījumu, ja tas pēc rūpīga novērtējuma secina, ka pastāv pamats uzskatīt, ka pieprasījums ir nelikumīgs saskaņā ar galamērķa valsts tiesību aktiem, piemērojamiem pienākumiem saskaņā ar starptautiskajiem tiesību aktiem un starptautiskajiem savstarpējas atzīšanas principiem. Datu saņēmējs arī izmanto apelācijas iespējas, ievērojot minētos nosacījumus. Apstrīdot pieprasījumu, datu saņēmējs mēģina īstenot pagaidu pasākumus, lai apturētu pieprasījuma darbību, līdz kompetentā tiesu iestāde pieņem lēmumu par tā pamatotību. Tas neizpauž pieprasītos personas datus, kamēr tas nav jādara saskaņā ar piemērojamiem procedūras noteikumiem. Šīs prasības neskar datu saņēmēja pienākumus, paredzēti 14. klauzulas e) punktā. |
|
b) |
Datu saņēmējs apņemas dokumentēt savu juridisko novērtējumu un jebkādu izpaušanas pieprasījuma apstrīdēšanu un, ciktāl tas atļauts saskaņā ar galamērķa valsts tiesību aktiem, darīt dokumentus pieejamus datu nosūtītājam. Tas arī nodrošina šādas dokumentācijas pieejamību pēc kompetentās uzraudzības iestādes pieprasījuma. [Trešajam modulim: datu nosūtītājs dara novērtējumu pieejamu pārzinim.] |
|
c) |
Datu saņēmējs, atbildot uz izpaušanas pieprasījumu, apņemas sniegt minimālo pieļaujamo informācijas daudzumu, pamatojoties uz pieprasījuma saprātīgu interpretāciju. |
IV IEDAĻA. NOBEIGUMA NOTEIKUMI
16. klauzula
Neatbilstība klauzulām un izbeigšana
|
a) |
Datu saņēmējs nekavējoties informē datu nosūtītāju, ja tas kādu apsvērumu dēļ nevar nodrošināt atbilstību šīm klauzulām. |
|
b) |
Gadījumā, ja datu saņēmējs ir pārkāpis šīs klauzulas vai nevar nodrošināt atbilstību šīm klauzulām, datu nosūtītājs uz laiku aptur personas datu nosūtīšanu datu saņēmējam, kamēr atkal tiek nodrošināta atbilstība vai līgums tiek izbeigts. Tas neskar 14. klauzulas f) punktu. |
|
c) |
Datu nosūtītājam ir tiesības izbeigt līgumu, ciktāl tas attiecas uz personas datu apstrādi saskaņā ar šīm klauzulām, ja:
Šādos gadījumos tas informē kompetento uzraudzības iestādi [trešajam modulim: un pārzini] par šādu neatbilstību. Ja līgumu noslēgušas vairāk nekā divas puses, datu nosūtītājs var izmantot izbeigšanas tiesības tikai attiecībā uz konkrētu pusi, ja vien puses nav vienojušās citādi. |
|
d) |
[Pirmajam, otrajam un trešajam modulim: personas dati, kas nosūtīti pirms līguma izbeigšanas saskaņā ar c) punktu, pēc datu nosūtītāja izvēles nekavējoties jāatdod datu nosūtītājam vai pilnībā jādzēš. Tā pati prasība attiecas uz visām datu kopijām.] [Ceturtajam modulim: personas datus, kurus savācis datu nosūtītājs Eiropas Savienībā un kuri nosūtīti pirms līguma izbeigšanas saskaņā ar c) punktu, tostarp visas to kopijas, nekavējoties pilnībā dzēš.] Datu saņēmējs apliecina datu dzēšanu datu nosūtītājam. Līdz brīdim, kad dati tiek dzēsti vai nodoti atpakaļ, datu saņēmējs turpina nodrošināt atbilstību šīm klauzulām. Ja vietējos tiesību aktos attiecībā uz datu saņēmēju tiek aizliegta nosūtīto personas datu atdošana vai dzēšana, datu saņēmējs garantē, ka tas turpinās nodrošināt atbilstību šīm klauzulām un veiks datu apstrādi tikai tādā apmērā un tik ilgi, kā noteikts vietējos tiesību aktos. |
|
e) |
Jebkura puse var atcelt savu piekrišanu, ka tai ir saistošas šīs klauzulas, ja i) Eiropas Komisija pieņem tādu lēmumu saskaņā ar 45. panta 3. punktu Regulā (ES) 2016/679, kas attiecas uz to personas datu nosūtīšanu, kuriem piemēro šīs klauzulas, vai ii) Regula (ES) 2016/679 tiek ietverta tādas valsts tiesiskajā regulējumā, uz kuru tiek nosūtīti personas dati. Tas neskar citus pienākumus, kuri attiecas uz konkrēto apstrādi saskaņā ar Regulu (ES) 2016/679. |
17. klauzula
Reglamentējošie tiesību akti
PIRMAIS MODULIS. Nosūtīšana no pārziņa pārzinim
OTRAIS MODULIS. Nosūtīšana no pārziņa apstrādātājam
TREŠAIS MODULIS. Nosūtīšana no apstrādātāja apstrādātājam
[1. IZVĒLE. Šīs klauzulas reglamentē kādas ES dalībvalsts tiesību akti, ja minētajos tiesību aktos ir paredzētas ieinteresēto trešo personu tiesības. Puses vienojas, ka tie būs _______ (norādīt dalībvalsti) tiesību akti.]
[2. IZVĒLE (otrajam un trešajam modulim). Šīs klauzulas reglamentē tās ES dalībvalsts tiesību akti, kurā ir iedibināts datu nosūtītājs. Ja šādos tiesību aktos nav paredzētas ieinteresēto trešo personu tiesības, klauzulas reglamentē citas ES dalībvalsts tiesību akti, kuros ir paredzētas ieinteresēto trešo personu tiesības. Puses vienojas, ka tie būs _______ (norādīt dalībvalsti) tiesību akti.]
CETURTAIS MODULIS. Nosūtīšana no apstrādātāja pārzinim
Šīs klauzulas reglamentē valsts tiesību akti, kuros paredzētas ieinteresēto trešo personu tiesības. Puses vienojas, ka tie būs _______ (norādīt valsti) tiesību akti.
18. klauzula
Tiesas atrašanās valsts un jurisdikcijas izvēle
PIRMAIS MODULIS. Nosūtīšana no pārziņa pārzinim
OTRAIS MODULIS. Nosūtīšana no pārziņa apstrādātājam
TREŠAIS MODULIS. Nosūtīšana no apstrādātāja apstrādātājam
|
a) |
Domstarpības, kas izriet no šīm klauzulām, risina ES dalībvalsts tiesas. |
|
b) |
Puses vienojas, ka tās būs _____ (norādīt dalībvalsti) tiesas. |
|
c) |
Datu subjekts var arī ierosināt tiesvedību pret datu nosūtītāju un/vai datu saņēmēju tādas dalībvalsts tiesās, kurā ir datu subjekta pastāvīgā dzīvesvieta. |
|
d) |
Puses vienojas pakļauties šādu tiesu jurisdikcijai. |
CETURTAIS MODULIS. Nosūtīšana no apstrādātāja pārzinim
|
|
Domstarpības, kas izriet no šīm klauzulām, risina _____ (norādīt valsti) tiesas. |
(1) Ja datu nosūtītājs ir apstrādātājs, uz kuru attiecas Regula (ES) 2016/679 un kurš rīkojas Savienības iestādes vai struktūras vārdā kā pārzinis, šo klauzulu izmantošana, piesaistot citu apstrādātāju (apakšapstrāde), uz kuru neattiecas Regula (ES) 2016/679, arī nodrošina atbilstību 29. panta 4. punktam Eiropas Parlamenta un Padomes Regulā (ES) 2018/1725 (2018. gada 23. oktobris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK (OV L 295, 21.11.2018., 39. lpp.), ciktāl ir saskaņotas šīs klauzulas un datu aizsardzības pienākumi, kas noteikti līgumā vai citā juridiskā dokumentā starp pārzini un apstrādātāju saskaņā ar Regulas (ES) 2018/1725 29. panta 3. punktu. Tas jo īpaši attiecas uz gadījumiem, kad pārzinis un apstrādātājs atsaucas uz līguma standartklauzulām, kas ietvertas Lēmumā 2021/915.
(2) Šī prasība paredz padarīt datus anonīmus tā, lai saskaņā ar Regulas (ES) 2016/679 26. apsvērumu personu vairs nebūtu iespējams identificēt un lai šis process būtu neatgriezenisks.
(3) Līgumā par Eiropas Ekonomikas zonu (EEZ līgums) paredzēta Eiropas Savienības iekšējā tirgus paplašināšana, iekļaujot trīs EEZ valstis: Islandi, Lihtenšteinu un Norvēģiju. Uz Savienības datu aizsardzības tiesību aktiem, tostarp Regulu 2016/679, attiecas EEZ līgums, un tā ir iekļauta līguma XI pielikumā. Tādēļ jebkāda datu izpaušana, ko veic datu saņēmējs trešām personām, kuras atrodas EEZ, nav klasificējama kā tālāka nosūtīšana šo klauzulu kontekstā.
(4) Līgumā par Eiropas Ekonomikas zonu (EEZ līgums) paredzēta Eiropas Savienības iekšējā tirgus paplašināšana, iekļaujot trīs EEZ valstis: Islandi, Lihtenšteinu un Norvēģiju. Uz Savienības datu aizsardzības tiesību aktiem, tostarp Regulu 2016/679, attiecas EEZ līgums, un tā ir iekļauta līguma XI pielikumā. Tādēļ jebkāda datu izpaušana, ko veic datu saņēmējs trešām personām, kuras atrodas EEZ, nav klasificējama kā tālāka nosūtīšana šo klauzulu kontekstā.
(5) Sk. 28. panta 4. punktu Regulā (ES) 2016/679 un, ja pārzinis ir ES iestāde vai struktūra, 29. panta 4. punktu Regulā (ES) 2018/1725.
(6) Līgumā par Eiropas Ekonomikas zonu (EEZ līgums) paredzēta Eiropas Savienības iekšējā tirgus paplašināšana, iekļaujot trīs EEZ valstis: Islandi, Lihtenšteinu un Norvēģiju. EEZ nolīgums aptver Savienības datu aizsardzības tiesību aktus, ietverot Regulu (ES) 2016/679, un tie ir iekļauti nolīguma XI pielikumā. Tādēļ jebkāda datu izpaušana, ko veic datu saņēmējs trešām personām, kuras atrodas EEZ, nav klasificējama kā tālāka nosūtīšana šo klauzulu kontekstā.
(7) Tas ietver to, vai nosūtīšana un turpmāka apstrāde ir saistīta ar personas datiem, kuri atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, ģenētiskajiem datiem vai biometriskajiem datiem fiziskas personas unikālai identifikācijai, veselības datiem vai datiem par fiziskas personas dzimumdzīvi vai seksuālo orientāciju, vai datiem par sodāmību vai pārkāpumiem.
(8) Šo prasību var izpildīt apakšapstrādātājs, kas pievienojas šīm klauzulām saskaņā ar attiecīgo moduli, atbilstoši 7. klauzulai.
(9) Šo prasību var izpildīt apakšapstrādātājs, kas pievienojas šīm klauzulām saskaņā ar attiecīgo moduli, atbilstoši 7. klauzulai.
(10) Ciktāl nepieciešams, minēto laikposmu var pagarināt ne vairāk kā vēl par diviem mēnešiem, ņemot vērā pieprasījumu sarežģītību un skaitu. Datu saņēmējs pienācīgi un nekavējoties informē datu subjektu par jebkādu šādu pagarinājumu.
(11) Datu saņēmējs var piedāvāt neatkarīgu strīda izšķiršanu ar šķīrējtiesas starpniecību tikai tad, ja tas ir iedibināts valstī, kura ratificējusi Ņujorkas konvenciju par šķīrējtiesu nolēmumu izpildīšanu.
(12) Attiecībā uz šādu tiesību aktu un prakses ietekmi uz atbilstību šīm klauzulām dažādus elementus var uztvert kā vispārēja novērtējuma sastāvdaļu. Šādi elementi cita starpā var būt atbilstīga un dokumentēta praktiskā pieredze saistībā ar publisku iestāžu sniegtu iepriekšēju datu izpaušanas pieprasījumu gadījumiem vai šādu pieprasījumu neesība, aptverot pietiekami reprezentatīvu laikposmu. Tas jo īpaši attiecas uz iekšējiem uzskaites datiem vai citu dokumentāciju, kas tiek pastāvīgi gatavota ar pienācīgu rūpību un apstiprināta augstākajā vadības līmenī, ar nosacījumu, ka šo informāciju var likumīgi kopīgot ar trešām personām. Ja minēto praktisko pieredzi izmanto, lai secinātu, ka datu saņēmējam netiks liegta iespēja izpildīt šo klauzulu prasības, tas ir jāpamato ar citiem atbilstīgiem, objektīviem elementiem, un pusēm ir rūpīgi jāņem vērā, vai šo elementu kopums ir pietiekami būtisks to uzticamības un pārstāvības ziņā, lai pamatotu šādu secinājumu. Konkrētāk, pusēm jāņem vērā, vai to praktisko pieredzi apstiprina un tā nav pretrunā ar publiski vai citā veidā pieejamu uzticamu informāciju par pieprasījumu esību vai neesību tajā pašā nozarē un/vai tiesību aktu īstenošanu praksē, piemēram, judikatūru un neatkarīgu pārraudzības struktūru ziņojumiem.
PAPILDINĀJUMS
PASKAIDROJUMS
Ir jāvar skaidri nodalīt informāciju, kas attiecas uz katru nosūtīšanu vai nosūtīšanas kategoriju un šajā saistībā noteikt pušu attiecīgās lomas – datu nosūtītāji un/vai datu saņēmēji. Šī prasība neparedz, ka noteikti nepieciešams aizpildīt un parakstīt atsevišķus papildinājumus katrai nosūtīšanai/nosūtīšanas kategorijai un/vai līgumattiecībām, ja šādu pārredzamību var panākt, izmantojot vienu papildinājumu. Tomēr gadījumos, kad nepieciešams nodrošināt pietiekamu skaidrību, jāizmanto atsevišķi papildinājumi.
I PIELIKUMS
A. PUŠU SARAKSTS
PIRMAIS MODULIS. Nosūtīšana no pārziņa pārzinim
OTRAIS MODULIS. Nosūtīšana no pārziņa apstrādātājam
TREŠAIS MODULIS. Nosūtīšana no apstrādātāja apstrādātājam
CETURTAIS MODULIS. Nosūtīšana no apstrādātāja pārzinim
Datu nosūtītājs(-i): [Datu nosūtītāja(-u) un attiecīgajos gadījumos tā/to datu aizsardzības speciālista un/vai pārstāvja Eiropas Savienībā identitāte un kontaktinformācija]
|
1. |
Nosaukums: …
Adrese: … Kontaktpersonas vārds un uzvārds, amats un kontaktinformācija: … Darbības, kas attiecas uz nosūtītajiem datiem saskaņā ar šīm klauzulām: … Paraksts un datums: … Loma (pārzinis/apstrādātājs): … |
|
2. |
… |
Datu saņēmējs(-i): [Datu saņēmēja(-u), tostarp par datu aizsardzību atbildīgo kontaktpersonu, identitāte un kontaktinformācija]
|
1. |
Nosaukums: …
Adrese: … Kontaktpersonas vārds un uzvārds, amats un kontaktinformācija: … Darbības, kas attiecas uz nosūtītajiem datiem saskaņā ar šīm klauzulām: … Paraksts un datums: … Loma (pārzinis/apstrādātājs): … |
|
2. |
… |
B. SŪTĪJUMA APRAKSTS
PIRMAIS MODULIS. Nosūtīšana no pārziņa pārzinim
OTRAIS MODULIS. Nosūtīšana no pārziņa apstrādātājam
TREŠAIS MODULIS. Nosūtīšana no apstrādātāja apstrādātājam
CETURTAIS MODULIS. Nosūtīšana no apstrādātāja pārzinim
Datu subjektu, kuru personas dati tiek nosūtīti, kategorijas
…
Nosūtīto personas datu kategorijas
…
Nosūtītie sensitīvie dati (attiecīgajos gadījumos) un piemērotie ierobežojumi vai garantijas, kuru gadījumā tiek pilnībā ņemts vērā datu raksturs un saistītie riski, piemēram, stingrs mērķa ierobežojums, piekļuves ierobežojumi (tostarp piekļuve tikai darbiniekiem, kuri pabeiguši specializētu apmācību), datu piekļuves uzskaite, ierobežojumi tālākai nosūtīšanai vai papildu drošības pasākumi.
…
Nosūtīšanas biežums (piemēram, vai dati tiek nosūtīti vienreiz vai pastāvīgi).
…
Apstrādes raksturs
…
Datu nosūtīšanas un turpmākas apstrādes mērķis(-i)
…
Laikposms, cik ilgi personas dati tiks glabāti, vai, ja tas nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai
…
Attiecībā uz nosūtīšanu (apakš-)apstrādātājiem arī norādīt apstrādes priekšmetu, raksturu un ilgumu
…
C. KOMPETENTĀ UZRAUDZĪBAS IESTĀDE
PIRMAIS MODULIS. Nosūtīšana no pārziņa pārzinim
OTRAIS MODULIS. Nosūtīšana no pārziņa apstrādātājam
TREŠAIS MODULIS. Nosūtīšana no apstrādātāja apstrādātājam
Norādīt kompetento(-ās) uzraudzības iestādi(-es) saskaņā ar 13. klauzulu
…
II PIELIKUMS.
TEHNISKIE UN ORGANIZATORISKIE PASĀKUMI, TOSTARP TEHNISKIE UN ORGANIZATORISKIE PASĀKUMI DATU DROŠĪBAS NODROŠINĀŠANAI
PIRMAIS MODULIS. Nosūtīšana no pārziņa pārzinim
OTRAIS MODULIS. Nosūtīšana no pārziņa apstrādātājam
TREŠAIS MODULIS. Nosūtīšana no apstrādātāja apstrādātājam
PASKAIDROJUMS
Tehniskie un organizatoriskie pasākumi jāapraksta konkrēti, nevis vispārīgi. Skatīt arī vispārīgās piezīmes papildinājuma pirmajā lapā, jo īpaši par vajadzību skaidri norādīt, kuri pasākumi attiecas uz katru nosūtīšanu/nosūtīšanas reižu kopumu.
Tādu tehnisko un organizatorisko pasākumu apraksts, kurus īstenojis(-uši) datu saņēmējs(-i) (ieskaitot attiecīgo sertifikāciju), lai nodrošinātu atbilstošu drošības līmeni, ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūku, kā arī riskus fizisku personu tiesībām un brīvībām.
[Iespējamo pasākumu piemēri:
personas datu pseidonimizācijas un šifrēšanas pasākumi;
apstrādes sistēmu un pakalpojumu nepārtrauktas konfidencialitātes, integritātes, pieejamības un noturības nodrošināšanas pasākumi;
pasākumi, lai nodrošinātu spēju laikus atjaunot personas datu pieejamību un piekļuvi tiem gadījumā, ja ir noticis fizisks vai tehnisks negadījums;
procesi regulārai tehnisko un organizatorisko pasākumu efektivitātes testēšanai, novērtēšanai un izvērtēšanai, lai nodrošinātu apstrādes drošību;
lietotāju identificēšanas un atļauju piešķiršanas pasākumi;
datu aizsardzības pasākumi nosūtīšanas laikā;
datu aizsardzības pasākumi glabāšanas laikā;
pasākumi personas datu apstrādes vietu fiziskās drošības nodrošināšanai;
notikumu reģistrācijas nodrošināšanas pasākumi;
sistēmu konfigurācijas nodrošināšanas pasākumi, ieskaitot noklusējuma konfigurāciju;
iekšējās IT un IT drošības pārvaldības un vadības pasākumi;
procesu un produktu sertifikācijas/apliecināšanas pasākumi;
datu minimizēšanas nodrošināšanas pasākumi;
datu kvalitātes nodrošināšanas pasākumi;
ierobežotas datu glabāšanas nodrošināšanas pasākumi;
atbildības nodrošināšanas pasākumi;
datu pārnesamības un dzēšanas nodrošināšanas pasākumi.]
Attiecībā uz nosūtīšanu (apakš-)apstrādātājiem arī aprakstīt konkrētus tehniskos un organizatoriskos pasākumus, kurus veiks (apakš-)apstrādātājs, lai varētu sniegt palīdzību pārzinim, un – attiecībā uz nosūtīšanu no apstrādātāja apakšapstrādātājam – datu nosūtītājam
III PIELIKUMS.
APAKŠAPSTRĀDĀTĀJU SARAKSTS
OTRAIS MODULIS. Nosūtīšana no pārziņa apstrādātājam
TREŠAIS MODULIS. Nosūtīšana no apstrādātāja apstrādātājam
PASKAIDROJUMS
Šis pielikums jāaizpilda otrajam un trešajam modulim gadījumā, ja tiek sniegta konkrēta atļauja apakšapstrādātājiem (9. klauzulas a) punkts, 1. izvēle).
Pārzinis ir atļāvis izmantot šādus apakšapstrādātājus:
|
1. |
Nosaukums: …
Adrese: … Kontaktpersonas vārds un uzvārds, amats un kontaktinformācija: … Apstrādes apraksts (tostarp skaidri noteikti pienākumi gadījumā, ja ir pilnvaroti vairāki apakšapstrādātāji): … |
|
2. |
… |