EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32021D0915
Commission Implementing Decision (EU) 2021/915 of 4 June 2021 on standard contractual clauses between controllers and processors under Article 28(7) of Regulation (EU) 2016/679 of the European Parliament and of the Council and Article 29(7) of Regulation (EU) 2018/1725 of the European Parliament and of the Council (Text with EEA relevance)
Deċiżjoni ta’ Implimentazzjoni tal-Kummissjoni (UE) 2021/915 tal-4 ta’ Ġunju 2021 dwar klawżoli kuntrattwali standard bejn il-kontrolluri u l-proċessuri skont l-Artikolu 28(7) tar-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill u l-Artikolu 29(7) tar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill (Test b’rilevanza għaż-ŻEE)
Deċiżjoni ta’ Implimentazzjoni tal-Kummissjoni (UE) 2021/915 tal-4 ta’ Ġunju 2021 dwar klawżoli kuntrattwali standard bejn il-kontrolluri u l-proċessuri skont l-Artikolu 28(7) tar-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill u l-Artikolu 29(7) tar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill (Test b’rilevanza għaż-ŻEE)
C/2021/3701
ĠU L 199, 7.6.2021, p. 18–30
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
7.6.2021 |
MT |
Il-Ġurnal Uffiċjali tal-Unjoni Ewropea |
L 199/18 |
DEĊIŻJONI TA’ IMPLIMENTAZZJONI TAL-KUMMISSJONI (UE) 2021/915
tal-4 ta’ Ġunju 2021
dwar klawżoli kuntrattwali standard bejn il-kontrolluri u l-proċessuri skont l-Artikolu 28(7) tar-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill u l-Artikolu 29(7) tar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill
(Test b’rilevanza għaż-ŻEE)
IL-KUMMISSJONI EWROPEA,
Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,
Wara li kkunsidrat ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas-27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (GDPR) (1), u b’mod partikolari l-Artikolu 28(7) tiegħu,
Wara li kkunsidrat ir-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data, u li jħassar ir-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE (EUDPR) (2), u b’mod partikolari l-Artikolu 29(7) tiegħu,
Billi:
(1) |
Il-kunċetti ta’ kontrollur u proċessur għandhom rwol kruċjali fl-applikazzjoni tar-Regolament (UE) 2016/679 u tar-Regolament (UE) 2018/1725. Il-kontrollur huwa l-persuna fiżika jew ġuridika, l-awtorità pubblika, l-aġenzija jew kwalunkwe korp ieħor li, waħdu jew flimkien ma’ oħrajn, jiddetermina l-għanijiet u l-mezzi tal-ipproċessar ta’ data personali. Għall-fini tar-Regolament (UE) 2018/1725, kontrollur huwa l-istituzzjoni jew il-korp jew id-direttorat ġenerali jew kwalunkwe entità organizzattiva oħra tal-Unjoni li, waħdu jew flimkien ma’ oħrajn, jiddetermina l-iskopijiet u l-mezzi tal-ipproċessar ta’ data personali. Fejn l-għanijiet u l-mezzi tal-ipproċessar ikunu ddeterminati b’att speċifiku tal-Unjoni, il-kontrollur jew il-kriterji speċifiċi għall-ħatra tiegħu jistgħu jiġu previsti mill-Unjoni. Proċessur huwa l-persuna fiżika jew ġuridika, awtorità pubblika, aġenzija jew korp ieħor li jipproċessa data personali f’isem il-kontrollur. |
(2) |
Jenħtieġ li l-istess ġabra ta’ klawżoli kuntrattwali standard tapplika fir-rigward tar-relazzjoni bejn il-kontrolluri tad-data u l-proċessuri tad-data soġġetti għar-Regolament (UE) 2016/679 u wkoll meta jkunu soġġetti għar-Regolament (UE) 2018/1725. Dan għaliex, sabiex ikun hemm approċċ koerenti għall-protezzjoni ta’ data personali fl-Unjoni kollha u għall-moviment liberu tad-data personali fl-Unjoni, ir-regoli tal-protezzjoni tad-data fir-Regolament (UE) 2016/679, applikabbli għas-settur pubbliku fl-Istati Membri, u r-regoli tal-protezzjoni tad-data fir-Regolament (UE) 2018/1725, applikabbli għall-istituzzjonijiet, għall-korpi, għall-uffiċċju u għall-aġenziji tal-Unjoni, ġew, kemm jista’ jkun, allinjati ma’ xulxin. |
(3) |
Sabiex tkun żgurata l-konformità mar-rekwiżiti tar-Regolamenti (UE) 2016/679 u (UE) 2018/1725, meta jafda proċessur b’attivitajiet ta’ pproċessar, jenħtieġ li kontrollur juża biss proċessuri li jipprovdu garanziji suffiċjenti, b’mod partikolari fir-rigward ta’ għarfien espert, affidabilità u riżorsi, għall-implimentazzjoni ta’ miżuri tekniċi u organizzattivi li jissodisfaw ir-rekwiżiti tar-Regolament (UE) 2016/679 u r-Regolament (UE) 2018/1725, inkluż għas-sigurtà tal-ipproċessar. |
(4) |
L-ipproċessar minn proċessur għandu jiġi rregolat b’kuntratt jew att legali ieħor skont il-liġi tal-Unjoni jew ta’ Stat Membru, li jkun vinkolanti fuq il-proċessur fir-rigward tal-kontrollur u li jistabbilixxi l-elementi elenkati fl-Artikolu 28(3) u fl-Artikolu 28(4) tar-Regolament (UE) 2016/679 jew l-Artikolu 29(3) u l-Artikolu 29(4) tar-Regolament (UE) 2018/1725. Dak il-kuntratt jew att għandu jkun bil-miktub, inkluż f’forma elettronika. |
(5) |
F’konformità mal-Artikolu 28(6) tar-Regolament (UE) 2016/679 u mal-Artikolu 29(6) tar-Regolament (UE) 2018/1725, il-kontrollur u il-proċessur jistgħu jagħżlu li jinnegozjaw kuntratt individwali li jkun fih l-elementi obbligatorji stabbiliti fl-Artikolu 28(3) u fl-Artikolu 28(4) tar-Regolament (UE) 2016/679 jew l-Artikolu 29(3) u l-Artikolu 29(4) tar-Regolament (UE) 2018/1725, rispettivament, jew li jużaw, għalkollox jew parzjalment, klawżoli kuntrattwali standard adottati mill-Kummissjoni skont l-Artikolu 28(7) tar-Regolament (UE) 2016/679 u l-Artikolu 29(7) tar-Regolament (UE) 2018/1725. |
(6) |
Il-kontrollur u l-proċessur jenħtieġ li jkunu liberi li jinkludu l-klawżoli kuntrattwali standard f’din id-Deċiżjoni f’kuntratt usa’, u li jżidu klawżoli jew salvagwardji addizzjonali oħra sakemm dawn ma jikkontradixxux direttament jew indirettament il-klawżoli kuntrattwali standard jew jippreġudikaw id-drittijiet jew il-libertajiet fundamentali tas-suġġetti tad-data. L-użu tal-klawżoli kuntrattwali standard isir minkejja kwalunkwe obbligu kuntrattwali tal-kontrollur u/jew tal-proċessur biex jiġi żgurat ir-rispett tal-privileġġi u l-immunitajiet applikabbli. |
(7) |
Jenħtieġ li l-klawżoli kuntrattwali standard jinkludu kemm regoli sostantivi kif ukoll proċedurali. Skont l-Artikolu 28(3) tar-Regolament (UE) 2016/679 u l-Artikolu 29(3) tar-Regolament (UE) 2018/1725, jenħtieġ li l-klawżoli kuntrattwali standard jeżiġu li l-kontrollur u l-proċessur jistabbilixxu s-suġġett u t-tul tal-ipproċessar, in-natura tiegħu u l-iskop tiegħu, it-tip ta’ data personali kkonċernata, il-kategoriji ta’ suġġetti tad-data u l-obbligi u d-drittijiet tal-kontrollur. |
(8) |
Skont l-Artikolu 28(3) tar-Regolament (UE) 2016/679 u skont l-Artikolu 29(3) tar-Regolament (UE) 2018/1725, il-proċessur għandu jinforma lill-kontrollur minnufih jekk, fl-opinjoni tiegħu, struzzjoni tal-kontrollur tikser ir-Regolament (UE) 2016/679 jew ir-Regolament (UE) 2018/1725, jew dispożizzjonijiet oħra tal-Unjoni jew tal-Istati Membri dwar il-protezzjoni tad-data. |
(9) |
Jekk proċessur jingaġġa proċessur ieħor biex iwettaq attivitajiet speċifiċi, ir-rekwiżiti speċifiċi msemmija fl-Artikolu 28(2) u fl-Artikolu 28(4) tar-Regolament (UE) 2016/679 jew fl-Artikolu 29(2) u fl-Artikolu 29(4) tar-Regolament (UE) 2018/1725 jenħtieġ li japplikaw. B’mod partikolari hija meħtieġa awtorizzazzjoni bil-miktub speċifika jew ġenerali minn qabel. Kemm jekk dan l-għoti ta’ awtorizzazzjoni preliminari jkunx speċifiku jew ġenerali, jenħtieġ li l-ewwel proċessur iżomm lista ta’ proċessuri oħra aġġornata. |
(10) |
Sabiex jiġu ssodisfati r-rekwiżiti tal-Artikolu 46(1) tar-Regolament (UE) 2016/679, il-Kummissjoni adottat klawżoli kuntrattwali standard skont l-Artikolu 46(2)(c) tar-Regolament (UE) 2016/679. Dawn il-klawżoli jissodisfaw ukoll ir-rekwiżiti tal-Artikolu 28(3) u tal-Artikolu 28(4) tar-Regolament (UE) 2016/679 għal trasferimenti tad-data mill-kontrolluri soġġetti għar-Regolament (UE) 2016/679 lill-proċessuri barra mill-kamp ta’ applikazzjoni territorjali ta’ dak ir-Regolament jew minn proċessuri soġġetti għar-Regolament (UE) 2016/679 lil sottoproċessuri barra mill-kamp ta’ applikazzjoni ta’ dak ir-Regolament. Dawn il-klawżoli kuntrattwali standard ma jistgħux jintużaw bħala klawżoli kuntrattwali standard għall-fini tal-Kapitolu V tar-Regolament (UE) 2016/679. |
(11) |
Jenħtieġ li l-partijiet terzi jkunu jistgħu jsiru parti mill-klawżoli kuntrattwali standard matul iċ-ċiklu tal-ħajja tal-kuntratt. |
(12) |
Jenħtieġ li l-operazzjoni tal-klawżoli kuntrattwali standard tiġi evalwata, bħala subparti tal-evalwazzjoni perjodika tar-Regolament (UE) 2016/679 imsemmija fl-Artikolu 97 ta’ dak ir-Regolament. |
(13) |
Il-Kontrollur Ewropew għall-Protezzjoni tad-Data u l-Bord Ewropew għall-Protezzjoni tad-Data ġew ikkonsultati f’konformità mal-Artikolu 42(1) u (2) tar-Regolament (UE) 2018/1725 u taw opinjoni konġunta fl-14 ta’ Jannar 2021 (3), li tqieset fit-tħejjija ta’ din id-Deċiżjoni. |
(14) |
Il-miżuri previsti f’din id-Deċiżjoni huma konformi mal-opinjoni tal-Kumitat stabbilit skont l-Artikolu 93 tar-Regolament (UE) 2016/679 u l-Artikolu 96(2) tar-Regolament (UE) 2018/1725, |
ADOTTAT DIN ID-DEĊIŻJONI:
Artikolu 1
Il-klawżoli kuntrattwali standard kif stabbiliti fl-Anness jissodisfaw ir-rekwiżiti għal kuntratti bejn kontrolluri u proċessuri fl-Artikolu 28(3) u fl-Artikolu 28(4) tar-Regolament (UE) 2016/679 u tal-Artikolu 29(3) u tal-Artikolu 29(4) tar-Regolament (UE) 2018/1725.
Artikolu 2
Il-klawżoli kuntrattwali standard kif stabbiliti fl-Anness jistgħu jintużaw f’kuntratti bejn kontrollur u proċessur li jipproċessa data personali f’isem il-kontrollur.
Artikolu 3
Il-Kummissjoni għandha tevalwa l-applikazzjoni prattika tal-klawżoli kuntrattwali standard stabbiliti fl-Anness abbażi tal-informazzjoni kollha disponibbli bħala parti mill-evalwazzjoni perjodika prevista fl-Artikolu 97 tar-Regolament (UE) 2016/679.
Artikolu 4
Din id-Deċiżjoni għandha tidħol fis-seħħ fl-għoxrin jum wara dak tal-pubblikazzjoni tagħha f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.
Magħmul fi Brussell, l-4 ta’ Ġunju 2021.
Għall-Kummissjoni
Il-President
Ursula VON DER LEYEN
(2) ĠU L 295, 21.11.2018, p. 39.
(3) EDPB — Opinjoni Konġunta 1/2021 tal-EDPS dwar id-Deċiżjoni ta’ Implimentazzjoni tal-Kummissjoni dwar klawżoli kuntrattwali standard bejn il-kontrolluri u l-proċessuri għall-kwistjonijiet imsemmija fl-Artikolu 28(7) tar-Regolament (UE) 2016/679 u fl-Artikolu 29(7) tar-Regolament (UE) 2018/1725.
ANNESS
Klawżoli kuntrattwali standard
TAQSIMA I
Klawżola 1
Għan u kamp ta’ applikazzjoni
(a) |
L-għan ta’ dawn il-Klawżoli Kuntrattwali Standard (“il-Klawżoli”) huwa li tkun żgurata konformità [agħżel l-għażla rilevanti: GĦAŻLA 1: mal-Artikolu 28(3) u mal-Artikolu 28(4) tar-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas-27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data], u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data) / [GĦAŻLA 2: mal-Artikolu 29(3) u mal-Artikolu 29(4) tar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data], u li jħassar r-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE. |
(b) |
Il-kontrolluri u l-proċessuri elenkati fl-Anness I qablu ma’ dawn il-Klawżoli sabiex jiżguraw konformità mal-Artikolu 28(3) u mal-Artikolu 28(4) tar-Regolament (UE) 2016/679 u/jew mal-Artikolu 29(3) u mal-Artikolu 29(4) tar-Regolament (UE) 2018/1725. |
(c) |
Dawn il-Klawżoli japplikaw għall-ipproċessar ta’ data personali kif speċifikat fl-Anness II. |
(d) |
L-Annessi minn I sa IV huma parti integrali mill-Klawżoli. |
(e) |
Dawn il-Klawżoli huma mingħajr preġudizzju għall-obbligi li għalihom huwa soġġett il-kontrollur skont ir-Regolament (UE) 2016/679 u/jew ir-Regolament (UE) 2018/1725. |
(f) |
Fihom infushom, dawn il-Klawżoli ma jiżgurawx il-konformità mal-obbligi relatati mat-trasferimenti internazzjonali f’konformità mal-Kapitolu V tar-Regolament (UE) 2016/679 u/jew ir-Regolament (UE) 2018/1725. |
Klawżola 2
Invarjabilità tal-Klawżoli
(a) |
Il-Partijiet jimpenjaw ruħhom li ma jimmodifikawx il-Klawżoli, ħlief biex iżidu informazzjoni fl-Annessi jew jaġġornaw l-informazzjoni fihom. |
(b) |
Dan ma jipprevjenix lill-Partijiet milli jinkludu l-klawżoli kuntrattwali standard stipulati f’dawn il-Klawżoli f’kuntratt usa’, jew milli jżidu klawżoli jew salvagwardji addizzjonali oħra sakemm dawn ma jikkontradixxux direttament jew indirettament il-Klawżoli jew inaqqsu d-drittijiet jew il-libertajiet fundamentali tas-suġġetti tad-data. |
Klawżola 3
Interpretazzjoni
(a) |
Fejn dawn il-Klawżoli jużaw it-termini definiti fir-Regolament (UE) 2016/679 jew fir-Regolament (UE) 2018/1725 rispettivament, dawn it-termini għandu jkollhom l-istess tifsira bħal f’dak ir-Regolament. |
(b) |
Dawn il-Klawżoli għandhom jinqraw u jiġu interpretati fid-dawl tad-dispożizzjonijiet tar-Regolament (UE) 2016/679 jew tar-Regolament (UE) 2018/1725 rispettivament. |
(c) |
Dawn il-Klawżoli ma għandhomx jiġu interpretati b’mod li jmur kontra d-drittijiet u l-obbligi previsti fir-Regolament (UE) 2016/679/fir-Regolament (UE) 2018/1725 jew b’mod li jippreġudika d-drittijiet jew il-libertajiet fundamentali tas-suġġetti tad-data. |
Klawżola 4
Ġerarkija
F’każ ta’ kontradizzjoni bejn dawn il-Klawżoli u d-dispożizzjonijiet tal-ftehimiet relatati bejn il-Partijiet eżistenti fid-data meta dawn il-Klawżoli jiġu miftiehma jew konklużi b’mod sussegwenti, għandhom jipprevalu dawn il-Klawżoli.
Klawżola 5 — Fakultattiva
Klawżola ta’ adeżjoni sussegwenti
(a) |
Bil-qbil tal-Partijiet kollha, kwalunkwe entità li mhijiex Parti għal dawn il-Klawżoli tista’ taderixxi għal dawn il-Klawżoli fi kwalunkwe ħin bħala kontrollur jew proċessur billi timla l-Annessi u tiffirma l-Anness I. |
(b) |
Ladarba l-Annessi f’(a) ikunu mimlija u ffirmati, l-entità aderenti għandha tiġi ttrattata bħala Parti għal dawn il-Klawżoli u għandu jkollha d-drittijiet u l-obbligi ta’ kontrollur jew proċessur, f’konformità mad-deżinjazzjoni tagħha fl-Anness I. |
(c) |
L-entità aderenti ma għandu jkollha l-ebda dritt jew obbligu li jirriżulta minn dawn il-Klawżoli mill-perjodu qabel ma ssir Parti. |
TAQSIMA II
OBBLIGI TAL-PARTIJIET
Klawżola 6
Deskrizzjoni tal-ipproċessar
Id-dettalji tal-operazzjonijiet ta’ proċessar, b’mod partikolari l-kategoriji tad-data personali u l-iskopijiet għall-ipproċessar tad-data personali f’isem il-kontrollur, huma speċifikati fl-Anness II.
Clause 7
Obbligi tal-Partijiet
7.1. Struzzjonijiet
(a) |
Il-proċessur għandu jipproċessa d-data personali fuq struzzjonijiet dokumentati mill-kontrollur biss, sakemm ma jkunx meħtieġ jagħmel dan bil-liġi tal-Unjoni jew tal-Istat Membru li għaliha jkun soġġett il-proċessur. F’dan il-każ, il-proċessur għandu jinforma lill-kontrollur dwar dak ir-rekwiżit legali qabel l-ipproċessar, sakemm il-liġi ma tipprojbixxix dan għal raġunijiet importanti ta’ interess pubbliku. Jistgħu jingħataw ukoll struzzjonijiet sussegwenti mill-kontrollur matul il-perjodu tal-ipproċessar ta’ data personali. Dawn l-istruzzjonijiet għandhom dejjem jiġu dokumentati. |
(b) |
Il-proċessur għandu jinforma minnufih lill-kontrollur jekk, fl-opinjoni tal-proċessur, l-istruzzjonijiet mogħtija mill-kontrollur jiksru r-Regolament (UE) 2016/679/ir-Regolament (UE) 2018/1725 jew id-dispożizzjonijiet applikabbli dwar il-protezzjoni tad-data tal-Unjoni jew tal-Istati Membri. |
7.2. Limitazzjoni tal-iskop
Il-proċessur għandu jipproċessa d-data personali għall-iskop(ijiet) speċifiku/speċifiċi tal-ipproċessar biss, kif stabbilit(i) fl-Anness II, dment li ma jirċevix struzzjonijiet ulterjuri mill-kontrollur.
7.3. Tul ta’ żmien tal-ipproċessar ta’ data personali
L-ipproċessar mill-proċessur għandu jsir biss għat-tul ta’ żmien speċifikat fl-Anness II.
7.4. Sigurtà tal-ipproċessar
(a) |
Il-proċessur għandu mill-inqas jimplimenta l-miżuri tekniċi u organizzattivi speċifikati fl-Anness III biex jiżgura s-sigurtà tad-data personali. Dan jinkludi l-protezzjoni tad-data kontra ksur ta’ sigurtà li jwassal għal qerda aċċidentali jew illegali, telf, bidliet, żvelar mhux awtorizzat jew l-aċċess għad-data (ksur ta’ data personali). Waqt il-valutazzjoni tal-livell xieraq ta’ sigurtà, il-Partijiet għandhom iqisu b’mod xieraq l-ogħla livell ta’ żvilupp tekniku, il-kostijiet tal-implimentazzjoni, in-natura, l-ambitu, il-kuntest u l-għanijiet tal-ipproċessar u r-riskji involuti għas-suġġetti tad-data. |
(b) |
Il-proċessur għandu jagħti aċċess għad-data personali li tkun qed tiġi proċessata lill-membri tal-persunal tiegħu sa fejn ikun strettament meħtieġ biss għall-fini ta’ implimentazzjoni, ġestjoni u monitoraġġ tal-kuntratt. Il-proċessur għandu jiżgura li l-persuni awtorizzati biex jipproċessaw id-data personali rċevuta jkunu impenjaw ruħhom li jżommu l-kunfidenzjalità jew ikunu taħt obbligu statutorju xieraq ta’ kunfidenzjalità. |
7.5. Data sensittiva
Jekk l-ipproċessar jinvolvi data personali li tiżvela oriġini razzjali jew etnika, opinjonijiet politiċi, twemmin reliġjuż jew filosofiku, jew sħubija fi trade unions, data ġenetika jew data bijometrika għall-fini ta’ identifikazzjoni unika ta’ persuna fiżika, data dwar is-saħħa, il-ħajja sesswali jew l-orjentazzjoni sesswali ta’ persuna, jew data relatata ma’ kundanni u reati kriminali (“data sensittiva”), il-proċessur għandu japplika restrizzjonijiet speċifiċi u/jew salvagwardji addizzjonali.
7.6. Dokumentazzjoni u konformità
(a) |
Il-Partijiet għandhom ikunu kapaċi juru konformità ma’ dawn il-Klawżoli. |
(b) |
Il-proċessur għandu jittratta fil-pront u b’mod adegwat l-inkjesti mingħand il-kontrollur dwar l-ipproċessar ta’ data f’konformità ma’ dawn il-Klawżoli. |
(c) |
Il-proċessur għandu jipprovdi lill-kontrollur l-informazzjoni kollha meħtieġa biex tintwera l-konformità mal-obbligi stabbiliti f’dawn il-Klawżoli u li jirriżultaw direttament mir-Regolament (UE) 2016/679 u/jew mir-Regolament (UE) 2018/1725. Wara talba mill-kontrollur, il-proċessur għandu wkoll jippermetti u jikkontribwixxi għall-awditjar tal-attivitajiet ta’ pproċessar koperti minn dawn il-Klawżoli, f’intervalli raġonevoli jew jekk ikun hemm indikazzjonijiet ta’ nonkonformità. Meta jiddeċiedi dwar rieżami jew awditu, il-kontrollur jista’ jqis iċ-ċertifikazzjonijiet rilevanti miżmuma mill-proċessur. |
(d) |
Il-kontrollur jista’ jagħżel li jwettaq l-awditu b’mod awtonomu jew li jinkariga awditur indipendenti. L-awditi jistgħu jinkludu wkoll spezzjonijiet fil-post jew fil-faċilitajiet fiżiċi tal-proċessur u għandhom, jekk ikun xieraq, jitwettqu bi preavviż raġonevoli. |
(e) |
Il-Partijiet għandhom jipprovdu l-informazzjoni msemmija f’din il-Klawżola, inklużi r-riżultati ta’ kwalunkwe awditi, lill-awtorità(ijiet) superviżorja/i kompetenti fuq talba. |
7.7. Użu ta’ sottoproċessuri
(a) |
GĦAŻLA 1: AWTORIZZAZZJONI PRELIMINARI SPEĊIFIKA: Il-proċessur ma għandux jissottokuntratta xi waħda mill-operazzjonijiet ta’ pproċessar tiegħu mwettqa f’isem il-kontrollur f’konformità ma’ dawn il-Klawżoli lil sottoproċessur, mingħajr l-awtorizzazzjoni preliminari speċifika bil-miktub mill-kontrollur. Il-proċessur għandu jissottometti t-talba għal awtorizzazzjoni speċifika mill-inqas [SPEĊIFIKA L-PERJODU TA’ ŻMIEN] qabel l-ingaġġ tas-sottoproċessur ikkonċernat, flimkien mal-informazzjoni meħtieġa biex il-kontrollur ikun jista’ jiddeċiedi dwar l-awtorizzazzjoni. Il-lista tas-sottoproċessuri awtorizzati mill-kontrollur tinsab fl-Anness IV. Il-Partijiet għandhom iżommu l-Anness IV aġġornat. GĦAŻLA 2: AWTORIZZAZZJONI ĠENERALI BIL-MIKTUB: Il-proċessur għandu l-awtorizzazzjoni ġenerali tal-kontrollur għall-ingaġġ ta’ sottoproċessuri minn lista miftiehma. Il-proċessur għandu jinforma b’mod speċifiku bil-miktub lill-kontrollur dwar kwalunkwe bidla intenzjonata ta’ dik il-lista permezz taż-żieda jew is-sostituzzjoni ta’ sottoproċessuri mill-inqas [SPEĊIFIKA PERJODU TA’ ŻMIEN] minn qabel, biex il-kontrollur ikollu biżżejjed żmien biex ikun jista’ joġġezzjona għal tali bidliet qabel l-ingaġġ tas-sottoproċessur(i) ikkonċernat(i). Il-proċessur għandu jagħti l-informazzjoni meħtieġa lill-kontrollur biex dan tal-aħħar ikun jista’ jeżerċita d-dritt ta’ oġġezzjoni. |
(b) |
Jekk il-proċessur jinkariga sottoproċessur għat-twettiq ta’ attivitajiet speċifiċi ta’ pproċessar (f’isem il-kontrollur), dan għandu jagħmel hekk permezz ta’ kuntratt li jimponi fuq is-sottoproċessur, fis-sustanza, l-istess obbligi tal-protezzjoni tad-data bħal dawk imposti fuq il-proċessur tad-data f’konformità ma’ dawn il-Klawżoli. Il-proċessur għandu jiżgura li s-sottoproċessur jikkonforma mal-obbligi li huwa soġġett għalihom il-proċessur skont dawn il-Klawżoli u r-Regolament (UE) 2016/679 u/jew ir-Regolament (UE) 2018/1725. |
(c) |
Wara talba mill-kontrollur, il-proċessur għandu jipprovdi kopja ta’ tali ftehim ma’ sottoproċessur u kwalunkwe emenda sussegwenti lill-kontrollur. Sa fejn ikun meħtieġ għall-protezzjoni tas-sigriet kummerċjali jew informazzjoni kunfidenzjali oħra, inkluża d-data personali, il-proċessur jista’ jħassar it-test tal-ftehim qabel ma jikkondividi l-kopja. |
(d) |
Il-proċessur għandu jibqa’ kompletament responsabbli fil-konfront tal-kontrollur għat-twettiq tal-obbligi tas-sottoproċessur f’konformità mal-kuntratt tiegħu mal-proċessur. Il-proċessur għandu jinnotifika lill-kontrollur bi kwalunkwe nuqqas ta’ osservanza mis-sottoproċessur tal-obbligi kuntrattwali. |
(e) |
Il-proċessur għandu jiftiehem mas-sottoproċessur dwar klawżola tat-terz benefiċjarju, skont liema — fil-każ li l-proċessur ikun fattwalment sparixxa, ma jibqax jeżisti fil-liġi jew isir insolventi — il-kontrollur għandu jkollu d-dritt li jittermina l-kuntratt mas-sottoproċessur u li jagħti struzzjonijiet lis-sottoproċessur biex iħassar jew jirritorna d-data personali. |
7.8. Trasferimenti internazzjonali
(a) |
Kwalunkwe trasferiment tad-data lejn pajjiż terz jew organizzazzjoni internazzjonali mill-proċessur għandu jsir biss fuq il-bażi ta’ struzzjonijiet dokumentati mill-kontrollur jew sabiex jiġi ssodisfat rekwiżit speċifiku fil-qafas tal-liġi tal-Unjoni jew ta’ Stat Membru li l-proċessur huwa soġġett għaliha u għandu jseħħ f’konformità mal-Kapitolu V tar-Regolament (UE) 2016/679 jew tar-Regolament (UE) 2018/1725. |
(b) |
Il-kontrollur jaqbel li jekk il-proċessur jinkariga sottoproċessur f’konformità mal-Klawżola 7.7 għat-twettiq ta’ attivitajiet speċifiċi ta’ pproċessar (f’isem il-kontrollur) u dawn l-attivitajiet ta’ pproċessar ikunu jinvolvu trasferiment ta’ data personali skont it-tifsira tal-Kapitolu V tar-Regolament (UE) 2016/679, il-proċessur u s-sottoproċessur jistgħu jiżguraw konformità mal-Kapitolu V tar-Regolament (UE) 2016/679 billi jużaw klawżoli kuntrattwali standard adottati mill-Kummissjoni f’konformità mal-Artikolu 46(2) tar-Regolament (UE) 2016/679, dment li jiġu ssodisfati l-kundizzjonijiet għall-użu ta’ dawn il-klawżoli kuntrattwali standard. |
Klawżola 8
Assistenza għall-kontrollur
(a) |
Il-proċessur għandu jinnotifika minnufih lill-kontrollur dwar kwalunkwe talba li jkun irċieva mis-suġġett tad-data. Dan ma għandux iwieġeb għat-talba hu nnifsu, ħlief jekk ikun ġie awtorizzat jagħmel dan mill-kontrollur. |
(b) |
Il-proċessur għandu jassisti lill-kontrollur fit-twettiq tal-obbligi tiegħu li jwieġeb għat-talbiet tas-suġġetti tad-data biex jeżerċitaw id-drittijiet tagħhom, b’kont meħud tan-natura tal-ipproċessar. Waqt li jissodisfa l-obbligi tiegħu f’konformità mal-punti (a) u (b), il-proċessur għandu jikkonforma mal-istruzzjonijiet tal-kontrollur. |
(c) |
Minbarra l-obbligu tal-proċessur li jassisti lill-kontrollur skont il-Klawżola 8(b), il-proċessur għandu barra minn hekk jassisti lill-kontrollur fl-iżgurar tal-konformità mal-obbligi li ġejjin, waqt li titqies in-natura tal-ipproċessar tad-data u l-informazzjoni disponibbli għall-proċessur:
|
(d) |
Fl-Anness III il-Partijiet għandhom jistabbilixxu l-miżuri tekniċi u organizzattivi xierqa li l-proċessur huwa meħtieġ iħares meta jassisti l-kontrollur fl-applikazzjoni ta’ din il-Klawżola kif ukoll l-ambitu u l-firxa tal-assistenza meħtieġa. |
Klawżola 9
Notifika ta’ ksur ta’ data personali
F’każ ta’ ksur ta’ data personali, il-proċessur għandu jikkoopera mal-kontrollur u jassisti lill-kontrollur biex jikkonforma mal-obbligi tiegħu skont l-Artikoli 33 u 34 tar-Regolament (UE) 2016/679 jew skont l-Artikoli 34 u 35 tar-Regolament (UE) 2018/1725, fejn applikabbli, waqt li titqies in-natura tal-ipproċessar u l-informazzjoni disponibbli għall-proċessur.
9.1. Ksur tad-data rigward data proċessata mill-kontrollur
F’każ ta’ ksur ta’ data personali rigward data pproċessata mill-kontrollur, il-proċessur għandu jassisti lill-kontrollur:
(a) |
fin-notifika tal-ksur ta’ data personali lill-awtorità/ijiet superviżorja/i kompetenti, mingħajr dewmien żejjed wara li l-kontrollur ikun sar jaf bih, jekk ikun rilevanti/(ħlief jekk il-ksur ta’ data personali x’aktarx ma jirriżultax f’riskju għad-drittijiet u għal-libertajiet tal-persuni fiżiċi); |
(b) |
fil-ksib tal-informazzjoni li ġejja li, skont [GĦAŻLA 1] l-Artikolu 33(3) tar-Regolament (UE) 2016/679/ [GĦAŻLA 2] l-Artikolu 34(3) tar-Regolament (UE) 2018/1725, għandha tiġi ddikjarata fin-notifika tal-kontrollur, u mill-inqas trid tinkludi dan li ġej:
|
Jekk u sakemm ma jkunx possibbli li tiġi pprovduta l-informazzjoni kollha fl-istess ħin, in-notifika inizjali għandu jkun fiha l-informazzjoni disponibbli f’dak il-waqt u l-bqija tal-informazzjoni għandha tiġi pprovduta sussegwentement mingħajr dewmien żejjed ladarba tkun disponibbli.
(c) |
fl-osservanza, skont [GĦAŻLA 1] l-Artikolu 34 tar-Regolament (UE) 2016/679 / [GĦAŻLA 2] l-Artikolu 35 tar-Regolament (UE) 2018/1725, tal-obbligu li l-ksur ta’ data personali jiġi kkomunikat mingħajr dewmien bla bżonn lis-suġġett tad-data, jekk il-ksur ta’ data personali x’aktarx jirriżulta f’riskju għoli għad-drittijiet u għal-libertajiet tal-persuni fiżiċi. |
9.2. Ksur tad-data rigward data proċessata mill-proċessur
F’każ ta’ ksur ta’ data personali rigward data pproċessata mill-proċessur, il-proċessur għandu jinnotifika lill-kontrollur mingħajr dewmien żejjed wara li l-proċessur ikun sar jaf bil-ksur. Din in-notifika għandha tinkludi minn tal-inqas:
(a) |
deskrizzjoni tan-natura tal-ksur (inklużi, fejn hu possibbli, il-kategoriji u n-numru approssimattiv ta’ suġġetti tad-data u ta’ reġistri tad-data kkonċernati); |
(b) |
id-dettalji ta’ punt ta’ kuntatt minfejn tista’ tinkiseb aktar informazzjoni dwar il-ksur ta’ data personali; |
(c) |
il-konsegwenzi probabbli tiegħu u l-miżuri meħuda jew proposti li għandhom jittieħdu biex jiġi indirizzat il-ksur, fosthom biex jittaffew l-effetti negattivi possibbli tiegħu. |
Jekk u sakemm ma jkunx possibbli li tiġi pprovduta l-informazzjoni kollha fl-istess ħin, in-notifika inizjali għandu jkun fiha l-informazzjoni disponibbli f’dak il-waqt u l-bqija tal-informazzjoni għandha tiġi pprovduta sussegwentement mingħajr dewmien żejjed ladarba tkun disponibbli.
Fl-Anness III il-Partijiet għandhom jistabbilixxu l-elementi l-oħra kollha li għandhom jiġu pprovduti mill-proċessur meta jassisti lill-kontrollur fil-konformità mal-obbligi tal-kontrollur skont [GĦAŻLA 1] l-Artikoli 33 u 34 tar-Regolament (UE) 2016/679 / [GĦAŻLA 2] l-Artikoli 34 u 35 tar-Regolament (UE) 2018/1725.
TAQSIMA III
DISPOŻIZZJONIJIET FINALI
Klawżola 10
Nonkonformità mal-Klawżoli u terminazzjoni
(a) |
Mingħajr preġudizzju għal kwalunkwe dispożizzjoni tar-Regolament (UE) 2016/679 u/jew tar-Regolament (UE) 2018/1725, f’każ li l-proċessur jikser l-obbligi tiegħu skont dawn il-Klawżoli, il-kontrollur jista’ jagħti struzzjonijiet lill-proċessur biex jissospendi l-ipproċessar ta’ data personali sakemm dan tal-aħħar jikkonforma ma’ dawn il-Klawżoli jew sakemm jiġi tterminat il-kuntratt. Il-proċessur għandu jinforma minnufih lill-kontrollur f’każ li ma jkunx kapaċi josserva dawn il-Klawżoli, tkun xi tkun ir-raġuni. |
(b) |
Il-kontrollur għandu jkun intitolat li jittermina l-kuntratt sa fejn dan jikkonċerna l-ipproċessar ta’ data personali f’konformità ma’ dawn il-Klawżoli jekk:
|
(c) |
Il-proċessur għandu jkun intitolat li jittermina l-kuntratt sa fejn dan jikkonċerna l-ipproċessar ta’ data personali skont dawn il-Klawżoli fejn, wara li jkun informa lill-kontrollur li l-istruzzjonijiet tiegħu jiksru r-rekwiżiti legali applikabbli f’konformità mal-Klawżola 7.1(b), il-kontrollur jinsisti fuq il-konformità mal-istruzzjonijiet. |
(d) |
Wara t-terminazzjoni tal-kuntratt, il-proċessur għandu, skont l-għażla tal-kontrollur, iħassar id-data personali kollha proċessata f’isem il-kontrollur u jiċċertifika lill-kontrollur li għamel dan, jew, jirritorna d-data personali kollha lill-kontrollur u jħassar il-kopji eżistenti sakemm il-liġi tal-Unjoni jew tal-Istat Membru ma tkunx teħtieġ il-ħżin tad-data personali. Sakemm id-data titħassar jew tiġi ritornata, il-proċessur għandu jkompli jiżgura l-konformità ma’ dawn il-Klawżoli. |
ANNESS I
Lista tal-partijiet
Kontrollur(i): [Identità u dettalji ta’ kuntatt tal-kontrollur(i), u, fejn ikun applikabbli, tal-uffiċjal tal-protezzjoni tad-data tal-kontrollur]
1. |
Isem: … |
|
Indirizz: … |
|
Isem, pożizzjoni u dettalji ta’ kuntatt tal-persuna ta’ kuntatt: … |
|
Firma u data tal-adeżjoni: … |
2. |
|
…
Proċessur(i): [Identità u dettalji ta’ kuntatt tal-proċessur(i), u, fejn ikun applikabbli, tal-uffiċjal tal-protezzjoni tad-data tal-proċessur]
1. |
Isem: … |
|
Indirizz: … |
|
Isem, pożizzjoni u dettalji ta’ kuntatt tal-persuna ta’ kuntatt: … |
|
Firma u data tal-adeżjoni: … |
2. |
|
…
ANNESS II
Deskrizzjoni tal-ipproċessar
Kategoriji tas-suġġetti tad-data li d-data personali tagħhom hi proċessata
…
Kategoriji ta’ data personali pproċessata
…
Data sensittiva proċessata (jekk applikabbli) u restrizzjonijiet jew salvagwardji applikati li jqisu bis-sħiħ in-natura tad-data u r-riskji involuti, bħal pereżempju limitazzjoni stretta tal-iskop, restrizzjonijiet tal-aċċess (inkluż aċċess għal persunal li jkun segwa taħriġ speċjalizzat biss), iż-żamma ta’ rekord tal-aċċess għad-data, restrizzjonijiet għal trasferimenti ulterjuri jew miżuri ta’ sigurtà addizzjonali.
…
Natura tal-ipproċessar
…
Skop(ijiet) għall-ipproċessar tad-data personali f’isem il-kontrollur
…
Durata tal-ipproċessar
…
…
Għall-ipproċessar minn (sotto)proċessuri, speċifika wkoll is-suġġett, in-natura u d-durata tal-ipproċessar
ANNESS III
Miżuri tekniċi u organizzattivi inklużi miżuri tekniċi u organizzattivi biex tkun żgurata s-sigurtà tad-data
NOTA TA’ SPJEGAZZJONI:
Il-miżuri tekniċi u organizzattivi jeħtieġ li jiġu deskritti b’mod konkret u mhux b’mod ġeneriku.
Deskrizzjoni tal-miżuri tekniċi u organizzattivi ta’ sigurtà implimentati mill-proċessur(i) (inkluż kwalunkwe ċertifikazzjoni rilevanti) biex ikun żgurat livell xieraq ta’ sigurtà, waqt li jitqiesu n-natura, l-ambitu, il-kuntest u l-iskop tal-ipproċessar, kif ukoll ir-riskji għad-drittijiet u għal-libertajiet tal-persuni fiżiċi. Eżempji ta’ miżuri possibbli:
|
Miżuri ta’ psewdonimizzazzjoni u l-kriptaġġ tad-data personali |
|
Miżuri biex jiġu żgurati l-kunfidenzjalità, l-integrità, id-disponibbiltà u r-reżiljenza kontinwi tas-sistemi u s-servizzi tal-ipproċessar |
|
Miżuri biex tiġi żgurata l-kapaċità li jiġu restawrati d-disponibbiltà u l-aċċess għad-data personali fil-pront fil-każ ta’ inċident fiżiku jew tekniku |
|
Proċessi għall-ittestjar, għall-valutazzjoni u għall-evalwazzjoni regolari tal-effikaċja tal-miżuri tekniċi u organizzattivi għall-iżgurar tas-sigurtà tal-ipproċessar |
|
Miżuri għall-identifikazzjoni u għall-awtorizzazzjoni tal-utenti |
|
Miżuri għall-protezzjoni tad-data matul it-trażmissjoni |
|
Miżuri għall-protezzjoni tad-data waqt il-ħżin |
|
Miżuri għall-iżgurar tas-sigurtà fiżika tal-postijiet fejn tiġi pproċessata d-data personali |
|
Miżuri għall-iżgurar tal-illoggjar tal-avvenimenti |
|
Miżuri għall-iżgurar tal-konfigurazzjoni tas-sistema, inkluża l-konfigurazzjoni prestabbilita |
|
Miżuri ta’ governanza u ġestjoni tal-IT interna u tas-sigurtà tal-IT |
|
Miżuri għaċ-ċertifikazzjoni/għall-assigurazzjoni tal-proċessi u tal-prodotti |
|
Miżuri biex tiġi żgurata l-minimizzazzjoni tad-data |
|
Miżuri biex tiġi żgurata l-kwalità tad-data |
|
Miżuri biex tiġi żgurata żamma limitata tad-data |
|
Miżuri biex tiġi żgurata r-responsabbiltà |
|
Miżuri li jippermettu l-portabbiltà tad-data u li jiżguraw it-tħassir] |
Għat-trasferimenti lejn (sotto)proċessuri, iddeskrivi wkoll il-miżuri tekniċi u organizzattivi speċifiċi li għandhom jittieħdu mis-(sotto)proċessur biex ikun jista’ jipprovdi assistenza lill-kontrollur
Deskrizzjoni tal-miżuri tekniċi u organizzattivi speċifiċi li għandhom jittieħdu mill-proċessur biex ikun jista’ jipprovdi assistenza lill-kontrollur.
ANNESS IV
Lista ta’ sottoproċessuri
NOTA TA’ SPJEGAZZJONI:
Dan l-Anness jeħtieġ li jimtela f’każ ta’ awtorizzazzjoni speċifika tas-sottoproċessuri (Klawżola 7.7(a), Għażla 1).
Il-kontrollur awtorizza l-użu tas-sottoproċessuri li ġejjin:
1. |
Isem: … |
|
Indirizz: … |
|
Isem, pożizzjoni u dettalji ta’ kuntatt tal-persuna ta’ kuntatt: … |
|
Deskrizzjoni tal-ipproċessar (inkluża delimitazzjoni ċara tar-responsabbiltajiet f’każ li diversi sottoproċessuri jkunu awtorizzati): … |
2. |
… |